« JLF適性試験の使える法科大学院が広がる | トップページ | RFID:日立大甕の実証実験 »

2006/02/12

risk:スカイソフトの個人情報漏洩

この手のニュースは世に氾濫しているが、典型例として一つ記しておこう。

ITプロのニュース:インターネット書店の個人情報流出、再調査の結果新たに9000件が発覚
「この攻撃によって流出した個人情報は、名前、住所、電話番号、メールアドレスなどを含む1万3000人分のデータ。そのうち5000人はクレジットカード番号と有効期限も含まれていた。」

問題のサイトは現在お詫びと報告の告知となっているスカイソフト

このようなリスクは現実のものであるし、クレジット会社のような一見強固なセキュリティを誇っていて安定的にシステムを運用しているところでも、委託先の管理は完全でないことが判明したのがつい先頃のこと。

|

« JLF適性試験の使える法科大学院が広がる | トップページ | RFID:日立大甕の実証実験 »

ニュース」カテゴリの記事

コメント

 ネットでの支払いはクレジットカードではなく、電子マネーの方が無難でしょうかね。買い物サイトには、こちらの情報を出さず、匿名で支払うことができますから。

投稿: Inoue | 2006/02/12 23:39

そうですね。スイカやエディがオンラインで使えるならば、その方がよいのでしょう。
マックは使えないとおもうけど・・・。

投稿: 町村 | 2006/02/12 23:56

プリペイド式のものがありませんでしたっけ?

やみくもに個人を特定させようとするとリスクが飛躍的に高まることはIT業界ではもう常識で、「必要に迫られない情報は持たない」という方向にシフトしつつあります。
今は手探り状態の黎明期ですが、いずれ匿名性とトレーサビリティのバランスが落ち着けば、情報が漏洩してもダメージを抑えることができるようになるかもしれません。

漏れないのがベストなんですけど、100%漏れないなんてことはまずありえませんからねえ。

投稿: 金田真一 | 2006/02/13 09:48

Paypalとかも上記部類にはいるかも


しかし、かかる対策は外部に対しては有効ですが、
このような外部からの攻撃よりも内部からの流出が怖いです。

とくに被用者のパソコンにインストールされたp2pで流出する場合。

之に対して厳罰化(両罰規定)する方向の法案は何故出されないのか、個人情報保護法との調和の観点からかなり疑問があります。
国は重大な法益と見ていないのでしょうか。

民事でも国賠でたまに問題になるだけでしょうか今のところは

投稿: 東馬 | 2006/02/13 10:51

ウイルス感染を一般的なリスクとして捉え、安全対策を行っていないことに対する罰を与える、ということでしょうか。
ちょっとそれは厳しいような気がしますけれど、どうなんでしょう。免許制度あたりと併設しないと、罪人量産ってことになりそうです。
免許制にしてくれよと思う瞬間がないわけではありませんが、かといってサーバ管理に免許制を導入することが妥当かどうかは微妙なところかも。

情報窃盗罪、のようなものが創設されるほうが現実的なんじゃないでしょうか。とはいえ、有体物ではないものに窃盗が成立するのかどうか難しいよねって話が過去にあったように思います。

本来は市場原理で管理の甘いサービスが淘汰されていくのが良いんでしょうけれど、実はそれほど選択肢は広くない、というのが問題なのかもしれません。

投稿: 金田真一 | 2006/02/13 13:11

 かつてはクレジットカードは高額の買い物をするときの決済手段で、日用品を買う場合は現金でした。ですから、毎月送られてくる明細書をチェックするのは簡単でした。
 ところが、サインレス決済が普及し、スーパーのレジでカードで支払いができるようになったため、私のカード使用明細書は項目が50~60項目もあります。用紙1枚で収まらず、2枚以上に印刷されているのです。電話代その他の公共料金もほとんどカードです。
 こうなると、いつも使っている業者の中に不正請求を紛れ込ませても、すぐには気づかないと思います。

投稿: Inoue | 2006/02/13 17:37

金田さんへ

>情報窃盗罪、のようなものが創設されるほうが現実的なんじゃないでしょうか。とはいえ、有体物ではないものに窃盗が成立するのかどうか難しいよねって話が過去にあったように思います。

その点に関しては最高裁はわかりませんが
下級審判例でフロッピー等に化体した情報に
窃盗罪を認めていたものがありました。

私は結果犯的に刑法で規定してほしいです。

人の個人情報を流出させた者は・・・みたいに

あるいは
横領罪をモチーフに
単純情報流出罪
業務上(重過失)情報流出罪  

というふうに。

公務員だと守秘義務違反は
罰せられるはずですが、過失はないんでしょうか。

重要な個人情報の入ったPCに、P2Pソフトを
インストールして流出する事件が
1週間に1回はあるような気がしませんか。

このまま
会社も公務所も、指導しても相変わらず起きているのであれば、自助努力に任せていては危険な気が致します


>本来は市場原理で管理の甘いサービスが淘汰されていくのが良いんでしょうけれど、実はそれほど選択肢は広くない、というのが問題なのかもしれません。

同感です。
個人情報保護法にも罰則はありますが
勧告に従わないとかいわゆる行政刑罰の
類しかないようです。

>ちょっとそれは厳しいような気がしますけれど、どうなんでしょう。免許制度あたりと併設しないと、罪人量産ってことになりそうです。

とりあえず個人は故意のみ、業者は
故意又は重過失(予見可能性、結果回避可能性)に絞れば罪人量産という事態は
起こらないような気がいたします。

投稿: 東馬 | 2006/02/13 20:55

>情報窃盗罪、のようなものが創設されるほうが現実的なんじゃないでしょうか。とはいえ、有体物ではないものに窃盗が成立するのかどうか難しいよねって話が過去にあったように思います。

その点に関しては最%E

投稿: 東馬 | 2006/02/13 20:58

なぜだろう
また投稿ミスですみません。

投稿: 東馬 | 2006/02/13 21:03

P2Pでちょっと思った事を。
そもそも、大事な顧客情報を入れてあるPCに、P2Pソフトがインストールされているような事自体がおかしいと思いませんでしょうか。
私がクラッカーならば、「どうぞ情報をバラ撒いてください」とお膳立てがなされているかのように感じると思います。

これは、セキュリティが甘かったとかそういう問題ではありませんよね。
危機意識をほんの少しでも持っているかどうかの問題。しかも、決して難しいことではない筈です。
P2Pソフトを削除するかもしくは、顧客情報を別のPCに移して管理する。それだけで防げる事態な訳で。人によっては、小学生でも可能な方法です。

そんな簡単な防止策でさえも怠った結果、情報を漏洩させてしまったとすれば、それは当事者の重大な過失であると解釈できるのではないでしょうか?

投稿: 一晃 | 2006/02/14 10:22

全く賛成。
>そんな簡単な防止策でさえも怠った結果、情報を漏洩させてしまったとすれば、それは当事者の重大な過失であると解釈できる

投稿: 町村 | 2006/02/14 11:01

仕事に使っているパソコン(経費で購入している)を私用で使うというのがどうかしているという感じですよね。

投稿: みさき | 2006/02/14 13:37

私物のPCを業務で使用しているという例も多いようですよ。
充分な予算が充当されず、必要な数のPCが配備できないため、ある程度条件を付けて私物のPCの持ち込みを認めている官公署が少なからずあるようです。
そのようなPCからの漏洩が実際にありました(北海道警ですが)。

投稿: 小熊善之 | 2006/02/14 19:49

私物PCを業務で使用している一人ですが。
そのような状況では貸与された業務PC以上に気を使います。
私は必要に迫られてウイルス対策ソフトやパーソナルファイアウォールをインストールできない私物PCを業務で使っておりますが、万が一の際には全ての責任を負わされるでしょう。

だからこそ必死で守っております。

それくらいのことをしていないなら、業務上過失に問われてもいいのでは?と思うのですがね。

投稿: 金田真一 | 2006/02/14 20:11

http://www.geocities.co.jp/SiliconValley-SanJose/4188/Privacy/case2005.html

こういうのが検索したらありました。

そして今日もまた
http://www.yomiuri.co.jp/net/news/20060214nt03.htm

受刑者情報なんて、判例で問題となった前科よりも知られたくない情報のはずなのに


でも軽い内部処分で終わりでしょうね。
だから又明日もどこかで繰り返される


怖すぎます。

投稿: 東馬 | 2006/02/14 21:26

 こういう意見もあるんですね。

-----------------------------------
講演3 法曹界の立場
「個人情報が流失してしまった場合の傾向と対策・・・法律家の視点から」 (講演資料PDF:461KB)【講師】小倉秀夫 氏
……もし流出情報が氏名・住所・電話番号・生年月日程度の情報であれば対策を立てるほどのことはない、その程度の情報はすでに一般に流通していると考えたほうがいいと小倉氏は言う。……
http://www.iajapan.org/hotline/seminar/jinken2004.html
-----------------------------------

 ちなみにこのセミナーで配布されたパンフレットでは逆のことが書いてあります。
http://www.iajapan.org/rule/jinken2004.html
 このセミナーは財団法人インターネット協会が開催したものです。

投稿: とおりすがり | 2006/02/14 22:12

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/31412/8619920

この記事へのトラックバック一覧です: risk:スカイソフトの個人情報漏洩:

« JLF適性試験の使える法科大学院が広がる | トップページ | RFID:日立大甕の実証実験 »