【ほったらかしポイ活】MIKOSHIのメール連携機能の気になった点
MIKOSHIという “勝手にたまるポイ活” のサービスがあるのですが、登録の際に必要となるメール連携という機能の設定が気になったので、その内容を確認した際のメモです。私は、このメール連携が動作しないようにしておきました。
MIKOSHIのメール連携
MIKOSHIのメール連携では、利用者のメールを自動で読み取り、対象のECサービスからの商品購入や予約のメールがあればポイントを付与してくれるそうです。これが “勝手にたまる” ということなのかと。
このパターンで貯まるポイントは月間最大30Pなので少ないですが、自動化できるというコンセプトは面白いです。他にも通常のポイントサイトにあるような案件やキャンペーン等でもポイントが貯まります。
メール連携では、本記事の作成時点で対応している連携先は、Gmail, iCloud, Yahoo!JAPAN, Outlook, docomoメール, Y!mobileとのこと。
自分のメールをすべて読み取ること等ができる権限
このメール連携では、自分のメールの操作権限をMIKOSHIに付与することになります。
ただ、付与する権限そのものについては、そのメールをすべて読み取ること(※)ができるだけでなく、メールの削除や編集、送信もできます(少なくともGmailの場合)。さらに連携先のサービスによってはメール操作以外の権限も含まれます。
(※)メールの読み取りというのは、メールの件名や本文等を閲覧できるという意味
例えば、MIKOSHIのメール連携でGmailと連携する場合には、Googleアカウントのアプリパスワードという機能が用いられます。この設定は、Googleアカウントへの完全なアクセス権が付与される方法です。
アプリパスワードを生成した際の画面
基本的にそのGoogleアカウントを使ってGoogleの各サービス上で自由に操作できる権限を付与するものだと理解した方が良いでしょう(セキュリティ設定等の高い機密性を求められる操作については追加の認証を要求されるようになっていると思いますが)。
なお、Googleではアプリパスワードの使用自体が推奨されていません。
Google以外のサービスについても、それぞれの仕様に沿った権限が付与されます。
MIKOSHIの説明
MIKOSHIの公式サイトには、セキュリティ関連の認証を取得し厳重な管理体制のもとで運用されている旨の説明、また、購入/予約に関係するメールのみを取得できるシステムを利用している旨の説明が掲載されています。後者については、すべてのメールを取得できる権限を付与されるけど、システムの機能によって特定のメールだけを取得するようにしている、という意味ですね。
認証については以下の箇所です。
- 日本プライバシー認証機構が審査する個人情報保護認証「TRUSTe」
- 情報セキュリティマネジメントシステムに関する国際規格であるISO/IEC 27001:2013の認証
FAQに掲載されている説明は以下です。
セキュリティ
購入/予約に関係のないメールはどのように扱われますか?
MIKOSHIでは、購入/予約に関係するメールのみを取得できるシステムを用いています。それ以外のメールに対しては何の操作も行いません。メールボックス内のメールを操作したり、消去・編集・送付することはあるのでしょうか?
出典:MIKOSHI | FAQ
いいえ、MIKOSHI側から元のメールデータに手を加えることは一切ございません。
また、プライバシーポリシーや利用規約が公開されているので、収集する情報についての説明を確認できます。以下は一部です。
出典:MIKOSHI | プライバシーポリシー
出典:MIKOSHI | プライバシーポリシー
上記には、インターネット上(EC)での取引履歴や、メール以外にカレンダーやTodo/タスクに記録されている情報の収集についても記載されています。本記事の作成時点で、カレンダーやTodo/タスクの連携先は、Googleのみのようです。
利用するかどうかは各自で判断すること
上記のような外部サービスから情報収集を行う機能を持つサービスについては、そのサービスに対して付与する権限の内容を把握した上で、サービスを利用するかどうか、利用するならどのような点に注意するかを決めておく必要性があります。
最終的にMIKOSHIにその権限を付与して良いかどうかは各自で判断することです。
例えば、前述のGoogleアカウントとのメール連携に関しては、アプリパスワードの設定により、MIKOSHIが利用することになっている範囲を超える操作も可能な権限を付与する格好なので、必要最低限の権限とは言えない点に注意が必要です。
なお、MIKOSHIがセキュリティ関連の認証を取得している点については、相応の基準に沿って管理、運用していることを第三者機関に認められたことを示すものですが、その認証自体が利用者のプライバシーを直接守ってくれる訳ではありません。前述のように、プライバシーポリシーや利用規約の記載に沿って情報は収集および利用されますし、メール連携ではMIKOSHIに大きな権限が付与されます。
また、外部サービスとの連携についても、その連携のため外部サービスにアクセスする権限を付与するための設定により生じるリスクを直接MIKOSHIが負うものではありません。例えば、Googleアカウントの機能はMIKOSHIにとって外部サービスであり、MIKOSHIが取得している認証の範囲外でもあります。前述のアプリパスワード機能自体やそれによって付与される権限自体についてのリスクは利用者が単独で負うものです。
実際、アプリパスワード機能がGoogleによって推奨されていないものであることについて、MIKOSHIは言及しておらず(そのような説明を私は見つけられませんでした)、むしろ “Googleアカウントを外部サービスで安全に使用するための仕組み” とポジティブに表現しているだけです。さらに、アプリパスワードを生成するために必要となる2段階認証プロセスに関しては、メール連携では直接利用しない機能ですが、”2段階認証プロセスとは、Googleが推奨するGoogleアカウントのセキュリティが強化される方式です” と説明しています。このあたりは、安全性に関する説明が偏っている印象を受けました。
利用を検討する際には、上記のような点も考慮しておくと良いかもしれません。
心配だけどMIKOSHIに登録したい場合
心配であればMIKOSHIの利用を控えるのが一番ですが、メール連携(外部サービスとの連携)が心配だけどMIKOSHIに登録はしたいというジレンマがある場合の妥協案として、以下の2つのパターンを記載しておきます。
- 見られても良いメール等の情報のみを受信、保存、設定するアカウントを連携して利用
- 機微な情報を何も持たないアカウント(※)をいったん連携後、登録が終わってから連携を解除
(※)機微な情報を何も持たないアカウント:イメージとしては見られたくないメールや収集されたくない情報が一切保存、設定されていないもの
MIKOSHIの登録の流れにおいてメール連携は必須のようなので、上記の2パターンが考えられます。
1.の方は、ECサイト等での取引履歴なら見られても良いという場合に、そのようなメールだけを受信する専用のアカウントを用意するイメージです。
2.の方は、登録が終わってから連携を解除するパターンです(ちなみに、MIKOSHI側でなく連携先で設定を解除してもメール連携がエラーになって動作しなくなるという意味では同等)。なお、最初の登録時に連携された連絡用メールアドレスを変更することはできません。
あとは、MIKOSHI側で連携を解除した際に、連携先の設定がちゃんと削除されるかどうかは確認していませんので、ご注意を。連携のために権限付与する設定(Googleアカウントであればアプリパスワードの設定)が残ったままになっていないか確認し、残っていれば解除、削除しておくと良いでしょう。
(参考) 家計簿アプリの場合
ちなみに、家計簿アプリ等も、銀行口座や証券口座、クレジットカード等の利用情報等を連携するものであり、それなりの情報が収集、利用されています。
家計簿アプリでは、各金融サービスの利用明細や残高等を表示するために必要となるログイン情報を保存する方式です(近年はAPI対応)。これらのサービスを提供する事業者は電子決済等代行業者として財務局等に登録が必要です。また、各事業者では第三者機関による認証も取得しています。
家計簿アプリのサービスが取得した情報の取り扱い等については、各サービスの利用規約やプライバシーポリシー等で確認できます。
そもそも自分の口座情報や利用明細の情報を取得できる権限を付与したくない場合には、家計簿アプリの利用は控えた方が良いでしょう。MIKOSHIがメールやカレンダーの情報を取得するために付与する権限と比べて、許容度の違いは人それぞれかと思います。
私は、家計簿アプリのMoneytreeをメインで利用しています。
まとめ
MIKOSHIという “勝手にたまるポイ活” のサービスがあるのですが、登録の際に必要となるメール連携という機能の設定が気になったので、その内容を確認した際のメモでした。
happynap
(はっぴぃなっぷ)
3人家族で暮らし
ITっぽい仕事をしつつ
ポイ活、投資を趣味的に
スキマ時間に、ゆるく全力でブログ
のんびり昼寝したい
お得情報
出張先、旅行先のホテル予約はお早めに