携帯電話が携帯向けサイトに対してデフォルトで送信する契約者固有ＩＤは過去のエントリー（「固有IDは個人情報に該当しないは本当か？」）でも書いたとおりそもそも個人情報として位置づけられるべきと考えているが、特に利用者の個人情報とともに携帯電話の契約者固有ＩＤが漏洩した場合には、個人情報保護法でいうところの「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」に該当するところとなり、漏洩の対象となった利用者に対してキャリアによる契約者固有ＩＤの再割り当てなどの処置が必要なのではないだろうか。

現在の固有ＩＤ送信を前提としたサービスについてはＩＤの変更によりサービスが使えなくなったり、再登録が必要となったりとそれなりのデメリットが生ずることも考えられるが、これらは現行の携帯ウェブにおける契約者固有ＩＤ送信による識別（認証）スキームの問題点の一つといえるだろう。

これまで携帯電話の固有ＩＤの悪用のシナリオについていろいろな人の話を聞いたが、架空請求の脅しに使われるのでは？といったものが大半であった。しかし自分では、架空請求のうまみは何もしなくてもサイトの閲覧者が自動的にお金を振り込んでくれるところにあり、攻撃者がわざわざそんな面倒なことをする必要はないだろうと考えている。またそもそも個人情報を入手しているなら直接メールを送りつけるなりして直接架空の請求をすれば済む話だ。しかし知らない間に固有ＩＤを含む個人情報が横流しされ知らないうちに自分のアクセス情報が何か不正な目的に利用されているとすると話は別だ。

朝日新聞が6/22に報じた下記の事件では一見無害なサイトに登録した個人情報が他の怪しげなサイトに横流しされている様子が報じられた。この件において契約者固有ＩＤが横流しの対象となっているかは不明だが、契約者固有ＩＤを含む個人情報が横流しされるケースが発生するということは十分に考えられる。

着メロ会員情報、出会い系に横流し　メルアド３０万人分(Asahi.com, 6/22)
http://www.asahi.com/digital/internet/TKY200906210188.html

「着メロ」などの一般サイトに登録された会員のメールアドレスなどの情報を、複数の出会い系サイト運営会社に横流ししていたことが、運営会社幹部の証言などでわかった。

このような横流しの事実が判明した場合、一般の利用者にその責を問うのは難しいと考えられ彼らはあくまでも被害者であると考えるべきだろう。こういった横流しの事実が判明した状況下においてもキャリアがこれまでに言っていたように「契約者固有ＩＤは個人情報ではなく自由に流通させてよい」と言い切れるだろうか。個人情報とともに契約者固有ＩＤが横流しあるいは流出された時点で契約者固有ＩＤは個人情報としてみなされ、容易にＩＤの変更を可能とする等の措置をとる必要があるのではないだろうか。

自宅の高木氏がまたしても固有ＩＤに関する興味深い調査結果と考察を書かれている。山の手線を４周する行動力には頭が下がる。以前から気になっていたのだが、同種のエントリーにおいて、毎回ユニークＩＤは個人情報ではないといった記述がなされている。果たしてこれは本当なのだろうか？

こうしたユニークIDは、携帯電話の契約者固有IDと同様で、住所氏名と紐付けない限り「個人情報」に該当しないというのが、日本の個人情報保護法の解釈の通説らしい。

Bluetoothで山手線の乗降パターンを追跡してみた(高木浩光@自宅の日記, 2009/3/1)

高木氏は以前日経のサイトに書いた記事でも下記のような記述をしており、ここでは自らユニークＩＤが個人情報ではないと断言している。

匿名のＩＤを住所・氏名にひも付けることをしなければ、個人情報保護法でいう「個人情報」には該当しないため、売ることは合法である。

行動ターゲティング広告はどこまで許されるのか(NikkeiNet, 2008/10/16)

個人情報保護に関する法律（個人情報保護法）で示された「個人情報」の定義は以下のようになっており、素直に文面どおり読み取れば、特定の個人を識別することさえできれば必ずしも住所氏名にひも付く必要はないことがわかる。

第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。

個人情報の保護に関する法律

いや「特定の個人を識別する」ということが住所氏名と紐づけると解釈されるのだということかもしれないが、経済産業省から出されている「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」 において「個人情報に該当する事例」として「防犯カメラに記録された情報等本人が判別できる映像情報」が示されている。防犯カメラの映像から必ず住所・氏名と紐づけできるとは考えられないため、ある情報が個人情報と認められるにあたり住所氏名にひも付けられることは必須ではないと考えられる。

２．法令解釈指針・事例
2-1．定義（法第２条関連）
2-1-1.「個人情報 （法第２条第１項関連）」

（略）
【個人情報に該当する事例】
（略）

事例３）防犯カメラに記録された情報等本人が判別できる映像情報

個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
（平成２０年２月２９日厚生労働省・経済産業省告示第１号）

私は法律の専門家ではないが「住所氏名と紐付けない限り『個人情報』に該当しないというのが、日本の個人情報保護法の解釈の通説」が本当だとすると、これはおかしな解釈であるし、上記法律やガイドラインが示す「個人情報」の定義とも矛盾しているようにも思える。
いずれにせよ、実際に問題があるのであれば、通説を改めるか定義を改めるべきだろう。また「〜というのが通説である。」という記述を繰り返し強調することで本来適切ではないかもしれない解釈が通説として定着してしまう危険性もあり、このあたりできちんと議論なり整理をしておくべきではないだろうか。

お知らせが遅れましたが以前私が監修ということでご紹介した「セキュリティいろはかるた」の企画が完了し、かるたが発売となりました。

年末のお得意様へのご挨拶に、新年の社内教育の企画にいかがでしょうか？

今回新たに発売されたのは「セキュリティいろはかるた」なのですが、２００６年に発売された「セキュリティかるた」というのもありますので、お間違えのないように。

あ、そうそう、初版限定オリジナルステッカーがカワイイとの噂です。

セキュリティいろはかるた@Amazon.co.jp
http://www.amazon.co.jp/dp/B001NK7QTY

なぜかカテゴリが(Stationery)になってます・・・。

セキュリティいろはかるた@SEShop.com
http://www.seshop.com/detail.asp?pid=10072

総務省が携帯電話のオープン化などについて議論している「通信プラットフォーム研究会報告書案」に対する意見を募集しています。期限は明日２１日まで。

総務省は、「通信プラットフォーム研究会」（座長：相田　仁　東京大学大学院教授）において取りまとめられた報告書案について、平成２０年１０月２４日（金）から１１月２１日（金）までの間、意見を募集します。

「通信プラットフォーム研究会」報告書案の公表及び本案に対する意見の募集（総務省, 10/24）

携帯固有IDの一般サイトへの解放や固有IDのポータビリティなどの話題を取り扱って来た研究会だけに「日本のインターネットが終了してしまう」と心配な方は、具体的な問題点などについて意見を提出しておくとよいのではないでしょうか。

報告書自体は最終的にはそれなりに多角的な論点を取り込んで当初の議論よりおとなしめの内容になったようですが、行動ターゲティング広告やらライフログの話も言及されており危険な感じがしないでもありません。

　本当に「第三者cookieは使われなくなりつつある」のだろうかと思い確認してみた。
　現時点で日本で比較的多く使用されていると思われるブラウザとしてInternet Explorer7とFirefox3の最新バージョンを使用した。ブラウザの設定はインストール後のデフォルト状態とした。OSはWindows XP SP3である。

　まずブラウザに保存されているcookieをクリアし以下のページにアクセスをしてみる。
　

行動ターゲティング広告はどこまで許されるのか(高木浩光, 2008/10/16, NikkeiNet IT+PLUS)
http://it.nikkei.co.jp/internet/news/index.aspx?n=MMITbe000015102008&cp=1

　そしてブラウザの機能あるいは直接フォルダを開いて保存されたcookieを確認する。
　
上記のページの場合IE７を使用したアクセスではブラウザに対して
doubleclick.net
2o7.net
revsci.net
serving-sys.com
nikkei.co.jp
など多くのドメインからcookieがセットされているのが確認された。

Firefoxでのアクセスでは 2o7.net　と　nikkei.co.jp の２つのドメインからのSet Cookieが確認された。

「訪問先とは別のサーバから発行されるcookie」を第三者cookieと呼ぶのであれば、今回の訪問先は、nikkei.co.jp　であるのでdoubleclick.net、2o7.net、revsci.net、serving-sys.com　からセットされたcookieは第三者cookieと言えるだろう。

　Safariなど一部の先端的事例を見れば「第三者cookieは使われなくなりつつある」と言えなくはないかもしれないが、実際にはまだまだ大半のユーザに対して第三者cookieが使用される環境であるというのが現実的ではないだろうか。InternetExplorerもFirefoxもデフォルトで第三者cookieを受け入れている。特にFirefoxは「比類なきセキュリティ」「最も安心して利用できるブラウザ」を自らアピールにしているにも関わらずデフォルトで「第三者cookie」の使用を許可しているということは、業界として「第三者cookieを使うべきではない」とのコンセンサスが確立されているとは言えないのではないか。

　ちなみにWebscarab を使用して、セットされたcookieが他のサイトを訪問した際に読み出されるかを確認してみたが、訪問サイトをまたがってのcookieが使い回しの例は現時点で確認できていない。技術としては上記のような第三者cookieをTracking cookieとして使用することが可能であるが、技術以外の制約あるいはビジネス上の判断として複数の訪問サイトをまたぐ行動ターゲティングは行われていない可能性もある。
　
（参考）
■日本のインターネットが終了する日（高木浩光@自宅の日記, 2008/7/10）
http://takagi-hiromitsu.jp/diary/20080710.html

■行動ターゲティング広告はどこまで許されるのか(高木浩光, 2008/10/16, NikkeiNet IT+PLUS)
http://it.nikkei.co.jp/internet/news/index.aspx?n=MMITbe000015102008&cp=1

明日は　第６回神戸情報セキュリティ勉強会の開催日です。

今回は「子供を巡るセキュリティ〜ケータイ・ネットの世界で子供を被害者・加害者にさせないために」をテーマに、主に子どもたちの携帯利用の実態について議論します。

講師は兵庫県が世界に誇る「兵庫県情報セキュリティサポーター」の皆様です。

子どもの情報セキュリティを語るとき、ITやセキュリティを専門とする方はどうしても教えてやらなければという視点で語ることが多いと思うのですが、子ども達のケータイの利用は大人のそれとはまったく違った世界であり、過去の経験や知識がそのまま役だつわけではありません。

明日は、そういった変化する若年層のメディア利用の実態をもとに、情報セキュリティの分野にいる大人達が何ができるのか、何をすべきなのかについて議論されます。

勉強会の概要（参加申込はすでに終了しました。）

http://cmuj.jp/081018workshop/index.html

１　日時 2008年10月18日(土) 13:00〜17:30

２　場所 カーネギーメロン大学日本校 KHB001号室
　　神戸市中央区東川崎町１−３−３
　　神戸ハーバーランドセンタービル17階
　　http://www.cmuj.jp/campus_location.html

３　内容 （予定）
テーマ：

『〜子供を巡るセキュリティ〜「ケータイ・ネットの世界で子供を被害者・加害者にさせないために」』

セッション１：
・開会の挨拶、今回の勉強会について
・自己紹介（参加者全員）
　自己紹介では、情報セキュリティや本勉強会に対する思いと経験談、または「携帯電話や子供とインターネット」などについて、お話いただきます。

セッション２：
『子供とケータイ・ネットの世界で何が起こっているか』

(スピーカ 兵庫情報セキュリティサポーター)

セッション３：
グループディスカッション
　テーマ： 参加者の皆さんは少人数のグループにわかれ以下のようなテーマについてディスカッションしていただきます。

　「子供たちを守るために今、何をすべきか」
　「掲示板の誹謗中傷への対応策」
　「有害情報へのアクセス制限はどうあるべきか」
　「ネットを使ったいじめへの対応策」

※テーマは勉強会開催直前までメーリングリスト上で議論し、決定します。

　グループごとにそれぞれ異なる話題を持ちよって、参加者の幅広い年齢層、異なるスキルや経験、実績を活かした議論や意見の交換を予定しています。

４　定員 ５０名

５　参加料 無料

「セキュリティいろはかるた」という企画の監修をすることになりました。クリエーター、イラストレーター、デザイナーさんなど普段お付き合いしている方々とはちょっと違うタイプのメンバーでなかなか刺激的です。

10/26まで読み札の一般公募をしていますので、ぜひご応募ください。

公募枠以外でも「これは！」というのがあればそっと耳打ちしてください。（賞品はもらえないけど・・・）

ちなみに下記サイト上の「セキュリティかるた」と「セキュリティいろはかるた」は別ものですのでお間違えのないよう。

■セキュリティいろはかるた（日立システムアンドサービス）
http://blog.hitachi-system.co.jp/12/

■セキュリティいろはかるた読み札募集（日立システムアンドサービス, 10/26締切）
http://blog.hitachi-system.co.jp/iroha.html

自宅の高木さんが携帯やWebの固有IDの問題について日記エントリーの大作を完成された。
私も白浜での議論の場にいた一人であり大変興味深く読ませていただいた。

当日の議論より疑問のまま残っていて結局この日記のエントリーでも明らかにならなかったのは、

１　携帯で固有IDを送信するようになるとパソコンでも同様のことが行われるようになるということの信憑性　
（さすがにそれは現実的に起こり得ないんじゃないとか。また楽観的すぎると怒られそうだけど。）

２　仮に上記の状況が実現したとして「実際どんな被害が出るの？」という疑問
　（問題の大きさを理解する上で。）
　
高木さんは「実際どんな被害が出たの？」という質問があったように書いているけど、このときの質問は「実際どんな被害が出る」（と想定される）？という質問だった。被害が出ないから問題がないということを言っているのではなくて、想定される被害を明らかにすることで問題の大きさや必要な対策が明らかになるからだ。

１の状況が望ましくないことはセキュリティやプライバシーに関わるものなら当然理解できるが、現実問題、利便性やコストと天秤にかけられたときに、この問題を広く様々な立場の人に説明するにあたっては２を明確に伝える必要がある。これらの疑問にきちんと答えられれば、高木さんの言うように「「PCもケータイ同様に!」という勢力に対して、ID送信の何が問題で、どうしてインターネットではそれをやってはいけないのか、いつでもすぐに30秒で説明できる」だろう。

高木さんは固有IDによる被害の例として「広告被害」と「ワンクリック不当料金請求サイトを訪れてしまった際に、住所氏名を示して請求されることが起こり得る。 」ことを挙げているけが、それが「「日本のインターネットが終了」するということなのだろうか？

（・・・もちろん、これらは発生すべきでない事象であることには間違いないが、インターネットが終わるというからには、もっと大きな問題をはらんでいるんじゃないかという意味。）

P.S.この手の話を冷静に議論できればよいのですが、どうも感情的なものが入りがちなようで、まぁそういう方はぜひお手柔らかにお願いします。いや感情こそが問題の本質なのかもしれませんが。

P.S.2 問題があるようにも見える技術が使われたりもしながらも試行錯誤の上、良いもの、受け入れられるものが残っていくというのがインターネットのスタイルかもしれません。

P.S.3 「契約者固有ID送信時代の安全なケータイWeb利用リテラシ」として「（可能な場合）固有IDを通知しないよう設定して使用する」というのがあってもよさそうだが・・・。少なくとも私は日常的に通知しない状態で使用しているが今のところ問題も不便なケースも発生していない。

P.S.4 一般に欧米は素晴らしく日本がいかに駄目かという話をすると受けるのだが、米国での生活を経験したものとしてはことプライバシーに関しては相当疑問点が残る。そういった事例の一つとして（昔の）トラッキングクッキーを使ったdoubleclickの話やChoicePointのような企業の存在を持ち出した。米国ではISPが「ユーザーのインターネット閲覧状態を監視して行動を分析し，検索内容や訪問したWebサイトに関連のあるターゲット広告を提供する。」なんてことを今でもやっている。もちろん海外で様々な問題が先に発生するので、その恩恵を日本がこうむっているということについては同意するが・・・。

P.S.5 英国でも「ISPネットワーク経由で収集したユーザーのサイト閲覧動向データを基に、ユーザーの興味に合った広告を表示するという技術。」を持つ企業が「BT、Virgin Media、Carphone Warehouse Group傘下のTalkTalkとの提携を発表」みたいなことになってる。

■参考情報
日本のインターネットが終了する日（高木浩光＠自宅の日記, 7/10）
http://takagi-hiromitsu.jp/diary/20080710.html#p01

日本のウェブアプリケーションセキュリティのの祭典 WASForum Conference が今週末に開催されます。残席わずかで、そろそろ参加申込が締め切られそうなので興味のある方はお早目にどうぞ。

金曜はセキュリティ侵害の事件当事者の方々の講演もあり大変興味深いです。私は会議の都合で途中抜けなければならず、全部聞けないのが非常に悔やまれます。土曜日の方もウェブセキュリティの最新の動向などが聞けそうで楽しみにしています。

ウェブアプリケーションのイベントだけに申し込みがウェブからでできるようになったのはよかったのだけど、フィッシングサイトですらＳＳＬが導入されるこの時代、EV-SSLでもなくオレオレ証明書でもなく生httpで勝負するところが自信が感じられて素敵です。

【イベント】
■7月4,5日、WASForum Conference 2008開催
http://wasforum.jp/conf2008/

■デファクトCIO、CTOに捧げる、WEBサイトの危機におけるガバナンスと品格
http://wasforum.jp/conf2008/74-cio-ct-day/

12:00開場 13:00スタート 17:00閉会
コンファレンススクエアエムプラス1Fサクセス(東京都千代田区、丸の内)
参加費用:5000円(税込)

13:00-13:15「Web Application Security Forum Conference 2008開催挨拶」
講演者：三井物産セキュアディレクション　佐々木博

13:15-14:00「ＣＩＯが為すべきITマネージメントとセキュリティ対策」
講演者：サイオステクノロジー株式会社　執行取締役 CTO 国内事業統括補佐　兼 OSSテクノロジーセンター長　山崎 靖之

14:00-14:45 「不正アクセス事件から学んだこと」
講演者：株式会社カカクコム　取締役COO　安田幹広

15:00-15:45「Web攻撃の脅威に立ち向かうには」
講演者：株式会社サウンドハウス　代表取締役社長　中島尚彦

15:45-16:30「インターネットとセキュリティに関する企業の責任 」
講演者：ライフネット生命保険株式会社　CIO 兼 システム部長　中川達彦

16:45-17:45 パネル・ディスカッション「デファクトCIO、CTOのためのWEBサイトにまつわるITガバナンスの品格」
モデレータ：　株式会社 ユービーセキュア　目崎匠
パネラー:
サイオステクノロジー株式会社 山崎靖之
株式会社カカクコム　安田幹広
株式会社サウンドハウス　中島尚彦
ライフネット生命保険株式会社　中川達彦
奈良先端科学技術大学院大学　門林雄基
独立行政法人産業技術総合研究所　高木浩光

17:45-18:00 「Web Application Security Forum Conference 2008閉会挨拶 ＆ 2nd Day 予告」
三井物産セキュアディレクション　佐々木博
株式会社テックスタイル　岡田良太郎

■7/5 Developers DAY – 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティス
http://wasforum.jp/conf2008/75-developers-day/

9:30開場 10:00スタート 17:00閉会
時事通信ホール(東京都中央区、東銀座)
参加費用:1000円(税込)

Morning Session:
今どきのWebセキュリティ

チェア: 独立行政法人産業技術総合研究所 高木浩光
10:00 – 10:30 EV SSLの意義と課題
有限責任中間法人 日本電子認証協議会 代表理事 秋山 卓司

10:30 – 11:00 SQLインジェクション対策再考
HASHコンサルティング株式会社 代表取締役 徳丸 浩

11:00 – 11:30 携帯電話向けWebのセキュリティ
グリー株式会社 取締役CTO 藤本 真樹

11:30 – 12:00 OpenIDのセキュリティ
サイボウズ・ラボ株式会社 山口 徹

Afternoon Session:
セキュリティ デベロップメント “ライフサイクル”：裏側と表側

チェア:マイクロソフト 高橋正和
13:00-14:00 セキュリティの作り込みはどのように行われているのか？
講演者：マイクロソフト 加治佐 俊一 CTO, ソニー 松並勝

14:00-15:00 Security Wars Episode III:
講演者：高橋郁夫弁護士

15:15-17:00 Webセキュリティのマルプラクティス 思い込みによるソフトウェアエラーをなんとかしろ
講演者：門林雄基、岡田良太郎

5/28(水）なにかと話題のPCI DSSに関するセミナーで講演することになりました。

満員御礼だったのですが定員を拡張したそうです。

「来場された方、全員に「日経コンピュータ」定期購読（1年間分）をプレゼント」だったそうで、、、

それは太っ腹すぎでしょう・・・。

（今から申し込んでもプレゼントはないようです。すみません・・・。）

■「PCIデータセキュリティ基準　完全対策」出版記念セミナー（ネットワンシステムズ株式会社, 5/28, 海運クラブ）
http://www.netone.co.jp/seminar/tfa9q1000000879b.html