米国裁判所が「クリックラップ」契約の有効性を疑問視 17
ストーリー by Oliver
ライセンスはちゃんと読もうよ 部門より
ライセンスはちゃんと読もうよ 部門より
slashcow曰く、"japan.internet.comによると、Netscape Communications が、同社の無料ソフトウェア『SmartDownload』を使ったらクッキーによって個人情報が盗み見されたとして訴えられていた訴訟で、第2巡回控訴裁判所は原告側の訴えを認める判決を下した。 とのこと
この判決によってクッキーの使い方に影響が出てくるのではないかと思われる。クッキーを使わないでやるのか、それかクッキーを使う際にはその都度細かく載せるのかということを考えていかなければならなくなってくるであろう。また、ブラウザも初期設定ではクッキーを使う設定になっているが、それも変更する必要がでてきそうである。と、多方面に影響が出てきそうな判決です。/.読者にとっても仕事に影響が出てくるのではと思います。"
この件、もともとはダウンロードマネージャがダウンロードしたファイルについての情報とユーザ固有のIDをクッキーを使ってNetscapeに送っていた露骨なプライバシー侵害の問題だった。が、Netscapeがクリックで同意するライセンスにそのことを書いていたと主張した為、俗に言うクリックラップ契約の有効性に関する裁判となっていた。で、裁判所は問題の項目がわざわざスクロールしないと見えない場所にあって、そのページから実際のダウンロードページに至るリンクが「同意する」等ではなく、単に「ダウンロード」で、さらにスクロールしなくても辿れたので、画面外の項目は無効だったと判断した。クリックラップなライセンスをそのまま無効化する判決ではないが、現行のクリックしたらどこかに行ってしまうインストール時のライセンスプロセスを考え直す必要はありそうだ。
ライセンスの問題か? (スコア:3, すばらしい洞察)
個人情報を「うっかり」コードの設計ミスで漏洩しても責任はとりません、っていう契約は、そもそも消費者契約法に反しているでしょう。だから、ライセンスにいくら免責事項が書いてあっても、問題にならないと思うんですけど。ライセンスが見えた・見えなかった、っていうハナシの進み方には、何か違和感を覚えます。
日本の法律での考え方ですが、ご参考までに [netlaw.co.jp]。
ライセンスの(契約的な)有効性がどうのってのは、安全に送信した個人情報の扱いに関して問題になるだけですよね。
ライセンスの文章 (スコア:2, すばらしい洞察)
どのライセンスもそうなんですけど
もっと 簡潔に書いてくれないと読みたくないです
ユーザーにとって都合のいいことと悪いことを
無駄なくきれいに見やすく並べて欲しい
とりあえずはユーザーが目を通しやすい文章を用意するべきかと
読んでもらえないよりは マシでしょ?
Re:ライセンスの文章 (スコア:1)
>読んでもらえないよりはマシでしょ?
一般に、こういう(?)場合に読みやすい文章を別途用意しない理由は、
「誤解」を恐れてのことだと思います。
神ならぬ人間が、こういう言い換えの作業をすると、どっかこっか情報が過剰/不足してしまいがち。
いわゆる伝言ゲーム状態(ちょっと違うが:既に言い換え問題を起してる俺(笑))です。
本来の100%の意図とは、微妙に違うものをユーザーに「理解」させてしまう。つまり結果的に誤解させてしまう。
法廷にまで出ないとならなくなったときに色々言い合うための論拠として、
そんなアヤフヤなものを使っていたのでは、身が持たない。
そのデメリットは、なんとなくフィーリングで(笑)判ってもらうことのメリットよりも、大きいってことでしょうね。
#もちろんそれ以外の何かを恐れている場合も有るでしょうけど ;-P
このへんの事情は、(誰がどんな(デ)メリットを被るかが違うものの)GPLだってそうでしょうし、
(法律や利害とはまた違う問題ではあるけど)契約関係以外の例えば数学や科学の世界のコトバでも事情は同じでしょう。
要するに、厳密性が必要とされる言葉を、実用的な速度で(この世に契約書が一体幾つあるやら…)、
平易に言い換える術を、我々は持っていない。
Re:ライセンスの文章 (スコア:0)
「この日本語版の契約書は参考として供されるもので
正式な契約書は英語の方とします」と書いてあったりする。
これはどうも腑に落ちない・・・
英語版と日本語版に差異があったら英語版が優先ってことでしょ。
Re:ライセンスの文章 (スコア:0)
これは同意するけれど、IT業界だけではなく、法律関係全般への要望ではないかと思う。 ライセンスは一般ユーザに理解してもらうのではなく、裁判関係のために表示されてるのが実際。
セッション (スコア:1)
なると、CGI同士の連携はどうやってやれって言うのでしょう?
HTMLの中にHIDDENでデータを書けという話になるのかな…。
HTTPセッションのほとんどは、cookieにキーを書き込んで、
その値をやり取りすることにより、サーバ側に保存している情報を
読み込み、サーバに情報を書き込むって形で行われていると
思うんですが…。むむぅ。
イロイロとやりにくくなりそうな判決っぽいですね
Re:セッション (スコア:2, すばらしい洞察)
いえ、判り易く明示し、ユーザー側がそれに積極的に同意すれば問題なく使えると思いますよ。
てゆーか、この事例に従えば、「明示→同意」プロセスさえ守ればもっとイロイロなことができそうですね。
具体的にどうイロイロなのかは、無学故思いつけませんが。
Re:セッション (スコア:2, すばらしい洞察)
何でかというと、「このページはクッキーを使用しています」と言う割には、"何の値を"使ってるのかサッパリなので。
プライバシーポリシーか何かで、一気に必要な値を列挙してあって、おまけに特に重要な値, ページ移動の際必須の値の時は、従来どおり注意書きと、プライバシーポリシーのページへのリンクがあったりすると嬉しいです。
めんどくさいとは思いますが、反面、しっかりやっていれば、どうでも良い問題になるかと。
Re:セッション (スコア:1)
大拍手!!!
言われてみれば、問題の「本質」は正にそこですね。
>プライバシーポリシーか何かで、一気に必要な値を列挙してあって、
どんな情報をやりとりするときには、どんなCookie名を使うべし、というルールというかスキーマが、
作られることが今後求められるのかも。
#Cookieの仕組みを忘れたのでアンチョコ [ingrid.org]。
そうすりゃ、Cookie名ごとにFilteringするとかが可能になるのでしょうから。
#Filterすることの是非はさておくとして。
Re:セッション (スコア:2, すばらしい洞察)
今回の件は、SmartDownloadという、Netscapeブラウザに付属してローカルコンピュータにインストールされるようになっていたソフトウェアが、Netscape以外のサイトに置かれているものも含めて、「.exe」や「.zip」などのファイルをNetscapeでダウンロードする際に、何をダウンロードしているかの情報をNetscapeサイトに送信していたことが問題とされたもの(当時の記事1 [zdnet.co.jp]、当時の記事2 [mycom.co.jp] 参照)で、cookieによってそれが可能になったわけではありません(cookieは、IDの記憶によって、それらのアクセスが誰のものであるかを突き合わせることを可能にしただけ)。そのような情報の収集が可能になったのは、ローカルコンピュータにソフトウェアをインストールしたためであって、これはスパイウェアに分類されるべき問題でしょう。通常のWebサイト(単体)では、どんなふうにcookieを使っても、そのような情報は得られません。ただし、バナー広告のように、多数のWebサイトに横断的に仕掛けられたcookieの場合には、類似の状況が発生する場合があり、これは、DoubleClick社に対する集団訴訟 [zdnet.co.jp] で問題とされました。
IE 6では、出荷時設定で、サードパーティのcookie(HTMLページに埋め込まれた他のサイトにある画像などが発行してくるcookie)が拒否される設定となっており(P3Pポリシーの提示のない場合)、横断的なcookieの問題が回避される方向に動いています。
このあたりを正しく理解せずに「cookieすなわちプライバシー侵害」といった理解が進むと、通常の単体Webサイトでのセッション管理にもcookieを使えなくなり、かえってセッションハイジャックされやすくしてしまうことがある [etl.go.jp] ので、そうならないよう、技術者が事実の説明をしていくことが重要でしょう。
開発者側の問題 (スコア:1, すばらしい洞察)
Re:開発者側の問題 (スコア:0)
こういうのもOK? (スコア:1)
"わざわざフィルタで出力しなければいけない場所にあって...うんぬん...さらにフィルタで出力しなくても辿れたので、LICENCEの項目は無効だったと判断した。"
とか言われたら、とんでもない事態である。
第一、HTMLなどで記述されたライセンスなどは使用するコンピューター/モニター/OS/ブラウザ/設定/各種リソースなどいろいろなことが起因して表示の仕方が左右されます。
ブラウザで「ライセンス」などという文字列は自動的に隠されるとかいう設定になっていたらどうするのでしょう。
// Give me chocolates!
GPLの場合 (スコア:0)
Re:GPLの場合 (スコア:1)
同じ問題をGPLも抱えている、というだけのことでは?
#もちろん全く同じではないが、今回の話題の面においては同じ…だよね?
Re:GPLの場合 (スコア:0)
Re:こういうのもOK? (スコア:0)
Machine Readableな形式としてBinaryと同等の扱いをする判断が出てもおかしくはないヨネ?人間が読むものではないと。