« 2011年4月 | トップページ | 2011年6月 »

2011年5月

ソニーの情報漏洩は、杜撰管理が背景--経産省が「違法」認定

SCEに対する個人情報保護の指導について--経済産業省(pdf)

要点をみると

①個人情報を預かった子会社に情報セキュリティの責任者なし
知られた脆弱性さえ確認する体制なし
③SCEが子会社の情報取り扱いを監督できる体制なし
ついでに顧客と省への連絡遅すぎ

…おい。
な ん だ こ れ は ?

7700万件もの個人情報を集めておきながら、
まともな専門家も、安全管理の体制も作らず、
古いバージョンのソフトにパッチもあてられないような素人集団に扱わせた
、と。
もう呆れるとか、そういうレベルじゃないだろ!

当然だが、こんなものが
個人情報保護法から見て適法なわけもなく、経済産業省も

個人情報保護法第22条に定める
「委託を受けた者に対する必要かつ適切な監督」が行われていなかったものと認められる。

はっきり違法と。そりゃそうだ。



…もうね、あまりに酷い。杜撰すぎる。
こんな駄目な会社に個人情報入力した私が馬鹿でした、と言いたくなってくる。
世界相手に、ネットで商売していい企業のレベルじゃない。

この件、裁判起こしたら、負けるほうが難しいんじゃないか?

| | コメント (4) | トラックバック (0)

ソニーはもう、PS3のようなゲーム機は作らないらしい

「PS3のように大きな損失を出すプラットフォームは考えていない」

…とりあえず
おつかれさま。

※5月28日追記
一部メディアで「PS4開発」が報じられたが、
会見で「次のプラットフォーム」とコメントされたものを
記者が取り違えたことによる誤報とのこと。
(新携帯機NGPを指していた)
いよいよPS3の後継機はないことがはっきりした模様である。

| | コメント (3) | トラックバック (0)

SCE「情報漏洩は顧客の被害」「補償は必要」「個人情報削除はできる」

この数日来、SCEのサポートセンターに連絡し、
個人情報漏洩に関して、私の個人情報の削除や、
個別での補償を求めて話をしてみたのだが、
なかなか具体的な話が聞きにくい…「検討中」が多すぎる!
…というわけで、上役の方と電話で話をさせてもらった。

以下、電話でのやりとり要旨。
少々長いが、まとめて掲載する。

電話相手:SCEカスタマーサポート 岩井上席マネージャー

☆情報漏洩は顧客の被害である☆

岩井(I)「皆様にご迷惑をおかけして真に申し訳ない。現状、すでに様々なことを問い合わせてもらっていることは聞いている。事件も大きくなってしまっている。すでに知ってることかと思うが、SCEのみならず、ソニーグループ全体の問題になっており、SCEだけに対応、という段階でなくなっている。毎日のように調整、いろんな話を監督官庁としてるが、決まったことはない状態だ」
マサミネ(M)「いつまでに決まるのか?商品を使ってきたユーザーとして、流出から1ヶ月経つのに、もれた可能性を警告するメールで終わっている。他のスタッフの方にも確認したことだが、情報漏洩は顧客の実害、か
「そうだ」
M「その前提部分を、会見などでもはっきりさせることを避けてる印象がある」
I「申し訳ない」

☆情報の削除とその連絡は可能☆

M「自分の情報が漏れれば不安にもなるし、なんとかしてほしいと思う。何とかしてくれる、という見解とか、姿勢が顧客に見えてこない1ヶ月だった。これも他スタッフの方にも確認したことだが、一点目として、PSNが復旧しだい個人情報の削除と、削除の連絡をしてくれることは間違いないか
I「間違いない

☆漏洩した顧客への補償は必要。流出の現状把握が進まず☆

M「すると問題は二点目の問題は補償になる。個人情報を漏洩させてしまった顧客に対して補償をしない、というのは企業倫理にもとる、と他スタッフと話した。SCEとしてもそういう考えがあるか」
I「もちろんある
M「顧客としては、そこをはっきり出してほしい。そこが見えなくて不安になってる。だから個人的に交渉しようと私も電話している。会見で“被害は個別にやる”“漏洩は確定してない”と言っていた。その後漏洩は確定したのだから、平井副社長が話していたとおり対応してくれ、という話だ。漏洩に対しての、社会通念的に正当な範囲の補償をして責任をとってもらいたい」
I「ソニーの方で姿勢がはっきりしない、というのはあった。今もって漏洩の状況がはっきりしていないという状況がある。現状漏洩について、情報のボリュームが、たとえば氏名、それが何件か、という詳細な状況がわかっていない」
M「7700万件はすべて流出という報道を見ているが」
I「7700万件のほかにも、別の会社からもあった」
M「SOEの2340万件などか」
I「それもあった。これにしても全部がざーっと出たわけでもない。一つ一つ、氏名が何件、住所が何件、といった詳細がわかっていない」
M「ならばなおさら、全て流れた前提で行動する必要があるのでは?」
I「盗まれた足跡こそないが、クレジット番号も出た可能性がある、と発表した。だが、その状況からさらに詳しい状況がわかってない。現状聞いてる範囲では、クレカから2次被害はでてないと聞いてる。それが今の現状だ」
M「それ(クレカの2次被害報告が今のところ確認されてないこと)はたびたび聞いているので知っている。問題は、クレカ以外の情報だ。氏名、住所、アドレス、生年月日、報道など。報道を見ても、アメリカ議会への報告でも7700万件は全て流出、と報告していたはずだ」
I「細かいところまでわからないということだ。たしかに流出の事実はある。それはあるのだが、何が何件、という細かいところがわからない」
M「その詳細は今後わかる見込みがあるのか。いつまでも特定しないから、そのまま補償もしないで時間を引き延ばしてるように感じられる」

☆個別の交渉はできない。官庁と協議中☆

I「いや。そのことを口実に逃げる、という話はない。現状を詳しく知る情報がこちらにも上がってきてない、ということだ。現状把握が進展してない。補償の話を横においた話をしているが。補償の問題については、当然監督官庁と話もしている。個別での対応とのことだが、今、現時点では、個別で補償の話は申し訳ないが行いかねる」
M「なぜだろうか。こちらは会見での発言を根拠に交渉に臨んでいる。漏洩で顧客に被害を与えたという認識に関しても齟齬はなかった。この話をする資格が私にはあると思うが」
I「会見で副社長が話した“被害”はクレカの不正使用などを指していた」
M「会見での話が2次被害を想定していたのはわかる。だがあのときの話では、2次被害が確定したら、という言い方よりも“実害”という言い方ではなかったか。それなら被害者は流出確定で発生しているし、交渉させてもらうのもおかしくない」
I「流出したのが実害だから1人1人…という話だが、その認識について現状私のところでは対応を検討中としか話せない」
M「流出が顧客に被害を与えたという認識はある?
I「被害として認識している。今の段階で、個人個人に何をするかは、私のところでは検討中としかいえない」
M「誰とならば”検討中”以外の話が聞けるのか教えてほしい」
I「弊社として、そこまでの結論に至っていない、としかいえない。監督官庁と話をしていて、おそらくPSNを動かすところから動きは始まると思う。そこで補償についても話をしてると思う。今の時点で弊社から話はできない」
M「個別の話はできない?」
I「個別の直接交渉は申し訳ないができない」
M「監督官庁との話が大切なのはわかる。しかし、顧客へのフォローこそ優先すべきではないのか?」
I「そのとおりだ。いまそれを含めて話を、調整させてもらっている段階だ。それに先んじて個別に何かする、というのはできない」
M「いつまでに対応が打ち出せるのか聞きたい。一ヶ月も放置され、これ以上待ちたくない。いつまで放置されて、PSNの情報もそのままで…と不満が募る」
I「おっしゃるとおりだ。弊社で15日にウェブにメッセージは出したが、今はできるだけ早くということでやってる。何日までか、というはっきりした話はできない。言えるとすれば、まだ今日はできない、PSNの稼動もまだ今日はできない、くらいだ」
M「現状で先にPSN稼動をさせるという話はどうなのか。顧客への責を負ってからビジネスを再開するべきでないか」
I「そういう考えもあると思う。ただ現状ではこちらからも何も見られない。PSNを動かすことで見られるものもあるし、お客様からの変更などもできるというのがある。海外では一部稼動が始まってるが、国内では現状の状態だ。いつ、という話は言いたいのだが、正直現状わからない」
M「これでは、顧客としてはできることがなくて手詰まり感がある。現状がまるで進展しないし、結局何も変わらないという印象だ」
I「お怒りももっともな話だ。こんな状況で…おっしゃりたいこともわかる。でも、現状では今話したところしか言えない」

☆おかえりなさいキャンペーンは十分なフォローにならない☆

M「ここまできて、先日発表したPSNの“おかえりキャンペーン”程度でお茶を濁すようなら、それこそ…と思う。それで十分なフォローになると思ってるか」
I「同意する。それで十分だとは、弊社は考えていない
M「流出そのものが顧客に被害を与えてる、と認識していること。それに対してのフォローはしなきゃいけない、ということ。今発表されているキャンペーンは満足なフォローではない、ということ。その3点は確認しておきたい
I「了解している
M「時間も経ち、世間的にも、賠償やら訴訟やらという形で問いたださなくては、ソニーはフォローしてくれない、という声も出ているようだ。それはソニーにもよほどマズい状況ではないか」
I「個人的には同感だ
M「顧客がそうなる前に、先んじてフォローしますよ、という声を出してもらうことが大切では」
I「そのとおりだと思う」

電話終わって雑感。

1.個人情報の削除を確実にやってくれるということ
2.顧客情報の漏洩は顧客の被害であるという認識
3.情報漏洩した顧客への補償の必要性

以上の3点についての確認ができたのはよかったが、
実際の対応についてはまだスタートラインにも着いていない、という印象である。
社内的にも情報が錯綜しているのではないか?

通算9件にも上る流出事件が連続し、今ソニーは全社的な危機といっていい。
正直、このままのんびりと、行儀よくソニーの対応を待っているのもどうかなぁ…という気がする。
個別の請求や訴訟に踏み出すユーザーが増えるのも
これでは仕方ないかも、と感じた。

今回、誠実に電話対応頂いた岩井氏に感謝申し上げたい。

※5月25日朝、追記。
電話の際に質問した別件についての連絡を岩井氏よりもらう。
(PSN復旧とは関係ない)
その際に「本日のPSN復旧もない見通しだ」との話を頂いた。
ソニーの対応を心待ちにしている方のために、ここに周知しておく。

| | コメント (42) | トラックバック (0)

海外でPSNの再開強行→「他人にパスワード変えられる危険」発生

PSNの脆弱性またもや…ソニーはパスワード変更サイトをクローズ

記事の内容をかいつまんで説明すると…

PSNのサイトからメールアドレスと生年月日を入力するだけで、
パスワード変更ができてしまう仕様のまま、ソニーはサービスを復旧させてしまった。

ハッカーに情報が漏れている現状では、そのまま他人にパスワードを変更され、
乗っ取られてしまう危険がある。ソニーは現在サイトを閉鎖している。


終わったな。こりゃ。

…全くログインもパス変更もできない日本人のアカウントどうなるんだ?
メリケンで勝手になりすましされてたり、って可能性もあるんじゃないかコレ。


| | コメント (2) | トラックバック (0)

ソニー会長。1億件の情報流出でも「ちょっとした問題」

ソニー会長「ネットに100%の安全はない」
PSN停止は「ちょっとした問題」

ソニー会長ストリンガーがやっと出てきたと思ったら…
1億件個人情報たれ流しておいて「ちょっとした問題」。ほぅ。

既知の問題を放置する杜撰な管理をしておいて
「セキュリティは高かったと考えている」

お客様であるPSユーザーは
「加入者は一般より寛大だと思う。加入者はほかの誰よりも忠実

不正侵入から1週間後の発表について
「十分早いほうだ」


…もう潰れたいのかな?この会社は。
短期的に経済に与える悪影響を考えて、今までは「本体ごと潰れる」のは反対だったけど、
長期的にはこんな個人情報扱う資格のない企業に居座られる方が、マイナスかもしれないね。
他のネット系サービスや、ゲーム業界全体からみても、
日本企業の信用という国際的な視点でみても、すでにだし。


気が付いたら、かみさんがいつのまにか作っていたソニー銀行の口座を
スッパリ解約して、別口座に移し換えていた
トップがこれじゃ、自浄作用も期待できそうにないし、
せいぜい自衛くらいはしておこう。


| | コメント (0) | トラックバック (0)

PSN再開ばかりを急ぐソニー…顧客への責任はどこいった?

結局、個人情報1億件は全部漏れていた。(私の分2件含む)

5/1の会見での「流出したことは確定してない」=だから補償もしない
…という言い訳はもう通用しない。

お詫びに1ヶ月無料の「おかえりなさいプログラム」…?あ?
退会させずに個人情報を溜め込んだのはソニーだろと。
食中毒を起こしたお詫びに「無料食事券」配ったところで、誰が食べにいくのかと。
そんな中で、各国からの追求も積んだまま、
欧米で一部サービス再開とか…呆れたを通り越した企業である。

この期に及んで、なぜソニーはTVCMなんぞやってるのか。
ソニーはこんなにも無責任で、
周りを考えられない哀れな企業だったのか。

どうやって顧客の被害を食い止めるか、に
リソースを振り向けるべき状況だと、わかってないところが救えない。
ソニーはこれからまだまだ信用を失い続けるだろう…既にゼロは軽く下回ってるけど。

とりあえず。

①現在の全CMを個人情報流出・サービス停止のお詫びに差し替えて、
顧客への周知徹底を行う。小売りに販売自粛を通達し、告知用展示物を配布。

②流出が確定したことについての謝罪を再度、正式に行い、
補償についても情報を提供する。

③メール、電話などで手軽に退会・情報削除のできる窓口の設置。
現存する顧客情報は、再度サービス利用の意思確認した場合のみの継続。

④経営責任を問う。ストリンガー卿、平井氏の辞任は当然。
役員報酬、社員の給与カットで資金に余裕を作り、
それを今回の事件収束と、被害者あての補償に用いることを発表する。

⑤事業再編計画の発表。
PSN頼りの現行計画は絶対に維持できない、という前提のもと事業部売却も行う。

…などなどなどなど。
やるべきこと、はいくらでもある。

さっさとやれソニー。

| | コメント (5) | トラックバック (0)

米ソニーエレクトロニクス 2500人分の顧客名簿を10年間放置

前回の記事「米ソニーストア」のリストについて
詳しい状況が判明したので、お知らせしておく。

5月5日午後、ネット上で噂になった2500人分のリストであるが、
これはソニーの米子会社で、オンライン販売をてがける
「ソニーエレクトロニクス」社のものであった。

内容は、同社が2001年に実施した懸賞の当選者リスト。
2500人分の氏名と「不完全な」住所、3人分のメールアドレスが含まれていた。

原因は、単純なサーバー構築ミスと思われる。
この10年間、リストはネット上に放置されたままだった模様。

リストの放置については、
日本でツイッター、2ちゃんねる等で話題になったタイミングで
米情報サイトにもユーザーが書き込みを行い、
現地担当者の知るところとなった。
日本時間の5月6日午前に削除された。

世論が厳しくなっている時期だけに、
長期間にわたって放置が見逃されていた事実について
「脇が甘かったというしかない」(ソニー広報)としている。


…なんというか。脇が甘いというか、組織デカすぎて末端が見えてないとゆーか…
それにしても、これまで起きた流出事件の規模が大きすぎて
「2500件」が大きな事件に感じなくなってきているところが怖いw

| | コメント (2) | トラックバック (0)

米ソニーストアが2000名以上の顧客情報?をネットに放置中

1304594999406

米ソニーストア


5月5日20時現在、
まさに進行形で2ちゃんねる、ツイッターで話題になっている件である。
米ソニーのオンラインショップの構築、ファイル配置に根本的なミスがあり、
このサイトの内部が誰でも見られる状態になっているという。

どういうことかと具体的にいうと、
アクセス制限の全くない状態で、
2000名以上の「顧客情報のようなリスト」がエクセルファイルで「展示」されており、
すでにグーグルのキャッシュにもなっているというのである。

…今の時代は、ググっただけで「高度なハッキング」をしたことにされてしまうのだろうか。


ソニーからの公式な発表が待たれる。

| | コメント (4) | トラックバック (0)

SOEからメールが来ていた

重要なお知らせ   2011年5月3日

Sony Online Entertainmentをご利用の皆様へのお詫びとお願い

ソニー・オンラインエンタテインメント(SOE)は、弊社サーバーへの不正アクセスの可能性について徹底調査を行ってまいりましたが、5月1日、弊社が管理するシステムへのハッカーの侵入を受け、お客様のアカウント情報が違法に取得された可能性があることが判明いたしました。ここに深くお詫びを申しあげるとともに、その旨を報告させていただきます。

違法に取得された可能性のあるお客様の個人情報は、以下の通りです。

・お客様の氏名、住所、電話番号、Eメールアドレス、性別、生年月日、ログインID、ハッシュ化されたパスワード

・2007年当時のデータベースから、約12,700件の米国以外にお住まいのお客様のクレジットカード/デビットカード番号と有効期限(クレジットカードセキュリティコードは除く)

・約10,700件 のオーストリア、ドイツ、オランダ、スペイン在住顧客のダイレクトデビットカード情報

なお、クレジットカード情報を含んだデータベースへの不正アクセスの可能性を完全に否定することはできませんが、現時点ではそのことを示す形跡は見つかっておりません。

このような事態に伴い、以下の措置を講じるとともに、引き続き詳細についての調査を継続しております。

1. SOEのゲームサービスの一時的な停止
2. 本件の調査を情報セキュリティ専門会社に依頼し、実態の把握に努めること
3. 個人情報の保護強化を目的とし弊社のシステムセキュリティを更に高度化するため、システムの再構築によるネットワークインフラの補強

(後略)

ダブル役満振り込んでたらしいです。
そういや一時期エバークエスト2やってたもんなぁ。もうソフトは処分しちゃってるってのに。

ソニーに同情できねぇぇorz

| | コメント (8) | トラックバック (0)

ソニーからまた情報流出の疑い…さすがにこれは…

ソニー、またも情報流出か 米子会社でカード1万2700件

いや、
もうね、
なんつーかさ。

これ以上はやめてあげてくれないか>はっかー


ちょっと雑感みたいなこと書いちゃうけど…
正直なところをいえば、
会見で私が投げかけた2つめの質問(金銭補償)には、
想定していた平井氏の返答があった。

「現在まだ金額や規模は明示できないが、
不安を感じさせたお客様全員に、できるだけの対応をさせていただく」
…そういう台詞が聞きたかったんだよね。

会見時点で、個々の金額まで示すことが難しいことは当然こっちもわかってる。
だからこそ「本気でお客さんのために働くから!」という
姿勢を示してもらう呼び水として、あの質問をした気持ちが強かったんだ。
人情芝居かもしれないが、結局会社は人で決まるものだから。

それなのに、平井氏からは
「ソニーのお金は出さない」
「ソニーの顧客データは減らさない」
何一つ自分は失うことないまま、
ただ問題を下火にさせたい、という逃げの姿勢しか見えなかった。
こっちもガッカリしたし、
おいおい、もちょっとしっかり頼むよ…と怒りもした。

でも…これ以上は…
ソニーの「頑張ろう」って姿勢を、
根底からへし折ってしまいそうで逆に不安です。

| | コメント (17) | トラックバック (0)

ソニー平井副社長「個人情報流出の被害はない。一律補償もしない」

ひさしぶりに会見にお邪魔させていただいて、
気が付いたら、こんなことになってしまったわけですが…

今日一番残念なコメントはやはりこれでしょう。

「個人情報流出の被害はない。補償もしない」

会見を動画などでご覧になっていた方は、
このコメントを聞いてどう感じたのでしょうか。
個人情報なんて「漏れた時点で被害」なのに。

アノニマスに襲われている!と同情をひきつつ、
「ソニー重役の家族の家族の個人情報が晒された。これはテロだ」
ってアピールしてましたよね?
でも、PSN会員7700万アカウントの情報は
「自分から登録したもので退会とかない。流出しただけでは被害なし」ですか。

どんなダブルスタンダードですか?

ソニーは、個人情報流出について、まるで責任をとるつもりはないようです。
PSNでの無料コンテンツは「ユーザーが接続できない不自由」に対してのお詫びだそうです。
クレジットカードなどの不正使用で「ソニーのせいだとはっきりしたら」個別でお金を払うそうです。

私が二度とソニーの製品を買うことはないということだけは
はっきりしました。

沢山のコメント、特に激励を頂いた方、ありがとうございました。
ついうちへ突撃してしまったソニーファンの方は逆に、
本当に、あのまま有耶無耶の会見でよかったのですか?
ソニーファンということは、皆さんも被害者なのではないかと思うのですが…はて。


最後に、他人様の動画を貼るだけでは…ということで、
今日のお土産を貼っておきます。
会見終了後の、記者と平井氏のやりとりです。
音量が死ぬほど小さく、聞きとるのが至難ですが…

どうにか聞き取れたところを書き出すと、
記者「ユーザーさん相手の一律の補償ってのは今全く考えてない?」
平井氏「今の段階ではですね、実際の被害は出ておりませんので、
被害が出た場合の被害に個別に対応を…していくことになりますけども、
今の段階で、被害の出ていないという状況の中では、とりあえず考えていない」
どんな情報がどれだけ流出したか、特定できる状況にない
7700万件のユーザーの情報は一つのサーバーに保存」
「(クレカの情報は)同じサーバーだが別の場所に暗号化されている」…こんなところですかね。
ほとんど会見本編と変わり映えしない内容ですが。まあ、おまけということで。

追伸。なんか誤解を生んでたみたいなのでプロフィール修正しました。

| | コメント (33) | トラックバック (0)

« 2011年4月 | トップページ | 2011年6月 »