読者です 読者をやめる 読者になる 読者になる

masahirorの気まま記録簿

個人的な出来事や意見、生活などの記録を思うままにブログに記録

デル株式会社
マウスコンピューター/G-Tune

大げさすぎるとは思うんですがこんな時代だから

CAR ニュース

帰宅してポストを見ると、なんだか聞きなれない会社からの封筒が。

「高速道路技術センター」・・・どこですか?
しばらく考え、多分道路公団JHが民営化して会社になったんでそこの名前ではないかという結論に。思い当たる節といえば、ETCの割引を利用してから、それが「無くなりますよー」というアナウンスだろうか?まあご丁寧に。
とりあえずあけてみる。何やら紙切れが2枚。タイトルが「高速道路の利用に関するアンケート調査・・・」!!!
あ、思い出した!そういやETC前払ユーザに「ETC前払割引サービス」からアンケート調査の実施のメールが来てた。10/19のこと。

東/中/西日本高速道路(株)(旧・日本道路公団)からETC前払割引にご登録頂いたお客様へのお知らせです。弊社では、高速道路をご利用頂いた方にインターネットでのアンケート調査を実施しております。
http://census.extec.or.jp/index.asp (なお、携帯電話からはご利用になれません。) お答え頂いた方から抽選でプレゼントを贈呈! なお、本メールアドレスは配信専用です。
問合せ先:(略)

これを読んで、プレゼントがあったので即効応募してみた。回答数が少ないせいか、比較的JHのアンケートは当たりやすい。以前も小さいアンケートでJH謹製マウスパッド当たったし。
「今回も当たったかな?」と思って文章をよくよく読んでみた。
(クリックで拡大)
高速道路の利用に関するアンケート調査に関するお詫び】・・・え、お詫びっすか?
書かれていた経緯としては、アンケート開始当初SSLによる暗号化をしておらず(要はhttps://から始まるページにしていない)、送信した情報が傍受される可能性があったことへのお詫びのようです。
また情報漏えいですか?俺は懸賞は当たらないくせにファミマクラブ、ACCA、Yahoo!BBとことごとくニュースになった漏洩には当たってる・・・特に開始早々にサービスを利用してると確率がぐーんとあがるんだよね。
でも今回のこれは、httpsじゃなくhttpにしてた程度だから、暗号化されてないとはいえ傍受するにはパケットキャプチャとかしないといけないし、ある程度知識のある人じゃないと出来ないことだから、まあいいんじゃないかな。クレジット番号とかあるならまだしも、ただのアンケートと住所、ナンバープレートぐらいだったらユーザとしては許してしまう。ナンバープレートの番号は微妙なところだけど、陸運局行けば調べられるわけだし。
ちょっと前の懸賞サイトなんて、httpsにしてるページなんてほとんどなくて、それで文句言う人なんて微々たるもので表に出てこないくらいだったのに、やはり個人情報保護法の施行や昨今の企業からの情報流失多発に伴って、どの企業もすごく慎重になってるんだろう。(今でも暗号化通信してない企業のページとかいっぱいあるのに、こんな謝罪はまったくしてないけど。)
といっても、危険があるのは確かだから、企業としてはこれぐらいの謝罪は最低限必要だと思うし、ちゃんと報告した点は評価したい。先日うちの会社でも、僕が社内で使えるアカウントIDのパスワードを変更するWebスクリプトを作成したんだが、それに対して「httpsにしてないのはまずいんじゃない?」というご指摘があり、速攻対応した。やはり情報の大なり小なり関わらず危険度の認識は必要だよね。
という訳で、今回の件は

  • 特別な傍受をされた場合覗き見される危険があった
  • 登録されたログや書かれたファイルがそのまま流失したわけではない*1

ってことで、ユーザの立場から言わせれば個人的には「許せる」という結論に達した。逆の立場なら、もちろん危機感を持つことと謝罪は必須。
それで、アンケートの抽選の有無はともかく、お詫びとして500円のクオカードが入っていた。喜んでいいのやら、悲しむべきか・・・でも、さっきの結論から言えば明示的に流失したのではないので、僕的には無問題。なので「もらえてラッキー!」と思っています*2

ちなみに、謝罪文は会社代表から経緯の説明が書かれたものと、経緯の説明+お詫びの品の説明が書かれたもの計2枚が入っていた。後者は上記の画像の通りで、前者は道路交通サンセスのページにも同じものが掲載されていた。

東日本高速道路株式会社、中日本高速道路株式会社、西日本高速道路株式会社で10月16日午前0時から 実施しておりました、インターネットを利用した高速道路に関するアンケート調査におきまして、 データを暗号化していることをお知らせいたしておりましたが、データの暗号化に必要なSSL処理(暗号化処理) の設定に誤りがあり、この間のご回答におきまして、16,712名の方のご回答が暗号化処理がなされないまま 通信されておりました。
 このアンケート調査では、お答えいただく方の住所、氏名、年齢、性別、高速道路を利用された 車のナンバープレート、高速道路の利用状況をお答えいただいておりました。
 本日、午前10時35分にシステムは是正されており、アンケート調査は暗号化処理も適切に行っております。
 これによるデータ流出の事実は、確認されておりませんが、対象となるお客様には早急にご連絡し、 事情をご説明しお詫び申し上げる所存です。

やっぱこういうアンケートは、開始してすぐ飛びつくものではないな。しばらくして問題がなければ参加、今回みたいに問題があれば対策されたあとに参加するのが安全な道だろう。
あと、こういうアンケートとかで回答するときは、適当な場所にアルファベット等入れるのも、いざ流失したときに役に立つ。例えば、住所の建物名が「はてなビル101号」とかだったら「はてなビルA101号」とか「Aはてなビル101号」「はてなビル101A号」とか、そういうのも実在してそうな場所に、アンケートごとに違うアルファベットを入れる。多少の記載ミスは郵便は届いてくれるし、もしアルファベット付でDMやら勧誘・架空請求が来たら、どのアンケートで入れたアルファベットか記録しておくことで、漏洩元をある程度調べることが出来る。
アンケートや懸賞の応募もちゃんとしてるものだったら大丈夫だが、その判断は簡単には出来ないものなので自己防衛も必要。この方法は便利なので、自分も今後はやってみることにしよう。

*1:ただし、誰かが上記覗き見を継続して監視し、それをまとめたファイルをP2Pソフトなどで流したりした場合は別

*2:しかし情報漏えいのお詫び=ひとり分の個人情報の価値=500円は、今の世の流失後の定番になってきてますな。ファミマクラブは1000円分のクオカードもらえたけど