知らなかったでは済まされない、mixiアプリの個人情報漏えい

mixiなどSNSのソーシャル・アプリについては、以前その危険性を指摘したところだが、アプリケーション制作運営者の下での個人情報管理態勢にも問題があったことが判明した。

読売online:ミクシィ、４２００人の情報が３日間「露出」

これは、ミクシの全会員の1割が利用しているといわれているサンシャイン牧場というゲームにおいて、有料アイテムをクレジットカードで購入できるようになったとたん、購入申込みしてクレジットの決済もしたのにアイテムが来ないというトラブルに加え、クレジットカードでゲーム内通貨を購入しようとした利用者４２００人分の電話番号やメールアドレスが外部から閲覧できる状態になっていたというのである。

課金ミスの件は既にmixi内でも大騒ぎとなっていたが、個人情報漏えいの件は報道が出るまで騒ぎとなっていなかったように思う。

ところで、この問題、mixiが外部のソフト制作運営者にmixi会員向けゲームを制作させ、mixi会員のデータをゲーム上で利用できるようにしたことから始まっている。mixiとしては、ゲーム制作運営者の問題であってmixi自身の問題ではないといいたいところだろうが、それではすまないだろう。

個人情報保護法には、以下のような条文がある。

（安全管理措置） 第20条 　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。 （委託先の監督） 第22条 　個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

これは個人情報取扱い事業者にかなり重い負担を負わせていることで有名な条文だが、例えば下請け事業者に顧客データを処理させる場合など、請負元が下請け事業者のセキュリティ管理態勢をチェックし、監督しなければならなくなっている。その結果、高価なセキュリティ装置の導入を要求したりして下請けいじめに近い状態になったりもするが、ともかくも、自己が管理する個人情報を他人に処理させる者は、その他人の安全管理態勢に「必要かつ適切な監督」を行わなければならないのである。

個人情報取り扱い事業者は、漏えい事故等について監督官庁に報告をしなければならず、監督官庁は以下のような監督権限を有する。

主務大臣は、個人情報取扱事業者が第十六条から第十八条まで、第二十条から第二十七条まで又は第三十条第二項の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。

そういうわけで、mixiには中国のゲーム制作運営者に対してもきちんと情報セキュリティを確保するよう監督しなければならず、それを怠れば行政監督が待っており、行政命令に違反すれば罰則まで科される可能性がある。
ソーシャル・アプリの採用には気をつけなければならないのである。

コメント

> 個人情報漏えいの件は報道が出るまで騒ぎとなっていなかったように思う。

　私は、たぶん先月の23日に、↓のはてぶでうすうす知っていました(^^;。
http://b.hatena.ne.jp/entry/bakera.jp/ebi/topic/3945

投稿: しが研 | 2009/11/04 11:05

情報に疎いですね＞自分

投稿: 町村 | 2009/11/04 12:25

わたしはこっちを知りませんでした。

エクシングワールド
http://www.asahi.com/national/update/1103/TKY200911030351.html

仮想空間に４０万円ってどういうこと？

投稿: 酔うぞ | 2009/11/04 20:00

この条文での委託というのは、元請けが持っている個人情報を下請けに渡して業務を委託することを指しているとおもうのですが。

今回の事件は中国の会社が直接取得した個人情報が漏れたのであって、mixiからの個人情報の委託にはあたらず、よってmixi側には監督責任は生じないのではないでしょうか？

投稿: 教えてクン | 2009/11/06 16:54

その辺の詳しい状況は報道では明らかでないので、ひょっとしたら間違っているかもしれませんが、中国の会社はmixiアプリを登録することにより、mixiの保有する会員データにアクセス可能となるのでしょう。
どの範囲のデータがmixiアプリの運営企業によってアクセスできるようになるのかは判然としませんが、少なくとも会員の同一性を明らかにするデータとマイミク関係にあるかどうかのデータは提供するようですので、少なくとも氏名はmixiから中国の会社に渡されているといってよいでしょう。そしてmixiアプリはmixiにアクセスしてplayする構造を持つので、mixiの利用の一部を委託する関係にもあるといえるのではないでしょうか？

投稿: 町村 | 2009/11/06 17:54

こちらに少しだけ詳しいことが書かれていました。

http://bakera.jp/ebi/topic/3961

クレジット決済会社のページで入力したメールアドレスと電話番号が、運営会社のページで閲覧可能になっていたようです。
mixi が関与している情報ではないので、mixi がこれを防ぐのは難しいように思います。

>中国の会社はmixiアプリを登録することにより、mixiの保有する会員データにアクセス可能となるのでしょう。

これは違うと思います。
mixi アプリの実体は閲覧者のブラウザ上で実行される javascript（とflash）であって、これは閲覧者や所有者の個人情報にアクセスできますが、アプリの提供者がアクセスできるわけではないようです。

技術情報はこちらにあります。

http://developer.mixi.co.jp/appli

投稿: kei-2 | 2009/11/07 21:49

kei-2さん、情報を有り難うございます。

技術情報のページは私も一通り見たのですが、アプリの提供者はmixiのユーザーIDを基準にして、アプリの上でユーザーの情報やそれぞれのマイミクの情報を取得活用するようプログラムを組み立てるわけですね。その限りでは、確かにアプリの提供者が個人情報を取得することにならないと思いますが、課金する場合は、mixiアプリの利用者のIDと決済代行会社のページで入力した本人のメールアドレスや電話番号とを組み合わせることになりそうです。
そのデータは、アプリ上のみで使うのではなく、アプリ提供者の手元に置かれているのではないでしょうか？　で、今回はそれが見られる状態になっていたと。

ＩＤが個人情報に該当するかどうかという問題がありますが、他の情報と組み合わせることによって本人識別が可能となる情報に当たるのではないかと思われます。

投稿: 町村 | 2009/11/08 01:16