アナウンス:スラドとOSDNは受け入れ先を募集中です。
高木浩光 - 個人情報取扱事業者の個人情報に係る義務の対象は当該個人情報データベース等に係る個...
高木浩光氏の個人データ保護に関する約9万文字以上インタビュー 58
ながい 部門より
高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱-JILIS
高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱-JILIS
https://cafe.jilis.org/2022/03...
情報元へのリンク
コインハイブ事件、最高裁で無罪確定へ 246
ムザイ 部門より
裁判ではこのプログラムが「閲覧者の意図に反した不正な動作」をしているかが争われた。一審判決は「意図に反した」点は認定したものの、不正性は認められないと判断された。二審では反意図性及び不正性が認められるとして罰金10万円の有罪が下されていた。最高裁では社会的に受容されている広告表示プログラムと比較した場合でも、処理能力に与える影響に有意な差はない。これは社会的に許容し得る範囲内であるとして無罪を言い渡したとしている。
なおこの件に関して、証人として裁判に出廷したこともある高木浩光氏が判決の前に考察を行う記事を掲載していた(不正指令電磁的記録罪の構成要件、最高裁判決を前に私はこう考える)。
あるAnonymous Coward 曰く、
本件プログラムコードは,そのような仕組みとして社会的に受容されている広告表示プログラムと比較しても,閲覧者の電子計算機の機能や電子計算機による情報処理に与える影響において有意な差異は認められず,事前の同意を得ることなく実行され,閲覧中に閲覧者の電子計算機を一定程度使用するという利用方法等も同様であって,これらの点は社会的に許容し得る範囲内といえるものである。
広告だって無許可でリソース使っとるやん、という割と素直な判決。
高木浩光 不正指令電磁的記録罪の構成要件、最高裁判決を前に私はこう考える
高木浩光 スマホ覗き見の反復で迷惑防止条例違反の犯罪に?改正ストーカー規制法の位置情報規定に不具合か
行政手続きに使われる「xID」がマイナンバー法違反の指摘。これを受け自治体でアプリ利用停止へ 59
統合しました 部門より
xIDは本人がスマホアプリにマイナンバーを入力しxIDを生成する仕組み。このxIDのシステムに関して高木浩光氏がマイナンバー法2条8項にある「裏個人番号」に該当するのではないかと指摘している。同氏によれば「裏個人番号」は、法的にはマイナンバーと同等のものになるという。マイナンバーは桁数が少ないことから、不可逆なハッシュでも総当たりによって元の番号を特定することができるためのようだ。
マイナンバー法では、マイナンバーは税・社会保障・災害対応の3項目の利用目的以外は認められていない。また先の目的以外に本人や行政機関・事業者などがマイナンバーを提供することを禁止している。xIDアプリにマイナンバーを入力させることが違法なマイナンバーの収集にあたるのではないかということになる。
xIDは加賀市や三田市、町田市などが自治体の電子申請システムや施設予約システムなどに導入済。しかし高木氏などの指摘を受けて利用停止する動きが出ているという。読売新聞によれば、加賀市は9月末に全申請を停止。愛媛県はこのアプリ経由の登録者のデータを削除、別方式で再登録を行った。東京都渋谷区はアプリ導入を撤回。川崎市や岐阜県も使用できないように設定変更したとしている。
総務省、郵便局が顧客データを企業に販売できるよう法改正へ 65
転居届のNHK通知も問題視されてるのに 部門より
総務省は日本郵政が顧客のデータを企業に販売できるように法改正を目指しており、そのため個人情報保護ガイドラインを来年夏までに見直すことがわかった(産経新聞)。
日本郵政グループは郵便物の配達状況から全国各地の住所について居住実態・自動車の保有状況・店舗の開店閉店情報などを把握している。
今後、その居住者情報を災害時に自治体に提供することで安否確認に利用したり、自動車保有状況をデータベース化して自動車販売ディーラーに販売し営業に利用してもらうなどの新規事業を想定している。
郵便配達という誰しもが利用しているサービスが個人情報を吸い上げ売り物にする、というのはいささかセンシティブで議論の余地がありそうだ。せめて各顧客の同意を得てからでないとダメなのでは?
なおこうした総務省の方針に対して、高木浩光氏は郵便局員への住民の見方が変わってしまう点や住居侵入などの犯罪に当たる可能性があるといった問題提起を行っている(高木浩光氏のツイート)。
日本郵政が居住情報、自動車保有状況などの収集を検討し高木浩光氏が問題提起
完全な形で実現すれば、会社にいながら警戒心を抱かれることなくリアルタイムで不在の家を検索したり高級車の駐車場所を調べられるようになるのではないだろうか。
情報元へのリンク
加賀市などが導入したデジタルIDのxIDがマイナンバー法違反で炎上中
加賀市がエストニアのような電子政府を目指して導入したデジタルIDの「xID」が、マイナンバー法違反であることを高木浩光先生などが指摘し炎上中です。(渋谷区も導入を計画中。)xIDは本人にスマホアプリにマイナンバーを入力させxIDを生成しますが、これはマイナンバー法2条8項かっこ書きのいわゆる「裏個人番号」に該当し、つまりマイナンバーと法的に同等のものですが、マイナンバー法9条はマイナンバーは税・社会保障・災害対応の3つの利用目的しか認めておらず、xIDのような「民間版マイナンバー」のような用途を利用目的として認めていません。また、マイナンバー法19条は、法9条の規定する利用目的以外に本人や行政機関・事業者などがマイナンバーを提供することを禁止しています。そのため、xIDはマイナンバー法9条、19条、2条8項但し書きに抵触して違法です。ところが加賀市や三田市、町田市などが自治体の電子申請システムや施設予約システムなどに導入済であり、富士ソフトやlayerXなどと業務提携し、xID社は、xIDを政府の推進するスーパーシティ構想・スマートシティ構想などに導入しようとしており、内閣IT戦略室やデジタル庁などはxIDの社長と親密な関係にあるようで、このxIDがマイナンバー法違反であることの社会への影響範囲は非常に大きいと思われます。
(ご参考)
xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)|なか2656のblog
https://www.naka2656-b.site/archives/30609966.html
情報元へのリンク
JR東日本、先月から顔認証で犯罪者や仮釈放者を照合していた 191
これはさすがにまずいんでは 部門より
読売新聞の26日朝刊のAI社会の解説記事内で、唐突に明らかにされたが、JR東日本は実は先月から、顔認証機能付きカメラで重要犯罪の容疑者や仮釈放者、挙動不審な人物などの顔を登録し、照合しているという(高木浩光氏のツィート)。
4月にはEUが監視社会防止のためにこうした事を原則禁止するという規制案を発表しているが、日本ではしれっと民間企業が運用開始していたようである。犯罪容疑者はともかく、仮釈放者や挙動不審者は法規制の対象ではないと思われるが、本人の同意なく勝手に照合して問題ないのだろうか?
高木浩光氏、日本版ePrivacy立法を目指すのであれば、通信の秘密の概念そのものを見直すべき 53
指摘 部門より
同氏によれば、現時点のとりまとめ案はEUで今年合意されたeプライバシー規則(案)を参考にして作られている部分があるという。日本の現行案が参考にしているのは、Cookie規制など表面的な扱いに参考にしただけだと指摘している。同氏は日本版ePrivacy立法を目指すのであれば、通信の秘密には機械的処理によって介入されることがあるといった部分を明確にするなど「通信の秘密」概念の再構成まで含めて検討するべきだと指摘している。
JR東日本、先月から顔認証で犯罪者や仮釈放者を照合していた
読売新聞の26日朝刊のAI社会の解説記事内で、唐突に明らかにされたが、JR東日本は実は先月から、顔認証機能付きカメラで重要犯罪の容疑者や仮釈放者、挙動不審な人物などの顔を登録し、照合しているという(高木浩光氏のツィート)。
4月にはEUが監視社会防止のためにこうした事を原則禁止するという規制案を発表しているが、日本ではしれっと民間企業が運用開始していたようである。犯罪容疑者はともかく、仮釈放者や挙動不審者は法規制の対象ではないと思われるが、本人の同意なく勝手に照合して問題ないのだろうか?
情報元へのリンク
高木浩光 日本版ePrivacy立法を目指すならクッキーのつまみ食いではなく通信の秘密の再構成を
テレフォンバンキングがリバースブルートフォース攻撃される可能性について 27
むずかしい 部門より
同氏はこの問題を指摘するために、三井住友銀行のコールセンターに電話したという。その流れ自体は複雑な上にとても長いので割愛するが、途中で上席担当が出てきた上で、危険性があること自体は認める流れるとなっている。
編集子が個人的に興味深かったのは、三井住友銀行の場合は、インターネットバンキングは継続し、テレフォンバンキングだけを止めるといったこともできるということ。キャッシュカードがICカードに切り替わってる場合は、磁気ストライプ型のキャッシュカードを偽造されても引き出せない基本設定になっていることなどだった。ほかの銀行でもそういうものなのだろうか。
なお高木氏は自衛策として、自分の暗証番号を複数回間違えて口座をロックしてしまう方法をおすすめしている。ネットバンキングやテレフォンバンキングがロックされていても、ATMからの引き出しはできるから問題ないそうだ。
高木浩光 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む
HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか 92
何周目の議論だ 部門より
Abema TVやAbema TIMESの記事で「信頼できるサイトの見分け方」として、「アドレスバーにカギのアイコンが付いているかどうか」というものが紹介されたのだが、これに対し正しくないとの批判が寄せられている(Togetterまとめ)。
「アドレスバーにカギのアイコンが付いている」というのは、そのWebサイトがSSLを使っていることを示している。また、『カギのアイコンが付いているWebサイトで緑色になっていれば「ある程度の安全の指標」になるが「注意は必要だ」』ともコメントされている。これは、そのサイトがEV証明書を使用していることを示している。
EV証明書に関しては単にサイトの運営社名を保証するだけであり、「アドレスバーが緑色になるサイトなら大丈夫」というのは無責任であると2008年にセキュリティ研究者の高木浩光氏が解説しており、EV SSLを緑色だというだけで信用してはいけない実例も紹介している。また、氏は「実在証明の機能はTLS(SSL)の機能ではない」とも述べている。
高木浩光@自宅の日記 続・検察官は解説書の文章を読み違えていたことが判明(なぜ不正指令電磁的記録に
HTTPS化されたe-Govサイト、HTTPでのアクセスはすべてアナウンスページに転送する残念な仕様 73
この仕様を考えたのは誰だ 部門より
「電子政府の総合窓口」となっている政府のe-Gov WebサイトがHTTPS化されたのだが、これによってHTTPによる接続が廃止されたうえ、HTTPでアクセスした際にはHTTPS版ページへのリダイレクトは行われず、まったく別のページにリダイレクトされる仕様になっていることから、不便だという声が出ている(@pmx003_the_oのTweet)。
コンテンツのパス自体は変更されていないため、URLの「http://」を「https://」に変更すればアクセス自体は可能になるのだが、現状e-GovサイトにHTTPでアクセスするとすべて「e-Govサイトのhttpによる通信終了について」(URLは「https://www.e-gov.go.jp/sorry.html」)にリダイレクトされる仕様になっており、URLを再度入力しなければならなくなっている。
セキュリティ研究家の高木浩光氏はこれに対し、「廃止すると安全になると勘違いしてそうだな。(実際には、廃止しようが、攻撃者は http:// のページを出してくる。)」と指摘している。