れですも色々

先日から交通系カード(主に首都圏のPASMOだが札幌のSAPICAも)を巡る話題がセキュリティ界隈で再び出てきていた。

株式会社パスモのだだ漏らし

お題にはPASMOとあるが数年の後に全国統合されるであろう所謂チャージ可能な交通系カード全般に関わってくるお話。

首都圏の人間じゃなくても出かけた際にはあの混雑している駅でややこしい経路を確認しつつ切符を買うよりはSUICAにしておこうかPASMO買っておこうかと迷う事は誰にでもある。

主な論点や問題点、そして交通系に限らずどこのカードが同じ仕組みで履歴を記録し、またそれを誰もが簡単に閲覧できるかはこのToggterを全部読むと判るようになっている。

更にそれらを高木氏が日記にしたのがID番号が秘密なのか、それとも氏名・生年月日が秘密なのか

やや長いが末尾にあるお客様センターとのやり取りが情報収集側の｢セキュリティ･個人情報の範疇の認識｣をはっきり示している。

つまり収集側としては履歴は全く個人情報収集と看做しておらず、それらを収集蓄積することには全く問題がないという認識でPASMOは押し通すつもりだった。

オペレータの権限ではなくこういう問答になるということはPASMOの見解ということになる。

一見蒟蒻問答にみえるが特に専門用語などは使わないままゆっくりと見解を正していく高木氏の問い合わせは非常に参考にもなる。

ただ、こうした履歴検索自体はここで初めて明るみになったわけではなく、例えばちょっとした日常の裏技的本などにも記載され、またググってみると判るのだが一部の探偵なども利用していた。

んで。
ここで｢そんなの知られても困らないよ｣という例の論調が必ず現れる。

どの議論にも湧いてくるのだがミクロとマクロを混ぜこぜにした意見で、ここのようなgdgd日記ならともかく最早一般的な汎用ツールと化している誰でも入手可能な物なのに個人情報(履歴)特定が安易に可能だというのは俺のだの私のだのという範疇で論ずるものではない。

パスモは乗車履歴を第三者提供？ 他社のビッグデータに取り込まれる可能性

当然個人情報(しつこいが履歴)をこのように利用する為に収集している。

で、またぞろ｢いや困らないし｣というのもまた湧くんだが問題はそこじゃないとしつこく書いておく。

結果としてNHKで取り上げられ各報道もあったせいかただ今現在はToggterの末尾(続きを読むをクリック)にもあるようにPASMOもSAPICAも利用履歴閲覧サイトは止まっている。

何度も｢残りを読む｣クリックして全部読んでと書いたのはそれなりに理由がありまして、論の根拠や経費精算に困るという声、更に｢いったい何が問題なのか判らない｣人達の声も纏めてあるからでして、セキュリティを語る上で一番障壁になる｢意識｣の差も明らかになる。

別に高木氏だから正しいとかそういう考えはないけれど、事実として問い合わせ時のスキル、そして知名度、加えて報道があってようやく駄々漏れ問題が停止という形ででも一旦止まった。

｢どうでもいい｣の範囲ってのは確かに個人差が大きいんだが、これは最早個人の感想とか感覚の問題ではない…ということを大体の人が理解するまでの壁はまだ高いなとこちらにも考えさせられた。