パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

日本年金機構から125万件の個人情報流出」記事へのコメント

  • たいていの人はそう思っているでしょう。
    • by Anonymous Coward on 2015年06月01日 18時02分 (#2823473)

      公的機関の情報漏洩の抑止力は、漏洩の原因をつくった職員への刑事罰くらいしか無いようなきがする。
      そのくらい気を引き締めて業務にあたれ、生半可な知識と意識でシステムをいじるな、ってことで。

      親コメント
      • by Anonymous Coward on 2015年06月01日 18時08分 (#2823475)

        精神主義じゃどうともならんでしょう。仕組みで防がないと。

        親コメント
        • by Anonymous Coward on 2015年06月01日 20時31分 (#2823557)

          > 精神主義じゃどうともならんでしょう。仕組みで防がないと。

          マイナンバーの漏洩を防ぐ/漏洩しても使い道がないようにする仕組みとして、
          事業者ごとに、個人を示す識別番号の値を変えるって方法が、昔、
          http://takagi-hiromitsu.jp/diary/20040822.html [takagi-hiromitsu.jp]
          の末尾に示されていて、確かにこれは今なら技術的に可能だし、うまい手だなと
          思った記憶があるんですが、マイナンバーが、こういう仕組みを採用しなかった
          理由って何なんでしょう。

          親コメント
          • by Anonymous Coward

            お漏らししたとこが分かるから。

        • > 厚労大臣「日本年金機構への悪意を持った攻撃を防げなかったことは誠に遺憾だ。」

          (1) 職員がデータをオンラインにしてしまったのが流出
          (2) 職員がウイルスの入ったファイルを開封したのは拡散幇助

          ということを大臣が理解しないと、仕組みが作られようはずがない。
          やはりまず、精神が問題じゃないか?

          親コメント
        • by Anonymous Coward

          同意
          このニュースを見て「仮想デスクトップにしましょう」とか
          各種「ソリューション」を売り込むベンダーが数社現れるんじゃないかと思います
          採用されるかはともかく

          • by Anonymous Coward

            メール受信でウィルスにやられるような体制じゃ、
            どんなセキュリティ対策しても無駄ではなかろうか。

            精神論というより、最低限のIT知識持たずに「個人情報データ」を扱うなと言うんだよ。

            • by Anonymous Coward on 2015年06月01日 18時39分 (#2823498)

              >最低限のIT知識持たずに

              そういうのが精神論なんだよ、仕組み的に防ぐことが出来なければ
              必ず事故る。マーフィーの法則通りです。

              親コメント
              • by Anonymous Coward

                その通りです。フールプルーフが必要ですね。

              • by Anonymous Coward on 2015年06月01日 20時28分 (#2823554)

                バカをなめるな。
                奴らは我々が苦労して張り巡らせたバカ除けの、必ず斜め上を飛び越えていく。

                バカをなめるな。

                親コメント
              • by Anonymous Coward

                バカがどうこう以前に、職員が悪意を持って流出させるケースも十分考え得るからね。
                ベネッセしかり、実例の枚挙にいとまがない。
                悪意を持ってしても大量漏洩はできないくらい、防壁&記録を取る仕組みを作らないと。

                # この事件関連の2ch書き込みを読むと、馬鹿がえらい多かったことは実感できるけどさ。

              • 顧客情報を平文のままゲームサーバに公開してた馬鹿なネトゲ運営会社もありましたし、
                中小企業なんかではサーバシステムの管理パスワードを社内共通にして掲示板に貼ってるので誰でもいじれるような会社もありますからねぇ。
                今回の事件でもそうですが、そういう馬鹿な運用は駄目なんだということを理解させないと、どんなシステムも無駄になる。
                「悪意をもってなされたら~」とか言ってる人もいますが、それ以前の問題。まず悪意が無くても漏洩させ放題な会社の意識改革は必要でしょう。

                「教育なんて無駄だー」と唱える人間は、とにかくシステム屋の仕事が増えることこそ正義でそれ以外はどうでもいい人なのでは?

                --

                ψアレゲな事を真面目にやることこそアレゲだと思う。
                親コメント
            • by 90 (35300) on 2015年06月01日 20時44分 (#2823570) 日記

              最低限のIT知識とやらを定義してみなよ。たぶんあんたは添付を踏んで叩かれる側だよ。
              交通事故なんか死ぬと分かってても起こすときは起こして同乗者共々死ぬんだから、人間に何を期待してもダメなんだよ。
              だからそもそも添付をサーバで落とすとか、原理的に起こらないようにするわけ。

              親コメント
              • by Anonymous Coward

                また、極端な。
                車を例に上げていますけど、何のために免許があるのか考えてみては?
                最低限の知識で全てを完璧に防ぐことはできませんが、
                それを理由に最低限の知識が必要ないなどというのは極論です。

              • by Anonymous Coward

                「システムや運用規則を作る側のIT知識や安全意識が足りてない」
                という問題と
                「システムを利用するオペレータのIT知識や安全意識が足りてない」
                という問題は別物ですよね。

                #2823475や#2823481は確実に前者の意味で意見を述べているけれど、
                #2823473は前者の意味で書いてる可能性がありそうに見えるけど曖昧だし、
                #2823487は確実に後者の意味で考えててそりゃおかしいだろうと。

              • by Anonymous Coward

                そりゃそうなんだけど、
                どんな馬鹿でも情報漏洩しない仕組なんてものを考えるよりは、
                ある程度の教育と試験による情報取扱者の選別の方が現実的だよ。

              • by Anonymous Coward

                > また、極端な。
                > 車を例に上げていますけど、何のために免許があるのか考えてみては?

                免許を持っている人は事故らないんですね?

                > 最低限の知識で全てを完璧に防ぐことはできませんが、

                完璧に防ぐことはできなくても125万件くらいは流出するんですよ。

              • by Anonymous Coward

                あなたも極端ですね。
                私は免許の意味を考えてみてはと言ったのに、
                いつの間にか免許を持っている人は事故らないとか言い出すし。
                教育しても、事態は全く改善されないとでも言いたげだし。
                どうしてそんなに教育の効力を否定したいのか私にはわかりませんね。
                仕組み作りもやればいいし、教育もやればいいでしょ?何か不都合なの?

              • by Anonymous Coward

                横レスだけど、自動車は一人が事故っても本人が死ぬだけだけど、情報システムは一人が自己ると全員が死ぬから、たとえとして不適切。
                だから、免許を取っても全員事故らないとかいうレスがついちゃうんだと思う。

              • by Anonymous Coward

                セキュリティは道徳論じゃ解決しないから、機械的に制限をかけはじめたんですよ。

              • by Anonymous Coward

                そのとおりですが、最低限の知識って道徳論なんですか?
                誰もが閲覧できる共有フォルダに重要なデータは置かないとか、道徳論?
                まあ、セキュリティ教育とは別に組織の一員としての道徳教育は必要でしょうけどね。

        • by Anonymous Coward

          その仕組み作る段階で手を抜くかどうかの話でしょう。
          現状、自主的な安全意識にまかせている(精神主義)部分を、
          何らかの動機・圧力によって安全側に振って作業させようと。

          # 気合で乗り切れ系の精神論はクソだけど、それとはちょっと違う

        • by Anonymous Coward

          いやいや、精神主義ではどうにもならないのは同意するけど、
          これは、個人情報を取り扱う人に最低限のセキュリティ教育を受けさせろという話じゃない?
          読み書きを教えるのと大して変わらない。
          まさか、学校で読み書きを教えてもどうにもならないとか言わないよね。

          • by Anonymous Coward

            > これは、個人情報を取り扱う人に最低限のセキュリティ教育を受けさせろという話じゃない?

            今回の件がどうかはまだ分かりませんが、もしも標的型メールで狙われた場合、
            セキュリティ教育でどうにかなるレベルは越えてます。
            こんな感じ。
            http://www.npa.go.jp/keibi/biki7/231014shiryou.pdf [npa.go.jp]

            標的型の場合、ウィルスも、アンチウィルスソフトをすり抜けると想定すべきだし、
            組織外の乗っ取られたユーザーから届いた場合だと、Received: ヘッダを目視確認
            したとしても正常な内容だし。

            • >今回の件がどうかはまだ分かりませんが、もしも標的型メールで狙われた場合、
              >セキュリティ教育でどうにかなるレベルは越えてます。

              それ見てると、ここやどこかでIT教育とか精神論振りかざしてる人たちが職員だとしたら全滅でしょうね。

              親コメント
            • 最低限のセキュリティ教育を受けていれば、
              外部とつながっている環境で、個人情報を閲覧したり、ローカルに保存するのは
              ダメなんじゃないかって気付く"かも"しれないよ。

              親コメント
            • by Anonymous Coward

              標的型なら、仕方ないでしょうね。
              誤解させたかもしれませんが、ミスをした人の責任を追及しろと言いたいわけではないですよ。
              機械や仕組みによる対策は重要でしょうね。
              さらに、セキュリティ教育も合わせて行った方がより確実だと思います。

          • by Anonymous Coward

            そんな教育ムダだよ。扱う人数からいっても。

            システム的に機微情報を扱う端末から大量にデータを抜けるようにしてる時点でアウト。
            それがインターネット経由で送信できる状態にあるのもアウト。
            仮にネットに出てったとしても、それを検出して止められないのもアウト。

            どんなに手順をつくしても大量に外部に持ち出せないシステムにしないと。

            • by Anonymous Coward

              例えば、あなたが指摘した問題点に、
              職員が誰一人として気づかなかったことに問題を感じませんか?
              教育とは、危機を察知する能力を身につけることでもあると思いますよ。
              職員の理解があれば、システム担当のフットワークも変わってくるでしょう。

      • by Anonymous Coward on 2015年06月01日 19時47分 (#2823529)

        例によって自宅持ち帰り+自宅PCウイルス感染かと思ったら、職場のPCが感染したんだな。
        そうなると職員個人というよりはシステムがよろしくないと言うべきではないかと。

        システムを作った職員に責任がある、というならばそうかもしれませんが。

        親コメント
      • by Anonymous Coward

        漏洩した省庁の事務次官を懲戒免職で。
        下っ端を罰しても無駄。

        • by Anonymous Coward

          会社で言うところの、最高情報セキュリティ責任者 (CISO) 相当の人が責任を取るべきでは? …もし仮に居るとすればですが…。

          • by Anonymous Coward

            調達状況を見ていると 厚生労働省年金局事業管理課システム室 ってのが統括してますね。

            室長だから民間だと部長と課長の間ぐらいかな。CISOにはほど遠い。

            • by Anonymous Coward

              組織名からして、課の下に(中に)室があるみたいだから、
              課長と係長の間くらいでは。

              • by Anonymous Coward

                室長は課長とほぼ同等クラスですね。課長も室長も民間でいえば役なし部長あたりでしょうか?
                年金機構の理事にCISO相当がいると思います。

        • by Anonymous Coward

          ホームページにこれの情報発信してないのね、まだ。

          あまり重要なことと思っていない、または、
          誰の責任にするか協議中?

      • by Anonymous Coward

        対策の手を抜いた、対策の提言を無視した、などの責任があれば容赦なく首トバしてもよいと思う。
        だけど対策をちゃんととっててどうにもならなかったケースでまでそれやると産業が死ぬからなぁ…

        • もしも標的型なら、民間でも(教育・トレーニングなどの)対策しきれていないところも多いし、引っかかった人にも情状酌量の余地は大いにあると思うけど、「メールを開く端末で本番データが触れる」「普通のユーザが一気に100万件以上もデータを抜ける」なんてのは、「対策の手を抜いた」と言われてもしかたないなあ。

          カード会社のコールセンターでも、上記への対策くらいはちゃんと出来てますよ。

          親コメント
        • by Anonymous Coward

          そんな公務員をも公務員(裁判官)が庇うんだぜ、この国は。
          幾ら国旗掲揚、君が代斉唱の公務命令を無視しても、裁判官が庇って頸が繋がるのだからな、この国は。

          • by Anonymous Coward

            >公務員(裁判官)が
            小学校を卒業しなおしてこい

            • by Anonymous Coward

              はっ、裁判官は公務員じゃないと仰る(但し裁判員は除く)。あんた何処の国の人?
              ああそういえば、社会保険庁解体→日本年金機構移行時にも、分限処分者が随分公務員(裁判官や人事院)に救われてましたな。
              国鉄→JR時には裁判官だけが庇ってたっけ。(国鉄は人事院管轄下じゃなかったのかも)
              日本年金機構職員は正式には見なし公務員らしいが、裁判官は同胞と考えるのでは?

              • by Anonymous Coward

                裁判官および国会議員は、日本政府から雇われているのではなく、国民から直接雇われています。
                だから日本政府には、彼らをクビにする権限は無く、それができるのは国民。

              • by Anonymous Coward

                裁判官の罷免は、最高裁判所裁判官国民審査、及び国会の裁判官弾劾裁判所、及び裁判官分限法に基づく最高裁判所の大法廷又は高等裁判所の裁判官分限裁判で行われている。(実態は裁判官分限裁判しか機能していないが)

                国会議員罷免は、任期中に執行猶予の付かない禁固刑以上の裁判所の判決が確定した場合(ただし、収賄罪や選挙活動に関する罪であれば執行猶予が付いた有罪判決でも)公職選挙法に定める被選挙権を失い、国会法109条の規定に基づき失職する。
                また、除名処分が、日本国憲法58条、国会法第122条、衆議院規則第245条、参議院規則第245条に規定され、

        • by Anonymous Coward

          今回の件と何が関係がある?
          今回の件は明らかに「対策の手を抜いた、対策の提言を無視した」に相当するでしょ
          昨今の個人情報流出事件の多さ、手口など職場教育だけでなく報道でも散々目に耳にしてるのに
          その初歩の初歩からやらかしてるんだぜ
          今回の経緯をちゃんと見ろよ
          対策をちゃんとやってないだろ

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...