Google ガジェットのネタをいろいろ書いておられるネット生活日記さんが、「Googleガジェットにアクセス解析コードを埋め込むのは許されるか？」という記事を投稿されていました。どうやら、自作ガジェットに Google Analytics を仕込んだところ、スパイウェアではないかと言われてしまったそうです（＾＾；。私にとっても興味のある問題なので、本日は Google ガジェットを介したユーザー情報の取得に関して考察してみようかと思います。

たしかに、 Google ガジェットには通常の Web ページにはない以下の機能があります（インラインガジェットに関しては後述）。

• 任意のドメインに対して HTTP リクエストが投げられる
• ユーザー設定により、 Cookie よりも確実にユーザーをトレースできる

しかし、前者に関しては隠しフレームや画像、 Script タグの動的生成などで通常の Web ページでも似たようなことが可能ですし、後者は容量制限や期限切れがないという程度の違いです。技術的にはガジェットだからといって特別危険なわけではないと思います。どちらかというと、ブラウザのホームページに設定してあるなど、ユーザー側に「自分の庭」的なイメージがあるのが大きいのでしょう。

それはそれとして、 Google の 利用規約に関連する記述はあるかなぁと調べてみたところ、こんな文言がありました。

If your gadget enables you or any party to gain access to information about users of the gadget, including but not limited to personally identifying and non-personally identifying usage information, you or the party receiving the information must make publicly available on your website, and abide by, a legally adequate privacy policy.

英語はあまり得意でないので細かいニュアンスはわかりませんが、要約すると「ガジェットでユーザーの情報を取得するなら、その情報を受け取る貴方、もしくは組織を貴方の Web サイト上で公開し、なおかつ法的に妥当なプライバシーポリシーを遵守しなければならない」という感じだと思います。わざわざ利用規約に明記しているくらいなので、ユーザーの情報を取得すること自体は条件付きながら Google も認めているようです。ログインが必要なサービスを扱うガジェットもたくさんありますから、そうでないといろいろまずいわけですが。

残る問題は、どの程度の情報を公開すればよいのかという点ですね。こればかりはケースバイケースだと思います。利用規約にも具体的な記述は見当たりませんでした。常識的に、最低でも「誰が、どんな目的で、どのような情報を取得しているか」くらいは、明示的にユーザーに告知するべきでしょう。その上で、ガジェットの機能がそれらの個人情報に見合うものかをユーザーに判断してもらうことになるかと思います。

ただし、インラインガジェットに限っては、規約云々に関わらず不必要なコードを含めるのは極力避けるべきかと思います。インラインガジェットは Google ドメインのページで直接実行されるため、 Google ドメインの Cookie 情報などもその気になれば取得できます。また、もしコードに不具合があれば Google Personalized Homepage そのものが利用できなくなる可能性があります。インラインガジェットは安全性・安定性を最優先にして制作するべきです。

まとめると、

• アクセス解析も含め、ユーザーの情報を取得すること自体は問題ない。
• その際は、可能な限り情報を公開し、ユーザーに納得の上で使ってもらう。
• ただし、上記に限らずインラインガジェットでは好ましくない。

というのが私の見解ですが、いかがでしょう。間違いやご意見などありましたら、お聞かせくださいませ。