旧湯沢市の公用パソコンからWinnyで大量の個人情報が流出 161
ストーリー by Oliver
セキュリティは人から 部門より
セキュリティは人から 部門より
mjg33 曰く、 "産経新聞が「ほぼ全世帯数の情報流出、旧湯沢市の1万人分」と報道している。記事によると、各世帯から1人を抽出した市民意向調査用の名簿を管理していた職員がWinnyを公用パソコンにインストール、ウイルスに感染したことが原因でほぼ全世帯数に当たる約1万1000人分の住所、氏名、性別、生年月日が流出した。"
えっ、訓告処分なの? (スコア:5, すばらしい洞察)
Re:えっ、訓告処分なの? (スコア:3, すばらしい洞察)
公務員は労働法とは別かも知れませんが、やはり「懲戒 [tamagoya.ne.jp]」レベルのようです。
#公務員が退職して困るのは失業手当が無いことですね。私は退職後すぐに就職したのでどの道もらえませんでしたが。
Re:えっ、訓告処分なの? (スコア:2, すばらしい洞察)
おそらくこの程度のクライアントの管理しかしてところでは、操作ログとか取っていないだろうから、証拠がないと思う。
本人が開き直れば面倒くさいことになる。
本人がWinnyを設置していたのではなかったら懲戒免職は重すぎるわけで、
湯沢市でもそういった判断が働いたのでは。(良い判断とは言えんが)
# だから、Winnyを設置していたではなく、個人情報の管理が甘かったという内容のお説教なんだろう。
ただ、これだけの個人情報を漏らしたんだから訓告は処分軽すぎ。
本人説得の上で最低でも減給ぐらいにはすべきで、諭旨免職も勧めるべきだと思う。
Re:職安へどうぞ (スコア:2)
調べてみたら雇用保険がそもそも無いからいわゆる失業手当そのものは無いのだとか。(公務員は建前上リストラ無いから。現実的にはそれに近いものはありますけど。)その代わりに公務員共済年金のうちの「短期共済」が、どうにかすれば失業手当の代わりになるようですね。退職時には年金受給の事しか教えてもらえなかったけど~。まあどっちみちもらえなかったので構いはしませんが、無知のまま過ごしていたとは…無知ならぬ厚顔無恥?!
Re:えっ、訓告処分なの? (スコア:2, 興味深い)
・ウィルス対策ソフトが導入されていなかったか、導入されていてもウィルス定義ファイルが更新されていなかった。
・何かしらの圧縮ファイルをダウンロードして、
・圧縮ファイルを解凍して、
・圧縮ファイルの中の、危険なファイルを実行して、
・ウィルスによって、重要ファイルがファイルアップロード用フォルダに格納されて、
・重要ファイルが蔓延するくらいの時間、winnyネットワークに接続していた。
っと。
Re:えっ、訓告処分なの? (スコア:2, おもしろおかしい)
「其の方 職場のPCでの不埒な行為
誠にもって許しがたき
よってHDDの中身一覧晒し者の刑に処す!」
#まさか職場のPCでエロ画像は集めないよねぇ
____
#風邪をひきました、脳が故障しています
#残念ながら仕様です。
Re:えっ、訓告処分なの? (スコア:2, 興味深い)
「パッケージ画像をちょこちょこっといじりたいけど、エディタが無い」
「今からWinnyでフォトショップ落としますよ」
そんな会話が横行してました。
で、実際にそれを使って加工した画像で発売。
#退社したけどAC
Re:えっ、訓告処分なの? (スコア:2, 参考になる)
後は、奇しくも4/22に行われる湯沢市長選 [mainichi-msn.co.jp]への悪影響も、現職市長としては不利に作用すると懸念しているのでしょう。
「奇しくも」ではなく、選挙戦を睨んで今の時期に個人情報流出を騒ぎ立てたという憶測もあります。この件は3/22には既に明るみに出ていた [sakigake.jp]ようですから。
Re:えっ、訓告処分なの? (スコア:1, 興味深い)
公務員を懲戒免職になんかしたら(公務員にとって)
悪い前例になってしまうので訓告で十分なんです。
‥‥ってコトなんかなぁって思ったよ。
#携帯なので祭に追従できなかったAC
Re:えっ、訓告処分なの?→☆激しく同意☆ (スコア:1)
まったく・・・
『公僕』 [infoseek.co.jp]という言葉を理解していないとしか考えられない事件だとワシは思う。
考えても見て下さい。ともすると、旧湯沢市全世帯に振り込め詐欺の電話やはがき、封書、そのほか諸々『うざい』ものが送り込まれる危険性があるんですよ?
市民の被る迷惑度を考えれば、訓告なんて軽すぎると思います。
#外野ですけど怒り心頭なのでID
#(--#)
[EOF]
幸せ≒やまびこ [slashdot.jp]
Re:えっ、訓告処分なの?→☆激しく同意☆ (スコア:1, 興味深い)
湯沢市民は湯沢市にたいして
慰謝料請求なり再発防止策の策定の要求なりをしてもいいのでは?
もっとすごいデータも危険にさらしているのかもしれんのだし。
もちろん、すべての公務員がふるえあがるくらいに
この職員は厳罰にしないと。
納税関係のデータとか、健康保険関係のデータとか、
湯沢市民だけじゃなく、われわれのデータだっていつどうなるか
わかりゃしない
Re:えっ、訓告処分なの? (スコア:1, 興味深い)
職員も訓戒だけでしたから。
個人情報1人500円と同じで、前にならえです。
こりないねぇ。 (スコア:2, 興味深い)
どうして『職場でやろう』などと考えられるのか。
普通のウイルスなら、ウイルス作る方が圧倒的に悪い訳ですが、
ことNy関係の場合作る方は無論、感染して情報ばらまく方も同罪程度にみなしていいんじゃないでしょうかね。
#自宅ならともかく職場でNyが使えること自体も問題な気がするが。やらかしたのはネットワークの管理者かなにかか?
Re:こりないねぇ。 (スコア:3, 参考になる)
その環境の、ネットワーク管理者が問題。
あたしは、「ユーザーを信じない」事から全てが始まる。と思ってるんですが。
「ユーザーは、自分の言う通りに使ってくれる。」とでも思ってるんじゃないか?
トラフィック管理が必要だと思うが、大変だろうなー。
管理者が、抜き打ちでパソコンを見て回るとか。
# 管理者自身がやってたりして。
hoihoi-p 得意淡然、失意泰然。
Re:こりないねぇ。 (スコア:2, 参考になる)
ユーザにWinnyを使わせないというのは結構難しい。
インストールの必要すらないし、ファイルサイズが小さいので偽装すれば簡単に持ち込めるし、Port0で動くし。
うちではwinny*.exeを叩き落としているけど、動かしたいやつはリネームしてまで動かすからなぁ。
結局は監視しかないわけで、設定ファイルなどがないか調べて回ったり、ネットワークを監視したりしている。
# 他になんか良い方法はないですかね?
Re:こりないねぇ。 (スコア:2, 興味深い)
ちゃちゃじゃないよ。 ほんと、笑えない。
経営者側からは、「非生産要員」でしょう。 やっぱり。
ハローワークなんかいくと、ネットワーク管理者の求人は、
ほとんど、派遣さん。
つまり、実権というか、裁量権がどこまで有るのか疑問ですねー。
派遣会社は儲かれば良いし、経営者はそんな非生産要員にコスト掛けたくない。
ネットワーク管理者は、管理職(つまり裁量権がないと)じゃないと、何も出来ない。
つまり、IT業界じゃなく、一般社会的に認知されてない。
サーバソフト書いたり、基幹業務系ソフト書いたりするのは、金額高くても、そんなもんか? って、思っちゃう。
んで、「こんなに大変なのに、理解してもらえない。ちきしょー。データ持ち出して金にしよう。」
なんて事になって、初めて、「大変だ」ということになる。
経営者側の器が問われてるんだと思うんですけど。 どうでしょ。
hoihoi-p 得意淡然、失意泰然。
Re:こりないねぇ。 (スコア:2, 参考になる)
チョッと、言葉が足りませんでしたねー。
確かに、ネットワーク管理者が犯罪に手を染めるような人は論外です。 勿論。
言いたかったのは、一般の企業ではネットワーク管理者が監督権を認知されてるかどうかだと思うんですよ。
一番悪いのは、インストールした本人です。これは間違いが無い。
しかし、これを取り締まる側に、権限が無い場合が多いということを言いたかった。
以前勤めていた会社で、ネットワーク管理者やってまして、
「私に報告の無いソフトのインストールを禁ずる。無視した場合は懲罰もありうる。」
と、言ってました。これは、私がネットワーク管理者である以前に、
組織図上、彼らの監督権が私に有ったから出来たことだと思うんですよ。
決して、私がネットワーク管理者だから出来た事じゃない。
(上司も社長も理解してて、「好きにやっていい。」と、理解してくれた。因みに、この会社潰れたです。)
派遣さんにそんな権限渡しますか? 普通。?
勿論、上司に報告すればいいことですけど。派遣さんが、社員をチクル。なんてしますか?
弱いんですよ、立場が。彼らは。3ヶ月更新で、心象悪けりゃ、更新なし。即、無職。
犯罪に走るかどうかは別にして、ネットワーク管理者が本来持つべき監督権が有るとは思えないんですよ。
# うまい表現が見付からない。 長々すみません。
hoihoi-p 得意淡然、失意泰然。
Re:こりないねぇ。 (スコア:1)
Winnyを使うときはアプリケーションサーバにログイン。
…最低だ。
何のために入れてた? (スコア:2, 興味深い)
「このようにすばらしいソフトがあるのですが業務にも使えそうです」
「おお、ぱそこんにくわしい部下を持つとたすかるなあ、うちの部署のぱそこんに入れといてくれ!」(いまどきそれはない)
なんに使ってたのかは暗黙の了解なんだろうけれど・・あらためて知りたいところです。
Re:何のために入れてた? (スコア:1)
「Antinyウイルス感染による情報漏洩の深刻度評価試験」とか。
そういえば (スコア:2, 興味深い)
なんで、そんなの知りたがるのか聞いてみたら、上司が「ただで音楽を手に入れる事が出来るソフト」として会社のいくつかのPCに入れていたらしい。
一応その知人にはその利用方法は違法だから即座にソフトを消せと言っておいたが………。
そもそも管理者以外がソフトをインストールできる時点で終わってる。
「Winnyだから」ではないですね (スコア:2, すばらしい洞察)
アップロードするウイルスがあったら、今回の事と同じ事でしょ?
今回の件で本当に問題なのは、沢山の個人情報を扱うコンピュータの
セキュリティー対策がいい加減だったって事だと思います。
まぁセキュリティー対策の中に、
「仕事に関係ないソフトを無断でインストールしてはいけない」
っていう事項は当然含まれると思いますがね。
こーゆーのを見るたびに (スコア:2, すばらしい洞察)
警察だか、市役所だか知らないけど、結局 Winny を入れてたこと自体にみんな反応して、
「そら、おまえもか」てな感じで悦に入る。
そうやって自分を正当化しようとするのが見えちゃって嫌だね。
自分も含めて。
情報漏洩した当人にとっては、間違えてフロッピーを屑箱に入れるのと大差ないんだよ。
それが素人。
法律っていつも世情に左右されるもんだけどさ、
そんなことしか思えないうちは、47 氏に限らず P2P 開発者はやっぱり有罪なんだろうな。
悲しいけど。
いつも思う (スコア:1, すばらしい洞察)
今回のニュースで一番問題なのは (スコア:2, すばらしい洞察)
(公務にWinnyが必要だったなら話は別ですが)
Re:いつも思う (スコア:1)
Re:いつも思う (スコア:1, 興味深い)
Re:いつも思う (スコア:1, 興味深い)
あ、そういう人、居た。
あと、業務に使用するデータを役所から借りたら、不備があったので、
「チェックしてなかったんですか?」
「いや、紙ではしたんだけど・・・」
「なんで?(ゴニョゴニョ)したら、データ上で一目瞭然じゃないですか。」
「うちのPCじゃ見れないファイル形式だし、どうやって見たらいいのか分かんないから。」
「・・・・・・ フリーソフトで見れますよ。」
「ソフトの使い方わかんないし、勝手にソフトいれたら怒られるから。」
「・・・・・・」
「他に不備が無いかチェックしてもらえますか?」
「・・・・・・ (税金はらうのやめようかな)」
っていうか、俺も公務員なればよかったよママン。
これって・・・ (スコア:1)
ていうか、winnyクラスのソフトの導入が簡単に出来てしまう
市役所のパソコンとネットワークポリシーって一体・・・
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:これって・・・ (スコア:1)
役所って、対象外じゃなかったっけ…?
Re:これって・・・ (スコア:5, 参考になる)
たしかに地方公共団体はどれにも入りませんね。
地方公共団体は、自らの条例で決めるのが建前なのかもしれません。秋田県の個人情報保護条例にも市町村は対象となっていないようです。旧湯沢市は未確認。
これが国の機関で起きていた場合は次の条文の適応を受けるかもしれません。
行政機関の保有する個人情報の保護に関する法律
第53条 行政機関の職員...が、正当な理由がないのに、個人の秘密に属する事項が記録された...個人情報ファイル...を提供したときは、二年以下の懲役又は百万円以下の罰金に処する。
Re:これって・・・ (スコア:2, 参考になる)
したがって、個人情報保護条例の整備は自治体の義務で、個人情報保護法の精神を大きく逸脱した条例は作成できない。
# まあ、罰則を軽くするぐらいならできると思うが...
仮に未整備だった場合、市民から訴えられたら議会は裁判に負けるのではないかと思う。
Re:これって・・・ (スコア:1)
同市は個人情報の管理が不十分だったとして、11日付で職員を訓告処分にした。
とありますが、これって「今度から気をつけろよ」
と上司に叱られたってだけですよね?そんなに軽くていいんでしょうか……
Re:これって・・・ (スコア:1)
足ひっかけられたりとか三菱車が突っ込んできたりとかで
長く生きられないんじゃ。
Re:これって・・・ (スコア:1, 参考になる)
「行政機関の保有する個人情報の保護に関する法律」ってのがあるらしいです。17年4月1日施行。
公用PCの利用目的は? (スコア:1)
もしそうであれば、
住基ネット端末が外に出れるネットワークに参加可能なのはやっぱりおかしいよ
ということになるんではないかな?Winny以前の問題として。
---- 何ぃ!ザシャー
Re:公用PCの利用目的は? (スコア:2, おもしろおかしい)
住基ネットは関係なさげ (スコア:1)
Re:住基ネットは関係なさげ (スコア:1)
なるほど。
まぁ、住基ネットではないとは断定できませんが、確率はかなり下がるかもですね。
実はウィルスなんてデマで、単にWinny共有フォルダに名簿ファイルを入れてただけだったりして…w
# ぶっちゃけありえません
---- 何ぃ!ザシャー
Re:住基ネットは関係なさげ (スコア:1)
Re:公用PCの利用目的は? (スコア:1)
という事かもしれません。
その場合でも、こんなデータの入ったPCを持ち出せるのはおかしいです。
Re:公用PCの利用目的は? (スコア:2, 参考になる)
# 粘着と罵倒するのではなく煽りは無視すべきだと思うが。
で、問題のファイルと住基ネットは限りなく近い種別というか、元は同じだと思う。
両方とも内部の住基システムから派生したものでしょうな。
自治体のこの手のアンケート調査って情報が漏えいしやすいんだよね。
1回きりのものが多くてシステム化しにくいから、住基システムからデータを抽出して
ExcelやAccessなんかにインポートして名簿を作ってしまいがち。
うちでも非常に危険だということになって、数年前に専用のシステムを作ったわな。
Re:公用PCの利用目的は? (スコア:1)
アンケートとかに使っていいんですかね?
少なくともこれからは目的外利用でアウトじゃないですかね。
端末の管理 (スコア:1)
Re:泣いて孔明、馬謖を斬る (スコア:1)
馬骨で十分でしょう。
#おもしろくないけどあえてID。
Re:泣いて孔明、馬謖を斬る (スコア:1)
Re:個人情報流出幇助は (スコア:1)
Antinyの被害の大きさからいって、マルウェア作製で初めての実刑判決になるかもしれません。
Re:行政組織のも監督官庁が必要? (スコア:1)
情報の管理ってのは、
顧客データを誰にも見られるようにしていないか(書類は鍵のかかるところ、データにはアクセス制限)。書類の破棄はシュレッダーしているか。自分のPCに変なソフト入れていないか。とかとか。
Re:外国籍公務員 (スコア:2, 参考になる)
外国人登録はこんなふうに [unisys.co.jp]住民基本台帳と同じシステムで管理されていることが多い。
だから、今回の事件で外国人の情報が漏れた可能性は大いにあると思う。
Re:ちょっと待て! (スコア:2, 参考になる)
>原因は、湯沢雄勝合併協議会のパソコンでファイル交換ソフト
>「ウィニー」を使用し、そのことによりウィルスに感染したため
>とみられますが、あまりにも重大かつ深刻な事態と受け止めております。
一応、流出元の情報なんで、「ウィニー」が原因だと考えるのが妥当なようです。
断定形で書かれていないのは、原因が究明されていないからなのか
流出した現場を見ていないからなのか?