メモ帳

適当にだらりだらりと雑記帳

高木浩光の「パスモのサービスを停止に追い込み自慢」を読み解く

鉄道とか::ICカード

前記事の続き


問題の記事はこちら。
ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか



リンク先をクリックして驚愕。



なげえよ。三行で説明しろ。



最初に導入部があるのだが、
その後は延々とコールセンターとのやりとりを文字で起こした文章が続く。


そもそも、まともな人間なら、
コールセンターに出てくる奴なんぞ外部委託のオペレーターでしかないので、
セキュリティのまともな議論なんて期待できないということぐらい理解している。


こいつぁ、一気にクレーマー臭がしてきたぜ。




9割方読む気をなくしつつ、まずは導入部を読み解いてみる。


まず、高木浩光氏が問題だと言っているのは下記2点。


①「PASMO履歴照会サービス」の注意事項(必ずお読みくださいとある。)に”お客さまのPASMOで「PASMO履歴照会サービス」の登録ができないように 設定することができます。ご希望の場合は下記窓口までお申し出ください。 「マイページ停止センター」TEL:03-5325-9271 (土休日・年末年始除く9:30〜17:00)”と記載がある。


②「会員登録」のページではPASMOのカード番号(IDi)と、氏名、生年月日、電話番号(電話番号は不要の場合もある)さえあれば、アカウントを作成できる。また、そのアカウントでそのPASMOの乗車閲覧を閲覧できてしまう。



この2点について”ダメだ。”と言っている。
何故”ダメ”なのか、は前述のコールセンターとのやりとり記録を読むしか無い。
結論を先に持ってこないあたり、
この人は本当に論文を書いている研究者なんだろうかと疑問がわいてくる。



ちなみに、このPASMO履歴照会サービスはパスワードがある。
一度パスワードを設定すれば他人には見られないが、
最初にパスワードを設定する方法は・・・


そう、②の情報を知っていれば誰でも登録できる。
つまり1発目の登録を勝手に第三者に設定されたら、
自分の意図していない所で勝手に閲覧されてしまう。


止める術は無く、電話連絡という後手に回る方法しかない。



文章読んでないけど、もしかしてこれについて言ってるんじゃなかろうか。


ちなみにこんなのは2008年の段階で指摘されていたりする。




さて、意を決して読み解いていく。


>パ: お電話ありがとうございます。マイページ停止センターでございます。
>
> 私: 高木と申しますけども、お尋ねしたいのですが、
>   この「マイページ停止センター」というのはですね、
>   何のためにあるんでしょうか。

> パ: はいあのー、インターネットで、
>   履歴を閲覧できるマイページというサービスが(中略)
>   万が一パスモの番号ですとか、お客様のお名前、生年月日、
>   お電話番号も第三者の方に知られてしまっている、
>   でその方に利用履歴を見られてしまっているかもしれないという、
>   お声を頂くことがありまして、そういった履歴閲覧を防ぐために、
>   マイページ自体を閲覧不可にしたいというお声をこちらで
>   受けるために、マイページ停止センターというのを設けさせて
>   頂いているんですけども。

> 私: え?そういうことが起きるんだったら、こういうサービスやめないと
>   だめなんじゃないですか?

> パ: ……(10秒沈黙)……。


・・・


もう、こんな内容を嬉々として書いている時点でお前がダメだっつー話。


セキュリティに対して建設的な指摘をするのではなく、
小馬鹿にするような態度で揚げ足取りをしていく。
揚げ足取りを長々とする割には、結論が見えてこない。
最後は自分満足、他うんざり。


一緒に仕事したくないタイプやね。
セキュリティに対して知識持ってる持ってないに関わらず、
この人は生理的に受け付けないわ。


繰り返すようだけど、相手はコールセンターの人間であり、単なる素人。
圧迫的に問い詰めて言い間違えを誘導し、そこを追求して
持論に持って行っているのは確信犯的だろう。
この人はセキュリティの警鐘者ではなく、単なるディベーターだ。



イライラしつつも読み進めていく。
最終的にパスモ側で担当者なる人間が登場しているが、
コールセンターに常駐している社員など、たかが知れている。


結局、この高木浩光氏の言わんとしているのは以下の内容のようだ。


①氏名、生年月日、電話番号をキーに履歴を閲覧できたら
 それは個人情報だ。
②氏名、生年月日、電話番号は公開情報だ。
  IDi共々収集しているサービス事業者もあり、
  履歴を閲覧できる情報を持っている第三者は存在する。
パスモは第三者が閲覧できると認識しているのに、
  サービスをそのまま継続している。
④規約には第三者による利用を制限していない。
  パスモによる意図的な第三者提供だ。
  →第三者が利用出来ることを告知していないのは法令違反。
⑤仮に第三者提供ではないとしたら、
  そもそも安全管理措置義務を果たしていない。
  法令違反。


言っていることはわかるのだが、
なんか無理やり、
「第三者が利用出来ることをパスモ
 ”悪意を持って確信犯的に”認識していた」という
方向に持って行っているのが気にいらない。


単に⑤だけ指摘すりゃあいいのに。
いちいちめんどくさい。




で、結局のところ、パスモがマヌケだったのは事実として、
セキュリティに関係する技術的な話は殆ど得られなかった。



今回、高木浩光氏が示したのは、
1.第三者が閲覧できるという事態を知得する。
  (自分で考えなくても良い。)
2.個人情報保護法違反に持っていく戦略を練る。
3.コールセンターの素人をターゲットに電凸
  圧迫的に攻めて企業として命取りになるような言質を取る。
4.ネットにうp
5.ニュースが取り上げたり企業が謝罪すれば名が売れる
6.人々が勝手に崇め奉る
7.講演会の依頼が来る
というビジネスモデル。


”専門家”になりたい方はご参考に。