そして国土地理院からも個人情報漏洩 69
ストーリー by yoosee
凄い痛い目見ないと分からない? 部門より
凄い痛い目見ないと分からない? 部門より
lucky曰く、"多少旧聞ではあるが、2月2日の発表によると 国土地理院でも 3505 件の個人情報が流出している(ITProの記事)。
国土地理院では、電子基準点データ提供用ホームページでデータをダウンロードする際に、個人情報 (氏名、勤務先、電話番号、メールアドレス、利用目的) の (筆者注:記憶が少々あやふやだが確か任意の) アンケートの入力を求めていた。2004/01/26 に外部利用者から、この 3505 件の個人情報が外部から閲覧可能であることを指摘され、直ちに原因を究明し問題を解決したとのことだが、その原因は「担当者の単純なミスでファイルの設定に不備があり、外部から閲覧できる状態になっていた」(国土地理院)と言う単純なものだ。
懲りずに何度も繰り返される個人情報の流出事件。にもかかわらず、管理組織は何もペナルティーも受けないのは、いかがなものだろうか。"
情報漏えいした管理組織に責任を問うべき (スコア:3, 参考になる)
懲りずに何度も繰り返される個人情報の流出事件。にもかかわらず、管理組織は何もペナルティーも受けないのは、いかがなものだろうか。
非常にそう思います、昨日の ACCS の一件でも、 ACCS 側のサイトを不備があったことについての報道が十分を行われていないようでしたが、別に誰が逮捕されようが脆弱性を発見しようが、そこに脆弱性があって情報の取得できることには変わりないんですから、そこもしかるべき制裁などを受けるべきだと思います。
...と、 ACCS ネタを火飛びさせてどうするのかと自分でも思いながら ID
Takeshi HASEGAWA
Re:情報漏えいした管理組織に責任を問うべき (スコア:2, 興味深い)
残念ながら、まだ時期尚早と言うべきかと。なんせ、客観的な監査機関が無いので、事件に対して定量的な判定が出来ません。定量的に判定出来ない物に、どの程度の制裁を科すべきですか?
取り敢えず、例の「個人情報の保護に関する法律」では、保護の努力義務が科せられます。また、監査機関となり得る「認定個人情報保護団体」が規定される模様ですから、これらが揃ってからと言う話になるでしょう。
それまでは、「任意に」個人情報を提供することを控えるぐらいしか対応出来ないかと。
-- Buy It When You Found It --
Re:情報漏えいした管理組織に責任を問うべき (スコア:1, 参考になる)
それは単に、officeへフォーカスがかかった後しか見てないだけだからでは?
[mainichi] 個人情報流出でACCSが謝罪会見 [mainichi.co.jp]
2003/11/12の出来事。ちゃんと報道されてたよ。
Re:情報漏えいした管理組織に責任を問うべき (スコア:2, すばらしい洞察)
「うちは悪くない」くらいのコメントをしていたので、
脆弱性放置していたくせに開き直ってるととられても
しかたがないのではないかと。
#じゃあ、ACCSの人はどう云うコメントをすればいいのかって云われると
#思いつかないんですが。
Re:情報漏えいした管理組織に責任を問うべき (スコア:0)
「ゴメンナサイ」
ただひたすらに「ゴメンナサイ」
言い訳はいらない。
Re:情報漏えいした管理組織に責任を問うべき (スコア:1)
ことくらいは発表してもらわないと...
# 担当を処分するだけってのはナシよ。そんなの対策じゃないし。
(オフトピ)ACCS ではありませんが……。 (スコア:2, 参考になる)
office 氏の件で、コンテンツの制作と管理を行なっていた会社が声明文 [josephandleon.co.jp]を出していますが、正直このコメントを読むかぎりでは今後もあまり期待できなさそうな気がします(汗)。
Re:(オフトピ)ACCS ではありませんが……。 (スコア:1)
# そんなこったろうと思ってはいたけどね。
Re:情報漏えいした管理組織に責任を問うべき (スコア:0)
放置していたことについては謝罪し、「それとこれとは別」ということを、開き直りととられないように述べることが肝要なのではないでしょうか。
#今回の自分自身の立ち回りの結果、多少のイメージダウンが発生しているという認識、ACCS側にはあるのでしょうか。
管理組織 (スコア:1, すばらしい洞察)
管理組織は何もペナルティーも受けないのは、いかがなものだろうか
それよりも前に発見者を不正アクセスだと称して訴えるような輩(あえてどことは言いませんが)もあるくらいですからねぇ。
ソフトウエア上のセキュリティホールについても同様ですが、実際に漏洩させるための手段を通知しても無視され、一般に公表しない限り対応してくれない企業や団体があまりにも多すぎるというのも事実です。
今回はそうではなかったようですが、官公庁は法的な整備で第三者からセキュリティチェックを堂々と受けられる仕組みと、検査者の安全(訴追から免れる)を確保し、安全性の確保を要求できる仕組みが早急に必要ではないかと思います。
Re:嘘まみれのプロパガンダ? (スコア:0)
そう言いたくなる気持ちは良く分かるのだが…
インターネットだけというのは変 (スコア:1, すばらしい洞察)
現実問題として、街頭署名等で得た個人情報に関してはペナルティなしで、インターネットの事件だけ処罰というは、変です。
やるのなら、個人情報を収集した管理者責任を明確にした方がいいと思われます。例えば、学校の生徒の名簿とかだと、卒業式とかイベントの時期になると電話がかかってくるので、いまでも漏れまくりだと思いますが、そちらの方の責任も一緒に網をかけるべきです。
たとえていえば (スコア:1, おもしろおかしい)
下品ですまん!
おいらはてっきり (スコア:1)
#あれもりっぱな個人情報漏洩だと思うが…。
@大阪なヒト
先生っ (スコア:0)
トラブルが起こってもその原因が何あるかも知り理解する事はできません。
触らぬ神に祟りなしって事になんでしょうね。
Re:先生っ (スコア:3, 参考になる)
明らかなプログラム上の不備で情報漏えいがおきたときの、
責任の明記と漏えい情報1件当たりの賠償額、対策コストの支払い
義務を契約書で書いてるどころか、起こさないようにつとめる
云々の文言すら入ってない(まあ、基本的に善良な品質のものを
納めることが期待されてるから、というのもありそうですが)と
いう、今のお役所仕事の契約書がまずいんじゃないでしょうかね。
技術的な部分が理解できないにしても、そういうのをどっかで
ひな形と指針を作ってくれれば、ちっとはましな品質のソフトが
導入されるような気がしますが。
Re:先生っ (スコア:1)
多くのソフトウェアは、使用許諾で一切の責任を負わないような
主旨が明記されてるのではないでしょうか。
責任の明記は、お役所仕事に限らずソフトウェア全般に
いえることだと思います。
Re:先生っ (スコア:1)
いえ、日本の偉い人たちは根性主義と言霊信仰に篤いので、
「マズい事が起きたときの事を契約書に書くなんてことをしたら、まるでマズい事を起こしますと言っているようなものじゃないか!
起きた時のことを考えるんじゃなく、起きないように実行するんだ!」
と仰います。
だから、マズい事なんて起こらないのです。
マズい事が起きたとしても、起きてないように振る舞わねばなりません。
起きた事がバレたとしたら、それはバラした人の捏造か意図的な工作であり、悪いのはバラした人なのです。
#シャレになってないけどID
Re:先生っ (スコア:2, 興味深い)
逆にこういう人たちは、個人情報が流失したことを自分たちのサイトのCGI等に問題があるからということを理解できず、
それを通報してきた人をクラッカーのように思ってしまってるのではないでしょうか?
だから、Office氏の事件も最初に担当レベルの人たちが対応していたときは、穏便な態度だったが、
報道で話が大きくなり、本当の原因を理解できない(もしくはしたくない?)上の人たちが出てきたとたん・・・。
#流失した情報を公開してしまったがいいかという問題とは別に、今回の事件はそんな流れに思えます。
〜明日は明日の風が吹く〜
個別例は別にして (スコア:0)
ほとんどソフトウェアのバグと同列の話で、ソフトのバグは存在してもペナルティーを受けないのに CGI とその使用者はただ使っているだけでペナルティーを与えろとおっしゃるか?
Re:個別例は別にして (スコア:1)
流出していたかどうかは、記事からは、ちょっとわからないね。
外部から閲覧できる様になっていた..らしいのだが、それについて
のアクセスがほんとになかったかどうかは、わかりにくい。ただ、
タイトルが「情報流出について」ということで流出したと臭わせて
いますね。
Re:個別例は別にして (スコア:0)
「どうやって」ですか?
「金を積んで」とか、「腹を切って」とか、
いろいろ考えられると思いますが...。
問題は、この場合どうやって被害を確認できるのか?
被害の実態が確認できない。被害が出ても因果関係の証明が難しい。
だからと言って許されるのは大問題じゃないですかね?
とりあえず、総当りなメルアド収集ロボットは確実に見つけた事でしょう。
ログデータに当たれば情報が収集されたと推測できると思います。
しかし、それだけで「社会的制裁」以外の制裁を与える事は、
(現行法の限
Re:個別例は別にして (スコア:1, 興味深い)
期待されているのかどうかは知りませんが、要するに契約次第です。契約次第では
>バグを原因としたトラブルで使用者が免責される事は
あり得ます。それが運用後の保守サービスですから。
本当はソフトウェアというのは「とりあえず作って、廉価で販売されて終わり」ではなく、「購入後の保守サービスを含めたもっと高価なもの」であるべきなのかもしれません。
そんな、バナナの叩き売りみたいな安値で売られて、後の動作保証までしろ、というのが無理なもの。
責任を負うことを「期待する」のではなく、ちゃんとそういうお金を払えばよいのです。で、一般人はそんな金を払わず、ソースネクストの販売する2000円ソフトがバカ売れするようですから、結局、期待されてないような気がします。
ソフトウェア保険が一般的になったら良いのかなぁ。何か問題があったら保険が降りる。ただし、利用するソフトによって掛け金が違う。MSのソフトを使う場合は相当に掛け金が高そうだ、、Adobeあたりは少ないのだろうか。
そうすると、保険を気にする人はMSのソフトを使わなくなるだろうか。どうだろ。
Re:個別例は別にして (スコア:1)
バナナだって食中毒が発生すれば供給元と販売店はそれ相応の社会的責任を負うでしょう。
同様に(かどうかは解らないけど)、ソフトウェアの提供者と使用者の間にどちらかが責任を負うと明記された契約が存在し、使用者がそのソフトでサービスを提供していて、ソフトのバグが原因の重大な問題が発生しても、提供者・使用者双方に契約だけでは補いきれない社会的責任(重さは変われど)が発生すると思いますし、そうあるべきだと思います。
オープンソースの「AS IS」だってそのソフトの評判にまで保険がかけられるわけではありません。
問題は、それを利用して社会をいい方向に持っていくことができるかどうかの方法論。
2000円のソフト(オフトピ -1) (スコア:0)
>お金を払えばよいのです。で、一般人はそんな金を払わず、ソ
>ースネクストの販売する2000円ソフトがバカ売れするようです
>から、結局、期待されてないような気がします。
Re:2000円のソフト(オフトピ -1) (スコア:0)
Re:個別例は別にして (スコア:0)
>被害の実態が確認できない。被害が出ても因果関係の証明が難しい。
>だからと言って許されるのは大問題じゃないですかね?
許されるんじゃないで
Re:個別例は別にして (スコア:0)
> いろんなところでアレやコレやされているわけですが、
> 許せませんか?そうですか。
えぇ、許せません。
ですから合法・非合法を問わず、
その都度ペナルティを与えております。
くだらないたとえでごめん (スコア:0)
たとえ事故を起こさなくても、公道上で飲酒運転やスピード違反をし、それが警察に発見されればペナルティをく
Re:くだらないたとえでごめん (スコア:0)
それは道路交通法が飲酒運転やスピード違反自体を犯罪として、刑罰を科すことにしているから。
単純なミスではない (スコア:0)
Re:単純なミスではない (スコア:2, 興味深い)
Re:単純なミスではない (スコア:2, 興味深い)
#記事読んでも、国土地理院がなぜこの情報を集めようとしたかが全然分からん。
たとえばサイトポリシーの場合 (スコア:1)
個人情報を第三者から見れないようにするとかかいてある。
だがこの項目は法的に何の効力も発揮しないと思われる。
しかし、入力した本人なら
そういうセキュリティーホールを発見したので、個人情報を削除しセキュリティー強化の請求の権利はあるはず。
そして最低でも本人のデータは消されることになる。
こうしてセキュリティーポリシーを掲げているところにはそこそこの効力はあると思います。
ただ、あくまでもその団体の規定であることは忘れてはいけない。
だから無視されることもあるでしょうが、そういう場合は慌てず
消費者センターにでも駆け込むのが良いでしょう。
2chとか/.に書き込むのは余計に迷惑が掛かることになる。
#実際は、サイトポリシーの項目が消えるだけかもしれない
有無自在
Re:単純なミスではない (スコア:0)
個人情報を無造作にWWWサーバで収集していたという状態でしょう。
他の役所系のサイトではどうか知りませんが、国土地理院のサイトでは、ダウンロードに個人情報を入力しないとできないのが多いと感じてます
住民基本 (スコア:0)
倫理的にはそのあたり追求すべきですが、
それが一般化してしまうと
住基ネットに問題があったとき
イニシアチブをとった上に何度も安全だと主張していた総務省の
責任を追求されてしまいます。
それは危険だということで、
国としては失敗して情報漏洩させてしまった側の責任を
追求したくないというのも同情の余地あり。
Re:住民基本 (スコア:1, 参考になる)
情報漏洩させてしまった側の責任を追及したくないなどという心情に
同情の余地などはみじんも見当たらないのですが。
Re:住民基本 (スコア:0)
もっと理解を深めないと本質は見抜けないでしょう
同情の対象は責任とは関係なく、人間としての弱さただそれだけです
Re:住民基本 (スコア:1)
許容した場合のリスクを考えていますか?
「人間の弱さ」など免罪符になりませんよ。
--- (´-`)。oO(平和な日常は私を鈍くする) ---
Re:住民基本 (スコア:0)
なると言ってる人はいない
ただ同情(あわれみ)の対象となるだけ
Re:住民基本 (スコア:1)
あれだけ強力押ししておいて、なーにが同情だ。ってなところ。
# しかも最初から(費用も責任も自治体持ち)責任逃れしてるし。
Re:住民基本 (スコア:0)
> 追求したくないというのも同情の余地あり。
同情の余地はあるかも知れませんが、情状酌量の余地はないので、
続けたいのであれば、緊急避難的に閉鎖して、とっとと改修してください。
個人情報の保護に関する法律 (スコア:0)
Re:個人情報の保護に関する法律 (スコア:0)
あれはすごく短い法律だよ。
Re:個人情報の保護に関する法律 (スコア:0)
なんか、罰金30万と読めてしまったのだけど、
私がバカなだけなんだろうなぁ、きっと。
#臆病な臆病者。
こっちもあっちも (スコア:0)
侵入して情報を取ったとしか言わないのね。酷すぎる
そもそも 穴が無ければ起きなかった事件で、
穴を開けていた奴が根本的に間抜けだった 、という話を
しっかりと話してほしいんだけどなあ。
Re:こっちもあっちも (スコア:0)
>侵入して情報を取ったとしか言わないのね。酷すぎる
そうか?
誤報ならともかく、限られた時間で報道する中で、
ニュースを取捨選択するのは当然だろ。
コメンテーターにつ
Re:こっちもあっちも (スコア:0)
つまり 番組を作る側の意見だけをごり押しするような状態でもOKなわけね
事実は事実であって視聴者が納
Re:こっちもあっちも (スコア:1)
そう思います.
そんな中でも 毎日新聞の記事 [mainichi.co.jp]では 一応その点についても言及してあるので 全てのマスコミで 説明なしってわけでもないようです.
でも やっぱりTVの影響って大きいので『そういう声もある』程度でもいいので言って欲しいなぁとも思いますけどね.
Re:こっちもあっちも (スコア:1)
毎日新聞は逆方向に寄りすぎなだけです。
まあ、両方耳に入る環境でどっちかしか聞かないのはそいつの責任ですし、
全体として右の意見もあれば左の意見もあるということでよろしいかと思います。