もうちょい寝かせておこうかと思ったけど、そんなに時間をかけてもいられないからもう出しちゃおう。ちょっとはてなに対しては厳しすぎる意見が多いんで、そのあたりもうちょっと柔らかく書きたかったんだけど、そこに時間をかけている余力がない。特にはてなのセキュリティ対策に対していろいろ不満を述べているけれども、実際問題として現在のネット系サービス会社の中では、はてなはセキュリティ関連の技術的に悪い方ではないと思う。ただそれでも、私基準では（特に住所を含めた個人情報を収集しようと言う動きを見せたことと絡めると）まだまだ物足りないと思っている。もう一度繰り返すけど、「特にはてなが悪い」と言いたいわけではない。

住所確認方法の実効性への疑問

無作為抽出した150人に郵送で確認する方法では不十分だと思う。

はてな側としては、多くの割合のユーザーが正しい住所登録をしてくれることを期待し、郵送確認の結果によってその期待が（数学的に）証明されるという展開を望んでいるのだろう。確かに150人に郵送した結果、たとえば9割の人が正しい情報を登録しているという結果が出るのならば、この方法は確かに有効である。

しかし、もしかしたら郵送確認したうちの1割のユーザーしか正しい住所を登録していないという結果が出るかもしれない。そのような結果が出た場合でも、「150人のユーザーに郵送で住所確認を行うという、十分な本人確認の努力を行っているから、問題なく従来通りの運営を続けられる」という結論が出せるのだろうか？　おそらくそうはならないだろう。それではいったい何割以上という結果が出れば、問題ないと言えるのか？

つまり、無作為抽出した150人に対して、郵送で住所確認をするという方法は、現状では博打（その方法が有効なのかどうかは、調査の結果が出るまでわからない）の要素が大きすぎるのだ。

また、せっかく住所確認作業を行っても、新規登録ユーザーの住所確認が行われないのならば、さらに意味は薄くなる。現状では、無作為郵送チェックで弾かれたユーザーが再び不正な住所を使って新規登録することが可能であり、そうなるとせっかくコストをかけて住所確認をしても不正住所登録者の数が減らないことになってしまう。

上記二つの点から、現在予定されている住所確認方法は不十分であると考える。

セキュリティ対策が十分であるという信頼感がほしい

実名、実住所、性別、生年月日、メールアドレスという個人情報を数万人分収集するに当たっては、それに見合っただけのセキュリティ対策が必要になる。以前指摘したとおり、私は現在のはてなのシステムは上記情報を収集管理するシステムとして、十分なセキュアさを持っていると考えていない。

少なくとも、HTTP経由でやりとりされる半固定10年期限Cookieによる認証だけで、個人情報が表示される設計は問題がある。Cookie漏洩の可能性が十分にあり得ることは、今までのはてなダイアリーにおけるXSS対策の経緯から、はてな側でも十分に認識されているだろう。また、住所登録導入時のSSLの使い方の失敗（フォーム投稿はHTTPSだったのに、結果はHTTPで返した）はあまりにも基本的なミスすぎた。

それらの問題を、実際に住所情報を収集し始める前の社内チェックの段階で発見できなかったという状況に、とても不安を感じる。その不安を払拭できるような対策および情報を示してほしい。もし、はてなに数万人分の正しい住所を含む個人情報があるということになったら、今までよりもはてなの会員DBは狙われやすくなるのだから。

FAQの「情報へのアクセスは社内からのみ可能となっており、誰が、どのような操作を行ったかが記録されています。また、現在はてなには7名の社員がいますが、全て正社員および経営者です。はてなのサイト運営に関して外部の事業者等は利用しておらず、この7名以外がはてなユーザーの登録情報に接することはありません。」からも、セキュリティに対する知識が十分であるとは読み取れない。

「情報へのアクセス」は、少なくともインターネット上からすべてのユーザーが（正規の手段では）自分の情報に対して可能である。社内ネットワークからしかDBへのネイティブアクセスができないと言いたいのだろうが、それならそう明確に書くべきだろう。一般的に「情報へのアクセスは社内からのみ可能」という表現は、すべてのクライアント（アプリケーション）が社内ネットワーク上にしか存在しないような設計の場合に使うべきものだ。

また、個人情報DBへ直接アクセスできる者が「正社員」や「経営者」のみだとしても、その全員が十分なセキュリティ知識を持っていない限り、「だから安全だ」とは言えない。逆に言うと、各人のセキュリティ知識（教育状況）が十分でないままに、「正社員ならばユーザーの個人情報にアクセスできる」のならばそれは問題だ。

「セキュリティ知識の必要性」の具体例を挙げておく。たとえば社員の誰かが「社長に頼まれたんだけど、社長のメールアドレスに○○（個人情報を含むデータ）を送ってね」みたいな、一見安全そうな個人情報操作を依頼された場合に、疑問に思わずに送ってしまわないだろうか。もちろん上記がハッキングの手法だとしたら、攻撃者は社長がメール受信をするネットワーク経路で盗聴を仕掛けていることになるだろう（現在のはてなの運用体制で上記のような攻撃が有効なのかどうかはわからないが）。

「個人情報にアクセスできる権限を持つ人間に必要なセキュリティ知識」というのは、上記のようなシチュエーションにおけるリスク等をきちんと計算できるレベルだと私は考える。そのような知識がない場合は、たとえ正社員だといえども個人情報へのアクセス権限は持たない方がいい。そして、現状の「全員が社員だから大丈夫」的な説明からは、そういう認識が欠けているように見える。

「プライバシーマークを取得する」という案があったようだが、そういう外部団体のお墨付きを得ることもひとつの方法だろう。また、十分に妥当なセキュリティポリシーを掲げ、それに則った運用を行っていることを態度で示すだけでも、私的には安心できる。ともかく現在のポリシーおよび運用状況は「安心できる」には物足りなく感じる。

プライバシーポリシーなど

これは別に現状のままでもかまわないし、よりユーザーが利用しやすい内容に変更するならばそれでもいい。集めた個人情報をどのような用途に利用するかは、（法律に反しない範囲で）はてな側が決めることだし、それを正しく表記してさえくれれば、ユーザー側がそれを読んで利用するかどうかを決めるだけだろう。

「住所登録」の代替案

もともとこの「住所登録」案が出てきた背景には、

「はてな関連サービスにおいて、（カジュアルな）違法行為が原因であるトラブルが増えている。それによるサポートコスト（お金＋労力＋法的リスク）の増大や、ネットコミュニティとしてのはてなの価値減少の可能性が、はてな社内での大きな問題となった。そこで、トラブルサポートコストの削減・ネットコミュニティとしての価値の維持もしくは増大のための対策を考え出す必要があった」

という事情があるのだと考えている。

だとすると、別にその対策は「住所登録」以外にもあり得る。実際はてな側も今回、「情報削除ガイドラインの見直しや、削除フローの見直し」という対策ですませられる可能性を示唆しているし、私も実効性や運営コスト的な問題が大きい「住所登録」という対策を選ぶ前に、上記のようなはてな内部のみで対応可能な対策を進めてみるべきだと考える。

ただ、今までのはてな社内での試行錯誤の過程で、すでに上記のような対策では十分ではないという結論が出たのだとしたら、「住所登録」のような、ユーザーにもある程度リスク/コストを受け持ってもらうような対策をとるという選択もやむを得ない。しかし、だからといって「住所登録」という結論に飛びつくのはまだ早い。「住所登録」よりもより良い選択肢が他にもないか検討してほしい。

たとえば私は、「本人確認性が高いメールアドレス登録を必須にすることによる、間接的な信頼性の担保」という手段がいいのではないかと考える。はてなが直接具体的な個人情報（住所）を管理するのではなく、すでにユーザーが個人情報を提供しているインターネットプロバイダ等の第三者機関を介して（ワンクッションおいて）ユーザーの個人情報にアクセスできる環境を整えるのだ。

はてなが今回「はてなが負わされる法的なリスクの可能性」を重視しているのだとしたら、法的な要請の元で十分な本人確認性を確保できれば、それで十分なのではないだろうか。プロバイダ等の第三者機関というワンクッションを置いたとしても、それを介すことで確実に本人確認が可能な体制を準備できるなら、法的な要請の元での本人確認性は十分にあることにならないだろうか（このあたりは法的な見地からの意見を聞いてみたいところ）。

またユーザーにとっては、いざというときにすでに個人情報を預けてあるプロバイダ経由で身元確認をとってもらう方が、新たにはてなに個人情報を登録するよりも安心だろう（情報漏洩する可能性がある口は少なければ少ないほどいい）。

一応、メールアドレス確認をベースにしたシステムの概要も挙げておく。

まず「許可メールアドレス（ドメイン）」「拒否メールアドレス（ドメイン）」のデータベースを作成する。国内大手プロバイダなど、個人情報をユーザーが預けていることが確実なメールアドレスについては、あらかじめ許可しておく。また主要なフリーメールアドレスなどの、本人確認が甘く、重複登録が簡単なものについてはあらかじめ拒否しておく。

続いて、許可でも拒否でもないグレーなメールアドレスについては、順次手動でのチェックをかけていき（たとえば、一般の企業アドレスや学校アドレスなどは、本人確認性が十分高いと考えられるだろう。また独自ドメインアドレスなども、その利用状況を簡単に確認することで、ある程度は本人確認性の高さを見積もることができるだろう）、その結果を許可・拒否データベースにも反映させていく。それにより、かなりのメールアドレスは自動的に許可・拒否の判断ができるようになるだろう。

手動チェックでも許可・拒否が定まらなかったグレーなアドレスを最終的にどう判断するかについては、単にポリシーを決めればいい。メールアドレスのみでは判断がつかなかった場合のみ「住所による本人確認を併用する」のもいいだろう。あるいは単純に「このメールアドレスは登録できません。許可アドレスリストを参考に、登録可能なメールアドレスを用意してください」ですませてしまってもいい。

そして、グレーおよび拒否メールアドレスに該当するユーザーに対して、メールアドレス登録の変更を呼びかける。住所登録の変更と同様に、準備期間を設けて期限までの変更を促す方法でいいだろう。メールアドレス確認の仕組みについてはすでにはてなも持っているし、システム構築にかかるコストもグレーなアドレスの手動判別にかける工数で調整すれば、それほど莫大なものにはならないはずだ。