ジャストシステムのユーザ登録情報取り扱いに疑問の声
タレコミ by k3c
k3c 曰く、
セキュリティmemoメーリングリストへの投稿において、株式会社ジャストシステムズ及び(財)日本情報処理開発協会 プライバシーマーク事務局に対する公開質問状が提示された。この投稿によれば、ジャストシステムのユーザID登録画面において、登録ユーザーの氏名及び電話番号を入力すれば、任意のメールアドレスに対してユーザー登録の際発行されたUser IDが通知されるという。さらに、このUser ID及び電話番号を登録内容の変更ページに入力すれば、住所・メールアドレス・誕生日などを知ることができる。また、同じくUser IDと電話番号を登録製品の照会ページに入力すれば、登録製品の製品名とシリアル番号を知ることができる。つまり、ある人の氏名と電話番号を知ることができれば、ジャストシステムの画面から(もしその人がジャストシステム製品を購入してユーザー登録していれば)その人の住所・メールアドレスと誕生日、使用しているジャストシステム製品のシリアル番号などの情報が得られることになる。これは、同社のプライバシーポリシーページに書かれている3. お客様の個人情報を収集目的の範囲内で利用するとともに、適切な方法で管理し、 特段の事情がない限り、お客様の承諾無く第三者に開示・提供することはありません。という記述に反するものではないか?というのが、投稿者の問い合わせの主旨である。さらに、この投稿では、プライバシーマーク事務局に対し、このように個人情報を取り扱っている企業がプライバシーマーク認定に値するのか、という質問も投げかけられている。
さらに事態を深刻にしているのは、このような個人情報の取り扱い方に対して、一年ほど前にも同じ人物からジャストシステムに対して質問が行われているということだ。その際、個人情報の確認方法を電話番号でなくパスワード(つまり第三者に容易に推測され得ない、本人確認たり得る情報)に「早急に」変更していくという回答があったにも関わらず、一年経った現在でも、本人確認が氏名と電話番号という、容易に推測される情報で行われており、回答の内容が正しく実施されていないのだ。
ところで、コトはジャストシステムの事例に限らないとワタシは思う。一般に、Webサイトを利用するユーザーはオンラインで情報を入力する際、当該サイトのプライバシーポリシーを参照して個人情報を提供するかどうかを決定することができる。また、その際、相手の企業内で個人情報の取扱いが正しく取り扱われているかどうかを計るひとつの目安として、プライバシーマークというものが運用されているはずだ。プライバシーポリシーを明確に提示し、プライバシーマークを取得している企業における個人情報取り扱いの一例としてこのようなWebサイトが存在しているのであれば、プライバシーマークやプライバシーポリシーの信頼性は根底から疑ってかかるしかないのではないか?