アサルトリリィ Last Bullet(ラスバレ)の各種規約にはNew Relicの分析コードが挿入されることがある
前回の記事を書くために『アサルトリリィ Last Bullet』(ラスバレ)の各種規約などのAPIの検証を続けている中で、おかしな挙動を発見した。同じAPIに対して同じリクエストを行っているのに、数回に1回程度の割合でレスポンスの内容が変わるのだ。
これがその時の「資金決済法/特定商取引法に基づく表示」のHTMLソースである。
HTMLソースを比較してみると、ヘッダーに
<script type="text/javascript">
(window.NREUM || (NREUM = {})).loader_config = {
licenseKey: "82536f49ca",
applicationID: "1322554305"
};
window.NREUM || (NREUM = {}), __nr_require = function(t, e, n) {
...(以下略)から始まるJavaScriptコードが、そしてフッターに
<script type="text/javascript">
window.NREUM || (NREUM = {});
NREUM.info = {
"beacon": "bam.nr-data.net",
"licenseKey": "82536f49ca",
"applicationID": "1322554305",
"transactionName": "blFTMUJRCxZYAhdcC1cbchBDRAoIFhYGV0tVUVYEXHQKBkwMBlsQFlNUEWJZAg1NLwxBBU1dXgs=",
"queueTime": 0,
"applicationTime": 15,
"atts": "QhZQRwpLGBg=",
"errorBeacon": "bam.nr-data.net",
"agent": ""
}
</script>といったJavaScriptコードが追加されている。一部の特徴的な文字列を抜き出して検索してみると、ラスバレとはまったく関係のない他のWebアプリでも同様の事象が報告されていた。
どうやらこれはパフォーマンス分析プラットフォーム「New Relic」が自動挿入するBrowserモニタリングのパフォーマンス分析コードのようだ。
New Relic OneでのBrowserモニタリングにより、リアルユーザーモニタリング(RUM)を行います。RUMでは、さまざまなウェブブラウザやデバイス、オペレーティングシステム、ネットワークからサイトに移動する際の、エンドユーザーの速度とパフォーマンスを測定します。
実際にWindowsでラスバレのDMM GAMES版の通信をキャプチャしてみたところ、確かに”bam.nr-data.net”というNew Relicの所有するドメインへ少量のデータを送信していることが確認できた。
このキャプチャではページの表示速度に関するFirst Paint (FP)やFirst Contentful Paint (FCP)が報告されていると推測できる。当然、利用者の端末型番やOSバージョンを含むブラウザUserAgentやIPアドレスも併せて収集されることになる。New Relicの解説によれば、UserAgentやIPアドレスは訪問者の地理的分類に利用されるようだ。
しかし、ラスバレを運営するポケラボがどういったデータをNew Relicに転送するのかについて利用者に開示されている情報はない。ラスバレDMM GAMES版のプライバシーポリシーでは
本アプリには、本アプリに含まれる機能の提供や広告表示、利用状況解析等を目的として、第三者が提供する以下の情報収集モジュールが含まれます。これらの情報収集モジュールにより取得される情報又は取得された情報の利用目的等については、各情報収集モジュール提供会社が提供しているプライバシーポリシーをご確認ください。
・Google LLC.「Google Analytics」 https://policies.google.com/privacy?hl=jp
(本アプリのサービス向上・マーケティング調査の目的でアクセス解析を行うため)
と「Google Analytics」については説明されているものの、New RelicのBrowserモニタリングについては触れられておらず、意図的に記載していないのか、記載忘れなのか、あるいは分析コードが挿入されていることを認知していない可能性も考えられる。
Windows用のDMM GAMES版を例に挙げて説明したが、分析コードが偶に挿入されるにもかかわらずプライバシーポリシーに記載がないのはiOS/Android版でも同様である。
この件についてはポケラボ側に問い合わせ中のため、続報があれば追記する。
問い合わせと回答(9月13日追記)
9月7日午後に以下のような内容で問い合わせを行った。
アプリ内の「各種情報」にある各種規約や方針を表示すると、まれにBrowserモニタリングの分析コードが読み込まれ、New Relic社にデータが送信されていますが、これは意図した挙動ですか?
この点についてプライバシーポリシーに記載がないのはなぜですか?
New Relic社と共有する可能性のある情報の詳細をお知らせください。
9月10日午前にポケラボから以下のような回答が届いた。
いつも「アサルトリリィ Last Bullet」をご利用いただきありがとうございます。
ポケラボサポート事務局です。
このたびは、ご案内までにお時間を頂戴しており申し訳ございません。
ご連絡いただいた件になりますが、「プライバシーポリシー」ではプライバシーポリシーの「1.プライバシーポリシーについて」に記載しているとおり、「アサルトリリィ Last Bullet」における個人情報の取扱いを定めたものでございます。
New Relicについてはサーバーの負荷情報を取得しており、個人情報は取得していないため、プライバシーポリシーに記載は行っておりません。
また、FacebookについてはFacebook上のサインイン認証した結果(本人可否判定結果)のみ返却しており、個人情報は取得していないため、プライバシーポリシーに記載は行っておりません。
上記について、ご参考としていただけますと幸いです。
今後とも「アサルトリリィ Last Bullet」をよろしくお願いいたします。
Facebookについては別記事にまとめているが、いずれについても残念ながら問題を理解してもらうことができなかった。
New RelicのBrowserモニタリングは、その名の通りブラウザのパフォーマンス情報を収集するものであり、サーバの負荷情報を取得しているというのは明らかに虚偽の回答だ。サーバの負荷情報を取得するならvmstatコマンド等を使えばいいだけの話である。
現在のWEBページはAjaxをはじめとしたフロントエンド技術の発達により様々な処理の主体がサーバサイドからクライアントサイドに移っている。ブラウザ上のJavaScriptでエラーが発生してもサーバ側ではそれを知ることが出来ないため、Browserモニタリングのような分析ツールが重宝されるわけである。
また、個人情報は取得していないという言い訳も苦しいものがある。確かに日本の個人情報保護法の下ではIPアドレスやUserAgentに含まれる利用機種名/OS情報はそれ単体で明確に個人情報だと定義されているわけではない。しかし、個人情報に該当しないとも限らない(例えば利用機種名に免許証番号が含まれていたらどうする?)。ラスバレのプライバシーポリシーでは「2. 個人情報の取得、利用目的」の中で
取得する情報の一覧
当社は、本アプリの提供にあたり、お客様から以下の情報を取得する場合があります。
お客様から直接取得する情報
プレイヤー名 / プレイヤーID
生年月日
引継ぎ時に設定するID、パスワード
メールアドレス
本アプリの中で行われたコミュニケーション内容
お問い合わせの際にご提供いただいた情報
サービス利用時に自動的に取得する情報
支払情報
本アプリの利用状況
IPアドレス
利用機種名/OS情報
と「IPアドレス」「利用機種名/OS情報」に言及しており、ポケラボ側もこれらが個人情報に該当する可能性のあるものとして認識していることが伺える。
また、各プラットフォームのアプリストア規約においては、日本法で定める個人情報に限定せず、
ユーザーデータ(デバイス情報を含む、ユーザーについての情報やユーザーから収集する情報など)を扱う場合は、その処理方法を明らかにする必要があります。
と、デバイス情報も含めて処理方法を明らかにするよう求めていたり、
(ii)許可:ユーザーデータや使用状況に関するデータを収集するAppでは、収集するデータが収集の時点またはその直後の時点で匿名であると考えられる場合でも、そのデータ収集に関してユーザーから同意を得る必要があります。
と、データが匿名であったとしても利用者の同意を得ることを求めている。
ポケラボには速やかに正しい説明と是正を求めたい。