2006年02月27日

個人情報漏洩事故とその対処

『ゴンゾロッソ:個人情報流出で発表に誤り 謝罪文掲載』(MSN毎日インタラクティブ)
http://www.mainichi-msn.co.jp/entertainment/game/gamenews/news/20060224org00m300121000c.html
『Master of Epic』情報流出に関する追加調査結果のご報告(ゴンゾロッソオンライン)
http://www.gonzorosso.jp/moe4.html
Master of Epicの情報流出で補償内容を発表(Slash Games)
http://www.rbbtoday.com/news/20060228/29236.html

参考:『個人情報の過剰保護、省庁や自治体で見直す動き』(読売新聞)
http://www.yomiuri.co.jp/national/news/20060225it01.htm?from=top


最近のトピックスとして、上記リンクにあるような「個人情報流出・漏洩」という問題があります。個人情報という定義について、こういう事故が発生したときにとりわけ曖昧にされがちなのですが、自分としては「現実の個人を特定するに足る状態の情報、あるいはそれに準ずるもの」だと思っています。

流出という事件性から離れて想像してみます。名前だけのリストがぽっと目の前に出ても、それが何かのサービスの顧客なのか、ゲームや小説の登場人物名を羅列したものなのか、占いで使う「良い名前」リストなのか誰にも判断がつきません。

けれど、「名前+住所」のリストであれば(それが「ナメック星」や「ムーミン谷」を住所にしてあるような架空のものでなければ)それは十分「個人情報」と考えることができます。

「ID+パスワード」の場合はそれ自体では個人を何も表さない(せいぜいアルファベットと数字の羅列であり、そのアルファベットのつながりが名前のローマ字書きになっていようが個人を示すとは限らない)からですが、そのIDとパスワードをサイト上で入力すれば名前や住所が出てきてしまうのであれば、それは「個人情報に準ずるもの」です。

とまあ、わかりきったことを書きつつ「流出」という事件性に囚われてしまうと、(1)流出の原因となったこと、(2)流出によって発生しうることとその対処、(3)補償とその後の予防、の3つについてを見失いがちになってしまいます。それはどんな事故でも一緒なのですが……。少しそのあたりについて考えてみようと思います。
(1)について、今回の件については、そもそも「公開されていたFTPサーバーに、個人情報あるいはそれに準じるデータが誰にも読める形で置いてあった」という点に原因があると思います。当初の報道向け発表では「掲示板にデータの置いてあったサーバーのアドレスが書き込まれ、情報が流出した」という記述でしたが、上記リンク先の記事を読むとわかるように、そもそもアクセス可能な位置にそれが置いてあったというのが「事実」ということです。また、そのような位置にファイルを置いて作業をしていたということであれば、その人的ミスは仕事上の悪習慣によって生まれた、ということができると思います。

(2)については、記載されていた個人情報の内容にもよると思いますが、例えばIDやパスワードのリストのように、個人情報に行き着くまでにワンクッションある場合は、流出データを悪用しようとした人がサイトにアクセスしてIDやパスワードを順次入力して個人情報を引き出したり書き換えたりするという時間が必要です。

ですので、サイトのログイン部分を一時的にストップした後、ログイン部分を変更し、必要な人に限りIDとパスワード以外の情報も一部入力することで初めてログインできるようにする(例えばIDとパスワードだけが漏れているなら、IDとパス+メールアドレス+郵便番号が必要となるようにするなど)した上で、ゲーム上のデータ(所持アイテムなど)が変更されないように、該当ユーザーのログインを一時停止して対策するなどで予防する必要があります。
今回のMoEさんでは、流出の状態が比較的長く続いたため、すぐにサービスをストップして防止後再開という手法は取られず、後に流出以前の時点にデータをロールバックさせることになりました。

(3)についてですが、補償の方法については、その個人情報流出自体へのものと、例えばゲームサービスであるなら、流出とは直接関係なくても、(2)でおこなった対処(今回ならロールバック)により、いわゆる巻き添えを食らうプレイヤーが出ることに対してどうしていくのかが焦点になっていきます。巻き戻るまでの間にレアアイテムを取得できたプレイヤーは、アイテムを取得する前まで強制的に戻されてしまうのですから、歯痒いでしょう。

こと、MMORPGではその世界性(サーバー内でゲーム世界の時間が進み、誰がゲームプレイをストップしようが、他のプレイヤーによって「歴史が作られてしまう」という特徴)が、こういう場合の対処の難しさにつながります。

今回のMoEさんの件では http://gro.moepic.com/index_m.html に告知されているように、個人情報流出対象者に関しては、「1000円相当のポイント」「プレミアムチケット1日券5枚」「消耗品アイテム」を、データを巻き戻したことへの影響を勘案して、全てのユーザーに「プレミアムチケット1日券5枚」「消耗品アイテム」をユーザーデータに書き込みすることになりました(それにしても「プレゼントさせていただく予定となっております」って、プレゼントという言葉では補償の意が削げるのではないかと思うんだが……)。この内容について、妥当性についての議論がきっとユーザー間でなされることと思いますが、ゲーム以外のサービスでの個人情報流出事故の対応に関してもそれは同様で、ケースによって色々違いがあるためどれが妥当かという判断は避けます。

そして、予防についてですが、人的ミスは別としても、悪質なクラッキング被害に遭遇した場合を考えると、いくら予防しても足りないというのが運営会社の本音だと思います。そういった事故が発生しないことが第一ですが、発生した場合にどう対処していくか、ノウハウが業界全体に蓄積されていくものであるため、今後の運営会社はその手腕について厳しく問われることと思います。前回のエントリで「人の不利見て我が振り直せ」ということを書きましたが、言わずもがな掛け言葉になってます。トラブルの多いサービスであればこそ、業界全体で姿勢について改めていかなくてはと思います。


蛇足ですが、反省と自戒を込めて自分の経験談をします。

以前僕が関わっていたシールオンラインの商用化から数ヶ月目の2004年夏ごろ、「問い合わせフォームから送った内容などが、URLの引数を書き換えることでいろいろ見られる」という漏洩事故が発生しました。
問い合わせフォームから記載される事項は、大抵において質問内容がほとんどで、個人情報のデータベース自体が公開されなかったのは不幸中の幸いと言えますが、中にはIDとパスワードの問い合わせ(その本人性を証明するために住所などを記載している人もいました)が書かれているものもいくつかあり、その後、問い合わせを見られたとおっしゃるお客様とサポートチームの遣り取りが何度も続きました。その時、不快な思いをされた方々には、当時も告知に記載しましたが、改めて個人としてお詫び申し上げます。

今、ハイファイブでは会員登録機能ですとか、問い合わせに関する機能の作りこみ部分において、そもそもの設計(概念設計というのかな?)に自分も関わるようにしています。
経験上、上記のようなトラブルが今後絶対無いとは言えませんし(無いようにしていくのが大切ですね)、実際に何かが発生したときに、どこを止めればいいのか、次に何をすれば良いのか、「我々のリスクがユーザーの利益」となるような決断を即時にしなければならないため、判断材料はできるだけ必要だと考えているからです。
当然のこととはいえ、それがなかなかできない環境の会社もあると聞きますから、できるだけ把握しておきたいと思っています。

ゲームプレイヤーが安心して楽しめるサービスを実現していくために、もっと業界でどういった対策をしていけるようになっているのか、危機管理についてどうやっていけばユーザーをより一層守ることができるのか、情報交換をしていきたいとも思います。
[ブラキン] [天道] posted by 塩肉(Sionic) at 20:21 | TrackBack(1) | 業界トピックス
この記事へのTrackBack URL
http://blog.seesaa.jp/tb/13933281

ゴンゾロッソオンライン、いい加減にしろ!
Excerpt: ゴンゾロッソオンラインが渦中の最中、初歩的ミスでさらにメールアドレス漏洩しまし...
Weblog: たねちゃんズ12
Tracked: 2006-03-02 23:37
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。