Smoozにおけるユーザー情報の取り扱いについて

Pocket

Smoozを運営するアスツール株式会社の代表の加藤です。

当社のSmooz(スムーズ)ブラウザにおけるユーザー情報の取り扱いについてご指摘いただきました。Smoozを利用するユーザーの皆様にはご心配・ご迷惑をおかけして誠に申し訳ありません。

以下で、弊社アプリの挙動についての概要とその詳細について、私の方からご説明させていただきます。

【概要】

(1)Smoozは、おすすめ記事をパーソナライズしブラウジング体験を快適なものとするために、行動履歴や検索履歴のデータを収集しております。ご利用者様のプライバシーを侵害するデータの収集を目的とするアプリではございません。

(2)プライベートモード利用時または「サービス利用データの提供」をオフにした時には、サーバーへの全てのデータ送信を停止する設計にしておりましたが、弊社側で調査をしたところ、実際には一部の情報送信が止まっていないことが分かりました。

(3) 次のアプリ更新で、確実に全てのデータの送信が止まるように早急に改修をいたします。

【12月20日 追記】上記に加え、ウェブサイト上のフォーム入力をサポートするために、フォーム下にサジェスチョンを表示する機能に脆弱性があることが分かりました。対策として本日リリースしたiOS版Ver.1.110.0にて本機能を削除しました。(問題のご報告を頂いた mala様 ありがとうございました。)

具体的なアクション内容につきましては以下のとおりでございます。

【具体的なアクション】

①サービス利用データの提供をオフ時またはプライベートモード時でも広告表示のためのAPIコールが止まっていないことが分かりました。至急停止します。(明日12月18日までに更新版のアプリを審査に提出します) → 12月20日に修正版をリリースしました

・ネットワーク広告SDKの動作を停止できておりませんでした。広告SDK自体の利用を停止することで改善いたします。

・検索連動広告の表示のためのAPIが呼ばれてしまっていたので、これも停止します。

・これらは仕様上はオフにするべきものでしたが、チェックの漏れによって発生してしまっておりました。今後オプトアウト時・プライベートモード利用時の送信データを、通信監視アプリ等を利用してチェックをするテストケースを追加するなどして、再発防止を図ります。

②アカウント削除機能をアプリ上に実装します(明日12月18日までに更新版のアプリを審査に提出します)→ 12月20日に修正版をリリースしました

・これまではアプリ内のチャットサポート機能(設定>質問・要望を送る)から、ユーザーデータの削除依頼を受け、弊社で手作業でデータの削除を行っておりました。今後はご利用者様自身が削除をいつでもできるようにアプリ内にユーザーデータの削除機能を実装します。これによって、アプリ内だけなくサーバー上のユーザーデータも含めて削除されます。

③プライバシーポリシーや初回起動時の許諾画面をより分かりやすく改善します。

現在のプライバシーポリシーの内容をより分かりやすくご利用者様に伝え、誰もが内容を理解してアプリを使って頂けるように、ポリシーの内容自体、許諾のとり方を含めて改善を検討いたします。こちらは弁護士からの助言も得ながら進めて参ります。

【その他の改善項目】

ユーザー体験の向上や複数プラットフォームにまたがる処理の効率化のため、サーバー側で処理している部分があります。ユーザー体験を損ねることなくアプリ側で処理が可能なものについては、極力アプリ側で処理をするようにいたします。

①検索時にポイントを付与するための検索単語チェックをサーバー側ではなくアプリ側で行うように改善します(年内対応を目標)

・検索時にはGoogleのProgrammable Searchというシステムにより収益化をしております。自社サーバーに検索単語を送信していたのは、有効ではない検索単語かどうかをチェックする処理をサーバー側で実行していたからです。

・この処理はアプリ側でも実装可能ですので、アプリ側で行うように仕様変更します。

・なお、弊社は個人のデータと紐付けることなくProgrammable Searchで収益化をしております。

②favicon(ウェブサイトのロゴ画像)を自社サーバー経由ではなく、アプリ側の処理で取得できるように改善します。(明日12月18日までに更新版のアプリを審査に提出します)→ 12月20日に修正版をリリースしました

・複数プラットフォームでそれぞれfaviconを取得する処理を開発するよりも、サーバー側で一括して処理を行ったほうが効率的であると判断し、サーバー側で処理を行っておりました。また、送られたURLはfavicon取得のためのみで使用し、サーバーのデータベース等には残しておりません。

・こちらもサーバーを介したデータ取得ではなく、アプリ側の処理で取得できるように変更いたします。

【その他の指摘事項に関する説明】

■VPN接続時の取得データについて

初回接続時には、下記の様な形で取得するデータを明記しております。これらはVPN接続が失敗した場合のトラブルシューティングや、サービス品質改善のために取得しているデータであり、閲覧履歴・検索履歴を含めた他のデータは一切取得しておりません。

■「はてなブックマーク」のAPI利用について

フィードタブにおいて「人気記事」の表示のため、はてなブックマークAPIを利用しております。チームメンバーの多くがはてなブックマークの愛用者で、Smoozのユーザーさんにも読んでいただきたいという思いで設置しました。当初このセクションのタイトルを「はてなブックマークの人気記事」といったタイトルにしておりましたが、分かりにくい、というフィードバックをもらい、より一般的なセクション名に変更しました。はてな社のAPI規約をチェックし、問題ない利用方法だと理解しておりますが、理解違いがありましたらご指摘ください。

【2020年12月19日 追記】「はてなAPI利用規約では、禁止事項として第4条1.14「宣伝や商用を目的とした内容」を禁止している、とのご指摘をいただきました。お詫びの上、訂正いたします。Smoozの「人気の記事」機能についても次回のアプリ更新で削除いたします。( 12月20日に修正版をリリースしました)

【最後に】

情報の取り扱いについては、利用許諾やプライバシーポリシーにおいて明確に定義をし、サービス開発においてもそれに沿った実装をするべく最善を尽くしてまいりました。しかし、今回のご指摘により、情報の取り扱いについて改善すべき点が複数見つかりました。見つかった問題について真摯に反省をし、しっかりとサービスを改善していくことで、信頼を取り戻せるようにしてまいります。

アスツール株式会社 

代表取締役 加藤雄一 

Smoozにおけるユーザー情報の取り扱いについて