パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

TSUTAYAのアルバイト店員、Twitterに顧客の個人情報を暴露できると投稿。TSUTAYAが謝罪」記事へのコメント

  • 登録業務なんかもあるからね。
    だから権限の問題ではなく監査の問題。
    誰がいつどの情報にアクセスしたのか。
    あとは情報の見せ方もかな。
    貸し出し履歴は直近以外表示する必要ないだろうし。

    • by Anonymous Coward on 2018年11月16日 18時04分 (#3516675)

      個人情報保護法で安全管理措置を取る義務 [e-gov.go.jp]があるので監査が有っても、アクセス制限がザルだと突っ込まれます。

      法施行前にザルさで今回と似たような問題が起きたとあるシステムでは、
      ログインユーザーによって可能業務が切り分け可能、監査可能だけでは不足という事で、
      サーバー側も追加対策入れて悪用したらアラートが上がるように。
      全フローで、必要最低限の個人情報しか表示しないように、
      紛失・修正等で個人情報を閲覧する必要がある業務でも警告表示と実行キーが必要となり、
      フル表示の為には氏名、生年月日、電話番号等を使った多要素認証が必要になりました。

      芸能人の名前とかを入れる阿呆が居るのよね。

      親コメント
      • by Anonymous Coward

        長々と書かれているけど、

        フル表示の為には氏名、生年月日、電話番号等を使った多要素認証が必要になりました。

        フルアクセス可能じゃないですか。
        他のコメントもそうだけど、フルアクセス可能なのと好きなデータが(好きな方法好きな形式で)取得できるのは違うことだよ。

        • by Anonymous Coward

          開示義務がある [e-gov.go.jp]のでフル表示は何処かに必要です。

          • by Anonymous Coward

            フルアクセス可能な仕組みは何処かには必要だけど、それを店舗バイトにまで使わせる理由はないわな。

            • by Anonymous Coward

              その通りで、普通は店長もしくはそれに準ずるプロパー責任者にしか権限は付与しないです

              #他ポイントのシステム導入してる無関係の店舗の無関係者ですが

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...