非公開設定に大バグが！アレなGoogleマップが大量晒され中

続報：Googleマイマップの「非公開」表記が変更された :教えて君.net
その後11/4の夜に、Googleマップは問題の表記を変更した。

11月2日に朝日新聞が「グーグルマップ「公開」に注意　意図せず個人情報掲載」という記事を掲載した。Googleマップの「マイマップ（住所で地図を検索し、目印やコメントなどを付加して保存する機能）」はデフォルトが「公開」となっているため、個人情報満載な地図を作った場合に設定変更（非公開化）を行わないと酷いことになる……という問題だ。早速２ちゃんねるでもアレな公開マイマップが多数発掘されている……のだが、問題の根はもう少し深い。「非公開」設定を行っているのに、誰からでも閲覧可能なマイマップ……というものが発見されているのだ。

原因は、「非公開設定を行ったマイマップ」が一切のセッション情報を要求していないこと。どういう事かというと、

• 「公開」でも「非公開」でも、あるマイマップは、そのマイマップ固有の、時間と共に変わらないURLを持っている
• そのURLにアクセスした場合、「そのマイマップを閲覧する権限があるユーザー（作成者/共同編集者）としてGoogleマップウェブサービスにログインしているか」といったチェックが行われることなく、無条件でマイマップが表示される

という事であり、つまり、非公開設定を行ったマイマップであっても、特定のURLを開けば、誰にでも閲覧可能なのだ（非公開マップURLの例）。「非公開」設定のマップは、「Googleマップ」というウェブサービス上での検索等では検索結果として表示されないのだが、偶然でも何でも、一度でも他人にURLが漏れたらアウトだ。この仕様は致命的なので、現時点で可能な対策は「非公開設定には大きな穴があるので、とにかくプライベートなマイマップは即消す」ということだけだ。

正直言って、これは仮にもアカウント制のウェブサービスとして致命的な問題だ。通常、こうしたプライベートな、時間と共に変わらないURLは、「その情報を閲覧する権限があるアカウントでログインしているか」といったチェックを行っている。そうしたチェックを一切行っていない……という今回の件は、ストリートビューのプライバシー問題やAmazonウィッシュリスト問題（asahi.comの元記事で触れられている）とは質が違う。Googleが「バグではなく仕様ですが不評なようなので仕様を変えます」的なアナウンスを行うのを待つしかない。

追記：
これが「問題」である理由の一つは、「自分で普通にマイマップを編集/閲覧する場合に上記固有URLを開いている」ということだ。Googleカレンダーにも同様の問題があるが、Googleカレンダーは通常こうしたアドレスで利用するため、「わざわざ」固有URLにアクセスしない限り、固有URLは「誰からもアクセスされないURL」となっている。固有URLを使う時に「このURLは～」と明確に表示されるのも、「現実的に」重要なポイントだろう。
そもそも、「URL」というのは、あまり機密性の高い情報ではない。自分がアクセスしたURLが、リファラー（「アクセス元ページ」）として無関係なサーバーに漏れる場合もあるし、「自分がアクセスしたURL」というものを無意識的に様々なサービス（具体名を挙げないと伝わりにくいかもしれないが……）に渡している人/機会もある。

Googleマップの右上「プロフィール」からマイマップを開き、「編集」をクリックしてから「プライベート設定」を「非公開」にして保存すれば良い、はずなのだが……。

未ログイン状態でも、特定のURL（非公開マップURLの例）を開くことで「マイマップ」を開くことができてしまう。

参考
asahi.com（朝日新聞社）：グーグルマップ「公開」に注意　意図せず個人情報掲載 - ネット・ウイルス - デジタル
今回の騒動の発端となった記事。実際に晒されているマイマップは、興味のある人のみ適当な手段で探して下さい。
非公開マイマップの例
Googleマップユーザー別ページの例
作成者プロフィールページの例。このページ等では、非公開マイマップは表示されない（そのユーザーが作った公開マイマップのみが表示されている）。逆に言うと、Googleマイマップの「公開」「非公開」という設定には、「そのマイマップを、こうしたページに表示させるか否か」の意味しかないのだ。

執筆：tokix (tokix.net)