ACCS個人情報流出事件でACCS側のインタビュー 331
ストーリー by Oliver
いけしゃあしゃあと 部門より
いけしゃあしゃあと 部門より
Anonymous Coward曰く、"「著作権・プライバシー相談室~ASKACCS」から個人情報約1,200件が引き出された事件(2月のストーリー参照)について、ACCSの久保田専務理事のインタビュー記事が、INTERNET Watchに掲載されている。久保田氏は、office氏に対して民事訴訟に踏み切った理由について、「彼の言動から謝罪の意志がまったく感じられなかった」、「この2カ月以上、この問題にかかりっきりの状況」という点などを挙げ、「賠償金が欲しいというのではなく、彼がやった行為の責任を法的に明確にしたい」と述べている。また、被害者からACCSが訴えられる可能性について、「その覚悟はしている」とした上で、ACCSの民事上の責任については、
法的責任を負うほどの注意義務違反がACCSにあったことにつながるのかはわからない。少なくとも、私はそこまでの注意義務違反はないのではないかと思ってる。(中略)
損害賠償が成立するというようなことになれば、ガチガチのセキュリティをかけているごく一部の上場企業以外は、どこも個人情報を扱うことが困難になるのではないかとも思う。
としている。"
謝罪の意志 (スコア:5, おもしろおかしい)
Re:謝罪の意志 (スコア:2, 参考になる)
: 個人情報を盗まれた人たちの不安というか、スパムメールや無言
:電話、あるいは2ちゃんねるでお祭り騒ぎの道具にされるかもし
:れないという危機感は、ネットユーザーであれば当然想像できる
:だろう。彼はそういうことがまったく理解できないようだった。
と
:ただ、そのことが、法的責任を負うほどの注意義務違反がACC
:Sにあったことにつながるのかはわからない。少なくとも、私は
:そこまでの注意義務違反はないのではないかと思ってる。もし注
:意義務違反だというような認定が下って、(ACCSの被害者に対す
:る)損害賠償が成立するというようなことになれば、ガチガチの
:セキュリティをかけているごく一部の上場企業以外は、どこも個
:人情報を扱うことが困難になるのではないかとも思う。
はかなり矛盾していると感じましたが。違うかなぁ?
困難かどうかはともかく被害者の不安はどうなる。上記を言い切るん
なら下記はなんか矛盾を感じます。もちろん状況は違いますから、
矛盾は無いのでしょうが、果して見てる人はどう感じたんでしょうか
ねw
引用ながくなりましたすまん。
Re:謝罪の意志 (スコア:3, 興味深い)
賛成。加えて、
情報の出所としての「彼」が情報拡散の結果責任まで負うとするなら、まさにその情報を大量に収集したACCSにも相応の責任が存在しなければならないはずでしょう。 その個人情報を取り扱う事業者等にも同様の責任が求められるはずだと思うのですが、そのわりには朝昼晩がなんとか、という愚痴のような話をしてますねぇ。結局のところ、専務理事の主張は、「ちょうど自分たちのような立場の人には重い責任が課せられないようにできてるはずです」という根拠のない楽観に基づいているように見えます。この分だと、後編でも相応の責任感を伴った発言が聞かれることは期待できなさそうに思われます。もちろん、完璧な情報管理はどのみち困難なのでしょうが…。
Re:謝罪の意志 (スコア:2, おもしろおかしい)
杜撰な個人情報の管理を突かれてコンピュータソフトウェア著作権協会(ACCS)の運営するWebサイト「著作権・プライバシー相談室~ASKACCS」から個人情報を引き抜かれた同協会を相手取り、個人情報を流出された1,200人の被害者が、東京地方裁判所に損害賠償訴訟を起こした。訴訟に踏み切った理由を、被害者の代表に聞いた。
●個人情報を扱うのならば、最低限のセキュリティ構築に努めてほしい
今年3月下旬、ACCSの久保田裕専務理事のインタビュー記事があって読んだ。
弁護士からはできれば読まないでほしいと言われたのだが、謝罪したいというのなら、私は人として読もうと判断した。しかし残念ながら、その時の記事の内容から謝罪の意志がまったく感じられなかった。
………………………なんてね。
法的解釈以前に・・・ (スコア:5, すばらしい洞察)
「道義的」責任についてはどう思ってるのかね?>久保田くん
個人情報を扱うからこそ,セキュリティが必要になるのだと
思ってたんだけど,君の世界では違ってるんですか?>久保田くん
Re:法的解釈以前に・・・ (スコア:2, すばらしい洞察)
セキュリティ対策は、実施するエンジニアについても、実施させる経営陣についても、属人的な性格が強いもの。技術があって、経営陣が馬鹿でなくて、少々のお金があれば、個人情報をばらまくなんて大恥を掻く事がないセキュリティ対策は施せます。
逆に図体がでかい方が色々危険だと思いますね。小さくて堅い所と同じだけの事を上場企業がやろうとすれば、とんでもない金が掛かります。
Re:法的解釈以前に・・・ (スコア:1, すばらしい洞察)
ここはオタクの集まりなのでそう言えるけど、
一般からすればコンピュータは難解なもので理解
しがたいものですね。
どんなに経営者がタコであっても上場企業の金のある所なら、
もしかすると大丈夫さって事になるのではないでしょうかね。
逆に金がなくても
弱点を理解しそれに合わせて(設定を含めて)対策してればでしょうけど。
こういうのができる人ってここのオタクの一部か技術者かでしょ。
#どんなマシーンであれ設定ができ監理できる人間を用意できる所って
#それ程多く無いのでは?
#ガチガチのセキュリティーで多くのサイトが排除されたら、
#雇用促進につながるのでいいじゃないでしょうかね。
#水も金で買う時代なんだし。セキュリティーも安くないと。
Re:法的解釈以前に・・・ (スコア:3, すばらしい洞察)
>一般からすればコンピュータは難解なもので理解
>しがたいものですね。
残念ながらセキュリティーを固めると言う点においては一般の人でも
理解できるものです。
理解している人が特殊な能力を有していると思っているのは
理解する努力を怠っている人間の言い訳です。
ちょっと大きな書店に行けばどれを買って良い分からない位に
書籍が販売されています。
何も車輪の再発明のような事を求めているわけではないのです。
ましてや、今回の問題の背景にはセキュリティの甘さについて
既に指摘をされていたという背景があります。
決して、できるはずのない事をしていなかったという訳ではない
と思います。
李 露星
Re:法的解釈以前に・・・ (スコア:1, すばらしい洞察)
>理解できるものです。
> 理解している人が特殊な能力を有していると思っているのは
>理解する努力を怠っている人間の言い訳です。
コンピュータを取り扱う全ての人がプログラムの中身まで把握し、
常に脆弱性がないのかチェックするということは現実的ではないでしょう。
理解する努力を怠っていると、そこまで言えるのか大いに疑問です。
> ちょっと大きな書店に行けばどれを買って良い分からない位に
>書籍が販売されています。
> 何も車輪の再発明のような事を求めているわけではないのです。
「どれを買って良いか分からない」と自分でも自覚していながら、
他人に対しては理解する努力を要求するというのは厚かましくないですか?
> ましてや、今回の問題の背景にはセキュリティの甘さについて
>既に指摘をされていたという背景があります。
> 決して、できるはずのない事をしていなかったという訳ではない
>と思います。
嘘言って批判の材料にしちゃいけません。
officeは事前に脆弱性を指摘する前に不正侵入し、情報を盗み、
侵入方法と盗んだ情報を公開し、その後にACCSに指摘したのです。
事実はきちんと把握してから意見を述べたほうがよろしいかと思います。
なお、ACCSの過失が全くないとは言えないですが、それをofficeがやった
行為の正当化をする理由には全くなりません。
Re:何も一冊の本だけで理解しろとは言わない。 (スコア:3, すばらしい洞察)
>それより前の人間に果たして読んで分かる内容でしょうか?
分からなきゃおかしい。
予備知識がある人間よりも理解するのが遅いというのは仕方がない事ですが、
扱う事柄の専門用語が出てきただけで理解する努力を放棄するようでは、
一体今まで何をしてきたのかと問いたくなります。
(趣味や遊びならばそれでも充分構わないと思います)
子供の頃、分からない言葉が出たときは辞書を引けと習いませんでしたか?
大人になっても同じです。
李 露星
Re:何も一冊の本だけで理解しろとは言わない。 (スコア:2, すばらしい洞察)
>趣味が遊びで試験は一夜漬けという人で成り立っている気がします。
>稀に変わり者がいるという程度なんでしょうね。
それは議論のすり替え。「仕事としてやっているのだから、“専門用語が出てきただけで理解する努力を放棄”するな。趣味や遊び(でやっていることならば、努力しなくても)十分構わない」でしょ?
Foot to the Home
変なもの部 [slashdot.jp]
Re:何も一冊の本だけで理解しろとは言わない。 (スコア:2, すばらしい洞察)
自分がそうだからそういう人のいる業界に行こうと思って飛び込んだら、
自分が変わり者だったよ!(しまじろうのAA略)
セキュリティのキモは
・どれだけ事前にビビリ倒すかという妄想力
・妄想を膨らませるための情報収集力
・びびった内容に優先度を付けて対策を可能なところまでで打ち切る決断力
だと思っているので、技術知識とは別に関係ないと思います。
管理職的知識というか。
Re:法的解釈以前に・・・ (スコア:1)
そもそも、そんな発言する人がエラいとこが運営する「著作権・プライバシー相談室」だなんて…
Re:法的解釈以前に・・・ (スコア:1)
それは的はずれ。
今回のセキュリティホールは、「CGIでサーバー上の任意のファイルを読み出せる」というもの。
護るべき情報を、認証によってWEBサーバから直接読めないようにしていたとしても、
認証していない、誰にでも見れる所にあるCGIから
そのファイルを読み出されたらおしまいだよ。
Re:法的解釈以前に・・・ (スコア:2, おもしろおかしい)
久保田氏に (余計なもの) モデレートをプレゼントしたいところですね。んー、それとも (フレームのもと) がちょうどいいのか。
分かりやすく言うと (スコア:5, 参考になる)
#あれ、違う?
いや違う (スコア:5, すばらしい洞察)
だから「誠心誠意」で何とかなると思っておられるのですよ。
#Y!BBの500円とどっちが価値が高いのだろう
だからそこが問題なんだってば (スコア:4, すばらしい洞察)
>かけているごく一部の上場企業以外は、どこも個人情報を扱うことが困難になるのではないかとも思う。
うん、だからそんな甘い認識で個人情報を扱って欲しくないわけで。
セキュリティを保つのが難しそうなら、「個人情報は扱わない」という判断をしたっていい。
セキュリティを高めるにはそれなりにコストがかかるってことは認識してるつもりだし、
ユーザーの利便性が悪くなる可能性もあることも分かる。
セキュリティを高めるのがトレードオフだというのなら、
個人情報を扱うことについてのトレードオフも考えていいんじゃないか。
*-----------------------*
-- ウソ八百検索エンジン --
Re:だからそこが問題なんだってば (スコア:2, 興味深い)
今は必須項目が対象サイトのアドレスと名称のみになっていますが、当時の必須項目は殆ど全てだったように記憶しています。
(自分の個人情報とセットで)情報提供した後も確認はおろか一切音沙汰がなく、情報提供を呼びかける機関の態度ではないと大変落胆した記憶があります。
当然、今回の漏洩についての連絡など来るはずもありません。自分の情報が漏洩したかどうかも、それこそ公開された不正アクセスの手段でリストを入手して確認する他にありません。
所詮、彼等にとって我々一般個人などゴミみたいな存在なんでしょうね。
今では情報提供した事を後悔しています。
個人情報を扱う側として (スコア:3, 興味深い)
まず、注意義務について過去の記事を読む限りでは「素人が設置したCGI」と同程度にしか考えていないように僕には思えた。
「ガチガチのセキュリティ」(なんだそれ)が必要かどうかは別の話としても、個人情報を扱う者がその程度のセキュリティじゃいけないだろう。
最高のセキュリティが現実的に難しいというのには納得出来るけど、最低限をクリアするのはやってもらわなきゃ困る。
次に、「損害賠償が成立する事になればガチガチのセキュリティじゃなければならない」って事は、杜撰な管理していれば責任問われないということ?
そんな馬鹿な話があるかい。
第一、(そんな事になれば)個人情報を扱うのが困難な事になるって、現状で既に困難で慎重に対処しなくてはならない問題なのでは?
そこの所、どういう認識してるんだろう。
ゆるゆるのセキリテー (スコア:3, 興味深い)
…今どき「ごく一部の上場企業以外」でも、こんなゆるゆるのセキュリティーのケースは珍しいと思うが?
Re:ゆるゆるのセキリテー (スコア:1)
情報を収集してたわけ?最初に警告受けた時何やってたの?と、小一時間(古
なんかもう、office氏の「悪事」が霞んでしまうよ。
--
office氏の悪事
1200人分を晒した
ACCSの問題
全ての個人情報を危険に晒した
ACCSの悪事
報告を受けていながら何もしなかった
-注意義務云々の主張は無効では?
office氏が晒さなかった分についての責任転嫁
-この分について漏洩していないなどと誰が言えようか
個人情報を危険に晒したままにした事に対して公式の謝罪は?
-あったかも知らないけど個別にこそっと謝りにいくのがアレ
Re:ゆるゆるのセキリテー (スコア:1)
今回賠償を求めた額を訴訟者一人あたりにならして、その額を
被害者全員に同額払う。請求する賠償が妥当な額であると考え
るならば、ACCSは払わないといけない。そうでないので
あれば、ACCSは不当な額を請求していることになる。
問題を発生させた原因は、基本的にACCSの名の元に不当な
サービス(誰でも個人情報を抜けるというサービス)を提供して
いたわけだ。そのサービスへの対価を「後決め」したのが、
今回の訴訟。後決めでも抜いた人が払うべきかは別にして、そ
のサービスへの後付け価格を、今回ACCSが決めたわけだろ?
その額の妥当性も含めて、裁判で争うわけだが、決めた本人な
ら、まずは払わないとね。
んなわけない (スコア:3, すばらしい洞察)
> ガチガチのセキュリティをかけているごく一部の
> 上場企業以外は、どこも個人情報を扱うことが困難に
> なるのではないかとも思う。
ダウト
逆に零細商店などでは、個人情報の件数そのものが
少なくなるので、損害賠償で倒産したりはしない
多くの個人情報という「危険物」を扱うコストを払えないなら
損害賠償に耐えられるぐらいまで「危険物」の量を減らすべき
Re:んなわけない (スコア:1, 参考になる)
まさにそう思ったのでしょうね。
質問コーナーで収集していた情報は、「IPアドレス、氏名、年齢、住所、電話番号、eメールアドレス、質問内容」という質問には関係ない個人情報を網羅するものだったようですが、以下のように変更されていました。
職業 、年齢 、性別 、地域 (この4項目には「質問の内容を理解する上での参考とさせていただきます」との但し書き付き)と質問内容の5項目
質問するのに氏名や電話番号まで書かせるというやり方を貫くなら、セキュリティへの配慮がかなり必要だったなと思います。
っつーかさ、 (スコア:3, すばらしい洞察)
それで何か問題があるんでしょうかね?ガチガチの安全管理ができるごく一部の上場企業以外は車の製造販売が困難だったり、ガチガチの(略)以外は銀行業務ができなかったり、どの業界においても負うべき責任を真面目に考えればそういう話になると思うんですけど。それと、実際には一部上場企業以外でも真面目にセキュリティを気にしている企業はいくらでも存在するはずで、そういう企業からすれば随分と失礼な発言ですよね。
これだけ「情報開示」が叫ばれている時代なんですから、せめて責任をもって「うちはガチガチのセキュリティをかけるほとの技術力や予算はありません」とでも明記していただきたいものです。安全なフリを装って、いざとなると「うちにはガチガチのセキュリティなんて無理です」ってのは詐欺としか思えないんですが。
丸投げ体質? (スコア:2, すばらしい洞察)
の刑にするってことなのか、責任回避して論点をずらそうと
しているのか、どっちだ?
個人的に穴のあるシステムをネットに繋いでるのは刑事責任を負う
くらいの罪悪だと思ってる。盗人猛々しいな>久保田氏
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re:丸投げ体質? (スコア:1)
>>業と同じことを彼にもやってもらいたいということだ
「食い逃げ犯人に代金分の皿洗いをさせる」
というネタを思い出しました。
この部分だけは納得がいった。
>個人的に穴のあるシステムをネットに繋いでるのは刑事責任を負う
>くらいの罪悪だと思ってる。盗人猛々しいな>久保田氏
・脆弱なサーバを放置
・(結果として)個人情報を抜かれた
どちらも現状では刑事責任を問える事象では
ないと思いますが。
仮に問えるようになったとして、本当に
個人も含め誰もが潔白でいられるか
というと非常に難しいんじゃないかと。
特に1番目。
ACCSはガチガチのセキュリティを講じていない (スコア:2, 興味深い)
ここで言うガチガチのセキュリティって,どんなレベルかACCSに公開質問状を送ると良いかも.
ACCSが本当に自身で答えてきたならば,その内容でACCSの程度が知れるというものだ.
// jack_mexfer
事件前の講演では… (スコア:2, 参考になる)
>個人でも、IDやパスワードをしっかり管理するのと同じモラルの問題だ
とな。至言です。
INTERNET Watch
ACCS久保田氏講演「デジタルコンテンツ保護には現行の著作権法では不十分」 [impress.co.jp]
より引用
誰だよ (スコア:2, おもしろおかしい)
賠償金の行方 (スコア:2, 興味深い)
そのお金は何に使われるのでしょうか。
セキュリティにお金をかけていられないと発言する団体が
そのお金でセキュリティ強化するわけでもないし。
流出した個人に対してお詫びを送るわけでもなさそうだし。
損害賠償金といっても何の損害なのでしょうか。
情報流出の対応で仕事が遅れた分にしては高すぎるし。
後編が掲載 (スコア:2, 興味深い)
幼稚なセキュリティ研究者こそがネット社会で最も迷惑な存在
ACCSの久保田専務理事が語る個人情報流出訴訟の背景(後編)
INTERNET Watch [impress.co.jp]
とりあえず、事実無根な点を指摘。
未通知、未修正の脆弱性をいきなりイベントで発表したのは、この年が初ですよね。死人に口無しなので、何とでも言えますね。
信頼。 (スコア:1)
まあ、こんなところにプライバシー [google.com]の大切さなんて語ってもらいたくない。
Re:ねーねー (スコア:2, すばらしい洞察)
つまりは「被害者がACCSを訴えるなら訴えてみ、受けて立ちましょ。でもね、バンピーなやつらには、日本で裁判を起こしたり維持したりするだけの金はないだろうし、万一負けても賠償は高が知れてるしね。アメリカならこうは行かないけど、日本はACCSにしてみれば天国なんだから」と言っているのではないかと思いますねえ。
Re:ねーねー (スコア:2, 興味深い)
ましてや、下手をすれば会社を追われる立場になろうかと
言う連絡を受付けるCGIから情報を漏洩させた上で
私はそこまでの注意義務違反はないのではないかと思ってる
とは笑わせてくれますね。
被害者の方には是非とも訴えて頂いてACCSそのものが立ち行かない
ぐらいの賠償金をせしめて頂きたい。
#こいつは個人情報漏洩の事なんざぁ本当はなんとも思って無い #事をインタビューで白状したようなもんだな。 #office氏を訴えたのも被害者の為ではなく自分たちの手間を増やし#やがってという怒りからだろう。 馬鹿にしてるな
____
#風邪をひきました、脳が故障しています
#残念ながら仕様です。
Re:ねーねー (スコア:1)
逆に、謝ったら自分に落ち度があることを認めたことになり、訴えられたときに
申し開きできなくなるので意地でも謝らないのでは。
Re:ねーねー (スコア:2, すばらしい洞察)
意図的に都合の悪い箇所を読み飛ばして好き勝手言ってる人が多いですね。
という事実を無視し、ACCSが脆弱性があることを知っていながら放置したかのように批判する人、
ということを無視して、4人の被害者がACCSを訴えないように取り込んだと批判する人、
と言っているのに知らん振りして、訴訟を起こす前に謝罪すべきと言う人、
と答えているのに、訴えられても損害賠償を支払う気はさらさらないと言っているようだと勝手に解釈をつける人がいますね。
私はACCSのことを擁護する気はさらさらないですが、あまりに偏向的な斜め読みしかせずに意見をいうことには賛成できません。
Re:ねーねー (スコア:2, おもしろおかしい)
具体的にはACCSの久保田さんのことですね ;-)
#「○○な人」という批判がそれぞれどの書き込みを指すのか
#よくわからないのでコメントは差し控えます
Re:ねーねー (スコア:1, 興味深い)
> という事実を無視し、ACCSが脆弱性があることを知っていながら放置したかのように批判する人、
うん、ACCS は当日まで脆弱性の存在を知らなかった可能性はとても高い。
ただし、少なくともファーストサーバは脆弱性の存在を知っていたはずだ。
なぜなら、officeは昨年八月の段階で少なくともファーストサーバとはコンタクトしていたから。
ファーストサーバの提供する脆弱なスクリプトを利用している犠牲者としてACCSは選ばれてしまっただけで、ここまでにACCSに瑕疵があった可能性は充分に低い。ファーストサーバはスクリプトの差し替えを呼びかけていたらしいけど、そこにセキュリティ上の欠陥があることを正しく説明していなかったらしいし。
>> 4人が、研究員の男性だけでなくACCSを訴えることも当然あり得るだろう。それは我々も理解しているところで、個人の方の弁護士はACCSとは別に立てた。男性に対する訴訟は一緒にやるが、将来的にはわからない。
> ということを無視して、4人の被害者がACCSを訴えないように取り込んだと批判する人、
それは的外れかもしれない。
これまでに情報漏洩した団体と個人情報を漏洩された被害者が不正アクセスした犯人を共同で訴えたケースは無かったように思う。(寡聞にして知らないだけかもしれないので、あれば教えて欲しい)
形態がいびつに思えるだけにちょっとね。
普通は、個人情報を漏洩された被害者は漏洩した団体を訴え、漏洩した団体は加害者である不正アクセス犯を訴えるもんだ。
>> 我々としては、叱られつつも、誠心誠意、顔を見せてお詫びをしている。その後の電話等でも、彼らの要求に対してはできる限り誠意を持って対応している。
> と言っているのに知らん振りして、訴訟を起こす前に謝罪すべきと言う人、
ちゃんと被害者に謝罪して対応しているんだったらそれでいいとは思うけどね。
プレスリリースやらインタビューを見てるとその不遜な態度にいまいちそういったプラスの感覚を受けないのよね。だから、ちゃんと謝罪「してるorしたってことを明確に」してくれと思うよ。
なんか言葉の端々に「俺たちは悪くないのに謝ってるんだから仕方ないだろがコラ」みたいなのが臭う。ジャパネットたかたの件では続報が少ないせいか、そうは思わなかったんだけどね。
なんていうかわざわざ表に出てきて「俺は悪くない」といったことを声高に叫んでいるだけのような気がする。それがこれまでに指摘されてきたことじゃないかな。
>> もちろん、法的な注意義務に違反していたことが裁判所によって評価されるのであれば、ACCSの責任は真摯に受け止める。
> と答えているのに、訴えられても損害賠償を支払う気はさらさらないと言っているようだと勝手に解釈をつける人がいますね。
刑事と民事の区別をつけよう。
刑事責任が発生したからといって損害賠償が起きるかなあ。被害者のうち特に実際に流された四人中三人はACCSと共にofficeを訴えて損害賠償を受けたとする。それ以外にACCSを訴えるかな?
「一緒に戦ったんだから戦友、同じ被害者同士」みたいな囲い込みを試みた可能性はある。敢えて共同でやったのは何故だろう?被害者が「ACCSで訴訟はやってくれ」って言ったから?それって本当?
善意で相談して情報漏らされてたまったもんじゃないからACCSてめえでケツ拭けや、ってことじゃないかなあ。
普通ならその時点でACCSは平身低頭管理の不備を謝罪して保証して、改めてofficeを訴えるでしょ。でもそうじゃないあたりに何か妙な違和感を感じる。
当初、対応の早さにさすがだなと思っていただけにこの違和感が不信感に変わって欲しくないと思ってるんだけどね。
Re:ねーねー (スコア:1)
「さっさと訴えられればいいのに」と思いました。
Re:ねーねー (スコア:1)
問題だと解釈しているだけでしょ?
Re:ねーねー (スコア:1)
アプリの脆弱性を放置した結果、個人情報を危険な状態に
置いたことの是非が裁かれる最初のケースになるでしょう。
故意/過失の有無等、究明されるべき点が多いですが。
Office氏への訴訟は迷惑料の請求でしかないと思うので
どっちに転ぶにしても、これも結果に注目。
Re:鍵がかかっていなければ堂々と他人の家に入ろう (スコア:1, すばらしい洞察)
Re:鍵がかかっていなければ堂々と他人の家に入ろう (スコア:1)
家の中にあったのなら、当然泥棒が悪い。だけど、庭に放置してて、盗まれたのなら、泥棒も預かった人も悪い。
どこで線を引くかってのが不正アクセス防止法だと思うけど、フォルダにテキスト入れてそれを晒されたとか、cgi にパラメタ入れてデータベースの中身が出てきたという程度で不正アクセスになってしまうとすると、どうしようもない。その辺アレゲな方面から政治家にプレッシャーかけなきゃだろうけど、日本にそういう動きはなさそう。どっちかっていうと、ザルなプログラム書いても責任逃れできるオイシイ法律の方が便利でしょう。
パスワードに ' or 'a' = 'a と入れたらこれは不正アクセス?
Re:盗む奴がいなければ問題は起きない。 (スコア:5, すばらしい洞察)
ごまかした発言をしてるところに卑怯さを感じますね、ACCSには。
office氏=盗んでばらまいた悪いやつ
ACCS=盗まれたかわいそうな団体
がおおまかな世間一般の評価でしょうから。
# 前者には、わたしはさほど異論がありません。
それでここで問題になってるのは後者であるわけですよ。
その発言のおかしなところを容易に見抜かれてここでは批判が集中してます。
>ガチガチにセキュリティをかけるには何百万円もかかる。
>そんなの小さい団体に出せるわけがないじゃないか。
>もっと現実を見てほしい。
その後には何が続くんでしょうか。
「だから対策をしなくてもいい」でしょうか。
サブジェクトからいうとそう言いたげな気もします。
であるならばACCSの発言にミスリードされちゃってますね。
ACCSの発言はこういう風に騙すのを目的とした卑怯な発言としか思えません。
もしコストがかかりすぎて対策が取れないというのが本当であれば、
個人情報を扱う資格などありません。
現実を見るならば個人情報を扱うべきではないでしょう。
というのが、少なくとも他人様の情報を扱う側に求められる態度ではありませんか?
とにかく無知につけ込んで保身を図る発言には反吐が出ます。
Re:盗む奴がいなければ問題は起きない。 (スコア:2, 参考になる)
office氏がアクセスしていない場合にしても、それまでにACCS側から情報が漏洩
していないことを証明することはできない。
(取得した人間が黙っている場合、それこそわかりようがない)
むしろ、「杜撰な管理をされていた」こと自体がすなわち「情報は漏洩していた」
と見られても致し方ないと言える。
ACCSの責任問題に言及するならば、個人情報の扱い方の杜撰さを指摘することが
第一であって、それを実際に取りに行った/行かないことを混ぜてしまうと、
それこそ文字どおりクソミソである。(ウホッ…ではない)
「不正にアクセスしなければいい」の件については確かにそのとおりであるが、
まずは「何が不正で、何が不正でないか」を切り分けないと、そもそも「不正」の
定義ができないのだよ。
今回の事件、確かにofficeは不正であった。
ACCSは、office氏が間違っていた分だけ正しい。
しかし、それだけだ。
個人情報を杜撰に管理していたことは、全く別のレイヤーの話だ。
ガチガチにセキュリティを…の件に関しては、上の(#517842) [srad.jp]で
よく解説されていると判断される。御一読されるとよろしかろう。
(∑´w`)キョウモ マジレス
十字架を背負って? (スコア:1)
つまりこの場合に「我々は十字架を背負いながら」なんて言うと、「我々が悪いんじゃないのに」と言いたいと解釈できます。
Re:マユツバなのはACCSでしょう (スコア:1)
この記事がわれわれの目に触れるまでには、久保田氏本人以外の何人かが氏の発言を編集しているわけだから、その過程で編集した人の主観が入らないということはありえないわけですからね。
元AC氏はメディアというのはそういうものだ(良くも悪くも)と、いうことを伝えたかっただけなんじゃないかと思いますが、どう思いますか?
Re:法律には血も涙もある (スコア:2, 参考になる)
・ヨセフアンドレオンはファーストサーバのレンタルサーバでWEBサイトを公開していた
・今回セキュリティホールが問題になった csvmail.cgi はファーストサーバが顧客向けに提供していたもの
という状況で、
・office氏は事前にファーストサーバにはセキュリティホールがあることを警告していた
・office氏はACCSには警告していなかった
・ファーストサーバは顧客に、旧バージョンにセキュリティホールがあることは伏せて、csvmail.cgi の新バージョンへの乗り換えを推奨していた
わけですね。
こういう状況では、office氏がファーストサーバに行なった警告がACCSまで届いていたとは思えませんから、
例えるなら、
「家の施錠を警備会社に頼んでいたら、その警備会社がいつも鍵をかけ忘れる扉があって、そこから不法侵入された」
ってとこでしょうか。
今回のACCSの対応はどうかと思いますが、情報流出そのものについては、ACCSはかなり被害者寄りだと思います。