コミュニティノートが発端となった波紋

事の発端は、同アプリのリリースを告知する公式Xアカウントの投稿に付与されたコミュニティノートであった。

この投稿は500万回以上表示されるなど広く拡散されたが、付与されたノートにおいて、法令を遵守した適法な業者であるかの確認が取れない点や、マイナンバーカード情報の収集に対する懸念、プライバシーポリシーにおける個人情報の外部委託の可能性などが指摘された。これを機に、IT技術者らによる同アプリのシステム検証がSNS上で自発的に進められることとなった。

サーバー認証の欠如と露呈した個人情報

X上での複数の検証報告によると、同アプリのシステム設計には根本的な問題が存在していたという。

通常、会員制サービスでは必須となるサーバー側での適切な認証処理（バリデーション）が行われておらず、ログインなどの正規の手順を踏まなくとも、登録者の氏名、大学のメールアドレス、顔写真の画像データ、出身高校などの個人情報が、データ記述言語（JSON）の形式で外部から容易に読み取れる状態になっていたとされる。

さらに、クライアント（端末）側での判定に依存した設計となっているため、東大のメールアドレスを持たないユーザーが不正に登録できる不具合や、課金アイテムがシステム上の上限値まで付与されてしまうバグ、また、利用者自身でマイナンバーカードの認証ステータスを操作できるといった問題も報告された。情報セキュリティの観点から見て、極めて危うい状態にあったと言わざるを得ない。

機微情報の収集に対する懸念とプライバシーポリシーの課題

さらなる警戒感を抱かせているのが、本人確認におけるマイナンバーカードの扱いである。同アプリは、他のユーザーのプロフィールを閲覧する条件としてマイナンバーカードによる認証完了を求めている。

前述のような強固とは言い難いシステムにおいて、国家の根幹に関わる機微な個人情報を収集しようとしていたことに対し、SNS上では安易な情報提供を控えるよう呼びかける声が相次いだ。

また、コミュニティノートでも指摘された通り、同アプリのプライバシーポリシーには、個人情報の取り扱いを外部に委託する可能性や、合併や事業承継によって個人情報が提供される場合があることが明記されている。登録した情報が運営会社の意向次第で外部へ渡るリスクは否定できない。

法令遵守の不透明さと求められる説明責任

コンプライアンスの面でも不透明な部分が残されている。インターネットを通じて見知らぬ異性との出会いを斡旋する事業を行う場合、原則として「インターネット異性紹介事業」の届出が必要となる。しかし、同アプリのサイト上には4月20日時点で登録番号が掲載されておらず、適法な手続きを踏んだ事業者であるかの確認が取れていないといった情報も散見される。

21日現在、公式サイトにアクセスすると、「一時的にアクセスが集中し、サービスをご利用になれません」というメンテナンス画面が表示されるのみとなっている。運営元の法人名や責任者に関する詳細な情報は明かされておらず、一連の指摘に対する公式な見解も発表されていない。

個人情報を扱うデジタルサービスの開発において、技術的な安全性の確保と法令遵守は最優先されるべき前提条件である。運営側には、事態の正確な把握と利用者への迅速かつ誠実な説明が強く求められる。

すでに同アプリに登録してしまったユーザーは、他サービスで使い回しているパスワードの変更や、不審なスパムメールへの警戒など、二次被害を防ぐための自衛策を講じることが推奨される。