「『送信』ボタンを押す前から個人情報を取得する会社があった」

gizmodo.com

米オハイオ州のNaviStoneという会社は、「サイト訪問者の氏名や住所を明らかにする」と述べています。

彼らのスクリプトを仕掛けた、（おそらくはNaviStone顧客企業の）オンライン入力フォームは、「送信（Submit）」ボタンを押さなくても、フォーム内容を送信してしまいます。

「え？でも、わざわざフォームに入力したけど止めるってケース、そんなに多くないのでは？」と思う人もいるでしょう。

そこで出てくるのがブラウザのオートフィル機能。フォーム入力欄の名前属性に応じて自動的に内容を埋めてくれる機能ですが、これなら当該フォームを訪問した時点で、フィルされた情報は全部伝わるというわけです。

さて、上記記事でgizmodeはこのフォームを使った各社に使途についての問合せを行っています。返答はごくわずかでしたが「興味を示した訪問者に再活性化してもらうため。メーリングリストにも入れている」といった回答が得られているそうです。

また、NaviStone社にも問い合わせを行っています。その後、同社は「送信」前のデータ収集は止めた、と述べているそうです。

しかし、この手法は比較的簡単に使えるため、他の企業が同様のことを行うのは簡単ですし、そもそもオートフィルを期待するならばフォームが見える必要すらありません。つまり、フォーム要素が見えないページで、オートフィルされたデータが自動送信されている可能性がある、というわけです。

対策としては、やはりオートフィルを止めるのが一番でしょう。各ブラウザの設定画面から止めることができるはずです。