PSNの情報漏洩事件について、英当局がSCE Europeに高額の制裁金 35
ストーリー by headless
高額 部門より
高額 部門より
taraiok 曰く、
英情報コミッショナー事務局(ICO)は24日、2011年4月に発生したPlayStation Networkの大規模な情報漏洩事件(/.J記事)で重大な情報保護法違反があったとして、Sony Computer Entertainment Europe Limitedに対して25万ポンドの制裁金を科したそうだ( プレスリリース、 The Guardianの記事、 Engadget日本版の記事、 BBC Newsの記事、 本家/.)。
ICOの調査によれば、ソフトウェアが最新の状態に保たれていれば情報漏洩を防げたことが判明しており、個人情報を暗号化せずに保存するなどセキュリティー設定も適切ではなかったとのこと。今回の制裁金は過去3番目に高額なもので、企業に対しては最高額だという。しかし、これまでにICOが報告を受けた事件としては最も重大なものの1つであり、多くの消費者が直接影響を受けたことなどから当然の金額だとしている。一方、Sony側は承服できないとして再審理を請求する予定とのことだ。
ソニー「被害が出てないからいいだろ」 (スコア:1)
Engadgetの記事より
>ソニーは今回の罰金支払い命令に対して、「盗まれた個人情報が詐欺の目的で使われたとは考えにくい」
>ことから不服を申し立てると回答しています。
罰金額とか以前にそもそもこの裁定に不満の模様。
でも被害が出たからとかいう理由で制裁されてるわけじゃないですよねこれ
Re:ソニー「被害が出てないからいいだろ」 (スコア:2)
ええ、制裁金が課された根拠は、Data Protection Act 1988 第55A条および制裁金通知書の内容から、以下のように整理できます。
(a)データ管理者として守るべき個人データに係るデータ保護原則への深刻な違反があったこと
→今回の場合に関連する原則は第7データ保護原則というもので、その内容は以下のとおりです。
「無権限の又は不法な個人データの処理に対して、及び個人データの偶発的な損失、破壊又は損傷に対して、適切な技術的及び組織的な措置を講じるべきである。」
この原則については、さらに以下のように定められています。
「技術の発展の状態及び措置の実施の費用を考慮の上、当該措置は、以下の点に照らして適切なセキュリティ水準を確保しなければならない。
・第7原則に規定される無権原の若しくは不法な個人データの処理又は個人データの偶発的な損失、破壊若しくは損傷から生じ得る弊害
・保護されるべきデータの性質」
(b)当該違反が、相当の損害又は相当の苦痛をもたらす見込みのある類のものであったこと
(c)以下の3点のいずれかであること
(i)故意に行われたこと
(ii)以下の2点を知っており、又は知るべきであったこと ←今回の場合に認定されたのはこれ
・違反の生じるリスク
・当該違反が、相当の損害又は相当の苦痛をもたらす見込みのある類のものとなること
(iii)違反を防止するための合理的手段がとられていなかったこと
Sonyのコメントは、(文字通りに受け止めるなら、)このいずれの要件も否定するものではありませんので、金額についての不服かな、と思いましたが、そもそも記事に書かれたコメント内容がどれだけ正確かも分かりませんけどね。
暗号化? (スコア:0)
DBのダンプだけされたけど、暗号化パスワードは盗れなくて、ものすごく強いパスワードと暗号化形式だった、という場合なら意味があるけどレアケースのような。
Re:暗号化? (スコア:3, 参考になる)
サーバとはどのサーバか、ということも問題で、
http://news.mynavi.jp/photo/articles/2011/05/02/psn/images/007l.jpg [mynavi.jp]
このような一般的な3層構造をしていたそうです。
この状態でどのような方法でDBからの情報を取得したかまでは
分かりませんが、その方法如何によっては、DB側で情報を
暗号化しておくことで防げた情報もあったのに、ということではないかと。
パスワードなんかは暗号化(ハッシュ化)されていたそうです。
建前にしても、厳しい判決理由 (スコア:0)
>ソフトウェアが最新の状態に保たれていれば情報漏洩を防げた
国内で個人・クレカ情報を色々扱っているけど、この根拠は怖いな。
正直、数千万程度ならパソコンに詳しい程度の人がWindowsサーバとAccessで管理している会社も多いし。
いや、大企業ならそのくらいしておけって制裁なのは分かるけど。
Re:建前にしても、厳しい判決理由 (スコア:4, 参考になる)
念のためですが、「判決」ではないです。
この支払命令は裁判所ではなく行政庁によって発せられたもので、日本でいうと(公取委や金融庁の発する)課徴金納付命令が近いといえます。
なお、これに対する不服申立ては、第一段階審判所(First-tier Tribunal)という行政審判所に対して行われ、さらなる不服申立ては上級審判所(Upper-tier Tribunal)というさらに上級の行政審判所に、そしてさらなる不服申立ては(イングランドおよびウェールズの場合は)控訴院(Her Majesty's Court of Appeal)という(通常の)司法裁判所に対して行うことになります。
Re: (スコア:0)
不服ってどの辺が納得できないのかねぇ?
この類で、不服申し立てすると、認められて0になるとか減額されるだけじゃなくって「反省していない」として逆に増額されるという制度があれば、不服申し立てしにくい(≒とりあえず脊髄反証)がなくなるような気が……
Re: (スコア:0)
「反省」って、どうしたら反省になるの? 一軒一軒謝罪訪問すればいいの? お遍路でも旅する?
金額を算出する根拠に正当性が無いのであれば、被害/加害の関係は認めても、金額が高すぎるという訴えは十分にあると思いますが。
Re:建前にしても、厳しい判決理由 (スコア:2)
金額ってどうやって算出するんだろうと思って、根拠規定であるData Protection Act 第55A条を見てみたのですが、Comissionerが決定するということと、一定の金額(50万ポンド)以下じゃないといけない、という以外には何も書いていないんですね(日本だと計算方法が必ず規定されているのとは大違いですね。)。おそらく、過去の例や他の行政処分の場合などに照らして判断するんでしょうが、2010年4月6日に施行されたばかりのわりと新しい規定のようですし、処分をする側もこれを争う側もなかなか大変ですね。
Re:建前にしても、厳しい判決理由 (スコア:2, 興味深い)
経験から、50万件程度の氏名、住所、電話番号などの基本的な情報をCSVにしたもので大体100MB。
単純に計算すると1,000万件なら2GBになります。
もちろんデータや項目数によって上下しますが、
データの平均が氏名を5文字(性+空白+名)、住所を20文字(数千万件なら県をまたぐと思われるので県名から。方書含む)と仮定して、
日本語項目が1文字2バイトでも、1,000万件で既に500MB。
実際にはカナ氏名や管理用の番号、各種処理のためのフラグ、支払いがあるなら口座番号やカード情報なども入ることが考えられます。
さらにAccessにインポートして増える分もありますが、それを無視しても
単一MDBでは2GB制限にすぐ引っかかってまともに扱えませんし、
膨大なデータを複数のMDBに格納してテーブルリンクなどを駆使して管理しきれてるなら特殊な事例でしょう。
パソコンに詳しい程度の人、ようするにその辺の誰でも出来るレベルでは無いと思います。
大元のデータはちゃんとしたDBに持っていて、
そこから特定の目的で処理する際に
切り出した数万~数十万程度のデータをAccessで扱っているだけじゃないですかね?
Re:建前にしても、厳しい判決理由 (スコア:1)
> 正直、数千万程度ならパソコンに詳しい程度の人がWindowsサーバとAccessで管理している会社も多いし。
数千万件の個人情報やクレカ情報をAccessで管理してるだと・・・
ていうか、数千万件の個人情報を扱ってる会社がそんなに多いとは思えない。
Re:建前にしても、厳しい判決理由 (スコア:1)
Re: (スコア:0)
SCEのはアカウント数だからなぁ、個人情報も殆ど嘘で
クレカ情報も1割位しか紐付いてなかったんじゃなかった?
Re: (スコア:0)
>ていうか、数千万件の個人情報を扱ってる会社がそんなに多いとは思えない。
このネット時代なら簡単に集まるんじゃないか。
まぁ殆どがゴミみたいな情報だろうけどw
Re: (スコア:0)
Re: (スコア:0)
何を最低限とするかが難しいのと、一応この件に関してSCEは被害者なはずなんだけどね。
Re:建前にしても、厳しい判決理由 (スコア:2)
SCEは個人情報を管理する事業者として攻撃にさらされることは当然想定しておかないといけないわけですから、「被害者なはず」は関係ありません。
具体的に何をしていればよいかは、その時々で変わり得ますし、判断が難しい場合があるのはおっしゃるとおり。本件で判断が難しかったかどうかはちょっと分かりませんが。
Re:建前にしても、厳しい判決理由 (スコア:1)
被害者じゃないと誰かが言いましたか?少なくとも私は言った覚えがないのですが。
Re: (スコア:0)
大勢の客から預かった金を金庫にしまわず、袋か何かに入れてそこらに積んでおきましたってなったら
強盗と銀行という関係性で言えば銀行が被害者でも、銀行から客に対しての責任も当然発生するでしょ
君みたいに論点わかってない・状況把握できてない人は、たとえ話を使っちゃいけないと思うよ
Re: (スコア:0)
仮に、銀行に強盗が入ったという例えで言うならば、
その銀行は、1億人近い客から客から預かった金を、
店内の見えるところに放置し、金庫は使ってなかった。
かつ、店の入り口の鍵は、簡単な南京錠1つ程度だった。
泥棒は武装した銀行強盗ではなく、そこらのこそ泥で、
南京錠を開けてこっそり忍び込んで、何千万人(1億人近く)の
預金が置いてあったので、全部持って逃げた。
大体こんな感じ。もちろん、一番悪いのは泥棒だ。
Re: (スコア:0)
それでも法律で「そういう管理をしてはいけません」って決まってなければ政府が制裁するのは筋違いだよね。
民事でならいくらでもやっていいけどさ。
Re: (スコア:0)
>大体こんな感じ。
全然ちげーよw
Re:建前にしても、厳しい判決理由 (スコア:1)
そりゃもちろん決まってますよ…。SCEEの件なら、Data Protection Act 1998ですし、銀行の喩えなら日本では銀行法です。
Re: (スコア:0)
これって刑事罰なんですか?
行政処分って、刑事罰だけじゃないと思うんだけど。
Re: (スコア:0)
>情報保護法違反
だから法律で決まってたんですけど。
頭大丈夫?
Re:建前にしても、厳しい判決理由 (スコア:1)
行政処分なので刑事罰ではないですよ。処分をしたのは行政庁であって、裁判所ではありません。
Re: (スコア:0)
日本の人口は1億2千万人。数千万の個人情報って・・・?
どこの世界の話なのだろう
Re: (スコア:0)
>日本の人口は1億2千万人。数千万の個人情報って・・・?
>どこの世界の話なのだろう
ソニーの盗まれたデータも、そういう個人情報だが?
Re: (スコア:0)
ソニーは「パソコンに詳しい程度の人がWindowsサーバとAccessで管理している会社」と違うだろ。
今してンのは、「数千万の個人情報」を扱ってる会社の話じゃないよ。
「数千万の個人情報」を「パソコンに詳しい程度の人がWindowsサーバとAccessで管理している会社」の話。
それが「多い」と言っていることに対し、それは「どこの世界の話なのだろう」と言われてンの。OK?
Re: (スコア:0)
ソニーのも、個人情報というより捨てアドで水増ししたゴミ情報じゃない?
タイトル (スコア:0)
なんで英当局がSCE Europeに高額の制裁金を支払うんだよ?
と思った。
ちゃんと「英当局がSCE Europeに高額の制裁金を課金」とするべきだっ!
ルサンチマン (スコア:0)
EUのMS叩きもしかり、欧州域外の企業を叩いて域内のITやコンテンツ産業を保護と人気取りをしようとしてるようにしか見えん。
「外国企業のせいで自国orEU域内の産業が劣勢だから制裁金で毟ってやろうぜ」とか。
Re: (スコア:0)
落ちぶれつつあるかつての列強がエゲツナイまねしてる印象が強すぎるんだよね。地球温暖化詐欺もそうだけど。
日本がちょっと円高是正すると切れるし。イスラムに侵食されちまえばいいのになんて思ってしまう。
Re: (スコア:0)
EUだけでなくアメリカもだよ。
アメリカはカルテルかダンピングで制裁する。
この件については
外人をセキュリティ担当にする。
情報漏えい。
外人が制裁金を課す。
日本人もいい加減に外人がどんな奴か理解してほしいね。