パスワードを忘れた? アカウント作成
7446 story

そして国土地理院からも個人情報漏洩 69

ストーリー by yoosee
凄い痛い目見ないと分からない? 部門より

lucky曰く、"多少旧聞ではあるが、2月2日の発表によると 国土地理院でも 3505 件の個人情報が流出している(ITProの記事)。
国土地理院では、電子基準点データ提供用ホームページでデータをダウンロードする際に、個人情報 (氏名、勤務先、電話番号、メールアドレス、利用目的) の (筆者注:記憶が少々あやふやだが確か任意の) アンケートの入力を求めていた。2004/01/26 に外部利用者から、この 3505 件の個人情報が外部から閲覧可能であることを指摘され、直ちに原因を究明し問題を解決したとのことだが、その原因は「担当者の単純なミスでファイルの設定に不備があり、外部から閲覧できる状態になっていた」(国土地理院)と言う単純なものだ。
懲りずに何度も繰り返される個人情報の流出事件。にもかかわらず、管理組織は何もペナルティーも受けないのは、いかがなものだろうか。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 懲りずに何度も繰り返される個人情報の流出事件。にもかかわらず、管理組織は何もペナルティーも受けないのは、いかがなものだろうか。

    非常にそう思います、昨日の ACCS の一件でも、 ACCS 側のサイトを不備があったことについての報道が十分を行われていないようでしたが、別に誰が逮捕されようが脆弱性を発見しようが、そこに脆弱性があって情報の取得できることには変わりないんですから、そこもしかるべき制裁などを受けるべきだと思います。

    ...と、 ACCS ネタを火飛びさせてどうするのかと自分でも思いながら ID

    Takeshi HASEGAWA

  • 管理組織 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2004年02月05日 7時49分 (#489086)

    管理組織は何もペナルティーも受けないのは、いかがなものだろうか

    それよりも前に発見者を不正アクセスだと称して訴えるような輩(あえてどことは言いませんが)もあるくらいですからねぇ。
    ソフトウエア上のセキュリティホールについても同様ですが、実際に漏洩させるための手段を通知しても無視され、一般に公表しない限り対応してくれない企業や団体があまりにも多すぎるというのも事実です。
    今回はそうではなかったようですが、官公庁は法的な整備で第三者からセキュリティチェックを堂々と受けられる仕組みと、検査者の安全(訴追から免れる)を確保し、安全性の確保を要求できる仕組みが早急に必要ではないかと思います。

  • by Anonymous Coward on 2004年02月05日 9時24分 (#489145)
    >懲りずに何度も繰り返される個人情報の流出事件。にもかかわらず、管理組織は何もペナルティーも受けないのは、いかがなものだろうか。

    現実問題として、街頭署名等で得た個人情報に関してはペナルティなしで、インターネットの事件だけ処罰というは、変です。

    やるのなら、個人情報を収集した管理者責任を明確にした方がいいと思われます。例えば、学校の生徒の名簿とかだと、卒業式とかイベントの時期になると電話がかかってくるので、いまでも漏れまくりだと思いますが、そちらの方の責任も一緒に網をかけるべきです。
  • たとえていえば (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2004年02月05日 17時42分 (#489481)
    たとえいえば、今の状態はストリートキングがいたとして それを見た人が迷惑防止条例で捕まっているようなものだ!
    下品ですまん!
  • by katsuwo (17163) on 2004年02月06日 0時27分 (#489824) 日記
    住宅地図に住人の名前を掲載しているのが問題になっているのかとw
    #あれもりっぱな個人情報漏洩だと思うが…。
    --
    @大阪なヒト
  • by Anonymous Coward on 2004年02月05日 8時11分 (#489098)
    お上は素人の集まりで仕事は業者に丸投げでやっているので
    トラブルが起こってもその原因が何あるかも知り理解する事はできません。

    触らぬ神に祟りなしって事になんでしょうね。
    • Re:先生っ (スコア:3, 参考になる)

      by hokunan (11798) on 2004年02月05日 9時55分 (#489170) ホームページ 日記
      といいますか、一般的なユーザでも十分に発見できうるような
      明らかなプログラム上の不備で情報漏えいがおきたときの、
      責任の明記と漏えい情報1件当たりの賠償額、対策コストの支払い
      義務を契約書で書いてるどころか、起こさないようにつとめる
      云々の文言すら入ってない(まあ、基本的に善良な品質のものを
      納めることが期待されてるから、というのもありそうですが)と
      いう、今のお役所仕事の契約書がまずいんじゃないでしょうかね。

      技術的な部分が理解できないにしても、そういうのをどっかで
      ひな形と指針を作ってくれれば、ちっとはましな品質のソフトが
      導入されるような気がしますが。
      親コメント
      • by takahori55 (19011) on 2004年02月05日 13時11分 (#489332)
        お役所仕事の契約書の内容などは知らずにコメントするのですが、
        多くのソフトウェアは、使用許諾で一切の責任を負わないような
        主旨が明記されてるのではないでしょうか。

        責任の明記は、お役所仕事に限らずソフトウェア全般に
        いえることだと思います。
        親コメント
      • by digoh (17917) on 2004年02月05日 18時04分 (#489498) 日記
        >契約書

        いえ、日本の偉い人たちは根性主義と言霊信仰に篤いので、
        「マズい事が起きたときの事を契約書に書くなんてことをしたら、まるでマズい事を起こしますと言っているようなものじゃないか!
         起きた時のことを考えるんじゃなく、起きないように実行するんだ!」
        と仰います。
        だから、マズい事なんて起こらないのです。
        マズい事が起きたとしても、起きてないように振る舞わねばなりません。
        起きた事がバレたとしたら、それはバラした人の捏造か意図的な工作であり、悪いのはバラした人なのです。

        #シャレになってないけどID
        親コメント
    • Re:先生っ (スコア:2, 興味深い)

      by TANTA (19100) on 2004年02月05日 11時28分 (#489253) 日記
      >お上は素人の集まり

      逆にこういう人たちは、個人情報が流失したことを自分たちのサイトのCGI等に問題があるからということを理解できず、
      それを通報してきた人をクラッカーのように思ってしまってるのではないでしょうか?

      だから、Office氏の事件も最初に担当レベルの人たちが対応していたときは、穏便な態度だったが、
      報道で話が大きくなり、本当の原因を理解できない(もしくはしたくない?)上の人たちが出てきたとたん・・・。
      #流失した情報を公開してしまったがいいかという問題とは別に、今回の事件はそんな流れに思えます。
      --
      〜明日は明日の風が吹く〜
      親コメント
  • by Anonymous Coward on 2004年02月05日 8時11分 (#489099)
    一般論として、誰もまだ何の被害も被っていない時点でどうやって責任を負えばよいのかと。
    ほとんどソフトウェアのバグと同列の話で、ソフトのバグは存在してもペナルティーを受けないのに CGI とその使用者はただ使っているだけでペナルティーを与えろとおっしゃるか?
    • by yasudas (5610) on 2004年02月05日 8時25分 (#489109) 日記
      >一般論として、誰もまだ何の被害も被っていない時点でどうやって責任を負えばよいのかと。

      流出していたかどうかは、記事からは、ちょっとわからないね。
      外部から閲覧できる様になっていた..らしいのだが、それについて
      のアクセスがほんとになかったかどうかは、わかりにくい。ただ、
      タイトルが「情報流出について」ということで流出したと臭わせて
      いますね。
      親コメント
    • > 一般論として、誰もまだ何の被害も被っていない時点でどうやって責任を負えばよいのかと。

      「どうやって」ですか?
      「金を積んで」とか、「腹を切って」とか、
      いろいろ考えられると思いますが...。

      問題は、この場合どうやって被害を確認できるのか?
      被害の実態が確認できない。被害が出ても因果関係の証明が難しい。
      だからと言って許されるのは大問題じゃないですかね?

      とりあえず、総当りなメルアド収集ロボットは確実に見つけた事でしょう。
      ログデータに当たれば情報が収集されたと推測できると思います。
      しかし、それだけで「社会的制裁」以外の制裁を与える事は、
      (現行法の限
      • by Anonymous Coward on 2004年02月05日 11時06分 (#489235)
        >道具の作成者も使用者に対し責任を追う事が期待されるのです。
        期待されているのかどうかは知りませんが、要するに契約次第です。契約次第では

        >バグを原因としたトラブルで使用者が免責される事は
        あり得ます。それが運用後の保守サービスですから。

        本当はソフトウェアというのは「とりあえず作って、廉価で販売されて終わり」ではなく、「購入後の保守サービスを含めたもっと高価なもの」であるべきなのかもしれません。

        そんな、バナナの叩き売りみたいな安値で売られて、後の動作保証までしろ、というのが無理なもの。

        責任を負うことを「期待する」のではなく、ちゃんとそういうお金を払えばよいのです。で、一般人はそんな金を払わず、ソースネクストの販売する2000円ソフトがバカ売れするようですから、結局、期待されてないような気がします。

        ソフトウェア保険が一般的になったら良いのかなぁ。何か問題があったら保険が降りる。ただし、利用するソフトによって掛け金が違う。MSのソフトを使う場合は相当に掛け金が高そうだ、、Adobeあたりは少ないのだろうか。
        そうすると、保険を気にする人はMSのソフトを使わなくなるだろうか。どうだろ。
        親コメント
        • by miri (12057) on 2004年02月05日 14時06分 (#489368) 日記
          > そんな、バナナの叩き売りみたいな安値で売られて、後の動作保証までしろ、というのが無理なもの。

          バナナだって食中毒が発生すれば供給元と販売店はそれ相応の社会的責任を負うでしょう。

          同様に(かどうかは解らないけど)、ソフトウェアの提供者と使用者の間にどちらかが責任を負うと明記された契約が存在し、使用者がそのソフトでサービスを提供していて、ソフトのバグが原因の重大な問題が発生しても、提供者・使用者双方に契約だけでは補いきれない社会的責任(重さは変われど)が発生すると思いますし、そうあるべきだと思います。

          オープンソースの「AS IS」だってそのソフトの評判にまで保険がかけられるわけではありません。

          問題は、それを利用して社会をいい方向に持っていくことができるかどうかの方法論。
          親コメント
        • >責任を負うことを「期待する」のではなく、ちゃんとそういう
          >お金を払えばよいのです。で、一般人はそんな金を払わず、ソ
          >ースネクストの販売する2000円ソフトがバカ売れするようです
          >から、結局、期待されてないような気がします。
      • >問題は、この場合どうやって被害を確認できるのか?
        >被害の実態が確認できない。被害が出ても因果関係の証明が難しい。
        >だからと言って許されるのは大問題じゃないですかね?

        許されるんじゃないで
        • > 現実問題として、あなたの個人情報はいろんなところからダダ漏れで、
          > いろんなところでアレやコレやされているわけですが、
          > 許せませんか?そうですか。

          えぇ、許せません。
          ですから合法・非合法を問わず、
          その都度ペナルティを与えております。
    • >一般論として、誰もまだ何の被害も被っていない時点でどうやって責任を負えばよいのかと。

      たとえ事故を起こさなくても、公道上で飲酒運転やスピード違反をし、それが警察に発見されればペナルティをく
      • > たとえ事故を起こさなくても、公道上で飲酒運転やスピード違反をし、それが警察に発見されればペナルティをくらう。被害の有無じゃない。

        それは道路交通法が飲酒運転やスピード違反自体を犯罪として、刑罰を科すことにしているから。
  • by Anonymous Coward on 2004年02月05日 8時12分 (#489100)
    これを個人の単純なミスだと考えてはいけない。個人情報を無造作にWWWサーバ上に放置していた。そういうアプリケーションの設計思想や、個人情報の取扱に関してのポリシーの問題。
    • by saitoh (10803) on 2004年02月05日 9時49分 (#489166)
      国立機関でWWWサイト構築を外注する場合でかつ、 納入の際にバグがあるのに気が付かずに 検収してしまったと言う場合。 運用開始後に欠陥が見つかると、納入業者だけではなく 技術審査委員会も欠陥を見つけられなかった責任を問われますよね。 納入業者だけ悪者になるのなら官庁側もためらわないの でしょうが、自分たちの側にも火の粉が降りかかるので、 つい、「穏便に事を納め」ようとしてしまうのでしょうね。
      親コメント
    • by alp (1425) on 2004年02月05日 12時30分 (#489296) ホームページ 日記
      そうですね。そもそも必要とした理由の分からない個人情報をとりあえず集めておけ、という基本的な思想そのものがアウト。従って、非の大部分は国土地理院にあると考えます。

      #記事読んでも、国土地理院がなぜこの情報を集めようとしたかが全然分からん。

      親コメント
    • 個人情報の取り扱いについてという項目がある。
      個人情報を第三者から見れないようにするとかかいてある。
      だがこの項目は法的に何の効力も発揮しないと思われる。

      しかし、入力した本人なら
      そういうセキュリティーホールを発見したので、個人情報を削除しセキュリティー強化の請求の権利はあるはず。
      そして最低でも本人のデータは消されることになる。

      こうしてセキュリティーポリシーを掲げているところにはそこそこの効力はあると思います。
      ただ、あくまでもその団体の規定であることは忘れてはいけない。
      だから無視されることもあるでしょうが、そういう場合は慌てず
      消費者センターにでも駆け込むのが良いでしょう。
      2chとか/.に書き込むのは余計に迷惑が掛かることになる。

      #実際は、サイトポリシーの項目が消えるだけかもしれない
      --
      有無自在
      親コメント
    • > 個人情報を無造作にWWWサーバ上に放置していた。

      個人情報を無造作にWWWサーバで収集していたという状態でしょう。

      他の役所系のサイトではどうか知りませんが、国土地理院のサイトでは、ダウンロードに個人情報を入力しないとできないのが多いと感じてます
  • by Anonymous Coward on 2004年02月05日 9時07分 (#489131)
    管理組織に不備があった場合のペナルティー。
    倫理的にはそのあたり追求すべきですが、
    それが一般化してしまうと
    住基ネットに問題があったとき
    イニシアチブをとった上に何度も安全だと主張していた総務省の
    責任を追求されてしまいます。
    それは危険だということで、
    国としては失敗して情報漏洩させてしまった側の責任を
    追求したくないというのも同情の余地あり。
    • Re:住民基本 (スコア:1, 参考になる)

      by Anonymous Coward on 2004年02月05日 9時26分 (#489146)
      その場合は総務省の責任を必ず追求すべきで、その点において
      情報漏洩させてしまった側の責任を追及したくないなどという心情に
      同情の余地などはみじんも見当たらないのですが。
      親コメント
      • by Anonymous Coward
        「同類を責めたくない」と思ってしまう人間の弱さについて
        もっと理解を深めないと本質は見抜けないでしょう

        同情の対象は責任とは関係なく、人間としての弱さただそれだけです
    • by Anonymous Coward
      > 国としては失敗して情報漏洩させてしまった側の責任を
      > 追求したくないというのも同情の余地あり。

      同情の余地はあるかも知れませんが、情状酌量の余地はないので、
      続けたいのであれば、緊急避難的に閉鎖して、とっとと改修してください。
  • by Anonymous Coward on 2004年02月05日 10時45分 (#489217)
    罰則とか無いのでしたっけ?
  • by Anonymous Coward on 2004年02月05日 11時56分 (#489277)
    いまテレビでACCSの方の報道やってたけど、
    侵入して情報を取ったとしか言わないのね。酷すぎる
     
    そもそも 穴が無ければ起きなかった事件で、
    穴を開けていた奴が根本的に間抜けだった
     、という話を
    しっかりと話してほしいんだけどなあ。
    • >いまテレビでACCSの方の報道やってたけど、
      >侵入して情報を取ったとしか言わないのね。酷すぎる

       そうか?
       誤報ならともかく、限られた時間で報道する中で、
      ニュースを取捨選択するのは当然だろ。
       コメンテーターにつ
      • 誤報ならともかく、限られた時間で報道する中で、 ニュースを取捨選択するのは当然だろ。

        つまり 番組を作る側の意見だけをごり押しするような状態でもOKなわけね

        という意見に納得する視聴者は少ないと思うが。

        事実は事実であって視聴者が納

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...