パスワードを忘れた? アカウント作成
7785 story

ACCS個人情報流出事件でACCS側のインタビュー 331

ストーリー by Oliver
いけしゃあしゃあと 部門より

Anonymous Coward曰く、"「著作権・プライバシー相談室~ASKACCS」から個人情報約1,200件が引き出された事件(2月のストーリー参照)について、ACCSの久保田専務理事のインタビュー記事が、INTERNET Watchに掲載されている。久保田氏は、office氏に対して民事訴訟に踏み切った理由について、「彼の言動から謝罪の意志がまったく感じられなかった」、「この2カ月以上、この問題にかかりっきりの状況」という点などを挙げ、「賠償金が欲しいというのではなく、彼がやった行為の責任を法的に明確にしたい」と述べている。また、被害者からACCSが訴えられる可能性について、「その覚悟はしている」とした上で、ACCSの民事上の責任については、

法的責任を負うほどの注意義務違反がACCSにあったことにつながるのかはわからない。少なくとも、私はそこまでの注意義務違反はないのではないかと思ってる。(中略)
損害賠償が成立するというようなことになれば、ガチガチのセキュリティをかけているごく一部の上場企業以外は、どこも個人情報を扱うことが困難になるのではないかとも思う。

としている。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 謝罪の意志 (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2004年03月19日 23時55分 (#517828)
    「彼の言動から謝罪の意志がまったく感じられなかった」
    オマエモナー
    • Re:謝罪の意志 (スコア:2, 参考になる)

      by Anonymous Coward on 2004年03月20日 0時33分 (#517866)
      ですね、私は

      : 個人情報を盗まれた人たちの不安というか、スパムメールや無言
      :電話、あるいは2ちゃんねるでお祭り騒ぎの道具にされるかもし
      :れないという危機感は、ネットユーザーであれば当然想像できる
      :だろう。彼はそういうことがまったく理解できないようだった。



      :ただ、そのことが、法的責任を負うほどの注意義務違反がACC
      :Sにあったことにつながるのかはわからない。少なくとも、私は
      :そこまでの注意義務違反はないのではないかと思ってる。もし注
      :意義務違反だというような認定が下って、(ACCSの被害者に対す
      :る)損害賠償が成立するというようなことになれば、ガチガチの
      :セキュリティをかけているごく一部の上場企業以外は、どこも個
      :人情報を扱うことが困難になるのではないかとも思う。

      はかなり矛盾していると感じましたが。違うかなぁ?
      困難かどうかはともかく被害者の不安はどうなる。上記を言い切るん
      なら下記はなんか矛盾を感じます。もちろん状況は違いますから、
      矛盾は無いのでしょうが、果して見てる人はどう感じたんでしょうか
      ねw

      引用ながくなりましたすまん。
      親コメント
      • by tsuya (14020) on 2004年03月20日 1時45分 (#517897) 日記

        賛成。加えて、

        しかし、残念ながら、彼がやった行為で実際に個人情報が流出している。その矛盾に対しては、自分で後始末をやってください、という感情にならざるを得ない。
        情報の出所としての「彼」が情報拡散の結果責任まで負うとするなら、まさにその情報を大量に収集したACCSにも相応の責任が存在しなければならないはずでしょう。
        自分がネットワーク社会の住人であり、セキュリティの研究者であるというのならば、今回漏洩した個人情報が二度とインターネット上に流出してこないように、努力してもらいたい。
        その個人情報を取り扱う事業者等にも同様の責任が求められるはずだと思うのですが、そのわりには朝昼晩がなんとか、という愚痴のような話をしてますねぇ。

        結局のところ、専務理事の主張は、「ちょうど自分たちのような立場の人には重い責任が課せられないようにできてるはずです」という根拠のない楽観に基づいているように見えます。この分だと、後編でも相応の責任感を伴った発言が聞かれることは期待できなさそうに思われます。もちろん、完璧な情報管理はどのみち困難なのでしょうが…。

        親コメント
    • Re:謝罪の意志 (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2004年03月20日 7時19分 (#517977)
      個人情報を盗まれた人たちの不安をACCSの久保田専務理事はわかっていない

      杜撰な個人情報の管理を突かれてコンピュータソフトウェア著作権協会(ACCS)の運営するWebサイト「著作権・プライバシー相談室~ASKACCS」から個人情報を引き抜かれた同協会を相手取り、個人情報を流出された1,200人の被害者が、東京地方裁判所に損害賠償訴訟を起こした。訴訟に踏み切った理由を、被害者の代表に聞いた。

      ●個人情報を扱うのならば、最低限のセキュリティ構築に努めてほしい

      今年3月下旬、ACCSの久保田裕専務理事のインタビュー記事があって読んだ。
      弁護士からはできれば読まないでほしいと言われたのだが、謝罪したいというのなら、私は人として読もうと判断した。しかし残念ながら、その時の記事の内容から謝罪の意志がまったく感じられなかった。


      ………………………なんてね。
      親コメント
  • 法的解釈以前に・・・ (スコア:5, すばらしい洞察)

    by KAMUI (3084) on 2004年03月20日 0時00分 (#517832) 日記
    個人情報を扱いながらその流出を招いた
    「道義的」責任についてはどう思ってるのかね?>久保田くん

    ガチガチのセキュリティをかけているごく一部の上場企業以外は、どこも個人情報を扱うことが困難になるのではないか
    個人情報を扱うからこそ,セキュリティが必要になるのだと
    思ってたんだけど,君の世界では違ってるんですか?>久保田くん
    • by cassandro (6035) on 2004年03月20日 0時41分 (#517871)
       「上場企業」なんて言っている時点で終わりの様な気がします。

       セキュリティ対策は、実施するエンジニアについても、実施させる経営陣についても、属人的な性格が強いもの。技術があって、経営陣が馬鹿でなくて、少々のお金があれば、個人情報をばらまくなんて大恥を掻く事がないセキュリティ対策は施せます。

       逆に図体がでかい方が色々危険だと思いますね。小さくて堅い所と同じだけの事を上場企業がやろうとすれば、とんでもない金が掛かります。
      親コメント
      • by Anonymous Coward on 2004年03月20日 2時46分 (#517930)
        一見正しい感じもするが違う気もする。

        ここはオタクの集まりなのでそう言えるけど、
        一般からすればコンピュータは難解なもので理解
        しがたいものですね。

        どんなに経営者がタコであっても上場企業の金のある所なら、
        もしかすると大丈夫さって事になるのではないでしょうかね。

        逆に金がなくても
        弱点を理解しそれに合わせて(設定を含めて)対策してればでしょうけど。
        こういうのができる人ってここのオタクの一部か技術者かでしょ。

        #どんなマシーンであれ設定ができ監理できる人間を用意できる所って
        #それ程多く無いのでは?
        #ガチガチのセキュリティーで多くのサイトが排除されたら、
        #雇用促進につながるのでいいじゃないでしょうかね。
        #水も金で買う時代なんだし。セキュリティーも安くないと。
        親コメント
        • by Li Luxing (7797) on 2004年03月20日 3時16分 (#517944)
          >ここはオタクの集まりなのでそう言えるけど、
          >一般からすればコンピュータは難解なもので理解
          >しがたいものですね。

           残念ながらセキュリティーを固めると言う点においては一般の人でも
          理解できるものです。
           理解している人が特殊な能力を有していると思っているのは
          理解する努力を怠っている人間の言い訳です。

           ちょっと大きな書店に行けばどれを買って良い分からない位に
          書籍が販売されています。
           何も車輪の再発明のような事を求めているわけではないのです。

           ましてや、今回の問題の背景にはセキュリティの甘さについて
          既に指摘をされていたという背景があります。
           決して、できるはずのない事をしていなかったという訳ではない
          と思います。
          --
          李 露星
          親コメント
          • by Anonymous Coward on 2004年03月20日 3時29分 (#517945)
            > 残念ながらセキュリティーを固めると言う点においては一般の人でも
            >理解できるものです。
            > 理解している人が特殊な能力を有していると思っているのは
            >理解する努力を怠っている人間の言い訳です。

            コンピュータを取り扱う全ての人がプログラムの中身まで把握し、
            常に脆弱性がないのかチェックするということは現実的ではないでしょう。
            理解する努力を怠っていると、そこまで言えるのか大いに疑問です。

            > ちょっと大きな書店に行けばどれを買って良い分からない位に
            >書籍が販売されています。
            > 何も車輪の再発明のような事を求めているわけではないのです。

            「どれを買って良いか分からない」と自分でも自覚していながら、
            他人に対しては理解する努力を要求するというのは厚かましくないですか?

            > ましてや、今回の問題の背景にはセキュリティの甘さについて
            >既に指摘をされていたという背景があります。
            > 決して、できるはずのない事をしていなかったという訳ではない
            >と思います。

            嘘言って批判の材料にしちゃいけません。
            officeは事前に脆弱性を指摘する前に不正侵入し、情報を盗み、
            侵入方法と盗んだ情報を公開し、その後にACCSに指摘したのです。
            事実はきちんと把握してから意見を述べたほうがよろしいかと思います。

            なお、ACCSの過失が全くないとは言えないですが、それをofficeがやった
            行為の正当化をする理由には全くなりません。
            親コメント
    • ただ、そのことが、法的責任を負うほどの注意義務違反がACCSにあったことにつながるのかはわからない。少なくとも、私はそこまでの注意義務違反はないのではないかと思ってる。もし注意義務違反だというような認定が下って、(ACCSの被害者に対する)損害賠償が成立するというようなことになれば
      漏れておいて注意義務違反でないことが「前提」であり、さらに認定が下らないとそのことを認めないのかい?と。その程度の認識じゃないんですか? > 「道義的」責任

      そもそも、そんな発言する人がエラいとこが運営する「著作権・プライバシー相談室」だなんて…
      親コメント
  • by NightSoul (17783) on 2004年03月20日 0時08分 (#517840) ホームページ 日記
    個人情報は洩れても仕方がない、と彼は言っているわけですか。

    #あれ、違う?
    • いや違う (スコア:5, すばらしい洞察)

      by otk (8452) on 2004年03月20日 0時20分 (#517856) ホームページ 日記
      キミの個人情報には金銭的価値はないよ、と言っておられるのです。
      だから「誠心誠意」で何とかなると思っておられるのですよ。

       #Y!BBの500円とどっちが価値が高いのだろう
      親コメント
  • by ZooMD (16314) on 2004年03月20日 0時01分 (#517833) 日記
    >損害賠償が成立するというようなことになれば、ガチガチのセキュリティを
    >かけているごく一部の上場企業以外は、どこも個人情報を扱うことが困難になるのではないかとも思う。

    うん、だからそんな甘い認識で個人情報を扱って欲しくないわけで。
    セキュリティを保つのが難しそうなら、「個人情報は扱わない」という判断をしたっていい。

    セキュリティを高めるにはそれなりにコストがかかるってことは認識してるつもりだし、
    ユーザーの利便性が悪くなる可能性もあることも分かる。
    セキュリティを高めるのがトレードオフだというのなら、
    個人情報を扱うことについてのトレードオフも考えていいんじゃないか。
    --
    *-----------------------*
    -- ウソ八百検索エンジン --
    • by Anonymous Coward on 2004年03月20日 2時56分 (#517937)
      過去に、不正コピー情報提供窓口 [accsjp.or.jp]を利用して情報提供した事があります。
      今は必須項目が対象サイトのアドレスと名称のみになっていますが、当時の必須項目は殆ど全てだったように記憶しています。
      (自分の個人情報とセットで)情報提供した後も確認はおろか一切音沙汰がなく、情報提供を呼びかける機関の態度ではないと大変落胆した記憶があります。
      当然、今回の漏洩についての連絡など来るはずもありません。自分の情報が漏洩したかどうかも、それこそ公開された不正アクセスの手段でリストを入手して確認する他にありません。
      所詮、彼等にとって我々一般個人などゴミみたいな存在なんでしょうね。
      今では情報提供した事を後悔しています。
      親コメント
  • by L.Nizah (7804) on 2004年03月20日 0時10分 (#517842)
    これは何かおかしいなぁ。

    まず、注意義務について過去の記事を読む限りでは「素人が設置したCGI」と同程度にしか考えていないように僕には思えた。
    「ガチガチのセキュリティ」(なんだそれ)が必要かどうかは別の話としても、個人情報を扱う者がその程度のセキュリティじゃいけないだろう。
    最高のセキュリティが現実的に難しいというのには納得出来るけど、最低限をクリアするのはやってもらわなきゃ困る。

    次に、「損害賠償が成立する事になればガチガチのセキュリティじゃなければならない」って事は、杜撰な管理していれば責任問われないということ?
    そんな馬鹿な話があるかい。

    第一、(そんな事になれば)個人情報を扱うのが困難な事になるって、現状で既に困難で慎重に対処しなくてはならない問題なのでは?
    そこの所、どういう認識してるんだろう。
  • by otk (8452) on 2004年03月20日 0時14分 (#517849) ホームページ 日記
    ACCSの釈明文 [askaccs.ne.jp]によれば、
    ACCS側では、ユーザーがCGIに入力した内容 (引用者注:氏名、電話番号、住所などの個人情報)については適時削除しており、web上にこのようにホームページ開設当初から直近の情報がすべて記録されているファイルが存在することはないと認識しておりましたが、フォルダ内を調べたところ該当するファイルを確認し、officeが入手した個人情報が真性のものと確認しました。


    …今どき「ごく一部の上場企業以外」でも、こんなゆるゆるのセキュリティーのケースは珍しいと思うが?
    • というか「適時削除」って何?てけとーに削除してもいいくらい無意味に個人
      情報を収集してたわけ?最初に警告受けた時何やってたの?と、小一時間(古

      なんかもう、office氏の「悪事」が霞んでしまうよ。

      --
      office氏の悪事
              1200人分を晒した
      ACCSの問題
              全ての個人情報を危険に晒した
      ACCSの悪事
              報告を受けていながら何もしなかった
                      -注意義務云々の主張は無効では?
              office氏が晒さなかった分についての責任転嫁
                      -この分について漏洩していないなどと誰が言えようか
              個人情報を危険に晒したままにした事に対して公式の謝罪は?
                      -あったかも知らないけど個別にこそっと謝りにいくのがアレ
      親コメント
  • んなわけない (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2004年03月20日 0時15分 (#517850)
    > 損害賠償が成立するというようなことになれば、
    > ガチガチのセキュリティをかけているごく一部の
    > 上場企業以外は、どこも個人情報を扱うことが困難に
    > なるのではないかとも思う。

    ダウト
    逆に零細商店などでは、個人情報の件数そのものが
    少なくなるので、損害賠償で倒産したりはしない

    多くの個人情報という「危険物」を扱うコストを払えないなら
    損害賠償に耐えられるぐらいまで「危険物」の量を減らすべき
    • Re:んなわけない (スコア:1, 参考になる)

      by Anonymous Coward on 2004年03月20日 5時51分 (#517967)
      >多くの個人情報という「危険物」を扱うコストを払えないなら 損害賠償に耐えられるぐらいまで「危険物」の量を減らすべき

      まさにそう思ったのでしょうね。
      質問コーナーで収集していた情報は、「IPアドレス、氏名、年齢、住所、電話番号、eメールアドレス、質問内容」という質問には関係ない個人情報を網羅するものだったようですが、以下のように変更されていました。

      職業 、年齢 、性別 、地域 (この4項目には「質問の内容を理解する上での参考とさせていただきます」との但し書き付き)と質問内容の5項目

      質問するのに氏名や電話番号まで書かせるというやり方を貫くなら、セキュリティへの配慮がかなり必要だったなと思います。
      親コメント
  • っつーかさ、 (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2004年03月20日 0時43分 (#517873)
    >> ガチガチのセキュリティをかけているごく一部の上場企業以外は、どこも個人情報を扱うことが困難になるのではないかとも思う。

    それで何か問題があるんでしょうかね?ガチガチの安全管理ができるごく一部の上場企業以外は車の製造販売が困難だったり、ガチガチの(略)以外は銀行業務ができなかったり、どの業界においても負うべき責任を真面目に考えればそういう話になると思うんですけど。それと、実際には一部上場企業以外でも真面目にセキュリティを気にしている企業はいくらでも存在するはずで、そういう企業からすれば随分と失礼な発言ですよね。

    これだけ「情報開示」が叫ばれている時代なんですから、せめて責任をもって「うちはガチガチのセキュリティをかけるほとの技術力や予算はありません」とでも明記していただきたいものです。安全なフリを装って、いざとなると「うちにはガチガチのセキュリティなんて無理です」ってのは詐欺としか思えないんですが。
  • 丸投げ体質? (スコア:2, すばらしい洞察)

    by yanagi (6075) on 2004年03月20日 1時04分 (#517882) ホームページ 日記
    一方、流出が発覚してからというもの、我々は個人情報の拡散を防ぐために、朝・昼・晩とファイル交換ソフトや2ちゃんねるなど、ネットのチェックをしており、ACCSの本来の業務に支障を来たしている。
    本当に考えているのは、我々が現在やっている情報の拡散防止作業と同じことを彼にもやってもらいたいということだ。
    刑事罰を受けさせるより「情報流したやつがその回収作業」
    の刑にするってことなのか、責任回避して論点をずらそうと
    しているのか、どっちだ?

    個人的に穴のあるシステムをネットに繋いでるのは刑事責任を負う
    くらいの罪悪だと思ってる。盗人猛々しいな>久保田氏
    --
    やなぎ
    字面じゃなく論旨を読もう。モデレートはそれからだ
    • by hir_000 (2322) on 2004年03月20日 2時39分 (#517927) 日記
      >>本当に考えているのは、我々が現在やっている情報の拡散防止作
      >>業と同じことを彼にもやってもらいたいということだ

      「食い逃げ犯人に代金分の皿洗いをさせる」
      というネタを思い出しました。
      この部分だけは納得がいった。

      >個人的に穴のあるシステムをネットに繋いでるのは刑事責任を負う
      >くらいの罪悪だと思ってる。盗人猛々しいな>久保田氏

      ・脆弱なサーバを放置
      ・(結果として)個人情報を抜かれた

      どちらも現状では刑事責任を問える事象では
      ないと思いますが。

      仮に問えるようになったとして、本当に
      個人も含め誰もが潔白でいられるか
      というと非常に難しいんじゃないかと。
      特に1番目。
      親コメント
  • 事を認めたのですな.

    ここで言うガチガチのセキュリティって,どんなレベルかACCSに公開質問状を送ると良いかも.

    ACCSが本当に自身で答えてきたならば,その内容でACCSの程度が知れるというものだ.
    --
    // jack_mexfer
  • by Anonymous Coward on 2004年03月20日 6時00分 (#517968)
    >セキュリティを施さないで情報を公開する企業はモラルに反していると思う。
    >個人でも、IDやパスワードをしっかり管理するのと同じモラルの問題だ

    とな。至言です。

    INTERNET Watch
    ACCS久保田氏講演「デジタルコンテンツ保護には現行の著作権法では不十分」 [impress.co.jp]
    より引用
  • 誰だよ (スコア:2, おもしろおかしい)

    by hirata (3986) on 2004年03月20日 7時29分 (#517978)
    奴にノーガード戦法について教えたのは。
  • by kacchan6 (19477) on 2004年03月21日 16時40分 (#518508)
    もし賠償金を取ったとして、
    そのお金は何に使われるのでしょうか。

    セキュリティにお金をかけていられないと発言する団体が
    そのお金でセキュリティ強化するわけでもないし。
    流出した個人に対してお詫びを送るわけでもなさそうだし。

    損害賠償金といっても何の損害なのでしょうか。
    情報流出の対応で仕事が遅れた分にしては高すぎるし。
  • 後編が掲載 (スコア:2, 興味深い)

    by Anonymous Coward on 2004年03月22日 13時03分 (#518870)
    後編が掲載されました。

    幼稚なセキュリティ研究者こそがネット社会で最も迷惑な存在
    ACCSの久保田専務理事が語る個人情報流出訴訟の背景(後編)
    INTERNET Watch
    [impress.co.jp]

    とりあえず、事実無根な点を指摘。

    ただ、研究員の男性にそういう場を与えた責任はあるだろう。イベントで脆弱性を公開し、それを(サーバーの運営者に)通知してあわてふためくところを見て楽しむという側面が絶対にあったはずだ。しかも、男性がこのようなプレゼンテーションを行なったのは今年が初めてではない。彼だったら今年も同じやり方で脆弱性を公開する可能性あることはわかっていたはずだから、
    未通知、未修正の脆弱性をいきなりイベントで発表したのは、この年が初ですよね。

    死人に口無しなので、何とでも言えますね。

  • by ymd (16088) on 2004年03月20日 1時20分 (#517889) ホームページ 日記
    大企業が個人情報を守ることを重要視しているのは、信頼の大切さを知っているからだと思う。一度壊れた信頼関係を修復するのは大変だからね。

    まあ、こんなところにプライバシー [google.com]の大切さなんて語ってもらいたくない。
typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...