パスワードを忘れた? アカウント作成
3114 story

岩手県が氏名を「非表示」にしただけで個人情報を公開 34

ストーリー by Oliver
気が抜けてる 部門より

jbeef曰く、"5月30日の朝日新聞読売新聞毎日新聞などの報道によると、 岩手県が、県の個人情報保護条例に基づく個人情報の開示請求開示請求処理状況をWeb上に公表した際、 公表してはならない請求者の氏名まで掲載していたとのこと。 過ちの原因は、 朝日新聞の記事から引用すると、 「担当者が表計算ソフトで開示状況の一覧を作る際、氏名部分を削除せずに「非表示」の操作をしただけだったため、HPにアクセスした人が画面を操作すれば、再び「表示」に切り替えられた」のだそうだ。Excelの生データが置かれていたということだろうか。 類似の事件として、2000年6月のニューヨーク・タイムズがCIA諜報員の氏名を誤って公開した事件が思い起こされる。 このときは、PDFファイルの氏名部分に黒塗りをして見えないようにしたつもりが、PDFの表示を途中で止めれば下側に隠れている氏名を読めてしまうというものだった。 なお、6月1日現在、 岩手県ホームページおよび岩手県の情報公開のページにおいて、 この件についての原因説明あるいは再発防止のための対策等の記載は見あたらない。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2002年06月02日 3時19分 (#101003)
    Oliver も他の人もなんか誤解してるみたいだけど。

    今時の Excel は、ファイルを .html で保存しても、もう一度 Excel で開けばまた元のワークブックに戻るようになってる。
    数式も振り仮名も非表示セルのコンテンツも、全部 .html 中に保存しているんだ。元データなんかいらない。
    だから非表示にしたデータは、.html をExcel で開いて再表示すれば何の苦労も無く読み出せる。むしろ Excel なんか使わなくても、html ソースを見れば丸出しっす。

    このことを知らずに、Excel で作った html をウェブに載せてしまった県職員はあきらかに不注意だったと思う。被害者というよりはむしろ加害者ですねー。
    • 別のデータでやってみたんですが。

      Netscape6.2.3でもOpera6.3でも、セル幅を0にしただけでは駄目で、Netscapeではフォント色を背景に合わせてやっと無幅になりましたし、Operaではそちらも駄目。
      無論、どのような状態でもカットアンドペーストで隠した部分を取り出せてしまいます。(XMLとして残っている以上、当然ですが)。

      しかし、普通そこまでやれば「おかしい」と気付くものですが。
      「IEでの見た目でしかチェックしなかった」のかなあ。

      #平成13年度情報公開制度実施状況 [iwate.jp]は「<META name="GENERATOR" content="IBM WebSphere Homepage Builder V6.0.1 for Windows">」となってますね。急遽ホームページビルダーでチェックしたのでしょうね…。
      親コメント
  • 情報の漏洩 (スコア:2, 興味深い)

    by tix (7637) on 2002年06月02日 1時53分 (#100947) ホームページ
    こういう問題に本当に対処するためには、情報の流れという面からソフトウェアの設計を根本的に見直す必要があると思うのですが、きっとそんな解決はとうぶん先まで無理でしょうね。

    今回のも、タレコミにある2000年6月の事件も、「公開されないようにしたつもりの情報がソフトウェアを操作するだけで見えてしまう」ということですが、以前の Microsoft Office (詳細を失念)には削除したはずの文書の断片がファイルに含まれてしまうという問題もありました。このような文書の断片はソフトウェアを普通に操作しても出てきませんが、それなりに調べれば読めるということのようです。そういうのは、既に公開された中にあったとしても、発見されていない可能性が高いのではないでしょうか。そう考えると、見つかって指摘されているのは氷山の一角ではないかとも思え、恐ろしく感じます。

    こういう情報漏洩の問題を根本的に解決するような技術革新が、ないものですかねえ(他力本願)。

    と、コメントを書いていて、今回の事件を「情報漏洩」と呼ぶことに多少違和感を覚えるのですが、まあ不注意や知識不足によるミスが原因でも情報漏洩は情報漏洩でしょう。

    // 毎日新聞の記事の冒頭に
    岩手県のホームページ(HP)に
    と書いてありますが、後続の文章でも使っていない(しかもぼくの好きでない :)略語をわざわざ括弧に入れてまで示さなくても……。
    --
    鵜呑みにしてみる?
    • by Anonymous Coward on 2002年06月02日 15時15分 (#101203)
      意図したとおりの出力が出来ないソフトウェアが最大の加害者かと。

      コンピューターとか電子化とかってあくまでも、人間の作業の効率化のため使われているんだから、ソフトの使い方が不注意だったと責めるのは本末転倒かと。
      #道具に使われてどうする?人間!

      でも、そんなこといっていても現実的でないんで、官邸の情報セキュリティー対策 [kantei.go.jp]に「使用ソフトウェアの出力状態の把握」って項目を入れてもらうしかないかなー
      それと、こんなところ [cnet.com]で、セキュリティーチェックの項目に追加してもらうと
      親コメント
      • by Anonymous Coward
        その効率化には、削除したデータを再度表示させたいってワガママも含まれてると思われ。
        • by Anonymous Coward
          >その効率化には、削除したデータを再度表示させたいってワガママも含まれてると思われ。

          って言うのは編集用で、アウトプットにまでそんな情報入れる必要は無いと思われ。

          いちいち、アウトプットに編集過程情報が含まれていないかチェックしないといけないのは、非効率だと思われ
          • by Anonymous Coward
            確かにデータとして必要は無いし効率も悪い。
            そういう意図でアウトプットしてるユーザにはね。
            #俺もいらんし。そんな情報。

            ただ、自分が使うためだけに作られてるソフトじゃないんだから、
            「ソフトの使い方が不注意だったと責めるのは本末転倒」
            というのはどうかと思うんですよ。
    • >こういう情報漏洩の問題を根本的に解決するような技術革新が、
      >ないものですかねえ(他力本願)。

      利用者の「気持ちを自動的に判断」する仕組みが必要になるかと(^^;
      もしくは「過去の操作から推測して警告」する仕組みとか…。
      #MS-Officeにはそんな仕組みが大量にありますね。

      それはさておき…。

      私好みの解決方法
      1.作業者が適切な知識を持つ
      2.他の人にチェックして貰う(紙では無く(^^;)

      業界(?)的な解決方法
      1.「なんちゃら情報発信システム」の開発
      2.発信する内容毎に新しくシステムを開発
      3.システム毎に操作が違う&互換性に問題
      4.それらの業務を統合した…(1へ戻る)
      親コメント
    • by Anonymous Coward
      > こういう情報漏洩の問題を根本的に解決するような技術革新が、
      > ないものですかねえ(他力本願)。

      ほい [nec.com]。
      • by tix (7637) on 2002年06月02日 18時58分 (#101305) ホームページ
        型理論をセキュリティに応用するという話は聞いたことがありました(たしか紹介していただいた SLam calculus のことだったと思います)。

        しかし、研究者がよい研究をしても、それが一般に使われるようになるためには、ソフトウェア開発の技術者の側にも新しい動きが必要だと思うのです。

        そのような動きのことを「技術革新」という言葉で表現したかったのです。わかりにくくてすみません。

        ところで、ぼくは今「技術者の側」と書きましたが、このように「研究者の側」と「技術者の側」という二者が存在するという考え方では、状況を単純化しすぎているかもしれません。研究者であり同時に技術者でもある人がいるからこそ、研究が実用化されていくのかもしれないと思います。
        --
        鵜呑みにしてみる?
        親コメント
      • by Anonymous Coward
        それのいったいどこがこういう問題を根本的に解決するのか、解説希望。
    • by Anonymous Coward
      技術革新でこういう事に対処しようするのは技術過信だ。
      この事件の原因は、こうした事態にまで知恵がまわらない
      愚かな人間が個人情報を扱っていた、という人事の問題。
      • by tix (7637) on 2002年06月02日 21時19分 (#101352) ホームページ
        技術革新でこういう事に対処しようするのは技術過信だ。
        技術で何もかもが解決できると思ってはいけないということは承知しています。

        ただ、どこに対して反論されているのかが今一つよくわからず、どうも誤解されているような気もするので、 #100947 [srad.jp] の補足を書きつつ少し #101210 [srad.jp] への再反論を試みます。

        まず、ぼくは「今回の事件の原因はソフトウェア技術の未熟さにだけあって県にはない」とは思っていません。その点をわかってください。

        ぼくは、情報漏洩の心配のないソフトウェアを実現するための技術革新が今すぐ起きるだろうとは思っていません。

        言うまでもなく、情報漏洩の心配のないソフトウェアが出てくるのを待つ、というのではこの事件の解決になりません。技術過信とはそのような態度のことを指していると思います。何年か何十年か後にはそれで解決するかもしれませんが、今目の前にある問題を解決するのに未来の技術革新にすがっても仕方がありませんよね。

        しかし、目の前の問題を解決する手段を考えるのとは別に、 #100947 に書いたような未来の解決手段を考えることにも価値があります。未来の技術革新にすがっても意味がありませんが、未来の技術革新を想像したり望んだりすることは意味がないどころか、ある意味、技術の進歩になくてはならないステップです。

        さて、ぼくが「情報漏洩の心配のないソフトウェアを生む技術革新」が起きてほしいと思う理由は、ユーザの注意力と知識に大きく依存している現在のソフトウェアのあり方が望ましくないと考えているからです。これも技術過信になってしまうのでしょうか。

        ぼくは、本来コンピュータはユーザを楽にするためのものであり、ソフトウェアはユーザに注意力や知識を要求するべきでないと考えています。「本来のソフトウェア」を生むような技術革新が(そのうち)起きてほしいという思いがあって、 #100947 を書いたのです。
        --
        鵜呑みにしてみる?
        親コメント
        • Re:情報の漏洩 (スコア:1, すばらしい洞察)

          by Anonymous Coward on 2002年06月02日 22時05分 (#101372)
          ユーザの注意力と知識に大きく依存している現在のソフトウェアのあり方が望ましくないと考えているからです。
          注意力と知識に依存しないなど無理。

          ソフトウェアに多様な機能が存在する限り、その機能を理解していなければ、想定外の事故が起きる。このことはどうやっても、技術革新などで解決できるものではない。警告や説明などによって軽減できるかもしれないが、注意力に依存することは間違いない。

          親コメント
          • by tix (7637) on 2002年06月04日 1時27分 (#102038) ホームページ
            AC さんとぼくの意見の食い違いは、将来のソフトウェアに関する見通しの違いから生まれていると思います。ぼくの見通しは将来の可能性の一つでしかない、という批判なら甘んじて受けます。

            しかし、もし、ソフトウェアはこの先も現在の形のままにしかならないと思っているなら、 Alan Cooper 著、(株)テクニカルコア訳『ユーザーインターフェースデザイン』翔泳社、1996年 [shoeisha.com]を一読することをお勧めします。全章にわたって「ソフトウェアは現在のものよりよくできる」という主張が貫かれています(今手元になくて確認できないのですが、今でも通用する話が多いと思います)。この本を読めば、現在のソフトより少ない注意力や知識しか要求しないソフトウェアもありうるということがわかっていただけると思います。
            ソフトウェアに多様な機能が存在する限り、その機能を理解していなければ、想定外の事故が起きる。
            多様な機能を搭載したソフトウェアをデザインするとき、ユーザがすべての機能を理解していなければ重大な事故が起きるようなデザインをしていてはよくありません。

            また、「機能を理解する」際の理解のレベルにはいろいろがあります。機能がどう実装されているかをユーザに理解してもらうことは困難ですが、実装の方法とは別の方法で理解してもらえば済むことが多いです。ソフトウェアをデザインする際には、ユーザにどう理解してもらうかを考えて、ユーザをその理解に誘導できるようなデザインをするのが望ましいです。
            警告や説明などによって軽減できるかもしれないが、注意力に依存することは間違いない。
            現在のソフトウェアではユーザに注意してほしいときに警告を表示することがよくありますが、警告の使いすぎによってユーザになかなか注意を払ってもらえなくなっています。ユーザの注意力には限りがあるので、警告はここぞという場面でのみ使うべきです。

            説明は警告とは違いますが、やはりあちこちで説明を読まなければならないようなソフトウェアではユーザは注意力を使い果たしてしまいます。

            ユーザに簡単に注意を払ってもらうためにアイコンを使うことがあります。文字を使うよりも効果的だと思いますが、アイコンも使いすぎれば注意を払ってもらえなくなります。例えば、 Windows にある程度慣れたユーザは、感嘆符の付いたダイアログボックスを見ても感嘆符にあまり注意を払いません。

            ソフトウェアによって重大な事故が起きないようにするには、ソフトウェアをデザインする際に、ユーザがどのようにソフトウェアを理解して使うかをよく考える必要があります(デザイナの考えが正しいかどうかを確認するため、デザインの過程でユーザテストというのがよく行われます)。また、ユーザの注意力に限界があることを理解する必要があります。実装と異なる理解をしてもらうためにユーザを誘導する方法も習得する必要があります。

            紹介した本には、ユーザに注意力をあまり要求しないようなソフトウェアをデザインする方法が書かれています(どうしてそういうデザインがいいか、という話も書かれていたと思います)。
            --
            鵜呑みにしてみる?
            親コメント
  • by tada (5086) on 2002年06月02日 2時33分 (#100980)
    脆弱なパスワードと、今回の「非表示」の問題ってどちらも、
    被害者(?)側が防御したつもりになっていたが
    実際は簡単に防御をはずせてしまった、点で同じですよね。
    これって、「非表示」を解除しただけで犯罪になったりして。
  • 類似の事件 (スコア:2, 参考になる)

    by jbeef (1278) on 2002年06月02日 4時14分 (#101022) 日記
    類似事件はもうひとつあったはずと探していたのですが、見つけました。

    『カーニボー』監査チームのメンバー情報が漏れる [hotwired.co.jp]

    司法省はオンラインに51ページのPDFファイルを掲載した。この文書の中では、メンバーの氏名、電話番号、それに米政府の秘密情報取り扱い許可といったプロジェクト情報が、太い黒線で消されていた。
    しかし結局のところ、この情報は「削除」などされてはいなかった。米アドビシステムズ社が提供するソフトウェア――あるいはテキストエディターとほんの少しの時間――があれば、誰でも元のままの文書を見ることができるのだ。
    とのこと。
  • Excelの生データが置かれていたということだろうか。
    原本のExcelのファイルを加工して公開することになり、担当者が名前列を削除したつもりだったけど、列の非表示をしただけだった。紙で稟議したため、上司は気づかなかったってことでしょうね。

    再発防止策って、Excelをやめるぐらいしか思いつかないなぁ。
    --

    -----
    Team Slashdot Japan [tripod.co.jp]に参加しよう。

    • 再発防止策って、Excelをやめるぐらいしか思いつかないなぁ。
      Excelを使いつつ、出力形式にHTMLを指定してはどうだろうか。
      手元にExcelがないため、実際にどうなるのかは確認していないが。
      --
      char *A;
      モータースポーツ部 [slashdot.jp]
      親コメント
      • by jbeef (1278) on 2002年06月02日 2時28分 (#100976) 日記
        開示請求処理状況 [iwate.jp] のHTMLソースの冒頭部分がこうなっています。
        <meta name=ProgId content=Excel.Sheet>
        <meta name=Generator content="Microsoft Excel 9">
        <link rel=File-List href="./kojin13nendo.files/filelist.xml">
        <link rel=Edit-Time-Data href="./kojin13nendo.files/editdata.mso">
        <link rel=OLE-Object-Data href="./kojin13nendo.files/oledata.mso">
        http://www.pref.iwate.jp/~hp020501/koukai/jokyo/jokyo/kojin13nendo.files/ は現時点で存在しないようですが、「editdata.mso」や「oledata.mso」にはどんなデータが入っているのだろう?
        親コメント
        • Excelファイルをそのまま掲載したのだと思いこんでいたけど、Excel2000(かXP)のファイルをHTMLで保存したか、Web発行したものだったのかもしれないですね。

          手許にExcel2000がないので検証できませんけど、Excel2000から「ラウンドトリップ」という技術が使われていて、HTMLに変換したときにほぼExcelファイルそのままの状態にすることができます。
          この時、Excelの各ワークシートはXMLに変換されて、「kojin13nendo.files」の下に保存されていたはず。

          確か、「kojin13nendo.files」があれば、kojin13nendo.htmをもとのExcelファイルに戻すことも可能だったと思います。
          --

          -----
          Team Slashdot Japan [tripod.co.jp]に参加しよう。

          親コメント
      • >Excelを使いつつ、出力形式にHTMLを指定してはどうだろうか。

        ExcelからHTMLを出力できるかどうか知らないんですけど,
        <!--ほげ-->でコメントアウトされてたりして(^^;

        画像(出力イメージ)を掲載する,という策くらいしか思いつかな
        かったので,HTMLで出すってのは良いアイデアだと思いました。
        親コメント
    • by UNiAzusa (9292) on 2002年06月03日 9時57分 (#101592) 日記
      そもそも論でアレなんですが、ExcelデータやWordデータを標準でばらまくのは止めて欲しいですね。
      環境によっては読めない形式だし、「ウイルス在中」データをばらまかれるのもアレだし。

      #あとメールに問答無用でVisioデータとか添付してくるのも困モノ
      親コメント
  • by Anonymous Coward on 2002年06月02日 10時30分 (#101087)
    そもそもそんなリスト作る必要あったのですか?
    防衛庁にしてもしかり。
    開示状況がしりたければ、数だけ数えて、
    統計だけ作っておけばいいものを。
    • 統計だけでは極端に処理期間を長くしている案件の検知には十分ではない、という考え方があるのかも。

      審議会等での文書開示がイメージスキャンばかりというのも「紙で出た状態を出せ」という要求があるためだとか。
      #こればっかりは役人の説明責任の範疇を通り越した無駄のような気がしないでもない。
      #ワープロ原ファイルからAcrobatで{作れた|作ってくれた}方がよっぽどマシなのだが。

      追記:
       #101088 [srad.jp]ですが、 s/Opera6.3/Opera6.03/ です。
      親コメント
  • おとなしく印刷したのをスキャンして配信する
    装置だけを作ればいいのに。

    役所がじかに監督すべきところに監督できない
    領域の存在を許可するっていうのがどうかと。
  • 誤れば済む (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2002年06月02日 16時00分 (#101222)
    朝日新聞の記事
    県広聴広報課は「請求者のプライバシーを侵害する結果となり、大変申し訳ない」と話している。
    謝って済まされるのなら再発するだろう。

    読売新聞の記事

    県は「今後は、複数の職員でチェックしたい」と話している。
    複数の職員でチェックすれば大丈夫とどうして保証できる?
    • by oku (4610) on 2002年06月02日 22時02分 (#101370) 日記
      複数の職員でチェックすれば大丈夫とどうして保証できる?
      保証はできません (所詮は人間のする事) が、物件の作成者と監修者が別々でなければならない (=少なくとも携わる人員が複数) っていうのは常識かと愚考する次第です。

      # ま、そうでないとこもいっぱいありますけどね...。

      親コメント
    • by Anonymous Coward
      > 謝って済まされるのなら再発するだろう。

      しかも、役所の職員は定期的に異動するので、
      教訓が生かされない罠。

      > 複数の職員でチェックすれば大丈夫とどうして保証できる?

      共同責任は無責任ってやつだったり。
  • このときは、PDFファイルの氏名部分に黒塗りをして見えないようにしたつもりが、PDFの表示を途中で止めれば下側に隠れている氏名を読めてしまうというものだった。

    以前,Intel のサウスブリッジの PDF のデータシートを見てたときのこと. IDE インターフェースの動作について知りたかったので,「IDE」で検索すると,各ページの下の部分にマッチする.

    「なんだろう」と,その部分をマウスカーソルでなぞってみると,「CONFIDENTIAL」の文字が. 機密指定を解除したときに,文字の色を変えて見えないようにしたのだな,と.

  • 画像フォーマットだと、編集用のフォーマットと表示/配布用のフォーマットって、一般的に区別して使われていますよね。
    他人に渡すときは、JPEGとかPNGとかTIFFとか使いますよね。コンピュータの専門家でなくとも。
    Adobeフォトショップ形式のファイルとか配っている人は、見たことないです。

    MS OFFICEのようなソフトにも、配布用のフォーマットを使うという習慣が広まればいいんだろうな。

    # PDFだとイマイチ弱い
    -----
    --
    gen+nob+ash
    • >MS OFFICEのようなソフトにも、配布用のフォーマットを使うという習慣が広まればいいんだろうな。

      今回の件は、HTML出力して載せてあったんですよね?
      だったら配布用フォーマットを使うという点では一応配慮はされていたと。
      問題は別のところ(見せたくない情報が配布用フォーマットにまで残るというExcelの仕様?)にあったわけです。

      >Adobeフォトショップ形式のファイルとか配っている人は、見たことないです。

      直接
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...