高木浩光@自宅の日記 - 個人情報取扱事業者の個人情報に係る義務の対象は当該個人情報データベース等に係る個人情報と解される
まず、平成27年改正と令和2年改正で、「〇〇情報取扱事業者」という用語が増えた。全部で4つになった。これが令和3年改正で、用語定義が一箇所に集められ、見通しが良くなった。そこを抜粋すると以下である。 (定義) 第16条 この章及び第8章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(……)をいう。 一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの 二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの 2 この章及び第6章から第8章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。 (略) 5 この章、第6章及び第7章において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情
高木浩光@自宅の日記 - テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた
■ テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた 先週から、「ドコモ口座不正引き出し事件」の原因として、被害の発生した銀行が4桁数字の暗証番号で認証処理していたことが取りざたされており、リバースブルートフォース攻撃の手口が暗証番号特定の手段として使われた可能性について、テレビのワイドショーでも扱われるなど、世間での認知がかつてなく高まっている。 そこで、この機会に、昔から存在していたテレフォンバンキングの危険性について、銀行側に抗議すれば今ならご理解いただけるのではないかと考えた。この問題は十数年前にも銀行側に伝えているが、サービスを止めるわけにもいかないし、電話経由での自動処理による攻撃は考えにくいと当時は考えられたのか、対処されることはなかった。2020年の今日、電話経由のサイバー攻撃は技術面で十分に容易に可能となっていると考えられ
高木浩光@自宅の日記 - リーチサイト規制の条文にも欠陥 ダウンロード違法化等著作権法改正法案原案
■ リーチサイト規制の条文にも欠陥 ダウンロード違法化等著作権法改正法案原案 ダウンロード違法化対象範囲拡大の論点 著作権法の改正案が国会に提出されようとしているが、そのうち「ダウンロード違法化の対象範囲の拡大」の部分を巡って混乱が続いている。 画像や文書も…ダウンロード違法化、対象拡大?, 読売新聞, 2019年1月23日 静止画ダウンロード違法化案「目的を見失っている」──情報法制研究所、懸念と改善案を提言, ITmedia NEWS, 2019年2月8日 「意味のない法改正」「イラスト界が壊滅する」 違法ダウンロード対象拡大で漫画家らが“反対集会”, ITmedia NEWS, 2019年2月8日 法学者ら84人「ダウンロード違法化」に緊急声明 「海賊版対策に必要な範囲に限定せよ」, ITmedia NEWS, 2019年2月19日 DL違法化「必要な議論尽くされた」「バランスの取れ
高木浩光@自宅の日記 - 個人情報保護委員会ゥァア゛ーッ ドガシャア
しかも、取得主体が個人情報保護委員会であるなら、.go.jp(政府ドメイン名)に置かないと、「政府機関の情報セキュリティ対策のための統一基準」の遵守事項(6.3.2(1))違反だよ。何回言ったらわかるの? たかがドメイン名(笑)とバカにしてるんだろうが、政府ドメイン名の使用については、どういう風の吹き回しか知らない*3が、国会でも質問主意書が出る(「政府ドメインの統一に関する質問主意書」2018年1月25日提出, 衆議院質問答弁経過情報)くらい国会議員に注目されてる*4んだぞ。「閲覧者が偽サイトを政府の真正サイトと誤信し個人情報をだまし取られる「フィッシング詐欺」などの被害について早急な対応が必要と考えるが」とか言われてるんだぞ。 国会で吊し上げられることになってももう知らんぞ。 大事な原稿も落としたことだしもうぶっちゃけて言っちゃえば、事務局長に嫌われると「あいつらの話を聞くな」とか言わ
高木浩光@自宅の日記 - CCCはお気の毒と言わざるをえない
■ CCCはお気の毒と言わざるをえない 驚きのニュースが舞い込んできた。CCCがプライバシーマーク(Pマーク)を返上したというのである。日経コンピュータの取材によれば、CCC社の「管理本部法務部リーダー」と、「経営戦略本部リスク・コンプライアンス統括部情報管理Leader」と、「経営戦略本部法務部会員基盤Leader」の3氏もそろってこれを認めているという。 CCC(ツタヤ)がプライバシーマーク返上で日本中のプライバシーフリークが騒然の事態(山本一郎) - Y!ニュース https://t.co/BKKhMTRyqX — やまもといちろう (@kirik) 2015, 11月 19 書きました。後編は来週掲載です。/ なぜCCCはプライバシーマークを返上し、T会員規約を改訂したのか(前編) https://t.co/mJFLHTEnvK — Naoki Asakawa / 浅川直輝 (@n
高木浩光@自宅の日記 - JPRSに対する都道府県型JPドメイン名新設に係る公開質問
■ JPRSに対する都道府県型JPドメイン名新設に係る公開質問 JPRSから以下のプレスリリースが出ていた。 「JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定」, 株式会社日本レジストリサービス, 2011年9月26日 内容を見て仰天。都道府県ドメインに第3レベルでの登録を認める「都道府県型JPドメイン名」を新設するという。そこで以下の公開質問状を送った。 株式会社日本レジストリサービス御中 都道府県型JPドメイン名新設に係る公開質問 東京都〓〓区〓〓〓〓〓 高木 浩光 2011年9月27日 貴社2011年9月26日報道発表の「JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定」について、Webのセキュリティ及び可用性の観点から、公共の利益に影響を及ぼす懸念があると思料するため、貴社に対し、以下の通り、公開を前提と
高木浩光@自宅の日記 - 武雄市役所が組織ぐるみの著作権無視 以前から常習の疑い
■ 武雄市役所が組織ぐるみの著作権無視 以前から常習の疑い 「共感の魔法」「面白くて癒される」などと、全国各地で絶賛されている武雄市長の講演。その人気の秘訣はベールに包まれ、他に類を見ない講演がどうしてそう易々とできるのかと不思議に思われていたのだが、1月21日に徳島大学で開かれた講演会「徳島ICT研究協議会「市民の知恵で地方の元気を回復!武雄市モデル 地方自治2.0 とは?」」で、地元の人がこれをスネークして告発したことで、その一部始終が暴露された。 2013/01/21 第5回徳島ICT研究協議会 武雄市長樋渡氏講演書き起こし(リンク切れ), sabonya (@emanon34), 2013年1月22日 「2013/01/21 第5回徳島ICT研究協議会 武雄市長樋渡氏講演書き起こし」へのコメント, Togetter, 2013年1月28日 第5回徳島ICT研究協議会の樋渡啓祐氏講演
高木浩光@自宅の日記 - Tポイントは本当は何をやっているのか
■ Tポイントは本当は何をやっているのか Tポイントが実際のところ何をやっているのかは、以前から確認する必要があると考えていたのだが*1、その加盟店に公共図書館をを加えるという話が出てきて*2、いよいよ待ったなしの段階に入ったと思い、5月から6月にかけて「Tカードサポートセンター」に問い合わせて確認していた。 最初に問い合わせたのは5月8日で、「T会員規約にはこう書かれているが実際には何をやっているのか」と素朴に尋ねたところ、電話に出たオペレータからは、「ファミリーマートを利用した会員にガストでクーポンを出したり、ガストを利用した会員にファミリーマートでクーポンを出したりしている」という趣旨の説明があった。このオペレータは、このようなクーポン発行に、商品名レベルの購入履歴は使用しておらず、ファミリーマートの利用の有無(店舗レベル)に基づいてクーポンを発行しているという認識のようだった。 そ
高木浩光@自宅の日記 - 「個人情報」定義の弊害、とうとう地方公共団体にまで
■ 「個人情報」定義の弊害、とうとう地方公共団体にまで 現行個人情報保護法の「個人情報」の定義に不備があることを、これまでずっと書き続けてきた。「どの個人かが(住所氏名等により)特定されてさえいなければ個人情報ではない」(のだから何をやってもよい)とする考え方がまかり通ってしまいかねないという危機についてだ。 2003年からはRFIDタグ、2008年からはケータイIDによる名寄せの問題を中心に訴えてきたが、当時、新聞記者から説明を求められるたび、最後には「被害は出ているのでしょうか」と、問われたものだった。当時は悪用事例(不適切な事例)が見つかっておらず(表沙汰になるものがなく)、これが問題であるという認識は記者の胸中にまでしか届かなかった。 それが、昨年夏から急展開。スマホアプリの端末IDを用いた不適切事案が続々と出現し、それぞれそれがなぜ一線を越えているか説明に追われる日々になった。ス
高木浩光@自宅の日記 - ローソンと付き合うには友達を捨てる覚悟が必要
■ ローソンと付き合うには友達を捨てる覚悟が必要 当初3月末開始とされていた「LAWSON Wi-Fi」が、なぜか「当初の計画より事前テストに時間を要したため」として、遅れて4月6日から開始されたのだが、早速Twitterでこんな指摘が出ていた。 少なくともこういうのを「ログイン」と呼ぶのはやめて頂きたい。金融機関などでは、暗証番号に電話番号や誕生日を使うのをやめるよう利用者を啓発する活動にコストをかけてきたが、そうした労力を台無しにする。ローソンとしては、無料の無線LANを使わせるくらい、本人確認が甘くても自社の問題だから許されると思っているのだろうが、こういうやり方が社会に悪弊をもたらすことに気付いていないのか。 今回は、前回の日記で取り上げた「PASMOマイページ」の問題とは違って、「ログイン」で電話番号と誕生日を使用している。一般に、不正アクセス禁止法では、このような、IDと電話番
高木浩光@自宅の日記 - ミログ第三者委員会の「提言」を許してはならない
■ ミログ第三者委員会の「提言」を許してはならない 10月10日の日記「スパイウェア「app.tv」に係るミログ社の大嘘」の件、ミログ社から「第三者委員会報告書」(以下「報告書」という。)が開示された。 第三者調査委員会の調査結果に関するお知らせ, 株式会社ミログ, 2011年12月16日 100ページにも及ぶこの報告書の内容は、「app.tv」と「AppLog」について事実関係を明らかにした上で、いずれも違法行為ではなかったとする結論を導くものであり、加えて、冒頭で、「ユーザーからの同意取得に関する提言」として、一般論を社会に向けて提案するものとなっている。 報告書には次の2つの重大な問題がある。 app.tvの不正指令電磁的記録該当性の検討で肝心の点がすっ飛ばされている。 「ユーザーからの同意取得に関する提言」は到底受け入れられるものではない。 以下、これらを順に明らかにする。 app
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
