誤解されているようなので

先日のネットバンクの打ち合わせで「知らない」発言や「対策しない」
発言を繰り返していたのは、開発側の人であり、銀行側の人では、
ありません。
ただ、開発側の仕様を鵜呑みにして、採用した銀行ってのが有るってのは
事実ですが。
それに、あの開発業者、平行して数行の開発をしていたらしいから、、、
同じ仕様の銀行が、いくつか有るって事なんでしょうね。

そう言う認識ですか・・・

先日、近畿地方の大学に通う知人に、「登録した覚えのない会社から
IDとパスワードが、ハガキに印刷されて、やってきた件」を少し書いた。
その会社からの見解がメールで送られてきたというので、掲載許可を
得たため、会社名や個人を特定できる情報をつぶして公開します。

Subject: ID・パスワード表記のダイレクトメールに関する件

      • -

                            平成16年8月18日

○○○様
                         
                         株式会社○○ 業務部
                       マネージャー ○○ ○○


    ID・パスワード表記のダイレクトメールに関する件

はじめまして。私は株式会社○○の個人情報管理部署である、業務部のマネー
ジャー ○○ ○○です。

さて、過日、○○○○様のダイレクトメールに関するお問い合わせを頂戴いた
しました。おっしゃる通り、今回のダイレクトメールではID・パスワードと
して記載された部分は、だれもが閲覧できる状態で発送いたしております。
これにより、住所・氏名以外の情報に対しても、同様に閲覧できる状態ではな
いかという不信感をお持ちになられてしまったかと存じます。

確かにID・パスワードという表現をしておりますので、これを知り得た第三
者が○○○様のさまざまな情報に接触できるとお感じになられたかと存じます
が、このID・パスワードを使用しての操作においてそのような個人情報を閲
覧したり引き出すなどの行為は一切できない状態で運用しております。ID・
パスワードで閲覧できるのは○○○○様のセミナーの案内であり、そのエント
リー画面です。弊社が管理する、個人情報とは切り離した状態での運用ですの
で是非ともご安心いただきますようお願い申し上げます。

なお、弊社が別管理にて運用する学生様のデータにおいては、大学、学部、学
科、e-mailアドレス、住所、電話番号等を収録しておりますが、セミナーへの
申込者以外の情報が外部へ渡ることは一切ありません。

しかしながら、今後の就職情報提供におきましては、今回のご指摘を真摯に受
け止め、学生のみなさんに不信感・不安感をもたれないよう改善に努めて参り
ます。
弊社はプライバシーマークを1998年に就職情報誌業界でいち早く取得し現在に
至っております。是非ともご安心ください。

末筆ながら○○○様の今後のご活躍をお祈り申し上げます。

また、後ほどお電話させていただきますのでよろしくお願いいたします。

                                 以上

Pマークを取得しても、このレベルかぁ・・・。
確かに、個人情報はこのIDとパスワードから漏れないのかもしれない。
だけど、第3者が、勝手に登録してしまう危険性とか、考えなかった
のかな?
それよりも、勝手に個人情報が登録されていることについて、一切
触れられてないんですけど・・・・。

そう言う認識ですか・・・ その2

上記のメールにある会社にアクセスしてみました。
ふむふむ。すべての入力部分でSSL処理がされていません。
これって、Pマークの再審査時に於ける、指摘事項だと思うんですが、
この会社さん、本当にPマーク取られてるんですかねぇ?
あ、でも、98年って事は、まだ「あまあま」で書類審査しかやって
いなくて、今のような「実業務」と照らし合わせた審査をしていなかった
頃でしょうから、通っていても不思議ではないですね。
ちょっと調べたところ、今年の10月に再審査だそうですが、そのとき、
指摘されまくったり、失格にならないよう、今のうちに修正した方が、
良いと思いますよ。

ほぉ・・・・

コンサルする側も、こんな感じですか・・・。
http://www.kojinjoho.com/contact/index.html
問い合わせに、SSL掛かってないんですけど、、、、
それでも、
http://www.kojinjoho.com/statement/index.html
には、

個人情報への不正アクセス、個人情報の紛失、破壊、改ざんおよび漏洩を防止する為に、SSLと呼ばれる特殊暗号通信技術の使用

ってあるんですよね・・・。
さくっと調べてみたら、このサイトって、どこかのホスティングらしく、
SSL処理を強引にやらせると、404 not foundってなるんですよね。
いやぁ、どこがどのように「SSLと呼ばれる特殊暗号通信技術の使用」
なのか、明確に教えて欲しいですよね。

ほぉ その2

当社セキュリティーチームがハードウェア及びソフトウェアの選定を通じて合理的な安全対策を行うと共に、定期的な見直しを行います

って書いてありますけど、このサーバって、第3者の提供する、
ホスティングですけど、「当社セキュリティチーム」って、第三者
システムに対しても、介入できるすばらしいチームなんですね。
その状態で、上の様な状況ってのは、、、、少しずさんすぎませんか?

ふーん

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040818/148719/

このダイレクトメール発送用のデータベースには47万7959人分の顧客情報が含まれていたため、同社は最大47万7959人分の顧客情報が流出した可能性があるとしている。含まれている情報は、氏名、性別、生年月日、郵便番号、住所、電話番号のほか、カード番号、利用金額なども含まれている可能性があるという。ただし、カードの有効期限は含まれていない。

この「カードの有効期限は含まれていない」ってのは、あんまりアテに
出来ませんねぇ・・・・。
だって、有効期限が解らない場合、「明日以降の日付」を入力すると、
すんなりと、通ってしまうわけで・・・。
もし、被害が出た場合、きちんと補償してくれるのかな?