アカウント名:
パスワード:
登録業務なんかもあるからね。だから権限の問題ではなく監査の問題。誰がいつどの情報にアクセスしたのか。あとは情報の見せ方もかな。貸し出し履歴は直近以外表示する必要ないだろうし。
CCCのなさることよ、なのかもしれないけどさ
フルアクセスとやらが必要な業務をバイトにやらせるってのはどうなんだろうね
こっそり全データをダウンロードして名簿屋や税務署に売り飛ばすこともできちゃうわけでしょ、これ
名簿屋はまだしも税務署に売り飛ばすメリットってなによ?このバイト君の正体は税務調査官かなにか?
現状グレー扱いだけど、高額な商品を買ったり、YJFXのトレードや、懸賞に当たると20万ポイント以上もらえることがあるから、付いたポイント額を確定申告して所得税払う必要あるんじゃないのって話になると。リストに大量のTポイントを持っている人がいたら、税金払ってない可能性が高いから、税務署にチクることもできるわけだ。
50万超えないと税金かかりませんよ。一時所得の控除額上限が50万なんで。あと商品購入で付くポイントは値引き扱いで所得じゃないんで非課税です。
となるとあのCCCが大事な商売のネタをバイトごときには触らせないな。
ツタヤに個人情報売られたの思い出した。引っ越し初日にツタヤの会員になったのよ。速攻ダイレクトメール来たよね。
#引っ越し業者や不動産屋が売った可能性もあるけど#ツタヤだけマンション名省略で登録してその住所にDM
規約に書いてるでしょDM送るぐらい
登録することはできても閲覧権限までは要らない。プライバシーマーク返上するようなCCCには理解できないかもしれないけど。
この手の閲覧権限ってどうなってんだろうな。たとえばアマゾンをコンビニ受け取りにすると、コンビニは中身が分かるらしい。「本当はバイトはみれないんだけど中身分かる」みたいなことをコンビニのバイトに聞いたんだが。
個人情報保護法で安全管理措置を取る義務 [e-gov.go.jp]があるので監査が有っても、アクセス制限がザルだと突っ込まれます。
法施行前にザルさで今回と似たような問題が起きたとあるシステムでは、ログインユーザーによって可能業務が切り分け可能、監査可能だけでは不足という事で、サーバー側も追加対策入れて悪用したらアラートが上がるように。全フローで、必要最低限の個人情報しか表示しないように、紛失・修正等で個人情報を閲覧する必要がある業務でも警告表示と実行キーが必要となり、フル表示の為には氏名、生年月日、電話番号等を使った多要素認証が必要になりました。
芸能人の名前とかを入れる阿呆が居るのよね。
長々と書かれているけど、
フル表示の為には氏名、生年月日、電話番号等を使った多要素認証が必要になりました。
フルアクセス可能じゃないですか。他のコメントもそうだけど、フルアクセス可能なのと好きなデータが(好きな方法好きな形式で)取得できるのは違うことだよ。
開示義務がある [e-gov.go.jp]のでフル表示は何処かに必要です。
フルアクセス可能な仕組みは何処かには必要だけど、それを店舗バイトにまで使わせる理由はないわな。
その通りで、普通は店長もしくはそれに準ずるプロパー責任者にしか権限は付与しないです
#他ポイントのシステム導入してる無関係の店舗の無関係者ですが
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
フルアクセス可能なのは仕方ない (スコア:0)
登録業務なんかもあるからね。
だから権限の問題ではなく監査の問題。
誰がいつどの情報にアクセスしたのか。
あとは情報の見せ方もかな。
貸し出し履歴は直近以外表示する必要ないだろうし。
Re:フルアクセス可能なのは仕方ない (スコア:1)
CCCのなさることよ、なのかもしれないけどさ
フルアクセスとやらが必要な業務をバイトにやらせるってのはどうなんだろうね
Re: (スコア:0)
こっそり全データをダウンロードして名簿屋や税務署に売り飛ばすこともできちゃうわけでしょ、これ
Re: (スコア:0)
名簿屋はまだしも税務署に売り飛ばすメリットってなによ?
このバイト君の正体は税務調査官かなにか?
Re: (スコア:0)
現状グレー扱いだけど、高額な商品を買ったり、YJFXのトレードや、懸賞に当たると20万ポイント以上もらえることがあるから、付いたポイント額を確定申告して所得税払う必要あるんじゃないのって話になると。
リストに大量のTポイントを持っている人がいたら、税金払ってない可能性が高いから、税務署にチクることもできるわけだ。
Re:フルアクセス可能なのは仕方ない (スコア:1)
50万超えないと税金かかりませんよ。一時所得の控除額上限が50万なんで。
あと商品購入で付くポイントは値引き扱いで所得じゃないんで非課税です。
Re: (スコア:0)
となるとあのCCCが大事な商売のネタをバイトごときには触らせないな。
Re: (スコア:0)
ツタヤに個人情報売られたの思い出した。
引っ越し初日にツタヤの会員になったのよ。
速攻ダイレクトメール来たよね。
#引っ越し業者や不動産屋が売った可能性もあるけど
#ツタヤだけマンション名省略で登録してその住所にDM
Re: (スコア:0)
規約に書いてるでしょDM送るぐらい
Re:フルアクセス可能なのは仕方ない (スコア:1)
登録することはできても閲覧権限までは要らない。
プライバシーマーク返上するようなCCCには理解できないかもしれないけど。
Re: (スコア:0)
この手の閲覧権限ってどうなってんだろうな。
たとえばアマゾンをコンビニ受け取りにすると、コンビニは中身が分かるらしい。
「本当はバイトはみれないんだけど中身分かる」みたいなことをコンビニのバイトに聞いたんだが。
Re:フルアクセス可能なのは仕方ない (スコア:1)
Re: (スコア:0)
個人情報保護法で安全管理措置を取る義務 [e-gov.go.jp]があるので監査が有っても、アクセス制限がザルだと突っ込まれます。
法施行前にザルさで今回と似たような問題が起きたとあるシステムでは、
ログインユーザーによって可能業務が切り分け可能、監査可能だけでは不足という事で、
サーバー側も追加対策入れて悪用したらアラートが上がるように。
全フローで、必要最低限の個人情報しか表示しないように、
紛失・修正等で個人情報を閲覧する必要がある業務でも警告表示と実行キーが必要となり、
フル表示の為には氏名、生年月日、電話番号等を使った多要素認証が必要になりました。
芸能人の名前とかを入れる阿呆が居るのよね。
Re: (スコア:0)
長々と書かれているけど、
フル表示の為には氏名、生年月日、電話番号等を使った多要素認証が必要になりました。
フルアクセス可能じゃないですか。
他のコメントもそうだけど、フルアクセス可能なのと好きなデータが(好きな方法好きな形式で)取得できるのは違うことだよ。
Re: (スコア:0)
開示義務がある [e-gov.go.jp]のでフル表示は何処かに必要です。
Re: (スコア:0)
フルアクセス可能な仕組みは何処かには必要だけど、それを店舗バイトにまで使わせる理由はないわな。
Re: (スコア:0)
その通りで、普通は店長もしくはそれに準ずるプロパー責任者にしか権限は付与しないです
#他ポイントのシステム導入してる無関係の店舗の無関係者ですが