GitHub の新しいプライバシーポリシー:Tracking Cookie への反発で大騒動

GitHub’s new privacy policy sparks backlash over tracking cookies

2022/08/11 BleepingComputer — GitHub のプライバシー・ポリシーが変更され、GitHub によるサブドメインへのトラッキング・クッキーの設置が可能になることに、開発者たちが激怒している。今月に、Microsoft の子会社である GitHub は、9月から一部のマーケティング用 Web ページに Non-essential クッキーを追加し、さらに、ユーザーに対して 30日間のコメント期間を提供すると発表した。

ユーザーが GitHub に対する change.org の請願書を起草


GitHub マーケティング・ページに Non-essential クッキー追加へ

現在の GitHub のプライバシーポリシー (2022年5月31日付) では、ソフトウェア開発プラットフォームが、ユーザーの Web ブラウザに設置するのは、必須のクッキーのみとなっている。このため、ユーザーが設定した場合のプライバシー設定 Do Not Track (DNT) に関する、W3C の標準を遵守しているという。

しかし、2022年9月1日より、GitHub は resources.github.com などのマーケティング用サブドメインに、Non-essential クッキーを設置するようになるとのことだ。

GitHub の Senior Privacy Counsel である Olivia Holder は、「GitHub は、企業に向けた当社の製品ページに、Non-essential クッキーを導入する。これらのクッキーは、サイト体験を向上させ、企業ユーザー向けにコンテンツや広告をパーソナライズするための解析機能を提供する」と説明している。

ただし、Holder は、これらの変更がなされるのはマーケティング用の Web ページと一部のサブドメインだけで、Github.com はそのまま運営を続けると強調している。

GitHub proposed privacy policy changes coming in September 2022
2022年9月以降の GitHub のプライバシーポリシー変更案 (GitHub)

このポリシーでの Non-essential クッキーは、トラッキング・クッキーとしてよく知られている、複数の Web サイト/Web サービスで共有されているクッキーの種類を指す。

サイバーセキュリティ企業である F-Secure は、「これらのクッキーは、広告の配信/マーケティング/カスタマイズ/分析機能を提供する目的で、サードパーティにより使用されることがある。しかし、このようなクッキーを使用すると、複数のサイトにわたるユーザーの閲覧履歴/行動を容易に把握することができ、悪意のある行為者が、その行動を追跡できる可能性がある」と説明している。

この新しいポリシーと、30日間のコメント期間が人々の注目を集めている一方で、GitHub のセキュリティ・エンジニアである Lucas Garron は、GitHub が 2020年のブログ投稿で、我々の製品を使う開発者のプライバシーを尊重するという約束から、必須ではないクッキーをすべて削除したことを指摘している。

皮肉なことに、トラッキング・クッキーの導入を説明する今月の発表では、ほぼ同内容の文言が残されている。


新しいポリシーについて、Microsoft を非難するユーザーたち

GitHub の新しいポリシーに対し、ユーザーはこの決定を激しく批判している。中には、 GitHub から GitLab への移行を検討している人もいるほどだ。

ペンテスターでセキュリティ・エンジニアの Jonathan Gregson は、「” Enterprise ユーザー向けの広告” というのが、よくわからない」とコメントしている。

さらに、ユーザーの Willhelm Sokolov は、「あの PR が入るなら、私は抜ける。自分が単なる製品で、企業が人々のことを気にかけないような、デジタル・ディストピアの一部になるつもりはない」と述べている。

GitHub の親会社である Microsoft が、このようなプラットフォームを蝕むような有害な変更をもたらしたと非難する声もある。

しかし、ある開発者は少し違った見方をしている

Rust と Android の開発者である Evelyn Marie は、「この変更は Enterprise マーケティングのサブドメインにしか影響しないのに、なぜ人々は、そんなに激昂しているのだろうか?こんなことでネガティブな注目を浴びるなんて、理解できない。大半の GitHub ユーザーは、企業向けのサービスである Enterprise を使用していないため、今回の変更で不便を感じることはないだろう」と指摘している。

また、彼女は、「この変更が Microsoft の要求であるかのように、Microsoft を非難している人がいるが、そうではない可能性が高い。ユーザーにとって好ましくない変更がなされることもあるが、それらの全てが Microsoft の影響を受けているわけではない。もし Microsoft が GitHub に手を焼いているとしたら、おそらくずっと前に GitHub を Microsoft Policy Statement に移行していただろう」と加えている。

このスレッドでは長時間の議論が続き、コミュニティから 1,200以上の Dislike を獲得している。中には、新しいポリシーの文言は「透明性が低く、より不明確で混乱を招く」と主張し、GitHub にマーケティング用のクッキーを完全に削除するよう求める change.org の嘆願書を作成した人もいたという。

ちょっとした騒動になっていますね。賛否両論ですが、クッキーを拒絶する人々は、この仕組にはウンザリだということなのでしょう。驚異アクターに悪用されることもあれば、いらない広告を突っ込まれることもあるので、その気持は分かります。最近は、クッキー同意の UI も少し洗練され、サードパーティ・トラッキングの拒否などが簡単になってきましたが、そうならないサイトも多く、なんとなくモヤモヤ感が残ります。この GitHub の揉め事で、クッキーに関する議論が活性化するのは、とても良いことだと思います。 よろしければ、Cookie で検索も、ご利用ください。

%d bloggers like this: