novtanの日常

ネタです。ネタなんです。マジレスする人は撲滅すべき敵です。だからネタだってば!

IDお預けとウケトルの問題点について

そもそもマネーフォワードとはなんだったのか、からだと思うんですが、ウェブサービスというのがまだ一対一のBtoCだった頃に流行っていたのはアカウントアグリゲーション「ツール」でしたよね。資産管理の枠でいうと、MSが出していて証券会社や銀行がカスタマイズして提供してたりもした、MoneyLookがそれなりにシェアを持っていたと思います。これはあくまで「ローカルで動いてローカルにデータを保持する」普通のアプリで、ローカルのアプリに保存した各サイトのID/PASSでスクレイピングを仕掛けるものでした。当然ですが、ターゲットのサイトのデザインが変わるたびにアプリのバージョンアップが必要なのがめんどい。

マネーフォワードが最初に登場したときに言われたのが「え?ID/PASSを預けるの?それダメくね?」でしたよね。ぽっと出のベンチャー企業に銀行使うためのIDなんて預けられるかよばーかばーかと思っていた人が多いんじゃないでしょうか。とはいえ利便性とリスクは表裏一体ですから、リスクと利便性を天秤にかけ…るどころかリスクの存在を無視して使っている人は結構いたんじゃないかと思います。なにぶん、スマホの時代になって、ID/PASSの重要さというのが相対的に薄くなっているなかで、飛び抜けて重要な金融機関のID/PASSだからといって特別視しない人が増えたとも言えます。良くない傾向ですね(そもそも金融機関の認証が旧態然としているのが良くないわけですが)。

マネーフォワード自体は世間の評価はさておき、(少なくとも志向において)不真面目な会社ではなくて、懸命のロビー活動によって銀行のオープンAPI提供を決定づけたという功績については素直に讃えたいと思っているんですよね。こういう人たちがいないと腰の重い日本のお役所は動きません。結果として、「ID/PASSを私企業に預ける」などということなく、金融機関のデータをクラウドサービスが集積できるようになった、というのは良いことだったと思います。

API連携の話ですが、オープンAPIと言っても、どこの馬の骨にも自由に使わせる、というわけには行きません。そもそもスクレイピングに関してはどうかというと、アクセスを受けるシステム側からすると、「本来月一回ログインしてくるかどうかだった顧客のアカウントがPFMから定期的にアクセスされる」という状態になりますから、下手すりゃ威力業務妨害に近いわけです。特に地銀以下の銀行なんて「アクセス数による従量課金なベンダーのASPインバンシステム」を使っていることが多いので迷惑千万なわけですね。PFM側のアクセスはおよそ一定のIPアドレスから来ることになるので、場合によってはそのアドレスをシャットアウトすることだって検討しちゃいますよね。ということは、勝手にやってまーす、じゃなくて、やっぱり銀行との間でなんらかの契約なり、協定を結んでいることになると思います。で、API連携になるとそこがもっとフォーマルになりまして、Clientとしての登録のため、正式に契約を結ぶことになりますし、場合によっては使用料の支払いも発生することになります。で、ID/PASSを預けなくてもよいわけです。正しい方向に向かっていると思いますね。

さて。

問題の大本はまとめてくれている人がいるのでリンク。

www.siskw.com

まず「個人情報を保有していない」かどうかの点についてが最大の問題かと思いますが、そもそも「Amazonや楽天で購入した商品をウケトルが勝手に自動追跡をしてくれます」というのが売りというところがポイントですね。
最初に説明したとおり、「ユーザーに代わってウェブサービスの内容を取得」するサービスの実現手段は2通りあり、ローカルアプリとウェブサービスなわけです。スマホであろうとも、ローカルアプリでスクレイピング実装することは当然可能なので、アプリの中だけにデータを持つ(=情報をサービス事業者に預けない)ということは不可能ではないですね。ただし、ローカルアプリの場合、「アプリが立ち上がってないと動かない」という当たり前の問題があります。ウェブサービスであればユーザーの動きとは関係なくサーバー側で情報収集して、通知(はアプリが立ち上がってなくてもできる)することが可能です。となると、まずもってこのサービスはID/PASSをサーバーが預かってスクレイピングしている、ということになりますよね。ということはですよ?ID/PASSという個人情報の入り口を保有しているわけで、個人情報持ってないとかどの口が言っているんだ(ID/PASS流出したら結果として少なくとも流出先サイトに登録している情報ダダ漏れじゃねーか)という話になりますよね。リンク先では契約の有無の問題が焦点としているけど、そうじゃないです。ただ、個人情報を持っているだ持っていないだの話は実際にはエンドユーザーとサービス事業者の間の問題であり、ことさらヤマト等が言うことではないわけです。だって別にID/PASSが流出したら何でもありなわけじゃないですか。むしろ想定外のシステム利用に対する脆弱性アピールか?とか思っちゃう人いますよね?ID/PASS忘れがコールセンターで口頭で対応みたいになっているらしいし、どっちかというとヤマトの脆弱性のほうが怖いわ。

とはいえですよ、実際にウケトルのアプリを使うと「自動連携」しているのはECサイトのみみたいなんですよね。インストールしてもヘルプが充実していないのでよくわかんないんだけど、少なくとも配送会社のサイトで言うとWebViewでアプリ内表示しているだけで、加工してない(ので別に便利じゃないんだけど…)。だとすると、その点についてはウケトルの言い分が正しいし、WebViewで見せているだけなら「不正なIDの使用」ですらない。仮にIDをアプリが保存しているとしてもそれにいちゃもんをつけるのは「メモ帳に書くな」みたいな話ですよ。

なので、実はこのアプリ自体は(少なくとも運送会社部分については機能が低すぎて)問題ないんじゃないかという疑惑すらあります。でもECサイトのアカウントは登録して自動で通知してくるだしいので、その点に関して言うと黒だけど。クロネコヤマトのクレームがお門違いだからといってアプリの問題ゼロというわけでもないと思いますが、今の所アマゾンや楽天がクレームつけているわけではないですからねえ。

個人的には利用規約第10条の(5)にあるこの文章だけで使う気はしませんが。

当社は、ユーザーID及びパスワードが他の第三者に使用されたことによって当該利用者が被る存在については、一切責任を負いません。また、当該ユーザーID及び対応するパスワードによりなされた本サービスの利用は、当該利用者によりなされたものとみなします。

ECサイトって金融機関と違ってログインパスワードと取引パスワードの区別ないから無理だわ。