セブン通販、ツイッター連携でDM読まれる? 権限要求に消費者不安、広報「行使はありません」設定変更へ

建築予定地やご希望の地域の工務店へ一括無料資料請求

   セブン&アイ・ホールディングス(HD)の通販サイト「オムニ7」にツイッターアカウントを連携する際、過剰なアクセス権限を要求されるとして、消費者から指摘が相次いでいる。

   中には「ダイレクトメールの確認」といったプライバシーに関わる項目もあり、同社は権限範囲を見直すとする。

  • オムニセブン公式サイトより
    オムニセブン公式サイトより
  • 連携時に表示される画面
    連携時に表示される画面
  • オムニセブン公式サイトより
  • 連携時に表示される画面

プロフィール変更、フォロー解除も

   オムニ7はメールアドレス以外に、ツイッター、フェイスブックなどのSNSアカウントを連携すれば、ログインIDとして使用できる。

   指摘されているのは、ツイッター連携だ。連携時に9つの権限を許可する必要があるが、ツイート送信・削除、プロフィール変更、フォロー解除、ダイレクトメール確認など、私的な色合いが強い項目もある。

   2019年11月中旬ごろから、ITエンジニアらの間で注目を集め、ツイッターではセキュリティリスクの高さを懸念する向きが少なくなかった。

   また、連携画面に「プライバシーポリシー」「利用規約」のリンクが掲載されていないのも、個人情報を扱う上で不適切だと指摘されている。

数年前から運用

   セブン&アイHD広報センターは22日、J-CASTニュースの取材に、数年前から9つの権限を取得していたといい、「将来的なアプリの追加、変更などを見据えた形での表記をさせていただいておりました」と経緯を明かす。

   事業者らがツイッター連携を導入する場合、アクセス権限は主に「読み取り(Read only)」「読み取りと書き込み(Read and write)」「読み取り、書き込み、ダイレクトメッセージ(Read, write and access Direct Messages)」の3段階あり、オムニ7はもっとも権限範囲の広いレベルに設定していた。

   もっとも権限範囲が狭い「Read only」でも、「このアカウントのタイムラインに表示されるツイート(非公開ツイートを含む)や、リストとコレクションを確認する」「このアカウントでプロフィール情報とアカウントの設定を確認する」「フォロー、ミュート、ブロックしているアカウントを確認する」の3つを取得できる。

   そのため同広報は、「許諾項目のうち、上記3つについて(READと呼ばれるもの)は、Twitter仕様上、最低限必ず掲出が必要との認識からのせており、それ以外の項目については、現在のオムニ7のサービスの特性上権限の行使はありません」と釈明する。

「今回のお客様からのご指摘をもとに、掲出が最低限必要な上記 3 項目(READとよばれる部分)のみの表示への変更、プライバシーポリシー、利用規約も管理画面の設定でURLリンク表示をすすめてまいります」(広報チーム)
姉妹サイト