ISPの個人情報漏洩

こんばんは。 決してくだらない質問ではないと思いますよ。（一人でも多くのネットユーザーが「ushikun」さんのような意識をもてるようになると良いのですが…。） 今回の「ヤフーBB」の問題（これだけユーザーに迷惑をかけているわけですから、当然実名で論議されるべきです。）は、流出数の多さにより一般紙も取り上げる大きなニュースとなっていますが、事件の内容自体は決して珍しいものではなく、利便性やサービス競争ばかりが先行する現状のネット社会の危険性を象徴しているカンジもします。 数の大小を別にすれば、類似の事件は日常茶飯事で、下記URLでバックナンバー記事を提供しているセキュリティー関連企業が「月一」で企業のインシデント（事後）対応を評価する特集を組んでいるほどです。（言い換えれば「月一での連載が成り立つ」ほど多数の事件が起きているということですし、表面化していないものも含めれば、日々相当数発生しているはずです。） ■＜Net Security記事　【マンスリーレポート2003/12】インシデント事後対応～＞■　Copyright (c) 1999 - 2003 EDGE Co., Ltd. & Vagabond Co.,LTD. ↓ https://www.netsecurity.ne.jp/article/1/12106.html また、今回のヤフーBBの事件については、他サイト（下記URL）でも識者間で論議されていますので、参考になさってみてください。（一部技術的・専門的なやり取りもありますが、識者の間での認識（現状の危険性）を感じていただける事と思います。） ■＜＠IT Security and Trust会議室スレッド（ヤフーBB問題）■　Copyright(c) 2000-2004 atmarkIT ↓ http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=9599&forum=14&15 さて、前置きが長くなりましたが、ネットワークで個人情報をやり取りする以上、「もれる事はあり得る。」という前提にたって行動すべきだと思います。 ただ、今回のようなニュースが流れる度に「過剰反応」を起こす方が出ると感じています。（決して今回の事件を軽視しているわけではありません。） 例えばしっかりしたポリシーを持つ商用サイトや会員制サイトなどで個人情報を要求された場合（最低限の個人情報の提供は「成りすまし防止」などの観点からなど、むしろ有効な場合があります。）でも、「個人情報を要求するなんて、信用できない！」と考えてしまうケースがあるということです。（もちろん、注意深く行動する事は大変良い事ですが。） 個人情報が漏洩する危険性というのは、何もネットに限った問題ではありません。 私は東京・五反田のとある名簿業者（法律上は全くの合法商売です。）を訪れた事がありますが、「卒業名簿」「社員・会員情報や住所録」をはじめ、「高額所得者リスト」「多重債務者リスト（信用情報）」など、ありとあらゆる個人情報を金で買う事が出来てしまう世の中です。（実生活を少し考えてみるだけでも、たくさんの漏洩ルートがありますよね。） 私にはとても受け入れられない考え方なのですが、名簿業界や個人情報に関連の深い人間の中には「電話番号や住所なんて個人情報じゃない。（どこでも手に入るから。）」と言ってのける人までいるようです。 一方で、（たとえ相当PCに詳しい方でも）「ネット（インターネット）には何か特別な力がある。」といったイメージや、仕組みを全面的に信頼してしまうという傾向を持つ方がまだまだ多く、実社会ではあり得ないような軽率な行動を取ってしまうことが多いようです。 例えば、丸腰のまま「何かあったら電源切って逃げればいいだろう。」と、知らないアダルトサイトにアクセスするのは、実社会において「裏通りの知らない風俗店に飛び込みで入るようなもの。」ですし、出会い系サイトでいきなり相手に重要な個人情報を渡したり、ディープな身の上相談を始めるのは、ナンパされた相手にいきなり個人情報（連絡手段）や弱みを握られてしまうようなものです。（もちろん、全部が全部ではありませんが。） 個人情報漏洩に関しても、「ネットだから特別危険という事は少ない。」というのが本質だと思います。（ただし、ネットの場合「もれた情報が大量かつ高速に流布してしまう。」という特性（危険性）はあると思います。） 総合的に考えると、個人情報の漏洩そのものを過剰に心配するよりも、漏洩はあり得るという前提で軽率な行動を避けるようにすること（その意識）が非常に重要だと思うわけです。 もちろん、個人情報を渡すケースでは、本当に信用の置ける相手であるかどうか慎重に判断する必要があると思います。（これが難しいのですが…。） 企業を相手として考えるならば、「しっかりしたセキュリティー・ポリシー（特に個人情報の取り扱いについて）をサイト上などで提供していて、長期間信用実績を積み重ねてきているか否か。」や「プライバシーマークなどの規格に準拠しているかどうか。」といった点をチェックすることで、ある程度の判断基準にはなると思います。 ISPについて「どこがあぶないか？」という点については、軽率な発言は避けたいので、私からは言及しません。 ただし、異常な急成長を見せている業者などは、体制の構築が追いつかず、問題が起き易いというのは真理だと思います。（まさに今回のケースですね。） ところで、最近は「個人情報」という言葉ばかりが先行していて、「もれると本当に危険な情報はどんなもので、どんな実害が考えられるのか？」という点はあまり論議されていないように感じます。 「個人レベル」かつ「漏洩した場合のダメージ（実害）の大きさ」という点で考えると、「口座情報やクレジット情報などの財産情報」や「脅迫などの材料となりうる個人的な秘密など」が上げられると思います。 まずは、日ごろからこうした情報を安易にネット上に流したり渡したりしないことが大前提だと思いますが、「ネットがらみの被害」を考えた場合、「毎月の「クレジット請求や口座引き落とし」はきちんとチェックする。」「ネットカフェなどで安易に個人情報を流さない。」「メールなどでやってきた詐欺行為に対しても、慌てずに内容を”常識”で考えてみる。」といったアナログ的な意識と対策が最も大切だと個人的には思っています。 こうしてみると、実にさみしい世の中になってしまいましたが、問題を長引かせている原因の一つに「企業の意識不足」と「消費者からのプレッシャー不足」という点が上げられると思います。 冒頭で述べたように、識者の間では現状の危険性が叫ばれているのに対して、企業の担当者や一般消費者との間にはまだまだ意識のギャップがあるのだと思います。 この点については、つい最近面白い例え話（下記URL）を見つけたので、紹介しておきます。 ■＜＠ITコラム　脆弱性のあるサイトとセキュリティ技術者の関係＞■　Copyright(c) 2000-2004 atmarkIT ↓ http://www.atmarkit.co.jp/fsecurity/column/sudoh/20.html いずれにしても、多くの方が問題提起を行う事で、すこしでも安全性が高まる方向へ進む事を願うばかりです。 個人的に高い関心を持っている問題なので、ついついアツくなり、ウルトラ長文になってしまいました。 少しでも参考になれば幸いです。 それでは。