パスワードを忘れた? アカウント作成
105645 submission
プライバシ

プライバシーマークの不正使用にご注意 61

タレコミ by phenix
phenix 曰く、
認証技術に裏打ちされていない、画像を掲示するだけの、
この手の認定制度は出てくるたびに不正使用に対する懸念が指摘されていたわけですが、
発行元のプライバシーマーク推進センターが、
プライバシーマーク不正利用を確認したとして注意喚起をしているようです。

/.J的には、「言わんこっちゃない」といった感じでしょうか。

情報元へのリンク
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • むしろ (スコア:2, 興味深い)

    by Anonymous Coward on 2009年06月10日 17時36分 (#1584021)

    Pマークなんか信用できるんですか?というのが疑問。
    前に居た会社も取得はしてましたけど、チェックの人が来たときに口裏あわせたり、その時だけ書類を社内におかず倉庫に隠してたりして「なんとか」取得できた、という感じでした。
    そんな風でも取れるマークってあんまり信用にたるものとは思えないんですけどね。

    #内容が内容だけにAC

    • Re:むしろ (スコア:5, すばらしい洞察)

      by JULY (38066) on 2009年06月10日 17時59分 (#1584038)
      大日本印刷が起こした 800 万件以上の個人情報漏洩事件でも取り消されなかったんだから、一度取ったら、一生ものなんじゃない?

      http://it.nikkei.co.jp/security/news/index.aspx?n=AS1D2309C%2023032007 [nikkei.co.jp]
      親コメント
      • Re:むしろ (スコア:2, 参考になる)

        by bewon (36083) on 2009年06月10日 19時21分 (#1584106) 日記

        プライバシーマーク制度は、個人情報保護"マネジメントシステム"の認証です。

        しかるべきマネジメントがなされていることが定期的な審査で認められれば、認証は取り消されません。
        ま、親々コメやDNP批判の感情は分かりますが。

        # DNPはしかるべきマネジメント(是正)ができたから認証が維持されてるわけで。
        ## おもおか以外のモデがつく理由がよくわかんないんですが。

        親コメント
        • by Anonymous Coward
          一応補足を。

          こういった認証の審査では最近は適合性だけではなく有効性も問われます。
          有効性が明らかにできていない状態ではマネジメントが回っているとは
          判定されません(形式上は)

          ですからDNPのプロセスが(今回の是正も含め)有効だと判定されているから
          Pマークが維持されているのでしょう。
          • by Anonymous Coward
            > こういった認証の審査では最近は適合性だけではなく有効性も問われます。
            > 有効性が明らかにできていない状態ではマネジメントが回っているとは
            > 判定されません(形式上は)
            >
            > ですからDNPのプロセスが(今回の是正も含め)有効だと判定されているから
            > Pマークが維持されているのでしょう。

            (形式上は)って言っちゃってるし、DNPのプロセスが有効だと考えるよりもPマークが
            機能してないと考える方がはるかに自然なんだが。今は建前の話してるんじゃないですよ。
            • by Anonymous Coward

              >(形式上は)って言っちゃってるし、DNPのプロセスが有効だと考えるよりもPマークが
              >機能してないと考える方がはるかに自然なんだが。今は建前の話してるんじゃないですよ。

              具体的に何をどうみて、適合性と有効性が妥当であると、判断したのかは審査者でないとわからないので、「形式上」って表現してるんだと思うぞ。

    • by Anonymous Coward

      情報漏洩などPマークを取得してセキュリティー管理しては確かに大事かも知れないけど
      http://www.atmarkit.co.jp/fwin2k/itpropower/admin-kun/117/adminkun117.html [atmarkit.co.jp]
      なんていう事にもなりかねませんね。

  • 注意喚起のページのURLがなぜか全角だったのに萎えました。
    というか、リンク貼ってないのはなぜ?
    無闇に行かないようにっていう「配慮」なんでしょうかねぇ。
    Text Link使用者にはあまり関係ない話かもしれませんが……。
    #そんな僕はOpera中毒者
    --
    あなたとコンビにふぁみりま~と♪
    • > というか、リンク貼ってないのはなぜ?

      問題のあるサイトに気軽に行かないようにしているだけでしょう

      親コメント
      • by Anonymous Coward

        無断リンク貼ると粘着しそうなサイトもあるしな
        # 発行元による指摘を「悪意ある誤情報」って……

    • by Anonymous Coward
      URLを選択して右クリック「ウェブアドレスに移動(G)」で行けますよ? by Opera 9.64

      @っていう話でない?
      • by Anonymous Coward
        >URLを選択して右クリック「ウェブアドレスに移動(G)」で行けますよ? by Opera 9.64
        テキストなら行けますけど、全角だと標準状態では無理ですよ? by Opera 9.64
  • 自分の勤め先もプライバシーマークを取得しており、カタログなどの各種印刷物にもPマークが入っています。
    #名刺にも付いています。
    紙の上のものにどうやって認証を行うのか、という問題はありますよね。
    QRコードみたいなものにする、とか?

    あと、あまり知られていないかもしれませんが、Pマークには各社ごとに認定番号 (ID) が与えられており、Pマークの下に表示されます。
    このIDで認証を行うことはできるはずなのですが、やっていないのかなあ (自分が知らないだけ?) 。

  • by Anonymous Coward on 2009年06月10日 16時54分 (#1583990)
    これはひどいインターネッツですね.....orz

    ・マーキー
    ・Pマーク不正使用のいいわけ
    ・無断リンクお断り
    ・アホみたいに巨大なチーム・マイナス6%バナー
    ・ていうか、どこが入り口かワカンネ

    どのサイトかは、まぁ適当に見てやっておくんなまし。
  • たとえばこの団体 [creativecommons.org]が広めているマークの不正使用はどういう技術で防止されているんでしょうか。こんな話 [srad.jp]も現に存在するわけですが。

    • PマークとかISO27000なんてのは、ある程度まともな企業同士で使うもんでしょ。要するに取引要件にすぎない。

      親コメント
    • 審査団体がいて認可した上で発行しているマークは何らかの詐称対策が必要でしょう。管理者がいるんだからそれなりの対策は技術的に可能なんだし。
      CCのマークは発行にあたって誰が審査してるわけでもないし、そういう性質のものでもない。一緒にするのはどうかと。

      #まあ、詐称を防ぐような仕組みがあるに超したことはないけどね。

      親コメント
      • by Anonymous Coward

        CCのマークだけでは自己主張以上の意味はないですから。
        ライセンス表示は別にしなきゃいけないんですし。

      • by Anonymous Coward

        審査団体がいて認可した上で発行しているマークは何らかの詐称対策が必要でしょう。管理者がいるんだからそれなりの対策は技術的に可能なんだし。

        Web上でそのマークが真性であることを根拠に何かをするっていうことがありますか? たとえば町工場で壁に大きな字で「JIS認定工場」という文字とJISマークが書かれているようなところがありますが、その工場と契約するときに「壁にJIS認定工場と書いてあったこと」で何かが左右されますか?それと同程度ですよ。

        技術的に詐称対策ができるというのと必要というのは違います。また、詐称対策があるにこしたことはないとも思います。しかし、審査団体が発行したマークには詐称対策が必要との主張にはなんらかの根拠が必要です。

        • >たとえば町工場で壁に大きな字で「JIS認定工場」という文字とJISマークが書かれているようなところがありますが、その工場と契約するときに「壁にJIS認定工場と書いてあったこと」で何かが左右されますか?
           すごい例えですね。これが左右しないと思ってる時点で永久の平行線ですなぁ……。

          >審査団体が発行したマークには詐称対策が必要との主張にはなんらかの根拠が必要
           誰でも詐称できるようでは制度自体の信頼度が揺らぐから、で根拠になりませんか?
           Pマークがあれば(そしてそれが詐称でなければ)、一応アドレス収集&横流し目的の釣りサイトではないことくらいは保証してくれるわけで、例えばWebの入力フォームからアンケートに答える場合などにあるとないではずいぶん違うはずですが……。

          親コメント
    • by Anonymous Coward
      発行した認証コードを入れ込んだ画像を支給して、
      確認は人力でお願い…という仕組みは最強だな…
      って思ってるんだけどなぁ。

      そのコードを削って表示してたら…あからさまにあやしい
      適当な数字に改造して表示してたら…調べて確認しない自分が悪い

      どうやっても組織に責任は及ばないシステム。
  • by Anonymous Coward on 2009年06月10日 17時11分 (#1584002)
    嘘。サブジェクトは釣り。
    Pマークがそこそこ知られてきたからこそこうやって不正に使われるわけで、
    認知されてないLマークを勝手に付ける違法着メロサイトなんてのは、
    流石に出て来ないだろう。

    一方で、Pマークは正規も不正も大差無い気がするんだ。
    顧客の個人情報管理を徹底している様に装って審査をクリアし、
    実際の運用では妥当な管理をせずに漏洩しても、
    資格を剥奪される訳でも、ペナルティを負う訳でも、
    被害顧客への対応をルール化している訳でもないんだから、

    要は、気の持ち様、でしょ?
    • 全然違う (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2009年06月10日 17時37分 (#1584023)

      >要は、気の持ち様、でしょ?

      本当に大差無いのなら付けなきゃ良いだけ。
      そこで詐称するってのは、明らかに客となる人間を騙そうと言う意思が有るって事だぞ。
      それは単にお粗末な業者と詐欺師を同列で考える事だよ。

      元々持っている悪印象から同列に扱おうって考えなんだろうけど、実際の差は有る。
      というか、世の中には下の下ってのが本当に有って、「どうせ大差ない」と思っていると
      核地雷踏んじゃう事も有るので注意。

      ぶっちゃけ、詐称なら犯罪集団が犯罪目的でも可能だぞ。

      親コメント
        • by Anonymous Coward

          いいえ、
          「Pマーク自体の安全性は知らん。けど、Pマークを詐称する者は明らかに悪意が有る」
          です。

          • by Anonymous Coward

            結果として、
            「Pマークさえ取得すれば、対策は万全と考える企業は、明らかに悪意が有る」
            もまた真です。

      • by Anonymous Coward on 2009年06月10日 18時25分 (#1584056)
        > それは単にお粗末な業者と詐欺師を同列で考える事だよ。

        自己防衛のためには同列に考えるべきだと思いますよ。

        少なくともPマークは「お粗末な業者ではない」事を意味しないので、
        (Pマークの認証制度はその様な意味を持つ様に設計されていないので、)
        悪意のある詐欺師では無かったとしても、被害を被る可能性はあります。

        信用に値するかどうかは、Pマークとは別の部分で個別に判断すべきでは?
        親コメント
        • by Anonymous Coward on 2009年06月10日 19時02分 (#1584087)

          IZUMI162i6さんもそうだが、比較対象の勘違いが有るぞ。
          「Pマークの有無の比較」ではなく、「明らかに詐称している者」との比較だよ。
          だから
          >悪意のある詐欺師では無かったとしても、悪意のある詐欺師では無かったとしても、被害を被る可能性はあります。
          って言うけど、一方は明らかに「悪意のある詐欺師」な訳です。

          私的には「悪意のある詐欺師」に情報を与えた時点で既に被害だと思う。
          翻って、
          >悪意のある詐欺師では無かったとしても、被害を被る可能性はあります。
          ってのは100%の可能性が存在しませんよね。

          って事で「程度の差はある」で正しいでしょう。
          でもって、安全に100%が無く当人が判断するしかないってのは当然。
          そもそも#1584023の何処にも「Pマークを正式に受けている企業は安全」とは
          書いていないと思うんだ。

          でだ、「相手が明らかに詐欺師」の場合とそうじゃなく少なくともPマーク取得
          が可能なレベルの企業の場合、どちらの危険度を高く見ますか?
          それを「変わらない」というのであれば、よっぽどの世間知らず位だ。
          勿論、それは「正式サイトならば安全」と言う事は意味しないが。

          親コメント
          • Re: (スコア:0, フレームのもと)

            by Anonymous Coward
            Pマーク認定制度自体が「(信頼性があるという)明らかな詐称」であり「悪意のある詐欺師」なので同レベル
          • by Anonymous Coward
            > 私的には「悪意のある詐欺師」に情報を与えた時点で既に被害だと思う。
            > 翻って、
            >> 悪意のある詐欺師では無かったとしても、被害を被る可能性はあります。
            > ってのは100%の可能性が存在しませんよね。
            > って事で「程度の差はある」で正しいでしょう。

            ええ、程度の差はあるでしょう。
            しかし、それが有意な差かどうかは主観です。
            私は「有意な差ではないと思う」ので、「大差無い」と言います。

            中のヒトとしては「悪意の有無」は大きな違いでしょうけど、
            利用者としては「悪意の有無」とはほぼ関係しない
            「害の有無」を強く意識すべきと思います。
  • 著作権法違反でガッツリ訴えられただろうに

    • たった1行なのに、ツッコミどころ満載過ぎてどこから突っ込んでいいのかわからない……。

      ともかく、プライバシーマークは商標登録されているし、
      商標に対して著作権法を盾に訴えるのは変だし、
      商標登録と関係なしに訴えを起こすことはできるし (たとえば、独禁法の優良誤認にもなりそう) 、
      訴訟を起こすだけが対策じゃないし。

      親コメント
    • by Anonymous Coward
      登録商標であることを根拠にする時は、著作権法じゃなくて
      不正競争防止法だった気がします。
      上の方のツリーにもちょろっと書かれてるLマークなどが
      その手法だったはず。

      #著作権法で訴える事も可能かもしれないけど
      #調べてないのでAC
    • by Anonymous Coward

      知的所有権に ISO 系のマネジメントシステムの練り餌、釣れますか?

  • by Anonymous Coward on 2009年06月11日 0時00分 (#1584278)
    > 認証技術に裏打ちされていない画像を掲示するだけの、この手の

    というけど、技術的に認証したとして、認証結果をどうやって表示するの?
    まさか、Javaアプレットでとか、フラッシュで、とか言わないよね?
    何の意味もないよ。

    ブラウザのプラグインでも入れない限り。
    そしてそんなの誰もインストールしない。
typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...