Googleが私の電話番号を共有していた

 (danq.me)
1 ポイント 投稿者 GN⁺ 2025-05-27 | 1件のコメント | WhatsAppで共有
  • 最近、Three Rings のユーザーが繰り返し筆者に電話をかけてきたため、原因を追跡したところ、Google 検索結果に筆者の 個人の携帯電話番号 が表示されていることを発見した
  • この番号は過去に Google の 本人確認プロセス で提出したものだったが、同意なく検索結果の Google Business Profile に追加されていた
  • 筆者はすぐに ビジネス プロフィール から番号を削除して表示を止めたが、変更理由についての説明は得られなかった
  • 最近は別の銀行でも個人情報漏えいを経験しており、個人情報保護の難しさ への不信感が強まっている状況だ
  • ユーザー同意の重要性 と同時に、ユーザーのミスや同意ダイアログの乱用が PII 漏えいを加速させうることも示唆している

事件の概要

  • 今月初め、筆者は自ら創業した Three Rings のボランティア管理ソフトウェアのユーザーのひとりから電話を受けた
  • 電話サポートは公式には提供していなかったが、過去にユーザーへ直接折り返し電話をしたことは何度もあった
  • そのため、一部の利用者には 個人の携帯電話番号 が保存されている可能性があると考えた

繰り返しかかってきた電話と疑問

  • 同じ月に3件目の似た電話が来たあと、筆者は自分の番号がどこで公開されたのか疑い始めた
  • 4件目の電話で、電話してきたユーザーの団体名が分からないと言われたため、どこで番号を見つけたのかを尋ねた
  • 相手は「Googleで 'Three Rings ログイン' を検索すると出てくる」と答えた

Google 検索結果による個人情報の露出

  • 実際に検索して確認したところ、Three Rings CIC の Google Business Profile に筆者の 個人連絡先 が案内されていた
  • 誰でも「通話」ボタンから直接、筆者個人の番号へ電話できるようになっていた
  • 普段ほとんど Google 検索を使わないため、他人からの指摘がなければ気づけなかった状況だった

Google の個人情報管理のやり方

  • 筆者は過去に Google の 本人確認プロセス でその番号を提出したことはあったが、公開には同意していなかった
  • 最近になって Google が任意に Google Business Profile に番号を表示し始めたようで、明確な時期や原因も不明だった
  • 筆者がビジネス プロフィールから番号を削除すると、すぐに表示は止まった
  • しかし番号削除と同時に「Google によって電話番号が修正されました」というメッセージも消え、変更理由や経緯は分からなかった

最近の別の金融機関の事例とユーザーの不安感

  • 先月、ある銀行(Halifax)が筆者とは無関係の別人に 信用契約情報 を送付する事故があった
  • 立て続けに2件の 個人情報漏えいの経験 をしたことで、筆者は自分が誤って同意ポップアップにチェックを入れてしまったのではないかと疑うようになった
  • 個人情報への同意案内は実際には理解しにくく、何気なく「同意する」ボタンをクリックしてしまう環境を皮肉っている

要約と示唆

  • 予期しない プライバシー侵害 は誰にでも起こりうることを示している
  • Google や金融機関など大規模プラットフォームにおける個人情報の利用と公開管理への ユーザーの信頼性 が改めて問われている
  • ユーザーのミス、不注意、あるいはシステムの任意同期などによって PII(個人を特定できる情報)漏えいのリスクは続いている
  • 同意 の意味と実際のデータ処理慣行の乖離が依然として存在する
  • IT 企業とユーザーには、個人情報を安全に管理するため、より透明で分かりやすい案内が必要だ

関連記事

1件のコメント

 
GN⁺ 2025-05-27
Hacker News の意見

  • ウェブサイトに電話番号が公開されており、Google Play の開発者プロフィールにも同じ番号が表示されている状況だと指摘。どちらのプロフィールも本人が自分で公開した情報のように見える、という意見。個人番号とビジネス番号を同じにしていれば、このような結果になるのは自然だという判断。そもそも Google がこの番号を非公開から公開に切り替えたのが問題だと思えたが、Google Play で顧客が連絡できる電話番号を要求しているためだという説明

    • 投稿者本人だと名乗り、ウェブサイトに電話番号はあるべきではなく、自分でも見つけられないとコメント。Google Play 開発者プロフィールで番号が表示されていたのは残念で、知らせてくれてありがとうと感謝を表明

  • 以前 Samsung のスマホを買ったところ、知らない番号から電話が来たときに相手の名前を表示する機能があった、という体験を共有。おそらく他人の連絡先データベースから情報を引っ張ってきたのだろうという推測。ある日、近所の人から電話がかかってきた際、連絡先に登録していないのに「名前 GRINDER」と表示され、これは別のユーザーがそう保存していたためだったという。その近所の人は地域ではカミングアウトしていたが、不動産会社の営業をしており、この情報の露出を非常に不快に感じていたという逸話。さらに本人はそのアプリを 7 年間使っていないとも説明

    • こんなことが実際に起きたというのが信じがたい、という反応。これよりはるかに深刻な状況も想像できるほど危険に見える、という意見

    • 一部の Samsung スマホには truecaller や callapp が搭載されており、こうした状況を引き起こすのだと補足

  • オランダで会社を運営していて、Google が商工会議所の登録番号を根拠に会社の電話番号を更新した経験を共有。会社は電話サポートを提供していないが、法的に登録番号上の電話番号記載が義務になっているという。VoIP 番号を登録して、すぐ留守番電話につながるようにし、案内メッセージで電話サポートを提供していないことを伝えている。Google Business プロフィールから番号を削除したが、ときどき Google が再び自動で番号を追加することが繰り返される

  • 誰かが、その人の持っていた電話番号を会社プロフィールに役立ちそうだと勝手に追加している可能性もある、という意見

    • スクリーンショットに「Google で番号が更新されました」と明記されており、ユーザー入力ではない点を強調

    • 一般ユーザーがビジネスプロフィールの番号を勝手に更新でき、Google が番号の所有者に許可も取らずにそのまま公開してしまうのは大きな失敗だ、という意見

  • 自分にも似た経験があるとして、夜中の 2 時に電話を受けた事例を共有。以前の会社で求人サービスを管理していた時、自分のプロジェクトで Python 開発者の求人広告を出したが、連絡先公開設定をオフにできなかったという。そのせいで明け方 5 時ごろ、知らない人から何度も電話がかかってきて、プログラマーになる方法を尋ねられた。最初の電話では面食らいながらも役立つ助言までしてしまったと回想。今ではこのような個人情報流出に備え、個人用・業務用・その他用で別々の電話番号 4 つを使い分けている

    • なぜか全部午前 5 時にしか電話が来なかったという話に対し、おそらく同じ地域からの着信で、時差のため相手の出勤時間帯にあたっていた可能性を指摘

  • Google が訴えられない状況で起こる害悪を説明。ドイツでは lieferando(Takeaway.com 系列)が「飲食店名-都市.de」のようなドメインを大量に登録し、自社コールセンターにつなげ、Google ビジネスの登録情報も自分たちのものに変更。その後、店主に電話して Google で自分の店が見つからないなどと言い、契約を強引に迫る。さらにコールセンター経由で注文しようとする客にも見当違いの案内が返され、事業に大きな損害を与える仕組みだった。こうしたダミードメインだけで 13 万件以上運用されており、投稿者自身も被害を受けた飲食店主のためにデータセット提供を手伝った経歴があるという。しかし被害額は 1 件ごとに大きくなく、訴訟が難しいうえ、米国と違って集団訴訟でもないため、法的争点になりにくい。Google はこの状況を知りながら、巨大持株会社の構造で責任を回避していると指摘

    • これに似た手口は 15 年前に BlackHatWorld で広く使われていた方法だという言及と、今では VC 企業がそれを活用するようになった現実への皮肉な気持ちを共有

    • その事例は Google の問題というより、脅迫を行う会社が訴訟を免れていることが本質だ、という反論

    • Google Maps 上では、単にドメインを登録するだけでどんな事業者でも簡単に乗っ取れてしまうのか、Google は所有権争いを処理する仕組みを別に用意していないのかと質問

    • ドイツのメディアでこの件をきちんと取材した記事があるのか気になる、という質問

    • Google が作ったエコシステムを小規模事業者への攻撃兵器として使うのがあまりにも簡単だという点で、恐ろしい現実だと強調

  • この本文で提示されているストーリーは、実際には最も適切な説明ではない可能性があると指摘。コメント欄だけでも少なくとも 3 つの代替説明がある。実際に Google アカウントのデータを Takeout で受け取れば、保持されている情報とその利用目的を確認できるだろうという提案

    • ただし Google は Business Profile に対して Takeout 機能を提供していないとし、企業はしばしば個人情報保護法(GDPR など)の保護対象ではないため、Google のような大企業がデータ書き出しのような利便機能を提供しないことがある、という説明

  • Google Play Store で自分の個人携帯番号が公開された経験を共有。事業者番号の認証ができなければアカウント停止になるという警告のもと、1 か月以上認証を試みた末、結局やむを得ず個人番号を入力することになった

    • 同じような経験をした独立系 app publisher として、顧客サポートもしていないのにアプリの横に自分の電話番号が公開されるのは不快だったと吐露。こうした方針はインディー app 開発者に不利益しかない制度だと判断。そのため store からアプリを引き上げることにしたというエピソード

  • Google Search では誰でも事業者の電話番号を修正できるという事実を共有。不思議だが本当だという Three Rings CIC の電話番号修正例

    • Google マップのユーザーなら誰でも修正提案を送れるが、提出された情報はレビュー後に反映されるという案内。事業者の閉業、住所変更、営業時間変更などさまざまな項目を報告可能。さらにバス停、駅、史跡などにも使えるという情報。こうしたシステムは「クラウドソーシング」ベースだと説明。Google Business Profile の案内 および ビジネスプロフィール登録リンク もあわせて共有

  • 本文画像では番号をぼかしてあるが、それでも数字が見えるという意見

    • ブログ所有者が直接回答し、実際のスクリーンショットでは Ofcom が公式に指定した「ドラマ用の架空番号」を使っているため安全上の問題はないと説明。ドラマ用公式電話番号の参考

    • ぼかし処理が弱く、番号がそのまま読めると述べつつ、画像は大きく崩しても AI などの技術で情報をかなり復元できる現実の例を紹介 例の画像

    • 番号自体が 07700 987654 なので架空番号だと気づく内容

    • 単純なぼかし効果だけでは機密情報の保護は難しく、専門家はより安全な遮蔽方法を勧めている。特に今回の画像のように特別な技術がなくても番号確認が容易な状況ではなおさら。もしぼかし処理の理由が身元保護だったのなら、すぐ画像を更新すべきだと忠告

    • 最近は AI クローラーが画像内テキストも抽出してデータセットを作っており、中途半端なぼかし効果をかけた画像も LLM のデータに取り込まれる危険があると懸念