プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2009年06月

rakuten_yomiuri情報サイト「Gigazine」の「楽天、利用者のメールアドレスを含む個人情報を1件10円でダウンロード販売」との報道を後追いする形で、読売新聞が6月5日付で「楽天、出店企業に顧客情報…中止表明後も1件10円で」と報じ、楽天側が「消費者の不安を煽るようなミスリーディングな記事」と反論しています。

(私のコメント)
論点を整理したいと思います。

今回、報道で問題視されているのは、楽天で購入したお客様の
・メールアドレス
・クレジットカード情報
が、加盟店に提供されているということです。

さらに問題を細分化すると、こうなります。
(1)メールアドレスに関しては、楽天が2005年8月3日に正式文書で「今後、店舗側では見られなくなります」と書いているにも関わらず、それは全く実行されていない。
(2)クレジットカード情報に関しては、楽天が2005年8月3日に正式文書で「今後、店舗側では見られなくなります」と書いたが、上新電機をはじめとする一部の大手加盟店に関しては、実行されていない。
(3)その一部大手加盟店が使用するシステムを利用した場合には、楽天は1件10円のシステム利用料を徴収していた。
ということです。

「Gigazine」ならびに読売新聞での報道においては、上記の(1)(2)(3)が渾然一体となり問題だとされています。

しかし、私は、(2)と(3)は、問題性は小さいと考えます。いくらセキュリティ対策だからといって、カード決済を全て楽天を通すように一元化することは、加盟店の大きな反発を招くものと思われます。本来、各加盟店は独自にカード会社と取引し、手数料の料率を交渉する権利を持っているわけですから、特に大手の場合は、そんなことをされたら楽天市場から撤退するというような事態もありえたと思います。そこで、楽天が一部の大手加盟店に対して、クレジットカードの情報を提供したことは理解できます。それなりの告知もされているようです。また、システム利用料を取るかどうかは会社同志の交渉ごとですから、それも特に問題ではないと思います。

私は、(1)が一番大きな問題だと思います。

何しろ、楽天は、2005年8月3日付け正式文書で下記のように書いているのです。

3.新顧客情報管理体制の導入について
この新顧客情報管理体制の導入により、今後、楽天市場での取引に係る個人情報のうち、クレジットカード番号、メールアドレスが店舗側では見られなくなります。(PDFファイルが開きます)


しかし、これは全く実行されていません。

楽天で買い物をすれば分かりますが、買い物をすると、お店のメールアドレスから「ありがとうございました」というメールが直接届きます。これは、すなわち「加盟店はメールアドレスが見れる」ということを示しています。ですから、楽天の2005年8月3日付け正式文書は、全く実行されていないのです。私が問題だと思うのはここだけです。

これは、楽天の勇み足だったのかもしれません。ちょうど、この文書は加盟店からの個人情報流出事件が発生した後に出されたものです。楽天としては毅然とした対応を公表することで自社の信頼を維持し、一方では加盟店に対してはカード情報もメールアドレスも渡さないようにすることで、ある意味での締め付けをしようとした。しかし、加盟店の反発が大きく完全には実施できなかった。そういうことなのかもしれません。であれば、その旨、きちんと説明すればいいのではないでしょうか。それを、論点をはぐらかして、(2)(3)は問題ないんだと強弁したり、「Gigazine」ならびに読売新聞(特に読売の場合は記者を名指しにしています)を非難するような広報の態度は、いかがなものかと思います。

私は、楽天市場がメールアドレスを店舗に提供すること自体を問題視しているわけではありません。個人情報保護法的にも特に問題はないと思います。私は、単に、楽天がやるといったことをやっていないことだけを問題視しています。

http://www.yomiuri.co.jp/national/news/20090605-OYT1T00623.htm?from=navr
http://www.rakuten.co.jp/help/whatsnew/

sans_fv
本日、米国のセキュリティ専門の研究機関「SANS Institute(本部:米国メリーランド州)」が主催するイベント「SANS Future Visions 2009 Tokyo」の参加受付が始まりました。

このイベントは、
・立派な会場で開催されて、
・最高水準の講師がレクチャーしてくれて、
・日本語への同時通訳がついて、
しかも「無料」なんです!!

私は、毎年通っております。

もちろん、内容的には情報セキュリティの最新動向ですので、かなり専門的な内容です。しかし、「ハッカーの攻撃パターンはどのように変化しているのか」とか、「PCI DSSは何を考えて実施されるのか」といったような内容に関して興味をお持ちの方でしたら、十分参加する価値があると思います。

特に、毎年、基調講演を務めていただける、SANS創設者のアラン・パーラー氏のお話は、大変分かりやすいものになっていますので、オススメです!毎年、最新のハッカーの動向の話をしていただけるので、毎年参加する価値があります。

また、今回は、初日の2番目の基調講演ではVISAの井原氏がPCI DSSの話をしてくれますので、これも期待できますね!

※私は初日に行こうとしているのですが、当日、弊社主催のプライバシーマークセミナーがあるので、午後は参加できず、残念!なんとか午前と夕方の部には参加したいと思います。

http://www.entryweb.jp/sans/fv09/index.html

以前の「SANS Future Visions」に関する記事

aaba450b.jpg
情報セキュリティEXPOにブースを出展していた、中国NSFOCUS社の国内での代理店をされている株式会社インテカー(東京都千代田区)の栗原さんと井上さんに、先日、NSFOCUS社のサービスの内容や今後の計画について、お話をお伺いしましたので、本Blogでご紹介いたします。

NSFOCUS社は、中国北京に本社を置くネットワークセキュリティの専門会社で、社員600名に上るそうです。日本で言えば、株式会社ラック(東京都港区)と同じような位置づけの会社と言えると思います。中国国内では、業界最大手として認知されており、政府・通信・金融・電力・メディアなどをはじめとする数多くの大手クライアントを擁しているとのことです。最近では北京五輪の際のネットワークテロ対策を一手に引き受け、会期中テロの被害が出ないように抑えきったとの事で、同社の技術力の高さが証明された事例とされています。

日本で発生するセキュリティ関係の事件の多くは、中国からの攻撃によるものですよね。しかし、日本に飛んできているのはあくまでこぼれ弾のようなものであり、中国の国内ではもっと多くの事件が発生しているのだそうです。

すなわち、中国の方が、日本にいるよりも、最新の攻撃事例などを知ることが出来るということのようです。

そのNSFOCUS社が、今回の日本進出にあたり、日本に専用のSOC(セキュリティオペレーションセンター)を立ち上げ、中国の本部と連携しながら、24時間体制のネットワークセキュリティの監視体制を提供するということです。これはなかなか魅力的な話ですよね?

同社としては、
1)Webサーバーを持っている企業に対して外部からの攻撃における脆弱性がないかどうか診断する「Web脆弱性診断サービス」
2)社内に存在する全てのネットワーク機器に関して、危険なソフトウェアが起動されいないかなどの脆弱性を診断する「プラットフォーム診断サービス」
をまずは国内企業に提供していく方針のようです。

これで、まずは市場を切り開いていって、その後にはSOCのサービスを国内でも大規模に提供していきたいということのようです。

同社の今後に期待したいと思います。

http://www.nsfocus.jp/jp/

scsa_sampleネットエージェント(東京都墨田区)は、6月2日付で、個人のパソコンでWinnyなどのファイル共有ソフトを使用していないことを確認して証明書を発行するプログラム「P2Pファイル共有ソフト検査証明ソフトウェア」を教育機関向けに発売すると発表した。

これは、CD-ROMで提供される製品で、単にパソコン内のファイルを調査してWinnyやShareなど著名なファイル共有ソフトウェアを利用した痕跡がないかどうかを確認し、それが見つかった場合には警告を出し、OKの場合には証明書を出すというものです。

面白いのは、これを就職対策に頭を悩ませている教育機関向けに発売するとしていることです。大学を始めとする教育機関としては「うちの生徒はWinnyなどを使用していないので、大丈夫ですよ」と企業向けにアピールできるというメリットがあり、このニーズに焦点を絞ったマーケティング戦略のようです。

価格は、最小構成(100ライセンス)で14万1750円とのことです。

(私のコメント)
セキュリティ機器の業界では、ここまで明確に絞り込まれたマーケティング戦略はあまり見たことがありませんので、ネットエージェントさんなかなかやるなあと思いました。

http://www.netagent.co.jp/scsa.html

giga_raku情報サイト「Gigazine」が、楽天市場の中の加盟店で買い物をした顧客のメールアドレスに対して楽天市場ならびにその加盟店とは無関係の業者からの迷惑メールが届いた件に関連して、5月27日付で「楽天、利用者のメールアドレスを含む個人情報を1件10円でダウンロード販売」と報じたことに対して、楽天側が「全くの事実誤認」と反論し、全面対決の様相を示しています。

Gigazineの指摘は実際に迷惑メールを受け取った個人、ならびに楽天市場に出店している加盟店からの情報に基づいており、ある程度信憑性が高いと思われます。

詳しくは両者の発信している情報を見てください。

(私のコメント)
私がひと通り見て感じたことは、
・楽天市場は2005年7月の個人情報流出事件の後の対策で「顧客のクレジットカード情報とメールアドレスは加盟店に渡さないようにする」と発表しているが、実際にはそれは実施されていない。
ということですね。個人情報保護法的に問題があるということは今のところなさそうですが、上記は言えると思います。

楽天は、既に社会的に大きな存在になっていますので、対外的に発表したことは実行する、問題点を指摘されれば真摯に対応する、ということを実行していただきたいと思います。

http://gigazine.net/index.php?/news/comments/20090527_rakuten_spam/
http://gigazine.net/index.php?/news/comments/20090527_rakuten_csv/http://gigazine.net/index.php?/news/comments/20090529_rakuten_matome/
http://www.rakuten.co.jp/help/whatsnew/

↑このページのトップヘ