一般社団法人PyCon JP Association(以下「当法人」といいます。)が主催するPyCon APAC 2023(以下「本イベント」といいます。)においてネットワークオペレーションセンター(以下「NOC」といいます。)が提供するコンテンツの一部につきまして、DNSクエリ情報を収集し、その一部の情報をインターネット上に公開したコンテンツがありました。このようなコンテンツを公開したことについて、下記に詳述する通り、本イベントの主催者として不適切な行為であったと考えます。
本イベント参加者、企業スポンサー、Pythonコミュニティおよび運営ボランティアスタッフをはじめとする関係者の皆様にご迷惑とご心配をおかけしたことを心よりお詫び申し上げます。合わせて、本件に関してご指摘をいただいたコミュニティの皆様には御礼申し上げます。
当法人は本件を厳粛かつ真摯に受け止めるとともに、本件の発生事実・問題点を公表し、再発防止に努めてまいります。
1. 一般社団法人PyCon JP AssociationとPyCon APAC 2023の関係について
PyCon APAC 2023は一般社団法人PyCon JP Associationが主催しています。
本イベントは、Pythonユーザーが集まり、PythonやPythonを使ったソフトウェアについて情報交換・交流をするためのカンファレンスです。Pythonの使い手が一堂に集まり、Pythonにまつわる様々な分野の知識や情報を交換し、新たな出会いを提供できる場所とすることを目標としています。
本イベント開催にかかる事象に関して、参加者や関係者の皆様に発生した事実を説明し、再発防止策を講じる責任は当法人にあります。
2. 発生した事象について
発表のオンライン配信等の高負荷に耐えるため、また、参加者に快適なインターネット環境を提供するために、本イベントにおいてはNOCがボランティアメンバーによってチーム組成され、本イベント会場に通信ネットワークが構築されていました。
NOCによって提供されたコンテンツの一部にDNSクエリ情報を収集し、その一部の情報、具体的にはドメイン名(サブドメインを含む)をインターネット上に公開したものがありました。
本件発覚の経緯は以下の通りです。
- 2023/10/27 9:00 本イベントカンファレス初日 入場開始よりWiFi提供を開始
- その際、DNSクエリ情報を収集し、インターネットに公開を開始
- カンファレンス会場にてWiFiに接続したユーザーのアクセス先ドメイン名が表示されている状態だった
- 2023/10/27 19:00頃 SNS経由でコンテンツに対する問題点をご指摘いただく
- 指摘を受けて、機構の変更を実施
- 2023/10/28 9:00 本イベント2日目 入場開始 よりWiFi提供を開始
- 前日の機構変更により、サブドメインを除いたドメイン名のみ表示に変更
- 会場内に掲示されたWiFiアクセス情報に注記として「ネットワーク利用によって取得される統計情報は、研究および展示のために利用します。」と掲載
- 2023/10/28 15:15 当該コンテンツの公開停止
- 2023/10/29 18:00頃 PyCon APAC 2023 イベントWebサイトトップに暫定的な謝罪文を掲載
3. 本件の問題点について
法令・倫理上の問題
DNSクエリ情報は、個別の通信についてその宛先や送信元等に関する情報を取得して作成されるものであり、これらを取得または他人が知り得る状態に置くことは電波法、電気通信事業者法または憲法が定める通信の秘密の侵害に当たり得る行為だと考えます。また、本件における行為態様からすれば、本件行為が正当業務行為として違法性が阻却されるとは考えられません。
この点につきましては、その法令適用および解釈については最終的には司法に判断を委ねられる事項ではありますが、当法人としては、このような法令適用および解釈の如何にかかわらず、通信の秘密の対象として秘匿されるべき情報(の少なくともその一部となる情報)を、ユーザーの同意なく、インターネットという不特定多数の第三者に対して公開した行為について、Pythonユーザーが集まり、技術の発展と向上に寄与することを目指す本イベントの趣旨にも鑑みて、少なくとも不適切な行為であったと考えます。
なお、上記「2.発生した事象について」でも記載の通り、本イベント2日目である10月28日から、WiFiアクセス情報の掲示に注記として「ネットワーク利用によって取得される統計情報は、研究および展示のために利用します。」との掲載をしておりました。しかし、通信の秘密に関する同意は個別具体的かつ明確な同意が必要と解されており、このような注記では同意の具体性および取得の方法ともに不十分だったと言えます。
加えて、ドメイン名(サブドメインを含む)情報の公開については、本イベント参加者のプライバシーにも関わる問題であり、その点からの配慮も充分でなかったと考えております。
これらの事実により、参加者の皆様に不安を与えることになり、「知識情報の交換や新たな出会いを提供する」という本イベントの開催趣旨および場の提供者としてふさわしい対応ではなかったことについて責任があり、事態を重要なこととして認識しています。
組織運営上の問題
本件のような実施にあたって事前の十分な準備と配慮が必要なコンテンツについて、実施内容のレビュー体制にも不備がありました。
また、問題発生時のエスカレーション、問題の認知から広報・公表までの対応フローが未整備であったため、本件に関する当法人としての見解や立場の表明が遅れ、結果として担当したボランティアスタッフ個人に批判の矛先が向くことにもなりました。
Pythonの利用拡大と皆様のご支援によりコミュニティの裾野が大きく広がり、カンファレンスの参加人数も増えている中、コミュニティを支持してくださる皆様が安心して参加できる場の提供を行うに必要な準備と、問題発生時の適切な対応体制が充分ではなかったことについて、事実を真剣に受けて止めています。
4. 再発防止策について
以下の3点を実施します。
- a. カンファレンス会場におけるWiFi環境の提供について、弁護士を含む専門家と継続的に議論を進め、カンファレンス主催者として守るべきガイドラインの構築と運用を進めます。
- b. プライバシーおよび個人情報の取り扱いに関して、弁護士を含む専門家と継続的に議論を進め、カンファレンス主催者として守るべきガイドラインの構築と運用を進めます。
- c. カンファレンス開催にかかる問題が発生した際に、一般社団法人の担当者が窓口となり、責任を持って対応するフローを構築します。
-------------------------------
改めて、本イベント参加者、企業スポンサー、Pythonコミュニティおよび運営ボランティアスタッフをはじめとする関係者の皆様にご迷惑とご心配をおかけしたことを心よりお詫び申し上げます。
また、ボランティアスタッフだけで堅牢な運営体制を構築・運用・維持することは挑戦しがいのある課題であることも事実です。そのため問題提起と、その指摘を真摯に受け止めて改善を行うことでより良いエンジニアコミュニティの運営に繋がっていくものと考えます。
本件について問題提起をくださったコミュニティの皆様にもお礼を申し上げるとともに、引き続きのご協力をお願い申し上げます。
なお、本件に関しては、上記の通り、主催者である当法人に一切の責任があります。当法人としても、所管の官庁の注意・指導や本件の被害者からの申立てがあった場合には、弁護士とも相談のうえ、真摯に対応したいと考えておりますが、SNS等における本イベント運営スタッフや関係者個人に対する問題提起や指摘の範疇を超えた個人攻撃・誹謗中傷等またはこれに類する行為はくれぐれもお控えいただきますよう、お願いいたします。同様に、本件について問題提起をくださったコミュニティの皆様への個人攻撃・誹謗中傷等またはこれに類する行為もお控えいただければ幸いです。
本件に関する問い合わせは以下よりご連絡をお願いします。
-------------------------------
(2023年11月7日 12:50追記)
本記事中の「電気通信事業者法」は「電気通信事業法」の誤植でしたので、修正しました。
なお、電気通信事業法第4条第1項は「電気通信事業者の取扱中に係る通信の秘密は、侵してはならない」と規定し、電気通信事業法の他の条項と異なり、主語を電気通信事業者に限定していません。本件コンテンツにおいて使用された技術構成について電気通信事業法の適用可能性はあると弁護士から助言がありました。
もっとも、当法人としては、本件が様々な法令にかかり得ること、最終的には司法の判断が必要な事項であることを認識したうえで、少なくとも「通信の秘密」の趣旨に反する行為であったことについていち早く認め、できるだけ早いタイミングで謝罪の意を公表することが重要だと考え、その対応を優先させていただきました。
本記事中、2日目から掲示されたWiFiアクセス情報の注記に記載された「統計情報」との文言は、本イベント内で実際になされた注記の文言をそのまま記載したものです。当法人としてDNSクエリ情報を統計情報として認識しているわけではなく、同文言は適切ではなかったと考えております。
当法人としては、今後、専門家に相談のうえ個別の論点・事象を含めた本件の検証と再発防止策を検討してまいりますが、本件に関する公式の声明としてはこれをもって一つの区切りとさせていただきたいと存じます。厳しいご意見も含め、様々なご指摘をいただいたコミュニティの皆様に感謝申し上げるとともに、今後もPythonコミュニティの発展に寄与するためにできることを考え続けていきたいと存じます。
問題提起者によれば、イベント開催前にNOCミーティングに話を持ち込んだが問題ないとされたためSNSに投稿したとのことですが、今回の経緯説明に含まれていないことが気になりました。
返信削除PyCon側の視点では、実際にそのような出来事はあったのでしょうか?
インシデントに関するレポートを早急に作っていただきありがとうございます。これは他のイベントの関係者にとっても有益なものになると思います。
返信削除しかしながら、告発者に対する攻撃をその告発者の経歴や属性に触れる形でPyCon APAC 2023の運営関係者が行っていたことについては全く触れられていないのが気になります。
これは明らかにハラスメントであり、Python Software Foundationが後援するイベントにおいてふさわしいものではありません。
https://www.python.org/psf/conduct/
運営側のハラスメントはJPだけで処理できない問題かもしれませんが、今後も安心して参加したいのでそちらについてもコメントをぜひお願いします。