カカオトークが送信トーク本文中のURLを収集して検索結果に表示していた問題について

数日前より話題になっているニュースはこちらです。

• "카톡에 링크했을 뿐인데", 1시간만에 다음검색 노출 - 오마이뉴스（韓国語）

このニュースが指摘している問題は、カカオトークで送信したURL（非公開）が、なぜか、１時間後には韓国の検索サイトDaumの検索結果に掲載されてしまうという問題です。

ニュース本文中には、この問題が発見されるまでの経緯や、ニュースサイトが実施してみた実験の内容とその結果などが記載されています。

転用されたのはトーク本文中の「URL」、という「一部」ではありますが、トーク本文の流出であることに違いはなく、大きな問題です。

※エンドツーエンド暗号化される「シークレットトーク」機能を利用していた場合は、さすがに大丈夫だったようです

カカオ運営が検索結果への転用の事実を認める

そしてこの指摘に対してカカオトークは即日「検索結果への転用」の事実を認めています。

• 카카오톡 웹문서 수집 인정 "다음 검색 연동 중단" - 오마이뉴스（韓国語）

검색이 허용된 공개 URL이 카톡으로 전달되는 경우 다음검색 결과에 반영되도록 지난 1월부터 적용하였습니다. 공개 URL이지만 걱정을 하시는 분들이 있다는 의견이 있었고 이를 존중하여 검색 연동을 중지하였습니다. 걱정끼쳐드려 죄송합니다.

— 카카오팀 (@kakaoteam) 2016年5月27日

１月から検索連動の機能を導入しており、心配の声があったので停止しました、ということが書かれています。

※この文中には、「検索が許可された公開URLを検索結果に表示するようにしていた」のような、あまり詳しくない人には分かりづらい表現があるのですが、おそらくこの「検索が許可された」というのは、robots.txtで検索避けをしていない、という部分を強調しようとした言葉なのでしょうが、これに対しては、「何が公開URLだ、プライベートなトーク内のURLなんだぞ」という怒りの声が上がっているようです。

日本国内アカウントからはアナウンスなし

また、※日本のカカオトーク公式Twitterアカウントから、この件についてのツイートは今のところ、一切ありません。日本国内では話題になっておらず、ほとんど心配はかけていないでしょ、なんてわけじゃないと信じますが。

補足：カカオとDaum

カカオトークって検索サービス有るの？と思ったかもしれませんが、カカオは、2014年10月に、韓国第2位のポータルサイトダウム（Daum）と合併し、「ダウムカカオ」という会社になっています。つまり、自社で検索サービスを持っているわけです（参考：ダウム - Wikipedia）。

ニュース元である「Oh My News」も、非公開URLの送信１時間後に検索結果に掲載されてしまうことを、Daumを使用して実験しています。

今、実際にDaumのフッターを見てみたところ、「(c) Kakao Corp.」の表記になっていました。

以前、LINEでも、トークで送信した非公開のURLに対して、LINEのサーバーからアクセスが来る件について、記事にしています。

• 「LINEのトークが盗聴されているって本当？」の解説からLINEのセキュリティ機能の抜けの検証について

これは、サムネイルや要約文を表示するためのアクセスである、という目的であり、目的については黒ではありませんが、UserAgentでfacebook社からのアクセスと偽装しており、LINEからのアクセスであることを通知していないことが問題でした。

そして今回話題のカカオトークですが、カカオトークも、サムネイルや要約をトーク画面に表示するための同様のアクセスを以前から行っていました。そして、その目的が１月から検索結果への表示へ拡大されていた、ということになります。もしLINEがNAVERの検索結果に転用すれば、同じ構図になる、というわけです。

秘密のURL（シェア用リンク）を生成して、そのURLを知っている人にだけシェアする、という仕組みのウェブサービスは現在その簡単さから、かなり増えています（Google Docs、Dropboxなど）。

もちろん、その非公開URLを知られたら危ない、ということは認識しているはずですが、さすがにそんなわけないだろ、と思っていたようなところからの「流出」が発生するんだ、という危険の分かる一件でした。

真に大事なものに対しては、最低限パスワードやアカウントログイン等による認証が必要です。気をつけてください。

※今回のケースでは、ちゃんとしたサービスであれば、検索結果に載らないような対策（robot.txt）が実施されていてセーフ、だったかもしれませんが、未確認です。また、どちらにしても本来非公開であるはずのトーク本文の情報が転用/流出していたことに変わりはありません。

既に検索結果へ露出してしまったURLが消えるのか定かではないため、「あ、自分も･･･」と心当たりのある方は、シェア用非公開URLを無効化するなど、今からでも可能な対策はした方が良いかも知れません。

利用規約とプライバシーポリシー（日本版）に目を通してみました。気になった部分を少し紹介します。

利用規約

利用規約で気になるのはここ。

ユーザーが投稿する投稿コンテンツの中で、カカとも（Plusカカともを除く）以外の一般にも公開されたものに限り、その投稿コンテンツの全部または一部を開示したり、公衆に披露・配布・保存・放送・伝播・再生・修正変更・利用・再利用できる利用権を有することになります。 （引用元）

それとここも。

また、ユーザーが当サービスを利用して送信するメッセージは、カカオのプライバシーポリシー の適用の対象になります。 （引用元）

プライバシーポリシー

プライバシーポリシー最大の見所は、最後のこの部分です。

韓国での処理

利用者の個人情報および通信内容は、利用者の居住地域、国の外部にあるサーバーやデータベースに送受信、および保存されます。韓国領土外に居住する利用者は、全ての情報が韓国内で処理され保存されます。韓国のプライバシー保護に関する法律は、利用者の国に比べて多少保護的でない可能性があります。カカオトークの利用によって、利用者が個人情報と通信内容に対する収集、利用、譲渡、または公開に対して、韓国の法律が適用される事実に同意したものと見なされます。 （引用元）

韓国の法律と日本の法律の比較で、この分野で良く言われるのは「通信の秘密」のことだったりしますが、そのあたりを強調しているんでしょうか。とりあえず、この項目の存在そのものにインパクトがあります。

普通にトークの情報（メッセージデータ）の利用目的は、次のように書かれています。

情報の利用および共有方法

基本的に、KAKAOはサービス提供のため、新商品やサービスのお知らせのため、または利用者とのコミュニケーションに利用する等の内部目的でのみ、個人情報やメッセージデータを利用します。個人情報やメッセージデータを、本プライバシーポリシーで記述されている用途以外に、利用者の許可なく第三者に提供することはありません。 （引用元）

「基本的に（例外ある前提？）」とか「サービス提供（どこまで？）」とか、「内部目的でのみ（なにそれ専門用語？）」などなど。

メッセージデータの利用目的に、今回の検索サービスへの利用が含まれていたとすれば、少し事情が変わってくるというか、利用規約が気になる案件になってくるので、このあたりの細かい所が気になります。