  |
はてなキーワード: 通信とは
なんか海外サービスからのSMSが届いてないことに気づいた。以前使ってたdocomoはデフォルトで勝手に拒否設定になってるクズだったので、同じようなことになっていないかとSMS拒否設定を確認することにした。
なんとOCNのSMS拒否設定はダイヤルからしかできないらしい。 https://www.ntt.com/personal/services/mobile/one/voice/option/07.html ダイヤルしたら「ネットワーク暗証番号」を求められた。そんなものは設定した覚えはないが、とりあえず心当たりがある番号を数回入力したが駄目だった。
ググると https://support.ntt.com/mobile-one/faq/detail/pid23000005ik が出てきて「ネットワーク暗証番号の初期値はOCNマイページにてご確認いただけます。」とのこと。リンク先を開くとOCNマイページに飛ばされが、「ネットワーク暗証番号」という文字列は何処にも無い。というかこのご時世に画像の文字やボタンがゴロゴロしてる。OCNの技術は20年前で止まっているようだ。いろんな画面を開いて閉じてして、やっと何処に書いているのかわかった。「ご契約のSIMカード/端末」のリストの下に※の注釈として「※音声対応SIMをご利用のお客さまは「ネットワーク暗証番号」が設定されています。初期値は「****」になります。」と書かれていた。そんな重要な情報が注釈書き???OCN頭大丈夫?
なにはともあれネットワーク暗証番号がわかった。SMS拒否設定の解除をしよう。改めてダイヤルしてネットワーク暗証番号を入力する。するとこういうメッセージが流れた「ネットワーク暗証番号がロックされています」。数回しか試してないのにロックされたようだ。KSG。というか一発でこれ通せる人間いるのか?そもそも https://www.ntt.com/personal/services/mobile/one/voice/option/07.html にはロックされるなんて一言も書いてないぞ。
ロックされたものは仕方がないので解除しよう。解除の方法は電話しか無いらしい。さすが日本最大のインフラのグループ会社だ。ゴミすぎる。電話を書けると自動音声のガイダンスが流れた、が、ネットワーク暗証番号がどれなのかわからない。仕方がないので「その他」を選ぶ。
オペレータに繋がり事情を説明した。ここでOCNの長ったらしいお客様番号を口頭で伝える。なぜ手前の自動音声のタイミングで入力させないのか?わざわざ言い間違えや聞き間違えの発生する口頭で伝えさせるのか?頭が悪いにも程がある。オペレーターが担当部署に繋ぎますと、違う部署へと繋がれた。まぁ、順当だ。
別のオペレーターに繋がった。何やら様子がおかしい。「SIMのロック」とか「ロック画面」というフレーズがオペレーターの口から出てくる。今回の対象はダイヤルによって変更するSMS拒否設定のはずだ。SIMのロックやロック画面などスマホが介在する仕様など一切ないはずだ。このオペレーターは何もわかっていない。仕方なく事象と状況とサービスの仕様をこちらが説明する。どちらがオペレーターかわかったものではない。何度もスマホの機能だと誤解するオペレーターを抑えつつ、なんとか理解させることに成功した。自社のサービスの仕様くらい自分たちで理解しておいて欲しい。結局このオペレーターでは対応できないので別の部署に繋ぐとのこと。さすが分業が進んだ図体だけでかい組織、対応できない部署の仕事を失わせないために客である私に無駄足を踏まさせたわけだ。
やっとテクニカルサポートの部署に繋がった。最初からそうして欲しい。「状況の確認をさせてください」と宣いつつ、先のオペレーターに説明したことを繰り返し伝える。さすがOCNだ。最高の情報連携システムを使っているようだ。一通りの話が済み。やっとロックを解除できることになった。オペレーターは言った「解除まで2営業日かかります」と。
は?
なんで2日も掛かるの?OCNの部署間はモールス信号でも使ってるの?いやいやモールス信号は古いとはいえ近代の無線を使った通信方式だ。そんな遅いわけがない。きっと伝書鳩を使っているんだ。今からオペレーターが手紙を書き、担当部署宛の鳩を確保し、飛ばすのだろう。7payの問題も起こった昨今だ。きっとサイバー犯罪対策にアナログにしているのだろう。
そもそも禄にドキュメントにも書かれていない「ネットワーク暗証番号」なるものが数回間違った程度でロックされてしまうこと、検索してもヒットしないこと、サイトのリンクが不親切極まりないこと、その程度の操作に何日も掛かること、オペレーターがサービスを禄に理解してないこと、諸々のクレームを入れた。そうするとオペレーターが謝罪をしてきたので「謝罪はいらないので上申してちゃんと組織として直させろ」と伝えた。俺って優しい。
仕事の片手間にやろうと思って契約したのに、ここ1ヶ月全く手がついていない。
合間にこうやって逃避したり、煮詰まりすぎてゲームしてるから時間がないわけじゃない。
貧乏ゆすりしながらやってるからあまりいい精神状態じゃないのはわかるけど、ちょっとした達成感が無いと塞ぎ込んでしまいそうになる。
その時間に勉強すれば良いのだろうけど、脳が仕事以外で考える事を放棄してしまって考える事に集中できなくなってる。
「それ以外で最初から苦痛になることは考えたくたく無い。」ってイヤイヤ状態がここの所続いている。
慣れるまで時間がかかる自分だから、新しい事をやる事にすごいハードルを感じやすい。
スケジュールもオンスケじゃないしまだ未確定な要素もある、且つ、在宅の仕事だから今日はここまでって切り時が難しい。
一日やり切って、「もう無理」ってなったタイミングで寝るという生活が続いている。
本当はスケジュールが狂ったタイミングで軌道修正しないといけないのだけど、自分一人だからお座なりになる。
非効率だなって思ってるよ…。
最高に面白かった。
前半の、野心と人間味に溢れて起業したマーク・ランドルフと大企業中間管理職ドロップアウロ組がオンラインのDVDレンタルサービスとしてのネットフリックスをなんとか立ち上げるものの、最初はエンジェル投資家気取ってた共同創業者のアルゴリズム冷酷超人リード・ヘイスティングスに追い出されるのは、「オッ!シリコンバレーやってるNE!」って感じ。
そこは退屈だったけれど、中盤でライバルのブロックバスターが出てきてからが最高におもろい。
っていうか、ブロックバスター・オンラインの奮戦っぷりにどんどん感情移入してしまうのだ。
ブロックバスターは、当時全米最高の店舗型のレンタルビデオショップなんだけど、MBA上がりの若い連中が店舗派や官僚的な組織と戦いオンライン化へ向けて戦う様が本当に良い。
例えるのであれば、関が原の石田三成、『銀河英雄伝説』のヤン・ウェンリー、横山三国の諸葛孔明みたいな感じ。
最初はネットフリックスのパチもんサイトから始まるもの、打倒ネットフリックス目指して改良に改良を重ねていく。
この戦いが本当に読んでてすっげー面白いのだ。
そのクライマックスが、後半戦の山場で出てくるブロックバスターオンラインの「トータルアクセス」というサービスのローンチ。
これは、店舗展開をしているブロックバスターの強みを活かし、返却も受け取りも店舗を使える上にそのまま店舗で次のレンタルが一本無料という、
まさに最近流行りの「OMO」(オンライン・マージ・オフライン。まあO2Oの焼き直しですね)っててやつ。
もちろん、最近のデジタルうんたらマンはきっと「そんなん当たり前じゃんプギャー」みたいな知ったかをするかもしれんけど、
これは2006年の話であり、それまでブロックバスターの店舗はインターネット網に繋がれたシステムはなく、衛星通信網をベースにしていた。
任天堂のサテラビュー(衛星通信でスーパーファミコンにコンテンツをダウンロードする超豪華システム。衛星打ち上げるのにすげー金かかっているのに全然売れなかった)かよって感じ。
まあ、2006年ってそんなに昔じゃないけれども。米国で店舗展開していたら糞インフラ事情と回線スピードはお察しでしょ。
そんな背景の中で店舗と連動するサービス作るって、地獄であり、その地獄を走り抜けて、イノベーションなサービスを作り上げたことに、俺は感動したのだ。
市場の新規加入者はほぼ全取りの上に、ネットフリックスの会員からも離脱者が相次ぎ、崩壊寸前!
アルゴリズム冷酷超人リード・ヘイスティングスもついに降伏の言葉を口にし始め、これでついに勝つる!
オンラインDVDレンタルサービス、そして、その先にあるビデオオンデマンドの王者はブロックバスターのもとにくるのか!
と思わせて………。
大変悲しいことがおきて、ブロックバスター・オンラインは大失速。
このシーンは、読んでてまじで、
『銀河英雄伝説』でいうところのバーミリオン星域会戦(ヤンがラインハルトを倒す一歩手前で停戦になるやつ)、
横山三国志でいうところの葫蘆谷の戦い(司馬仲達を谷に閉じ込めて爆殺しようとしたら雨降っちゃうやつ)を彷彿とさせ、
なんつーか、まあ本邦でも最近流行りの○○payに見られるような、ITとかWebとかそういうの知らないんだろうなーって感じのプロ経営者様は、米国にもいるんすねって話。
んで、まあブロックバスター・オンラインの中心人物たちは失意のうちにブロックバスターを去っていくんだけども、これもまた涙無しには読めず。
横山三国志でいうところの剣閣で剣を折る姜維というか、負けて捕まり縄目をおびて晒し者になる石田三成みたいな感じ。
終盤は、見事生き残り王者になったネットフリックス様であるが、アルゴリズム冷酷超人しかいない彼らにも陰りが見られ……みたいな感じで終わり。
ぶっちゃけ、作者は、ネットフリックスいやアルゴリズム冷酷超人リード・ヘイスティングスのこと大嫌いだろうと感じさせれくれるところが節々にあり、最高に面白かった。
もともとロイターの経済系ジャーナリストの処女作なのだけれど、徹底的に「人」に着目しているのが大変良い、
見せかけの経歴ではなく、徹底的に出自と人間関係を洗っており、大変おもろい。
この手のシリコンバレーテック企業本にありがちな、当事者たちの大本営発表や成功者談を鵜呑みにせず、第三者や反対した人々の意見まで丁寧に拾っている。
それこそ、リード・ヘイスティングスに関しては家系図を書くレベルの調査をしているし、主要人物は一緒に働いた上司の評価から家庭環境までこと細かに出てくるのだ。
おかげで、どの人物も単なる固有名詞を超えて、性格や生き様までリアルに描写されており、それがまた読んでいて楽しい。
本当に、ブロックバスター・オンライン側視点でドラマ化とかしたら、日本では絶対にウケると思う。
中盤は本当に山崎豊子の小説ばりの面白さで、ほんとあと一歩で、ブロックバスター・オンラインは、オンラインとオフラインの王者として君臨していたのではないか。
真面目に回答したら良いのかな?
おそらくは日本でネット投票がまともに解禁されるようになるには、インターネットで使われる情報技術の標準規格を選定するW3Cが定めたSelf-Sovereign Identity(SSI)というポリシーに則ったDecentralized Identifiers(DID/DIDs)が日本でまともに運用されてからだと思われる。
Self-Sovereign Identityとは訳すと自己主権型アイデンティティで、これは技術の規格というよりも技術を開発・運用するためのポリシーなんだ。
詳しくすると論文が書けてしまうので要約するけどSSIでは以下の10項目が提言されている。
これらの10項目はまだ上手い日本語訳が無くて俺の意訳が含まれていることに注意してもらいたい。
このSSIが何を言いたいかといえば個人情報の公開を第三者ではなく個人自身が管理・制御できるべきということなんだ。
SSIを定めたW3Cはそのポリシーに則って個人情報を管理するためのシステムの仕様を定めた。
それがDecentralized Identifiers(DID/DIDs)で、これも訳すと非中央集権型識別子ということになる。
何のことだが小難しい漢字語になってしまったので、より現代人へ理解しやすく平易な言葉へ置き換えると分散型デジタルIDと表現したほうが理解しやすいと思う。
現在、個人情報(アイデンティティ)というものは中央官庁や巨大企業によって中央集権的に管理されてしまっている。
これでは個人情報の本来の持ち主である個人が自由に利用することが難しいし、そして自身の個人情報がどのように扱われているのかというのを把握するのが非常に難しくなってしまっているよね。
更には中央官庁や企業としても日本国法で言うところの個人情報保護法の兼ね合いで個人情報管理に関して大きなコストを支払わざる得なくなっており、もし仮に個人情報が流出した際に賠償責任などのリスクを負う可能性があるのが現状だ。
そこでW3CはSSIポリシーに則ったDIDという仕様を定め、これまで問題視されてきた個人情報管理の問題点を解消しようと近年動き出している。
DDIはブロックチェーンにより分散的に個人情報を管理しつつ改竄を防ぐ仕様が取られている。
更に特徴的なのは個人が個人の意思によって個人情報請求に対して公開したい範囲の個人情報のみを開示できる仕様になっているんだ。
これはどういうことかと言えば、現在の日本ではタバコや酒類を購入することに関して成人であることが条件になっていて、成人認証には運転免許証やマイナンバーカードなど公的機関が発行する資格・証明証が用いられている。
この問題点はタバコや酒類を購入する際に必要な個人情報は「成人である」という証明だけのはずなのに、例えば運転免許証であれば氏名や現住所、許諾されている運転車両の範囲など余計な個人情報も記載されてしまっていることが問題なんだよね。
しかし、DIDを用いるとタバコや酒類の購入者が開示する情報は「成人である」ということができるようになる。氏名も生年月日も現住所も許諾されている運転車両の範囲も開示する必要がないんだ。
これは中央官庁や企業に取っても非常に安心な仕様だ。何故ならもし誤って個人情報を流出させてしまっても流出するのは誰のものだか判然としない「成人である」という情報のみだから。
他にも携帯電話通信契約などの場合でも本人確認や法的に契約できる者なのかを確認しなければ契約の締結はできないけれど、DIDを用いると開示する情報は「本人である」というものだけになる。
契約業務をする目の前のスタッフはアナタがどこの誰だか全くわからないけれど、アナタが本人であることを知ることができる。こういうことを可能とするのがDIDというシステムなんだ。
ポイントカードやクレジットカードもDIDと紐付けば何枚も持ち歩く必要なんてなくなる。
そして選挙は本人であることや、投票できる年齢であるかどうかを確認したり、投票の秘密を守らなければならない。更に言えば投票の集計もしなければならないよね。
DIDは中央集権に寄ることなくアナタが本人であり投票できる者であることをアナタの許諾を得て承認し、投票の秘密を守り、更にはコンピュータだから超高速に投票集計もしてくれるんだ。
SSIの透明ポリシーによって投票集計のプログラミングコード・アルゴリズムもオープンに公開され公正に選挙が行われる。
これが最も先進的な個人情報管理のために提言されている新しい技術だ。
SSIとDIDが日本でまともに運用開始されるとネット選挙の未来はそう遠くなくなるよ。
ここ連日騒がれている7pay。
パスワードリセットリンク送付先のメールアドレスに対して設計上の問題で脆弱性が発覚して大変な事態に発展しています。
昨日の会見では社長のITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています。
また、会見内で「セキュリティー審査を実施した」と明言がされました。
https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html
セキュリティー審査を実施していたにも関わらず、何故今回の問題が見逃されたのか。
非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います。
その名の通り、サービスローンチ前に実施する、脆弱性や問題がないかの審査の事・・・だと解釈しました。
一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます。
「実施した」とはいっても、どういった内容を実施したかはわかりません。
ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチな脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います。
通常、脆弱性診断というと、以下のような項目があげられると思います。
抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います。
詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています。
LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティ、スプラウトなど。
ただ、今回の脆弱性診断が外部ベンダで実施されたのか、内部で実施されたのかはわかりません。
以下、推測をつらつら書いていきます。
脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります。
Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます。
また、数量計算もベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。
お願いすれば見積もり時にステージング環境で動いているWebサービスをクロールして、各ページの評価を付けてくれるベンダもあります。
規模と見積もり内容にもよりますが、100~200万といったところでしょうか。
スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。
プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います。
これ以外にWebSocketを使っていたり、別のサービスと連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります。
Webサービス200万、スマホアプリ(iOS、Android)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。
脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。
そしてこれをそのまま発注するかと言われると、多分しないでしょう。
セキュリティはお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。
経営層は中々首を縦には振らないでしょう。
会見でも明らかになったことですが、社長のITリテラシはあまり高そうにありません。
こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。
また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。
いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。
削れるものをあげていってみましょう。
例えば、iOS用スマホアプリは実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からのアクセスは基本不可であるためです。確か。
そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセス用インターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータはほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います。
・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。
プラットフォームも、ベンダによりますが実施しなくとも良いとも思います。
ベンダの説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います。
Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います。
サーバのコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。
そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。
ワイドショーでは「不正は海外IPからで、国外からのアクセスを許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります。
実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います。
Webサービスですが、ログイン・ログアウト処理は必須でしょう。また、新規登録、情報変更、退会処理も重要です。
パスワードリセットはどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。
ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。
ただ、NRIにはNRIセキュアというセキュリティに特化した子会社が存在しています。
もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います。
ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。
NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります。
別のベンダに発注したことで、抜け落ちた可能性はゼロではないかもしれません。
また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料をセブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断はセブンに委ねられます。
考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・。
ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます。
使ったことはありませんが、SecurityBlanket 365というサービスは自動での定期診断が可能なようです。
ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダに逐次依頼する脆弱性診断よりかは安く済むはずです。
ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。
ツールの手が届く範囲での、XSSやPoC、ヘッダの有無など、ごく一般的な脆弱性診断になると考えられます。
でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。
脆弱性診断ツールはOSSのものもあればベンダが販売していたり、SaaSで提供しているものもあります。
OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります。
ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。
有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います。
SASTになると、RIPS TECH、Contrast Securityなどでしょうか。
上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。
こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。
ただし、社内のエンジニアに任せる事になるため、片手間になってしまう可能性があります。
また、ツールの使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います。
・・・とは言ってもセブンにはCSIRT部隊がちゃんとあるんですよね。
https://www.nca.gr.jp/member/7icsirt.html
『7&i CSIRT は、7&i グループの CSIRT として設置され、グループ企業に対してサービスを提供しています。』と記載があります。
また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています。
グループ企業の情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査・分析とリスク情報の共有、ならびにインシデント対応活動を行なっています。』
という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。
組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会、情報管理委員会のどこかに所属しているんじゃないかと思われます。
日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバーは専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。
なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います。
会見内で言われた二段階認証も検討事項に上がらなかったのかなあ・・・と。
で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。
https://www.7pay.co.jp/news/news_20190705_01.pdf
これを見ると内部のCSIRTが機能していなかったか、力不足と判断されたかどちらかになるのかな・・・と。
実際はどうだかわかりませんけど・・・。
これも有り得る話かなあ・・・と。
開発やベンダやCSIRT部隊が情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧な表現で伝わっていなかったとか・・・。
ベンダが実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。
7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応に時間を取られることになります。
そういった事を許さない空気が出来上がっていると、まあ中々上には上がってきづらいです。
これも十分にありえる話ですかね。ないといいんですけど。
どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。
そこで思ったのですが、情報セキュリティ基本方針と個人情報保護方針を元にしたチェックリストのようなものがセブン内にあって、それを埋めた・・・みたいなことを「セキュリティー審査」と言っていたりするのかなと思ってしまったんですね。
でもこれはセブンペイの社長が個人情報保護管理責任者ということで、ISMSやPMS等で慣れ親しんだ単語である『審査』を使っただけかもしれません。
そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業が・・・。
大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・。
というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。
そういえばomni7で以下のお知らせが上がっていましたね。
https://www.omni7.jp/general/static/info190705
『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。
もしくはわかりやすい対策を提示しろと言われたのかもしれません。それなら仕方ないんですけど。
以上。
一部typoとか指摘事項を修正しました(役不足→力不足 etc)。
ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。
ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・。
一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性や問題がないかの審査の事」、つまり「脆弱性診断」を指していると仮定して本エントリを書いています。
そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。
監査は貴方の記載する通り「ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること」です。
貴方の言う「監査」に近いことは「セキュリティー審査自体が、情報セキュリティ基本方針と個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48
所在地: 〒899-5652 鹿児島県姶良市平松6067 TEL:0995-65-3138 FAX:0995-65-8044 E-mail.air-hos@pref.kagoshima.lg.jp
http://hospital.pref.kagoshima.jp/aira/
http://hospital.pref.kagoshima.jp/aira/section/kango/kango03.html
院長:山畑良蔵
http://hospital.pref.kagoshima.jp/aira/information/greeting.html
「鹿児島県立姶良病院 山畑 良蔵 院長(やまはた・りょうぞう)
1983年鹿児島大学医学部卒業。鹿児島大学医学部附属病院神経科精神科医員、県立鹿児島保養院医長などを経て、2013年から現職」
副院長:堀切靖
姶良病院は、鹿児島県における精神科医療の中核としての役割を果たしています。精神科に興味のある先生方にとっては、貴重な研修ができるものと思います」
http://hospital.pref.kagoshima.jp/recruitment/message/aira.html
「県立姶良病院について語ろう https://bakusai.com/thr_res/acode=10/ctgid=104/bid=1304/tid=3433815/tp=1/
732 2019/07/02 01:34
友人にききました。ここに入院した友人に。
735 2019/07/03 23:09
今は公衆電話の使用は禁止されていて、電話を使用する際は、ナースステーションの窓口に設置されている電話をしようして、相手を看護師に告げて繋いで貰うんだ!
738 2019/07/04 00:08
電話したいときは看護師に相手を伝えて繋いでもらうしかないです
740 2019/07/04 07:07
事実だよ!だから、何の為に誰も使用が許されない公衆電話を設置しているのか解らん!
741
742 2019/07/04 07:12
山畑よ!公的な医療機関だからと言って調子に乗るんじゃない!人権侵害で利益を得たなんて、不法団体そのものだ。こちらの心情も推し量らずに、県の機関と言うことで、特権意識を持ったのか。
746 2019/07/04 15:49
公衆電話は使える人は使えてた。
電話したいときに看護師にテレカを貰って電話することは出来る。
でも、テレカで公衆電話の使用許可を貰えてたのは知ってる限りで研修医のT医師だけだったな…
749 2019/07/04 17:56
手紙さえも制限される場合もある。堀切なんて女性患者が手紙を送ろうとしたら、手紙を取り上げてシュレッダーにかけた事もある!それでシュレッダーポテトと影で言われるようになったんだから!
750 2019/07/04 18:10
公衆電話が使用出来なくなったのは山畑が院長になってからだ!前院長時代は、公衆電話が誰でも使用出来ていた!山畑が院長になってから、おやつも自由に食べられなくなり、患者はタバコの喫煙も全面的に禁止になった!副院長である堀切の女性患者に関しては、堀切が主治医である限りは恋愛も禁止される!しかし、県庁には恋愛禁止の事実を隠している!」
↓
こういった場合のトラブルを防止するために患者の通信を制限したくなるのは、もっともな気もしますが、それも一定のルールに則って行わなくてはならない決まりになっています。
まず、重要なのは手紙の制限はできない、ということです。これは患者から外部の人に対する発信も、外部の人から患者に対する受信も、ともに一切の制限ができないことになっています。例外的に、郵送されてきたものに異物(例えば刃物や薬物など有害・危険なもの)が入っている可能性がある荷物の場合は、職員立会いの下で開封し、場合によっては危険物を病院側が預かることはありえます。しかし、それ以外の制限はできないのです。もし、どうしても家族からの手紙などが患者の気持ちを動揺させ、反治療的になると考えられる場合は、その事情を家族によく説明し協力を依頼するしか手がありません。
次に、電話の制限ですが、これは手紙とは違い、一切できないということはありません。しかし禁止するのであれば、それは治療的な正当性のあるものでなくてはなりませんし、その理由をカルテに明記した上で患者にも保護者にも説明しなくてはなりません。いずれにしろ、電話の使用を制限するときでも、弁護士や「人権を擁護する行政機関の職員」への電話は制限することができません。つまり、もし患者から「処遇の問題について県の行政担当に電話する!」という要求があったら、電話の制限がされていても、隔離されていても、基本的には電話をかけさせてあげなくてはなりません。
面会の制限については、ほぼ電話についての考え方と同様であり、治療上必要だという正当性のある理由がある場合は、本人や家族に説明の上で制限することができます。しかし、本人が弁護士や「人権を擁護する行政職員」と面会することだけはとめることができません。
電話や手紙、面会などの制限についても具体的なガイドラインが「精神保健および精神障害者福祉に関する法律第37条第1項の規定に基づき厚生労働大臣が定める基準」に明記してあります」
↓
https://www.mhlw.go.jp/web/t_doc?dataId=80136000&dataType=0&pageNo=1
「精神保健及び精神障害者福祉に関する法律第三十七条第一項の規定に基づき厚生労働大臣が定める基準
入院患者の処遇は、患者の個人としての尊厳を尊重し、その人権に配慮しつつ、適切な精神医療の確保及び社会復帰の促進に資するものでなければならないものとする。また、処遇に当たつて、患者の自由の制限が必要とされる場合においても、その旨を患者にできる限り説明して制限を行うよう努めるとともに、その制限は患者の症状に応じて最も制限の少ない方法により行われなければならないものとする。
第二 通信・面会について
一 基本的な考え方
(一) 精神科病院入院患者の院外にある者との通信及び来院者との面会(以下「通信・面会」という。)は、患者と家族、地域社会等との接触を保ち、医療上も重要な意義を有するとともに、患者の人権の観点からも重要な意義を有するものであり、原則として自由に行われることが必要である。
(二) 通信・面会は基本的に自由であることを、文書又は口頭により、患者及びその家族等(精神保健及び精神障害者福祉に関する法律(昭和二十五年法律第百二十三号)第三十三条第二項に規定する家族等をいう。以下同じ。)その他の関係者に伝えることが必要である。
(三) 電話及び面会に関しては患者の医療又は保護に欠くことのできない限度での制限が行われる場合があるが、これは、病状の悪化を招き、あるいは治療効果を妨げる等、医療又は保護の上で合理的な理由がある場合であつて、かつ、合理的な方法及び範囲における制限に限られるものであり、個々の患者の医療又は保護の上での必要性を慎重に判断して決定すべきものである。
二 信書に関する事項
(一) 患者の病状から判断して、家族等その他の関係者からの信書が患者の治療効果を妨げることが考えられる場合には、あらかじめ家族等その他の関係者と十分連絡を保つて信書を差し控えさせ、あるいは主治医あてに発信させ患者の病状をみて当該主治医から患者に連絡させる等の方法に努めるものとする。
(二) 刃物、薬物等の異物が同封されていると判断される受信信書について、患者によりこれを開封させ、異物を取り出した上、患者に当該受信信書を渡した場合においては、当該措置を採つた旨を診療録に記載するものとする。
三 電話に関する事項
(一) 制限を行つた場合は、その理由を診療録に記載し、かつ、適切な時点において制限をした旨及びその理由を患者及びその家族等その他の関係者に知らせるものとする。
(二) 電話機は、患者が自由に利用できるような場所に設置される必要があり、閉鎖病棟内にも公衆電話等を設置するものとする。また、都道府県精神保健福祉主管部局、地方法務局人権擁護主管部局等の電話番号を、見やすいところに掲げる等の措置を講ずるものとする」
、、、「病棟に公衆電話はあるが、だが基本的には使えない(様になっている病棟がある)?」
、、、「電話する際は看護師に頼んでナースステーションの電話を使うしかない? その際は看護師に電話相手の名前を申告しなければならない?(その申告は記録される?)」
、、、「医者の許可があればテレフォンカードで公衆電話が使えるが、そのテレカも普段は看護師に預けておかねばならない(つまりやっぱり公衆電話は自由に使えない? そもそもがその『医者の許可』じたいが殆ど出ない?)」
運営者(以下「運営者」といいます)は、お客様の個人情報保護の重要性について認識し、個人情報の保護に関する法律(以下「個人情報保護法」といいます)を遵守すると共に、以下のプライバシーポリシー(以下「本プライバシーポリシー」といいます)に従い、適切な取扱い及び保護に努めます。
本プライバシーポリシーにおいて、個人情報とは、個人情報保護法第2条第1項により定義された個人情報、すなわち、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含みます。)を意味するものとします。
・当社のサービスを円滑にご利用いただくため
運営者は、個人情報の利用目的を相当の関連性を有すると合理的に認められる範囲内において変更することがあり、変更した場合にはお客様に通知又は公表します。
運営者は、個人情報保護法その他の法令により許容される場合を除き、お客様の同意を得ず、利用目的の達成に必要な範囲を超えて個人情報を取り扱いません。 但し、次の場合はこの限りではありません。
・人の生命、身体又は財産の保護のために必要がある場合であって、お客様の同意を得ることが困難であるとき
・公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、お客様の同意を得ることが困難であるとき
・国の機関もしくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、お客様の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
個人情報の適正な取得
運営者は、適正に個人情報を取得し、偽りその他不正の手段により取得しません。
運営者は、取得した個人情報の正確性を保ち、これを安全に管理します。個人情報の紛失,破壊,改ざん 及び、漏洩、不正な侵入の防止に努めます。 (当社ホームページからのデータ通信に関して、安全に送信していただけるよう、個人情報を入力いただくページにはSSL(暗号化通信)を使用しています。 )
運営者は、個人情報保護法その他の法令に基づき開示が認められる場合を除くほか、あらかじめお客様の同意を得ないで、個人情報を第三者に提供しません。但し、次に掲げる場合は上記に定める第三者への提供には該当しません。
・運営者が利用目的の達成に必要な範囲内において個人情報の取扱いの全部又は一部を委託する場合
・合併その他の事由による事業の承継に伴って個人情報が提供される場合
個人情報の開示について
運営者は、お客様から、個人情報保護法の定めに基づき個人情報の開示を求められたときは、お客様ご本人からのご請求であることを確認の上で、お客様に対し、遅滞なく開示を行います(当該個人情報が存在しないときにはその旨を通知いたします。)。但し、個人情報保護法その他の法令により、運営者が開示の義務を負わない場合は、この限りではありません。
個人情報の訂正等について
運営者は、お客様から、個人情報が真実でないという理由によって、個人情報保護法の定めに基づきその内容の訂正、追加又は削除(以下「訂正等」といいます。)を求められた場合には、お客様ご本人からのご請求であることを確認の上で、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、個人情報の内容の訂正等を行い、その旨をお客様に通知します(訂正等を行わない旨の決定をしたときは、お客様に対しその旨を通知いたします。)。但し、個人情報保護法その他の法令により、運営者が訂正等の義務を負わない場合は、この限りではありません。
個人情報の利用停止等について
運営者は、お客様から、お客様の個人情報が、あらかじめ公表された利用目的の範囲を超えて取り扱われているという理由又は偽りその他不正の手段により取得されたものであるという理由により、個人情報保護法の定めに基づきその利用の停止又は消去(以下「利用停止等」といいます。)を求められた場合において、そのご請求に理由があることが判明した場合には、お客様ご本人からのご請求であることを確認の上で、遅滞なく個人情報の利用停止等を行い、その旨をお客様に通知します。但し、個人情報保護法その他の法令により、運営者が利用停止等の義務を負わない場合は、この限りではありません。
当社ウェブサイトはクッキーを使い、当社ウェブサイトの閲覧状況などの情報を収集する場合があります。このデータは個人を特定・追跡するものではなく、利用者はCookiesの受け取る前に警告を表示したり、受け取りを拒否するようにブラウザの設定を変更することが可能です。
運営者は、個人情報の取扱いに関する運用状況を適宜見直し、継続的な改善に努めるものとし、必要に応じて、本プライバシーポリシーを変更することがあります。 本プライバシーポリシーに関してご不明な点がある場合、本サービスにおける個人情報の取り扱いに関するご質問・苦情・ご相談等があります場合はお問い合わせフォームよりご連絡ください。
以 上
運営者(以下「運営者」といいます)は、お客様の個人情報保護の重要性について認識し、個人情報の保護に関する法律(以下「個人情報保護法」といいます)を遵守すると共に、以下のプライバシーポリシー(以下「本プライバシーポリシー」といいます)に従い、適切な取扱い及び保護に努めます。
本プライバシーポリシーにおいて、個人情報とは、個人情報保護法第2条第1項により定義された個人情報、すなわち、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含みます。)を意味するものとします。
・当社のサービスを円滑にご利用いただくため
運営者は、個人情報の利用目的を相当の関連性を有すると合理的に認められる範囲内において変更することがあり、変更した場合にはお客様に通知又は公表します。
運営者は、個人情報保護法その他の法令により許容される場合を除き、お客様の同意を得ず、利用目的の達成に必要な範囲を超えて個人情報を取り扱いません。 但し、次の場合はこの限りではありません。
・人の生命、身体又は財産の保護のために必要がある場合であって、お客様の同意を得ることが困難であるとき
・公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、お客様の同意を得ることが困難であるとき
・国の機関もしくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、お客様の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
個人情報の適正な取得
運営者は、適正に個人情報を取得し、偽りその他不正の手段により取得しません。
運営者は、取得した個人情報の正確性を保ち、これを安全に管理します。個人情報の紛失,破壊,改ざん 及び、漏洩、不正な侵入の防止に努めます。 (当社ホームページからのデータ通信に関して、安全に送信していただけるよう、個人情報を入力いただくページにはSSL(暗号化通信)を使用しています。 )
運営者は、個人情報保護法その他の法令に基づき開示が認められる場合を除くほか、あらかじめお客様の同意を得ないで、個人情報を第三者に提供しません。但し、次に掲げる場合は上記に定める第三者への提供には該当しません。
・運営者が利用目的の達成に必要な範囲内において個人情報の取扱いの全部又は一部を委託する場合
・合併その他の事由による事業の承継に伴って個人情報が提供される場合
個人情報の開示について
運営者は、お客様から、個人情報保護法の定めに基づき個人情報の開示を求められたときは、お客様ご本人からのご請求であることを確認の上で、お客様に対し、遅滞なく開示を行います(当該個人情報が存在しないときにはその旨を通知いたします。)。但し、個人情報保護法その他の法令により、運営者が開示の義務を負わない場合は、この限りではありません。
個人情報の訂正等について
運営者は、お客様から、個人情報が真実でないという理由によって、個人情報保護法の定めに基づきその内容の訂正、追加又は削除(以下「訂正等」といいます。)を求められた場合には、お客様ご本人からのご請求であることを確認の上で、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、個人情報の内容の訂正等を行い、その旨をお客様に通知します(訂正等を行わない旨の決定をしたときは、お客様に対しその旨を通知いたします。)。但し、個人情報保護法その他の法令により、運営者が訂正等の義務を負わない場合は、この限りではありません。
個人情報の利用停止等について
運営者は、お客様から、お客様の個人情報が、あらかじめ公表された利用目的の範囲を超えて取り扱われているという理由又は偽りその他不正の手段により取得されたものであるという理由により、個人情報保護法の定めに基づきその利用の停止又は消去(以下「利用停止等」といいます。)を求められた場合において、そのご請求に理由があることが判明した場合には、お客様ご本人からのご請求であることを確認の上で、遅滞なく個人情報の利用停止等を行い、その旨をお客様に通知します。但し、個人情報保護法その他の法令により、運営者が利用停止等の義務を負わない場合は、この限りではありません。
当社ウェブサイトはクッキーを使い、当社ウェブサイトの閲覧状況などの情報を収集する場合があります。このデータは個人を特定・追跡するものではなく、利用者はCookiesの受け取る前に警告を表示したり、受け取りを拒否するようにブラウザの設定を変更することが可能です。
運営者は、個人情報の取扱いに関する運用状況を適宜見直し、継続的な改善に努めるものとし、必要に応じて、本プライバシーポリシーを変更することがあります。 本プライバシーポリシーに関してご不明な点がある場合、本サービスにおける個人情報の取り扱いに関するご質問・苦情・ご相談等があります場合はお問い合わせフォームよりご連絡ください。
以 上
結局、若い子がどんどんなりたくて来てくれるから給料高めてやらないと雇えないやつを雇うメリットがないのな。
商売ってわけでもないからノウハウも要らず(あえて言うならどの棚にどんな資料や本があるかを覚えることぐらいか)、客商売じゃないから引き継ぎも必要ない。だから若い子を非正規雇用してガンガン回したほうがいいのな。
そうなると生き残りをかけて、やる気を見せていかないといけないから、新聞や通信作ったりして、自分はまさに本の虫ですよってアピールするわけなのか。
運営者(以下「運営者」といいます)は、お客様の個人情報保護の重要性について認識し、個人情報の保護に関する法律(以下「個人情報保護法」といいます)を遵守すると共に、以下のプライバシーポリシー(以下「本プライバシーポリシー」といいます)に従い、適切な取扱い及び保護に努めます。
本プライバシーポリシーにおいて、個人情報とは、個人情報保護法第2条第1項により定義された個人情報、すなわち、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含みます。)を意味するものとします。
・当社のサービスを円滑にご利用いただくため
運営者は、個人情報の利用目的を相当の関連性を有すると合理的に認められる範囲内において変更することがあり、変更した場合にはお客様に通知又は公表します。
運営者は、個人情報保護法その他の法令により許容される場合を除き、お客様の同意を得ず、利用目的の達成に必要な範囲を超えて個人情報を取り扱いません。 但し、次の場合はこの限りではありません。
・人の生命、身体又は財産の保護のために必要がある場合であって、お客様の同意を得ることが困難であるとき
・公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、お客様の同意を得ることが困難であるとき
・国の機関もしくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、お客様の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
個人情報の適正な取得
運営者は、適正に個人情報を取得し、偽りその他不正の手段により取得しません。
運営者は、取得した個人情報の正確性を保ち、これを安全に管理します。個人情報の紛失,破壊,改ざん 及び、漏洩、不正な侵入の防止に努めます。 (当社ホームページからのデータ通信に関して、安全に送信していただけるよう、個人情報を入力いただくページにはSSL(暗号化通信)を使用しています。 )
運営者は、個人情報保護法その他の法令に基づき開示が認められる場合を除くほか、あらかじめお客様の同意を得ないで、個人情報を第三者に提供しません。但し、次に掲げる場合は上記に定める第三者への提供には該当しません。
・運営者が利用目的の達成に必要な範囲内において個人情報の取扱いの全部又は一部を委託する場合
・合併その他の事由による事業の承継に伴って個人情報が提供される場合
個人情報の開示について
運営者は、お客様から、個人情報保護法の定めに基づき個人情報の開示を求められたときは、お客様ご本人からのご請求であることを確認の上で、お客様に対し、遅滞なく開示を行います(当該個人情報が存在しないときにはその旨を通知いたします。)。但し、個人情報保護法その他の法令により、運営者が開示の義務を負わない場合は、この限りではありません。
個人情報の訂正等について
運営者は、お客様から、個人情報が真実でないという理由によって、個人情報保護法の定めに基づきその内容の訂正、追加又は削除(以下「訂正等」といいます。)を求められた場合には、お客様ご本人からのご請求であることを確認の上で、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、個人情報の内容の訂正等を行い、その旨をお客様に通知します(訂正等を行わない旨の決定をしたときは、お客様に対しその旨を通知いたします。)。但し、個人情報保護法その他の法令により、運営者が訂正等の義務を負わない場合は、この限りではありません。
個人情報の利用停止等について
運営者は、お客様から、お客様の個人情報が、あらかじめ公表された利用目的の範囲を超えて取り扱われているという理由又は偽りその他不正の手段により取得されたものであるという理由により、個人情報保護法の定めに基づきその利用の停止又は消去(以下「利用停止等」といいます。)を求められた場合において、そのご請求に理由があることが判明した場合には、お客様ご本人からのご請求であることを確認の上で、遅滞なく個人情報の利用停止等を行い、その旨をお客様に通知します。但し、個人情報保護法その他の法令により、運営者が利用停止等の義務を負わない場合は、この限りではありません。
当社ウェブサイトはクッキーを使い、当社ウェブサイトの閲覧状況などの情報を収集する場合があります。このデータは個人を特定・追跡するものではなく、利用者はCookiesの受け取る前に警告を表示したり、受け取りを拒否するようにブラウザの設定を変更することが可能です。
運営者は、個人情報の取扱いに関する運用状況を適宜見直し、継続的な改善に努めるものとし、必要に応じて、本プライバシーポリシーを変更することがあります。 本プライバシーポリシーに関してご不明な点がある場合、本サービスにおける個人情報の取り扱いに関するご質問・苦情・ご相談等があります場合はお問い合わせフォームよりご連絡ください。
以 上
nanapiが今月末でサービスを終了することが発表された。【重要】暮らしの情報サイトnanapi 更新停止のお知らせ | nanapi [ナナピ]
nanapiは何かと検索するとヒットすることも多く、日常生活におけるためになる情報を発信してきたが、ついに更新を
終了し、ページ自体はアーカイブとして残すという決断をしたのだそうだ。
ここ数年、無料で提供されてきたニュースサイトやウェブサービスの有料化や終了が相次いでいる。記憶に新しいのは
ジオシティーズだろうか。過去にはInfoseek Iswebや、フリーティケットシアター、そしてプロバイダ系では@niftyが
接続会員向けに提供してきた@homepageなどが存在していたが、いずれも閉鎖してしまい、現在1990年代~2000年代の
貴重な個人サイトを再び見ることはほとんどできなくなってしまった。
閉鎖の理由は昨今では必須とされるhttps通信にどうしても対応できないとか、既に利用者も減っておりこのまま継続
する必要が無いと判断されたなどいろいろな理由が考えられるが、ここ数年で一気に普及してしまい終了につながる
ことにもなりかねない問題が出てきた。コンテンツブロック(いわゆる広告ブロック)機能の定着である。
コンテンツブロック機能は、過去から一部のユーザーにとっては当たり前のように利用されてきたが、hostsを書き換
える方法や、その機能を搭載したブラウザを導入し設定をしてようやく使えるようなものが多かったため、2013年あたり
までは大きな問題にはならなかったのだろうと思う。しかし2014年、続けて2015年に転機が訪れた。
2014年の「uBlock(現在はuBlock Origin)」と、2015年のiOS9で搭載された「コンテンツブロッカー」の登場である。
それ以前は、NoScriptやAdblock PlusがPCでは主流のコンテンツブロックソフトとして使用されてきたが、上記ソフト
と比べてしまうと洗練されておらず、使いこなすにはそれなりの知識が必要とされた。uBlockはメニューから1クリック
するだけで特定のコンテンツを許可または無効化したり、フィルターの強度を調節したり設定をすることが非常に容易に
できるようになった。元々、増田はFirefoxのビルトイン画像無効化機能とNoScriptを使うユーザーであったが、2014年に
はいわゆる口コミでuBlockの存在を知り、インストールをした。NoScriptとは違う、インストールするだけであらゆるコ
ンテンツが表示されなくなることに衝撃を受け、当時はまだ使用回線がADSLで遅かったのもあり、それ以来使用するよう
になる。光回線になってからしばらく使用を辞めたが、あまりの広告の多さにあっけらかんとなってしまい、もはや中毒
だなと思いつつもコンテンツブロックは使い続けることになってしまった。
iOS9は既にご存知と思うが、解説すると、コンテンツブロック機能が入ったアプリを導入して有効化することにより、
ページを読み込む際にコンテンツをブロックする機能だ。無料または有料で提供されているアプリをインストールしなけ
れば使うことができない。しかし、これもまた、今までの同じような機能よりも格段に洗練され使いやすい。日本人にお
けるiPhoneの普及率がそれなりに高いことも相まって、また2015年にはすでにスクロールに追従して表示される広告や、
ページの閲覧を妨げるような広告が非難されていたこともあり、一気に普及した。
しかし、コンテンツブロックが普及したことによって無料で提供されていたサービスが終了したり、有料化をすることに
増田もウェブサイトを作って運営していたことがあり、現在でもその一部は続いているが、無料サービスが終了すること
によって提供し続けるにはそれなりの資金を必要とするため、広告を掲載している。しかし、毎週欠かさず更新をしてい
ても、閲覧数が増えるのと広告収入が増えるのは比例しなくなっており、全盛期には1日2,000円ほどあった運営収入は、
現在では多くて1日に500円程度、酷いと100円を下回っている状態となってしまっている。サイトへの訪問者数は増えて
いるのに、広告による収入が増えない、これではサーバーの増強をしようとすると自費で賄わなければならず、何度かは
増強したが、これ以上増強をすると赤字となってしまう。そんな状況になってしまったのだ。このままではサイトを閉鎖
するか、身を削ってでも維持するかを選択させられそうな状態になってしまった。nanapiでは、個人が運営するサイトと
は違い、多くのライターを雇って記事を増やし続けたため、ライターに払える分の収入がほとんど広告から得られなく
なったとして今回の更新終了という結論に至ったと考えても不思議ではないだろう。実際に理由は書かれていないため憶
測にすぎないが、実際ライター単価は上昇傾向にあり、今後そのようなビジネススタイルで運営されているサービスは同
じような末路を迎えるようになるのではないだろうか。
ご存知の方も多いと思うが、アットウィキが今年になってから、コンテンツブロック機能を利用してサイトを閲覧した際
に「広告ブロック禁止」と表示するようになった。アットウィキには元々アットページズという無料ウェブホスティング
サービスがあったが、2018年02月末で閉鎖してしまっている。減り続ける広告収入の中苦渋の決断でブロックしている
ユーザーに対してメッセージを発信するようになったが、すぐに回避方法が発見されてほとんど意味を成さなくなって
しまった。どれだけ難読化しようとしてもページの内部を見られるJavaScriptで実装している機能のため、すぐに回避手
段ができてしまう。元々無料で見ることができていたニュースサイトのほとんどの記事も、現在では月額制サービスに
移行してしまい読むことができないものも増えてしまった。月額制サービスというのは継続的に利用するのであれば払う
価値があるとは思うのだが、たまたま検索して見つけた記事を読むために払うというのに月額制サービスしか存在しない
のはどうかと思う。ログインせずに一定期間はその記事だけ1記事分の料金を支払えば見られるみたいなサービスのほうが
使用されるのではないかと思うが、まだそういったシステムを実装するのは難しいようだ。Google Contributorというも
のが海外では展開されているが、日本ではまだ展開されていない Google Contributorが利用できる国 そのため、現在では
コンテンツブロックをした人からも収入を得る方法が、サイト自体への寄付か、有料化という選択肢しなくなってきて
しまっており、今後もコンテンツブロック利用者が増えれば、もはや無料で提供してきたものは終了せざるを得なくなる
だろう。アフィリエイト収入という手もあるが、しつこいくらいにAmazon等への商品リンクを載せるサイトにはすでに
嫌悪感を抱く人も多いように思う。noteという日記の続きを有料化するサイトもあるが、そういったプラットフォームに
は頼りたくない人も多いだろう。既にウェブサイトを収益化して維持するという手法は通用しなくなっているのではない
だろうか。
YouTubeは動画を共有するサイトだったが、現在ではYouTuberと呼ばれる人が低品質なテレビ番組のようなものを投稿する
ことによってかなりの収益を得る方も出てきたようだ。残念ながら、増田はYouTuberを嫌いというよりは、あの手の安っ
ぽいテキストの後ろで人間が踊るような動画はあまり好きではない。vTuberは新しい文化に思えたが、既に引退者もかな
り出てきているようだ。ほとんど毎日動画を撮影してテロップ等を付けてアップロードするといったような作業は普通の
人間が続けるのは大変だと思う。検索するとYouTuberブームも相まって大量の必要ない動画が出てくるため、ほとんどYou
Tubeの検索機能は使用しなくなってしまった。Google検索にもいえることだが、あまりにも公式ではないウェブサイトが
ヒットしすぎではないだろうか。YouTubeはこれからも批判を受けつつも動画共有サイトとしては最大手なので続くと思わ
ウェブサイト運営での収入には大した期待をしない、もう続ける必要が無いと感じれば見てくれている方がサイト運営者
なら閉鎖をしてしまってもいいと思う。個人サイトでも有名なサイトであれば閉鎖理由を諸事情とかじゃなくて収入が
得られなくなったとでも書いて閉鎖すれば多少の影響力はあるだろうか?などと考えてしまう。Google Chromeはこれから
コンテンツブロックの制限を厳しくし、サイト改竄的なコンテンツブロック機能を使用できなくする予定のようだ。
これからどうなるかはわからないことだらけだが、ウェブコンテンツは完全無料ではない。そのことを日記を見て感じて
いただければと思う。
