「中高生以外は登録禁止」なSNS、「ゴルスタ」の運営対応がTwitterで炎上中(追記あり)個人情報だだ漏れ?

» 2016年08月26日 13時41分 公開
[波戸みつるITmedia]

 8月24日の19時頃から、あるSNS運営のTwitterへの投稿内容が話題になっている。

スクリーンショット スクリーンショット
スクリーンショット スクリーンショット

 「ゴルスタ」は、スプリックスという教育企業が運営する教育SNSアプリ。「中高生限定アプリ」としており、Google Playのアプリ説明欄には「未成年への犯罪防止/青少年保護の観点から中高生以外を発見した場合は警察への通報します」「違反した場合は、強制退会処分となり、二度とゴルスタをご利用いただけません。」(原文ママ)というような説明書きがある。

アプリ説明画面アプリ説明画面アプリ説明画面 「未成年への犯罪防止/青少年保護の観点から中高生以外を発見した場合は警察への通報します」「違反した場合は、強制退会処分となり、二度とゴルスタをご利用いただけません。」

 上記ツイートの他にも、現在は削除されたのか確認できないものの、「ゴルスタの元ユーザーの『○○在住の●●(本名)』が業務妨害の電話を〜」といった、個人情報を含んだツイートをしたことを、複数のユーザーがスクリーンショットで証拠を押さえている。

 また、退会処分となったユーザーには反省文を提出させることで、内容によってはアカウントの凍結を解除するといった処置を取っている。

スクリーンショット スクリーンショット

 このSNS内の言論統制ともいえる運営ツイートや、その他一連のツイートを見たTwitterユーザーから批判が噴出していた。24日夜はTwitterトレンド、Yahooリアルタイム検索ともに「ゴルスタ」が1位となっていたほどだ。

「ゴルスタ」の検索結果-Yahoo!リアルタイム検索 「ゴルスタ」の検索結果-Yahoo!リアルタイム検索

 どうしてSNSの運営元が元ユーザーの本名など個人情報を知っていたのかは明らかではないが、アプリインストール時の権限要求や公式サイトのプライバシーポリシーを見ると、その理由が垣間見える。

インストール時に要求される権限一覧インストール時に要求される権限一覧インストール時に要求される権限一覧 インストール時に要求される権限一覧。個人情報がまるまる引っこ抜かれうる内容だ
プライバシーポリシー プライバシーポリシーには、「利用者からご提供いただく情報」として「クレジットカード情報」などがある

 インストール時の権限要求を見ると、「端末のアクティビティや実行中のアプリ、ブラウザの履歴ブックマーク連絡先、位置情報、Wi-Fi接続情報、電話番号端末ID」などの情報をゴルスタが閲覧可能になってしまうことが分かる。「青少年保護」をゴルスタは理由にしているようだが、そのためにこれだけの情報が必要だろうか。

 また、プライバシーポリシーには(保護者名義の)クレジットカード情報を求める文面も載っている(追記:17時30分、クレジットカードの項目が消えたことを確認した。後述)。上記権限と合わせて、これだけの個人情報を「青少年保護」の名目の元に一企業が収集していることには疑問を感じずにはいられない。

 試しに自分も実験用アカウントと端末、電話番号(ログインにSMS認証が必要)を用いてインストールし、ログインしようとしてみたが、13時現在サーバが落ちているのか、ログインすることができなかった。ログインできなかったのでおそらく警察には通報されないものと思われる。しかしながら、文面通りに受け取れば保護者が「どのようなSNSなのか」と確認するのも禁止されるように思える。閉鎖的な環境下で青少年の個人情報を掌握し、批判的なツイートをしたら退会処分、反省文を提出させることで復活が可能、というSNS運営に、果たして保護者は納得いくのだろうか。

 情報を付け加えると、運営元のスプリックスは個人指導塾の「森塾」や塾講師アルバイトの求人サイト「塾講師JAPAN」などの事業を手掛けている。スプリックスのサーバも現在ダウンしているようだ。

キャッシュからスクリーンショット キャッシュからスクリーンショット

26日16時30分追記

 16時30分現在、スプリックスのサイトは「ただいまアクセスが集中しているため、サイトが繋がりづらい状態になっています。 ご迷惑をおかけして申し訳ありません。」との文言を表示するhtmlに置き換えられている。

「ただいまアクセスが集中しているため、サイトが繋がりづらい状態になっています。」というhtmlファイルにはつながっている 「ただいまアクセスが集中しているため、サイトが繋がりづらい状態になっています。」というhtmlファイルにはつながっている

 500や503などサーバーエラー時のステータスコードを返しているわけではなく、単純に表示ファイルを置き換えているだけだ。いつ、元のサイトのファイル群をサーバに戻すのかという点についても注目が集まるところだ。

訂正

 初出時、「500や503などサーバーエラー時のステータスコードを返しているわけではなく」としていましたが、30日に改めてChromeのコンソールを確認したところ「503 Service Unavailable」を表示していました。お詫びして訂正いたします。

Chromeのコンソール上では503を返していた Chromeのコンソール上では503を返していた

26日17時30分追記

 複数のユーザーから、「プライバシーポリシーが改定された」との声を受け確認したところ、「利用者からご提供いただく情報」内の「クレジットカード情報」の項目が削除されていることを確認した。

「クレジットカード情報」の項目が削除されている 「クレジットカード情報」の項目が削除されている

 プライバシーポリシー末尾には、「2016年8月26日改定」と本日改定した旨が書かれている。

27日16時追記

 記事内で引用していたゴルスタ運営のツイートが削除されたことを確認した。当記事上では当初からスクリーンショットを併記していたが、該当ツイートが消えたためスクリーンショットのみの表示となっている。

Copyright © ITmedia, Inc. All Rights Reserved.

最新トピックスPR

過去記事カレンダー

2024年