パスワードを忘れた? アカウント作成
4956 story

ジャストシステムのユーザ登録情報取り扱いに疑問の声 97

ストーリー by Oliver
個人認証は非公開情報で 部門より

k3c 曰く、 "セキュリティmemoメーリングリストへの投稿において、株式会社ジャストシステムズ及び(財)日本情報処理開発協会 プライバシーマーク事務局に対する公開質問状が提示された。この投稿によれば、ジャストシステムのユーザID登録画面において、登録ユーザーの氏名及び電話番号を入力すれば、任意のメールアドレスに対してユーザー登録の際発行されたUser IDが通知されるという。さらに、このUser ID及び電話番号を登録内容の変更ページに入力すれば、住所・メールアドレス・誕生日などを知ることができる。また、同じくUser IDと電話番号を登録製品の照会ページに入力すれば、登録製品の製品名とシリアル番号を知ることができる。つまり、ある人の氏名と電話番号を知ることができれば、ジャストシステムの画面から(もしその人がジャストシステム製品を購入してユーザー登録していれば)その人の住所・メールアドレスと誕生日、使用しているジャストシステム製品のシリアル番号などの情報が得られることになる。"

"これは、同社のプライバシーポリシーページに書かれている

3. お客様の個人情報を収集目的の範囲内で利用するとともに、適切な方法で管理し、  特段の事情がない限り、お客様の承諾無く第三者に開示・提供することはありません。
という記述に反するものではないか?というのが、投稿者の問い合わせの主旨である。さらに、この投稿では、プライバシーマーク事務局に対し、このように個人情報を取り扱っている企業がプライバシーマーク認定に値するのか、という質問も投げかけられている。
さらに事態を深刻にしているのは、このような個人情報の取り扱い方に対して、一年ほど前にも同じ人物からジャストシステムに対して質問が行われているということだ。その際、個人情報の確認方法を電話番号でなくパスワード(つまり第三者に容易に推測され得ない、本人確認たり得る情報)に「早急に」変更していくという回答があったにも関わらず、一年経った現在でも、本人確認が氏名と電話番号という、容易に推測される情報で行われており、回答の内容が正しく実施されていないのだ。

ところで、コトはジャストシステムの事例に限らないとワタシは思う。一般に、Webサイトを利用するユーザーはオンラインで情報を入力する際、当該サイトのプライバシーポリシーを参照して個人情報を提供するかどうかを決定することができる。また、その際、相手の企業内で個人情報の取扱いが正しく取り扱われているかどうかを計るひとつの目安として、プライバシーマークというものが運用されているはずだ。プライバシーポリシーを明確に提示し、プライバシーマークを取得している企業における個人情報取り扱いの一例としてこのようなWebサイトが存在しているのであれば、プライバシーマークやプライバシーポリシーの信頼性は根底から疑ってかかるしかないのではないか?"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by harux (9573) on 2003年02月10日 18時38分 (#255641) ホームページ 日記
    よくこんな個人情報保護方針で、通ったなという感じですね。

    方針なのに、「努めてまいります」でなく、「努めております」になっているとか、
    「特段の事情がない限り」ってそんなあいまいな、
    「契約により義務づけ、適切な管理を」って、契約で義務つける以上の管理(監査とか)するの?しないの?
    「委託元よりお預かりした個人情報」ってなに?「お客様の個人情報」とは別物?

    プライバシーマークを信用したのに、個人情報が流出した、って、本情報処理開発協会が訴えられないか心配になりますわ。
    • プライバシーマークを信用して個人情報を曝け出す人間が一番セキュリティ意識が低いとか言ってみるテスト

      ネタだけじゃアレなんで、参考に言っておきますと、プライバシーマークだの何だのって個人情報が何か、個人情報を如何に守らなければいけないか、というのはどこも教育してるんで
  • 仕様バグ (スコア:4, 興味深い)

    by nobuhiro (5244) on 2003年02月10日 18時10分 (#255616) ホームページ
    指摘の内容を見ると、単純なリマインダーの仕様のバグみたいですね。
    しかし、本人確認手段として、名前と電話番号の組合せに頼るなんて 杜撰な仕様に誰も気がつかなかった、と言うのはかなり情けない。

    少なくとも実装する人間は気がつきそうなものだが、 よほどセキュリティに疎い人間がやったのか、 買い叩いた上で外注に丸投げしてシカトされたのか。

    この後、ジャスト側がどういう反応を示すのか(または反応しないのか)に興味があるなぁ、野次馬ですけど。

    --
    • Re:仕様バグ (スコア:3, 参考になる)

      by nobuhiro (5244) on 2003年02月10日 18時20分 (#255628) ホームページ
      って、メーリングリストの前のメッセージ [ryukoku.ac.jp]を見ると、指摘自体は一年前なんですね。放置プレイ (^_^;) ですか。

      そんでもって、今回はプライバシーマークの信頼性が問題ってことですな。

      --
      親コメント
    • Re:仕様バグ (スコア:1, フレームのもと)

      by Anonymous Coward on 2003年02月10日 18時46分 (#255646)
      名前と電話番号まで知られてる状態で、住所や誕生日・製品情報知られたからって何なんだ、って気もするが。

      セキュリティはどの世界でも手間・コストと安全性の兼ね合いでしょ?
      それを安全性ばかりに囚われて「気がつかなかった」と言い切れるところがなんと言うか…

      なんでネットに関することになると安全性ばかりを強調して、手間・コストを考えられない人たちが出てくるんですかね?
      たまにしか見ない情報ページなんぞどれだけの人がパスワードを正しく管理できるのやら。

      プライバシーマークとかプライバシーポリシーとかがあるからややこしくなるんであって、そう騒ぎ立てるほどのもんでもないしょ?
      親コメント
      • Re:仕様バグ (スコア:2, 興味深い)

        by mizotec (13974) on 2003年02月10日 23時10分 (#255805) 日記
        電話番号がわかれば、たぶん住所はわかるでしょう。
        たとえば、
        電話番号検索
        [systembit.co.jp]等で。

        住所がわかれば、電話番号がわかるので、
        ジャストを使用しているならば、
        名前とある程度の住所が判っていれば、目的の人物を特定でき、
        メールアドレス、誕生日、等の情報が手に入る。

        電話帳には載せてはだめですね。
        --
        I am grateful to everyone and you.
        親コメント
      • Re:仕様バグ (スコア:1, 参考になる)

        by Anonymous Coward on 2003年02月10日 19時45分 (#255672)
        管理の手間を省くために、利用者の情報がなおざりになるのが
        正しいのかどうか。

        少なくとも、今回の例では

        UserIDと電話番号を入力することで
        住所・メールアドレス・誕生日などの情報が出力される事に
        必要性を全く感じられません。

        Just内部の人の使い勝手のためだとしたら、
        そんなものを外部に公開するな、ってことになりますし。
        親コメント
      • Re:仕様バグ (スコア:1, 参考になる)

        by Anonymous Coward on 2003年02月10日 20時41分 (#255701)
        > 名前と電話番号まで知られてる状態で、住所や誕生日・
        > 製品情報知られたからって何なんだ、って気もするが。

        それはあなた個人の感覚.それを許せるかを決定するのは
        顧客一人一人.あなたが決めることじゃない.

        > セキュリティはどの世界でも手間・コストと安全性の
        > 兼ね合いでしょ?

        プライバシーマークを貼ってないならコスト重視でもよい.

        > プライバシーマークとかプライバシーポリシーとかがある
        > からややこしくなるんであって、そう騒ぎ立てるほどのもん
        > でもないしょ?

        あなたのように考えるなら,プライバシーマークを返却すれ
        ばよい.
        親コメント
    • by Anonymous Coward
      確か メアドって登録時は必須じゃないんだよね
      おいらも登録してあるけど はがきで登録したからメアド未記入
      当時はメアド持ってなかったし

      この状態でWebだけで本人確認するとしたら本当に登録時の名前と登録
  • 続報 (スコア:3, 興味深い)

    by k3c (4386) on 2003年02月12日 2時59分 (#256664) ホームページ 日記
    同一人物からさらに追加質問 [ryukoku.ac.jp]が投稿されています。この回答 [srad.jp]で「大丈夫です」と言われているJust MyShopのパスワードにはリマインダ機能があり、その存在がユーザーにWeb上以外の手段で通知されないまま、デフォルトで生年月日をリマインダに設定してあるとのこと。なので、ユーザー登録しており、かつJust MyShopを利用したことのある人については、上のタレコミで述べたように氏名と電話番号から生年月日を引き出し、パケット傍受と合わせ技でJust MyShopの登録情報(クレジットカード番号など)が引き出せるようです。

    また、ジャストシステム創業以来の全登録ユーザー情報がWebから引き出せる状態にあるそうです。ジャストシステム製品を購入してユーザー登録した人全員(450万人 [ryukoku.ac.jp]以上)が今回の脅威に晒されているということになります。
  • by Anonymous Coward on 2003年02月10日 18時01分 (#255607)
    個人情報保護方針というのは、あくまでも「このように取り扱おう(と考えている)」という事を示すべきであって、「現在このように取り扱っている」という「実装の説明」的な文章になっているのがそもそもの間違い>ジャストシステム

    方針実装が食い違っている場合に「方針通りの実装になっていない」という指摘であればわかるが「方針が嘘」という指摘の仕方はいかがなものかと>高木氏
    まあこちらは上に書いたように「方針」に「実装の説明」を書いているジャストシステムにも非はあると思うけど、「公開質問状」という公開を前提とした場で相手を「嘘吐き」呼ばわりするのは、社会人としていかがなものかと。
    相変わらず「相手の神経を逆撫でする」ような文章を書くのがお得意ですね>高木氏
    「相手を叩く/吊るし上げる」のが目的ではなくて、「相手に(ユーザのために)より良い環境を整えて欲しい」と思うのであれば、もうちょっと言葉を選んだ方が良いと思うが。

    • Re:「方針」と「実装」 (スコア:2, すばらしい洞察)

      by bugbird (4706) on 2003年02月10日 18時12分 (#255619) ホームページ 日記

      マジレスもなんなんだが…。

      高木氏の口調が「社会人としていかがなものかと」ということ なら、指摘を一年間放置しているような企業もいかがなもんで しょうか。

      --
      --- Toshiboumi bugbird Ohta
      親コメント
    • Re:「方針」と「実装」 (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2003年02月10日 18時14分 (#255623)
      わかってないな~。
      高木氏みたいに噛み付きまくる人物が必要なんだよ。
      セキュリティ向上のためにはね。
      親コメント
      • Re:「方針」と「実装」 (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2003年02月10日 18時25分 (#255631)
        >高木氏みたいに噛み付きまくる人物が必要なんだよ。
        そそそ。高木さんは戦ってこそでしょう:)

        てゆーか、なんにも対応されていないっていうことは、
        ジャストシステムは噛み付かれているという認識が無いんでしょう(笑)?
        親コメント
    • セキュリティの啓発活動はその概念において絶対的に「善」で
      あります。

      世の中、善を行う人は聖人君子たるべしという暗黙の前提があるように
      思います。
      逆に「いかがなものか」とつっこまれるようなアクションがあると、
      その善行が持つ説得力も無為に失われてしまう。

      活動自体の趣旨はまったく正当なので、こういうつまらない横やりが
      入るような隙を見せない姿勢が、一般の理解を得るためには必要では
      ないかと考える次第です。

      /.Jを読むようなアレゲ人相手ならあまり問題ないでしょうが……
      親コメント
      • > セキュリティの啓発活動はその概念において絶対的に「善」で
        あります。

        オフトピだけど、世の中に「絶対的な善」なんてないでしょ。今問題になってる某国のイラク侵攻だって、某国大統領にとっては善かもしれないが、世界の人々は必ずしもそうは思ってないわけで。

        絶対の善とか正義とかっていうのは全体主義やファシズムを彷彿とさせて怖いです。

        # オフトピなのでマイナスモデもしょうがないなぁ…。
        親コメント
        • 誤解を招いたので補足します。
          #ひねった書き方をするものではないですね。反省。

          securityの訳は「安全」なわけですが、例えば安全第一という
          スローガンは一般的に善と言っていいと思われます。
          倫理や道徳と言ってもよいかと。

          もちろんコストや納期とのかねあいで妥協されることはあるし、
          技術的無理解や知識不足によって損なわれることはありますが、
          それは各論であって総論では反論のしようがない。
          概念において善とはそういう意図です。

          実際の活動がどうかは議論の余地があるでしょう。
          例えばexploit探したり晒したりするのはどうなんだ、とか。

          で、善やら道徳やらを語るのに聖人である必要があるのかというと
          NOかも知れないが、説得力が無駄に失われるのでもったいない、
          と考える次第です。

          啓発目的のはずが、揚げ足取られたりフレーム起こしたりでは何のための議論かわかりません。

          よけいなお世話っぽいですが、そういう印象を抱いています。
          親コメント
  • by habe (11732) on 2003年02月10日 18時23分 (#255630)
     プライバシーマークを取得したって会社 [exjob.jp]から「重要:会員登録完了手続きをお願いします」ってメイルが来た事があります。「登録した覚えがなければ以下のアドレス云々」と締めくくられていてどう考えても SPAM と変わらない。

     プライバシーマークって全然当てにならないんですよね。
  • by Anonymous Coward on 2003年02月11日 2時27分 (#255914)
    ゴールド会員向けの問い合わせ優先サービスで問い合わせて みたのですが、下記のような回答をもらえました。

    以下、Just MyShopお問い合わせ窓口ご担当者様より
    平素は弊社製品をご愛用いただき、誠にありがとうございます。 お問い合わせいただきました件についてご回答申し上げます。 このたびは、セキュリティに関する件で、ご心配をおかけし大変 申し訳ございません。 また、弊社の製品をご愛用いただき誠にありがとうございます。 今回いただきましたメール内容につきましては、社内で対応を 検討しております。メールに書かれておりますパスワード認証に つきましても対応をさせていただく予定にしております。 パスワード認証につきましては申し訳ございませんが、少しお時間 をいただくようになりますことをご了承下さい。 Just MyShopにつきましては、ユーザー認証でパスワードが必要に なっていますので、問題はありません。 今後とも弊社製品をご愛顧賜りますようお願い申し上げます。
  • by Anonymous Coward on 2003年02月10日 17時39分 (#255591)
    「株式会社ジャストシステム」という会社は存在しないのではないかと思います。>編集
    • by Anonymous Coward
       justsystems.jp justsystems.co.jp共に登録無いみたいですね。
       ググると意外に引っかかります。トップは間違えた人向けとして、以下ずるずると表記違いが...
  • by nisi (6390) on 2003年02月10日 17時50分 (#255603) 日記
    高木さんってATOKユーザーだったのか。
    --
    taka4
    • by Anonymous Coward
      ATOKユーザか一太郎ユーザかは分からないのですが、投稿時期から見てバージョンアップしたときにチェックした感じですね。
  • by Anonymous Coward on 2003年02月10日 18時36分 (#255639)
    は全然認証しないので、他人の辞書を見たり 変更できるような作りになっています。
    体質かも。
  • 電話番号 (スコア:1, 参考になる)

    by Anonymous Coward on 2003年02月10日 18時38分 (#255640)
    必ず真実を書かねばならないわけでもないので、氏名+パスワード(任意の数字10桁)と何が違うのかと言われれば大差はない。
    しかし、電話番号と書かれていれば、ほんとの電話番号を書いてしまうようなセキュリティ意識の低い人はたくさんいる。

    ということは、パスワードとしてのレベルが低いということと入力の促し方がまずいのと
    最初に登録したメールアドレスでなく任意のメールアドレスに送ることができるあたりが問題なのかな?
    誕生日が知ることができるってそんなもん登録するほうの意識が低いだけだし。
      #そんなもん登録させるな?
    • Re:電話番号 (スコア:2, 参考になる)

      by pasadena4 (9373) on 2003年02月11日 0時16分 (#255839)
      私はソフト会社勤務ではありませんが、
      顧客登録の際にまず電話番号を打ち込みます。
      なぜかというと、電話番号を打ち込むと、普通は市町村まで
      一気に表示してくれるからです。
      個人は携帯などの番号が多くなっては来ていますが、
      それでも、有線電話の番号が役立ってくれています。

      だから、なるべく、ホントのこと書いて欲しいです。
      時々、そんな市外番号ないよ!というのがありますが、そんなの書くなら
      無記入の方がましです。(いまでは、電話が自宅に無い人も多いからねぇ。)
      親コメント
    • by nisi (6390) on 2003年02月10日 18時47分 (#255648) 日記

      必ず真実を書かねばならないわけでもないので、氏名+パスワード(任意の数字10桁)と何が違うのかと言われれば大差はない。
      しかし、電話番号と書かれていれば、ほんとの電話番号を書いてしまうようなセキュリティ意識の低い人はたくさんいる。


      これはセキュリティ意識なんて問題だろうか?
      電話番号と書かれていれば電話番号書くんじゃないですか?
      パスワードならパスワードと書いておかないとまずいでしょう。
      それとも電話番号入力したら表示上は*****とかなるんですか?(それもどうかと)

      嘘を日常的につけるかどうかとセキュリティ意識とは関係ない
      ような気がしますが、どうでしょうか。
      --
      taka4
      親コメント
    • by katu256 (7538) on 2003年02月10日 19時32分 (#255668)
      件の会社が、どうかは知りませんが
      会社によっては、
      「ユーザー登録した電話番号以外からの問合せには
      お答えできません」
      なて事を言われる時もありますから、電話番号と書かれた欄には
      電話番号を入力するのが普通なんじゃないでしょうか。

      それをセキュリティ意識が低いと言うのは、どうかと思います。
      警察や借金取りから逃げてる訳じゃ無いのに、
      偽名や嘘の電話番号を書く人は、それほど多くは無いと思います。
      親コメント
      • by Anonymous Coward
        > それをセキュリティ意識が低いと言うのは、どうかと思います。
        > 警察や借金取りから逃げてる訳じゃ無いのに、
        > 偽名や嘘の電話番号を書く人は、それほど多くは無いと思います。

        #255640のAC氏は「人を見たら詐欺師と
    • Re:電話番号 (スコア:1, 参考になる)

      by Anonymous Coward on 2003年02月11日 0時08分 (#255836)
      もし仮に偽の適当な電話番号を登録した場合、
      その電話番号がたまたま有効な番号だったりすると、
      その所有者に何らかの迷惑をかけそうで怖いです。

      偽の電話番号を登録するくらいなら、
      「電話番号未所持」ということで番号を入力しないか、
      明らかに無効だと判断できる番号(あるのか?)を、
      入力したほうがいいと思います。
      適当な番号を登録するのはちょっと...(^ー^;)
      親コメント
  • by tok (10972) on 2003年02月11日 0時21分 (#255843)
    指摘されているページって、現在のジャストシステムのtopページからいくこと出来ますか?
    少し前にユーザIDを忘れて検索しようとしたときには、こちらのページ [justsystem.co.jp]に飛ばされて、指摘されているページにはたどり着かなかったのです。
    消し忘れだとしても、うかつだと思いますが。
    • by Anonymous Coward on 2003年02月11日 6時51分 (#255995)
      その こちらのページ [justsystem.co.jp]でメールアドレスを入れて、 そのアドレスがなかったときに出る
      ご入力いただいたメールアドレスではご登録が見あたりません。

      ご登録の確認ができなかった方は、メールアドレス以外の登録情報(電話番号やシリアルナンバーなど)からご登録をお調べいたします。ユーザーサービス [justsystem.co.jp]にお問い合わせください。

      という画面からリンクされてますね。
      親コメント
      • by tok (10972) on 2003年02月12日 20時12分 (#257206)

        回答ありがとうございました。
        私の場合は、正しいメールアドレスを入れたために、そのページにたどり着けなかったわけですね。

        そこでわざと違うメールアドレスを入れて、ユーザIDの確認を行ったところ、照会を行ってから1日ほどたった2/12の18:30に

        メールでユーザIDを知らせるのは、情報流出の危険性が指摘されています。
        お客様情報の保護を第一に考え、メールによる問い合わせは停止しました。
        代わりに電話による問い合わせをお願いします。
        (メールを引用しても良いか分からないので、意訳)
        というメールが来ました。
        現在は該当のページは停止されているみたいです。

        親コメント
  • by tetsuya (11853) on 2003年04月03日 9時04分 (#291928) 日記
    製品登録に使ったメールアドレスに4/2付けでジャストシステムから「ご登録情報のセキュリティに関する重要なお知らせ」というメールが届きました。
    同日付で個人情報のセキュリティ強化に関する重要なお知らせ [justsystem.co.jp]というページもポストされています。

    ユーザID+電話番号認証からユーザID+パスワードの認証に変更された模様です。
  • by Anonymous Coward on 2003年02月10日 18時40分 (#255642)
    初めてPCに触れた'96年以来のユーザーで「ATOKが無ければ入力効率=仕事効率が落ちる」といい続け布教してきましたが捨て。
    実際 MS-IME より Palm版ATOKの方が賢いように感じるのですが理由として

    • 同件によるジャストシステムへの信頼性の低下

    • FFXIで壊滅的に重くMS-IMEを使わざるを得ないから


    後者が主な理由なのは内緒。

    # それよりコンセプトベースを個人事業者でも購入可能なレベルに落として売ってくれないかなぁ 昔は一太郎オフィスに付属していたのに。。
    • by Y.. (7829) on 2003年02月10日 21時53分 (#255749) 日記
      Atokさんはごく普通の文章における長文の連文節変換だったらMSIMEなんか比べ物にならんくらい優秀だと思うんだけどねぇ
      ちょっと砕けた文体になったり途中に顔文字とかが入ると変換精度が落ちるのが玉に瑕
      その状態でもまともな変換ができればチャットなんかでも強いと思うんだけど
      えーと 単語一つ一つ変換していくならAtokさんは勧められないかもしれないです
      それやっちゃうとだんだんお馬鹿になっていく感じがします

      それでもおいらの本名を変換候補にちゃんと出してくれるからAtokさんは好きです
      # 登録しろってつっこみは却下致します
      親コメント
typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...