シンジです。本題に入る前に、Slackのプライバシーポリシーを読んだ事ってありますか?これがすごいボリュームで、結構すごいことが書いてあるんです。アップデートされた最新版を見たときはビックリしました。今回はその話ですが、回りくどく書きます。
今更感もあります
実は5月1日に大幅改訂されていて、それよりも前から「プライバシーポリシーを変更するからチェックしてね!」的なメールが来ていたので、アップデート後に速攻で全力チェックして既に気づいていたのですが、あまりにも衝撃的な内容だったので社内では公にしませんでした。
ポリシー全文読むの大変なのでピックアップしますが
通常、こういった組織向けサービス(SaaS)には、ユーザー権限機能があります。 Slackは結構複雑になっていて、偉い権限から順に、
- Primary Owner(プライマリーオーナー)
- Owner(オーナー)
- Admin(アドミン)(管理者)
- Member(メンバー)(一般ユーザー)
- Restricted Account(リストリクテッド アカウント)(制限ユーザー)
- Single Channel Guest(シングルチャンネルゲスト)(1チャンネルだけ入室できるユーザー)
とまぁ、こんなにあるんですね。 ちなみに一番下の「シングルチャンネルゲスト」のみ完全無料枠ですが、もし有料プランをお使いの場合は、その他の権限を持っているユーザーは課金対象です。
権限ごとに、微妙に力加減が違う
Slackでは、自分の権限を、自ら放棄することが出来ません。 例えば、Adminのユーザーが「俺はAdminじゃなくてMemberが適切だな」と思っても、これを変更出来るのはOwner以上の権限を持った物のみです。
ということは逆に、Ownerになれるのは、Primary Ownerが指定した人間のみです。
ところがAdminは、Adminが指定してMemberから昇格させることが出来ます。でもその逆が出来ないのです。不思議ですよね。
まずはこの点をしっかり理解して下さい。
ちなみにPrimary OwnerとOwnerの大きな違いは、Slack有料プランへの変更や、Slackへの支払い関係の操作ができるかできないかの差です。
そしてAdmin以上は何が出来るのか
Admin以上が出来る事は以下のような具合です。結構あるので一部だけ。
- Slackのチームに新しいメンバーを招待する・無効化する
- 全発言の削除権限を持っている(プライベートグループ、DMを除く)
- 全員のアカウント名・表示名を変更出来る
などなど、多岐にわたります。
cloudpackでは最上位プランで契約中
特に現時点での最上位プラン(Plusプラン)では、SAMLによるシングルサインオンが実装されています。大変セキュアな環境が構築出来ますね。
さて本題に行きますよ!!
お分かり頂けただろうか。
ここまで来てようやくネタバレすると、「Plusプランのみ」実装されている機能「監査向けメッセージログ出力機能」なんですね。
Plusプラン未満の方には「全く関係の無い話」なんです。これこそが、プライバシーポリシーの大きな変更点と言えるでしょう。実はこの機能の話しは、いろんなページに書かれています。(特にPrice)
要するに、これまで発言してきたデータが、全て出力してダウンロード可能だと言っています。
ここで重要なのが、
- プライベートグループの発言
- ダイレクトメッセージ(DM)の発言
- 削除された発言
が、どう取り扱われるのか?ということです。 上の画像を見て頂くと分かりますが、これら3つについては、
「Owner権限以上であればダウンロード『要求』が可能だ」と言っています。
好き勝手にダウンロードされることは無いものの、ダウンロードすることは自体は出来るようになっているんですね。
プライベートが丸裸になっちゃうの!?とか思っちゃったりして。
ちょっと怖いと思いましたか?
ここで大事なことは、「Slack怖い!もう使わないもん!」から「いや待てよ、実は他のメッセンジャーより安全なのでは?」という発想の転換です。
Owner以上を誰にするかきちんと決めて公表しましょう
役員の中でも一部に限って、一人がPrimary Owner(CFO)、一人がOwner(CEO)としました。そして、法的に必要に迫られない以外は、絶対にダウンロードしてはならないと釘を刺しました。正直、始めは嫌がられましたが、この機能の重要さと、責任の重大さをきちんと理解頂き、権限委任を承諾頂きました。
もしこういったプライバシーに関わる情報を上の2人がダウンロードしたとしても(ダウンロードされる側が許可しない限りダウンロード出来ませんが)、Admin権限以上であれば、誰がいつダウンロードしたのかが分かりますので、まずやらないでしょう。
だからこそSlackは安全なんです、その理由
というわけで、弊社では絶対に信用のおける2名が選出されました(本人達が嫌がって管理画面に入らない、というかCEOは管理画面への入り方をたぶん知らない)、ので、これからも安心してSlackが使えそうな気がしました。いやまてよ。
むしろ、Slackによって守られていると考えた方が正しいのでは?
なぜなら、シングルサインオンは大変安全で、もし万が一、事件事故があったとしても、そこにログがある以上、自分の潔白を完全に証明出来るツールだからだ、と考えるべきです。
実はSlackのPlusプランは、ユーザーの為に、安心安全に使ってもらえる機能を作ったんですよ!ということなんですね。Slackすごいね!