翔泳社のWebメディアEnterprizeZineに全3回でIoTの記事を寄稿しました。
前編:IoTの価値を無視すべきではない -「モノのインターネット」の本質とは何か?
中編:集中、分散から集中へ、そしてまた分散へ‐「モノのインターネット」が企業ITにもたらす影響とは?
後編:コンシュマー分野のキラー・ソリューションに注目せよ!企業はどのようなIoT戦略を立案すべきか?
IoT、M2M周りは昔RFIDを追っかけていたこともあり、積極的にリサーチしています。寄稿、講演、カスタムリサーチ、コンサルのお仕事がありましたらよろしくお願いします。
ベネッセの顧客情報流出事件、まずは、不正競争防止法容疑で捜査が行なわれているようです。刑事罰の要件がはっきりしているので当然と言えます。他にも、個人情報保護法や消費者保護法上の論点はあると思うのですが、ここでは不正競争防止法のみについて考えてみます。
不正競争防止法には営業秘密の不正取得・使用を禁ずる規定があります。営業秘密とは、(1)秘密として管理され、(2)事業活動に有用で、(3)公然と知られていない情報であり、製造ノウハウ等だけではなく、当然に顧客リストも含まれます。
ここで、この事件の登場人物のそれぞれについて不正競争防止法上の責任について考えてみましょう。なお、不正競争防止法という観点では、顧客情報を勝手に使われた消費者は直接的には関係ありません。
1.ベネッセ
営業秘密を不正取得・使用されたことにより、不正競争によって営業上の利益を侵害された「被害者」です(個人情報保護法や消費者保護法上は加害者になる可能性もありますが不正競争防止法上はあくまでも被害者の立場になります)。
2.顧客情報を名簿業者に売った人
まだ誰なのかわかりませんが、不正競争法防止法21条の規定により10年以下の懲役and/or1000万円以下の刑罰の対象になる可能性は高いです(だからこそ警察が動いているわけです)。(下の条文は一例です。実際の流出行為のパターンにより別の条文が適用される場合もあり得ます)。
第二十一条 次の各号のいずれかに該当する者は、十年以下の懲役若しくは千万円以下の罰金に処し、又はこれを併科する。
一 不正の利益を得る目的で、又はその保有者に損害を加える目的で、詐欺等行為(人を欺き、人に暴行を加え、又は人を脅迫する行為をいう。以下この条において同じ。)又は管理侵害行為(財物の窃取、施設への侵入、不正アクセス行為(略)その他の保有者の管理を害する行為をいう。以下この条において同じ。)により、営業秘密を取得した者(後略)
3.名簿業者
当該顧客情報は、ジャストシステムの手に渡るまでに複数の名簿業者を経ているようです。これらの名簿業者は、顧客情報の発生元から自分のところに来るまでの間に一度でも不正取得行為があったことを知って、または、重過失により知らないでその顧客情報を取得した場合には民事上の責を負います(2の人から直接顧客情報を買った人は、条件次第では刑事罰対象になるかもしれません)。逆にいうと、善意無過失であれば不正競争防止法上は責任を負いません。
第二条 この法律において「不正競争」とは、次に掲げるものをいう。
(略)
五 その営業秘密について不正取得行為が介在したことを知って、若しくは重大な過失により知らないで営業秘密を取得し、又はその取得した営業秘密を使用し、若しくは開示する行為
(略)
重過失がないことを立証しなければいけませんので、ただ知りませんでしただけでは不十分で、注意を払っても知り得なかったということまで立証する必要があります。
4.ジャストシステム
基本的には、名簿業者の立場と同じです(ただし、2.の人から直接顧客情報を入手したわけではないので不正競争防止法上の刑事罰対象にはなり得ません、不正競争防止法の営業秘密間連の規定では、不正取得・開示した本人、そして、(条件次第ですが)その取得者から直接営業秘密を入手した人しか刑事罰の対象になりません)。同社がプレスリリースで「当社がベネッセコーポレーションから流出した情報と認識したうえでこれを利用したという事実は一切ございません」と述べたのは、不正競争防止法上の民事責任はないと主張していることになります。ただし、重過失がなかったどうかは、今後裁判等で判断されることになるでしょう。
ところで、不正競争防止法には適用除外規定があって、営業秘密取得時に不正取得行為が介在したことを知らず(かつ、知らないことについて重過失がない)、つまり、善意無過失であった人は、その後、不正取得行為が介在していたことを知っても(これでだけ報道されているのでいやでも知ります)、取得時の条件で営業秘密を使い続けられるという規定があります。
19条1項6号 (略)不正競争取引によって営業秘密を取得した者(その取得した時にその営業秘密について不正開示行為であること又はその営業秘密について不正取得行為若しくは不正開示行為が介在したことを知らず、かつ、知らないことにつき重大な過失がない者に限る。)がその取引によって取得した権原の範囲内においてその営業秘密を使用し、又は開示する行為
まあ、とは言っても今回のケースは個人情報保護法や消費者保護法も関係してきますし、(少なくともジャストシステムの立場としては)企業倫理として仮に法律上の責任がなくても顧客情報は破棄せざるを得ないんじゃなかと思います(追記:報道によれば削除したそうです)。この規定はどっちかというと製造ノウハウ等の営業秘密の場合に意味を持つ規定ですね。
まあ、いずれにせよ、数百万人レベルの子持ち世帯の情報について「不正に取得したんじゃないのか」と気づくのは当然かどうか(それに気がつかないのは重過失か)が重要な争点になるかと思います。
大昔の話ですが、アメリカの掲示板で、顧客情報を登録する時にミドルネームを登録先ごとに変えておくというやりかたが紹介されていました。たとえば、John Smithさんという人であれば、ベネッセに登録する時はJohn B Smith、TSUTAYAに登録する場合はJohn T Smithという名前で登録するということです。こうしておくと、どういう名前でDMが来たかによって、自分の顧客情報の流出元が明らかになるというわけです。
おもしろいやり方ですが、ミドルネームという概念がない日本では使えないなと思っていました。
しかし、NHKの報道によれば、今回のベネッセ事件でも「ベネッセにしか登録していない住所の表記と同じ表記でジャストシステムからダイレクトメールが届いた」ことから、以前からベネッセからの情報流出が疑われていたそうです。上記のように流出時の流出元特定のために意図的に独自の住所表記を使っていたのか、偶然なのかわかりませんが住所をちょっと変えるだけならそれほど大きな副作用なしに日本でもできますね。
住所本体を変えると名寄せの時に削除されてしまう可能性がありますし、本来希望した郵便物が届かなくなる可能性もあるので、マンションの部屋番号の末尾に枝番みたいな感じで付加するとよいんじゃないかと思います。たとえば、部屋番号が304であれば、ベネッセの場合は304B、TSUTAYAの場合は304Tといった具合です(例としてTSUTAYAを使ったのは特に深い意味はありません)。これでも名寄せされると削除されてしまう可能性はありますが。
楽器の練習でカラオケ館をよく使うのですが、先日、会員カードを忘れていったら、この機会にケータイ会員になりませんかと言われたので、ZeetleというアプリをiPhoneにインストールして会員になってみました(あんまりこういうことはやらないのですが、会員カード持ち歩かなくても割引になるのは魅力的で抗しがたかったので)。
さて、このZeetleというアプリ、なかなかおもしろい仕組みになってます。アプリを起動して、店頭にあるリーダーにiPhoneをかざすと「ジジジー」という音がしてデータ交換が完了します。データを音にエンコードしてマイクから入力しているわけです。
iPhoneはFelica機能がないのでO2Oのシナリオにおける店頭でのデータ転送には、QRコードをカメラで読んでサーバに転送してなんてステップが必要だったわけですが、音で転送すれば直接的にデータをやり取り可能で操作が簡単です。「音響カプラー」みたいな逆転の発想だと思いました。
音声によってスマホ間のデータ転送もできるみたいです。位置情報を使ってサーバ経由で、だとか、Bluetoothでペアリングして、なんて方法よりも簡単で機種依存性も低いのが良いですね(そんなに大量のデータは転送できないでしょうが)。
テクノロジーを開発したのは北海道のBUG(現BUG森精機)の関連会社で、関連特許も出願されているようです(国際出願:PCT/JP2011/077860、日本国内移行:特願2012-508845)(まだ中味は詳しくは見ていませんが、まだ審査請求はされてないようです)。
ステマではありません。念のため。
ちょっと前に書いた三井住友銀行のネットバンクで、新トークンの利用開始に伴って、パスワードが強制的に数字4桁にされてしまう件ですが、7月5日付けでようやく改善され英数字4〜8文字のパスワードが使用できるようになりました。要は改悪前の状態に戻ったということになります。
まずは一安心ですが、どうせ仕様変更するなら英数字16文字くらいまで使えるようにはしてほしかったと思います。
英数字8桁あればブルートフォース系の攻撃に対しては(少なくとも今のところは)安全であると理解しています。しかし、最近は、あるネットサービスで流出したパスワードリストを使って別サービスで使う攻撃が出てきています。これだとサービス間で同じパスワードを使っていれば、何桁であろうが危険です。
上記攻撃に対しては、サービスごとに違うパスワードを使えというのが正しい回答だと思いますが、実際には無数のサービス全部で違うパスワードを使うのは困難ですね。こういう時には、8文字の(辞書攻撃に対して強い)パスワードに対してサービスごとに自分で決めたID(たとえば、twitterであればt)を付加して使うと便利です(パスワードリスト型攻撃に対しては多少脆弱になると言われればそうなのですが)。なので、パスワードの桁数は9桁以上であってほしいのです。
ネットバンクの場合は、メールアドレスをIDとして使うことはないので、外部サービスで流出したパスワードリストで攻撃されることはあまりないとは思いますが、気持ちの問題です。
栗原潔による訳書・著書をご紹介します。
エスケープベロシティ
『キャズム』のジェフリームーア最新作。企業が過去のしがらみという重力圏を離れて新しい未来に進むための戦略を提言します。
戦略的データマネジメント
データ品質が低ければ如何に高度な分析テクノロジーを駆使しても意味がある結果を得ることはできません。本書は、データ分析のテクノロジーではなく、データそのものにフォーカスを定めた戦略の指南書です。この道一筋30年の実務家が現場経験に基づいた重要な気づきを提供してくれます。
デジタルネイティブが世界を変える
「ウィキノミクス」のドン・タプスコット著。生まれたときから周りにコンピューターが存在しデジタル・テクノロジーを呼吸して育ってきたデジタルネイティブ世代が何を考えているのか、社会/メディア/政治をどのように変えていくのか、彼らから何を学べるのかを世界中の若者1万人に対する調査に基づき分析。
イノベーションへの解 実践編
「イノベーションのジレンマ」のクレイトン・クリステンセンが共同設立したコンサルティング会社イノサイトのパートナーによる「破壊的イノベーション」の実践指南書です。
グリーンIT(書き下ろし)
ITプロフェッショナルに向けたグリーンITの入門書。形式的なエコではなく、ITの効率化と環境対応を両立できる真の意味のグリーンITを目指すためのガイドブックです。
オープンビジネスモデル
「オープンイノベーション」の提唱者UCバークレイ教授ヘンリー・チェスブロウ著。企業が自前主義を排して知的財産の自由な流通を図るべきという提言の書です。
ライフサイクルイノベーション
テクノロジー戦略本の古典「キャズム」でおなじみのジェフリー・ムーア著。コモディティ化が避けられない市場でどうすればイノベーションを継続していけるかを解説。あらゆる企業の生き残りのために必読です。
チーフパフォーマンスオフィサー
CPM(企業パフォーマンス管理)に関する数少ない書籍のひとつです。読みやすい内容です。
投稿のフィード