-
takagiichiro
- 59121
- 432
- 140
- 245
-
- いいね!245
Naoki Fukuta(福田直樹)
@fukutax
そういえば、昔とあるゲーム機会社の関係で、クラックされて認証関連情報が漏れた時に、パスワードのハッシュが漏れたのを「暗号化されてなかった」と(意図的に強調して?)報道されてたのは、よく知らない読者に意図的に特定の印象を与えたかったのか、それでもリスクありと伝えたかったのか気になる
2017-07-08 22:06:27
Naoki Fukuta(福田直樹)
@fukutax
大事なのは、そこで(発信者の意図はともかく)簡単にその印象操作に吊られてしまうのでなく、あれ?と思いつつ、そうか!?と気づけるようなリテラシーのある人が少しでも増えて、そういう人が、周りに少しでも説明してあげられるようになると、世の中変わるんだろうなと思うし、そういう人を育てたい
2017-07-08 22:10:06
Hiromitsu Takagi
@HiromitsuTakagi
この3つのツイートの流れを見るに、この情報系の方が言わんとしていることは、「ハッシュ化しているため知り得ない」を肯定しているのかな。 twitter.com/fukutax/status… twitter.com/fukutax/status… twitter.com/fukutax/status… pic.twitter.com/jIwnCpw9aK
2017-07-09 16:27:34
Naoki Fukuta(福田直樹)
@fukutax
ここがわかる程度の知識は情報系でなくても欲しいと思うです→「暗号鍵とともに不可逆暗号化(ハッシュ化)して保存されているため、運営者が生のデータを見ても詳細を知り得ないシステムになっている。」RT:予約を無断キャンセル… - ねとらぼ nlab.itmedia.co.jp/nl/spv/1707/07…
2017-07-08 22:00:27
拡大
kazutomo
@kazutomo
単方向ハッシュでもHMACとかsaltをつけてればコードも漏れないとレインボーテーブルつくれないよ / “ねとらぼ「予約キャンセルデータベースへの取材記事」に対するセキュリティ専門家高木浩光氏のツイート - Togetterまとめ” htn.to/mXbsHP
2017-07-09 18:14:09
Hiromitsu Takagi
@HiromitsuTakagi
元ツイートにちゃんと「(鍵付きハッシュの場合は鍵の保有者にとって)」と注記してあるのを見落とすほどに身の程知らずな例がこれ↓。何が議論の問題点とされているか理解していないからこうなる。 twitter.com/kazutomo/statu…
2017-07-09 18:24:20
Hiromitsu Takagi
@HiromitsuTakagi
もっとも、電話番号のハッシュの話は、元の本題からすれば枝葉の話にすぎない。当該サイトが「運営者サイドでも電話番号はわかりません」と主張しているのが、ねとらぼ記事の通り、個人情報保護法の適用を免れるための方便の一つであるなら、法はそのような方便を認めていないことを示したまで。
2017-07-09 18:56:46
Hiromitsu Takagi
@HiromitsuTakagi
個人情報保護法ガイドラインは、「「個人に関する情報」とは…全ての情報であり…も含まれ、暗号化等によって秘匿化されているかどうかを問わない。」としている。 ppc.go.jp/files/pdf/guid…
2017-07-09 18:59:36
Hiromitsu Takagi
@HiromitsuTakagi
この「暗号化しても個人情報」(鍵の利用の可否によらず)は以前からそう言われているが、なぜかの趣旨ははっきりしておらず、諸説ある。一つは鍵が存在する限りは復元可能性がゼロでないからとかだが、一方向性ハッシュなら鍵があっても復号できないなどと、筋悪な弁護士の助言がいかにも言いそう…
2017-07-09 19:08:55
Hiromitsu Takagi
@HiromitsuTakagi
…筋悪な弁護士の助言がいかにも言いそうなことなので、前掲のように、電話番号のような値域が狭いものに一方向ハッシュは無意味であることをこの際はっきりさせておくことは重要であった。 (このことは、連結可能匿名化におけるハッシュ関数の考え方においても同種の論点となっている。)
2017-07-09 19:11:23
Hiromitsu Takagi
@HiromitsuTakagi
「暗号化しても個人情報」について、どの説を採用するにせよ、今回の事案では、サイト運営者が当該サイトの機能として、検索キーに入力された電話番号の登録の有無を応答するのであるから、元情報を扱っているのであり、(元情報が個人情報ならば)ハッシュ化して扱っていようとも個人情報である。
2017-07-09 19:30:02
プライバシーマーク関連ニュース
@pmarknews
中です。個人情報保護の観点から気になるニュースですね。現在の個人情報保護法では、携帯電話番号単体では個人情報とはならないと考えられるため、原則として問題ないというのが答えになると思います。... fb.me/6hX3Q19ja
2017-07-09 11:59:33
Hiromitsu Takagi
@HiromitsuTakagi
このPマーク業者は、法の趣旨に立ち戻って考えることなく、ただただルールを当てはめることしか能がないんだろうな。 twitter.com/pmarknews/stat…
2017-07-09 19:50:39
Twitter モーメント
@MomentsJapan
やむを得ない?セキュリティーは問題ない?様々な考えをまとめました。 twitter.com/i/moments/8835…
2017-07-08 16:37:41
Hiromitsu Takagi
@HiromitsuTakagi
「様々な考え」ねえ。随分と偏向した公式まとめだことで。感心するわ。 twitter.com/momentsjapan/s…
2017-07-09 19:57:56
Hiromitsu Takagi
@HiromitsuTakagi
この問題の本質は、ツイッター社の公式モーメントがほとんどまとめに入れなかった、間違って登録された場合や、電話番号の利用者が変更された際に起きる濡れ衣をどう解決するかであり、個人情報保護法は元々そういう事態を想定して立法されたもの。 twitter.com/momentsjapan/s…
2017-07-09 20:21:22
Hiromitsu Takagi
@HiromitsuTakagi
具体的には前掲の↓の通り。 twitter.com/hiromitsutakag…
2017-07-09 20:22:45
Hiromitsu Takagi
@HiromitsuTakagi
ブラック個人リストの適正な運用は正確性の確保(19条)、開示(28条)、訂正等(29条)、利用停止(30条)によって規律される。 これは、以前から話題になっている顔識別カメラによる万引き犯検知システムに求められる規制と同じであり、カメラに規制が及ぶならこれも同様にするべきだろう。
2017-07-08 21:47:42
naoya2k
@naoya2k
nlab.itmedia.co.jp/nl/articles/17… 無断キャンセル客の電話番号を共有するサービス。逆恨みなんかで僕を嫌ってる誰かが居て、そいつが勝手に僕の電話番号で予約して放置したら何の非もない僕が不利益を被るってこと? そういうのをどう防いでいるのか確認してほしかった。
2017-07-08 23:01:44
Hiromitsu Takagi
@HiromitsuTakagi
ねとらぼの記事は、「……性善説に基づいていますので、この辺がネックになることが後々あるかもしれません」とのことだった。」と書いていて、こういう事態↓を認識しているくせに、記事に書かなかった。およそフェアなジャーナリズムとは言えない。 twitter.com/naoya2k/status…
2017-07-09 20:26:01
Hiromitsu Takagi
@HiromitsuTakagi
実際このサイトは、「電話番号を直接お問い合わせされてもわかりませんので、ご了承ください。」と書いていて、誤登録や番号変更による濡れ衣に対処する気が一切無いことを表明していて、現にその粗悪性が垣間見えているのに、ねとらぼはそこを追及せず、合法だという見解を流しただけだった。 pic.twitter.com/x4wDj79uvH
2017-07-09 20:37:02
拡大
ラグ男
@lag_o
番号変える予定もないし、無断キャンセルなんてしないんでどんどんやってくれて構わん。 / “予約を無断キャンセルした客の番号を共有するサイト、注目浴びる 背景には飲食店の“泣き寝入り”事情 (1/2) - ねとらぼ” htn.to/ucZhBd
2017-07-08 23:01:05
Hiromitsu Takagi
@HiromitsuTakagi
俺は関係ないから問題ないという声(「番号変える予定ないし」といったように)も散見されるが、それは、バリアフリー対応はコストだからやらなくていいというよく見かける発想と共通するものがある。明日は我が身だということに想像が及んでいない。 twitter.com/lag_o/status/8…
2017-07-09 21:23:36
Hiromitsu Takagi
@HiromitsuTakagi
実際にこれをやると、店が嫌われて客が来なくなるリスクがあるだろう。したがって、店はそういうことをはっきり言わず、曖昧にこっそりとブラックリストを使うことになるだろう。個人情報保護法が適用されないのなら、そういうことになる。 twitter.com/kosoryo/status…
2017-07-09 21:37:47
項楚 梁 / 圧-上183-下141
@kosoryo
リスクが大きい際に口頭でバックレたら共有する旨伝えられるだけでも意味はありそう / 予約を無断キャンセルした客の番号を共有するサイト、注目浴びる 背景には飲食店の“泣き寝入り”事情 - ねとらぼ nlab.itmedia.co.jp/nl/articles/17… @itm_nlabさんから
2017-07-08 20:42:55
Hiromitsu Takagi
@HiromitsuTakagi
そうすると何が起きるか。誤登録や番号変更で濡れ衣を着せられた人は、ある日以降、なぜか、どこの店に電話しても、予約をやんわり拒否されるようになる。それが1度ならず年中続く。疑問に思って店に「どうして?」と聞いても答えてもらえない。例のサイトでも「ご了承ください。」と回答しない。
2017-07-09 21:42:56