パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「データ持ち帰ってません」がホントかどうかを調査」記事へのコメント

  • なんか否定的なコメントがやけに多いですな。そういう調査をやられたら困る人が多いのかな。 私には、情報漏洩対策として、しごく真っ当なソフトに見えるけど。

    基本的には、ウィルス/スパイウェアのスキャンソフトと似たようなもので、検索対象が組織特有のデータ、って感じのソフトでしょうか。ウィルス対策ソフトを使ってないのを非常識などと言う人が多いのに、情報漏洩対策ソフトだとなんでそうならないのでしょうね。:-P

    それと、タレコミ文の「発見された場合は強制的に会社が設置したファイル回収サーバにWebDAV経由でアップロードされ、ローカルのPCからは復元できない形で削除してしまうという。」に反応してるようだけどが、製品の説明を見ると、設定でそういう動作も可能って話だけです。証拠保全目的もあるのですから、標準動作は検知と操作による選択でしょう。この辺もデザインは真っ当なものです。なんか、釣られてない?

    --
    • しごく真っ当に見えるのだとしたら知識と想像力が欠如しすぎ。

      ウィルス/スパイウェア対策ソフトが検体も用いずに単純なキーワード検索だけで、単純削除してると思ってるのですかね。

      法的な問題があるのは他のひとが散々指摘してますが、そうした問題があるんじゃないかという仮定すら思いつかなかった?

      情報漏えいがおきるソフトを叩く一方で、情報漏えい対策という名目で会社と無関係なファイルを漏洩させるソフトを真っ当と判断できるのは何故なんでしょうね。:-P
      • 想像力の欠如は、AC さんの方では?

        件のソフトが、単純なキーワード検索だけで単純削除する、と思ってるんですか?
        (それはミスリードだろう、と最初に書いてるのに)

        法的な問題、と言うのも的外れでしょう。組織側に渡されたソフトを使うかどうかは、実行する利用者の問題です。つまり、同意がなければ実行されない理由で、個人情報保護法が問題とするケースには該当しません。

        まあ、やり方によっては他に問題が起こり得るのも判りますが、それはポリシー選定と運用の問題であり、ソフト自体が抱える問題ではありません。

        ちなみに、もし自分が管理者なら次のようなポリシーを採用するかな。 漏洩は嫌だが、個人情報を回収してその保護責務を負いたくもないから。

        • 候補ファイルの検知のみ
        • 検知数や検知したファイルのメタ情報のみサーバに報告
        • 削除するかどうかは、実行者の判断
        --
        • 元記事のリンク先を読むことをお勧めします。ココにも貼りますが。

          http://www.netagent.co.jp/winny_check2.html [netagent.co.jp]

          製品情報に書いてあるとおり、ミスリードではなく、
          単純なキーワード検索です。

          > リストアップされたファイルは強制的に、会社側で設置したファイル回収サーバに アップロードされます。アップロードは暗号化された通信によって行われ、そのファイルをファ イル復元ソフトを使用しても復元できないよう、消去させることも可能です
          • リンク先は見てから書いてますよ。ご心配なく。

            単純にキーワードを見つけたら送信削除するのが、そのソフトの実装ならおっしゃる通りでしょう。しかし、そういう選択をするかどうかはポリシーの問題です。あたかも、そういうポリシーに固定したソフトのように印象付けているのがミスリードだと言っているのです。

            まあ、まずは保全を第一に考えるなら、キーワードを見つけたら送信削除する、という厳しいポリシーを採用する場合もあるでしょう。それでも (誤検知などのリスクを勘案し) 同意の上で行われるなら何も問題はないと思います。

            ネット経由で送信するからダメ、というのもどうかな。サーバ - クライアントを相互に認証する手段はあるし(やってそうな記述があるな)、そもそも信用しないなら送信しない、と言うポリシーも選べる。実装に原理的な問題があるとは思えませんが(セキュリティホールが無いとは言わんけどね)。

            --
            • だから
              >消去の有無、回収の有無の選択側は企業です。

              も問題なんです。

              なんども書いてますよ。

              "個人のファイルを扱うポリシーを決める権限は個人にのみあるのであり、
              企業にあるのではありません。”
              そのポリシーを企業が勝手に決めてしまうソリューションであることも問題。

              企業側でのみポリシーが決められる以上、企業が勝手に個人情報を収集してしまうリスクは不可避です。

              これ自体が設計・概念上で既に問題。

物事のやり方は一つではない -- Perlな人

処理中...