blog アーカイブ

はっきり申し上げますが、ずさん。

７回目っていうのは・・・

ことばになりません。

公表すればいいというものではありません。

公表されてないものはもっとあるのではと疑ってしまいます。

是非とも体制の見直しを。

預金保険機構は捨てた可能性が高いと勝手に決めつけた上に、そのデータの銀行名も何も公表しないとしたようだ。
しかし、本当に紛失なのか？悪意のあるものが盗難した可能性はゼロなのか？
もし、盗難だった場合、パスワードの解除などは当然されてしまう可能性が高い。
全員に通知するなどの必要は無いが、銀行名だけでもきちんと公表すれば、利用者は自分の口座状況に対して、
気をつけることができる。にも関わらず非公表にしたことの理由があまりにもいいかげんなのではないか。
他行は抗議すべきだ。特に関西の銀行とまで公表されているのである。
個人情報漏洩に対しての今回の対処の仕方はあまりにも銀行慣例の手法で、
ひどい対応だといわざるを得ない。

一人に１万円・・そして５億・・
毎日のように流されるお詫びであるようなないようなテレビＣＭの垂れ流し。
一体、この企業はいくらの余剰金があるのだろうか。

個人情報漏洩したのだから、企業責任は取っていただきたい。
しかし、被害者も出ていない状況にもかかわらず、全員に１万円などとの
前例を残すことには異議がある。
なにか今後伝わっていない内容で１万円をもらった方たちに被害があるのでは
ないかと疑ってみたくなるほどの金額だ。
もらった側も実害もまだ無いのに、こんなに先走って奮発されると気持ちが悪い。

ソフトバンクＢＢの漏洩問題の解決金５００円に始まった
企業賠償はとうとう１万円の大台の前例をつくったことの問題は大きい。

今後の同様の事件はどうなっていくのだろうか。

協会としては、個人情報漏洩を企業に防いで欲しいという立場に変わりはないが、
金銭による問題解決方法には異議がある。
もう少し、冷静な対応をしていただきたいものである。

個人が他国にアクセスする、または、アクセスをさせるために、
許可制にできないものか・・・
日本国内向けのサイトであるにも関わらず、
他国のサーバを利用する必要は本来あり得ないはずであるから、
そういう利用をさせないということよりも、
申請を受け、許可をするという手続きをさせることができれば、
顔が見えてくる。

ネットパスポートという理念をせめて日本国からだけでも
スタートさせることは不可能ではないはずである。
ituneは日本国からのアクセスでは、
アメリカの流通されている環境にはアクセスすることはできない。
こういった技術があることからすれば、
可能であることは明白である。
中国国内だって国内の壁をつくっています。

サイト攻撃をされて、情報が流出してしまうことが、
今後、銀行、カード会社のサイトから１００％無いとは絶対に言えない。
日々、ハッカーからの攻撃に対して、防御のみの対応であるから、
いたちごっこのような状況で、ほんの一瞬でも隙を見せてしまえば、
その一瞬ですべての情報が流出する。

先日の保険会社の場合は、もっと劣悪で、
協力会社という伏兵による人的流出である。
これはどうすることもできない。
それは、モラル、性善説という、精神論、犯罪学というものを
逸脱するものがいて、初めて成立してしまうものだからだ。
しかし、この問題は、当協会が訴える個人、個々への認定ということが、
モラル、性善説とともに抑止につながると考えていることだが・・・

少し、話はそれたが、
まずは、ま・ず・は、国外からの攻撃という行為そのものをまず絶つ手段の
構築・・・ネットパスポートという概念を早急に構築するべきと
考えます。
利便性だけで国は守れない。
だから、パスポートというものが存在していて、
国と国を行き来する空港、港では、チェックが行われている。
しかし、ネット社会にはそれが無い。
インターネットのチカラを制御する必要があるにも関わらず、
その概念が少々不足しているサービスだからである。
まだまだ未熟なサービスである。
しかし、何もわからない初級インターネットユーザのみがこういった
知らず知らずのうちに巻き込まれているということを
放置しつづけることは、インターネット社会にとって本当に
良いことなのか？？？
なぜ、情報サイトにアクセスしているだけなのに、
いつまでウイルスソフトを利用しなければならない環境下で
利用しなければ、ならないのか。
テレビを見てるだけなのに、テレビが壊されるような信号は
送られて来ない。
なのにインターネットは毎日のようにパッチといわれる、
薬が１０００も届いている。
もう少し、国をあげて、ネット社会をあげて、
環境改善をするぺきではないでしょうか。

また、話はずれてしまいましたが、
まず、個人情報漏洩、流出を抑止するということのひとつの提案として、
ネットパスポート化の推進を唱えていきたいと思います。

先生、役所職員、警察官、自衛官などの公務員は法律の下での対象に存在していない。
それは、すべて公務員は性善説にたって、法律は犯さないものとされているからだ。

しかし、この個人情報は、悪意が無くても日々、業務の中で持ち歩き、そして、氾濫している。
特に、この公務員の身の回りは、すべての国内企業以上の個人情報の宝庫である。

この部分には全くと言っていいほど、縛りがなされていない。
それは単に性善説にたっているからだけである。
誰も持ち出さないだろう、そんなことはしないだろうと・・・

しかし、それは一般企業も同様なのである。

ここに来てこうした公務員の中から、悪意のあるもの、管理不足（個人情報の取扱方の粗雑さ）などから、
持ち出し、紛失という事件が多発している。
未公表を加えれば、毎日のように起きているのではないだろうか。

公務員についても、当協会としては、
自動車免許証同様、企業人、公務員を、問い、分けへだつことなく、
個人情報保護取扱ライセンスである、シールドライセンスの取得の重要性を
もっと強く発信していかなければならないと、日々痛感するものです。

みなさまの当協会への同意、ご協力を強く願います。

企業は個人情報漏洩をするたびに、謝罪金を払って終わりにする。
もとは、ソフトバンクの５００円にはじまるわけだが、
誰が悪くて、何が問題で、これから先にどういう問題が残って・・・
そういうことの解決をひとつも無しにして、謝罪金を払うということを
優先して答えてしまう。
こういう体質は本当にいかがなものかと思う。
これは金満体質による企業の欺瞞だ。
個人情報に対しての企業の軽視そのものであるにも関わらず。
１３万人に１０００円で、１億３０００万。ま、安いものなのか・・・？
中小企業では不可能な対応。
こんな慣習にして本当にいいのだろうか。

とある、作家がこういうことを起こしている企業は、
ISO ISMS プライバシーマークを必ず保有していると。
このままでは、認定制度そのものの崩壊になるのではないかと。
すでに崩壊しているともとれるのだが・・・

金を払うということは、その人の情報を他人に渡してしまったけど、
このお金であなたの情報を買ったということにしてくださいと
言っていることと、どう違うのだろうか。
これが個人情報の売買とどこが違うのか。
結局、個人情報は金で買われている。

個人情報保護法は金銭による個人情報の売買を禁じている。
それを堂々とマスコミの面前で公表する。

もっとこういう問題の解決方法について、
真剣に議論をすべきである。

ともあれ、一刻も早く、漏洩に関する原因の公開をしていただきたいものだ。

よくある第３者からのサーバへの侵入による不正アクセス・・・

一体、どうやって侵入するのか・・・

当協会のサイトにも攻撃されたログの存在がたまにある。

どうも、SSH サービスを検出し、ID・パスワードを推測して認証試行を繰り返す攻撃ツールというのが存在するらしい。

ただ、この攻撃で侵入されてしまうのは、telnetやftpのサービスをサーバに設定してある場合などであるのだが、
この設定は通常、レンタルサーバなどでは、当たり前にインストールされている。
自社サーバなどの場合は、このサービスをインストールしないで済ませることはできるが・・・

できるだけ、パスワードが推測しにくいものにしておくことが重要ではあるが、
ＩＤとパスワードだけでアクセスできてしまうような環境は個人情報をデータベース保管を
しているようなサーバには決してゆるされるべきではない。
秘密鍵を利用したアクセス環境を管理者はすべきである。

特に今回のアミューズのサーバに関しては、いささかお粗末すぎると言わざるを得ない。
個人名とカード番号が同一のレコード内に存在していること、
問題なのは、そのカードの有効期限まで保管してあったということだ。
氏名、カード番号、有効期限
この３点セットさえあれば、ネット上のほぼ８割以上の販売サイトで利用が可能だ。

他の販売サイトでも同様にカード情報を残している企業は多いと思われます。
カード情報を保有されている企業は、システム構築、サーバ環境、データの保管方法などについて、
特に注意をしていただきたいと思います。

アミューズからカード情報が流出したもよう・・・
１０日に正式発表ということだが・・・
ちょっと遅くないだろうか・・・

一日１０００件以上の不正利用がある可能性があるというのに・・・

しかし、カード番号のみでは購入可能なはずは無いのだが、
一体どうやって購入をするのか・・・

サイトによっては、カード番号のみで購入手続きが可能なサイトも
現存しているよう・・・
しかし、本来有効期限および裏面のセキュリティーコードを入れる
ようになっている場合もあるが、
本当にその情報までクレジット会社の情報とマッチングされているのか、
はなはだ疑問に感じてしまう。

本来、番号だけ流出したところで、全く利用価値の無いはずの
クレジットカード。
このあたりのシステムの完全履行をすべきではないだろうか。

話は戻りますが、
できることなら、
少なくとも流出していると思われる顧客には、
郵送でも、メールでも、１分でも早い連絡をするべきだと思われます。
この対応を間違えれば、どんどん、被害は広がり、
状況は悪化していくものと、感じます。

さて、流出ルートは社員か、はたまた外注先担当か、
当協会のシールドライセンスが一日も早く、各、企業に浸透して
いただけることを望まずにはいられません。

１３万人分すべてのカード再発行費用を負担するそうです。
実際にいくらになるのでしょう。
１３万人　×　１０００円　＝　１３０，０００，０００
一億三千万円です。
これだけで済むとは思いませんが。
ただ、全員が再発行するとも思えません。
その後の手間が大変なんです。
実際にこのカード情報流出は、
金銭以上に個人の手間という負担のほうが大きいのです。

しかし、この金額・・・
アリコのアメリカ法人のひとりの役員報酬ぐらいでしょうか。
その程度と考えられるからこそ、
こんな対応ができるのでしょうかね。

１３万人程度の個人情報なら、中小企業でも所有している法人は
山のように存在しています。

そのすべての企業が同様の対処なんて絶対できません。
即死する企業も数少なくないはずです。
ジャパネットタカタのようにきちんと再生している企業も
いるわけですが。

くれぐれも個人情報の管理は外注先を含め、
厳しい以上の対処をされることをお勧めいたします。

以前にも話しましたが、
個人情報の漏洩に対して、日本国内の直接的法律の存在はまだありません。
結果、いまある法律を駆使して逮捕せざるを得ず、
妥当な刑罰が与えられているかすら、疑問の状況です。

この国の法律の最大の欠点は、
本当の被害が起きてからのものにしか、罰則を与えないことが原則になっているからです。
ただ、個人情報をウイニー等で流出させたからといって、
その時点では、実害を受けた被害者はいません。
その情報から、家をつきとめられ、脅迫、ストーカーなどの直接被害が発生したときに
初めて、警察力は働きますが、それでは遅いんですよね。

話は個人情報漏洩に戻りますが、
実際の流出内容からその被害者の被害の回復の手間、費用等は
本当に５００円とか、１万円とかでまかなえているのでしょうか？

答えはＮＯです。

今回のクレジットカード番号の流出などでも、
その恐れのある方たちですら、必ずしも番号の変更手続きを
行っていません。
なぜなら、再発行を受けると、番号そのものが変わってしまい、
様々な支払いに登録してある場合など、
その変更により、支払い遅延、督促、延滞金など
引き落としができないためにおこる不測の事態も含み、
大変面倒になることが原因です。

とはいえ、その番号の変更手続きをせず、
知らずのうちに悪用されていたなんてことになれば、
最悪の場合、手続きを怠ったということで、
被害者である側にも責任がおよぶ可能性も否定できません。

是々非々にて、早い法改正、法整備がなされることを強く望むものです。

協会の第一目標である、個人情報漏洩の抑止は、
モラルだけでは、達成されません。
直接的罰則があることが最後の抑止につながるという点では、
非常に大切だと感じています。