2005年7月27日(水曜日)
office さん事件の未公開部分
スラッシュドットに「ACCS不正アクセス事件、元国立大研究員が謝罪文を公開し和解 (slashdot.jp)」というトピックがありますが……。議論のベースとなる情報量が少なすぎるというか、事件も決着したことですし、情報を少しずつ公開していった方が良い議論ができたりするのかな、と思ったりしました。
私が知っていて、おそらくは公表されていないであろうものを漠然と書くと……
- csvmail.cgi はどんなものだったのか
- ASK ACCS のセキュリティへの配慮はどの程度のものだったのか
- ACCS が公表している情報漏洩の範囲について
- 事故調査報告書の内容についての抗議
- 漏洩 PPT ファイル入手報告に対する ACCS の対応
- ACCS の「二度目の脆弱性」の公表タイミングについて
といったところかしら。って、公開してもろくな事にならないものばっかだな。
若干オフトビですが、被害者になろうとして批判を浴びたカカクコムと、
うまく被害者になりきれたACCSの両者を分けたものは
いったいなんだったのでしょうか。
久保田理事の営業力でしょう。営業力という言葉には語弊がありますが。
- 「office さん事件の未公開部分」にコメントを書く
関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件
情報を公開しないのはけしからん、というコンセンサス
「「備える心」が大事――カカクコムのインシデントから得られた教訓 (www.itmedia.co.jp)」というお話。
カカクコムの場合、こうした副作用リスクの中で一番心を痛めたのが、技術系メディアによる「詳細を公開しないのはけしからん」という論調だったという。
「公開することによるメリットもあるが、公表した場合のリスクが読めないことから言わないようにしていたが……」(遠藤氏)、結果として社員への心理的なダメージは相当大きかったという。原因や詳細の公表に関して同氏は「何らかの社会的なコンセンサスがあればよかったかもしれない」とも述べた。
社会的コンセンサスがあれば……というのはまるっきり逆なのではないでしょうか。既に「少なくとも大規模な個人情報漏洩が起きたような事例では、原因や詳細を公表すべきだ」というコンセンサスが形成されていて、だからこそ「公開しないのはけしからん」と叩かれたのではないかと思うのですが。
ちなみに、情報セキュリティ早期警戒パートナーシップガイドライン (www.ipa.go.jp)にも以下のような記述があります。
脆弱性が原因で、個人情報が漏洩したなどの事案が起こったまたは起こった可能性がある場合、二次被害の防止および関連事案の予防のために、以下の項目を含むように公表してください。また、当該個人からの問い合わせに的確に回答するようにしてください。
・ 個人情報漏洩の概要
・ 漏洩したと推察される期間
・ 漏洩したと推察される件数
・ 漏洩したと推察される個人情報の種類(属性など)
・ 漏洩の原因
・ 問合せ先
ガイドラインにこのような規定があるのは、個人情報が漏れたら情報公開すべし、というコンセンサスの表れと見て良いのではないでしょうか。もっとも、ガイドラインのこの部分が守られたことは一度もないと思いますが……。
関連する話題: セキュリティ / 価格.com / 個人情報 / 情報セキュリティ早期警戒パートナーシップ
- 前(古い): 2005年7月26日(Tuesday)のえび日記
- 次(新しい): 2005年7月29日(Friday)のえび日記
