2005年4月のひとりごと


2005/04/12(火)

個人情報保護法なのですが、遊べそうな条項があります。

第十七条(適正な取得)
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない

第十八条(取得に際しての利用目的の通知等)
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

ここで言う「個人情報取扱事業者」とは

第二条(定義)の3に
この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。

とあります。こいつに名簿を商売の道具に使っている連中が含まれるので、あのウザい「セールス電話」もこれ該当します。

更に

第十八条(取得に際しての利用目的の通知等)の2に
<前文省略>当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。<後文省略>

と取得段階での義務まで明示されています (^^)

極めつけは

第二十三条(第三者提供の制限)
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない

とありますので、名簿売買行為そのものが「本人が同意」を前提としています。

つまり、セールス電話がかかってきたときは「本人への通知義務」を盾に楽しく撃退することが出来ます。
あぁ、早くセールス電話かかってこないかな o(^.^)o ←法律を盾に遊ぶのが基本的に好きだったり(タチの悪いヤツだ ^^;)

2005/04/13(水)

早速セールス電話がかかってたのでそのやりとりを披露します(笑)

# 飛んで秘にいる夏の虫

その前に、私の情報をどこから入手しました?
担当A 名簿業者から購入しました
それではその名簿業者を教えてください
担当A 少々お待ち下さい

  ここで先方の担当者が変わる

担当B どういったお話しでしょう?
あなた方が使っている名簿は個人情報保護法で言うところの「本人通知」が成立していませんね
担当B 名簿業者から正規の手続きを経て購入した物なので問題ありません
それはおかしいですね。18条では個人情報を取得した時に本人に通知する事を義務付けていますし、23条では本人の同意を得ないで個人データを第三者に提供してはならないことになってますよね。私は一度たりとも許可した覚えは無いです。名簿業者にクレームしたいので名簿業者を教えてください。
担当B サーバ室には鍵がかかっているのですぐには回答できません。お時間がかかりますがよろしいですか?
速やかに情報開示できない状態にあるのはどういう訳でしょうか? 個人情報保護法が施行されているのでこのような要求があることは想定できますよね? 経理なりに確認すればすぐわかるでしょ?
担当B 複数の名簿業者から購入しているので業者を特定するのに時間がかかります
では全ての業者を教えてください
担当B それは出来ないです
25条では本人が含まれていないことも調査要求できるので全ての名簿業者を教えてください
担当B データをすぐ削除しますので...
そんな問題ではないでしょう? 27条ではあなた方が使っている名簿そのものも差し止め可能なんですよ(完全に拡大解釈です ^^;)。少なくとも、あなた方は個人情報取扱事業者の義務を果たしていないですね。どういう訳でしょう? 24条で言うところの個人情報取扱事業者である限り、企業としての責任者と連絡先を明示する必要がありますね。
担当B メモの準備はよろしいですか?
文書で欲しいので FAX で下さい。こちらの FAX 番号は XXXXX です。それと名簿業者も判明次第 FAX してください
担当B わかりました

予想通り FAX は来ませんでしたけどね(笑)

# ここまでやるとイジメかも... ^^;

参考までに該当法令です

第二十四条(保有個人データに関する事項の公表等)
個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称
<以下略>

第二十五条(開示)
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。
<以下略>

第二十七条(利用停止等)
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているという理由又は第十七条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、 違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない
<以下略>

27条は個人情報ではなく「保有個人データ」(つまり名簿そのもの)を対象にしているところがミソですね。

個人情報保護法に興味がある方は内閣府のページがポータルサイトとして使えますので、一度ご覧あれ。

2005/04/24(日)

トレンドマイクロがやってくれました (T_T)

パターンファイルのバグみたいでリアルタイム検索が暴走して CPU を食いつぶすってとんでもないトラブルをやらかしたんですね。問題となる環境は XP+SP2 だけみたいなんですけど、セキュリティを気にしているユーザってほぼ確実にこの環境になっていて、パターンファイルも自動更新しているんですよ。

問題を起こすのがウイルスバスターとウイルスバスターコーポレートエディションって、トレンド製品を使っているユーザは全滅って事じゃないの orz (ServerProtectも問題が発生したみたいですけど、僕の所では確認が出来きず)

拙宅のパソコンも食らいました。それだけじゃなくて土曜出社しているウチの会社も被害に。更に土曜日稼働しているユーザも....

朝飯を食っているときにユーザから「かなりの数のパソコンが起動しなくなった」と電話がかかってきて来ました、急遽書斎に入って調査を開始しようとしたら... 早朝は問題無かった拙宅のパソコンも妙に動作が重い。再起動するとユーザから聞いていたのと同様な症状じゃないですか。これはWindowsXP(SP2)をターゲットにした新手のアタックかもってマジで考えちゃいました。

調査を進めると、どうやらウイルスバスターのリアルタイム検索が犯人ぽいって事が次第に明らかになってきましたが、販売元のトレンドマイクロのサイトでは何も発表が無い。

信憑性のない情報ではありますが、取り敢えずリアルタイム検索を OFF にして再起動すると問題解消。ユーザにその旨を連絡して更に調査を続行。

あちこちの掲示板にウイルスバスターのリアルタイム検索が犯人ぽいって情報が続々と上がっているのですが、相変わらずトレンドマイクロのサイトは変化無し。そうこうしているうちに、インターネット上のニュースサイトででウイルスバスターが原因の障害が発生していると報道されました。

昼頃には電波を使った各報道機関もこの事故を報道し始めました。新聞社やJR東日本も被害を被ったようです。

昼過ぎにトレンドマイクロのサイトに第一報が掲載されました(この時点で発生から5時間近く経過)

対処方法が本格的に掲載されたのは、それから更に3時間以上経過してからです。この情報も通常のサポート情報扱いで、重大情報扱いにはなっていません。

今朝の新聞にもこの事故が掲載されており、トレンドマイクロのトップページにもやっと重要なお知らせと謝罪文が掲載されました。

土曜日はこの一件に振り回された一日でしたね。

土曜日だったので稼働しているユーザ数が少く、障害規模は比較的小さくて済んだのですが、これが平日の日中だったら... 背筋が凍る思いです。

今まで「サーバ/回線のダウン」は想定範囲内として設計はしていましたが、クライアントが全滅することは全く想定していませんでした。

一部のユーザでは(天災による)広域災害も想定範囲として設計はしていましたが、今回の事故は広域災以上の全国規模障害も想定範囲として考えなくてはいけないって事を教えてくれましたね。

頻繁に更新されているのはWindowsUpdateとウイルスチェック系の2つなのですが、セキュリティを考えるとこれを停止するわけにはいかず... 悩ましいです。

ふと気になって、トレンドマイクロニュースリリースを見たのですが、トレンドマイクロのサイトに第一報が掲載されたのが昼過ぎななのに、9:00頃に該当パターンのデリバリーを停止しているじゃありませんか!! ってことは、9:00には問題として認識してるのにもかかわらず情報提供開始がその3時間以上後 (-_-メ) この時点で何らかのアナウンスがあっても良かったのではないですか? > トレンドマイクロ

back.gif (1980 バイト)

home.gif (1907 バイト)

Copyright © MURA All rights reserved.