高木浩光@自宅の日記 - eLTAXに反省なし 誤りを認めない告知文の捻出に3か月を費やしその間利用者を危険に晒す
■ eLTAXに反省なし 誤りを認めない告知文の捻出に3か月を費やしその間利用者を危険に晒す 3月14日の日記「治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ」から3か月近く経った今日、eLTAXが注意喚起を出しているとの情報が入り、なぜ今頃になって再び注意喚起をするのだろうかと首を傾げた。 3ヶ月前の高木さんのblogの「署名済みActiveXコントロールのダウンロードを有効にする」eLTAXの件で、問題の対策して今日利用者向けにお知らせしているようです。https://t.co/Qk37l9cRMkhttps://t.co/epQvcdKiu5 — あさくら (@AkioAkioasakura) 2016年6月3日 よく見てみれば、あれ以来、何ら注意喚起を出していなかったのだ。つまり、これは再度の注意喚起などではなく、3か月経ってこれが初の「お
高木浩光@自宅の日記 - GPS捜査の総務省ガイドライン改正で携帯電話事業者と警察が不正指令電磁的記録の罪を犯すおそれ
■ GPS捜査の総務省ガイドライン改正で携帯電話事業者と警察が不正指令電磁的記録の罪を犯すおそれ 目次 経緯 刑法168条の2 不正指令電磁的記録に関する罪 パブリックコメント提出用意見書(期限超過) 4月にこういう記事が出ていた。 携帯GPS情報、本人通知せず捜査に活用 指針見直しへ, 朝日新聞, 2015年4月17日朝刊 総務省が、通信事業者の個人情報の取り扱い方を定めるガイドラインの見直し案を17日に発表する。意見公募の手続きを経て、6月にも運用がはじまる見通しだ。 (略)捜査機関が、裁判官の令状にもとづき、GPS情報を取得できる規定がガイドラインに盛り込まれたのは2011年11月。誘拐犯や指名手配犯の居場所の把握に有効と考えられた。ただ、プライバシーへの配慮から、取得を本人に知らせる「条件」つきだった。 だが、被疑者に知られると証拠を隠されたり、逃げられたりする恐れがある。誘拐犯な
高木浩光@自宅の日記 - 行政機関法では再識別禁止がないから個人情報に当たるですって?(パーソナルデータ保護法制の行方 その22)
■ 行政機関法では再識別禁止がないから個人情報に当たるですって?(パーソナルデータ保護法制の行方 その22) これまで静かに憂慮されてきた論点が、昨日の衆議院総務委員会での答弁で、曲解された形で披露されるに至り、もはや座視できない危険水域に達していることが明らかとなった。 昨年の個人情報保護法改正で誕生した「匿名加工情報」は、その定義の解釈を巡って、今もこの分野の研究者の間で憂慮され続けている論点が残っている。それは、匿名加工情報が個人情報に該当しないとされる理由に、「法律によって再識別行為が禁止されていることにより、他の情報と容易に照合できないこととなり、個人情報に該当しなくなる。」とする理屈が、政府見解の一部として出てくることの問題である。この理屈がどう不味いのか、昨年の情報ネットワーク法学会での発表*1に続き、今年2月19日に、情報処理学会EIP研究会での発表があった。 藤村明子,
追記(19日)東洋経済オンラインの的外れ記事 / 高木浩光@自宅の日記 - 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ
■ 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ ここ数年、不正送金の被害がインターネットバンキングの法人口座で急増しているという*1。その原因は今更言うまでもなく、Java実行環境(JRE)やAdobe製品の古いバージョンの脆弱性を突いてくるマルウェアである。しかしそれにしても、法人口座を扱うパソコンがなぜ、Java実行環境やAdobe製品をインストールしているのだろうか。インストールしなければ被害も起きないのに……。 その謎を解く鍵が、eLTAX(地方税ポータルシステム)にあるようだ。eLTAXでは、インターネットバンキングの口座を用いた納税ができることから、インターネットバンキング用のパソコンでeLTAXの利用環境も整えるということが普通になっていると思われる。そのeLTAXが、昨日までは、Java実行環境のインストールを強要していた。eL
新聞協会のガス抜きイベントを見てきた(第三者提供時確認記録義務はどう壊れているか・予告編)
■ 新聞協会のガス抜きイベントを見てきた(第三者提供時確認記録義務はどう壊れているか・予告編) 公開シンポジウム「個人情報保護法改正と報道の自由 ――国民の知る権利は脅かされるのか」が、一般社団法人日本新聞協会の主催であるというので、どうせ改正法と関係ない話を延々とするのだろうと、見物に行ってきた。 新聞協会:「個人情報保護法改正と報道の自由」でシンポ https://t.co/7oFo7EOS8K — 毎日新聞ニュース速報 (@mainichijpnews) 2016, 2月 10 【ニュース】<個人情報保護法と報道でシンポ> 個人情報保護法をめぐって10日夜、報道の自由をテーマにシンポジウムが開かれ、報道機関の取材活動への影響などについて意見が交わされました。個人情… https://t.co/1gEzOJh4W3 #nhk — NHK@首都圏 (@nhk_shutoken) 2016
高木浩光@自宅の日記 - CCCはお気の毒と言わざるをえない
■ CCCはお気の毒と言わざるをえない 驚きのニュースが舞い込んできた。CCCがプライバシーマーク(Pマーク)を返上したというのである。日経コンピュータの取材によれば、CCC社の「管理本部法務部リーダー」と、「経営戦略本部リスク・コンプライアンス統括部情報管理Leader」と、「経営戦略本部法務部会員基盤Leader」の3氏もそろってこれを認めているという。 CCC(ツタヤ)がプライバシーマーク返上で日本中のプライバシーフリークが騒然の事態(山本一郎) - Y!ニュース https://t.co/BKKhMTRyqX — やまもといちろう (@kirik) 2015, 11月 19 書きました。後編は来週掲載です。/ なぜCCCはプライバシーマークを返上し、T会員規約を改訂したのか(前編) https://t.co/mJFLHTEnvK — Naoki Asakawa / 浅川直輝 (@n
高木浩光@自宅の日記 - 匿名加工情報の規定ぶりが生煮えでマズい事態に(パーソナルデータ保護法制の行方 その15)
■ 匿名加工情報の規定ぶりが生煮えでマズい事態に(パーソナルデータ保護法制の行方 その15) 個人情報保護法の改正を含む法案が、国会に提出されたとのことで、条文がWebに掲載された。 内閣官房 国会提出法案 第189回通常国会 個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案 概要 要綱 法律案・理由 新旧対照表 参照条文 新旧対照表をパッと見てスッと気づくのは、「匿名加工情報」の取扱い義務の規定ぶりに重大な不具合がある点である。 まず「匿名加工情報」の定義を見てみると、次のようになっている。 第二条 9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元する
高木浩光@自宅の日記 - 世界から孤立は瀬戸際で回避(パーソナルデータ保護法制の行方 その14)
■ 世界から孤立は瀬戸際で回避(パーソナルデータ保護法制の行方 その14) 前回、1月5日の日記で、最後に「どうすればよいか」を書こうとしたものの、完成しないうちに急ぎ途中までで公開したところ、あれよあれよと展開し、けっきょく書くタイミングを逸してしまった。 当時は、各方面向けにいくつかのバージョンのスライド資料を作成し、パーソナルデータ関連制度担当室の担当者も出席する1月21日の研究会向けに「パーソナルデータ論点メモ(2015年1月21日)」*1を作成していた。しかし既に、正論を述べたところでどうともならない状況となっており、原案を正当化しようとするばかりで、OECDガイドラインには違反しないだの、OECDガイドラインに違反しても違法ではないだのと、「これはもうだめかもしれない」という状況だった。スライド資料を一部の産業界の方々に託すとともに、22日には一般公開して、どこかに届けばいい!
高木浩光@自宅の日記 - 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12)
■ 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12) また同じ過ちが繰り返された。いったい何度繰り返せば学習するのか。 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始! http://t.co/JRFplpoiWP #プレスリリース — (株)共同通信社 (@Kyodonews_KK) 2014, 12月 2 このプレスリリースは誰が流したものか。以下の画面のように冒頭に「経済産業省」と記載があり、これを見た人は�経済産業省が流したものだと思うだろう。*1 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始!, 株式会社共同通信社 申込先のリンクが http://kojinjohohogo-guideline.jp と書かれている。 やるのはいいけど、.go .jpじゃないわ、
高木浩光@自宅の日記 - 行政機関法にはグレーゾーンがないですって?(パーソナルデータ保護法制の行方 その11)
■ 行政機関法にはグレーゾーンがないですって?(パーソナルデータ保護法制の行方 その11) この7月から、行政管理局の情報公開・個人情報保護推進室が「行政機関等が保有するパーソナルデータに関する研究会」を開いている。これは、IT総合戦略本部のパーソナルデータ制度改正大綱で、「行政機関及び独立行政法人等が保有するパーソナルデータ」について「調査・検討を行う」とされたことに対応するもので、大きく分けて以下の3点を検討するものとして始まった。 2.検討事項 (1) 行政機関等が保有するパーソナルデータの特質を踏まえた、利活用可能となり得るデータの範囲、類型化及び取扱いの在り方 (2) 行政機関等が保有するパーソナルデータの特質を踏まえた、保護対象の明確化及び取扱いの在り方 (3) (1)及び(2)に関する調査・検討等を踏まえた、総務大臣の権限・機能等と第三者機関の関係 行政機関等が保有するパーソ
高木浩光@自宅の日記 - 医学系研究倫理指針(案)パブコメ提出意見(パーソナルデータ保護法制の行方 その10), 追記(11月22日)
■ 医学系研究倫理指針(案)パブコメ提出意見(パーソナルデータ保護法制の行方 その10) 4月23日の日記「行方 その2」の脚註8の件について答えが出たのでここに書いておく。 元の話題は次のものであった。 文献[岡村2014](NBL No.1020, pp.68-74)が72頁で、厚労省の「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」と「福祉関係事業者における個人情報の適正な取扱いのためのガイドライン」及び文科省・厚労省の「疫学研究に関する倫理指針」が個人データの第三者提供について提供先基準での解釈をしていると指摘していることについて、「行方 その2」では、前者のガイドライン2つについては、文献[岡村2014]が72頁で引用している部分の直前の段落で、「このような処理をおこなっても(略)事業者内で得られる他の情報や匿名化に際して付された符号又は番号と個人情報と
高木浩光@自宅の日記 - 書評:良いウェブサービスを支える「利用規約」の作り方
■ 書評:良いウェブサービスを支える「利用規約」の作り方 3月のこと。出版されたこの本を技術評論社より献本いただいた。 雨宮美季, 片岡玄一, 橋詰卓司, 良いウェブサービスを支える「利用規約」の作り方, 技術評論社, 2013 第1章「3大ドキュメント超入門」として、利用規約と、プライバシーポリシーと、特定商取引法に基づく表示について書かれており、第3章には「すぐに使える・応用できるひな形」なるものが掲載されている。 プライバシーポリシーについて、第1章の超入門で、個人情報保護法における「個人情報」に該当しない「個人に関する情報」もプライバシーポリシーの対象とするべきだと書かれている*1点は良い。2012年8月の総務省「スマートフォン・プライバシー・イニシアティブ」を参照し、「今後の流れに大きく影響する可能性があります。」とあり、スマホアプリ対応の解説となっている。 しかし、3章の「すぐ
高木浩光@自宅の日記 - 年金機構から基礎年金番号の付番機能を剥奪せよ, 追記(6月29日)
■ 年金機構から基礎年金番号の付番機能を剥奪せよ 我が目を疑うニュースが飛び込んできた。 性同一性障害者に年金共通番号 一時ネット閲覧可能に, 共同通信, 2013年5月7日 日本年金機構が、性同一性障害で性別変更した人を判別するため、昨年10月から基礎年金番号10桁のうち前半4桁に共通する固定番号の割り当てを始めていたことが7日、分かった。この4桁の番号が性同一性障害者を示すと明記した機構の内部文書が一時インターネットで確認できる状態だった。 「内部文書が一時インターネットで確認できる状態だった」というのが意味不明だなと思いつつ、Twitterを検索してみたところ、この問題と戦っている方々のツイートと、問題提起のブログが見つかった。 GID(性同一性障害)年金基礎番号 強制付番問題について, URAIKADA | FTMTSのために, 2013年4月19日 急ぎで載せました「GID(性同
高木浩光@自宅の日記 - 武雄市役所が組織ぐるみの著作権無視 以前から常習の疑い
■ 武雄市役所が組織ぐるみの著作権無視 以前から常習の疑い 「共感の魔法」「面白くて癒される」などと、全国各地で絶賛されている武雄市長の講演。その人気の秘訣はベールに包まれ、他に類を見ない講演がどうしてそう易々とできるのかと不思議に思われていたのだが、1月21日に徳島大学で開かれた講演会「徳島ICT研究協議会「市民の知恵で地方の元気を回復!武雄市モデル 地方自治2.0 とは?」」で、地元の人がこれをスネークして告発したことで、その一部始終が暴露された。 2013/01/21 第5回徳島ICT研究協議会 武雄市長樋渡氏講演書き起こし(リンク切れ), sabonya (@emanon34), 2013年1月22日 「2013/01/21 第5回徳島ICT研究協議会 武雄市長樋渡氏講演書き起こし」へのコメント, Togetter, 2013年1月28日 第5回徳島ICT研究協議会の樋渡啓祐氏講演
高木浩光@自宅の日記 - 企業秘密を含み得るメールの件名がNAVERへ送信されている
■ 企業秘密を含み得るメールの件名がNAVERへ送信されている 前回の日記の件、あのようなサービス形態(サービス内容の説明の構造を含む)が偶然に誕生したとは考えにくい*1ことから、現場で早まって安易な(b)の選択をする*2のでなく、元々本来の設計は「モニタ登録」した場合だけ送信するはずのものでなかったのか*3、今一度ちゃんと経営の判断も含めて検討されるよう促せないかと思い、(サポートデスクへの伝言では心許ないので)前回の日記を書いたのであった。 しかし、結局、翌日のサポートデスクからの電話回答は、利用規約の文言を変更するというもの、つまり(b)が選択されたものであった。以下のように、28日の午後*4に「必ずご確認ください」という注意書きが加えられていた。 この対応について、Twitterでは、当該事業者(NHN Japan)の本件当事者と、永久不滅プラス利用者の反応が、それぞれ以下のように
高木浩光@自宅の日記 - 日本フェイスブック学会総会1118聖誕祭
■ 日本フェイスブック学会総会1118聖誕祭 前回の日記に学会長から答礼を頂いた。 条例解釈と図書館カード全体の運用の在り方について根本的に間違っている。 RT @methane @hiwa1118 高木さんの指摘はとてもわかり易いと思うのですが、どの点の理論展開が不明なんでしょう?結局、武(cont) tl.gd/j03spd — 武雄市長 日本ツイッター学会長 樋渡啓祐さん (@hiwa1118) 8月 23, 2012 高木浩光先生、やっぱり間違っています。もっと勉強してください。, 武雄市長物語, 2012年8月23日 あの高木浩光先生が、不思議なことに、「武雄市個人情報保護条例はやはり欠陥だった」と、ブログを書いておられる。 その中に、 「そらみろ、条例でちゃんと明文化しないからこういうことになる。」 と言われても、どういう論理展開であるか不明だが、以前に指摘したとおり、括弧書き
高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」
■ Tポイント曰く「あらかじめご了承ください」 「Tポイントツールバー」なるものが登場し、8月8日ごろからぽつぽつと話題となり、13日には以下のように評されるに至った。 Tポイントツールバー(by CCCとオプト)が悪質すぎてむしろ爽快, やまもといちろうBLOG, 2012年8月13日 その13日の午後、一旦メンテナンス中の画面となり、夕方には新バージョン(1.0.1.0)がリリースされたのだが、15日には、「Tポイントツールバーに関する重要なお知らせ」が発表されて、「8月下旬」まで中止となった。非難の嵐が吹き荒れる中で堂々と新バージョンを出してきたにもかかわらず、なぜすぐに中止することになったのかは不明である。 この「Tポイントツールバー」とはいかなるものか。以下の通り検討する。 騙す気満々の誘導 刑法の不正指令電磁的記録供用罪(第168条の2第2項)は、「人が電子計算機を使用するに際
高木浩光@自宅の日記 - 追跡されない自由を奪う技術を肯定的に捉えた珍しい学術論文の例
■ 追跡されない自由を奪う技術を肯定的に捉えた珍しい学術論文の例 行動ターゲティング広告がオプトアウト方式で概ね許容されてきたのにはいくつかの理由がある*1が、その一つは、cookieはいつでも消去することができ、閲覧者側で追跡から逃れることができるからというものであった。実際、行動ターゲティング広告を展開している事業者は、そのようなエクスキューズ*2をしていることが多い。 しかし、cookieを消しても、ブラウザの特徴的な挙動、たとえば、User-Agentが特殊なものであったり、利用しているプラグインのリストなどから、ある程度の確率で閲覧者を追跡できてしまうことが、研究成果として発表された例がある。 Peter Eckersley (Electronic Frontier Foundation), How Unique Is Your Web Browser?, Proceedings
高木浩光@自宅の日記 - 流出パスワードの紹介は改正不正アクセス禁止法第5条に注意
■ 流出パスワードの紹介は改正不正アクセス禁止法第5条に注意 20日ほど前のこと、Twitterのものらしきパスワードが5万5千件ほど流出したそうだということで、「自分のものが含まれていないか確認しよう」という呼びかけが、Twitterやまとめサイトで展開されていた。この呼びかけは、「自分のメールアドレスとIDを調べることで、流出リストに自分が含まれているかどうか確認できます」として、晒されたID・パスワードのリストを紹介し、見てみることを奨めるものであった。このような行為は、5月1日に施行された改正不正アクセス禁止法の第5条に違反する虞れがあるので注意が必要である。 不正アクセス禁止法は、今年3月に国会で改正案が成立し、5月1日から改正法が施行されている*1。他人の識別符号を提供する行為は、「不正アクセス行為を助長する行為の禁止」として改正前では4条に規定されていたが、これが5条に移され
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
高木浩光@自宅の日記 - 携帯電話販売店が本人同意を亡きものにする, 追記(21日)