パスワードを忘れた? アカウント作成
9812 story
ニュース

個人情報保護法でクライアントの意識は変わるか? 85

ストーリー by yoosee
守ること守られること 部門より

Conrad 曰く、 "4/1から施行される「個人情報保護法」ですが、最近になってクライアントから「サーバのセキュリティはどうだ?」と問い合わせがあった方も多数いらっしゃるのではないでしょうか?中には「こんなんじゃ全然チェックになってないよ」というようなチェックシートを投げられて、5分で即答して終わる方もいれば、ありえない要求にデスマーチがスタートした方もいらっしゃるのでは?

でも、これでクライアントが「セキュリティにはカネがかかるんだ」と思ってくれたら仕事も少しはマシになるかも?個人情報保護法、施行されてビジネスはどう変わると思いますか?"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Shidho (5649) on 2005年03月14日 14時05分 (#708667) 日記
    最近身の回りでも大騒ぎになってます。

    まず「いくらかかってもいいから」って相談されて

    「全部他人任せにするとソフトハードコンサル全部で1千万レベル、
     最終達成まで1年くらいかかりますよ」って答えたら

    「そんなにかかるのか」って信じてもらえなくて、
    いったん話が消えた(どうも他社の事例を調べていたらしい)後で

    「それでもやらないといけないと思うんだが、なんとか自力で数百万レベルにならないか。
     あとついでに表面上な部分だけでもいいから、4月までになんとかならないか」
    とか再度相談されてみたり。

    いったいどうなるのかしら、ホントに。
    あー、情報化には金がかかるねえ。(棒読み)
  • 即答例 (スコア:5, 興味深い)

    by sinkope (230) on 2005年03月14日 14時45分 (#708687) 日記
    「無駄に個人情報取らなければいいんです。
     こんなに入力項目要るんですか?
     配送先はともかく、性別や年齢訊いてどうするんです?」
    「‥‥いや‥‥購買層の分析とか‥‥」
    ウソだー。絶対ウソだー。
    • Re:即答例 (スコア:2, 興味深い)

      by Non Skill (25960) on 2005年03月14日 16時01分 (#708748)
      購買層の分析が使用目的に明記されていない場合、施工後はそれだけで違法ではないのでしょうか。。。

      おしえてエロイひと。

      #一歩すすめて使用目的と関係ない情報を入力させたら違法にすればいいのに。。
      親コメント
  • by Anonymous Coward on 2005年03月14日 14時46分 (#708690)
    まだ「セキュリティとか考えなくていいから」と、
    値切り倒されていたウチは負け組。(--;

    ユーザの必要の無い個人情報やたらと集めてるから、
    とめた方がいいよ、と営業に入れ知恵してるのに、
    先方にはそんな事伝えてないっぽいウチは負け組。(--;

    半年前「見積もりに『セキュリティ検証』を盛り込む」と提案があったが、
    早々と削られてしまい(その項目をサービスさせられたのではなく、)
    今後もセキュリティ検証なんてやれそうに無いウチは負け組。(--;

    「セキュリティ検証」項の金額を値切るのではなくて、
    項目そのものを削除してしまう御客様も負け組。(--;
    • by znc (2768) on 2005年03月14日 16時16分 (#708757)
      だが、いざセキュリティ問題が発生すると
      責任を押しつけられそうな気がするのは私だけ?

      # 削られるだけならともかく、削られた事によるリスク説明と
      # 責任の所在はちゃんと明確になっているんだよね?
      # 契約書に書いてあればベストなんだけど・・・
      --
      『今日の屈辱に耐え明日の為に生きるのが男だ』
      宇宙戦艦 ヤマト 艦長 沖田十三氏談
      2006/06/23 JPN 1 - 4 BRA
      親コメント
      • by Anonymous Coward on 2005年03月14日 16時25分 (#708767)
        > # 削られるだけならともかく、削られた事によるリスク説明と
        > # 責任の所在はちゃんと明確になっているんだよね?
        > # 契約書に書いてあればベストなんだけど・・・

        あい、契約書には書いてませんが、
        「リスク説明と責任の所在」は書面で交わしてます。
        でも、そんなのは口約束と大して変わりないってゆーか、
        何かあれば(責任問題は回避しても)無償対応なんですけどね。(--;
        親コメント
  • 個人情報保護法対策費 (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2005年03月14日 14時10分 (#708669)
    という項目が、明細に増える。しかし、合計金額は変わらない。
  • by mishima (737) on 2005年03月14日 14時52分 (#708701) ホームページ 日記
    いや、いいんですよ、監視システムとか作ったのは。

    でもどーいう方針で記録を残すんですか?ストレージって
    無限にあるわけじゃないんですよ。
    それに、だれがその記録を監視するんですか?理解できるやつが
    見てなきゃ監視にならないじゃないですか。
    今後、監視対象システムの更新にどう追随するんですか?それが
    ないとすぐに無意味になっちゃいますよ。

    って言いたい。今言いたい。

    個人的には、セキュリティは運用しながら穴をどんどん
    ふさぐしかない(考慮から漏れたからこそセキュリティホール
    になるんだろうから)と思うんだがなぁ…
    #えらい人にはそれがわからんのです

    「セキュリティはプロダクトじゃない、プロセスだ」というのは
    どこのキャッチコピーだったっけ。
    --
    # mishimaは本田透先生を熱烈に応援しています
    • そもそも (スコア:3, すばらしい洞察)

      by mogeo (26004) on 2005年03月14日 15時29分 (#708722)
      システムで解決しようとするから混乱するわけで。
      どんなに堅牢な社内システムを構築しても、
      データが人の手に渡った瞬間に持ち出しデータとなり
      漏洩する危険度は格段にUpするわけだし。

      逆に言えば、社内ではスケスケの状態でも教育が
      しっかりしていれば情報は漏洩されないですよね。

      結局情報を取り扱うのはユーザーなわけですから
      ユーザーの教育に力を入れるべきだと思いますね。
      まぁいずれにせよ絶対に漏れない、と言うのは無理なので
      漏れた時のことを考えて、弊社はしっかり対応はしておりまし
      たが、想定外の出来事となりまして、お客様には(ry

      #誰かのせいにしようとしてる大人が沢山いるからもげら。
      親コメント
      • Re:そもそも (スコア:1, 興味深い)

        by Anonymous Coward on 2005年03月14日 15時50分 (#708741)
        >逆に言えば、社内ではスケスケの状態でも教育が
        >しっかりしていれば情報は漏洩されないですよね。

        うちの派遣先では社員に「個人情報を漏洩させない」という内容の誓約書を書かせているようです。
        派遣要員である私にも同様の書類が回ってきたのですが、わざと他の書類に紛れ込ませて見なかった事にして提出していません。

        理由は情報漏洩が発生した場合、誓約書がある事によって責任をすべて個人に押しつけられるのではないかという不安があるためです。
        誓約書の内容ははっきり覚えていませんが、従業員が一方的に不利な内容だったという印象だけは憶えています。しかもあらかじめ用意された文面があたかも従業員が自主的に宣言したかようなものだったので余計に腹が立ちました。

        教育と言うより、脅迫ですね。
        そんな類のものに署名捺印なんてできる訳がなく、誓約書の提出を催促されたら会社側に「過失の場合は会社が責任を持つ」、「過失の場合は個人情報漏洩を理由に解雇しない」等フェアな内容にするよう要求するつもりです。

        #過失には納品している情報システムの不備によるものを含んでもらわねば話にならないのでAC
        親コメント
        • Re:そもそも (スコア:2, すばらしい洞察)

          by Elbereth (17793) on 2005年03月14日 16時33分 (#708771)
          サボタージュしてることを自信満々に語られてもなぁ……
          わざと見なかったことになんて小学生じゃあるまいし。

          契約内容に不満あるんだったら、関係者で協議して落としどころを決めるべきじゃないのかなぁ。
          催促されてから後だしジャンケンでわめいても聞いてもらえませんよ?

          #正論だけで世の中渡れるわけではないことは重々承知してますが。
          親コメント
          • そういや、私も自動車学校の卒業の時に
            「安全運転する」とか誓約書書かされたけど、
            結局他の書類に紛れ込ませて提出しませんでしたね。

            事を荒立てずにやるにはそういう方法もアリでしょう。
            下手に「ではこれから協議して…」とか始めたら
            忌避されるだけという気がします。
            親コメント
            • Re:そもそも (スコア:2, 興味深い)

              by Elbereth (17793) on 2005年03月14日 19時17分 (#708840)
              >事を荒立てずにやるにはそういう方法もアリでしょう。
              >下手に「ではこれから協議して…」とか始めたら
              >忌避されるだけという気がします。

              良くも悪くも日本人的ですね。

              ただ、そういう「提出すべき書類を出さなかった」ことで
              その人の評価が下がったり、最悪の場合は首になるってことも
              ありえるのではないでしょうか。

              使用する側の立場で考えたら、過失があっても責任取りませんよって
              暗に言ってる(ように取れる行動をしている)人は怖くて一緒に
              仕事したくないですね。セキュリティホールを抱えたOSをそのまま
              使うような感じというか。

              まぁ、そういった重要と思われる契約書や念書のような書類が
              きちんと提出されたかチェックしていないような企業は
              どのみちダメなんで、いずれ何かしらの問題が起きるとは
              思います。あえて泳がしているような場合は……
              整理対象として目ぇつけられてるんじゃ?
              親コメント
              • Re:そもそも (スコア:2, すばらしい洞察)

                by Anonymous Coward on 2005年03月14日 23時38分 (#708951)
                Elberethさんがそう感じるのは派遣社員ではないからかもしれません。

                派遣社員はその弱い立場から濡れ衣を着せられてスケープゴートにされやすいです。誓約書の内容いかんでは賠償責任を負わされる可能性さえあるのです。そこまでいかなくても前科がつくことで再就職が非常に難しくなります。残りの人生を失ってしまう可能性さえ秘めた書面の署名捺印について慎重になるのは当然でしょう。

                話題の法律とは関係ありませんが、私の周囲にも全く関係のない事で責任を負わされ、再就職もままならずいわゆるニートと呼ばれる状態に陥ったになった人や、悲しいことですが自殺した人さえいます。身近にそういう人がいればElberethさんも考えを改めてくださるのでしょうか。まだ犠牲が足りないですか?

                # 経済とは人を食べて成長する化け物なのですかね。
                親コメント
              • by Elbereth (17793) on 2005年03月15日 2時00分 (#709006)
                > Elberethさんがそう感じるのは派遣社員ではないからかもしれません。

                いや、立派に私も派遣ですよ? あまり個人情報出したくないけどw
                頑張った成果でこの4月から正社員にクラスチェンジしますが、
                ここ数年派遣でボーナスも出ない日々でしたよ。というか、
                そういやボーナスもらったことないな。

                確かに派遣はいろいろと問題が起きやすい職だということは
                私も身をもってよく知っています。
                (職種にもよるけど)給料安いとか保障が正社員に比べて弱いとか
                ボーナスないとか不利なことは確かです。
                ヨドバシカメラの事件などは特に有名だと思います。
                幸いにして私はそういう地雷を思い切り踏むこともなかったですが
                そういう世界で生きてきたことは確かです。まぁドジ踏んで首に
                なったこともないわけでもないですが。
                小学生の頃はいじめられっ子でしたが、自殺することもなく耐えられました。
                たまたま耐えられる気質だったのかも知れませんが。

                私と同じように生き抜けない人はダメだとかそれはしょうがない
                ことだとか言うつもりはありません。

                が、派遣はつらいよ、といって怠慢な仕事していると、だから
                派遣の奴はダメなんだよという結果になります。
                書類の内容は雇用主や派遣会社の上の人と検討しましたか?
                どこがどうまずいのか主張はしましたか?
                主張が聞き入れられないのなら、それはなぜなのでしょうか。
                ダメな職場だったら、それを訴えることができる場所はあります。
                奴隷ではないのだから、さっさと仕事をやめることもできます。
                うまく立ち回ることが出来ない人もいることは理解しています。
                鬱病の人にがんばれといってはいけないことくらい知っています。

                でもそうじゃないでしょ? あなたは全力で頑張ってそれでも敗れ去った人じゃないでしょ?

                #実のところ、私のバヤイ割と適当な頑張り具合なので偉そうなこと言えないんですが。
                親コメント
              • by Elbereth (17793) on 2005年03月15日 2時11分 (#709008)
                > セキュリティホールを抱えたOSをそのまま使うのは、普通は使ったほうが悪いんだよね?

                ですよ。だから整理されちゃうよという話で。

                >> あえて泳がしているような場合は……
                >> 整理対象として目ぇつけられてるんじゃ?
                >頼むから早く整理してくれぃ。とか、思う。

                それだけではでかい責任おっかぶせて腹切らせることができないような小さな過失でも
                他のカードとのコンボで必殺技にできたりしますしね。オーバーキル狙いというか。

                #何こんなに熱心にレスつけてんだろ……>自分
                親コメント
              • by Elbereth (17793) on 2005年03月15日 11時00分 (#709103)
                夜が明けて今見てみたら自分でもそう思った(ぉぃぉぃ)
                親コメント
        • Re:そもそも (スコア:1, 興味深い)

          by Anonymous Coward on 2005年03月14日 21時21分 (#708889)
          私の場合、常駐先にも同様の文書が回ってきたので
          自社の法務に問い合わせたところ
          「法的拘束力ないから、いくらでも書いちゃっていいよ」
          と回答がありました。

          ホンマかいなと思ったけど(^^;

          まぁ、書面にもよるのかも知れないですけど。
          親コメント
      • Re:そもそも (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2005年03月14日 16時13分 (#708755)
        ある程度社員数が多いところは、教育で十分なレベルに達することは
        まず無理だと思います。(また、教育では、客観的にきちんと水準に達しているか
        判断が難しいかと)

        ただ、教育なしでシステムだけで解決するのも不可能なので、
        システムで出来る範囲をカバーしながら、不完全な部分だけを
        教育するような形がいい・・・・のかなぁ。
        親コメント
    • by Anonymous Coward on 2005年03月14日 16時53分 (#708777)

      「セキュリティはプロダクトじゃない、プロセスだ」というのは
      どこのキャッチコピーだったっけ。

      これ [amazon.co.jp]とゆーかB. Schneier氏の口癖というか。
      親コメント
  • 4/1の風景 (スコア:3, おもしろおかしい)

    by greentea (17971) on 2005年03月14日 15時48分 (#708736) 日記
    課長「ちょっと部長、そうやって個人情報を置きっぱなしにしないでくださいよ。
    今日から新しい法律が施行されたんですから。大変な事になりますよ」

    部長「はっはっは。そういえば今日は4月1日だったな。
    きみもまだまだ嘘が下手だなぁ」

    課長「…」
    --
    1を聞いて0を知れ!
  • by Anonymous Coward on 2005年03月14日 14時31分 (#708682)
    > クライアントから「サーバのセキュリティはどうだ?」

    新しいクエリのコマンドが増えるのかと空目した。
    何のサーバだと思ったのだろう。

    # アホなのでAC
    • Re:何のサーバ (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2005年03月14日 23時36分 (#708950)
      やっぱり、いま一番ホットなソリューションといえば
      NGS(NoGuardSenpou)サーバじゃないでしょうか?
      ただ、こちらのソリューションはある意味で
      「個人情報配信サーバー」として機能するため、
      敢えて危険な橋を渡るのが大好きというチャレンジングな
      システム屋さんにしか薦められないです。
      メリットは、平時の運用コストが安い事ですかね。
      緊急時には法律部門・マスコミ対応をフル回転させて、
      ウルトラC的法解釈を駆使するなどのスキルが要求されますが。
      親コメント
  • で、運用は? (スコア:2, すばらしい洞察)

    by unyuchan (22065) on 2005年03月14日 16時01分 (#708747)
    日本の政治家は、法律を作ったら日本人全員がその通りに動くと思ってる人が多すぎ
    施行直後に申し訳程度に数件検挙されるだけで、結局は個人情報だだ漏れでしょ

    駐車違反の法律を作りました。これで日本から駐車違反がなくなります!

    駐車違反取り締まり件数が東京23区と同じ人口のニューヨーク1000万件に対して東京50万件 [npa.go.jp]なせいで違法駐車しまくりとか
    車の運転中の携帯使用禁止etc.みたいに
  • by okdt (17) on 2005年03月14日 17時13分 (#708787) 日記
    勘違いが見られるのは、「サーバは大丈夫か」の行く末が、「データセンターは大丈夫か」に行き着いて、それでOKだと思っているところかもしれない。むしろデータそのものの運用を律するルールだということがまるでわかっていない。

    データセンターは入れ物に過ぎず、個人情報取扱い事業者でもなければ、事業者から委託を受けていても、漏洩が生じた場合でも即座に責任を共有する立場にいるわけでもないんですけどね。
  • by Anonymous Coward on 2005年03月14日 15時29分 (#708725)
    店にゲームの予約をしにいったら、電話番号欄などが潰してありました。

    予約券があれば事が足りるし、とりあえず収集していた情報を、止めていこうって考え始めている所もあるのかも。
  • 私ゃまた
    • HDDレス
    • リムーバブルメディア装着不可
    とかのネタかと思いましたよ(笑)。
  • by Anonymous Coward on 2005年03月14日 16時33分 (#708770)
    漏れるときは漏れる。企業のイメージダウンは同じ。
    だから,当社では「漏れたときの対策」より「漏れないための対策」を先に始めました。
    「取得」「保管」「破棄」のプロセスをきちん確立としておけば問題はないわけで。けっこうアナログな手法でどうにかなるものです(もっとも社員数数百人レベルの会社ですが)。

    何万人クラスになるとそうはいってられないんでしょうなぁ。

    システム屋さんにとって,無知な顧客は「頭痛のタネ」か「またとないカモ」かどちらかでしょうが…
  • デパート (スコア:1, 興味深い)

    by Anonymous Coward on 2005年03月14日 18時01分 (#708812)
    知り合いがバイトしてるデパートでも個人情報保護法がらみでおおわらわだそうです。どこからどこまでが個人情報だかわかんねーよ!っていうのが本音みたい。たとえば宅急便取り扱いで客から預かった住所氏名電話番号は個人情報になるの?とかいってイライラしてました。

    間違いなく個人情報だと思いますが。

    聞いたところによるとこのデパート、クレジットカードつきの会員カードをつくってるのですがそれらのデータが入ったコンピュータに相当多くの人員がアクセスできるようです。バイトまで。しかも退職したバイトでもアクセスできるらしい。

    この話きいてからこのデパートには絶対個人情報ヤラネと腹にきめたです。
    • Re:デパート (スコア:2, 興味深い)

      by Akami (4183) on 2005年03月14日 21時29分 (#708893)
      個人情報保護法関係で対象になる個人情報は、実は「すべての個人情報」じゃありません。

      詳しい解説はしかるべきところを見ていただくとして、たとえばこんな運用をしていれば、
      客から預かった住所電話等は法の保護対象としての個人情報の扱いになりません。

      ・数日~せいぜい1ヶ月程度の納期の商品に限り配送を受け付ける
      ・客から預かるときに、直接送り状に書いてもらう
      ・送り状は発送業務(商品と送り先のひも付け)のみに使う
      ・送り状は発送する荷物に貼り付けてしまう

      というのは、法の保護対象になるかどうかは当該個人情報の保存期間と、検索可能性に依存するからです。
      親コメント
typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...