個人情報流出とセキュリティ対策:追記

  Spin out…: NTTデータ、サイトで収集した個人情報4312人分を紛失:Spin out…経由で、NTTデータからのデータ流出について知った。

 泥棒が盗んだ品物を盗まれた、古典的な間抜けな事件だ。二次窃盗犯は入れ物のほうに興味があった単純窃盗犯じゃないのだろうか。問題は盗まれたものが個人データだったために、三次四次と応用犯罪に登録者がさらされることだ。それと、一次窃盗犯(ネクストの社員)がやろうとしていたことは明らかにデータの窃盗で、明確な目的を持ってデータを盗んでいるので即刻逮捕し、組織ぐるみの犯罪(間違いないだろう)であれば、個人情報窃盗団ネクストの操作を進めなければならない。というか、しろよ警察。このネクストという会社のホームページには、「HOME’Sにおける個人情報の考え方」があり、書いてあることはまともだ。だから、余計に腹立たしい。もちろん、今回の件は一切そこには抵触していないといえるが・・・(そりゃ、他社からデータを盗みませんなんて書くわけないもんね)

【速報】NTTデータ、サイトで収集した個人情報4312人分を紛失 : IT Pro ニュース

 「ノート・パソコンの紛失」ならば社員個人のミスのようだが、紛失までの過程に組織的な関与があった。紛失した社員は情報へのアクセス権限を持っていなかったうえに、アクセス権限があっても、情報の持ち出しは禁じられていた。しかし今回、アクセス権限をもったネクストの社員が情報をダウンロードし、紛失した社員に渡した。しかも、ダウンロードの目的は「許しがたいもの」(NTTデータ)だった。NTTデータによれば、ネクスト自身が不動産査定サービスを始めることを計画し、NTTデータが収集したデータを分析するために持ち出していた。

 つい先日もファミリーマートでデータ流出があったばっかりだ。「102@Club(東武鉄道)で個人情報漏えい? – 個人情報保護めも」にあるように、東武鉄道では流出データを利用した架空請求が発生している。しかし、こちらの二つは流出ルートは特定されていないようだ。 

 前にもセキュリティで書いたが、データの流出経路のほとんどが、こういうIDを持つ人間が行っている。どんなに強固なパスワードだろうが暗号システムだろうが、人が介在する余地があれば、そこがほころびとなる。このことは、住基ネットでも一緒だ。しかも、住基ネットの場合は、認識用のダミーをもぐりこませたりできないから性質が悪い。

 セキュリティについて、人の重要性からアプローチすることが重要であるという記事があったので、クリップ。

エンタープライズ:「製造業の現場主義をセキュリティの分野に」と語った山口英氏

 そこでポイントとなるのは結局「人をどう育成して、どう配置するかという話になる。これはつまり、昔ながらの日本型製造業がやってきた現場主義であり、これは大切だと思う」(同氏)。山口氏は、想定外の事柄が起きても最低限の時間、最低限の被害でそれを押さえ込めるようにするには、セキュリティの分野だけでも、最近流行の組織論に逆らっていわゆる製造業における現場主義を採り、伸ばしていかないと、大変なことになってしまうだろうと危惧を示している。

 また、個人情報についての一般人(俺を入れてもいいと思うんだが)と業者の深い溝が明らかになった。

検索エンジンのスポンサー広告で名簿屋が表示される – 個人情報保護めも

MSN や Fresheye などの検索エンジンで「個人情報」と検索すると、 スポンサー広告で名簿屋さんが1つ表示されます。

 ここに書かれているXXXXXXという会社は、名簿を売るとはっきり書いている(2004/6/8版にはなし)。そして、プレゼントつきアンケートでカモを待ち受けている。調査会社でも「個人を特定できる情報を第三者に渡すことは有りません(裁判所の命令等を除く)」と断っている会社が多い中にこんなのが混ざっているのは性質が悪い。この会社のホームページのプレゼントに引っかからなくても、この会社が他の一般企業の依頼で行っていたら分からないだろう。その企業のサイトに「個人情報を第三者に渡すことはない」と書いてあっても、XXXXXXが扱っていれば終わりだ。NTTデータに対する個人情報窃盗団ネクストの例もあるしね。

それだけではない、

スラッシュドット ジャパン | 住所・氏名・電話番号は個人情報ではない?

テレマーケティング倫理ガイドラインでは、

(4)個人情報

個人に関する情報のすべてを指し、その内容、種類および情報処理の形態を問わず、当該個人を識別もしくは分類することのできる情報をいう。
但し、個人の氏名、住所、電話番号は、一般に公開されている情報であって、個人の保護に値する利益を損なうものとはみなさない。

 という見解らしいので、住所・氏名・電話番号をばらされて訴えたとしても、「利益を損なったわけではない」と強弁するつもりらしい。どこかのチャレンジャーに挑んで欲しいところだ。同時に、政府は一刻も早く、個人情報を漏らされた個人が漏らした相手に損害請求できる法律を作れ。

 俺たちにできるのは、できるだけ個人情報を出さないことだが、限界があるからなあ。せいぜい、誤字を忍ばせるとか、嘘の属性をつかませるとかしかできない・・・

追記2004/6/8
某社からメールがあり「リンクと社名を削除してください」と丁寧なメールが届いたので消した。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です