NHN Cloud Meetup 編集部
TOAST Gamebaseで提供するIdP認証について(2)
2020.01.10
247
カナダでフランス語を使っている「あの人」を探せ!
個人情報管理の重要性
ゲームサービスを運営していると、しばしば思わぬ問題によって、サービスが影響を受けることがあります。
例えば、2018年の「EU 一般データ保護規則(General Data Protection Regulation:GDPR)」がそのよい例でしょう。
ITサービスによって、相対的にすべての個人の情報が容易に露出され、接続できる状態になっています。当然ある程度の規制と管理が必要です。個人情報から任意のユーザーを特定することができれば、活用先は途方もなく広がるでしょう。年齢、性別、住まい、さらには個人の性向まで取得できれば、様々なターゲットマーケティングが行えます。その一方で最悪の場合は、犯罪に悪用される可能性もあります。
個人情報の管理は、実に重要です。
単一情報ではゲームユーザーを実在する個人に特定できなくても、他の経路から取得した情報と結びつけることで個人を特定することができる場合、対象データも個人情報として扱う見方があります。
例えば、イベントで当選者に賞品をプレゼントする場面をイメージしてみましょう。このイベントでは、レベル100を最速で達成したユーザーの中から、上位10位のユーザーに賞品をプレゼントすることにしました。当選者に賞品をプレゼントするため、上位10位までのユーザーの電話番号を取得しました。また先着順なので、当然ユーザーのアカウント情報(ユニークなニックネームまたは会員番号)も抽出しました。そして、電話番号とニックネームが結びつくことによって、ゲーム内の「ユーザー」を、実際に存在する「個人」として特定できるようになります。
「ゲーム内の個人情報を保護するため、特定の作業者や担当者が両方の情報を見ることができないようにしたり、少なくともDBデータであれば、スキーマ以上に分離して保管したりする必要があります。」(NHN某弁護士の言葉)
Catch me if you can.
例えば、ゲームサービスで不正を行っている「あるユーザー」が、実際に「誰」なのか、調査する必要があるとしましょう。
そのユーザーは、国が「カナダ」、言語が「フランス語」で登録されてます。
2011年の調査から、カナダは全人口の22%に当たる約730万人がフランス語を使用しています。(出典: ウィキペディア)世界人口約77億人(2019年基準)のうちの730万人、つまり0.1%(0.095%)なら、非常に高い確率で「誰」が「誰」なのか、分かりそうです。我々はゲームサービスを運営しているので、ゲーム内で特定の人を見つけることは決して難しいことではありません。国コードと言語は分かっているので、接続時間と接続元の国情報を確認すれば、ほぼ見つけたも同然です。
※Gamebaseコンソールで照会したユーザー情報
ゲーム内ではほぼ見つけることができました。あとはカナダに行って見つけるしかありません。
しかし、GamebaseはIP情報を収集していないので、国コードがカナダであっても、必ずしもカナダからアクセスしたとは限りません。
ユーザー情報をもう一度確認しましょう。重要な手がかりがあります。
– Device Model:SM-G965N(GalaxyS 9+)
– Telecom:SKT(国コードがカナダの設定なのでパス)
– Store Code:Google Play
– Type:Idp Login(Google)
上記の情報から、Androidのスマートフォンを使ってGoogle Playからアプリをダウンロードし、Google IDで認証してゲームプレイしているユーザーだと予想できます。しかし、この情報から特定の人物に絞り込むのは不可能です。
もう少し現実的な方法は、特定のユーザーを対象にプッシュ送信をすることです。
メールアドレスや電話番号をプッシュのメッセージに入れて返信を要求する方法ですが、もちろん注意が必要です。
ゲーム内の個人情報を悪用した事例として、警察から尋問される可能性がありますので、決して使用してはいけない方法です。
上の例のように、Gamebaseを使って認証を行い、ユーザー管理をすれば、個人情報関連の事項で問題が発生する可能性がほとんどありません。「ほとんどない」という理由は、1年以上接続していない休眠アカウントは、ゲームでも直接管理しなければならないからです。これはGamebaseの領域を越える内容でもあります。
Gamebaseを利用すると、便利な認証連動のようなゲームプラットフォームの機能的要素のほか、個人情報保護といった法的リスクを削減することもできます。