参加者全員にメールアドレスを公開する仕様はNotaにとってリーガルリスクでは？

from 参加メンバーにメールアドレスを公開しない設定が欲しい

メールアドレスは個人情報に該当するか？

ケースバイケースの判断になるけどメールアドレスは基本的には慎重に扱っといて間違いはない情報

これGDPR違反になったりしないのだろうか？

GDPRのどれに触れるんだろう？基素.iconnishio.icon

GDPRでのメールアドレスの取り扱いの規則を知らない

GDPRが定義する個人データ#62183297fd049e00009707a5

ココなのかなぁとは思っています(公開どころか保管で抵触するので公開は関係ない気もしますが)tetsuya-k.icon

なるほど。メールアドレスはパーソナルデータと定義されていることがわかりました基素.icon

パーソナルデータをサービス上で共有してはいけないというような規則もあるんでしょうか基素.iconnishio.icon

パーソナルデータを本人が同意して公開することに関して無条件で禁止する条項があるはずないじゃん、という雑な印象nishio.icon

一般論としてリーガルリスクを指摘するならどの法律の条項なのか明示しないと始まらないじゃんという気持ち

これはその通りですねmtane0412.icon

Scrapboxのサービス利用時にメールアドレスをメンバーに公開することに対して同意している（多分）

Scrapbox - サービス利用規約

お客様が本サービスを利用する前に「ログイン」ボタンをクリックし一連の処理を完了することで本契約が成立し、お客様は本契約の全ての条項に拘束されることに同意するものとします。本契約に同意できない場合は、「ログアウト」ボタンをクリックし、本サービスのいかなる部分もアクセス、ダウンロード、インストール、複製、またはその他の使用をしないでください。

Nota社に対してのみであって他のユーザーにメールアドレスが公開されることまでは読み取れないかもしれないが、サービスの性質上チーム内にメールアドレスが表示されることは特に問題にならなそう

それはそうとScrapboxサービス利用規約って最初のログインページ(setup-profile)に表示されていなくても大丈夫なんだっけ？Mijinko_SD.icon

裏で勝手に約束事を決めておいてユーザーの操作で勝手に同意させるワンクリック詐欺のように見えなくもない

招待リンクを使ってScrapboxへ初めてログインした場合、

1. setup-profile

2. Invitation page

の2つのページを経てプロジェクトに参加できるがどちらも利用規約への直接のリンクが無い

この辺のルールは揉めたときに白黒つけるときに必要なもので「リーガルリスクとかあるんですか？」に対して「ないです」とも答えられるようなものでもないので質問する意味もなかった

以前、こことは違う別のプロジェクトで新規参加メンバーから「メールアドレスが公開されるなら先に教えて欲しかった」という声が上がったことがありました

例えば実際にはこういう声もあるが、法律やルールの観点では登録時に規約に同意しているので「リーガルリスク」を理由にするのは筋が悪い

単純にユースケース上ユーザーに周知するのが難しい部分なのでなんとかなりませんかという話ですね

「あなたのその行為、刑法か軽犯罪法かなんかに引っかかりそうな気がしますよ！」と言われるようなもの

直感的にはこういう仕様でも問題ない気がする

いやかどうかという話とは別

問題なさそうだと思ってます。基本的に井戸端的使い方が想定外の使われ方になっていそうmtane0412.icon

井戸端的に不特定多数に募集した結果、EU市民が参加してGDPR強制適用されるリスクがあるのか？サービス提供側としてそれを回避する方法があるのか？といったことには興味もあります

EU域内で訴訟されて、何らかの権利が侵害されていると認められてから初めて制裁金云々という話になることを考えるに、

訴訟される可能性も、参加者に対するメールアドレス公開が問題とされる可能性も低そうだなとなんとなく思う

最初にGDPRとかに触れないの？ってコメしたと思うのでmtane0412.icon

↑の疑問点は詳しい人いたら聞いてみたい

takker.iconが言ってるような「GDPR問題が指摘されている」とは思っていない

読み間違えてました。すみませんtakker.icon

GDPRに関する知識超曖昧

EU市民がアクセスできてしまえばEUにサービス所在地がなくても適用される罰則ありの強力な法制度でサービス提供者はリスク回避のために色々やってるらしい

一般的にメールアドレスの公開/非公開をユーザーが選択できないのはサービス提供者にとってはリスキー

Scrapboxは基本的に社内であったりチームであったりというユースケースが想定されているので、上のような仕様でも問題ないのだろうと想像している

井戸端のような誰でも入れるコミュニティユースは本来の使い方ではない

そのような使い方もできるだけ

しかしオープンなコミュニティユースにおいてもScrapboxは可能性に満ちていると思っている

コミュニティ向けにもサービスが拡大されてほしいという文脈でScrapboxに欲しい機能2022に色々投稿した

さらなる疑問

mtane0412.iconはTwitch配信のコミュニティWiki的な使い方でScrapboxを使いたいと思っていて、EUのユーザーも普通にいる

この場合に井戸端的に招待した場合に何かNotaにリスクはあるのだろうか？

想像：多分ないのかな？

サービス利用規約に当然書かれていて利用する際にそれに同意するステップは必ず踏んでいそう

読んでない

（脱線）ちゃんと読んでないけど使ってるサービスたくさんある...基素.icon

メールアドレス程度だと実際に事が動くわけではないとか

メールアドレスも不特定多数に公開されているわけではないか

募集が不特定多数にされているだけ

ルール上の解釈はユーザーがキーを漏らして情報が漏洩したみたいな感じになるのだろうか

企業なのでその辺はちゃんとチェック体制ありそう

サービス提供者のリーガルリスク対策は普通に興味あるので聞いてみたいところ

「コミュニティユース向けにメールアドレスを公開しない設定が欲しい」という要望の文脈で「この辺もしかしてリーガルリスクあるんじゃない？」という問いはめちゃくちゃウザいだろうなとは思ったmtane0412.icon

リスクがあるだろうからこの設定を変えろという威圧になってそう

実際、公開設定がないことのメリットよりもデメリットのほうが大きいと思っていて、その一つとしてリーガルリスクあるんじゃない？というアイデアがのぼったのは事実

Scrapboxに欲しい機能を実装させるにはshokaiさんを説得することが必要なので、その辺を期待して投稿したんだろうな

それなら招待画面にメールアドレスをほかのメンバーが確認できることを書いとけばOK?