水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2008年のえび日記 > 2008年5月 > 2008年5月8日(木曜日)

2008年5月8日(木曜日)

JIS Q 15001:2006 の 8項目

謎のPマーク研修のテストを受けたりしていますが、4つの文章から正しいものを選ぶ問題で、「(Pマーク取得企業では) 採用応募時に履歴書を本人から受け取る場合、8項目の事項を通知しなければならない」というような選択肢が。個人情報保護法では、個人情報を取得するときに利用目的を伝えなければならないという規定があります。

第十八条  個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

しかし、ここで言っている「8項目」というのはこれではなくて、JIS Q 15001:2006 で規定されている 8つの項目を指しています。JIS Q 15001 では、個人情報を直接書面で取得する場合に、以下のような事項を通知するということになっています。

a) 事業者の氏名または名称

b) 個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先

c) 利用目的

d) 個人情報を第三者に提供することが予定される場合の事項

- 第三者に提供する目的

- 提供する個人情報の項目

- 提供の手段又は方法

- 当該情報の定期用を受ける者又は提供を受ける者の組織の種類、及び属性

- 個人情報の取り扱いに関する契約がある場合はその旨

e) 個人情報の取り扱いの委託を行うことが予定される場合には、その旨

f) 3.4.4.4~3.4.4.7に該当する場合には、その求めに応じる旨及び問合せ窓口

g) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果

h) 本人が容易に認識できない方法によって個人情報を取得する場合には、その旨

以上、JIS Q 15001:2006 3.4.2.4 本人から直接書面によって取得する場合の措置 より

というわけで確かに a) から h) まで 8項目あるのですが、d) と e) は第三者提供や委託がなければ通知しなくて良い項目です。また、「履歴書を本人から受け取る」という取得方法なら本人は容易に認識できますから、h) については通知する必要がないと言って良いでしょう。「履歴書の取得」というシチュエーションに絞られている以上、通知するのは5~7項目で良いはずで、「8項目の事項を通知しなければならない」というのは間違いではないかと思うのです。

……なのですが、他の選択肢は JIS Q 15001 を調べるまでもなく誤りと判断できるものばかりなのでして……。

関連する話題: Pマーク

最近の改竄事件でMicrosoft SQL Serverが狙われる理由

SQL Serverが狙われるには理由がある (www.tokumaru.org)」。

SQL Serverにはxp_cmdshellという便利な機能があり、SQL文で簡単に任意コマンドが実行できたりします。昔は、このxp_cmdshellを利用したと思われるタイプの改竄が良くありました。

が、最近流行っているのは任意コマンド実行ではなく、DBにひたすらスクリプトを突っ込み、それがエスケープされずに表示されるのを期待するという方法です。この方法ならxp_cmdshellは必要ないので、MSのSQL Serverに限らず、どんなSQLサーバでも攻略されるのではないか……と思いながらも、何故かSQL Serverが中心に狙われているようなので不思議だったのでした。

徳丸さんの分析によれば、最近流行の攻撃手法はSQLの複文を使用していて、それが動くのがSQL ServerとPostgreSQL であると。

……ということは、PostgreSQLもけっこう危ないと考えた方が良いのですかね。まあ、いずれにしてもSQLインジェクションを許している時点でダメなので、DBサーバ側の責任ではないと思いますが……。

関連する話題: セキュリティ / Microsoft

最近の日記

関わった本など