チャットワークが個人情報を流用?セキュリティは?
- tokyo_nababa
- 43093
- 11
- 17
- 16
登録した覚えがないのに、既にチャットワークにユーザー登録している?
チャットワークって何か別のサービスと連動してる?チャットワーク知らないスタッフを登録させたら何故かメアド登録されていて、何故か設定した覚えが無いパスワードを「再設定」しろと言われ、さらに届いたメールに●●●様(本名)って名前まで出てくるんだけど個人情報どうなってんだ?
2012-09-13 16:14:37一応経緯を書くと、私は先日チャットワークを知って導入を検討していた。自分でアカウントを登録しテストをしていたがグループウエアである以上、他のユーザとの連携がどうなるのかを試す必要があるので社員の一人に「チャットワークに登録して」と伝えた。登録のためにメアドを入れると(続く
2012-09-13 23:13:10続き)何故か新規登録画面ではなくログイン画面に飛ぶ。まだ設定すらしてないパスワードを要求される。ご丁寧に「パスワー祖を忘れた方はこちら」のリンクまで。社員に「このアドレスで既にチャットワークに登録してたの?」と聞くと「社長に名前聞くまで全く知らないサービスでした」とのこと。
2012-09-13 23:14:39続き)登録した覚えがない以上パスワードが分かるはずもなく、しょうが無いのでFacebookからのログインも出来るようなのでそっちも試したり、パスワード再設定メール(これが送れる事がまずおかしい)を受信して再設定してみたり、色々試すとようやく登録メールらしきものが届いた。(続く
2012-09-13 23:16:14続き)ここまでチャットワークにはメールアドレスと再設定(実質は初めて設定したのだが)したパスワード以外の情報は送信していない。が、届いたメールには「○○○○様」と社員の本名が記載されていた。社員から「どうして私の名前が相手にわかるんでしょうか?」と聞かれたが私だって分からない。
2012-09-13 23:18:11続き)何故チャットワークを今初めて聞いた社員の個人メールアドレスが既に登録されているのか、そして何故メアド登録だけで教えてもいない個人情報が出てくるのか。私の理解は超えていたが社員の個人情報がどうなっているか放置するわけにもいかず、同じ境遇の人を探しにtwitterでつぶやいた。
2012-09-13 23:20:29するとまもなく反応が来た。(株)チャットワーク(以下CW)代表の山本敏行さんからだった。本人の発言が本人によって全て削除されてしまったので記憶を頼りに書くが(これで相手方から責められたらやってられないが)CWが取り扱っていたソフトやサービスが10件ほどあり、(続く
2012-09-13 23:22:34続く)それらのユーザ情報を一元管理していたらしい。つまり会社として各サービスの個人情報を一つにまとめていたと。彼が言うには「その方が利便性が高い」ということだった。で、その後現在ではサービスが2つに絞られ、その利便性が低下したので一元化を辞めた、というのが現在らしい。
2012-09-13 23:26:16続き)その二つというのがチャットワークとESET(キャノンITソリューションズが開発元のアンチウイルスソフト)。この二つにサービスを絞った後、しばらくは一元管理のままだった時期があり、その時ユーザ登録された人は今もなおチャットワークとESETでユーザ情報が共有されているらしい。
2012-09-13 23:28:11続き)うちの社員はESETアンチウイルスのユーザ登録を過去にしていた。その時CWに登録された個人情報はチャットワークにも共有されていた、ということらしい。なのでメアドを新規で登録しようとしても既に登録済みだし、個人名もいきなり表示された、ということらしい。
2012-09-13 23:29:51続き)私自身もESET(NOD32含む)は複数ユーザ登録しているが社員と同じようなことは起きなかった。つまりこのケースはチャットワークとESETの二つにCW社がサービスを絞り、しばらくの間その二つの間でユーザ情報を共有していた時期にたまたまユーザ登録をしたうちの社員に起きたワケだ
2012-09-13 23:31:52続き)ここまで説明した事はほぼCW社の山本敏行さん本人がtwitter上で教えてくれたことだが、そのツイートは本人によって削除されている。なので細かい部分で間違いがあるかもしれないが、大まかな内容はこれで間違いないと思う。
2012-09-13 23:33:51で、どうして個人情報が出てきたかの原因は山本敏行さんの言う事でハッキリした。が、問題となっているのは「うちの社員は自分の個人情報が聞いた事もない別サービスに共有されている事を全く知らない」こと。ユーザにしっかりとした認識がない事にまず問題はないのか?ということ。
2012-09-13 23:35:32次に、仮にCW社が「周知は十分だった」と認識していたかどうかを別として、事実こうして身に覚えが無いユーザが個人情報を無断で流用された事に関する原因、不備が全てCW社にあることは明白にも関わらず多数のツイートのやりとりの中で全く謝罪の一言すらないのは「うちは悪くない」という意味か。
2012-09-13 23:38:13さらに山本敏行さんの発言の中で、ユーザからの声(私と似たような苦情?)があったので現在では二つのサービスはユーザ情報を共有していない、という話が出たが、二つのサービスで一元化していた時期のユーザはこうして今でも個人情報が共有化されたままだ。これを何故改善しないで放置しているのか。
2012-09-13 23:40:01認識があったかは、山本敏行さんが自身でその原因となる経緯を説明したことから、確実にあったものと考える。であればその認識を前提に、事実個人情報に絡む不快感を感じるユーザに対して謝罪するつもりがあるのか。そして現在も同じ「特定期間に個人情報を共有されたままのユーザ」をどうするのか。
2012-09-13 23:42:20それらを問うたが、株式会社チャットワーク代表の山本敏行さんは、私とのtwitter上でのやりとりを全て削除してしまった。返信もない。また、やりとりの最中には「Twitter上でのやり取りは文字数の限界、公の場でのやり取りになるためスカイプ通話で話せませんか?」と持ちかけられた。
2012-09-13 23:45:04ちなみにスカイプでの話はこちらが業務時間中だったので断った。どういうつもりの行動か、もはや想像するしか無いが、問い詰められると場所を変えようといい、それを断ると発言全てを消去してしまう。これを隠滅と考えないでいることの方が無理だと私は思う。
2012-09-13 23:47:10以上、長々書きましたが今日の夕方にあった一連の(株)チャットワークの個人情報共有に関する問題の流れは以上です。TL流しすいませんでした。
2012-09-13 23:49:58自分は特にPC前で顔真っ赤にしてこんなツイートをしてるわけではなく、ぶっちゃけカルピスサワー飲みながらまったりとタイピングしてる程度のお仕事だったりするわけですが、このCW社の個人情報の扱い方が実際のところ法規的にどうなのかは冷静に気になります。誰か詳しい人いればいいんだけど。
2012-09-13 23:56:03山本敏行さん曰く、共有された情報は社外や他のサービスに出ることはなく、今回で言うとチャットワークに登録しようと登録用メールアドレスを送信したことが「スイッチ」になり、社内に保管されている情報が引き出される、という仕組みらしい。なのでESETに登録=チャットワークにも登録ではない。
2012-09-13 23:58:16まぁ仕組みがどうであれ、個人情報を共有するよ、ってことをユーザが認識出来ていないことは依然問題として残っているわけだが、このシステムって、例えば誰かが他人のメールアドレスを大量にチャットワークに送信しまくれば、中には共有データベースに個人情報がある誰かにぶち当たる可能性あるよね?
2012-09-13 23:59:59となるとその登録者の立場から言えば、全く関係ない第三者によって、見も知らないサービスに勝手に情報共有される可能性があるなんて聞いてないんだけど、ってことになりやしません?これって法的にノープロブレムなんでしょうか。僕にはそこまでの知識がないので分かりませんがすっごく黒い気がします
2012-09-14 00:01:53