プロジェクトオーガナイザの吉田聖書です。
10月26日に株式会社TVerがプレスリリースを出しまして、ユーザーが提供を拒否した個人情報を誤って外部に提供していたと発表しました。直接的な原因はiOSアプリのバグだということで、今のところ範囲はiOSアプリのユーザーに限定されているということです。
【重要】プライバシーポリシーの更新に伴うアプリの不具合とユーザーデータの不適切な取扱いに関するお知らせとお詫び(2023/10/26 株式会社TVer)
TVerというのは会社名でもありますけれども、テレビチューナーが無くてもインターネット経由でテレビ番組を視聴できるサービスです。私も時々利用しています。このサービスがあるとリアルタイムで視聴する必要がないので、予約録画することが無くなりました。ただ、全ての番組がTVerで配信されているわけではないので、レコーダーが全く不要というわけではないです。
私はアプリではなくパソコンのブラウザから利用しているんですけれども、ただ見るだけであれば特にユーザー登録は必要ありません。アプリの場合はユーザー登録が必要なのかもしれませんが、そこはちょっと分かりません。いずれにせよ、ユーザー登録の際にプライバシーポリシーに同意する必要があり、特定のデータ項目を外部に提供したくない場合は、ユーザー登録後にオプトアウトできるようになっているようです。
バグが含まれたアプリは今年の4月にリリースされていたんですが、当初は気付かなかったそうです。バグの事象としては、プライバシーポリシーにもう一度同意する操作を行うと、データ項目の外部への提供を拒否するという設定が解除されてしまうということです。その結果、ユーザーはオプトアウトが解除されていることが気付かないまま、本人の望まない形でデータが外部に提供されてしまったということです。
ユーザーが気付かないとしたら、なぜこのバグに気付いたかということなんですが、今年の10月にプライバシーポリシーを改定しました。改定すると一度同意したユーザーを含むすべてのユーザーに新しいプライバシーポリシーの同意をお願いすることになります。そうしたら、その頃を境にiOSアプリユーザーのオプトアウト件数が異様に減ったことが分かったので、調査したところバグを見つけたということです。
※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。
これはテスト漏れですよね。もっとも、この不備を見つけるテストケースをあらかじめ想定するのはかなり難しいと思います。テストケースを作る時に、意図した動作が意図したとおりに行われているかを確認するテストっていうのは簡単に思いつくんですよ。でも、意図していない処理が行われていないかという副作用を見つけるテストっていうのは考えだしたらキリがありません。なので、簡単に見つけられるものしかテストされないことが多いと思います。
特に今回の場合は機能にまたがるテストが必要なので、単純に画面操作だけでテストしようと思うと見つけにくいですよね。後知恵では何とでも言えますが、もしこの不備を見つけることを考えるとしたら、何か処理を行う前後のデータベースの断面を比較して、想定していないデータ項目が変更されていないかをテストするのが良いのではないかと思います。
ただ、今回の場合、オプトアウトの設定がサーバーに保存されているのではなく、アプリ内に保存されているデータ項目だったとしたらそういうテストも簡単にはできないので、見つけるのはもっと難しいと思います。もしアプリ内にしか保存していないのであれば、まずそれをサーバーに保存するようにすべきですし、そうすると同意の記録に関する処理はサーバ側に移管されますので、サーバー側のテストだけでもカバー出来るようになるのではないかと思います。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。