はてなキーワード: 個人情報保護法とは
http://anond.hatelabo.jp/20120511124327
論点1,論点2について。
レアケースとして、難病、特殊な性癖等、それ単体で自分で珍しい属性と思えるよって個人の特定が発生するという話になっています。人に寄っては「自分はそんな特殊な属性なんか持ってないその他大勢だから問題ない」と考えている人がいるかもしれませんね。また、武雄市市長は
僕が言っているのは、「5月6日20時40分、42歳の市内在住の男性が、「深夜特急」「下町ロケット」「善の研究」」を借りた。」ということそのものについては、個人が特定できない
と述べています。(http://hiwa1118.exblog.jp/15827483/)これを見て「この程度の属性ならば個人情報は特定できない。安心だ」と思っている人も多いかも知れません。
が、実際にはそんなこと無く、普通の属性の人でも、いくつかの条件を組み合わせていくと簡単に個人が特定できるよと言う話をします。図書館側から、CCCに対して、上記武雄市市長が挙げている情報が渡ると仮定した場合、ある程度の行動に法則性がある人であれば、かなりの確率で個人の特定ができます。
例えば、
これらはみな高確率で本人の特定が可能です。
簡単に言うと
これらはそれぞればらばらには該当する人間は多数います。しかし、これが組み合わさると(さらに5月6日20時40分に図書館を利用、タイムスタンプ情報が組み合わさると)どんどん対象は絞り込まれていきます。非常に尖ったそれ単体で個人を特定できる様な属性がなくとも、複数の属性が一致する人というのは少ないため、さらにそれを通常のTカード利用履歴データと照合すると、本人の特定ができてしまうと言う事です。
なお、私も武雄市の市政の問題と言うより、プライバシーやセキュリティの問題にのみ関心があるので、以下は架空の市「武雌市」を舞台としておきます。
武雌市立中学校に通う武雌太郎君(14)は、学校帰りに図書館に寄ることがあります。両親共に仕事が夕方シフトの仕事で帰宅も遅く食事も遅いので帰宅途中にあるファミリーマートで軽食を買って帰るのが日課です。
ある日、太郎君は図書館で本を借りました。この場合、図書館から出て行く情報は、仮に以下の様になるとします。
△月○日16時32分、14歳の市内在住の男性が、『暗黒神話体系シリーズ クトゥルー 第1巻』『這い寄れ!ニャル子さん(1)』を借りた。
次に彼はいつものようにファミマで買い物をします。するとこちらは以下の様な情報が記録されると思われます。
△月○日16:48分
会員IDxxxxxxxxx
購入品目
当然ながら後者のファミマの利用履歴にある会員IDを照合すると、登録時に申告した個人情報、氏名や年齢、住所、電話番号などと結びつきます。
この時、『時間16時台で、年齢14歳男性、武雄市内または周辺で使われたTカード履歴』と言う、図書館から得られる範囲の条件でTカードの利用履歴からデータを引き出してみます。利用状況にも寄りますが、この時点で確率的にそんなにたくさんが引っかからないと思われます。まず武雌市の14歳男性は国勢調査によると約300人でした。さらにこの中から、16時台に武雄市周辺でTカードを利用した人というのはどれだけのいるのでしょうか。
さらに「クトゥルーとニャル子さんを借りている事から、彼はオタクが好むアイテムを購入している可能性がある」としたとき、ヴァイシュスバルツ(アニメ・ゲームなどのキャラクターを題材にしたカードゲーム)を購入しているので引っかかります。こうなると、ほぼ間違いなく誰が借りたか特定ができてしまうでしょう。このオタク属性等と言うのはレアな属性でもなんでもありません。またこの他、例えばここで車好きでもいいし、スポーツ好きでもかまいません。そう言うありふれた属性で良いのですが、年齢と性別、時間と地理という条件が重なると、絞り込みの条件になって、特定がより簡単になっていくのです。
次に彼がまた同じ行動をとったとします。
図書館で本を借りて、ファミマで買い食いして以下の履歴が残りました。
△月×日16時28分、14歳の市内在住の男性が、『暗黒神話体系シリーズ クトゥルー 第2巻』『這い寄れ!ニャル子さん(2)』を借りた。
△月○日16:48分、会員IDxxxxxxxxx
購入品目
この時、前回と同じ条件『時間16時台で、年齢14歳男性、武雄市内または周辺で使われたTカード履歴』でTカードの利用履歴情報を引き出します。さらに、これを以前の記録の中から、ほぼ同一の行動パターンをとっている人物を引き出してきます。すると、ほぼ一人が浮かび上がってくるのではないでしょうか。
この時点で逆のアプローチが可能になります。つまり『会員IDxxxxxxxxがファミマを利用するとき、同一の属性の人物が同じ時間帯で図書館を利用している場合、高確率で同一人物である』と言う事が言えるようになります。これでファミマで利用が合った時、図書館から出された情報を検索すれば彼の利用履歴が作れる事になります。
さらに何回も似たような行動を繰り返します。するとどんどん彼の行動パターンができあがっていきます。行動パターンの積み上げにより太郎君を特定するための情報がどんどん積み上がっていきます。こうして積み上がった情報から、例えば彼がファミマを利用しなかったとしても特定が可能になっていくでしょう。「16時台に、同一シリーズのニャル子さん4巻を借りている。履歴から照合すると高い確率で会員IDxxxxxxxxの情報である」と判断することができる様になっていくのです。
武雌市内にある和平電機につとめている女性、小町花子さん(29)。在所は隣接する小町町で、勤務先の和平電機は毎週火曜日がノー残業デー、定時で退社する日と決まっています。協定でいつも1時間程度は必ず残業があるお仕事ですが、この日は17時に退社できるので、いつもこの日に用事を済ましています。
彼女は節約上手なのでポイントカードの提示を忘れません。Tポイントカードも例外ではなく、たくさんポイントを貯めるためにあちこちでポイントカードを使っていました。勤務先のある武雌市の図書館も利用しています。
この条件の場合、上記太郎君の場合のパターンでも特定が可能ですが、実はさらにそれより一発で特定ができてしまう可能性があります。それは、普段が彼女がTカードを使って作り上げた、行動パターンがあるから。
花子さんの利用履歴では、最近カメラのキタムラで高価なカメラを購入している情報、地元のTSUTAYAでカメラ関連の本を購入していたりする履歴があると、花子さんは最近カメラにはまっているようだ、と言う事が見えてきます。またガストではドリンクバーは2つのことが多いだとか行った情報から2人暮らしである事、一度名義を変更していることから結婚している事、ウエルシアでは愛犬用の用品をよく買っている事、などから犬を飼っている事、等々、どんどん情報が見えてきます。
△月×日17時20分、29歳の小町町在住の女性が、『デジタルカメラ入門 -2- 愛猫、愛犬を撮る』『なぜか夫婦がうまくいく3つの習慣―二人の危機を救う本』を借りた。
この時Tカードのデータベースから『デジカメ好きの30前後の女性、ペットを飼っている。既婚者』という検索条件で検索した場合、花子さんのTカード利用情報からの情報と、図書館の利用履歴の両方が抽出される事になります。
ここから、小町町の住人の29歳女性、と言うカテゴリで見ると、ほぼ間違いなく同一人物の情報だという事が分かる事になります。ちなみに小町町に在住する29歳女性は国勢調査によると約40人でした。
ここで彼女のTカードの情報には「図書館利用者である」という属性が蓄積される事になります。この後は豊富に蓄積された情報を元に、彼女の図書館利用履歴のトラッキングは比較的簡単に、高精度にできることになります。
武雌市に在住の、武雌和也さん(41)は、最近母親が難病にかかってしまいました。何しろ情報が無いのであらゆる手段を使って調べています。Yahoo!で検索して見たりしているのですが、欲しい情報が見つからりません。普段は全然利用していませんが、思い立って図書館に行ってみることにした。図書館では興味深い話を見つけましたが、情報が若干古いのでさらにYahoo!で検索をして新しい情報も仕入れたりもしています。ちなみに和也さんは、普段は奥さん任せでほとんど買い物などはしない人です。
和也さんの場合、ほとんどTカードを提示する機会は無い人ですので情報が少なくて照合などできないように見えます。が、ここで出てくるのがYahoo!IDです。和也さんは以前、Yahoo!で趣味の釣りの道具を購入したことがありました。その時、市が図書館カードとしてアピールしていた時に惰性で作ったTカードと結びつけを行っていました。
それによって、Yahoo! IDにTカードの情報が結びついている状態になっていたのです。
実はこのように、Tカードというのは非常に広範囲に利用域が広がっています。一度しか使ったことが無くても、使用した時に別のIDと結びつくような形になっているのであれば、TカードのIDそのものを利用しなくても、芋づる式に情報がつながってしまうと言う事が起きます。
Tカードは絶対に図書館以外で使わない、と言うのが一番シンプルです。図書館専用のTカードと、図書館以外のTカードを別けてもあまり意味がありません。Tカードによって記録されるデータベースに、図書館以外の部分で乗るような事をしてはいけません。従って、今、Tカードを利用している人が、図書館でTカードを利用し、尚且つTカードと図書館のデータを結びつけたくない人は、どちらかあきらめる事が必要です。図書館をあきらめるか、Tカードの利用を停止するか、どちらかになります。すでにTカードを利用しながら、結びつけたくない人は、図書館にて利用を開始する前に、一度CCCに個人情報保護法に基づく情報削除を依頼しておくことも忘れてはいけません。
おそらくこれらの指摘に対しては
情報分析については、コンピュータの大容量化、高速化によって不可能ではなくなりつつあります。近頃「ビッグデータ」処理システムなどを用いることによって実際に行われています。
これが「容易に」と言えるかどうかと言う事になるのですが、個人的な見解としては容易だと言って良いと思います。完全にデータベース上だけで照合が完結できてしまうと言う時点で、後はリソースの問題であるからです。コンピュータのリソースなどは数年もたてば倍にと言った世界です。そして毎回膨大なデータを処理しておかなくても、あらかじめデータをあらかじめ整理してあれば、許可を受けた店舗のマーケティング担当者レベルでも情報を引き出せるようになるでしょう。さらに言えば、観覧したい個人がすでに決まっていて、本人を知っている場合(標的を絞っている場合)はもっと簡単に情報を引き出せます。そこにダイレクトに個人を特定するID(名前も含む)が含まれているかどうかは関係ありません。
また情報を際限なく結びつける事を許さないので問題ない、と言う話についてはまず、Tカードの利用規約がすでにそれを許す形になっていることがあります。もちろん企業の内規等でそれができないようにしている可能性はあります。しかし、そこは行政が直接的に知る事も、コントロールする事もできません。何しろTカードの加盟店は膨大ですのでそれら全てに行政が行うべき情報保護に対する規律を求める事ができるのか、と言うと不可能でしょう。
であれば、共通的にTカードの規約を変更する等が必要になるでしょう。また技術的な原則論を超えて、特別な条例を作ってそれによってCCCを縛る事をするだとか、そういった政治的解決法はあります。しかし裾野が広いだけあって、規約だけでは駄目で、実際には不可能な形にしておかないと不十分である、と私は思います。
これはプライバシー問題の特殊さ、難しさが絡んでいます。プライバシー問題の難しさは、観覧された時点ですでに侵害が発生しており、さらに原状回復が不可能である(予防しかない)事、さらに発覚しにくいためです。
ちなみにこれは、公共サービスをそのような民間ベースのID認証に付け加えると、毎回このような情報の取り扱いについて問題が発生していくことになりますし、それらが適正に処理されているかの確認は行政側が行わなければなりません。住基ネットの住民票コードが民間利用禁止されているのもこう言った難しい問題があるからです。
次に「これらの事は民間ではすでに当たり前である」という話もあります。何を今更、と言う事ですね。これは全く持ってその通りで「俺はそうであっても気にしない」と同じような立場になります。しかし、事問題が行政サービスに関わる事であると言う事を忘れてはなりません。また、気にする気にしないと言う話は本質的には個人情報かどうかには直接関係はしないと思います。
もはや落としどころとしては、Tポイントカードを単なるユニークなIDが振られたカードとしてのみ図書館で利用する形にするしかないと思います。情報の流れを一方通行にする。図書館側からは一切CCCに情報を渡さない事ですね。
ではポイントの付加はどうするのか、と言う事になりますが、これはあきらめるか、さもなくば独立したシステムでポイントを加えるしかないでしょう。これでも「このIDは図書館を利用した」という情報は発生することになります。これも解釈によっては個人情報ですが、独立したシステムにすることによって、情報を渡したくないからポイントをつけない、と言う選択肢も可能にするべきです。当然Tカード以外のカードでも利用可能になっていないといけません。
こうなると「図書カードとTカードを別々に持つ必要がない」程度しかメリットが残りませんが仕方が無いでしょう。
最後に。セキュリティ論じゃないところに踏み込むと…正直CCCが戦略を誤ったとしか思えませんね。Tカードの話なんか出さなけりゃ良かったんですよ。あとポイントも。分かり易いメリットのつもりで市長に売り込んで、市長がそれを大々的に宣伝してこうなったのです。本を買わずにレンタルで済ます層の情報に商売としてのうまみがそれほどあるとは思えませんし。CCCグループはTSUTAYAを始めとした幅広い販売チャンネルから得られるPOS情報に、自前の取次MPD、流用出来るノウハウなども多数持っているんだからそっちで責めれば良かった。その上で競争入札に入れば良かったんですよ。
確かに「Tカードを全面に出さなければならなかったと言う事は、その他のメリットがなかったためでは?」と言う話はありますけど、それならば他の既存の業者を選んだ方が市のためになるわけですから今より悪い事にはならないはずです。
もしかしたら、アマゾンのような推薦図書を自動的に提示してくれるシステムを構築しようとしてる?だとしたら、基本的に個人情報を基にした情報提供だから、結局個人情報保護法に抵触する。
マーケットリサーチ分野って割と専門家目線とシステム目線が必要だし、わりと面倒なシステム構成になると思われる。そもそも、そんなシステム構築する費用あるのか?という疑問が沸くなぁ。
夢を語るのや問題提起は悪い事ではない。しかし、逃げとか権力に批判とか、といった発言は大人げ無い。市長の品格としては疑問の言動だな。
http://hiwa1118.exblog.jp/15827483/
僕が言っているのは、「5月6日20時40分、42歳の市内在住の男性が、「深夜特急」「下町ロケット」「善の研究」」を借りた。」ということそのものについては、個人が特定できないし、仮にこれが外部に出ても法令に照らし、全く問題がない、これが僕の見解であり、図書館の貸出履歴は、これをもとに、個人情報に当たらないって言っているんです。個人が特定できない。その中で、この情報はとっても貴重で、図書館の本の品揃え(武雄市立図書館は市民から成る選書委員がいます。)に当てたり、リコメンド(本を借りる人に、別の本の推薦)にあてたいって思っています。
武雄市がいったい何人の住人数で、どういった年齢の人口構成をしているのか全く知らないので一般論として考えると、県立図書館クラスでなく、分館も無い状態の市立図書館で、本を借りる為に、たまたま同じ時刻に貸出カウンターで後ろに並んでいた人が、
・日時
・年齢
・性別
・貸出された本
を見れば、「あ、あの日自分の前に並んでいた人は「深夜特急」「下町ロケット」「善の研究」を借りていたんだな」と推測できる可能性もある。近所や同級生が並んでいたら、完全に個人を特定できてしまう。
借りた本が、たまたま変わった趣味や宗教信条に関わる本ならば、近所の噂の種にならないとも限らない。
個人が特定できないし、仮にこれが外部に出ても法令に照らし、全く問題がない
と主張しているが、
特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
に該当する見方も出来ると思うので、
とても遠慮気味に言えば「全く問題がない」は言い過ぎ。
(1)1年間限定ですか?それとも、問題がなかったら、3~5年など継続して使いますか?
・通常は、ソフトウェアの瑕疵担保は1年(1年は、ソフトのミスは、開発業者が直す)。
・仮に、サーバトラブルや、システムトラブルで、システムが止まったときに、どの程度止まることが許容できますか?
・年数は、自動化するか?どうか?の見極めに使う。
月給25万のサラリーマンだと、年収300。保険等も加えると、人を雇うコストはそれなりに高い。
数年使うのであれば、ある程度、初期投資をしても良いという判断が働く。
(400万でも、5年使うのであれば、年間80万。)
普通のスタッフ一人(が専任・手動で今回の対応を行う)やとうのと、
システム400万は、会社から見ると、経費の観点では変わらない。
やってみなきゃわからないだと、あったらいいな便利機能は極力削って、必要最小限の機能で
対応して、実際のオペレーションで不便な箇所を、追加発注で、自動化等の修正してもらえばいい。
(2)個人情報を管理しますか? 初期の申込み専用のシステムですか?
・多分あると思うので、SSLは必須。ベリサインでなくても良い。
・毎年~数年毎に更新必要。担当者が変わる(自分が辞める)ことも想定して、引き継ぎ項目に加えておく。
・多分あると思うので、サーバは専用にした方がいい。(Amazon安い)
・ドメインも多分必要。毎年~数年毎に更新必要なので、引き継ぎ項目に加えておく。
(3)バックアップは必要ですよね?
・ハードウェアみたいな形があるものは必ず壊れる。オペミスで飛ばすこともある。何らかの方法で、サーバ以外に、入力データを持っておく。暗号化はしておいた方がいい。
システムは納品業者が持っているけど、入力データは持っていない。サーバが飛んだら、取り戻しがきかない。
・できれば、(お客さまの名前は伏せて)、メール自動返信する場合には、自社スタッフにもメールCCしておく(個人情報はのせない)。最悪、バックアップがない状態で、サーバが飛んだときでも、お客さまのメアドは判る。
(4)入金管理はやりますか?クレジットカードは取り扱いますか?
(WEBシステムで管理すると、顧客情報などをまとめて、CSVで落とせる。細かいところはエクセルで調整が効く)
・お金もかかる。
(6)会員サポートは、どうしますか? メールだけですか?電話対応はしますか?
・電話対応、メール対応どちらも担当者が変わる(自分が辞める)ことを想定して、マニュアルや、メールの場合には回答テンプレートを作っておく。
(7)会場の増減、時間の変更、会員のキャンセル等は、誰が、どうやって、対応しますか?
・会場の増減があるのであれば、WEB管理画面から、管理できるのがいい。CSVで落とせること推奨→エクセルで管理できる→自社対応できる
・仮に、会場の増減や、会議のキャンセル、時間変更等があった場合には、どのようにして会員に通知しますか?
システム作る方がいいけど、100名程度なら、一括送信できるWindowsアプリがあるからそれを使う。システム化すると、お金がかかる。
(8) 過去のキャンセル率、問い合わせ率を教えて下さい。もしくは、調べる方法を教えて下さい。
・100名応募で、20名キャンセルの場合、本当は、キャパあるからもったいない。
過去実績から、大目に人員を募集して、席が足りない場合には、どうにかなるか?あたりを相談。
・キャンセルは、返金等にも影響。
・問い合わせ率は、人間がやった場合の費用を算出(兼任もあるので、一概に比較できない)
システムの見積もりも聞いて、どちらが安く済むかを上司に相談。
多いのであれば、自動化推奨。
・メールアドレスベースは、管理が楽なのだが、不通トラブルも多い。
それを避けるのは、最初に、疎通確認してから、問い合わせの方式がベターではある。
・簡単に、会員様の情報をID+PWで管理できるサイトを作ると、
会社側の管理コストが減る。(最初の質問のどのくらい使いますか?によってくる)
・自動化もできるけど、最初は、手動対応推奨。(データ集めのため)
(9)デザイン、テストにどのくらいの費用がかけられますか?仕様書・マニュアルは必要ですか?
・デザインは、決定権者の好み(好き、嫌い)が入るので難しい。
・継続的な業務であれば、仕様書、マニュアルも作ってもらった方がいい。
(10)納期はいつですか? 仮に、何らかのトラブルがあって、
この3つのプライオリティはどうなりますか?優先度をつけてください。
参考までに、予算がまったくない!というのであれば、
決裁に必要なのは
・Aさん、Bさん、Cさん、……Rさん が応募しました。
という根拠が必要だからで、上司がそれを見てオッケーと印つくまでは確かに履歴書は必要だよね(でないと、採用担当が無茶できることに)。
で、それを保存しておくのは、外部から「採用に不正があるんと違うんかいゴラァ」って突っ込みが入ったときに、いやいやそんなことはありませんよー、という説明を行うため。
1年間保存なのは、おそらくアルバイトの雇用期間が1年を越えないからで、苦情の趣旨から言って、アルバイトの雇用期間も終了したあとで「採用に不正が…」と苦情のくる可能性が少ないこと、そして年度が変わったら担当や関係者もいなくなるから、年度終了時に捨てておけば、「書類は保存してません、事情は分かりません、担当変わってますので」攻撃が使えるから。それは厳密に言えば個人情報の目的外使用では…?と疑問に感じているのだと思うけれど、それが「採用における公正さの証明」としてのみ保管され、あなたが言うように他の目的に使用されないという前提なら(関係者もそこまで馬鹿ではないと思う)、それはセーフじゃなかろうか。
個人情報保護法にも
個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
とはあるわけだしね。
まあこの法律は地方公共団体における取り扱いを規定はしてないけど、戸籍とか取り扱う場合と違って、採用における個人情報の管理なら、これに準ずるものと理解しておくのが妥当だろうし。まあ、どこまでが「相当の関連性」と認められるかについての判例とか調べたわけじゃないけどさ。
とりあえず、民間の対応だとこんな感じかね。
http://okwave.jp/qa/q2946424.html
あとこんなんもあった。
http://www.miraic.jp/group/publication/publication02/pdf/3779.pdf
HTMLはわかるけど、サーバーサイドはお遊びでphpを触ったぐらいだったので、会員制でデータをためこむサイト作りに初めて挑戦した。
今回重視したのは、「いかに個人情報をお漏らししないようにして、万が一漏らしても被害を少なくするか」ということ。
世の中、有償サービスでもパスワードを平文で保存してるサービスが意外と多いらしいので、流出した時のリスクを少しでも減らせる対策として書きます。
サーバー:ロケットネットのキャンペーンにでレンタルサーバ年1000円ポッキリプラン クライアント側の処理:HTML+CSS+jQuery(とプラグインもろもろ) サーバ側の処理:PHP Webサーバー:Apache データベース:MySQL
俺も巻き込まれたところでは、サミータウンがメールアドレスとパスワードセットでお漏らししてお詫びに1ヶ月無料なにそれこわい。
サミータウンだけならまだいいけど、メアドとパスワードを他のサービスで共通化して使ってる情弱なので、
共通化してメアドとパスワードをどこかのサービスが一箇所でも漏らすと、ヤフオクID乗っ取り事件みたいなことになる。
http://internet.watch.impress.co.jp/cda/news/2008/09/26/20967.html
俺だってできれば人様のメールアドレスとパスワードとか預かりたくない。
万が一、肉親のメールドレスを発見してパスワードにrapemeとか入ってたら明日からどういう顔すればいいかわからない。
ググってみてもどこにも情報のってない。うーん困った。ダメもとで「個人情報ってどうやって保存したらいいんだろう。。。」
って、twitterでつぶやいたら、「住所とかは可逆暗号化でいいけど、パスワードはハッシュで不可逆化しないとだめだよ!」
「住所とかは可逆暗号化でいいけど、パスワードはハッシュで不可逆化しないとだめだよ!」
何のことかわからなったので、調べてみると、
・ハッシュ=ハッシュ値を使った、元のデータに戻せない暗号化方式
うーん。。。よくわからん。。。
電話番号とか住所は、第三者が使用する情報なので、可逆が必要。パスワードは、認証にしか使わないので、
ハッシュ値の結果が一致すれば元のデータがわからなくてもOK、という方式なのでこういった暗号の使い分けをする。
●可逆暗号のイメージ(もとにもどせる) 暗号化キーは開発者が指定する。 090-xxxx-xxxx →(暗号化)→ !'&%($% →(復号化)→ 090-xxxx-xxxx ●ハッシュのイメージ(もとにもどせない) 登録password(DBに保存)→(ハッシュ値抽出)→!"$#'$#=" ログインpassword →(ハッシュ値抽出)→!"$#'$#=" ※二つのハッシュ値が合っていれば、パスワード一致として認証する。
今回はMySQLの関数で実現した。encode関数で暗号化して、decode関数でもとに戻す。
例えばtel_noという項目だけあるテーブルがあるとすると、
//データベースに保存する時 insert into テーブル名 (tel_no) values (encode(tel_no,'暗号化キー')); //データベースから取得する時 select decode(tel_no,'暗号化キー') from テーブル名;
これで、データベース格納時は暗号化(バイナリ化)されて、データベースから取り出してHTML表示する時に復号化はされる。
<ユーザ登録時>
$password=(フォームから取得) $hash=hash('sha512',$password) //ユーザ登録時は、ここで生成した$hashをデータベースにぶっこむ。
ユーザ認証時は、入力されたパスワードと、データベースのパスワードが一致するかチェック。
//フォームから入力されたパスワード $input_password=(フォームから取得) $input_hash=hash('sha512',$input_password); //MySQLに保存されたパスワードを取得(略) $db_hash==(データベースから取得) //判定 if($input_hash==$db_hash) echo 'ログインしますよ!'; //ここにログイン処理を書く else die('メアドとパスワードがあってないよ!');
これでもしSQLインジェクションとかでデータが流出しても、ハッシュ暗号のパスワードに関してはまず解析されないはず。。。
可逆暗号のデータもphp側の暗号化キーが盗まれない限りバレない。。。はず。。。
何でもかんでも暗号化するとコードが煩雑になるし、パフォーマンスにも影響でそうなので、
住所データの都道府県とか、漏れても良いような情報は暗号化しませんでした!!
個人情報保護法 2条による定義 「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
これで、もし漏れても、俺、ウンコ漏らして臭いけど、パンツから出てないからいいよね?というレベルにはなった。はず。
万が一漏れても大丈夫!と書いたけど、そもそも漏らすなというお話になる。色々調べた結果、以下の対策をほどこした。
・当初jQuery側でSQL組み立ててPHPに渡してたので、これだと任意のSQLが実行できて漏らし放題なのでやめる。
・GETとかPOSTでDBに渡すパラメータを扱ってる場合、ちゃんとエスケープする。
例えばログイン認証するPHPで、GETメソッドでフォームからデータを取得するような場合、
$id=$_GET['id'] $pwd=$_GET['pwd'] $sql="select * from ユーザーテーブル where uid='$id' and pwd='$pwd'
とかやってると、login.php?id=admin'&pwd=' OR '1'='1とかパラメータを渡されるとあら不思議!
select *from ユーザテーブル where uid='root' and pwd='' or 1=1
で、誰でもログイン出来ちゃう!ので、mysql_real_escape_stringでエスケープしたり、渡されたパラメータが想定した値かどうか(例えば数値かどうか、とか)のチェックをいれたりする。
・保存するデータにタグやJavascriptを埋め込まれないように、保存されたデータを出力する場合はPHP側でhtmlspecialchars関数使ってエスケープするようにする。
こんな感じでお漏らし対策をした。間違いがあったら教えて欲しい。
ちなみに出来上がったサイトはこれ。
ほんとにしつこい。悪徳勧誘電話。毎日~2・3日おきにかかってくる。
家にもかかってくるが、出ないし、電話線抜いてるから、どうでもいいわ。
問題は会社。
なぜ、職場にかかってくるのか。この社会の底辺の糞業者の持っている名簿には私の名前と会社名と会社の電話しかないからなのか?自宅の住所、電話番号等も漏れているのだろうか?可能性は否定出来ないが。
それとも何か理由があるのか?会社では着信拒否が出来ないからとか、取り次ぎがいるからとか、ソーシャルエンジニアリングを利用しているんだろうか?
社内にも多分漏らしている奴がいる。以前、ある上司が昇進した(昇進が発表された)翌日、「昇進おめでとうございます」と勧誘電話がかかってきたからな。絶対犯人は社内にいる。
受動的対応しか出来ないのがなんとも悔しい。相手にしない、いわゆる「スルー力」が試されるわけだけど、攻勢に出たい気分は止められない。役所や消費者生活センター、警察や、個人情報保護法などの法律も、この手の糞業者には役に立たないからなぁ。NTTや各種通信キャリアも、儲けの一部だから何にもしない。NTTその他キャリアも、苦情の多い電話番号は、即刻回線停止や強制解約とかしてくれてもいいと思うんだがな。
法律で勧誘電話を禁止しても、この糞底辺共は、法律を破ってナンボだから何の役にも立たない。今の電話でもそうだけど、最初の言葉が「これは勧誘とかではありませんので」とか言う。勧誘じゃなかったら何の電話だよ、と1時間くらい説明してみろ。
個人的には「ぬめり」(http://www.numeri.jp/)とか、イマイとか、探偵ファイルに対決してもらって欲しいと思っているんだが。この人達ほど、私は強くないからねぇ。こんな強い精神力が欲しいわ。
悪徳勧誘電話が多すぎる。
私個人の固定電話だったら、自分以外出ないし、むしろ、Phone側の電話線を抜いてADSLとIP電話だけ使えれば何の問題も無い。IP電話もいらないな。どうしても音声ならskypeで充分かもしれない。
問題は親の電話だ。
既に30年以上同じ電話番号だから、膿がたまっているわけで、光回線の勧誘やらマイラインの勧誘やら非常にウザイ。あまりに親の対応がなんなので、勝手にナンバーディスプレーに電話を変えてやった。そして、「知らない電話番号、非通知、登録していない電話は出るな」と言っておいた。
父親はそれを律儀に守ってくれているのだが、問題は母親の方だった。
この前も私が会社から帰ってきたら、延々と30分も電話対応していた。自分が母親から受話器をひったくって、「もうかけてくるな」と怒鳴って、ガチャ切り、着信拒否の設定をした。
あれほど「知らない電話番号に出るな」と言っておいたでしょう、と言ったのに、「緊急だったらあれだし、何度もかけてくるから……」。人がいいのか何なのか自分の親ながら分からないが、こんこんと説教をした。
「家に行くぞ」とか言ってくる事もあるんだから、出るな、と言ったら「そんな事言われたら、『こられるもんなら来てご覧なさい』って言ってやるわ」とかのたもうたorz。ホントに来るぞ、馬鹿タレが。
実際過去に、どこかの不動産業者が勝手に自宅の庭にいたからな。
この手の迷惑勧誘電話をかけてくる社会の底辺のやつらは何をしでかすか分からないんだから、そんな事は言わずに、電話に出るな、と、これまたこんこんと説教するハメに。
母親は世の中の底辺の馬鹿共を甘く見過ぎている。常識が通じないんだよ、あいつら底辺共は。どうしたらその事を母親に分かってもらえるんだろうか。母親が思っている以上に、この世の中は悪辣なんだ。
電話機には、登録されていない電話番号以外は鳴らないという電話機もパナソニックだったかパイオニアだったかから出ているが、実際問題、もう70近い両親には、病院やその他(警察とか)、登録していない電話番号からかかってくる事も否めないので、登録以外はすべて拒否(着信音が鳴らない)、というわけにもいかない。
かといって、電話番号を変えるのも、今更新しい電話番号を覚えさせるのも酷だし、何しろ周りに新しい電話番号を漏れなく連絡するのも厳しいものがある。よってそれも出来ない。
NTTには迷惑電話お断りサービスもあるが、あんなの件数全く足りないし、NTTの金儲けの一端でしかないだろう。それに最初の1報目はどうしても着信してしまう。
行政も警察も消費者生活センターも全然使えねぇ。被害を未然に防ぐのがあんたらの役目と違うの?被害が生じてから動いたんじゃ遅いんだよ。うまくいけば金銭的なものは取り返せるかもしれない。だが、傷を負った精神とかかった時間は取り戻せないんだぞ。
個人情報保護法なんて何の役にも立ちやしねぇ。こんな業者がそんな法律守るものか。
NTTやその他携帯キャリアも、迷惑勧誘電話さえ儲けの対象としか見てないし。
光回線もマイラインもしつこいが、何と言っても投資マンション不動産が悪辣極まりない。恫喝・脅迫・嫌がらせその他やり放題。消費者生活センター自身も被害件数(相談件数)が急増とかHPに出しているのに、行政も警察も何の動きも無い。児童ポルノだのなんだの規制やる前に、こっちの社会問題化している方を何とかするのが先じゃないのかね?
「勧誘電話」でググればその手の話題ばかり大量に出てくる。
2chなぞ見ていると、「引っかかる方が馬鹿」とか「たかが電話の逆ギレで」とかいう書き込みも見るが、世の中、あんたらみたいに図太い神経の持ち主ばかりじゃないんだよ。
少なくとも、俺は自分も含め父母弟をこの犯罪的電話や犯罪的集団から守りたい。
まぁ、自分独りであれば、常に受動的というのが気に食わない、出来れば攻勢に出たいが、時間と手間と金の無駄でしかないからな。
最近、ひっきりなしに悪徳不動産業者からの勧誘電話(リダイヤル・逆ギレタイプ)が職場にかかってきます。
その都度、気分はどん底に落ち込みます。
仕方なく、セルシンとデパスの混合服用で誤魔化そうとしている。が、なんの解決にもなりゃしない。
電話が来るのは止められない(こんな悪徳業者が法律を守るはずがない)。
「世の中に不満があるなら自分を変えろ。ソレが嫌なら目を閉じ耳をふさぎ、口をつぐんで孤独に暮らせ」
これを聞いた時は、もっともだ、と思った。
周りを変える事は出来ない。
出来る事は「自分を変える」だけ。
薬では解決は出来ない。
如何にこの「嫌だな」とかわき出てくる怒りをどうするか、が最大の課題。
せっかく、鬱から脱出し、寛解に向かいつつあり、持ち上げようと努力しているのに、この【人災】が蹴落としていく。
これが恐くて、職場にいる事自体が苦痛・恐怖になってきた(それでなくてもパワハラ職場にいるというのに)。
嵐が来るのは避けられない。
しかし、嵐はいつかは通り過ぎるもの、というのも分かっている。
こういう電話も数分~数十分過ぎれば通り過ぎるというのも分かっている。
でも、嫌な気分・怒りはどうしてもわき出てくる。
「被害」と思うからいけないのであって、「こんな嫌がらせはスルー」というくらいの心持ちが必要なのだろう。
無理にこの感情を処理しよう・コントロールしようと意識するから、嫌な気分が増幅するのも分かっている。
「森田療法」のように、それを受け入れ、時間が経てばひとりでに治まっていくのを感じ、慣れていくしかない。
こんな心労を抱えて暮らすなら「孤独に暮らす」のも良いのかもしれない、と思う事もある。いわゆる「ひきこもり」だな。(宗教に出家という手もあるかもしれん)
もっとも、金銭的にそれは許されないが。
いくつか、森田療法の本を読んでみた。基本的には入院療法なのだが、日記をつけて医者と交換するとか、通院でやるとか、色々方法はあるらしい。
でもやはり、医者のサポートが必要なのかもしれない。自助グループも存在するようなので、探してみよう。
しかし、森田療法の真骨頂である「あるがまま」を理解するのは、実のところ、もっと時間がかかりそうだ。
まぁ、悪徳勧誘電話が怖いというのには、別の理由もある。
どの程度相手が情報を握っているかが分からないからだ。実はそれが怖い。こいつらは法律違反してる事も、他人が嫌がる事をやっている事も百も承知でやっている社会の底辺だからだ。即ち、自分からすると「こいつらは何をしでかすか分からなくて」怖い。
職場に電話がかかってくるという事は、職場のダイヤルインと会社名、名前(氏名)は握られているのは確定している。自宅の住所や電話番号はどうだろうか。こっちには電話がかかってきた事は無いし来た事も無いから、もしかするとそこまでの情報は持っていないのかもしれない。希望的憶測でしかないが。
リダイヤル攻撃してくるのも常だが、1日何百件も電話をかけないとならないのだろう?この底辺共。放置・ガチャ切りされてる相手にリダイヤル攻撃してるくらいなら、次から次へと対象を移していった方がいいと思うのだが、それは我々民間人の論理なのかもしれない。この手の底辺共の考えでは、リダイヤル攻撃をし、精神的に追いつめて契約またはアポを取らせるようし向けるのが目的なのかもしれない。
ところが自分、スパムメールに関しては、何の痛痒も感じていない。同じ自分の望んでいないスパム系でありながら不思議な感じがする。架空請求のメールが届いたりする事はあれども、悪徳勧誘電話ほど恐怖感は覚えない。むしろ、何も感じない。スパムメールは機械(またはボット)がやってるからかなぁ?というのと、自分がネットワークの仕組みを知っているから、なのかもしれない。
まぁ、その他、リダイヤル攻撃を喰らうと、職場内の電話が全滅してしまう事や、取り次ぎする同僚に手間をかけさせてしまうのが申し訳ない等、あるんだけどね。
せっかくアルゴリズムを考えてプログラミングに集中している最中に悪徳勧誘電話がかかってくると、嫌な気分になるし、何より、考え中だったりまとまりかけた脳内作業が雲散霧消してしまうのがムカツク。
警察は、実際に被害が発生しない事には動いてくれないので役に立たないし、消費者生活センター等ではテンプレートが用意されているだけで、全く機能しない。「毅然と断り、電話を切りましょう」とかなんとか書かれていて、法律では「再勧誘の禁止」が定められています、とか、個人情報保護法による対応等、テンプレートが用意してあるが、実情は、電話を切れば、この社会の底辺共は、実際にリダイヤル・逆ギレ・恐喝はするし、社名、担当者名を変え、あの手この手でしつこく電話をしてくる。
そりゃぁ、希望を言えば、こんな底辺共の事務所など、航空自衛隊の支援戦闘機から500ポンド爆弾を投下してもらってこの世から消滅させて欲しいと思う。
が、実際問題、悪徳勧誘電話がかかってくる事は止められない。行政も官公庁も何も出来ないのだから。
前述した通り、自分を変えるしかない。如何に早く気持ちを切り替えて持ち上げるか。トラウマの処理をしてからじゃないとだめかなぁ……。
先日、ハガキが来ていた。
「表現の自由を無視した児童ポルノ規制積極論者」として糾弾されていた記憶があったが、
再確認すると、やはりそうだった。
http://d.hatena.ne.jp/sympathyser/20100604
http://research.news.livedoor.com/r/46514
ということで、自分とは「全く思想的に相容れない奴」なんだが、なんでそんな「奴」が
自分の住所を知っているのか?、と更に不審に思ったら、
「母校の先生方・先輩・同期・後輩の皆様のご理解・ご支援をお願いいたします」と書いてある。
要は、「奴」と自分は同じ高校だったので、
「先方が勝手に名簿を使用してハガキを送りつけてきた」のである。
思想信条が180度違う「奴」に、勝手に名簿を使われ、勝手に送りつけられる
それだけで「精神的苦痛による慰謝料を請求したい」気分である。
はっきり言って、このような輩が高校の「先輩」だったのか、と思うと寒気がする。
ということで、怒りのやり場がないので増田に投稿しておいた。
「みんなの党」への投票を考えている人は、是非、再度再検討して欲しい。
というか、名簿の選挙使用は個人情報保護法の保護対象外なのか?
ザル法だなあ・・
http://blog.livedoor.jp/dqnplus/archives/1278384.html
http://alfalfa.livedoor.biz/archives/51482392.html
この手の話で一番ヤバいのは、
「反対している奴は後ろめたいところがあるからじゃないか」
という思考。
住基ネットとか、個人情報保護法とかの時もそうだったけど、こういう思考は蔓延してる。
みんな、自分が無罪かどうか自分で決められると思っているのか?
普通に考えれば、この枠組みだと日本人の99%が摘発される可能性がある。
警察は身柄拘束さえすれば、どんなやつでもいくらでも自白にもっていけるんだよ。
よしんば起訴されなかったり有罪にならなかったりしても、それを増幅して報道して、社会的に抹殺するのはマスコミなんだよ。
そんな例は身近に見たことないから大丈夫だって?
当たり前だろ、やたらめったら摘発するほど警察もヒマじゃない。
政治的、経済的理由からつぶしたい(あるいはつぶしてくれと依頼された)人間だけが選択的に狙われるから数が少ないだけだよ。
自分は一般市民で、そんなターゲットになりえないから大丈夫だって?
「一般市民の利益を代表している」「一般市民に不利益な活動をしている個人や組織を批判している」人間が、邪魔だからターゲットになるんだよ。
その結果、誰がどんな不利益を被るか、それが自分に及ばないなんて言えるか、ちょっと考えればわかるよね?
たとえそうだとしても、実際にターゲットになるケースはたぶん少ないだろうから大丈夫だって?
実際にターゲットにならなくても、「恣意的な解釈でターゲットにされるかもしれない」って思わせるだけでどれだけ莫大な脅迫効果があるか、ちょっと考えればわかるよね?