パスワードを忘れた? アカウント作成
7220278 story
Sony

PSNの情報漏洩事件について、英当局がSCE Europeに高額の制裁金 35

ストーリー by headless
高額 部門より
taraiok 曰く、

英情報コミッショナー事務局(ICO)は24日、2011年4月に発生したPlayStation Networkの大規模な情報漏洩事件(/.J記事)で重大な情報保護法違反があったとして、Sony Computer Entertainment Europe Limitedに対して25万ポンドの制裁金を科したそうだ( プレスリリースThe Guardianの記事Engadget日本版の記事BBC Newsの記事本家/.)。

ICOの調査によれば、ソフトウェアが最新の状態に保たれていれば情報漏洩を防げたことが判明しており、個人情報を暗号化せずに保存するなどセキュリティー設定も適切ではなかったとのこと。今回の制裁金は過去3番目に高額なもので、企業に対しては最高額だという。しかし、これまでにICOが報告を受けた事件としては最も重大なものの1つであり、多くの消費者が直接影響を受けたことなどから当然の金額だとしている。一方、Sony側は承服できないとして再審理を請求する予定とのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年01月27日 5時51分 (#2313572)

    Engadgetの記事より

    >ソニーは今回の罰金支払い命令に対して、「盗まれた個人情報が詐欺の目的で使われたとは考えにくい」
    >ことから不服を申し立てると回答しています。

    罰金額とか以前にそもそもこの裁定に不満の模様。
    でも被害が出たからとかいう理由で制裁されてるわけじゃないですよねこれ

    • ええ、制裁金が課された根拠は、Data Protection Act 1988 第55A条および制裁金通知書の内容から、以下のように整理できます。

      (a)データ管理者として守るべき個人データに係るデータ保護原則への深刻な違反があったこと
       →今回の場合に関連する原則は第7データ保護原則というもので、その内容は以下のとおりです。
        「無権限の又は不法な個人データの処理に対して、及び個人データの偶発的な損失、破壊又は損傷に対して、適切な技術的及び組織的な措置を講じるべきである。」
        この原則については、さらに以下のように定められています。
        「技術の発展の状態及び措置の実施の費用を考慮の上、当該措置は、以下の点に照らして適切なセキュリティ水準を確保しなければならない。
         ・第7原則に規定される無権原の若しくは不法な個人データの処理又は個人データの偶発的な損失、破壊若しくは損傷から生じ得る弊害
         ・保護されるべきデータの性質」
      (b)当該違反が、相当の損害又は相当の苦痛をもたらす見込みのある類のものであったこと
      (c)以下の3点のいずれかであること
       (i)故意に行われたこと
       (ii)以下の2点を知っており、又は知るべきであったこと  ←今回の場合に認定されたのはこれ
        ・違反の生じるリスク
        ・当該違反が、相当の損害又は相当の苦痛をもたらす見込みのある類のものとなること
       (iii)違反を防止するための合理的手段がとられていなかったこと

      Sonyのコメントは、(文字通りに受け止めるなら、)このいずれの要件も否定するものではありませんので、金額についての不服かな、と思いましたが、そもそも記事に書かれたコメント内容がどれだけ正確かも分かりませんけどね。

      親コメント
  • by Anonymous Coward on 2013年01月26日 17時06分 (#2313351)
    「サーバに侵入された」のならどっちみち終わりですよね。

    DBのダンプだけされたけど、暗号化パスワードは盗れなくて、ものすごく強いパスワードと暗号化形式だった、という場合なら意味があるけどレアケースのような。
    • Re:暗号化? (スコア:3, 参考になる)

      by Anonymous Coward on 2013年01月26日 18時08分 (#2313372)

      サーバとはどのサーバか、ということも問題で、
      http://news.mynavi.jp/photo/articles/2011/05/02/psn/images/007l.jpg [mynavi.jp]
      このような一般的な3層構造をしていたそうです。

      この状態でどのような方法でDBからの情報を取得したかまでは
      分かりませんが、その方法如何によっては、DB側で情報を
      暗号化しておくことで防げた情報もあったのに、ということではないかと。

      パスワードなんかは暗号化(ハッシュ化)されていたそうです。

      親コメント
  • by Anonymous Coward on 2013年01月26日 17時12分 (#2313353)

    >ソフトウェアが最新の状態に保たれていれば情報漏洩を防げた

    国内で個人・クレカ情報を色々扱っているけど、この根拠は怖いな。
    正直、数千万程度ならパソコンに詳しい程度の人がWindowsサーバとAccessで管理している会社も多いし。

    いや、大企業ならそのくらいしておけって制裁なのは分かるけど。

    • by monyonyo (43060) on 2013年01月26日 22時48分 (#2313465)

      念のためですが、「判決」ではないです。

      この支払命令は裁判所ではなく行政庁によって発せられたもので、日本でいうと(公取委や金融庁の発する)課徴金納付命令が近いといえます。

      なお、これに対する不服申立ては、第一段階審判所(First-tier Tribunal)という行政審判所に対して行われ、さらなる不服申立ては上級審判所(Upper-tier Tribunal)というさらに上級の行政審判所に、そしてさらなる不服申立ては(イングランドおよびウェールズの場合は)控訴院(Her Majesty's Court of Appeal)という(通常の)司法裁判所に対して行うことになります。

      親コメント
      • by Anonymous Coward

        不服ってどの辺が納得できないのかねぇ?

        この類で、不服申し立てすると、認められて0になるとか減額されるだけじゃなくって「反省していない」として逆に増額されるという制度があれば、不服申し立てしにくい(≒とりあえず脊髄反証)がなくなるような気が……

        • by Anonymous Coward

          「反省」って、どうしたら反省になるの? 一軒一軒謝罪訪問すればいいの? お遍路でも旅する?

          金額を算出する根拠に正当性が無いのであれば、被害/加害の関係は認めても、金額が高すぎるという訴えは十分にあると思いますが。

          • 金額ってどうやって算出するんだろうと思って、根拠規定であるData Protection Act 第55A条を見てみたのですが、Comissionerが決定するということと、一定の金額(50万ポンド)以下じゃないといけない、という以外には何も書いていないんですね(日本だと計算方法が必ず規定されているのとは大違いですね。)。おそらく、過去の例や他の行政処分の場合などに照らして判断するんでしょうが、2010年4月6日に施行されたばかりのわりと新しい規定のようですし、処分をする側もこれを争う側もなかなか大変ですね。

            親コメント
    • by Anonymous Coward on 2013年01月26日 19時10分 (#2313398)

      経験から、50万件程度の氏名、住所、電話番号などの基本的な情報をCSVにしたもので大体100MB。
      単純に計算すると1,000万件なら2GBになります。

      もちろんデータや項目数によって上下しますが、
      データの平均が氏名を5文字(性+空白+名)、住所を20文字(数千万件なら県をまたぐと思われるので県名から。方書含む)と仮定して、
      日本語項目が1文字2バイトでも、1,000万件で既に500MB。
      実際にはカナ氏名や管理用の番号、各種処理のためのフラグ、支払いがあるなら口座番号やカード情報なども入ることが考えられます。

      さらにAccessにインポートして増える分もありますが、それを無視しても
      単一MDBでは2GB制限にすぐ引っかかってまともに扱えませんし、
      膨大なデータを複数のMDBに格納してテーブルリンクなどを駆使して管理しきれてるなら特殊な事例でしょう。
      パソコンに詳しい程度の人、ようするにその辺の誰でも出来るレベルでは無いと思います。

      大元のデータはちゃんとしたDBに持っていて、
      そこから特定の目的で処理する際に
      切り出した数万~数十万程度のデータをAccessで扱っているだけじゃないですかね?

      親コメント
    • by Anonymous Coward on 2013年01月26日 18時13分 (#2313373)

      > 正直、数千万程度ならパソコンに詳しい程度の人がWindowsサーバとAccessで管理している会社も多いし。
      数千万件の個人情報やクレカ情報をAccessで管理してるだと・・・
      ていうか、数千万件の個人情報を扱ってる会社がそんなに多いとは思えない。

      親コメント
      • 数千万円じゃないのかな。数千万件のクレジットカード情報ってJCBクラス。
        親コメント
        • by Anonymous Coward

          SCEのはアカウント数だからなぁ、個人情報も殆ど嘘で
          クレカ情報も1割位しか紐付いてなかったんじゃなかった?

      • by Anonymous Coward

        >ていうか、数千万件の個人情報を扱ってる会社がそんなに多いとは思えない。

        このネット時代なら簡単に集まるんじゃないか。
        まぁ殆どがゴミみたいな情報だろうけどw

    • by Anonymous Coward
      最低限の防衛策すらしてないってのが印象悪すぎるんだよね
      • by Anonymous Coward

        何を最低限とするかが難しいのと、一応この件に関してSCEは被害者なはずなんだけどね。

        • SCEは個人情報を管理する事業者として攻撃にさらされることは当然想定しておかないといけないわけですから、「被害者なはず」は関係ありません。

          具体的に何をしていればよいかは、その時々で変わり得ますし、判断が難しい場合があるのはおっしゃるとおり。本件で判断が難しかったかどうかはちょっと分かりませんが。

          親コメント
    • by Anonymous Coward

      日本の人口は1億2千万人。数千万の個人情報って・・・?
      どこの世界の話なのだろう

      • by Anonymous Coward

        >日本の人口は1億2千万人。数千万の個人情報って・・・?
        >どこの世界の話なのだろう

        ソニーの盗まれたデータも、そういう個人情報だが?

        • by Anonymous Coward

          ソニーは「パソコンに詳しい程度の人がWindowsサーバとAccessで管理している会社」と違うだろ。

          今してンのは、「数千万の個人情報」を扱ってる会社の話じゃないよ。

          「数千万の個人情報」を「パソコンに詳しい程度の人がWindowsサーバとAccessで管理している会社」の話。

          それが「多い」と言っていることに対し、それは「どこの世界の話なのだろう」と言われてンの。OK?

          • by Anonymous Coward

            ソニーのも、個人情報というより捨てアドで水増ししたゴミ情報じゃない?

  • by Anonymous Coward on 2013年01月27日 7時23分 (#2313587)

    なんで英当局がSCE Europeに高額の制裁金を支払うんだよ?
    と思った。

    ちゃんと「英当局がSCE Europeに高額の制裁金を課金」とするべきだっ!

  • by Anonymous Coward on 2013年01月27日 8時42分 (#2313593)

    EUのMS叩きもしかり、欧州域外の企業を叩いて域内のITやコンテンツ産業を保護と人気取りをしようとしてるようにしか見えん。

    「外国企業のせいで自国orEU域内の産業が劣勢だから制裁金で毟ってやろうぜ」とか。

    • by Anonymous Coward

      落ちぶれつつあるかつての列強がエゲツナイまねしてる印象が強すぎるんだよね。地球温暖化詐欺もそうだけど。
      日本がちょっと円高是正すると切れるし。イスラムに侵食されちまえばいいのになんて思ってしまう。

    • by Anonymous Coward

      EUだけでなくアメリカもだよ。
      アメリカはカルテルかダンピングで制裁する。

      この件については
      外人をセキュリティ担当にする。
      情報漏えい。
      外人が制裁金を課す。

      日本人もいい加減に外人がどんな奴か理解してほしいね。

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...