アカウント名:
パスワード:
>ソフトウェアが最新の状態に保たれていれば情報漏洩を防げた
国内で個人・クレカ情報を色々扱っているけど、この根拠は怖いな。正直、数千万程度ならパソコンに詳しい程度の人がWindowsサーバとAccessで管理している会社も多いし。
いや、大企業ならそのくらいしておけって制裁なのは分かるけど。
念のためですが、「判決」ではないです。
この支払命令は裁判所ではなく行政庁によって発せられたもので、日本でいうと(公取委や金融庁の発する)課徴金納付命令が近いといえます。
なお、これに対する不服申立ては、第一段階審判所(First-tier Tribunal)という行政審判所に対して行われ、さらなる不服申立ては上級審判所(Upper-tier Tribunal)というさらに上級の行政審判所に、そしてさらなる不服申立ては(イングランドおよびウェールズの場合は)控訴院(Her Majesty's Court of Appeal)という(通常の)司法裁判所に対して行うことになります。
不服ってどの辺が納得できないのかねぇ?
この類で、不服申し立てすると、認められて0になるとか減額されるだけじゃなくって「反省していない」として逆に増額されるという制度があれば、不服申し立てしにくい(≒とりあえず脊髄反証)がなくなるような気が……
「反省」って、どうしたら反省になるの? 一軒一軒謝罪訪問すればいいの? お遍路でも旅する?
金額を算出する根拠に正当性が無いのであれば、被害/加害の関係は認めても、金額が高すぎるという訴えは十分にあると思いますが。
金額ってどうやって算出するんだろうと思って、根拠規定であるData Protection Act 第55A条を見てみたのですが、Comissionerが決定するということと、一定の金額(50万ポンド)以下じゃないといけない、という以外には何も書いていないんですね(日本だと計算方法が必ず規定されているのとは大違いですね。)。おそらく、過去の例や他の行政処分の場合などに照らして判断するんでしょうが、2010年4月6日に施行されたばかりのわりと新しい規定のようですし、処分をする側もこれを争う側もなかなか大変ですね。
経験から、50万件程度の氏名、住所、電話番号などの基本的な情報をCSVにしたもので大体100MB。単純に計算すると1,000万件なら2GBになります。
もちろんデータや項目数によって上下しますが、データの平均が氏名を5文字(性+空白+名)、住所を20文字(数千万件なら県をまたぐと思われるので県名から。方書含む)と仮定して、日本語項目が1文字2バイトでも、1,000万件で既に500MB。実際にはカナ氏名や管理用の番号、各種処理のためのフラグ、支払いがあるなら口座番号やカード情報なども入ることが考えられます。
さらにAccessにインポートして増える分もありますが、それを無視しても単一MDBでは2GB制限にすぐ引っかかってまともに扱えませんし、膨大なデータを複数のMDBに格納してテーブルリンクなどを駆使して管理しきれてるなら特殊な事例でしょう。パソコンに詳しい程度の人、ようするにその辺の誰でも出来るレベルでは無いと思います。
大元のデータはちゃんとしたDBに持っていて、そこから特定の目的で処理する際に切り出した数万~数十万程度のデータをAccessで扱っているだけじゃないですかね?
> 正直、数千万程度ならパソコンに詳しい程度の人がWindowsサーバとAccessで管理している会社も多いし。数千万件の個人情報やクレカ情報をAccessで管理してるだと・・・ていうか、数千万件の個人情報を扱ってる会社がそんなに多いとは思えない。
SCEのはアカウント数だからなぁ、個人情報も殆ど嘘でクレカ情報も1割位しか紐付いてなかったんじゃなかった?
>ていうか、数千万件の個人情報を扱ってる会社がそんなに多いとは思えない。
このネット時代なら簡単に集まるんじゃないか。まぁ殆どがゴミみたいな情報だろうけどw
何を最低限とするかが難しいのと、一応この件に関してSCEは被害者なはずなんだけどね。
SCEは個人情報を管理する事業者として攻撃にさらされることは当然想定しておかないといけないわけですから、「被害者なはず」は関係ありません。
具体的に何をしていればよいかは、その時々で変わり得ますし、判断が難しい場合があるのはおっしゃるとおり。本件で判断が難しかったかどうかはちょっと分かりませんが。
被害者じゃないと誰かが言いましたか?少なくとも私は言った覚えがないのですが。
大勢の客から預かった金を金庫にしまわず、袋か何かに入れてそこらに積んでおきましたってなったら強盗と銀行という関係性で言えば銀行が被害者でも、銀行から客に対しての責任も当然発生するでしょ
君みたいに論点わかってない・状況把握できてない人は、たとえ話を使っちゃいけないと思うよ
仮に、銀行に強盗が入ったという例えで言うならば、
その銀行は、1億人近い客から客から預かった金を、店内の見えるところに放置し、金庫は使ってなかった。かつ、店の入り口の鍵は、簡単な南京錠1つ程度だった。
泥棒は武装した銀行強盗ではなく、そこらのこそ泥で、南京錠を開けてこっそり忍び込んで、何千万人(1億人近く)の預金が置いてあったので、全部持って逃げた。
大体こんな感じ。もちろん、一番悪いのは泥棒だ。
それでも法律で「そういう管理をしてはいけません」って決まってなければ政府が制裁するのは筋違いだよね。
民事でならいくらでもやっていいけどさ。
>大体こんな感じ。
全然ちげーよw
そりゃもちろん決まってますよ…。SCEEの件なら、Data Protection Act 1998ですし、銀行の喩えなら日本では銀行法です。
これって刑事罰なんですか?行政処分って、刑事罰だけじゃないと思うんだけど。
>情報保護法違反だから法律で決まってたんですけど。
頭大丈夫?
行政処分なので刑事罰ではないですよ。処分をしたのは行政庁であって、裁判所ではありません。
日本の人口は1億2千万人。数千万の個人情報って・・・?どこの世界の話なのだろう
>日本の人口は1億2千万人。数千万の個人情報って・・・?>どこの世界の話なのだろう
ソニーの盗まれたデータも、そういう個人情報だが?
ソニーは「パソコンに詳しい程度の人がWindowsサーバとAccessで管理している会社」と違うだろ。
今してンのは、「数千万の個人情報」を扱ってる会社の話じゃないよ。
「数千万の個人情報」を「パソコンに詳しい程度の人がWindowsサーバとAccessで管理している会社」の話。
それが「多い」と言っていることに対し、それは「どこの世界の話なのだろう」と言われてンの。OK?
ソニーのも、個人情報というより捨てアドで水増ししたゴミ情報じゃない?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
建前にしても、厳しい判決理由 (スコア:0)
>ソフトウェアが最新の状態に保たれていれば情報漏洩を防げた
国内で個人・クレカ情報を色々扱っているけど、この根拠は怖いな。
正直、数千万程度ならパソコンに詳しい程度の人がWindowsサーバとAccessで管理している会社も多いし。
いや、大企業ならそのくらいしておけって制裁なのは分かるけど。
Re:建前にしても、厳しい判決理由 (スコア:4, 参考になる)
念のためですが、「判決」ではないです。
この支払命令は裁判所ではなく行政庁によって発せられたもので、日本でいうと(公取委や金融庁の発する)課徴金納付命令が近いといえます。
なお、これに対する不服申立ては、第一段階審判所(First-tier Tribunal)という行政審判所に対して行われ、さらなる不服申立ては上級審判所(Upper-tier Tribunal)というさらに上級の行政審判所に、そしてさらなる不服申立ては(イングランドおよびウェールズの場合は)控訴院(Her Majesty's Court of Appeal)という(通常の)司法裁判所に対して行うことになります。
Re: (スコア:0)
不服ってどの辺が納得できないのかねぇ?
この類で、不服申し立てすると、認められて0になるとか減額されるだけじゃなくって「反省していない」として逆に増額されるという制度があれば、不服申し立てしにくい(≒とりあえず脊髄反証)がなくなるような気が……
Re: (スコア:0)
「反省」って、どうしたら反省になるの? 一軒一軒謝罪訪問すればいいの? お遍路でも旅する?
金額を算出する根拠に正当性が無いのであれば、被害/加害の関係は認めても、金額が高すぎるという訴えは十分にあると思いますが。
Re:建前にしても、厳しい判決理由 (スコア:2)
金額ってどうやって算出するんだろうと思って、根拠規定であるData Protection Act 第55A条を見てみたのですが、Comissionerが決定するということと、一定の金額(50万ポンド)以下じゃないといけない、という以外には何も書いていないんですね(日本だと計算方法が必ず規定されているのとは大違いですね。)。おそらく、過去の例や他の行政処分の場合などに照らして判断するんでしょうが、2010年4月6日に施行されたばかりのわりと新しい規定のようですし、処分をする側もこれを争う側もなかなか大変ですね。
Re:建前にしても、厳しい判決理由 (スコア:2, 興味深い)
経験から、50万件程度の氏名、住所、電話番号などの基本的な情報をCSVにしたもので大体100MB。
単純に計算すると1,000万件なら2GBになります。
もちろんデータや項目数によって上下しますが、
データの平均が氏名を5文字(性+空白+名)、住所を20文字(数千万件なら県をまたぐと思われるので県名から。方書含む)と仮定して、
日本語項目が1文字2バイトでも、1,000万件で既に500MB。
実際にはカナ氏名や管理用の番号、各種処理のためのフラグ、支払いがあるなら口座番号やカード情報なども入ることが考えられます。
さらにAccessにインポートして増える分もありますが、それを無視しても
単一MDBでは2GB制限にすぐ引っかかってまともに扱えませんし、
膨大なデータを複数のMDBに格納してテーブルリンクなどを駆使して管理しきれてるなら特殊な事例でしょう。
パソコンに詳しい程度の人、ようするにその辺の誰でも出来るレベルでは無いと思います。
大元のデータはちゃんとしたDBに持っていて、
そこから特定の目的で処理する際に
切り出した数万~数十万程度のデータをAccessで扱っているだけじゃないですかね?
Re:建前にしても、厳しい判決理由 (スコア:1)
> 正直、数千万程度ならパソコンに詳しい程度の人がWindowsサーバとAccessで管理している会社も多いし。
数千万件の個人情報やクレカ情報をAccessで管理してるだと・・・
ていうか、数千万件の個人情報を扱ってる会社がそんなに多いとは思えない。
Re:建前にしても、厳しい判決理由 (スコア:1)
Re: (スコア:0)
SCEのはアカウント数だからなぁ、個人情報も殆ど嘘で
クレカ情報も1割位しか紐付いてなかったんじゃなかった?
Re: (スコア:0)
>ていうか、数千万件の個人情報を扱ってる会社がそんなに多いとは思えない。
このネット時代なら簡単に集まるんじゃないか。
まぁ殆どがゴミみたいな情報だろうけどw
Re: (スコア:0)
Re: (スコア:0)
何を最低限とするかが難しいのと、一応この件に関してSCEは被害者なはずなんだけどね。
Re:建前にしても、厳しい判決理由 (スコア:2)
SCEは個人情報を管理する事業者として攻撃にさらされることは当然想定しておかないといけないわけですから、「被害者なはず」は関係ありません。
具体的に何をしていればよいかは、その時々で変わり得ますし、判断が難しい場合があるのはおっしゃるとおり。本件で判断が難しかったかどうかはちょっと分かりませんが。
Re:建前にしても、厳しい判決理由 (スコア:1)
被害者じゃないと誰かが言いましたか?少なくとも私は言った覚えがないのですが。
Re: (スコア:0)
大勢の客から預かった金を金庫にしまわず、袋か何かに入れてそこらに積んでおきましたってなったら
強盗と銀行という関係性で言えば銀行が被害者でも、銀行から客に対しての責任も当然発生するでしょ
君みたいに論点わかってない・状況把握できてない人は、たとえ話を使っちゃいけないと思うよ
Re: (スコア:0)
仮に、銀行に強盗が入ったという例えで言うならば、
その銀行は、1億人近い客から客から預かった金を、
店内の見えるところに放置し、金庫は使ってなかった。
かつ、店の入り口の鍵は、簡単な南京錠1つ程度だった。
泥棒は武装した銀行強盗ではなく、そこらのこそ泥で、
南京錠を開けてこっそり忍び込んで、何千万人(1億人近く)の
預金が置いてあったので、全部持って逃げた。
大体こんな感じ。もちろん、一番悪いのは泥棒だ。
Re: (スコア:0)
それでも法律で「そういう管理をしてはいけません」って決まってなければ政府が制裁するのは筋違いだよね。
民事でならいくらでもやっていいけどさ。
Re: (スコア:0)
>大体こんな感じ。
全然ちげーよw
Re:建前にしても、厳しい判決理由 (スコア:1)
そりゃもちろん決まってますよ…。SCEEの件なら、Data Protection Act 1998ですし、銀行の喩えなら日本では銀行法です。
Re: (スコア:0)
これって刑事罰なんですか?
行政処分って、刑事罰だけじゃないと思うんだけど。
Re: (スコア:0)
>情報保護法違反
だから法律で決まってたんですけど。
頭大丈夫?
Re:建前にしても、厳しい判決理由 (スコア:1)
行政処分なので刑事罰ではないですよ。処分をしたのは行政庁であって、裁判所ではありません。
Re: (スコア:0)
日本の人口は1億2千万人。数千万の個人情報って・・・?
どこの世界の話なのだろう
Re: (スコア:0)
>日本の人口は1億2千万人。数千万の個人情報って・・・?
>どこの世界の話なのだろう
ソニーの盗まれたデータも、そういう個人情報だが?
Re: (スコア:0)
ソニーは「パソコンに詳しい程度の人がWindowsサーバとAccessで管理している会社」と違うだろ。
今してンのは、「数千万の個人情報」を扱ってる会社の話じゃないよ。
「数千万の個人情報」を「パソコンに詳しい程度の人がWindowsサーバとAccessで管理している会社」の話。
それが「多い」と言っていることに対し、それは「どこの世界の話なのだろう」と言われてンの。OK?
Re: (スコア:0)
ソニーのも、個人情報というより捨てアドで水増ししたゴミ情報じゃない?