「個人情報保護法」を含む日記 RSS

はてなキーワード: 個人情報保護法とは

2022-06-30

失われたユーザー目線と赤黒の気概―― ディスクユニオン漏洩騒動

株式会社ディスクユニオンは29日、70万件以上の顧客情報漏洩したと発表した。SNS界隈では前日28からダークウェブへの流出が確実視(スクショあり)されていたが、夜が明けてからようやく重い腰を上げて公表に踏み切った。


以下に続く散文は、ユニオンを愛する者の率直な心境と受け止めていただきたい。

※6/30夕刻追記

昨日のニュースを見た勢いで書きなぐった時は、自分自身の心のモヤモヤを吐き出すことがこのダイアリーの主目的であり、少しトーンが過剰な部分などもあったなと、今あらためて読み直し反省しています

少しだけ、言葉足らずだった部分を加筆などしておりますが、ご容赦ください。

◆致命的だった顧客意識とのズレ



今回の騒動特に問題だったと感じるのは以下の3点だ。

パスワードの平文保存

こんなご時世だ。悪意のある行為情報流出してしまリスクはどんな業種であっても否めない。ただ、今回最悪だったのはDBテーブルごとぶっこ抜かれ、あげくパスワードを平文で持っていたということだ。暗号化処理せずにパスワードを保管するというのは愚の骨頂であり、ここに小売業としての前時代的な姿勢がはっきりと見えてしまった。通販事業は決して120%アウトソーシングしているわけではなく、社内にはフロントエンドバックエンド担当する社員もいるはず。ゆえに、なぜ?という思いが強い。偉い人たちは何が悪いのか理解できてなさそうだけど。

第一報の遅れ

ユニオン公式発表は以下のとおりだ。

6月24日漏えい懸念から本日のご案内に至るまで、時間を要しましたことを深くお詫び申し上げます

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにまずはお詫び申し上げたい思いでしたが、不確定な情報の公開はいたずらに混乱を招き、

お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠である判断し、情報収集と把握に時間を要しました。

本日公表までお時間を要しましたこと、重ねてお詫び申し上げます引用元https://diskunion.net/

違うんだよ。お客様へのご迷惑、は流出した瞬間から実際に目に見えるかたちで起こってしまった。SNSでは公式発表に先駆けて、「何が、何件、どんな風に」漏れたのか、情報拡散されまくった。一方でユニオンは、早々にオンラインショップ(ここにはコーポレートページも含まれる)をクローズし、「緊急メンテ」という名の殻に閉じこもった。もし、SNS話題になることがなければ、本当に7月4日までダンマリを決め込んでいたかもしれない。結果的に29日の発表では有効対応策を提示できず、公式アナウンスの遅れだけがネガティブに目立ってしまった。少しずつでも、情けなくても、スピード勝負に出るのが最善だったと私は思う。

「いやいや、でもそんなすぐに公表するのは現実的に無理」と考える人もいるだろう。だが、2022年4月1日施行日を迎えた改正個人情報保護法は、情報漏洩時は本人に迅速に通知するなど、企業個人権益保護する行動を強く求めている。

さらに、不正アクセス痕跡など「漏洩可能性がある個人データは、すべての該当者に通知する必要がある」と個人情報保護委員会は明言している。強調するが、漏洩の「可能性」が露見した時点でだ。そのタイミング企業側には本人通知や事実公表アクションが求められる。情報収集と把握に時間をかけたというユニオンの初動は致命的な悪手であり、何よりコンプライアンス意識希薄さを自ら明らかにしているようなもの個人情報を取り扱う多くの企業が、この改正個人情報保護法への対応や関連規約アップデートに追われていたのが今年の春前。ユニオンの準備はどうだったのだろうか。サイトが表示されない今となっては、確認する術がない。参考元=https://xtech.nikkei.com/atcl/nxt/column/18/02006/032800002/

現在HPにはテンプレ通りのお詫び文と問い合わせフォームの連絡先しか掲載をしていない。会社概要プライバシーポリシー個人情報保護方針……何も表示されない。この重大なインシデントを起こしながら、なんとか目につく部分を隠して乗り切ろう、としているなら残念でしかない。

通販問題でしょ?という他人事主義

ディスクユニオン公式Twitterは「@diskunion_news」のはずだ。異常なのは28日までスクリーンネームキャンペーン情報を訴求し、投稿ではトートバッグやレコクリンをプッシュしていたことだ。これは店舗アカウントも同様で、粛々と普段と同じプロモーションをかけていた。しかし、29日になると公式店舗ジャンルも、全て”喪中”かのごとく宣伝投稿を止めた。一斉にやめるくらいなら24からやめるか、一人でも多くのユーザーに一刻も早くこの異常事態アナウンスして周知してもよかったはず。悪さした小学生じゃないんだから、そこは意思を持った運用しようや。(※SmartFLASHの記事を読む限り、どうやら店舗が詳細を把握できたのは、ユーザー向けアナウンスと同一タイミングだったと認識するべきか。オンラインショップを緊急メンテ突入させた時点では、店舗情報を下ろしていなかったという可能性が高そうだ。出典元=https://smart-flash.jp/sociopolitics/189040

組織の硬直化と人財流出



ここで、対応失策の遠因とも言えるユニオン体制について考えたい。

ユニオン中古品と新品を同時に取扱い、レア盤や特典商法マニアックな品揃えで知られる。また、パッケージの復刻企画や自社制作も行っている。このバランスがあるからこそ、ユーザーに支持され、(たいしたイニシャル数をオーダーできないが)アーティストレーベルから好意的な反応を得てきた。ただの中古屋(●ックオフとか)をアーティストリスペクトしますか?って話。しかし、この土台は大きく揺らいでおり、今となっては綱渡り状態突入している。

10年前、社長専務に次ぐ人物ユニオンを去ると、ここから誰の目にも明らかな権力闘争が巻き起こった。中古を扱い粗利を稼ぐ「店舗」の人間と、新品仕入れ制作を担い音楽業界の”今”とユニオンをつなぐ「本部」の人間。詳細は割愛するが、結果として本流になったのは店舗側だった。そして、多くの名物社員気概のあるスタッフ、何よりビジネスマインドを持ち良い意味で「サラリーマン」的だったキーパーソン本部を離れた。退職した者の一部は、当時レコードビジネスに本腰を入れたHMVや、その後はタワーレコードにもジョインした。通販部門ECプロフェッショナルではなく、いきあたりばったりの采配という感は否めない。

追記1:組織企業である以上、異動があることや、俗に言う「役職」につけるスタッフの数に限りがあることは当然であり、そこはユニオンも同じです。成績や年次やらが絡みますよね。“権力闘争”というワードを初稿で選んでしまった点について、書き手の私情が強めに入っていると言われれば、否定できません。違う表現を選ぶとすれば、組織内での大きなうねり・転換期がこの当時にあったということです。

追記2:店舗中古本部=新品、という基本線はそのとおりですが、常に両者が喧嘩腰だったわけではないと念のため補足させてください。同じ音楽ソフトであっても性質が異なるこの2種が相互補完することで、ユニオンというブランドがここまで支持されてきた/事業として動いてきた、のは間違いありません。前述のうねりの中でこのバランスが以前と異なるかたちに変化した、ということです。

この頃からユニオンの新品仕入れ額は落ち込んでいるはず。音楽業界を支え、アーティストレーベル活躍できる土壌を小売として成熟させるには、新品を仕入れ販売しないことには難しい。なにより、新品を仕入れ販売することで、その盤が今後中古市場に出回る可能性が生まれ、結果として中古市場の下支えにもなる。すでに中古市場に出ているレア盤を高額買取→高額販売してぶん回したところで、そこに未来はない。また、音楽業界という立場で考えれば、中古いくら売れたところで、アーティストには1円も入らない。

さらに数年が経つと、結果として上層部社長(※ファミリー経営2代目)と一部社員(※店舗叩き上げ)の集団になっていった。外部からの血も入れず、利益は上がるが、社員給料は上がらない。レコードブームから、とりあえず店は出して中古で埋める。廃盤セール(※ただし廃盤が安くなるわけではない)でいつものあの人に来てもらう……ここ数年、ユニオンの店先や棚から勝負してんな、攻めてんな」という熱量を感じなくなったのは自分だけだろうか。ユニオンの器が小さくなったと感じるのは自分だけだろうか。

もちろん、一流の店舗スタッフが多数在籍していることも声を大にして伝えたい。決して中古推しがどうのこうの、いや新品推しがどうのこうの、という話ではないのだ。昨今のレコードブームの裏で、戦略組織設計バランスが崩れ、あるべき姿から逸脱し続けているというのが問題なんだと強調させていただく。青臭いいかもしれないが、ユニオン過去から現在まで、何を紡いできたのかということだ。

追記3:組織企業である以上、利益を確保することは当然です。そこは否定しません。ただし、私が知っているユニオンはそれだけじゃない要素が売り場に宿っていたと、抽象的な表現ですが感じていた次第です。じゃなかったら、あんなに店舗に通わないはずです。しかも狭い店舗に。

ユニオンは「ユーザー目線」を取り戻せるか



遡ればユニオン創業戦前。そこからなんとか今日までサバイブしてきたわけだからそんじょそこら会社とは良くも悪くも一味違う。ただそれは、ユーザー知的好奇心を満たすため、中古品、新品、制作流通委託販売アーティストマネージメント販促オーディオなど、様々な分野で試行錯誤を続けてきたからだ。もちろん中には失敗もある。オークション事業イベントスペースなど、黒歴史になっているものもある。それでも「ユーザーにとって面白いことをやる」、そして「ユーザーを囲い込む」ことでユニオン経済圏確立してきた。事業の中心にはいつもユーザー目線があった。

ただ、利益追求に舵を大きく切ったここ数年、そして今回の漏洩騒動での対応を見ると、どこか古き良きユニオンはもう幻となってしまったとすら思えてくる。

どんなに給料が安くても(陳腐言葉だが)音楽ユニオンが好きだから支えてきたアルバイトや若手社員はどう思うだろうか。今回の初動対応をとった会社に、今後もついていく気が起きるのだろうか。そして後手後手の対応をとられたユーザー果たして本当にまた戻ってくるのか。

ユニオンがしっかりとこの問題と向き合い、そしてもう一度適材適所の布陣で挑戦を始めるときが訪れれば、私はまた店頭に足を運びたいと思う(通販はしっかり対策して、原因と改善策明示してね。それからだ)。ずっと探していた中古名盤と、今という時代の空気感をしっかりと伝えてくれる新譜を同時に手に取ることができる場所は、世界的にも希少になりつつあるわけだから

最後に、HPキャッシュから拾ってきたユニオン商い五訓を貼っておきたい。

ユニオン商い五訓

1 店(ユニオン)はお客様のためにあり

2 損得より先に善悪を考えよう

3 お客様に有利な商いを続けよう

4 適正な利益は正しい商いの源泉である

5 欠損は社会のためにも不善と悟れ

追記4:今回の騒動組織顛末を並列で吐き出したのは、あくまで私の主観(=ずっと感じてきたこと)が入っています。そこは最後にハッキリと書き記します。ここも当然、人それぞれで受け止め方が変わります。お前、こんなにダラダラ書いておいて最後に逃げるなよと、私自身も思いますが。

ユニオンに求めること、期待することもまた人それぞれなはずです。中古レアしか興味がない、最近レコードデビューたからお手軽盤欲しい、新譜の特典にやっぱつられる、紙ジャケBOX最高、色々あるはずですし、そういった需要に応えられるのがユニオン店舗通販であると信じています

音楽ジャンル同様に、確かな多様性がある世界で我々は日々踏ん張っています。この駄文も、絶対正義ではないです。そのために書いたワケではないです。ただ、こんな世界線もあるんだ、くらいの受け止め方の方が、息もしやすいと思います

反響に驚いてしまい、こんな当たり前のことを追記してしまいましたが、私はユニオンにもう少しだけ、期待してみようと思っています

(了)

2022-04-22

anond:20220420074936

まあまだルールが分かってない子がはじめてネットにくると「みんなセックスかいけない話題を楽しそうにしゃべってる!じゃあ私も好きなBL/美少女についてしゃべってもおかしくないよね!」っていう認識になるのはあたりまえなんよ

ニフティホームページにいけばニフティサーブ35周年とバナーがでる https://www.nifty.com/

ニフティサーブってのは日本で初めて一般消費者向け商業サービスを開始したインターネットプロバイダなんよ それ以前は大学ユニックスとかでやってただけがせいぜいなの

そんで35年前は自治ルールもなにもあったもんじゃなかったの ツイッターもなければブクマもない、プロバイダ責任制限法もなければ個人情報保護法もない、出会いサイトもない 絵文字もないかAAしかない

そんな黎明期チャット(みたいにみえ匿名掲示板)があったらそりゃ「〇子15歳です腐った俺女ですが仲良くしてください(^^;)A」っておっさん構文しかありませんわ

ちなみに当時夢女子もBL(という言葉がなかったので耽美とかJUNEっていってたけど)好きも、まとめて「腐ってる」って自称してたよ

やらかした」か「やらかしてないか」の定義は(まだ法律ルールも整備されてない金カムみたいな荒野では)難しいけど

普通に人間出会ってしゃべることで発生し得る良い事件も悪い事件も全部そこにあったわ

喧嘩もそりゃするしネット婚もかくれてしてたしネオ麦茶バスを乗っ取ったし(天皇前立腺が)通りますよと(麻原)ショーコショーコーと(鈴木ムネオハウス個人をいじりまくってたし

2022-04-10

anond:20220409133020

色々考えたんだけど、名簿が必要理由そもそもテーブルキーが姓と名前管理というのが処理を難しくしてる気がする。

1度付与されたら永遠不変の学籍番号や保護者番号を作って、それで管理すれば、入力管理もしやすい気がする。

個人情報保護法のおかげで名前をホイホイ外に出せなくなってるし、そのくせテーブルキー名前のままじゃ、キツそう。

役所だってマイナンバーの少し前の住基ネット以前は住所名前生年月日で管理してたみたいだから、その辺の危機感ってなかなか生まれないんだろうけど。

2022-04-08

anond:20220408152947

改正個人情報保護法見ていると個人情報を利用している全ての事業者対象になってるわけじゃん?

からそう。

ってことは配信行為に対して本名プレイヤーネームにしてる奴が映り込んだらそれ個人情報保護の対象じゃない?

本人がこういう目的配信)で使いますよー

って承諾してプレイヤーネームにしてればOK

そうじゃなきゃNG

個人情報保護法で分からない事があるので教えて欲しい

はてな検索に行こうか迷ったんだけど思考実験色々してたんだけど

改正個人情報保護法見ていると個人情報を利用している全ての事業者対象になってるわけじゃん?

ってことは配信行為に対して本名プレイヤーネームにしてる奴が映り込んだらそれ個人情報保護の対象じゃない?

2022-04-07

anond:20220407153444

部署というものがある。個人情報保護法もある。

ジュ民表を見るにはお前の同意書類申請書)が必要

役所営業マンを置けば、そこの調整もしてくれるのだろうが。

2022-03-24

anond:20220324141953

そも破産者情報をまとめる行為個人情報保護法違反になるという理屈

破産者情報官報掲載されるが、第三者提供する場合必要な本人の同意を得ておらず、個人情報保護法違反に当たると判断した」

なんだけど、「第三者提供」がキモでね、破産者情報まとめ者から不特定多数提供するのを「第三者提供」つってんのよ。

けど官報掲載された時点で国民全体にすでに提供されていて、さら官報永久的に国民に公開され続けるものなので、

官報の内容をインターネット掲載することは単に「媒体が変わっただけ」とみるほうが自然なんだよね。

個人情報保護委員会命令も、今回の判決も、「破産者という弱者を守る」「世間話題になってるから対処しないと」という結論ありきの事情判決で、論理建てには相当無理があると思うよ。

anond:20220324141623

個人情報保護法でその辺はカッチリ決まっている。

 

同法が定める「例外規定」に入るかどうかの話だ。

たとえば、転載先のがマスコミの報じる紙面で、○○が破産した、とか書いたのであればオッケーだ。マスコミ例外規定に入る、と書いてあるからだ。

 

言ってる判決は知らんけど、たぶん悪意じゃなくて、公益あんまり関係ない営利から問題だったと思う。

官報全部をネット掲載したら

官報のうち破産者情報のみ抜き出して掲載してた行為個人情報保護法違反なので止めるべしという判決が出てたけど、

官報毎号を個人勝手テキストデータ化してネット掲載したらどうなるんだろ。

著作物ではないので著作権法違反にならないのは確定してる。)

 

官報てほんらいは国民に広く知らしめるべき内容で、むしろ国民すべてが読んで知っておかなければならないとされている内容。

例えば、民事裁判で訴えられた人の所在不明場合訴状を送れないので代わりに官報裁判所前の掲示板(全裁判所でなく一か所だけ)に「○○さん、あなた裁判起こされてるよ」て公告が乗って、そのまま出廷・反論せず完全敗訴となって、あとから本人が「官報なんて読むわけないだろ。俺は訴状を受け取ってないし、訴えられてたことすら知らないんだから欠席裁判判決無効だ」と主張しても、官報はすべての国民が目を通し知っておくべき内容とされてるので、無効の主張は通らない。

新しい法律ができた時も官報掲載される。新法で禁止される行為を誰かがやって摘発されたとき「新しい法律ができてこれが禁止されてるなんて知らなかった」と言い訳しても、やっぱり官報の内容は国民が知っておくべきなので、警察にも裁判所にも言い訳は通らない。

法の不知はこれを許さず。なぜなら官報に乗せたのだから国民全員が知ってないとおかしい、と。

 

もちろん現に官報を毎号読んで内容すべて把握してる人なんて日本全国におそらく一人もいない。

国家が行った大事な決定は官報公示するって制度が、大昔にできて拡充されてないのでそうなってるだけで、それをインターネット掲載してアクセスを向上させることは、むしろ国民知る権利自己防衛から好ましいことなんだよね。

 

破産者情報だって同様で、お互い権利と義務を完全に有する成人同士が「お金借ります、いつまでに返します」「ならお金します」と自由意志に基づいて同意した賃借契約を、

借りた側の事情国家権力が一方的反故にして貸した側の権利(返してもらう権利、将来手にするはずだった財産)を無にするのだから、広く知らしめるべき内容なんだよね。

 

で、今回の判決破産者情報のみ抜き出してたこと、削除するのに手間賃以上の手数料を取ってたこから、明らかに破産者という弱者に対して悪意があるだろうってことで事情を組んだ判決だと思うけど、

官報全体を機械的テキスト化して掲載した場合、これは国民国家権力に対する自己防衛権の一助だ、と主張したら、そこに破産者情報が含まれてたとしても同じ判決にはならないような気がするんだよな。

2022-02-09

逮捕にそなえる人生継続計画」なんて一般人には不要

逮捕にそなえる人生継続計画

https://yashio.hatenablog.com/entry/20220208/1644325200

について、逮捕されたことのある身として気になった点があったので述べておく(n=1だけど)。

懲役禁錮だけでなく執行猶予罰金でも前科になる。前科がつくと「履歴書の賞罰欄記載就職が不利になる」「一部の職業に就けなくなる」「海外渡航ビザ必要にある/ビザが取れなくなる」などのデメリットがある。

履歴書犯罪の経歴を書くのは、最近個人情報保護法に言うところの要配慮個人情報なので書かなくていいはず。ちなみに自分は書いてないというか、そもそも賞罰欄がある履歴書を使っていない。

入ると全裸での身体検査を受ける。男性場合局部の包皮も自ら剥いて見せるという。所持品は下着以外は没収

下着を下ろした上でジャンプして何か隠し持っていないか確認したけど、さすがに局部は見られてないかな。

以上。

(後日気になったことがあればまた追加します。)

2022-01-20

anond:20220119235722

ハッキングにより顧客情報流出させた企業」と同様に管理責任

これなんだよね。企業はその利益のために業として顧客情報を集めており、個人情報保護法により法的義務も負ってる。今回のケースで企業と「同様に」管理責任社会から問われるのが適切か、という話をしている。私は炎上するほど叩かれるべきだとは思わない。

2021-12-20

マイナンバーから考えた政治への庶民感覚

ワクチン接種アプリ使うためにマイナンバーを見て思い出したのだが

マイナンバーを始めるときにそれなりに反対意見が多かったのを思い出した。

その中でもクリス松村銀行に口座がバレるのは嫌だというコメントを思い出した。

自分が口座の中身を見られるのが別に平気なのだが、貯金額を他人に知られることをすごく嫌がる人は多い。

知られるとお金持ってると思われて面倒に巻き込まれたりするのが嫌なのだろう。分からんでもない。

まぁ、そういうのが懸念として寄せられて良くも悪くも今の形になっている。

要はここでガードが入ったのがポイントなのだけど、「やりすぎを止める」ことを結果的に俺たちは享受している。

個人情報保護法案だったとか、禁ポ法だとか分かりやすいけど、そういう活動普通の人は知らずに享受している。

から「今の政治は多少不満はあるけど、わーわー騒ぐだけの野党よりはマシ」みたいに思えるのではないか

野党意見で変わることはたくさんあり、機関紙でも主張してるのだろうが、全然降りてこない。

からなんとなく自民党が支持されるんじゃないだろうか。

2021-11-15

anond:20211115100936

個人情報保護法っていうのは「個人情報取扱事業者」の情報の取り扱いについて定めた法律だよ!

しかも「報道の用に供する目的」には適用されないよ!

法律名前の響きだけでふわっと自己解釈するのはやめようね!

お兄さんとの約束だよ!

anond:20211115100524

ちなみに良心関係なくて、日本ではそれを違法行為としてる

個人情報保護法って言うんだ

調べてみると良い

2021-10-21

anond:20211021130921

20年前ならまだ個人情報保護法ギリギリ無かった(一部施行2003年5月23日、全面施行2005年4月1日だ)し、電話帳に固定電話が載ってる家庭はかなり多かったし、20年前の情報なら一覧があっても不思議はないんじゃね?

2021-09-28

PCR検査プライバシーポリシー

すぐに治りはしたものの、2日間ほど発熱があって寝込んでいた。普段在宅ワークで外出は近所のスーパーだけなのだが、発熱の1週間ほど前に顧客オフィス物理訪問したこともあり、顧客うつしてたらヤバいということでPCR検査を受けてきた。自分にとっては初めての検査だった。

業務に関わることということで、費用会社持ち。「2万円以内で領収書が出るところならどこでもいいから受けて来な。経費精算の申請よろしく。」という指示が出た。

検査選択肢

自分の知る限りでは、「見るからに陽性」な人を除く一般市民にとっては、検査を受ける方法は以下のいずれかになるだろうと認識している(他にあれば教えて欲しい)

自分にとっては、近所の病院という選択肢検査実施時間が短い等の制約が大きいこともあって難しかった。自宅から電車で1駅のところに民間検査所があることがわかったので、それを利用することにした。

利用した検査

ttps://rapid-pcr.com/

新型コロナPCR検査センター というところの、店舗の一つを利用させてもらった。

検査の流れは、このようになっている。

  • 手指消毒と体温測定
  • 問診票の記入
  • 料金の支払い
  • 検体の収集
  • 検体の提出
問診票の記入プロセス

検査所の中に張り紙があって、そこに印刷されている二次元バーコード自分スマフォスキャンする。すると、Google Form のページに飛ばされる。

受付窓口に立ってFormを送信すると、数秒ほどで受付の担当者さんの手元に情報が反映されている。その情報を使って後続の処理が実行される。

問診票で訊かれた項目は以下の通り。

検査を実行する上では、電話番号検査メニュー発症有無だけあれば必要最低限の情報となるはずであるが、住所氏名生年月日を訊かれている。陽性だった際に保健所に通知するための情報かな…?と思ったが、確認しようとしてもフォームには運営主体名前が無いし、プライバシーポリシーへのリンクも無い。

よくよく思い返すと、Webサイトにも運営企業の情報が皆無だったし、プライバシーポリシー掲載も無かった。

個人情報保護法との兼ね合い

正式には「個人情報の保護に関する法律である

https://elaws.e-gov.go.jp/document?lawid=415AC0000000057

 (取得に際しての利用目的の通知等)
第十八条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

ここから考えると、自分検査を受けた 新型コロナPCR検査センター なる事業者は、この利用目的公表も通知もしていない。個人情報保護法違反であると、自分は考える。

同法の「第七章 罰則」を見ると、この18条の違反による直接の罰則は見当たらないので、彼らは即座に罰せられるということは無さそうである

一方で、

第八十四条 個人情報取扱事業者(その者が法人法人でない団体代表者又は管理人の定めのあるものを含む。第八十七条第一項において同じ。)である場合にあっては、その役員代表者又は管理人若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者不正利益を図る目的提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。

という規定があることから保健所以外の場所にお漏らしをすれば、この条文に沿って罰が下されることだろう。まぁ、安い罰金だけどね。

余談:消費税

領収書には、検査代金には消費税率等の表記が為されていないどころか「税込」とも書いてない。

こういう雑な領収書は「インボイス制度」で駆逐されるのかな。難点の多い制度だが、こういう怪しい事業者・怪しい領収書が撲滅されるというのは数少ない利点の一つだろう。

2021-09-19

コロナワクチンの接種証明書電子交付)の仕様がひどかった

表記の件について意見募集が開始された (https://www.digital.go.jp/posts/ckWVVAya) というので仕様(https://cio.go.jp/sites/default/files/uploads/documents/digital/20210917_spec_01.pdf)を見たら、なんか国のお墨付き個人情報の名簿登録補助ツールみたいな上に、証明書としては全然機能不足にしか見えず、がっかりした。


批判だけでもなんなので、自分ならこういうの作るという意見書出しといた。

案にあるような個人情報だけを含む二次元コードでは、

などの理由から有益とは思えないし、電子証明書としての信憑性も非常に疑わしいシステムしかできないように思われる。

この仕組みを活用したい立場としては、「接種者の個人情報」ではなく、「二次元コード提示した人が接種済みであること」が確認できればよいので、

 1. 接種済みの人が、マイナンバーカード申請する

 2. 申請した個人(ないし端末)毎に、APIサーバユニークIDを発行する

 3. システムの接種確認APIに2.のIDを付けたURLQRコードで表示する(IDを種として、ワンタイム識別子をアプリサーバ計算するなどの設計も考えられる)

 4. APIアクセスすると、接種証明情報として、最終接種回数と接種日のみを返す

程度の接種者向けのアプリおよびAPIサーバと、

 1. 接種者が提示したQRコードを読み込む

 2. QRコードURL偽サイトではないことを検証する(HTTPSSSL証明書確認ぐらいでも十分で、政府が発行する公式アプリとすることで信憑性担保する)

という事業者向けのアプリを開発・公開してほしい。

もっと踏み込むと、国として、接種証明として表示した国民個人情報が、民間企業において確度の非常に高い顧客名簿になりかねない、という点については、どのように考えているのかはなはだ不安を感じさせる仕様と言わざるを得ない。

(ここまで)

いま読み返していて単純に「IDを種」にするだけではダメなことに気づいた。申請時にワンタイムトークン計算用の秘密の種を共有しておいて、個人(端末)の識別IDとワンタイムトークンAPIに渡すようにする、とかが必要だった。

国民個人情報を、わざわざマイナンバーカード使って本人性を保証した上で自動読み取り可能な形でスマホの画面に表示するだけのアプリって、どこぞのeKYCの対極ネタとしては面白い面白くない)。

2021-09-12

anond:20210912195902

普通サービスユーザーの退会まで設計されてないといけないんだよ

利用する必要がなくなった個人データについて消去するよう努力義務がある

うん、違うね

努力義務って何w根拠は何?

ちなみに個人情報保護法によれば、削除の申し出があれば削除に応ずる「義務」がある

ま、Twitter社は日本会社でないか個人情報保護法は対象外だけどw

Twitter利用規約って読んだことある?笑

2021-08-15

anond:20210815041421

何罪でもない

事業者がやった場合個人情報保護法違反する可能性がある(許可を得ていない個人情報第三者への譲渡とみなされる)が

個人では何ら罪に問われない

ログイン ユーザー登録
ようこそ ゲスト さん