通報されたフォロワー限定ノートを事実確認できるようにしたい

[CAT5NEKO]

Summary

現段階では管理者は対象のユーザーをフォローしていない限りユーザーの投稿を照会した場合に鍵投稿が閲覧できません。

例えば、あるユーザーがこんな感じで鍵投稿で問題発言をしたとして

管理者（そのユーザーをフォローしてない状態）が投稿を照会した場合、鍵投稿を閲覧することが出来ません。

問題発言が直接通報された場合は問題が無いのですが、仮に通報された投稿内容でユーザーに対する処分の可否が決められない場合、管理者は対象者の他の投稿から総合して通報に対する対処を判断する事があります。

そういった場合に対象のユーザーが鍵投稿で発言されていると判断のしようがないため、モデレーション活動に不経済が生じます。（例えば何度も誹謗中傷に遭ったと通報を受けたが、その投稿だけでは常習性が分からないような事例）

Purpose

管理者がユーザー照会時に対象者の投稿を全て閲覧できるようにすると以下のようなメリットが考えられます。

・通報されたノートだけでは判断できない場合にその他の投稿内容から総合して判断できる。
・通報して下さった方の通報行為をより有意義に対処することが出来る。
・投稿内容を確認するために管理者が対象者をフォローする必要が無い。

[tamaina]

モデレーターが片っ端から読みに行くのを避けるためにモデレーターが開封したらモデレーションログに残すとかの工夫が必要そう

[kakkokari-gtyih]

モデレーターが片っ端から読みに行くのを避けるためにモデレーターが開封したらモデレーションログに残すとかの工夫が必要そう

なおワンマン運用の場合・・・

[tamaina]

（ワンマン運用でもモデレーターたくさんいても）管理者はデータベースから覗けてしまうので…

[kakkokari-gtyih]

まあそれはそうか…

[kakkokari-gtyih]

この機能を有効にしているかどうかは、サーバーのポリシーとして一般公開されるようにしたほうがいいかも

（登録する人＋他鯖の人のモデレーションの参考になる）

[kakkokari-gtyih]

もしくは通報のあった投稿（＝通報に連携させた投稿）だけロック解除されるとか
（ただし管理者が自分で通報して自分で見たら意味ないが、多少の抑止力にはなる？）

[sim1222]

通報機能の大幅な改修が必要になる可能性がありますが、通報などに紐づいたノートやその周辺の数ノートのみ、一時的に閲覧可能等にするなどをしてできる限り開示はできない方向に倒す必要があると思います。
現状、権限のないノートはDBから直接クエリを叩いて覗くなどの比較的コストの高い方法でしか閲覧できないため、安易に閲覧されることは少ないと思われますが、管理者やモデレーター等、比較的多めの人数が割かれているユーザーから任意のノートが操作なしに閲覧できるとなるとプライバシー保護の観点からも不安が生じると思われます。

他鯖からDBを叩けばどんなノートも閲覧できるという問題はサーバー運営者の信頼問題なので、不審なサーバーは配送停止などの処置が取られると思われるためこの問題とは別だと考えています。

[acid-chicken]

FYI: https://www.kantei.go.jp/jp/singi/titeki2/tyousakai/kensho_hyoka_kikaku/2018/kaizoku/benkyoukai/siryou4.pdf

[naskya]

モデレーターが開封したらモデレーションログに残すとかの工夫が必要そう

そのモデレーションログが公開されなければ外部のサーバーからそのサーバーを配送停止するかどうか判断できないため困ることに変わりはありません

[kakkokari-gtyih]

そのモデレーションログが公開されなければ

かといってモデログを公開するとそれはそれでまずそう（情報開示関連のログだけ公開するようにする？）

[tamaina]

公開されなければ...判断できない

わかる

情報開示関連のログだけ公開するように

これもモデレーション上まずいのよね
（誰がいくつ開いたぐらいの情報ならよさそうではある）

[mattyatea]

そもそも鍵投稿までモデレーションをしていてはそもそもモデレーションコストがものすごく高くなってしまう上に、連合先の物も見れてしまうとなれば、Misskey自体と連合してもいいというサーバーが少なくなってしまったりするのではないかと思います。

[kakkokari-gtyih]

ローカルは強制解除でもいいかもしれないけど、リモートまで開示できるようになると予期せぬ問題が起こる可能性があるので、ローカルの投稿限定で解除できる仕様にして、リモートとの紛争はモデと個別で相談する等で解決するのが良いかも

[fruitriin]

管理人すーぱーぱわーの存在は管理人以外に知られるときもちわるいかもしれない

[mattyatea]

気軽に見れてしまうというのも問題だと思います。
現在はDBに接続し、クエリを叩かなければ見れないため、それ相応の労力がかかります。
気軽にできるようにしてしまうと乱用が起きてしまったりユーザーのプライバシー、通信の秘匿性などが尊重されないと思います。

[okinjp]

モデレーター権限を持っているユーザーが”容易に”フォローしていない鍵投稿を見せられる仕様の場合、モデレーターも実質的にすべての鍵投稿について通信の秘密に関する法的責任を負うことになって、良識をもってモデレーターを引き受けてくれる人が減るような気がします。（通信の秘密の漏洩が発生したとき、その人が見ていないこと、つまりその人に責任がないことを証明できないため）

[nexryai]

せめてIDを手動で叩けばローカルユーザーの投稿なら無条件で見れるようにするとかに留めるべきかと（例えローカルであってもダイレクト投稿まで含めるのはプライバシー上の観点から個人的には十分望ましくないと思いますが）
連合先の鍵投稿まで見れるのは（もしそうなのであれば）流石に問題な気がします。モデレーションに関しては管理人が被害者と直接やり取りしてスクリーンショットなどを提供してもらった上でそれでも解決しないなら最終手段として手動でDBを覗く等で十分対応可能だと思われます。

[kakkokari-gtyih]

軽い紛争の場合はブロックやミュートでの対応を促したうえで、本当に、どうしても必要な時は鯖管にDBクエリ打ってもらう、でいい気がしてきた（）

[ghost]

鍵投稿は不特定多数に見えているものじゃないのでそれがみたくないならブロックしたらどうですか？で終わりでいいんじゃないかという気持ちになってる

[tamaina]

DBクエリを頻繁に打てる状況=セキュリティ上甘くなるのでは？とも思うんだけどどうだろう

[kakkokari-gtyih]

DBクエリを頻繁に打てる状況=セキュリティ上甘くなるのでは？とも思うんだけどどうだろう

（開発陣が想定していない挙動なので自己責任でいい気がする）

[tai-cha]

DBクエリを頻繁に打てる状況=セキュリティ上甘くなるのでは？

これはセキュリティ的に甘い方法で接続するのがよくない

[kakkokari-gtyih]

それでも公開設定をバイパスできる機能が必要だと感じる方がいらっしゃる場合はご意見ください

22:30 JSTまでに出なければ閉じます

[tamaina]

私は必要だと思っている

[tamaina]

現在はDBに接続し、クエリを叩かなければ見れないため、それ相応の労力がかかります。
#12343 (comment)

慣れれば…

[kakkokari-gtyih]

慣れれば…

開発陣が想定していない挙動なのでさすがにそれは自己責任でいい気がする

[tamaina]

モデレーターが閲覧可能な投稿の限定方法の案

a. 通報者が通報時に被通報者のノートを複数選択できるようにし、選択されたノートとそのスレッドを閲覧可能に
b. 通報者と被通報者のノートは全て閲覧可能に
c. その他アイデア募集中

[nakajima0528]

うちは1000人程度の小規模なので、もし問題が起こってもユーザーから状況を聴取することはある程度可能ではあるし、「何を通報されたのか」が確認できるようになるのであれば十分だと思っておりますので、aで良いと思います。

ただローカルに限って言えば、多くのサーバーでは登録に差し当たってメールアドレスやIPを取得し、その他もろもろ情報を預けて利用規約の「得た情報は必要な時にしか使わない」的な文面に同意していただいているので、その管理者に対して「見られるのは困る」「信用できない」「プライバシーが」というのが成り立つ状況は歪だなぁという純粋な疑問がちょっとあります。
どんなサイトやシステムでもadminというのは全部見られるものですし、実際にユーザーたちはそのように受け取っているようでした。
モデレーターにその権限を与えると…というのは同意するので、あくまで管理者に絞った権限であればもうちょっと幅が広くても良いと思います！

また、通報して見られるようになるという仕組みが公開されると、「じゃあ通報しなければ見えないんだな」と逆手に取られる気がしないでもありません。

[mattyatea]

aで良いと思います
通報されたもの以外を見れてもモデレーション的に大変だし
管理者と言っても1ユーザーですし...

[kakkokari-gtyih]

モデレーターが閲覧可能な投稿の限定方法の案

a（供給された情報で無理なら個別対応すればいいだけの話）

[GrapeApple0]

何が原因でその投稿が通報されたかがわかれば基本的にモデレーションは可能なのと、必要以上に見られるようにする必要はないので、私はaで良いと思います

[CAT5NEKO]

全部見て判断するレベルになったらもうモデレーションのレベルじゃなくて裁判所にお任せするのがいいと思う。
サイレンス、凍結、何もしない　しかできない以上、それが判断できる最小限の情報がそろえば十分ですね。

[EbiseLutica]

ａで良いと思います。
「該当する問題の投稿はすべて通報してね」な運用で対処可能なので。管理者ではないモデレータースタッフにノート全開示される仕様はちょっと権限が強すぎて重たいかなと思います。

[yuriha-chan]

性的嫌がらせの場合、関係ないリプライで近づいて、ユーザーの同意なく性的話題に無理やり転換し、執拗に繰り返すといった形態が多い。こういった流れは全部を見ないとわからない時がある。（悪質性の程度や、同意の有無がモデレーション対処の決定に必要な時がある）また、指示語が多すぎて単体では意味不明な投稿が通報される場合がある。このような時、ユーザーに文脈を指定してもらうのは双方にとって煩わしいだけである可能性が高い。「このユーザーから受け取ったダイレクト投稿をすべて通報の参考情報に含める」的なオプションを通報者が選べると個人的にうれしい。

[chikage8640]

元ゆりすきー管理者です。規模はそんなにですが過去の事案を。
サーバー初期の頃、明らかに怪しいアカウント（ダイエット薬の広告？）が作られましたが、見た目上全く動かず不気味でした。ゆりすきーを起点にダイレクトなどで他のサーバーにスパムを送られる可能性を懸念し、（まだ始めたてでSQLができなかったので）使えそうな規約なすりつけてアカウントを止めました。
通報において、通報者の意図する規約違反とは違う規約違反でしょっぴいた事が何度かあります。通報された行為には問題がないが、その前後の行為に問題がありそうな場合、また被害者のいないタイプの違反や迅速な対処をしないと甚大な被害が出る場合（たとえば殺害予告、爆破予告などで通報者の通報に不備がある場合）、調査に非常に時間がかかったり、最悪の場合困難を極めるのは致命的です。

個人的にあると嬉しいのは2つ。
1つ目はフォロワー限定投稿も時系列で見られるGodModeです。apzさんの挙げられたaとの併用で、緊急時の迅速なチェックにほしいです。
あくまで緊急用なので、以下の手順での使用でどうでしょうか。
1.ユーザー（複数指定可）と期間を選択
2.その情報をログに記録し、すべてのモデレーターと選択されたユーザーには通知を飛ばす（どのノートを見られたかまで出ると尚良し）
3.その期間のパブリック、ホーム、フォロワー限定をTLとして表示

2つめは、そのユーザーが何通のDMを連合先に配送したかのログです。ダイレクトの内容や詳細な宛先が出るとまずいのと、ローカル内でのダイレクトはブロック対応で済むのとで、これが最適かと思います。

[yuriha-chan]

身元を確認していないモデレーターにDM開示権限を与えたくないと思うので、管理者限定もしくは独立したロール権限であると良いと思います。

[kakkokari-gtyih]

#12343 (comment) で言及されているもの（God Mode・DM配信先のログ）に関してはいずれも別機能という扱いになりそうなので別でIssue立ててもらうのが良いかも

[chikage8640]

リモートには通知飛ばないけどその場合は・・・？

ごめんなさい、ローカルのユーザーに限った話のつもりでした。リモートは連合先の鯖缶さんと連携して対応でいいと思います。

身元を確認していないモデレーターにDM開示権限を与えたくないと思うので、管理者限定もしくは独立したロール権限であると良いと思います。

それはたしかにそうですね。そこら辺の塩梅は他の方の意見がほしいです（ワンオペしてたので……）

[chikage8640]

#12343 (comment) で言及されているもの（God Mode・DM配信先のログ）に関してはいずれも別機能という扱いになりそうなので別でIssue立ててもらうのが良いかも

なるほど、それは失礼しました。
それではこのIssueが結論まで出たら必要に応じて立てようと思います。

[yuriha-chan]

リモートの関わるダイレクト投稿に関しても、送信者か受信者の一方は利用規約とプライバシーポリシーに同意したローカルアカウントであるはずなので、特別に保護する必要性があるかは微妙なところです。

[CAT5NEKO]

各人の同意が必要です。ABで通信していたとしてAとの契約が成立したとしてもBとの契約が成立していなければBの投稿はみだりに操作できないものと心得ます

[yuriha-chan]

こんなスパムが来た！と通報されて、スパムの内容を確認するのにスパマーの同意が必要というのは不可思議です。

[chikage8640]

リモートの関わるダイレクト投稿に関しても、送信者か受信者の一方は利用規約とプライバシーポリシーに同意したローカルアカウントであるはずなので、特別に保護する必要性があるかは微妙なところです。

これは電気通信事業法における責務の一つ、通信の秘密によって保護されています。少なくとも日本においては誰が、誰宛てに、どんな内容を送ったかが保護されます。
そこをギリ回避して、スパムアカウントを特定できないといけないんです。難しい話ではありますが……

[kakkokari-gtyih]

「このユーザーから受け取ったダイレクト投稿をすべて通報の参考情報に含める」的なオプションを通報者が選べると個人的にうれしい。 - #12343 (comment)

ユーザーが大量のノートを選択するのが煩わしくないように「すべて選択」等のボタンを設けることはしてもいいと思う

[CAT5NEKO]

通報の判断をより慎重に行いたい
→判断材料を増やしたい

・通報者が通報に含めるノートを増やす
・通報した内容の鍵は限定して開示する（リモートも含む）

これはモデレーション業務上必要不可欠だからプライバシー保護を超えて限定的に許されるもの

これで解決できないトラブルに関しては裁判所（私人間の紛争）か警察（性犯罪の可能性等）に判断を仰ぐのがよい

という事で管理者が能動的に投稿をのぞき込むんじゃなくて通報処理だけでなるべく完結させたいところ

[kakkokari-gtyih]

A案で実装したうえで、何か問題が発生したなら（「やはり情報が足りない」等があれば）他の案を検討するというのはいかがでしょう？A案でも改善の兆しはある程度見込め、かつB案はA案の上位互換に当たるのでより慎重にすべきであることを踏まえると、A案で一度実装してしまってフィードバックを待つのがいい気がします（Misskeyはそのようにしてアップデートを繰り返してきているので…）

[kanade]

総務省の公開している文書に以下のような記述があります。

通信の秘密を侵害する行為は、「知得」（積極的に通信の秘密を知ろうとする意思のもとで知ること）、「窃用」（発信者又は受信者の意思に反して利用すること）、「漏えい」（他人が知り得る状態に置くこと）の３類型がある。
通信の秘密に係る情報を取得等する場合であっても、利用者の有効な同意がある場合には、通信の秘密の侵害に当たらない。また、正当行為（刑法（明治40 年法律第 45 号）第 35 条）、正当防衛（同法第 36 条）、緊急避難（同法第 37条）に該当する場合等には例外的に違法性が阻却されると解されている。例えば、通信履歴については、電気通信事業における個人情報保護に関するガイドライン 6（以下「ガイドライン」という。）第 32 条において「電気通信事業者は、通信履歴……については、課金、料金請求、苦情対応、不正利用の防止その他の業務の遂行上必要な場合に限り、記録することができる。」と規定されており、これらは正当業務行為 7と位置づけられている。

https://www.soumu.go.jp/main_content/000720826.pdf （PDFです）

通報に起因しない通常時の閲覧に関しては通信の秘密で保護されるべきですが、通報に関しては「苦情対応」や「不正利用の防止」に該当すると思うので、管理者が閲覧するのも正当業務行為だと思います。
なので正当行為の範疇であるためにも、通報されたときのみフォロワー限定のノートを見られるようにする、などの措置が必要だと考えます。