【マンスリーレポート 2003/02】ケーススタディ：ソフトメーカーにおける個人情報の取り扱い

　基本的には「漏洩→対応」という流れでお送りする本コーナーであるが、無論「漏洩」という最悪の事態を招かずに、事前に回避できるに越したことはない。
　今回は少し趣向を変え、漏洩してはいないが、外部からの働きかけも相まって「セキュリティの強化」につながった例を、ケーススタディとしてお送りする。

>> ユーザからの指摘。そのとき企業は・・・

　ソフトメーカーである株式会社ジャストシステムでは、同社Web上で「UserID」確認サービスを実施していた。UserIDを忘れてしまったユーザに対するオンラインサービスである。

　2003年2月9日、多くのセキュリティ関係者が参加するメーリングリストに、同社の個人情報の取り扱いに関する、以下の指摘（公開質問状）が掲載された。

　■氏名と電話番号を入力すると、任意のメールアドレスに「UserID」が送付されてくる。第三者でも氏名と電話番号だけわかれば、フリーメールアドレスなどで任意の相手の「UserID」を取得可能である。

　■「UserID」を用いることにより、住所、FAX番号、メールアドレス、誕生日、性別、業種、職種、ユーザ登録している製品の製品名、シリアルナンバーを知ることができる。

　■過去に同種の問題を指摘し、改善および告知する旨の返答を得たにも関わらず状況が改善されていない。

　■これらの事実から考えて同社が取得している「プライバシーマーク」認定取り消しにあたるのではないか。

　その後、上記に加えて追加質問として、以下の指摘があがった。

　■パケット盗聴などの方法を用いることで、第三者がクレジットカード番号を入手することが可能である。

　■パスワード名を忘れた時に思い出すための "キーワード" がデフォルトでは生年月日となっており、氏名と電話番号で入手できるものとなっている。

　■15年前のユーザ情報までWeb上で閲覧可能となっている。ユーザの許諾なしに個人情報をWeb上で公開することは問題である。

　「NetSecurty」のWeb上に公開質問状に関する記事が載ったのは、2月12日。その一週間後の2月19日に、編集部あてに同社広報の方からその後の経緯などについて、報告をいただいた。

>> User IDの確認はメールと電話、二段構え

　同社では、2月11日の19時をもって、登録名義と電話番号による「UserID」の確認サービスを停止。翌12日11時には当該ページを閉鎖した。現在、UserIDを確認したいユーザへの対応は2通り。メールアドレスを登録しているユーザに対しては、登録済みのメールアドレスへUserIDを送る。つまり「任意のメールアドレス」では取得できなくなっている。そしてメールアドレスを登録していないユーザに対しては、電話で本人確認を行った上、UserIDを案内する方法をとっている。

[ Prisoner DAMLAK ]

（詳しくはScan Security Managementをご覧ください）
http://shop.vagabond.co.jp/m-ssm01.shtml