>外部の公開サーバーだと個人情報保護法に抵触する、ってのは拡大解釈が過ぎます。
>外部のサーバー (レンタルサーバーなど) を使っていたら個人情報が扱えないことになってしまいます。

拡大解釈でなく、これその通りなんですが。”事前に同意・了承を得てない情報”についてはその通りですよ。
そのために、プライバシーポリシーその他に業務上での第3者提供了承の文言入れるんです。
(一番の目的はDMなどの外注のためですが)
で、今回は情報主体が何になるかわかりませんから、了承済みで無いファイルファイルの内容によっては抵触します。

＞誤判定でなければ回収された時点で情報がネットに送信可能な場所に存在したわけで
大嘘書かないように。nyもつかってなく、ネットに繋いでいただけのPCも対象ですよ。それともPCにさえあればネット送信叶だとでも？24時間つけっぱなしの外部公開サーバーと、一日数時間しかつけない私物PCとどっちがアクセスしづらいですか？

もちろん、元々PCにもあってはいけないものです。
サーバーがセキュアかどうか以前の話、”この手のセキュリティ概念として外部公開サーバーに最初から置いてはいけない情報である”が大本です。”セキュアかどうか以前”、ですセキュリティの基本として。いくらセキュアでも置いていい情報、置いていけない情報というものがあるのです。

耐熱ケースに入っているからといって、ダイナマイトを囲炉裏のそばとか火の近くに置く人がいますか？
そういうレベルの”基　本”の話です。基本以前ですね。

このシステムでは、誤検知の可能性がある、のは前提であり、その上での同意で実行されるものでしょう。それがなんで、"事前に同意・了承を得てない情報”になるのでしょうか?

nyもつかってなく、ネットに繋いでいただけのPCも対象ですよ。

セキュリティ評価にずいぶん相違があるようですね。Winny を使ってなくて、接続が常時でなければ情報流出のリスクは低いとでも? (Webやメールでのスパイウェアやウィルスを忘れてませんか)

それに素人の管理してない PC より、専門家が注意して構築したサーバの方が遥かに安全と私は思いますね。

もちろん、よりセキュアにするためには情報をオフラインするのが望ましいのは判ります。 でも、回収に要する手間など、利便性を忘れては対策が有名無実となります。ネットワークを経由した回収、と言うのはそういう利便のための設計ですよ。(外部メモリを使うと、手順がどれだけ複雑化することか)

＞このシステムでは、誤検知の可能性がある、のは前提であり、その上での同意で実行されるものでしょう。それがなんで、"事前に同意・了承を得てない情報”になるのでしょうか?

元々の実行と検出したいファイルの想定から自明だと思ってたんですが、

この場合、情報主体と実行同意者が違うからです。

例えば、これで顧客リストが検出されたとします。この情報主体は顧客です。提供に必要な同意は顧客の同意です。
ファイルの持ち主の実行同意ではありません。

ですから、"(情報主体の)事前に同意・了承を得てない情報”です。

>接続が常時でなければ情報流出のリスクは低い
無くはないですが、暗号化して別の場所に退避しておけば24時間接続よりは低いと思いますよ。
実行前は格段に高いですけど。

元々、ネット上に存在してはいけない情報であるわけですから、煩雑であっても(usb回収だけですけど）
オフラインであるべきなのが本来の形です。

例えば、これで顧客リストが検出されたとします。この情報主体は顧客です。提供に必要な同意は顧客の同意です。

これも拡大解釈が過ぎません? サーバにアップロードする＝情報提供、ではありませんよ。それに顧客の同意を格納場所やオンラインか否かで了解を取ってるところなんてそもそもないでしょう。(許可を得るのは使用目的であって使用形態ではありません)

それに、サーバに置いてはならない情報を回収するのが目的なら、アップロードしない設定を選べば良いだけの話ですよ。別に件のシステムは、アップロードを強制しているわけじゃない。

まあ、サーバよりUSBメモリの方が安全と思ってるのはどうかと思いますが。(オフラインで起こる漏洩事件がどれだけあることか)

>別に件のシステムは、アップロードを強制しているわけじゃない。
私は、”その設定があること”を問題にしているわけですが、”セキュリティの基本から完全に外れていると”
それ以外の設定があるんだから問題ないって言うのは完全に的外れ。

ダイナマイトを囲炉裏のそばに置いておいて、囲炉裏以外の場所にも置けるんだから、囲炉裏のそばにおいても問題ないって言っているようなもんですが？

＞サーバよりUSBメモリの方が安全と思ってるのはどうかと思いますが。(オフラインで起こる漏洩事件がどれだけあることか)
これはそのままお返しします。オンラインでの攻撃による漏洩がﾄﾞﾚﾀﾞｹあることか。
http://internet.watch.impress.co.jp/cda/news/2006/02/23/11002.html [impress.co.jp]
(価格コムの県や、スパイウェア、ｱﾝﾁNY系も
究極的には”USBも公開サーバーもどちらも安全ではない”のです。
であれば、”オープンネット上におかない”というセキュリティの基本の基本に従うべきなのは当たり前。
とりあえず、USB上であれば持ち出さない限りだれもアクセスできません。
(どこかに置き忘れるとかしない限り安全。)　もちろん使用後は消去ツールの使用は必須です。

とりあえず、USB上であれば持ち出さない限りだれもアクセスできません。

今回のシステムで USB メモリを使えば、組織と個人宅の間で必ず持ち歩くことになりますが。

そりゃそうでしょう。でも"どこかに置き忘れる”なんて超基本的なことが無い限り、
誰もアクセスできません。

いつでも誰でも(侵入法を知っているまたはパスワードを知っている必要があるとはいえ。）
アクセスできる公開サーバー上にあるのとは訳が違います。

あくまで”公開サーバー上にセキュリティ情報を置かないのはセキュリティ対策の基本の基本”です。
あなたは”メンドイからそんな基本無視”と言っている。

どっちがまともな"セキュリティ概念”ですかね。

顧客先にデータもっていく必要があるときに、公開サーバー上にデータ放り込む馬鹿がいますかね。セキュリティ付きUSBなりで持っていくはずですが。それと同じ(データが膨大なだけもっとひどい)訳ですが。

世の中で起こっているオフラインの漏洩事件はその「超基本的なこと」で起こってますよ。しかも、そういう情報を扱ってると自覚ある人がやっていてさえ起こるのです。

さらに、今回のシステムで、実施するのはそういう自覚さえ怪しい人が主な対象です。 USBメモリなどを使って、確実に実施できるとは思えません。また、コスト問題で、現実的ではなくなります (メモリのコストの他、組織と利用者双方に作業負担が増える)。

ソーシャル面など運用環境を考慮しないで、USBメモリよりサーバが危険、などと私には言えませんね。

で、オフラインの漏洩事件と、
不正アクセス(スパイウェア、ウィルスも含む)オンラインの攻撃とどちらが件数多いでしょうか？
http://www.security-next.com/002192.html [security-next.com]
http://itpro.nikkeibp.co.jp/article/NEWS/20070223/263068/ [nikkeibp.co.jp]

上記はいわゆる不正アクセスのみです。ウィルス、スパイウェア入れればもっと増えます。

さて、オフラインでの事故が年700件以上起きている根拠はあるのでしょうか？
USBメモリより公開サーバーが安全なら何処の会社も顧客に情報を持ち出す必要があるとき、USBでなく公開サーバーを使っているでしょう。ソーシャルを考えてないのはあなたです。

いいですか？もう一度いいます。

"公開サーバーに秘情報をおかないのはセキュリティの基本です。"
かりにも”セキュリティ対策ソフトを名乗っている”ソフトが
”セキュリティの基本の基本無視している”からキチガイ沙汰だと言っているのです。

あなたもネットエージェントも”基本を無視しなさい”と言っているのですが？？

はいはい。基本は判ってますよ。

ネットエージェントさんも、そんなこと100も承知で設計してると思いますよ。セキュリティの専門会社なのですから。基本は基本であって、応用で同じことをしないといけないものではありません。

判った上で情報回収にネット上のサーバを使うのが合理的と判断したのでしょう。 私も USBメモリを使うより、サーバの方がシステムとして合理性があると思います。

だから、公開サーバーのほうが安全といいはるなら

＞さて、オフラインでの事故が年700件以上起きている根拠はあるのでしょうか？

上記の根拠をだして下さいね。
妄想はどうでもいいですから。

後、漏れるときの量も考えてください。
公開サーバーから情報が漏れたら、”実行した全員分の膨大なファイル”

USBで集める場合、”漏れても一人分のファイル”です。

フェイルセーフとかフールプルーフの概念もまともに理解できてないんですね。

どっちが安全で合理的ですかね。”合理的っていうのは”基本無視して危険にして手間省く”って意味じゃないんですよ。

Winny 流出事件ってほぼすべて、”漏れても一人分のファイル” と思いますが、つまりそれは問題ないと言うことでしょうか。:-P

それほど USBメモリのソリューションに自信があるなら、ご自分でそれを作って売ればいいんじゃないですか。ネットエージェントさんのがクソなら客を全部獲れますよ。

まあ、私ならそれは選ばないですけどね。

＞Winny 流出事件ってほぼすべて、”漏れても一人分のファイル” と思いますが、つまりそれは問題ないと言うことでしょうか。:-P

問題ありますよ。問題ないなんて一度もいってませんが？
だから、PC上におかず、ネットからｱｸｾｽUSBに退避するわけです。
ｎｙで一人分だからって言うのはお門違い。

サーバーに集めたとき、漏れたら"何十人分・何百人分”になりますがね。被害が拡大するんです。USBよりも。
どっちが被害大きいかを考えて、被害がでない、または少ない法を選ぶのが”フェイルセーフ(の概念の一部 ）”ですが。

本当に”フェイルセーフ”の概念すらわかってないんですね。

これが”アップのみの一方通行・転送先がクローズド”なんであればサーバー転送でも”酷い”とまで言いませんがね。(自社でサーバー立てるなら可能なはず)
ＱＡで”ネットから引き出せる"事書いてるから、”アホか”と言っているんです。

なぜ、各webアプリがDBとアプリを分離しているか、何故各会社のネットにファイアウォールが入っているか、考えてみては？
普通はアプリーＦＷ－DBで通信を制御し、情報ｱｸｾｽを制限している。

でも、これってFW外に無秩序・無制限にファイルを集めてる訳。
わざわざ攻撃しやすく、おいしい箱を作ってる。しかも情報無制限。

わざわざ攻撃しやすいところにファイル集めてどーすんだ。
攻撃者にとってすごくおいしい攻撃先をわざわざ作ってる。

最初から言ってますよ”公開サーバーだから駄目だ”と。

公開サーバーならUSBのほうがまし。

ＱＡで”ネットから引き出せる"事書いてるから、”アホか”と言っているんです。

あれ?

ってなってますけど。(勘違い批判を見て、書き改めたのかな?)

>Ｑ．回収したファイルを会社のファイルサーバーに移したいのですが。
        大量の場合はバッチプログラムを作成して転送してください。バッチプログラムのサンプルが必要な方は別途ご連絡ください。

ってなってますが？？
つまり、”ネット経由で引き出せる設定（少なくともクローズドではない）”だということです。

あなたの書いたＱＡと矛盾してますけども。（これはネットエージェントのQAが矛盾(意図的かどうかはわかりませんが))してますのでどうしょうも無いですね。
（たぶん、ファイルのダウンロードディレクトリ作成、リスト作成は担当者でなく”実行ユーザー”の権限でしょうけど。
”でないと(担当者が)誰のか、(実行者が)何をもっていかれたのかわからない”
これは完全に想像の域を出ないので。）