ARTIFACT「はてなの住所登録問題―個人情報の開示基準編　悪徳商法マニアックスとウェディング社の件について―」の、

　警察の任意照会に対して、プロバイダーが個人情報を開示することについては、問題がないと考えます。

オオツネさんはテレコムサービス協会に完全準拠するという案を考えていますが、上で書いたように現状では大変難しいと思われます。それを実行しているのはニフティぐらいではないかという話もありますし、それをはてなのような企業規模ののところに求めるのは酷かと。

とotsuneさんのコメント、

>それをはてなのような企業規模ののところに求めるのは酷かと。

それは何故だろう？ @niftyがそれを実現しているのは、はてなでは無理なリソース（金銭・時間や、警察との関係構築……ぶっちゃけ天下り顧問受け入れetc.）を負担していると予想できるから？

はてなでも現状のリソースでやれば出来るような気がするけどなぁ。根拠無いけど。

照会書だけで断ることが出来ないという公式な理由が出ていないから。

あたりを読んで、結局警察というものをどのくらい信用しているかがポイントになるんじゃないかと思った。

• 警察の通常の捜査活動に協力できないほど、警察は信用できないかどうか
• 警察の捜査活動に非協力的な行動に出ることによって、警察に目をつけられる（怪しいところだと思われ、今後何かと捜査対象となり、業務に支障が出る）ことのデメリット（の可能性）

あたりを鑑みた上で、どういう選択をするか。

「警察を信用しない」という場合は、たとえ目をつけられる可能性があったとしても「法的な根拠がなければ要求には応じない」と突っぱねることもできるでしょうし、それで不利益があった場合はさらに「警察を信用しない」ことになるでしょう。「警察を信用する」場合は、「警察の任意の照会だとしても、捜査活動に協力するために（もちろん警察はそれ以外の用途では情報を利用しないと信じた上で）、ユーザーの個人情報を渡してもいい」と判断するのでは。

私だったら多分（規約等に、法的根拠がなければ個人情報は渡さないと明記していない限りは）警察に協力すると思います。もしその情報を警察が悪用したりしたら、それはそれで別問題として警察を追求するでしょうけど。

悪マニとウェディング社と京都府警の話の時は、「はてなの人たちは2chなんかで流れていた、ウェディング関係者と京都府警との間の過去のニュース記事なんかに関する情報をすべて知っていたのかどうか」、「はてなの人がその当時持っていた情報から、京都府警は信用できないから協力できないという結論を出し得たか」あたりがポイントになりそうだけど、まあその辺ははてなの中の人以外は知らないこと。

でも、結局はてなも悪マニのBIG-NETじゃない方のプロバイダー（PROXだっけ？）も警察の任意の照会に応じたってことは、どちらかというと「警察を信用する」という判断を下したってことじゃないかな。「警察を信用しない」という判断を下して、警察と敵対する（非協力的な行動を選ぶ）のは、よほどそういう信念を持っていない限りは難しいと思うし。

この週末も飯を食いに出かけた以外はほとんど寝ていたんだけど、未だに風邪が治らない。先週後半から喉に来ていたのがひどくなって声が出なくなったのに加えて、再び頭痛と関節痛が戻ってきたよ。なんじゃこりゃ。なんかもう完全に治るまで一週間くらい休みたくなってきたなー。

マジかジョークか微妙だなー。でもまだ女性名だけの連名で良かったじゃん。

• はてなの Cookie が洩れると個人情報も洩れる
• はてなの Cookie

sheepmanさんがいろいろ書いているんで、俺も裏（mixi）でぐだぐだ言うのはやめて、表に出せる部分は出してしまおう。sheepmanさんの指摘の繰り返しにすぎない部分が多いけど。

• どんなに「技術的に安全」に管理していても情報漏洩の可能性はある。セキュリティホールは現場の技術者の過失だけが原因で発生するわけではない。
• ソーシャルハッキングのレベルまで考えると、「人間的に信頼できる」というのはほとんど意味がない。関係者全員が高度なセキュリティ意識を持っていない限り、たとえ「人間的に信頼できる」人でもセキュリティ的には信頼できないことになる。
• はてなのサイトの作り自体があまりセキュアさを重視していない。現在のはてなのサービス内容を考えると十分なレベルのセキュアさは持っていると思うが、これだけの個人情報を収集するのに十分であると私には思えない。
  • 認証管理を永続（ブラウザを閉じても消えない）Cookieでやっている。その内容もランダムではあるが半固定。試してみた限りでは、2回ログアウト→ログイン操作を行うと値が変わるが、その操作をしない限りは固定値となっている。つまり、（おそらく）多くのユーザーにとっては固定値である。その分危険性（漏れた場合に悪用される可能性）が高い。はてなが集める個人情報ならば、せめて以下のレベルでのセキュアさがほしい。
    • ランダム非永続認証Cookie＋HTTPS＋secure
    • ランダム非永続認証Cookie（＋HTTPS）
    • ランダム永続認証Cookie＋比較的頻繁に（n回アクセスするごとに、など）認証キーが変化
  • セキュアさが必要なコンテンツとそうでないコンテンツで、認証管理のレベルを切り替えていない。たとえば個人情報にアクセスするところで、SSLに切り替えると同時にsecureな新しい認証セッション（もう一度ID・パスワードを入力させた上でsecureなCookieを発行する）に切り替えたりとか。
  • はてなダイアリーの、ユーザーが自由に入力したHTMLやCSSをロジックで洗浄するというアプローチには、潜在的な危険が大きい。そのアプローチはあくまでも「危険を発見したら対処する」の繰り返しであり、実用上十分な安全性は確保できるが、確実な安全性を狙ったアプローチではない。

ちなみに上に書いている内容はあくまでも俺個人の評価であり、「俺基準では、現状のはてなのシステム的なセキュリティに関する態度は、今から集めようとしている個人情報の質・量を考えると物足りない」という話にすぎない。はてな的にはこれで十分と考えているのかもしれないし、あるいは他のWeb技術者もこれで十分と考える人もいるかもしれない。

その辺の一般的な評価が見えなくて表で書きづらかったんだけど、少なくともsheepmanさんも俺と同じような認識を持っていることがわかったから、俺も表で書いておこう。

うわ

またTrackBackが全文送られちゃったよorz..

はてなダイアリー日記にも

TrackBackを送ったつもりだったが送れていない……。と思ったら、そういやはてなはURLをGETしたドキュメント中にリンクがない場合は受け付けないんだっけ。ということで、リンクしてからもう一度チャレンジ。

決して面白くなかったわけじゃないし、話自体もグレッグ・イーガン的な大仰な論理科学SF系で期待通りではあったんだけど、ちょっとストーリーにも（論理）ガジェットにもパワーがなく、一気に読んでしまうような勢いがなかった。で、だらだらと通勤電車で一週間くらいかけて読んでいって、ようやく読み終わったんだけど、いまいちカタルシスが足りない。ちゃんときれいに話は終わっているんだけどなー。大ネタの万物理論を巡る攻防自体はそれなりに面白かったけど、その周辺のネタがいまいち（俺の中で）消化不良だった感じかな。特にオチの『』というテーマあたりが特に。細切れに読んでいったからその辺の重要な文章を読み飛ばしちゃったのかなー。本当はあそこでカタルシスを感じるべきだと文脈上はわかるんだけど、そこで「ふーん、そういうオチですか」程度しか感じなかった。元々Hワードに関する話題は読み飛ばし気味だったから、その辺をもっとちゃんと読み込んでおくべきだったってことかなー。

なんかもうふつうに歩いていてもいやな感じですよ。痛む部分が結石の時と似ているけど、痛みの質が全然違うから、これはもっと昔にやった背部挫傷の後遺症の方だろうなー。一度整体にでもいって診てもらった方がいいかなー。

昨日は最低の体調だったにもかかわらず、きんきんに冷房を効かしたサーバールームで立ったまま4時間作業というろくでもない仕事をさせられたので、やる気をなくして今日はお休み。といってもどうせ家で仕事をしているんだけどな。っつーか、どうせ裁量労働制なんだから、もう会社に行こうが行くまいがどうでもいいじゃんよ。打ち合わせと社内作業と出先作業があるときだけ出社義務にしてくれればいいのに。ちなみに昨日は作業後とっとと帰って寝たんで、体調自体はずいぶん良くなってきた。まだ咳と鼻水は完治には遠そうだけど。

もうちょい寝かせておこうかと思ったけど、そんなに時間をかけてもいられないからもう出しちゃおう。ちょっとはてなに対しては厳しすぎる意見が多いんで、そのあたりもうちょっと柔らかく書きたかったんだけど、そこに時間をかけている余力がない。特にはてなのセキュリティ対策に対していろいろ不満を述べているけれども、実際問題として現在のネット系サービス会社の中では、はてなはセキュリティ関連の技術的に悪い方ではないと思う。ただそれでも、私基準では（特に住所を含めた個人情報を収集しようと言う動きを見せたことと絡めると）まだまだ物足りないと思っている。もう一度繰り返すけど、「特にはてなが悪い」と言いたいわけではない。

住所確認方法の実効性への疑問

無作為抽出した150人に郵送で確認する方法では不十分だと思う。

はてな側としては、多くの割合のユーザーが正しい住所登録をしてくれることを期待し、郵送確認の結果によってその期待が（数学的に）証明されるという展開を望んでいるのだろう。確かに150人に郵送した結果、たとえば9割の人が正しい情報を登録しているという結果が出るのならば、この方法は確かに有効である。

しかし、もしかしたら郵送確認したうちの1割のユーザーしか正しい住所を登録していないという結果が出るかもしれない。そのような結果が出た場合でも、「150人のユーザーに郵送で住所確認を行うという、十分な本人確認の努力を行っているから、問題なく従来通りの運営を続けられる」という結論が出せるのだろうか？　おそらくそうはならないだろう。それではいったい何割以上という結果が出れば、問題ないと言えるのか？

つまり、無作為抽出した150人に対して、郵送で住所確認をするという方法は、現状では博打（その方法が有効なのかどうかは、調査の結果が出るまでわからない）の要素が大きすぎるのだ。

また、せっかく住所確認作業を行っても、新規登録ユーザーの住所確認が行われないのならば、さらに意味は薄くなる。現状では、無作為郵送チェックで弾かれたユーザーが再び不正な住所を使って新規登録することが可能であり、そうなるとせっかくコストをかけて住所確認をしても不正住所登録者の数が減らないことになってしまう。

上記二つの点から、現在予定されている住所確認方法は不十分であると考える。

セキュリティ対策が十分であるという信頼感がほしい

実名、実住所、性別、生年月日、メールアドレスという個人情報を数万人分収集するに当たっては、それに見合っただけのセキュリティ対策が必要になる。以前指摘したとおり、私は現在のはてなのシステムは上記情報を収集管理するシステムとして、十分なセキュアさを持っていると考えていない。

少なくとも、HTTP経由でやりとりされる半固定10年期限Cookieによる認証だけで、個人情報が表示される設計は問題がある。Cookie漏洩の可能性が十分にあり得ることは、今までのはてなダイアリーにおけるXSS対策の経緯から、はてな側でも十分に認識されているだろう。また、住所登録導入時のSSLの使い方の失敗（フォーム投稿はHTTPSだったのに、結果はHTTPで返した）はあまりにも基本的なミスすぎた。

それらの問題を、実際に住所情報を収集し始める前の社内チェックの段階で発見できなかったという状況に、とても不安を感じる。その不安を払拭できるような対策および情報を示してほしい。もし、はてなに数万人分の正しい住所を含む個人情報があるということになったら、今までよりもはてなの会員DBは狙われやすくなるのだから。

FAQの「情報へのアクセスは社内からのみ可能となっており、誰が、どのような操作を行ったかが記録されています。また、現在はてなには7名の社員がいますが、全て正社員および経営者です。はてなのサイト運営に関して外部の事業者等は利用しておらず、この7名以外がはてなユーザーの登録情報に接することはありません。」からも、セキュリティに対する知識が十分であるとは読み取れない。

「情報へのアクセス」は、少なくともインターネット上からすべてのユーザーが（正規の手段では）自分の情報に対して可能である。社内ネットワークからしかDBへのネイティブアクセスができないと言いたいのだろうが、それならそう明確に書くべきだろう。一般的に「情報へのアクセスは社内からのみ可能」という表現は、すべてのクライアント（アプリケーション）が社内ネットワーク上にしか存在しないような設計の場合に使うべきものだ。

また、個人情報DBへ直接アクセスできる者が「正社員」や「経営者」のみだとしても、その全員が十分なセキュリティ知識を持っていない限り、「だから安全だ」とは言えない。逆に言うと、各人のセキュリティ知識（教育状況）が十分でないままに、「正社員ならばユーザーの個人情報にアクセスできる」のならばそれは問題だ。

「セキュリティ知識の必要性」の具体例を挙げておく。たとえば社員の誰かが「社長に頼まれたんだけど、社長のメールアドレスに○○（個人情報を含むデータ）を送ってね」みたいな、一見安全そうな個人情報操作を依頼された場合に、疑問に思わずに送ってしまわないだろうか。もちろん上記がハッキングの手法だとしたら、攻撃者は社長がメール受信をするネットワーク経路で盗聴を仕掛けていることになるだろう（現在のはてなの運用体制で上記のような攻撃が有効なのかどうかはわからないが）。

「個人情報にアクセスできる権限を持つ人間に必要なセキュリティ知識」というのは、上記のようなシチュエーションにおけるリスク等をきちんと計算できるレベルだと私は考える。そのような知識がない場合は、たとえ正社員だといえども個人情報へのアクセス権限は持たない方がいい。そして、現状の「全員が社員だから大丈夫」的な説明からは、そういう認識が欠けているように見える。

「プライバシーマークを取得する」という案があったようだが、そういう外部団体のお墨付きを得ることもひとつの方法だろう。また、十分に妥当なセキュリティポリシーを掲げ、それに則った運用を行っていることを態度で示すだけでも、私的には安心できる。ともかく現在のポリシーおよび運用状況は「安心できる」には物足りなく感じる。

プライバシーポリシーなど

これは別に現状のままでもかまわないし、よりユーザーが利用しやすい内容に変更するならばそれでもいい。集めた個人情報をどのような用途に利用するかは、（法律に反しない範囲で）はてな側が決めることだし、それを正しく表記してさえくれれば、ユーザー側がそれを読んで利用するかどうかを決めるだけだろう。

「住所登録」の代替案

もともとこの「住所登録」案が出てきた背景には、

「はてな関連サービスにおいて、（カジュアルな）違法行為が原因であるトラブルが増えている。それによるサポートコスト（お金＋労力＋法的リスク）の増大や、ネットコミュニティとしてのはてなの価値減少の可能性が、はてな社内での大きな問題となった。そこで、トラブルサポートコストの削減・ネットコミュニティとしての価値の維持もしくは増大のための対策を考え出す必要があった」

という事情があるのだと考えている。

だとすると、別にその対策は「住所登録」以外にもあり得る。実際はてな側も今回、「情報削除ガイドラインの見直しや、削除フローの見直し」という対策ですませられる可能性を示唆しているし、私も実効性や運営コスト的な問題が大きい「住所登録」という対策を選ぶ前に、上記のようなはてな内部のみで対応可能な対策を進めてみるべきだと考える。

ただ、今までのはてな社内での試行錯誤の過程で、すでに上記のような対策では十分ではないという結論が出たのだとしたら、「住所登録」のような、ユーザーにもある程度リスク/コストを受け持ってもらうような対策をとるという選択もやむを得ない。しかし、だからといって「住所登録」という結論に飛びつくのはまだ早い。「住所登録」よりもより良い選択肢が他にもないか検討してほしい。

たとえば私は、「本人確認性が高いメールアドレス登録を必須にすることによる、間接的な信頼性の担保」という手段がいいのではないかと考える。はてなが直接具体的な個人情報（住所）を管理するのではなく、すでにユーザーが個人情報を提供しているインターネットプロバイダ等の第三者機関を介して（ワンクッションおいて）ユーザーの個人情報にアクセスできる環境を整えるのだ。

はてなが今回「はてなが負わされる法的なリスクの可能性」を重視しているのだとしたら、法的な要請の元で十分な本人確認性を確保できれば、それで十分なのではないだろうか。プロバイダ等の第三者機関というワンクッションを置いたとしても、それを介すことで確実に本人確認が可能な体制を準備できるなら、法的な要請の元での本人確認性は十分にあることにならないだろうか（このあたりは法的な見地からの意見を聞いてみたいところ）。

またユーザーにとっては、いざというときにすでに個人情報を預けてあるプロバイダ経由で身元確認をとってもらう方が、新たにはてなに個人情報を登録するよりも安心だろう（情報漏洩する可能性がある口は少なければ少ないほどいい）。

一応、メールアドレス確認をベースにしたシステムの概要も挙げておく。

まず「許可メールアドレス（ドメイン）」「拒否メールアドレス（ドメイン）」のデータベースを作成する。国内大手プロバイダなど、個人情報をユーザーが預けていることが確実なメールアドレスについては、あらかじめ許可しておく。また主要なフリーメールアドレスなどの、本人確認が甘く、重複登録が簡単なものについてはあらかじめ拒否しておく。

続いて、許可でも拒否でもないグレーなメールアドレスについては、順次手動でのチェックをかけていき（たとえば、一般の企業アドレスや学校アドレスなどは、本人確認性が十分高いと考えられるだろう。また独自ドメインアドレスなども、その利用状況を簡単に確認することで、ある程度は本人確認性の高さを見積もることができるだろう）、その結果を許可・拒否データベースにも反映させていく。それにより、かなりのメールアドレスは自動的に許可・拒否の判断ができるようになるだろう。

手動チェックでも許可・拒否が定まらなかったグレーなアドレスを最終的にどう判断するかについては、単にポリシーを決めればいい。メールアドレスのみでは判断がつかなかった場合のみ「住所による本人確認を併用する」のもいいだろう。あるいは単純に「このメールアドレスは登録できません。許可アドレスリストを参考に、登録可能なメールアドレスを用意してください」ですませてしまってもいい。

そして、グレーおよび拒否メールアドレスに該当するユーザーに対して、メールアドレス登録の変更を呼びかける。住所登録の変更と同様に、準備期間を設けて期限までの変更を促す方法でいいだろう。メールアドレス確認の仕組みについてはすでにはてなも持っているし、システム構築にかかるコストもグレーなアドレスの手動判別にかける工数で調整すれば、それほど莫大なものにはならないはずだ。

昨日あたりから喉の奥に腫れ物ができて、咳き込むとしゃれにならないくらい痛む。そういや5年くらい前に、同じ場所にひどい腫れ物ができて、呼吸をするだけでも激痛が走って、しょうがないんで耳鼻咽喉科に行ったら、腫れ物を針でつついて皮膚を破って膿を吸引するという恐ろしい治療を受けたことがあった。喉の奥に対してそういう破壊的物理治療をするのはやめてほしいのう。歯医者とかで喉にたまったつばを吸引する状況を100倍ひどくしたと思いねえ。あんな目には二度とあいたくない。

ということで、昨日の夜から喉の湿気を保つためにマスクをつけっぱなしにしているんだけど、これはずいぶんいい感じだな。それまではずっとのど飴をなめ続けていたんだけど、のど飴なんかなめなくてもマスクだけで十分喉の痛みが和らぐ。っつーか、そういや今はほとんど喉の奥の異物感がなくなっているな。ラッキー。

そういや今日からオクサンが仕事に復帰した。っつーことで、朝から子供2人に飯を食わせて保育園に連れて行くという作業を1人でやらなきゃならなくなった。ムスコの方はもうずいぶん人間らしくなったんで、口で指示するだけで何とかなるんだけど、オトウトの方はちょっと目を離すと逃亡してひどいことを始めるんで、そっち対策がつらい。まあでも慣れればなんとかなりそうか。

http://hobby7.2ch.net/test/read.cgi/av/1100181669/378より、

DVDドライブはパナOEMでしたYO！

ようやく信頼できそうな情報が出てきたよ。よかつたよかつた。で、Amazonからはいつ届くんでせうか？