アリコのクレジットカード情報流出事件、流出経路は中国の委託先企業社員? 48
ストーリー by hylom
国際問題に発展 部門より
国際問題に発展 部門より
あるAnonymous Coward 曰く、
先日ここ/.Jでも話題になった生命保険大手アリコジャパンからのクレジットカード情報流出事件だが、同社が11日、新たに約1万4000件の情報流出が判明したことを公表した。過去に判明していたものも合わせると、流出したクレジットカード情報は3万件を超え、不正利用されたケースも5000件を超えるという。
また、システム開発を委託した中国企業の社員によって情報が引き出されていたことも発覚、流出元となっている委託先社員を特定したとのこと。すでに中国の捜査当局へも通報しているそうだ。なお、委託先企業名や情報流出をさせた社員の国籍などは明らかにされていない。
委託先企業からの情報流出は日本でもたびたび話題になっており、実際に流出事件も多数起こっていることから、現在では委託先企業にもそれなりの情報管理が求められることが多いが、海外企業についてはどうなのか、またそのリスクを委託元企業が認識しているのかが気になるところである。
プライバーシーマーク未取得?? (スコア:5, 興味深い)
プライバシーマークがない。
あれって保険業者とかクレジット業者は取得できないのか?
それとも別の個人情報保護状況の認定団体があるの?
それともそれとももともとそんなものとる気なかったの??
IT業界は猫にも杓子にも「情報流出対策!」「個人情報保護!」ってウルサイのに
クレジットカード業者なのに…。
本当にプライバシーマーク【すら】とってないの?
# 自分の検索スキル不足であることを祈るのでID
---- ばくさん!@一応IT土方
Re:プライバーシーマーク未取得?? (スコア:2, 参考になる)
気になって調べてみて驚いた。
金融・保険業ってプライバシーマークとってる会社少ないんだね。
http://privacymark.jp/certification_info/list/gyousyu/list_J.html [privacymark.jp]
アリコに限らず、大手保険会社の名前が全然載ってない。
まあ中小企業のうちの会社ですら取るの大変だったんだから、
大手の社員数が多いところが取ろうとしたら、どのくらい苦労する
のか想像もできない。
Re: (スコア:0)
ちょうどISMSの審査を受けていたところで、
情報資産もっているというと、保険業界がすごそうですよねぇ
ISMSをとってるんですか?と聞いてみたところ
とってないところがほとんど、という答えが^^;;;
Re:プライバーシーマーク未取得?? (スコア:1)
きっとココの人達と一緒で (スコア:0)
「あんな物には実際の効力は無い」
ってスタンスなんですよ。
#対外的にスタンスを示す事には意味有るとは思うけど、それを理解しない人は多い。
Re: (スコア:0)
あれ聞くと「こいつわかってねーな」と思ってしまうんでエンジニアに対しては逆効果だと思う(笑。
すでにPマークなんて意味なしだよ (スコア:0)
また中国か (スコア:4, すばらしい洞察)
まして、二次三次請け当たり前のこの業界で、委託先企業の国籍なんて情報管理には関係がない。
そもそも委託先に実データを渡すなんて (スコア:2, おもしろおかしい)
そもそも委託先に実データを渡すなんてどうかしてますよね。普通なら発注する業務の中にテスト用データの準備というのも入ってるはずなんだが。この件特有の注目点としては中国当局はどう対応するのかという点くらい。
昔小さな塾から請けたちょっとした成績処理プログラムのテストデータを渡されたときに、実名ばかり並んでいるデータがあって、数学III「35点」とか、大丈夫なんだろうかと確認したら・・・塾長&講師陣の名前でした。テスト用の仮のデータとはいえ数学担当の講師が35点っていいのか?一応こちらで姓と名をシャッフルし直して使いましたが。
屍体メモ [windy.cx]
Re:そもそも委託先に実データを渡すなんて (スコア:1)
Re: (スコア:0)
>実データを渡すなんてどうかしてますよね。普通なら発注する業務の中にテスト用データの準備というのも入ってるはずなんだが。
つ「コストダウン」
orz
Re: (スコア:0)
テストデータだから低い点のデータも入ってるんだろ。
100点しか存在しないデータだとテストにならんじゃないか。
ちゃんとしたデータをくれたいい話じゃないか。
何が問題なんだ。
Re: (スコア:0)
数学講師の名前で数学IIIの点数が低く設定されてることを親コメ氏は気にしているわけで。
低い点のデータが入ってること自体は問題ではないよ。
Re: (スコア:0)
だから、
>数学講師の名前で数学IIIの点数が低く設定されてる
のどこが問題なのかと
数学の先生だから、数学は高得点でなければエラーにするのですか?
Re: (スコア:0)
中国なんか滅びろクソッタレ、と普段は思ってるわけですが、この件に関しては、おっしゃるとおり、中国だからどうこう、という話ではないですよねえ。
以下同文、だが・・・ (スコア:0)
某巨大掲示板でいうところの「酷災派」(自称国際派)がエラい人にいたりなんかしたら、中間管理職以下ではどーにもならないワケで。
Re: (スコア:0)
そりゃ、そういう発生してしまった情報漏えい事件をみていれば
国内でも中国企業委託でも同じだけど、発生しなかった可能性も考えるべき。
まず信頼度は違いますよね。
漏えい事件が起こる可能性とか、民度の問題。
あと発覚後の賠償問題。
訴えても、外国企業が中国企業で勝てるかどうか。
さらに犯人の検挙の差。
トロイの木馬の指令サーバが堂々とずっと稼働中であるという
中国当局のいい加減さを見ると、検挙できるか、もとい検挙するか微妙。
Re: (スコア:0)
漏洩の有無で言えば一緒だよ。
顧客からすればアリコジャパンが委託先に渡した時点で漏洩だから。
委託先からのは二次漏洩に過ぎない。
Re: (スコア:0)
補償も違う。
オリ子は泣き寝入りになる可能性もあるよ。
信じられん (スコア:1, 興味深い)
どういう契約での委託なのかわかりませんが、業務上の機密に類するであろう顧客情報に開発担当者がアクセスできるインフラが信じられん。
社内でも容易にはアクセスできないくらいにセキュリティを固めるべき情報ではないの?
システム開発でたとえ顧客情報が必要になったとしても本物である必要は早々無いと思いますし、万が一本物を扱うのであっても常時アクセスできる状態にしておく必要は無いでしょ?
もしかしてクラックされての不正アクセス?
それだったらまだ同情の余地はあるかもしれませんが。
そうでなかったら弁解の余地はありませんね。
Re: (スコア:0)
会社間の問題なら
与信調査や契約内容、リスク管理が十全だったかではないの?
一応その辺はリスク管理に含まれるけど。
理想と現実(-1:オフトピック) (スコア:0)
そんな理想論を実直に実行している企業・組織を見たためしがありません。
もちろん、1AC ごときが関わったごくごく狭い範囲に限った話。
金融や信販は雲の上のもっと全然異なる摂理の異世界で動いているはずなのでオフトピック。
ついでに、完全に開発者の手を離れて「自立」稼動しているシステムってのもあまり見ませんね。
導入されたパッケージ製品のようなコンポーネントの一部ならいざ知らず。
往々にして「開発者」とは「運転手」も兼ねるものなのですよ。
もちろんそれならそれで「運転手」と業務上の機密とを慎重に分離しておけば済む話ですが、
少し頭を働かせてみてください。開発者からシステムを「自立」させることのできない世界で、
そんな理想論が現実に実装できると思いますか?
もちろん、これは 1AC ごときが関わったごくごく狭い範囲に限った話で、
金融や信販は雲の上のもっと全然異なる摂理の異世界で動いているはずなので(略
Re: (スコア:0)
普通にあるよ
Re: (スコア:0)
皮肉でしょ。
開発者なら、何の信用力もないフリーランスのプログラマーだってアクセスできますよ。
# 関係者なのでAC
Re:理想と現実(-1:オフトピック) (スコア:1, すばらしい洞察)
ああ、勘違い (スコア:1)
free smokingとsmoking freeでは意味が正逆だけど、それを頭では記憶しているけれど、
感覚で理解して使いこなしている人が少ないからでは。日本人の英語理解なんていい加減なもんだ。
Re:ああ、勘違い (スコア:1)
メソッド名を付けるときにdumpMemoryかmemoryDumpかを迷って数分コードを書く手が止まる私みたいなもんですか?
あれ?もしかして-ed つけないとだめ?それとも-ing? -s? とか考えるほど泥沼にはまる私みたいなもんですか?
英語ちゃんと勉強しよう・・・
Re: (スコア:0)
Re:理想と現実(-1:オフトピック) (スコア:1)
日本とアメリカで意味が逆だからじゃない?
the.ACount
Re: (スコア:0)
あたしたち みんな ちっちゃいから
チャイルド の ふくすうけい で
チャイルズ に しようよ!」
しかし かのじょたち は しらなかった
チャイルド の ふくすうけい は
チルドレン だということを
Re: (スコア:0)
誤用とされている用法でのアダルトチルドレンが、本来のアダルトチルドレンよりも世間では問題になることが圧倒的に多いからだろう
効率化のたまもの (スコア:1, 参考になる)
人は楽をするためならどんなことだってする
それがたとえ本番サーバーからデータをぶっこ抜いて
開発用サーバーに入れるなんてことであってもだ
Re:効率化のたまもの (スコア:1, すばらしい洞察)
本番データを使う方が、圧倒的に楽ですよねえ……。
Re: (スコア:0)
テストのために本番データを多量にぶっこ抜くのは、やったことない。
Re: (スコア:0)
その隙を狙うんですよ。数件でもやっちゃダメでしょ。
前任者のたまもの (スコア:0)
うちの開発用DBには本番データががんがん入っています。さすがに個人情報はありませんが、それ以外はごっそり。
テストデータを作れ?まともな仕様書が無いのにどうしろと・・・?
Re: (スコア:0)
>うちの開発用DBには本番データががんがん入っています。さすがに個人情報はありませんが、それ以外はごっそり。
情報が保護必須の物かそうじゃ無いかってのは大きな違いだぞ。
保護データが無いのであれば本番データで何も問題は無い。
ってか寧ろ積極的に使え。
もちろん、本当はそれプラスでキッチリ試験用に考慮したデータも必要な訳ですが。
Re: (スコア:0)
求められたデータパターンはすべてあり、
排除すべきデータパターンは含まれない。
排除すべきデータパターンを生成するのが結構大変かな。
Re: (スコア:0)
「バケツで核燃料を再処理して効率化」とかですね。
#お前ら死にてーのかと。マジに死んだからシャレにならんけど。
Re: (スコア:0)
>「バケツで核燃料を再処理して効率化」とかですね。
再処理だと死にますね。
ウランの処理だから普段はそれほど問題が無かったのであって。
Re:効率化のたまもの (スコア:1)
目一杯使った使用済み核燃料の再処理をむき出しでやると、臨界事故なんぞ比較にならんような汚染被害ですね。
まさしく「恐怖の大王」だ。
あの日は、1999年七の月だったこと知ってる?
(Sept=7 だから「七の月」は September=9月なのさ)
the.ACount
推奨部門名(ー1:オフトピック) (スコア:0)
安かろう悪かろう部門
# とはいえ、トータルコストでは十分に安いので今回の事象も
# 想定内かも???
Re: (スコア:0)
リスクとして見積もっていたのか、見積もりの範囲内に収まったのかが気になる。
サラ金会社 (スコア:0)
ていうか、そもそも商売そのものが薄汚いから何でもアリでしょう。
所詮はサラ金ってことで。
Re:サラ金会社 (スコア:2)
本人の同意を得て信用情報機関に登録されます。 これはサラ金に限らず、銀行やクレジット会社でも同様です。
HIRATA Yasuyuki