高木浩光@自宅の日記 - 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか
■ 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか 残念なニュースが入ってきた。 都税のサイトに不正アクセス 67万件余の個人情報流出か, NHKニュース, 2017年3月10日 このサイトについては、今年の正月早々に以下の件で話題になっていた。 「国税クレジットカードお支払サイト」は誰が運営するサイトなのか, togetterまとめ, 2017年1月5日 このとき、タイトルには「国税……」とあるが、「国税クレジットカードお支払サイト」と「都税クレジットカードお支払サイト」の両方を話題にしていた。 これは、GMOペイメントゲートウェイ株式会社とトヨタファイナンス株式会社が組んで、東京都への都税の納税代行と、国税庁への国税の納税代行をする「クレジットカードお支払いサイト」を運営している*1のだが、サイトの画面構成からして、誰が運営主体なのか不明だということが問題となっていた
高木浩光@自宅の日記 - 緊急起稿 パーソナルデータ保護法制の行方 その1
■ 緊急起稿 パーソナルデータ保護法制の行方 その1 昨年7月からブログには書かないことにしていた*1が、緊急事態であるので、政府のパーソナルデータ保護法制(個人情報保護法改正)の議論の状況についてに書いておきたい。本当は論文や講演の形で示していくつもりだったが、それでは間に合わない状況が発生中であるので、周知の目的で取り急ぎかいつまんで書く。副政府CIOの向井治紀内閣審議官とお話ししたところ、「ブログに書いたらエエやないですか。どんどん書いてください。」とのことであったので、それ自体書くことを含めて許可を得たところで書くものである。 先週、IT総合戦略本部の「パーソナルデータに関する検討会」の第7回会合が開かれ、「定義と義務」についての事務局案が示された。資料が公開されている。事務局案は、これまでの「個人情報」についての定義と義務は変更しないものとし、新たに「準個人情報」と「個人特定性低
高木浩光@自宅の日記 - 目次を作成した
データプライバシー パーソナルデータ RFID(ICタグ/Wi-Fi/Bluetooth) 契約者・端末固有ID(ケータイID) IPv6 ストリートビュー Webビーコン スパイソフト プライバシーポリシー 行動ターゲティング 情報セキュリティ UDID/かんたんログイン Phishing(フィッシング詐欺) PKI(オレオレ証明書) SSL/HTTPS 電子政府 愚かな設定指示 脆弱性対応 サニタイジング Webセキュリティ ICカード(Edy/Suica/PASMO) ドメイン名 CAPTCHA FUD その他のセキュリティ 刑事刑法/行政刑法 不正指令電磁的記録に関する罪 岡崎図書館事件 不正アクセス禁止法 Winny 単純所持罪 通信の秘密 誤認逮捕 話題対象別 携帯電話 無線LAN Tポイント グーグル アマゾン ウイルスバスター プレイステーション 武雄市 はてな その他 無
高木浩光@自宅の日記 - 動機が善だからと説明なく埋め込まれていくスパイコード
■ 動機が善だからと説明なく埋め込まれていくスパイコード 5月にこのニュースを見たとき、嫌な予感がしていた。 父娘遭難、携帯の位置情報得られず 消防への提供ルール化 北海道地吹雪, 朝日新聞, 2013年5月22日 北海道湧別町を襲った3月の地吹雪の中で父親が娘を抱いたまま亡くなった事故で、消防が父親の携帯電話の位置情報を携帯電話会社から得ようとしたが得られず、父娘の捜索を中断していたことが分かった。総務省は情報提供のしくみが整っていなかったことが原因とみて、位置情報をすみやかに伝えるルールを作り、全国の消防本部と携帯各社に通知した。 ルールを整備するのはよいことだが、この記事は、基地局レベルの位置情報ではなく、GPSレベルの位置情報を用いて救助しようという話になっていて、そもそも、キャリア(携帯電話事業者)に頼んだところで、どうやって端末のGPS位置情報が得られるの?という疑問を持った。
高木浩光@自宅の日記 - 年金機構から基礎年金番号の付番機能を剥奪せよ, 追記(6月29日)
■ 年金機構から基礎年金番号の付番機能を剥奪せよ 我が目を疑うニュースが飛び込んできた。 性同一性障害者に年金共通番号 一時ネット閲覧可能に, 共同通信, 2013年5月7日 日本年金機構が、性同一性障害で性別変更した人を判別するため、昨年10月から基礎年金番号10桁のうち前半4桁に共通する固定番号の割り当てを始めていたことが7日、分かった。この4桁の番号が性同一性障害者を示すと明記した機構の内部文書が一時インターネットで確認できる状態だった。 「内部文書が一時インターネットで確認できる状態だった」というのが意味不明だなと思いつつ、Twitterを検索してみたところ、この問題と戦っている方々のツイートと、問題提起のブログが見つかった。 GID(性同一性障害)年金基礎番号 強制付番問題について, URAIKADA | FTMTSのために, 2013年4月19日 急ぎで載せました「GID(性同
高木浩光@自宅の日記 - 空前の武雄市TSUTAYAドヤリングで住所・氏名・電話番号漏洩の危機, 追記(4月1日)訂正あり
■ 空前の武雄市TSUTAYAドヤリングで住所・氏名・電話番号漏洩の危機 まもなく武雄市に2軒目のTSUTAYAが開業するということで、昨日から一般市民に先んじて内覧会に招集された市長のお友だちらから続々と喜びの声があっている。また、会員登録の事前登録が始まっているため、入手したTポイントカードの写真を撮ってツイートする人が次々と現れている。 カード作ってみた #osoreiri #武雄市 @ 武雄市立図書館 instagram.com/p/XbaH0pkQSn/ — 末広栄二さん (@e_suehiro) 2013年3月29日 武雄市のTカードに更新してきたーーー(^ー^) レンタル無料券とスタバの無料券もらったー(^ー^) twitter.com/kpnnnnu/status… — KPさん (@kpnnnnu) 2013年3月29日 このように、Tポイントカードの番号(Tカード番号)
高木浩光@自宅の日記 - 岡崎図書館事件から3年 〜 もう一つの誤認逮捕事件, 吹田市立図書館でサイバー攻撃騒ぎ、岡崎の教訓は活きていたか? 岡崎図書館..
■ 岡崎図書館事件から3年 〜 もう一つの誤認逮捕事件 一昨々日、去年の遠隔操作事件への対応で、 全署でサイバー教育へ…警視庁、誤認逮捕防止で, 読売新聞, 2013年3月13日 全警察署員に「サイバー講習」 警視庁、捜査能力向上狙う, 日本経済新聞, 2013年3月13日 という記事が出たところだが、今、日本のサイバー犯罪史上象徴的なもう一つの誤認逮捕事件、「岡崎図書館事件」から、3年が経とうとしている。図書館が最初に「ホームページにつながらない」との苦情電話を受け、担当者が三菱電機ISに対応策を尋ねたのが、3年前の今日、3月16日であった。 遠隔操作事件では犯人の取り違えであったのに対し、岡崎図書館事件は、犯罪でない行為を犯罪とみなしたと言うべき誤認逮捕であった。両者に共通するのは、捜査員や検察官の情報技術についての常識感の欠如であり、実際、振り返ってみると、どちらの事件でも、逮捕が報
高木浩光@自宅の日記 - 遠隔操作ウイルス事件での冤罪・誤認逮捕を警察自身が問題点検証した報告書, 追記(24日)
■ 遠隔操作ウイルス事件での冤罪・誤認逮捕を警察自身が問題点検証した報告書 遠隔操作ウイルス事件において、冤罪や誤認逮捕を生み出したことについて、警視庁、神奈川県警、大阪府警、三重県警は、それぞれ、自らの捜査の経緯を検証し、報告書をWebサイト上で公表した。いずれも2012年12月14日に同時発表されている。しかし、半月あまりでこれらのいずれの報告書もWebサイトでの掲示が取りやめられていたことが発覚した。 【遠隔操作】誤認逮捕の報告書、警視庁と神奈川県警が公開から1ヵ月もしない内に削除, 2013年1月10日 私が各警察本部(広報課、広報室)に電話で問い合わせたところ、元々掲載期間を2012年末までとしたものであったため、12月28日や31日に掲載終了したとのことだった。国立国会図書館に納入しているわけでもない様子である*1。 この報告書は、警察の捜査のあり方を研究する上で重要な意義を持
高木浩光@自宅の日記 - クレディセゾンへの信頼、明日、正念場
■ クレディセゾンへの信頼、明日、正念場 クレディセゾンといえば、信頼のおけるクレジットカード会社という印象があり、「永久不滅.com」のサービスが現れたとき(2006年)も、きわどいなあと思いつつも、そういうサービスとわかってて使う人向けの構成になっていたので、まあいいかと思った記憶がある。 しかし、昨年8月の「永久不滅プラス」なるツールバーの出現には気付かなかった。「永久不滅プラス」については、先日、8月18日の日記の中で書いたように、Tポイントツールバーと同様に、閲覧する全てのWebサイトのURLを全部送信するというきわどいもの*1ではあるものの、Tポイントツールバーとは違って、「モニター登録」という追加サービス(毎月100ポイント貰える)の導入を受け入れた人だけに対する機能として説明されているので、欺瞞的要素は見られず、きわどいサービスだけに誠意を尽くしているのだなと思った。 とこ
高木浩光@自宅の日記 - やはり欠陥だった武雄市の個人情報保護条例
■ やはり欠陥だった武雄市の個人情報保護条例 5月8日に「「個人情報」定義の弊害、とうとう地方公共団体にまで」で、以下のように書いた。 対して、地方公共団体ではどうかというと、それぞれの独自の個人情報保護条例に従うことになるわけだが、「個人情報」の定義が自治体によって異なり、大別して3種類存在する*1ことが判明している。 照合可能型 「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。」(千代田区の例) (行政機関個人情報保護法と同等のもの)(多数派) 容易照合型 「生存する個人に関する情報であって、特定の個人が識別され、又は識別され得るもの(他の情報と容易に照合することができ、それにより、特定の個人を識別することができることとなる
高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」
■ Tポイント曰く「あらかじめご了承ください」 「Tポイントツールバー」なるものが登場し、8月8日ごろからぽつぽつと話題となり、13日には以下のように評されるに至った。 Tポイントツールバー(by CCCとオプト)が悪質すぎてむしろ爽快, やまもといちろうBLOG, 2012年8月13日 その13日の午後、一旦メンテナンス中の画面となり、夕方には新バージョン(1.0.1.0)がリリースされたのだが、15日には、「Tポイントツールバーに関する重要なお知らせ」が発表されて、「8月下旬」まで中止となった。非難の嵐が吹き荒れる中で堂々と新バージョンを出してきたにもかかわらず、なぜすぐに中止することになったのかは不明である。 この「Tポイントツールバー」とはいかなるものか。以下の通り検討する。 騙す気満々の誘導 刑法の不正指令電磁的記録供用罪(第168条の2第2項)は、「人が電子計算機を使用するに際
高木浩光@自宅の日記 - 個人情報の地方自治が信用ならないワケ
たしかに私は1年ほど前、三田市役所に電話したことがある。三田市だけでなく他の自治体にも同じ内容で問い合わせをした。それは、以下の報道を受けて、実態がどうなっているのか、自宅研究のため、各自治体に取材を試みたものであった。*1 漏洩元のうち岐阜県飛騨市は、情報が流出した一人一人に事情を説明して謝罪し、記者会見で事実を公表した。 しかし、他の13団体は「不特定多数の目に触れておらず漏洩ではない」(海陽町)、「他自治体からさらに外部へは流出していない」(渋谷区)、「すぐに削除された」(愛知県尾張旭市)などとして具体的な措置はとらなかった。 すべての自治体は独自に個人情報保護条例を持ち、「正当な理由」のない個人情報の提供を禁じる。条例は(略)本人以外から個人情報を得ることを禁じている。総務省は各自治体の判断を尊重するとした上で、「省庁で同じことがあれば漏洩として対処する問題だ」とした。 個人情報の
高木浩光@自宅の日記 - LINEがこの先生きのこるには
■ LINEがこの先生きのこるには 先々週、テレビ東京のワールドビジネスサテライトで、最近流行の「LINE」が特集されていたのだが、経済系の番組であるにも関わらず、「元カレが出て嫌」、「知らない人が出て怖い」という街の声をとって伝え、電話帳アップロードの件にも触れるなど、負の面も扱っていて、とてもよい番組であった。 人気急拡大「LINE」の実力は, ワールドビジネスサテライト, 2012年6月22日 番組を見た後、久しぶりにTwitterを「LINE 知らない人」で検索してみたところ、以前にも増して大量のツイートが出てきたのだが、そのほとんどが、「芸能人のマネージャですが」という詐欺spamが来たという報告であった。ちょうどこのころ、LINEに対して大量のspamが発生していたようだった。そして、LINEの運営元はspam防止に動いたようだった。 @magic_kanata ご報告ありがと
高木浩光@自宅の日記 - カレログ様のものでストーカー行為、不正指令電磁的記録供用罪の適用が現実に
■ カレログ様のものでストーカー行為、不正指令電磁的記録供用罪の適用が現実に 「カレログ*1」がテレビのワイドショーを騒がせていた昨秋、人のスマホに勝手にインストールする行為が、はたして、改正されたばかりの刑法、第168条の2第2項の不正指令電磁的記録供用罪に当たるのか否かが焦点となっていた。理論上の話としては、先日の「法務省担当官にウイルス罪について質問してきたパート2」に書いたように、考え方としては有り得るとのことだったが、6月5日の毎日新聞神奈川版によると、現実に事件となったようだ。 不正指令電磁的記録供用:パソコンの操作記録を自動送信、無断でプログラム入れた容疑で再逮捕, 毎日新聞/神奈川, 2012年6月5日 元交際相手のパソコンにキーボードで打ち込んだ内容を記録して自動送信するプログラムを無断で入れたとして(略)被告(略)=ストーカー規制法違反で起訴=を不正指令電磁的記録供用容
高木浩光@自宅の日記 - ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか
■ ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか SuicaやEdyの登場によって、カードに記載の番号が新たな問題をもたらすであろうことは、8年前に関心を持ち、何度か書いた。 Edyナンバーは易々と他人に知らせてよい番号なのか, 2004年2月29日の日記 Edyナンバーはどのように使われるものか, 2004年7月11日の日記 許諾なしに公表されるEdyナンバーとSuica番号, 2004年7月11日の日記 その後、EdyナンバーやSuicaのIDiは無闇に掲示されることはなくなり、問題は起きなかった。コンビニのam/pmがEdyを用いて独自に展開していた「club ap」でも、利用者登録にはam/pm店舗のレジで印刷してもらう「仮パスワード」を必要とするようになっており、まあ一応ちゃんと設計されていた。*1 ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。
高木浩光@自宅の日記 - spモードはなぜIPアドレスに頼らざるを得なかったか
■ spモードはなぜIPアドレスに頼らざるを得なかったか spモードの事故 NTT docomoのスマホ向け独自サービス「spモード」が、今月20日に大規模な事故を起こして、重大事態となっている。 スマホ向けネット接続が不具合 ドコモ 別人のアドレス表示, MSN産経ニュース, 2011年12月20日 ドコモのspモードで不具合、他人のメールアドレスが設定される恐れ, 日経IT Pro, 2011年12月21日 ドコモの「spモード」でトラブル、関連サービスが一時停止, ケータイ Watch, 2011年12月21日 ドコモ、spモード障害で「ネットワーク基盤高度化対策本部」設置, ケータイ Watch, 2011年12月26日 ドコモ 約1万9000人に影響, NHKニュース, 2011年12月27日 ドコモの“メアド置き換え”不具合、影響数や新事象が明らかに, ケータイ Watch,
高木浩光@自宅の日記 - テレビ録画機「トルネ」の視聴ジャンルが無断公開されている
■ 何が個人情報なのか履き違えている日本 昨日の日記の件、みなさんからの声により、PlayStation 3をテレビ録画機にする製品「トルネ」についても同じ問題があり、どんなジャンルの番組をよく視聴しているかや、視聴時刻までもが公開状態になっていることが判明した。これについては後述する。 それより先に今言いたいのは、こういうことが起きるのは、何が「個人情報」なのかを、日本の事業者や行政がみんな揃って履き違えているためではないかということだ。 今回の件について、ソニーはこう釈明するかもしれない。「オンラインIDは個人情報に該当しない。オンラインIDに氏名などの個人情報を含めないよう登録画面で注意書きしている*1」と。しかしそういう問題でないのは明らかである。 日本の事業者はどこもかしこも、「個人情報」に該当しなければ何をやってもいいという誤った道に進み始めている。そして、日本の個人情報保護法
高木浩光@自宅の日記 - 不正指令電磁的記録罪(コンピュータウイルス罪)の件、何を達成できたか(前編)
■ 不正指令電磁的記録罪(コンピュータウイルス罪)の件、何を達成できたか(前編) 目次 解釈にブレが生じている条文 立法趣旨の理解についてのブレ バグ以外で問題となるケース 正当なプログラムが他者により悪用されるケース バグの件はどうなったか 不真正不作為犯は成立するのか 結局のところ懸念は払拭されたのか はじめに 法務省から「いわゆるコンピュータ・ウイルスに関する罪について」という解説が出た。その趣旨は、冒頭に書かれているように、参議院法務委員会の付帯決議に対応するためのものとされている。 いわゆるコンピュータ・ウイルスに関する罪について, 法務省, 2011年7月13日 「情報処理の高度過当に対処するための刑事法の一部を改正する法律」には,参議院法務委員会において付帯決議が付されており,同法の施行に当たり政府が特段の配慮をすべき事項として,不正指令電磁的記録に関する罪の構成要件の意義を
高木浩光@自宅の日記 - ウイルス罪について法務省へ心からのお願いです
■ ウイルス罪について法務省へ心からのお願いです (時間切れなので完成度がいまいちのまま公開。後で書き直すかも。) ウイルス罪法案の国会答弁でバグ放置が提供罪に該当する事態は「ある」とされた件について、多くの疑問の声があがっている。ただ、その声の多くは、どんなバグでも罪になると誤解している様子がある。議員の質問では「重大なバグ」と、状況を限定して尋ねたものだった点に注意が必要である。「重大なバグ」とは、たとえば、電子計算機が動かなくなってしまうような、そういう破壊的な結果をもたらすものなどを指すのだろう。 そうすると、法務省は今回の不安の声に対応してこう釈明するかもしれない。「どんなバグでも犯罪になるわけではありません。法務大臣の答弁は、重大な結果をもたらす場合について述べたものです。通常のバグであれば、『不正な』に該当しないことから罪には該当しませんので、ご安心ください」と。続く国会の法
高木浩光@自宅の日記 - 「岡崎図書館事件はまだ終わっていない」WEBRONZAに掲載
■ 「岡崎図書館事件はまだ終わっていない」WEBRONZAに掲載 朝日新聞社のWEBRONZA編集部から昨年末にインタビューがあり、岡崎図書館事件について語ったものが記事になりました。 岡崎図書館事件はまだ終わっていない, 朝日新聞社WEBRONZAスペシャル, 2011年1月18日 あいにく後半の5分の3ほどが有料となってしまいました。最安で262円*1で読めるようです。後半の内容がどんなものになっているか、ハイライトシーンをごく一部だけ引用しておくとこんな感じです。 ◇閲覧障害はなぜ起きたか◇ (略)これが、三菱電機ISの図書館システムの構造では、同一人物からの1千回のアクセスが「1千人からの別々のアクセス」として処理されてしまって、障害が起きたわけです。つまり、利用者数が実際の1千倍に見えたということです。(略) ――しかし、愛知県警は前出のように「それまで正常に動いていたのが,一部
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
