個人情報が盗まれた:487.登録情報漏洩

	[ IT・家電(総合) - セキュリティ ]		カンタン！ブログをはじめよう

2010年06月06日

487.登録情報漏洩

スクエニが自分のミスで個人情報を漏洩した。
　（コメントで情報を知った。）

-------------------------------------
スクエニアナウンス

過去数日間に、外部から弊社内の特定コンピューター端末に対して攻撃が行われ、その結果、一部のお客様のプレイオンラインID、プレイオンラインパスワード、その他登録情報が漏洩した可能性のある事を確認しました。
--------------------------------------

情報不足でよく分からないが、これは大変な事件ではないかと思う。ニュース報道はされていないし、どう展開するのか分からないがいろんな問題が含まれている。

・ＩＤとＰＷ管理が問題
外部アタックでオンライン業者の端末から、顧客であるユーザーのＩＤとＰＷがセットで抜かれるなんてありえないことだと思う。個人情報の漏洩事件は多数起こっていることだが、ＩＤとＰＷがセットで漏洩するなんて聞いたことがない。スクエニ発表が本当ならＩＤとＰＷの管理がでたらめだな。通帳と印鑑を同じ引出しに入れていたようなものだ。

・発表が遅い
スクエニアナウンスは2010.06.04(金) 22:30に出されているが、該当ユーザーにはそれより前にメール送信されている。メールを受け取ったユーザーは偽メールかと疑い混乱する。スクエニの公式発表は遅いのではないか。

・発表内容が不十分
スクエニは「その他登録情報が漏洩した」と発表しているだけで何が漏れたかの詳細を発表していない。登録情報には個人情報も含まれるのだろうが、個人情報という言葉の使用を避けている。またどのくらいの規模の漏洩なのかも発表していない。数件なのか数万件なのか？だいたいスクエニは全てを把握しているのか？

・これは個人情報の漏洩事件だ。
登録情報という言葉でごまかそうとしている。またＰＯＬではＩＤとＰＷが分かれば、該当者の個人情報登録内容を閲覧することができるし登録内容の変更もできる。その中にはクレジットカード情報の一部も含まれている。ネット上で第三者によるアクセスが可能になった時点で漏洩と判断すべきだろう。スクエニは緊急メンテナンス作業をしているが公式発表から24時間後だ。

現時点でスクエニに個人情報保護法での違法行為があるのかどうか検証してみる。

個人情報保護法にはこう書かれている。

第二十条　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

個人情報保護法は個人の情報を直接守るための法律ではなく、漏えい（漏洩）という言葉が出てくるのはここだけだ。漏洩に関する罰則も書かれていないし、ユーザーに対する対応も細かくは書かれていない。しかし、当然のごとく当局への報告責任はあるし個人情報の安全管理責任もある。

・報告義務

（経済産業分野ガイドライン）

事故又は違反への対処をする上で望まれる事項
以下の項目等の実施
ア）事実調査、イ）影響範囲の特定、ウ）影響を受ける可能性のある本人及び主務大臣等への報告、エ）原因の究明、オ）再発防止策の検討・実施

（金融分野ガイドライン）

個人情報取扱事業者は、個人情報の漏えい事案等の事故が発生した場合には、監督当局に直ちに報告すること

金融分野のガイドラインは厳しくて報告を義務化している。同じ法律なのにガイドラインが違うが、金融分野では閣議決定した「個人情報の保護に関する基本方針」を取り入れているからだ。同じ国で同じ法体系を適用されるのだから、スクエニにも監督当局に直ちに報告する義務があると考えることもできる。スクエニは警察だけでなく、監督当局にも報告するのがよいだろう。

・安全管理義務

（経済産業分野ガイドライン）

個人データの安全管理のため、組織的、人的、物理的、及び技術的安全管理措置を講じなければならない

スクエニは外部攻撃により「プレイオンラインID、プレイオンラインパスワード、その他登録情報が漏洩した」と簡単にいってるだけだが、ＩＤとＰＷがワンセットで同時に抜かれるのは技術的安全管理義務に違反していると思う。

コメントありがとうございます。久しぶりの更新です。ライブドアブログのシステムが新しくなっていて少し戸惑ったが、ライブドアの改善努力はすばらしい。

yoshy2k7 at 19:05│Comments(11)│TrackBack(0)│clip!

トラックバックURL

この記事へのコメント

1. Posted by ｋ 2010年06月07日 10:20

スクエニはくずですね

2. Posted by 久しぶりデスネ 2010年06月07日 23:57

だらだら課金を続けていたけど、いつかこの様な事故が起こるかもと思っていた。

やっぱりなぁという感じ。

3. Posted by nao 2010年06月21日 18:55

ここ数年利用していないはずだが何やら請求書が届きました。
確認のため電話かけたが営業時間内にも関わらず留守電。
チャットサポも繋がらず。何だこの会社

4. Posted by 通りすがり 2010年06月30日 20:19

関連情報がまとめられているライブドアＢＢＳを発見したので貼っておきますね

http://jbbs.livedoor.jp/netgame/6283/

5. Posted by 同じく通りすがり 2010年07月23日 23:35

私のとこにも何年も利用してないのに請求書が…

これどうしたらいいんですかね？
同じくサポセンのチャットにつなごうとしたがつながらない。

6. Posted by 同じくじく通りすがり 2010年07月26日 23:42

私のところにも見覚えのない請求書がきました。
クレジットカード情報も漏れていますね。

とりあえずスクエニに問い合わせ中です。

7. Posted by 半年前に引退 2010年07月29日 01:05

自分のところにも来ました
というか皆検索してここに来てますね

8. Posted by 2年程前から利用していません 2010年09月26日 17:19

本日、突然請求書が届きました。
6月分が未払いなので、支払って下さいとのこと。。
皆さん支払い等は、どうされたのでしょうか・・・？

9. Posted by 私も２年前から利用なし 2011年01月12日 20:18

１２月分の請求が届きました(汗)。

もう２年も昔のことなので、
解約がきちんと済まされていたのかどうか
（なんか間違えてた？）
正直そこも不安です。

というか・・・それまでずっと請求が
あった、ってことなのでしょうか？？？

すごく気持ち悪いです。。。

10. Posted by ayabiesayaka 2011年02月11日 21:05

難しいことがいっぱい
かいてありますねーｗ

11. Posted by スクエニ怖い 2011年09月05日 18:11

つい最近、私も不正請求の被害にあい、検索でここにたどり着きました。解約後、数年経過しているのに、カード情報がスクエニに残っていて、そのカードがそのまま支払いに使われました。驚いたことに、既に会員でないのに、会員規約に書いてあるからお金は返さないと言われました。不正請求はずいぶん前からあるんですね。なぜ、こんな企業が未だにネトゲ運営を続けていられるのか、不思議でなりません。
他の被害者の方がここを見ていたら、消費生活センターに連絡するのを強くお勧めします。

この記事にコメントする

名前:
メール:
URL:
	情報を記憶:	評価:	顔星