アカウント名:
パスワード:
と言うか、残しておくことが違法だろう。情報もとが未確認の個人情報を入手して使用したことはほめられた話ではないが、購入した名簿業者がわかっている以上、残しておいても証拠保全の意味はない。
ジャストシステムが今後やらないといけないのは、まずは違法なデータの削除、そして名簿業者から個人情報を購入する場合にコンプライアンスが保てるプロセスの改善。
ベネッセはジャストシステムに違法な状態を維持しろとけちを付けているわけで、今回の件でモラルにもとるのがどちらなのかは明らかでしょう。
>購入した名簿業者がわかっている以上、残しておいても証拠保全の意味はない。日本には裁判という制度があり、証拠はそこで使うために保全しなければ意味が無いのです。裁判前に「勝手に」証拠を消すのは証拠隠蔽になります。
本気でジャストが、持ってるだけで違法だから消さないと思ってるとしたら、消す前に一言、警察に確認してからでもいいですよね?
警察に連絡せずに重要な証拠を裁判前に消すのは……犯罪者だけです。
名簿屋が消せばそりゃ証拠隠滅にも成り得るが、保全命令も受けていないのなら関係無いな。むしろ元レスで指摘されている様に「意図的に違法に個人情報を保持し続けた」とされるよ。
名簿業者から個人情報を買った結果が現状ですが、現状でもコンプライアンスは保たれていますよね。コンプライアンスを何か別のものと勘違いなさってませんか。
まあ何だ、同社のプライバシーポリシーをお読みになっては。
で、アウトだったらどうなるの?言われるがままの賠償に応じるの?自主廃業でもして反省を示すの?そんなことコンプライアンスで規定してんの?
んなワケねーだろ
本当にコンプライアンスが保たれているのか?この場合、コンプライアンスが保たれているというのは、以下の個人情報の第三者譲渡条件が確認できている状態のことを言うが、もしそうなら、なぜ騒ぎになったんだ?
個人情報保護法の第三者提供の制限より
次の4点についてあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる(第23条第2項)。1.第三者への提供を利用目的とすること2.第三者に提供される個人データの項目3.第三者への提供の手段又は方法4.本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
コンプライアンスもバズワード化しつつあるこんな世の中じゃ…(以下略
コンプライアンス…つーか企業コンプライアンスは狭義では『企業の法令遵守』です。#そういう意味ではジャストシステムは(多分)守れていたと思われます。ただ、目的は法を犯すことによる信用失墜からの業績悪化を避けることであり、大事なのは『業績悪化を避けること』です。結果もう「とにかく信用失墜からの業績悪化に繋がるようなことを避ける」ことを企業コンプライアンスと呼んでますよね、世間じゃ。日本語使えばいいのに、コンプライアンスなんてなじみの無い言葉使うから目的と手段がごっちゃになって
そゆこと。わかりもしない言葉を使うなよと。「それで正しいと思った」ってベネッセが言ったらどう思う? そーゆーことだぁよ。ま、方やそれこそ違法の可能性あるので比べるのはどうか。その辺語弊を恐れず言ってますが。
コンプライアンスには同じく怪しげになりつつある言葉を使うとCSRを果たすための手段としての役割もあります(それすら業績のためと考える場合もあれば、そうでない場合もあるでしょう)。また、他の目的を持たせることももちろん構わないと言えます。やはりコンプライアンスはコンプライアンスであり、それ以外ではないのです。
ちなみに「法令遵守」は英語でregulatory compliance [wikipedia.org]、その省略表現としてのcomplianceだそうです。regulatory compliantって言い方は/.jで教えてもらいました。
今回の事件では、ベネッセにしか登録していないはずの住所からDMが届いたことが発覚の発端だったわけです。仮に「ベネッセ方」という住所トラップが含まれていたとします。(よくある手法ですよね?)この文字が文献社側の名簿にあり、ジャストシステム側の名簿になかったとしたら、この時点でジャストシステムはクロと判断できます。その意味で、証拠保全の意味はあります。
なんで誰も指摘しないのか不思議だけど...
ジャストシステムは法律はともかく倫理的・同義的にブラックなのは明白なデータを使って6月26日からキャンペーンを打っていました。そのデータを7月8日から使用停止したということは、12日間の間にキャンペーンに対して新規加入の申し込みも少なからずあったと思われます。もちろん、8日以降、このキャンペーンに乗ってスマイルゼミに申込を行う人は激減したでしょうし、キャンセルの申し出も相当あったと思いますが。
この時点でデータを削除するということは、6月に送ったDMとそれに対する申込については「もううちのものですから」と宣言しているように見えます。当然、ベネッセは、「いやいや、直ちに削除せず、アウトなキャンペーンによってうちの潜在顧客をかすめ取ったものについてはユーザに個別に事情を説明して少なくとも申込を継続する意志があるか確認するんでしょ」といいたいのでしょう。
みんな指摘していることなんですけども。。
>ジャストシステムは法律はともかく倫理的・同義的にブラックなのは明白なデータを使って6月26日からキャンペーンを打っていました。
その、ブラックなのは明白、の根拠をあなたは持ってるんでしょうか?あるならぜひそれをご提示いただきたいのですが。
誰も指摘しないんじゃなくて、誰にとっても些末なことなので。つか、倫理的・同義的にブラックって感情論にすり替えてるだけじゃん。合法ジャストを感情論で攻撃したろころで、ベネッセは違法行為はゆるがないわけで。感情的にジャストシステムを許せないのならあんたのいうとうりキャンセルすればいいだけだし。
まず、ポルポトとヒトラーの比喩が正しいかどうかから始めないとな。
別にジャストシステムは善意の第三者だし、漏洩元は判っている。であればベネッセ側の非はベネッセ側の努力で対処すべき問題ではないか?
と言うかさ、漏れたのがベネッセと判っているし、販売業者は判っている。その時点で自分で探すのが筋だ。ジャストシステムはベネッセと名簿業者に騙された被害者だよ。挙句、既に実行犯も判っているってのに何を言っているのだか。
データの出所が明らかになっていないとわかってて買ったのに?
文献社は2006年以前に住民基本台帳を閲覧して集積したデータだと謳っていたはずですが…。http://www.bunken-sha.com/service/index.html [bunken-sha.com]
それが本当かどうかジャストシステム側でチェックしろというんですか?
違いますよ。このデータに関しては、出所が明確でないと文献社もジャストシステムも購入前にはっきり認識しています。(使えないと合意が取れたのにもかかわらず、ジャストシステムが後で翻意した)
それはどこの情報でしょうか。ニュース見る限りそういったものは見なかったので、自分が見落としていると思うのですがよかったら教えて頂けないですか
別ツリーの下記コメントにある記事にそういう情報がありますね。http://security.srad.jp/comments.pl?sid=636177&cid=2639570 [srad.jp]
これがほんとだとしたらジャストシステムも善意とは言い切れないなあ。ベネッセ由来かどうかは知り得なかったにしても。
だとしても、原田がどうこういう話ではないですよね。
この記事を信じるなら、一旦は使えないと判断したのに、それを翻してるわけですからね…。担当者は「これヤバイから使えない」だったのに、上司が「コンプラなんぞ知るか買ってこいゴルア」とか言い出したパターンでしょうか。ありそうでイヤだ。
現在の個人情報保護法では裁くのは難しいかもしれませんが、改正も検討されていることですし、出所不明の個人情報の売買には何らかの規制をかけてほしいですね。そうじゃないと、個人情報保護法の立法主旨がぼやけてしまいそうです。
なんかその記事もうさんくさいニュース?サイトだし、他に続報というか後追い記事もないし、これ信用していいの?
#2640143 です
>うさんくさいニュース?サイトだし、サイトのタイトル見て反射的にこう書いてしまった。これは取り消す。
#まぎらわしい、といってはなんだが。。w
>片方を批判する事で、相対的に片方をかばう
前のタレコミでは「ベネッセのお詫びページがpdfじゃなくて好感もてる~」とか「お詫びページ検索避けしてなくていいよね~」とか
珍妙な印象操作というかそのくらいしか擁護ポイントがなくて気の毒というか保全してベネッセ以外の個人情報が混じってたとしてもベネッセの罪は軽くならんよ削除で捜査が行き詰まるなら警察が保全するさつか、2000万件ノーガードじゃ責任転嫁でもするしかないわな
それが本当にコピーなのかと言う事をデータの突き合わせせずにどうやって判別するつもりなのか
データの購入もとが名簿業者とわかっているなら、データの突き合わせは業者が持っているデータですべき話。なぜなら、名簿業者は持っているデータ全てをジャストシステムに売ったとは限らないから。
ジャストシステムの立場では、同意確認がとれていない個人情報を使用することそのものがまずい。そのデータがベネッセのデータでなくともアウトなの。したがって、ベネッセのデータかどうかを検証する意味はない。
同意なしとわかっていて使ったら違法だし、使いもしないのに持っているのも違法ではないにしても管理上よろしくない。少なくとも、一般的な個人情報管理の手順として、使うつもりのない個人情報は削除するのが当たり前。
JIS Q 15001:2006熟読して出直せ。個人情報の扱いは常識で判断していいほどお手軽なもんじゃない。
それはベネッセから盗まれたかどうかは関係ない
名簿業者がデータ全てをジャストシステムに売ったと限らないなら、どれぐらいのデータがどう流通しているかするためにデータの突き合わせの必要性はさらに大きくなるだろ。名簿業者は受け取ったデータを無加工で出すなら個人情報保護法の規制対象者にならないが、取捨選択など加工していた場合には規制対象になる可能性がある。
犯罪捜査に協力するのは企業の社会的責任として当たり前だし、あなたと違ってそんな義理は無いと突っぱねるほどジャストシステムは反社会的企業では無いでしょ。また、多くの所持による犯罪は「正当な理由が無く」とされているのは、このように犯罪捜査に協力するケースなどを想定しているから、これによって何らかの訴追を受ける可能性は無い。
二次ソース(名簿業者)がわかってるのにどうして三次ソース(ジャストシステム)をあたる必要があるの?三次ソースにはない情報が二次ソースに含まれている可能性はあるけど、その逆はないよ。
>>どれぐらいのデータがどう流通しているかするためにデータの突き合わせの必要性はさらに大きくなるだろ。
なぜ?問題なのはずさんな管理によって漏洩したデータであって、それ以外のデータは全く関係ない別の話だろ。
だから、なぜつき合わす必要があるんだ?犯人が盗んだデータはジャストシステムに売ったと証言しているのか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
同意確認がとれない個人情報は削除するのが正しい (スコア:3, すばらしい洞察)
と言うか、残しておくことが違法だろう。
情報もとが未確認の個人情報を入手して使用したことはほめられた話ではないが、購入した名簿業者がわかっている以上、残しておいても証拠保全の意味はない。
ジャストシステムが今後やらないといけないのは、まずは違法なデータの削除、そして名簿業者から個人情報を購入する場合にコンプライアンスが保てるプロセスの改善。
ベネッセはジャストシステムに違法な状態を維持しろとけちを付けているわけで、今回の件でモラルにもとるのがどちらなのかは明らかでしょう。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:同意確認がとれない個人情報は削除するのが正しい (スコア:1)
>購入した名簿業者がわかっている以上、残しておいても証拠保全の意味はない。
日本には裁判という制度があり、証拠はそこで使うために保全しなければ意味が無いのです。
裁判前に「勝手に」証拠を消すのは証拠隠蔽になります。
本気でジャストが、持ってるだけで違法だから消さないと思ってるとしたら、
消す前に一言、警察に確認してからでもいいですよね?
警察に連絡せずに重要な証拠を裁判前に消すのは……犯罪者だけです。
Re: (スコア:0)
名簿屋が消せばそりゃ証拠隠滅にも成り得るが、保全命令も受けていないのなら関係無いな。
むしろ元レスで指摘されている様に「意図的に違法に個人情報を保持し続けた」とされるよ。
Re:同意確認がとれない個人情報は削除するのが正しい (スコア:1)
名簿業者から個人情報を買った結果が現状ですが、現状でもコンプライアンスは保たれていますよね。
コンプライアンスを何か別のものと勘違いなさってませんか。
Re:同意確認がとれない個人情報は削除するのが正しい (スコア:1)
ジャストシステムは個人情報取扱業者なので、利用目的が特定されていて、かつ本人の同意を得られている個人情報以外は取り扱っちゃいけません。
名簿業者から個人情報の提供を受ける際も、その個人情報が適正なものであるか確認しないとNGです。
文献社からジャストシステムへの名簿販売は個人情報の第三者提供になりますから、ジャストシステムは名簿購入にあたり文献社が第三者提供に対する本人への通知およびオプトアウトの提供をしているとか、文献社がジャストシステムへの第三者提供とDMへの利用を公表したうえで個人情報を集めているとかのチェックしないといけません。
200万件の個人情報の第三者提供に対する適切な対応をするのであれば、それは部外者から見てもよくわかる大がかりな行動になりますから、文献社がまともな対応をしていないのは誰だってすぐにわかります。
なわけで、ジャストシステムの名簿購入は適法な行為ではないですし、それはコンプライアンス上の問題です。
ジャストシステムのプレスリリースにある「今後は、個人情報の取り扱いについてさらにコンプライアンスを徹底し、 適正な情報管理に努めてまいりたいと存じます。」というのはそのまんま「個人情報保護法に違反していたのでプロセス見直します」ということですよ。
後学のために教えていただきたいのですが、あなたは何を理由に「現状でもコンプライアンスは保たれています」と判断していたんですか?
Re:同意確認がとれない個人情報は削除するのが正しい (スコア:1)
まあ何だ、同社のプライバシーポリシーをお読みになっては。
Re: (スコア:0)
で、アウトだったらどうなるの?
言われるがままの賠償に応じるの?
自主廃業でもして反省を示すの?
そんなことコンプライアンスで規定してんの?
んなワケねーだろ
Re: (スコア:0)
本当にコンプライアンスが保たれているのか?
この場合、コンプライアンスが保たれているというのは、以下の個人情報の第三者譲渡条件が確認できている状態のことを言うが、もしそうなら、なぜ騒ぎになったんだ?
個人情報保護法の第三者提供の制限より
次の4点についてあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる(第23条第2項)。
1.第三者への提供を利用目的とすること
2.第三者に提供される個人データの項目
3.第三者への提供の手段又は方法
4.本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
Re: (スコア:0)
コンプライアンスもバズワード化しつつあるこんな世の中じゃ…(以下略
コンプライアンス…つーか企業コンプライアンスは狭義では『企業の法令遵守』です。
#そういう意味ではジャストシステムは(多分)守れていたと思われます。
ただ、目的は法を犯すことによる信用失墜からの業績悪化を避けることであり、大事なのは『業績悪化を避けること』です。
結果もう「とにかく信用失墜からの業績悪化に繋がるようなことを避ける」ことを企業コンプライアンスと呼んでますよね、世間じゃ。
日本語使えばいいのに、コンプライアンスなんてなじみの無い言葉使うから目的と手段がごっちゃになって
Re:同意確認がとれない個人情報は削除するのが正しい (スコア:1)
そゆこと。
わかりもしない言葉を使うなよと。「それで正しいと思った」ってベネッセが言ったらどう思う? そーゆーことだぁよ。ま、方やそれこそ違法の可能性あるので比べるのはどうか。その辺語弊を恐れず言ってますが。
コンプライアンスには同じく怪しげになりつつある言葉を使うとCSRを果たすための手段としての役割もあります(それすら業績のためと考える場合もあれば、そうでない場合もあるでしょう)。また、他の目的を持たせることももちろん構わないと言えます。やはりコンプライアンスはコンプライアンスであり、それ以外ではないのです。
ちなみに「法令遵守」は英語でregulatory compliance [wikipedia.org]、その省略表現としてのcomplianceだそうです。regulatory compliantって言い方は/.jで教えてもらいました。
Re: (スコア:0)
今回の事件では、ベネッセにしか登録していないはずの住所からDMが届いたことが発覚の発端だったわけです。
仮に「ベネッセ方」という住所トラップが含まれていたとします。
(よくある手法ですよね?)
この文字が文献社側の名簿にあり、ジャストシステム側の名簿になかったとしたら、この時点でジャストシステムはクロと判断できます。
その意味で、証拠保全の意味はあります。
Re: (スコア:0)
その場合はジャストシステムの名簿はベネッセ由来ではないという事では?
Re: (スコア:0)
なんで誰も指摘しないのか不思議だけど...
ジャストシステムは法律はともかく倫理的・同義的にブラックなのは明白なデータを使って6月26日からキャンペーンを打っていました。
そのデータを7月8日から使用停止したということは、12日間の間にキャンペーンに対して新規加入の申し込みも少なからずあったと思われます。
もちろん、8日以降、このキャンペーンに乗ってスマイルゼミに申込を行う人は激減したでしょうし、キャンセルの申し出も相当あったと思いますが。
この時点でデータを削除するということは、6月に送ったDMとそれに対する申込については「もううちのものですから」と宣言しているように見えます。
当然、ベネッセは、「いやいや、直ちに削除せず、アウトなキャンペーンによってうちの潜在顧客をかすめ取ったものについてはユーザに個別に事情を
説明して少なくとも申込を継続する意志があるか確認するんでしょ」といいたいのでしょう。
Re: (スコア:0)
みんな指摘していることなんですけども。。
>ジャストシステムは法律はともかく倫理的・同義的にブラックなのは明白なデータを使って6月26日からキャンペーンを打っていました。
その、ブラックなのは明白、の根拠をあなたは持ってるんでしょうか?
あるならぜひそれをご提示いただきたいのですが。
Re: (スコア:0)
誰も指摘しないんじゃなくて、誰にとっても些末なことなので。
つか、倫理的・同義的にブラックって感情論にすり替えてるだけじゃん。
合法ジャストを感情論で攻撃したろころで、ベネッセは違法行為はゆるがないわけで。
感情的にジャストシステムを許せないのならあんたのいうとうりキャンセルすればいいだけだし。
Re: (スコア:0)
まず、ポルポトとヒトラーの比喩が正しいかどうかから始めないとな。
Re: (スコア:0)
別にジャストシステムは善意の第三者だし、漏洩元は判っている。
であればベネッセ側の非はベネッセ側の努力で対処すべき問題ではないか?
と言うかさ、漏れたのがベネッセと判っているし、販売業者は判っている。
その時点で自分で探すのが筋だ。
ジャストシステムはベネッセと名簿業者に騙された被害者だよ。
挙句、既に実行犯も判っているってのに何を言っているのだか。
Re: (スコア:0)
データの出所が明らかになっていないとわかってて買ったのに?
Re:同意確認がとれない個人情報は削除するのが正しい (スコア:1)
文献社は2006年以前に住民基本台帳を閲覧して集積したデータだと謳っていたはずですが…。
http://www.bunken-sha.com/service/index.html [bunken-sha.com]
それが本当かどうかジャストシステム側でチェックしろというんですか?
Re:同意確認がとれない個人情報は削除するのが正しい (スコア:1)
違いますよ。
このデータに関しては、出所が明確でないと文献社もジャストシステムも購入前にはっきり認識しています。
(使えないと合意が取れたのにもかかわらず、ジャストシステムが後で翻意した)
Re: (スコア:0)
それはどこの情報でしょうか。
ニュース見る限りそういったものは見なかったので、自分が見落としていると思うのですがよかったら教えて頂けないですか
Re: (スコア:0)
別ツリーの下記コメントにある記事にそういう情報がありますね。
http://security.srad.jp/comments.pl?sid=636177&cid=2639570 [srad.jp]
これがほんとだとしたらジャストシステムも善意とは言い切れないなあ。
ベネッセ由来かどうかは知り得なかったにしても。
Re: (スコア:0)
だとしても、原田がどうこういう話ではないですよね。
Re: (スコア:0)
この記事を信じるなら、一旦は使えないと判断したのに、それを翻してるわけですからね…。担当者は「これヤバイから使えない」だったのに、上司が「コンプラなんぞ知るか買ってこいゴルア」とか言い出したパターンでしょうか。ありそうでイヤだ。
現在の個人情報保護法では裁くのは難しいかもしれませんが、改正も検討されていることですし、出所不明の個人情報の売買には何らかの規制をかけてほしいですね。そうじゃないと、個人情報保護法の立法主旨がぼやけてしまいそうです。
Re: (スコア:0)
なんかその記事もうさんくさいニュース?サイトだし、他に続報というか後追い記事もないし、これ信用していいの?
Re: (スコア:0)
#2640143 です
>うさんくさいニュース?サイトだし、
サイトのタイトル見て反射的にこう書いてしまった。これは取り消す。
#まぎらわしい、といってはなんだが。。w
Re: (スコア:0)
>片方を批判する事で、相対的に片方をかばう
前のタレコミでは「ベネッセのお詫びページがpdfじゃなくて好感もてる~」とか
「お詫びページ検索避けしてなくていいよね~」とか
珍妙な印象操作というかそのくらいしか擁護ポイントがなくて気の毒というか
保全してベネッセ以外の個人情報が混じってたとしてもベネッセの罪は軽くならんよ
削除で捜査が行き詰まるなら警察が保全するさ
つか、2000万件ノーガードじゃ責任転嫁でもするしかないわな
Re:同意確認がとれない個人情報は削除するのが正しい (スコア:1)
それが本当にコピーなのかと言う事をデータの突き合わせせずにどうやって判別するつもりなのか
Re:同意確認がとれない個人情報は削除するのが正しい (スコア:1)
データの購入もとが名簿業者とわかっているなら、データの突き合わせは業者が持っているデータですべき話。なぜなら、名簿業者は持っているデータ全てをジャストシステムに売ったとは限らないから。
ジャストシステムの立場では、同意確認がとれていない個人情報を使用することそのものがまずい。そのデータがベネッセのデータでなくともアウトなの。
したがって、ベネッセのデータかどうかを検証する意味はない。
同意なしとわかっていて使ったら違法だし、使いもしないのに持っているのも違法ではないにしても管理上よろしくない。少なくとも、一般的な個人情報管理の手順として、使うつもりのない個人情報は削除するのが当たり前。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:同意確認がとれない個人情報は削除するのが正しい (スコア:1)
JIS Q 15001:2006熟読して出直せ。
個人情報の扱いは常識で判断していいほどお手軽なもんじゃない。
Re: (スコア:0)
それはベネッセから盗まれたかどうかは関係ない
Re: (スコア:0)
名簿業者がデータ全てをジャストシステムに売ったと限らないなら、どれぐらいのデータがどう流通しているかするためにデータの突き合わせの必要性はさらに大きくなるだろ。
名簿業者は受け取ったデータを無加工で出すなら個人情報保護法の規制対象者にならないが、取捨選択など加工していた場合には規制対象になる可能性がある。
犯罪捜査に協力するのは企業の社会的責任として当たり前だし、あなたと違ってそんな義理は無いと突っぱねるほどジャストシステムは反社会的企業では無いでしょ。また、多くの所持による犯罪は「正当な理由が無く」とされているのは、このように犯罪捜査に協力するケースなどを想定しているから、これによって何らかの訴追を受ける可能性は無い。
Re:同意確認がとれない個人情報は削除するのが正しい (スコア:1)
二次ソース(名簿業者)がわかってるのにどうして三次ソース(ジャストシステム)をあたる必要があるの?
三次ソースにはない情報が二次ソースに含まれている可能性はあるけど、その逆はないよ。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re: (スコア:0)
>>どれぐらいのデータがどう流通しているかするためにデータの突き合わせの必要性はさらに大きくなるだろ。
なぜ?
問題なのはずさんな管理によって漏洩したデータであって、それ以外のデータは全く関係ない別の話だろ。
Re: (スコア:0)
だから、なぜつき合わす必要があるんだ?
犯人が盗んだデータはジャストシステムに売ったと証言しているのか?