この会社は、
郵便はがきにIDとパスワードを書いて誰もが閲覧できる状態で送付
してきました。
これは、
個人情報の保護に関する法律に引っかからないだろうか。施行はまだ先だが、法律に引っかかったとすれば、しょっ引かれないだろうか?また、現時点では行政指導等あるのだろうか?
ホームページの件とは直接関係は無いが、こんな会社らに個人情報を扱わせたくない。そして、個人情報の取扱を軽視しすぎてはいないだろうか?それとも社員教育がなっていないのだろうか?激しく疑問である。 このようにID/PASSをはがきの宛名に印字し、送付している以上、個人情報の取り扱いについて、気になるのはごくごく普通のこと。しかし、誰もこのようなクレームが無いとすれば、ユーザ(ここでは学生)はそういう教育がされておらず、それが当たり前になっているのだろうか。それとも、そういう認識が一切無いのだろうか。もしそうだとすれば、大学等における教育が間違っていると考えられる。
★ 今回の出来事の大まかな流れ:
流れとしては次のような感じになるだろう
近畿大学就職部が某g社他に勝手に登録
↓
某g社に参加している企業がセミナー開催を行うと言うことで告知
↓
この時点で、エントリー専用のアカウントを作成
↓
某g社が登録している学生にID/PASSを印刷し、案内を送付
↓
セミナーに参加希望者は某g社にエントリーをする
↓
事前に登録されていたメールアドレスに △△様 と言う形で受け付けたという確認のメールが届く
+
エントリーされた学生一覧を企業に情報として渡す
(エントリーした場合は、個人情報を渡すのに対し、同意した物と見なされる)
(追記) 上記の流れを電話で確認致しました。
★ 個人情報が含まれるのか?:
尚、ログインを行っただけでは、画面上には個人情報だと思われる、名前・メールアドレス等は表示される事は今のところ無かった。すなわち、印刷されたアカウントからはがきにアドレスにあったURLでログインを行っただけでは、私自身の個人情報が出てくることはなかった。ただ言えることは私の名で勝手に第三者がセミナーにエントリーが出来る状態で有ったことには変わりない。エントリーした時点で、個人情報をパートナー企業に渡すと言うことに同意したことになる。
ひょっとすれば、別の場所からログインを行えば、私自身の個人情報が出てくるのかもしれない。若しくは、日○○業の為のテンポラリーアカウントだったのだろうか。謎は深まるばかりである。蛇足だが、ログイン画面及びログイン後はSSLで保護されていない。ここでは、個人情報はあって無いような物だと考えられる。個人情報はその程度の物として扱われてるようだ。
「弊社は経済産業省が所管とする 「財団法人 日本情報処理開発協会」より、平成10年11月16日付でプライバシーマーク使用許諾事業者として認められました。このマークは学生や企業の各種情報を取り扱う情報企業としての適正を問われる資格であり、弊社は就職情報誌業界の中では 第1号の認定を受けました。」
とある。
何を言いたいかというと、「適切な認定」にはふさわしくないと考えられる。その為、剥奪されても問題は無いとおもう。絶対にやっては行けない、取り返しのつかないミスを犯してしまったからである。また、浮き彫りにはなっていないが、このような事を多数行っていないか、指導・調査すべきではないだろうか。
★ 想定される内容:
はがきにID/PASSを印字すると言うことは、誰もが閲覧出来る環境にあり、たとえ、個人情報が含まれていないにしろ、第三者がこれを見た場合(愉快犯含む)、ログイン出来るか試したくなるのは当然であると思われる。また、今回の件に関しては、某g社から回答を頂いたが、日○○業から受注を行い、某g社が、そのはがきを発送したと言うことになり、エントリーを行うまでは、日○○業には我々の個人情報が渡るようなことは無いと言う。また、それと同時にこのエントリー用のアカウントには、個人情報は含まれず、某g社が持っているDBとは完全に別にわけて運用していると言うこと。
例えば、愉快犯がID/PASSを勝手に使用し、ログインを行ってエントリーしてしまえば、本人の意思とは無関係に、日○○業に個人情報が渡る事になる。しかし、隔離されたDBには個人情報が含まれていないため、第三者はその個人情報を入手することは出来ないという。
★ (愚痴)近大は今回の件とは直接的には関係無いけど...:
今回の事件に関して、近大は直接関与はして居らず、某g社と日○○業の問題です。ただ、やっぱり、ここは愚痴らないと気が済まないので…。
近畿大学 就職部 勝手にこんなわけのわからん会社に個人情報渡すな
※ 以前に近畿大学就職部に問い合わせを行ったときの回答として、最初から「拒否します」の申し入れを行わない限り勝手に登録しますという回答を頂いております。
昨年同様の事があり、問い合わせたときの回答内容
学生情報(学部、学科、氏名、住所、電話番号、メールアドレス)を提供しています。
3年生には現住所宛に5月28日付で、第1回就職ガイダンスの案内とともに「就職情報の提供を求めない学生に」の用紙を郵送しました。就職情報会社からの就職情報提供を希望しない学生は、用紙を7月31日までに出すように案内しました。その結果、23名の学生から申し出があり、削除しています。
ご周知のとおり、今の就職は早期・短期決戦です。
1ヶ月エントリーが遅れると、志望企業に応募すらできない状況です。
いかなる近大生にも幸せな社会人生活を送ってもらいたい意識からポジティブアクションではなく、ネガティブアクション(不必要な者のみ提出)にしております。
データ提供については、誓約書を各社から取り、就職以外では利用しないことなど、文書で交わしています。
ちなみに、私はこのはがきは来ておりません。 大多数(せめて数十人以上)に聞いてみないと、「就職情報の提供を求めない学生に」なる用紙の郵送を行っているかは判らないのですけど。
★ Pマーク(2004.8.20追記):
TOTOROの自堕落 日記に有るように、Pマークの必須事項(SSL)が満たされていませんね。
ざっと眺めてみたところ、新規登録はSSL処理を成されていますが、ログインの所は、SSL処理をされておらず、URLのリダイレクトの時に、盗聴を行えば、ID/PASSを傍受することが出来てしまう。すなわち、ログインが安全でなければ、後の通信の秘密は保持出来ないとされる。それだけではなく、会員登録の際、JavaScriptを使用し、PopupWindowを使用した際、不要なメニュー、ステータスを表示しないようにしているため、見た目ではSSLで通信が安全なのか一切判らない状態である。また、Pマークの必須事項の一つである「cookie利用の明示」も行われていない。それだけではなく、プライバシーポリシーの情報も記述が無い。
→ 参考[ プライバシーマーク申請から利用までの流れ / プライバシーマークセミナー 2003 年度 資料]
★ 全体のスクリーンショット:
某所でこの件について大きく話題になりそうな為、配慮と言うことで、大幅に削除致しました。
コメントについても、会社名を一部伏せ字にさせて頂きます。(2004.08.18)
★ 見解について(2004.8.20追記):
会社名、担当者名等についてつぶすと言うことで、
見解についての掲載の許可を頂きましたので公開致します。
Subject: ID・パスワード表記のダイレクトメールに関する件 ---- 平成16年8月18日 ○○○様 株式会社○○ 業務部 マネージャー ○○ ○○ ID・パスワード表記のダイレクトメールに関する件 はじめまして。私は株式会社○○の個人情報管理部署である、業務部のマネー ジャー ○○ ○○です。 さて、過日、○○○○様のダイレクトメールに関するお問い合わせを頂戴いた しました。おっしゃる通り、今回のダイレクトメールではID・パスワードと して記載された部分は、だれもが閲覧できる状態で発送いたしております。 これにより、住所・氏名以外の情報に対しても、同様に閲覧できる状態ではな いかという不信感をお持ちになられてしまったかと存じます。 確かにID・パスワードという表現をしておりますので、これを知り得た第三 者が○○○様のさまざまな情報に接触できるとお感じになられたかと存じます が、このID・パスワードを使用しての操作においてそのような個人情報を閲 覧したり引き出すなどの行為は一切できない状態で運用しております。ID・ パスワードで閲覧できるのは○○○○様のセミナーの案内であり、そのエント リー画面です。弊社が管理する、個人情報とは切り離した状態での運用ですの で是非ともご安心いただきますようお願い申し上げます。 なお、弊社が別管理にて運用する学生様のデータにおいては、大学、学部、学 科、e-mailアドレス、住所、電話番号等を収録しておりますが、セミナーへの 申込者以外の情報が外部へ渡ることは一切ありません。 しかしながら、今後の就職情報提供におきましては、今回のご指摘を真摯に受 け止め、学生のみなさんに不信感・不安感をもたれないよう改善に努めて参り ます。 弊社はプライバシーマークを1998年に就職情報誌業界でいち早く取得し現在に 至っております。是非ともご安心ください。 末筆ながら○○○様の今後のご活躍をお祈り申し上げます。 また、後ほどお電話させていただきますのでよろしくお願いいたします。 以上
2004.08.18 22:03 大幅に削除
2004.08.20 23:30 Pマークについて追記
2004.08.20 23:38 見解についての掲載