Motoyuki's Diary 2004年1月上旬

Motoyuki Konno <motoyuki@bsdclub.org>
[since Jan/22 1999] counter
Last-modified: Fri, 20 May 2005 00:25:03 JST


2004/1/5(Mon)

明けましておめでとうございます

既に 1/5 ですが (^^;、今年もよろしくお願いいたします。

年末年始は特に変わったことはなし。 暮れにあったお酒は明鏡止水以外を消費。美味しかった。

今日

_ 歯医者

昨年の 12/8 から通っている歯医者の新年最初の治療。

_ 介護保険

http://www.yomiuri.co.jp/politics/news/20040105it01.htm

介護保険、「軽度」は訪問介護から除外検討

今年から本格的な議論が始まる介護保険の抜本改革で、厚生労働省が大
幅な給付の見直しを検討していることが、4日明らかになった。
(中略)
要介護認定で「要支援」「要介護1」とされた高齢者については (中略)
訪問介護など従来のサービス利用対象から外す。
(中略)
また、特別養護老人ホームなど施設への新規入所も、現行の「要介護1
以上」から「要介護2以上」にする方針。

「家で介護できる状態」よりも「施設に入れなければならない状態」の ほうがはるかに重度なのが当然だから、要介護1を訪問介護の対象から 外すのなら施設の入所は要介護3とか4のようなもっと重度だけを対象 にすべきだろう。

施設サービスの基準改訂が「新規入所者」だけなのに対し、在宅のそれ が「全員」なのにも要注意。要支援以下の軽症なのに施設に入所する人 がいる *1一方、在宅の場合は要介護1でもサービスを受けられなくなるという 不公平な制度になる。

去年の 4 月の制度改訂の際には、在宅サービスの大幅値上げと入所サー ビスの値下げが行われた。これも利用者からみれば、「在宅で頑張るよ り施設に入れたほうが安上がり」というものだった。 厚生労働省は「家で介護を推進」と言っているけど、実際の施策では 逆に施設入所を推進しているようにさえ思える。


*1:現在の入所基準は要介護1だが、要支援やそもそも介護認定を受けられ なかった人が全国でまだ 1,000 人も特別養護老人ホームにいる。


2004/1/6(Tue)

「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表

当該カンファレンスに出席した (と思われる) 小島さんの セキュリティホール memoや office 氏の掲示板に出入りしている人の論調を読んで非常に気になった点。

まず、セキュリティの専門家ではない一般人の視点からすれば、今回の件は

セキュリティの専門家を自称する人が、調査を理由にして承諾なしに他所のサーバに 侵入し、個人情報を持ち出した上で多数の人に向けて公開した。

というのが一般的な見方だろう。サーバの脆弱性をいかに無くすかなどというのは 専門家の議論であって、普通の人からすれば「個人情報を盗んで公開した人がいる」 という点が重要。「専門家が一般大衆に迷惑をかける」というマスコミが 大喜びする観点からの見出しになったのは、ある意味当然だろう。

セキュリティ関係でいま最も重視されているといって過言でないのが 個人情報の流出だろう。セキュリティを専門に執筆活動までしている人が、 個人情報の流出に対してなぜここまで無神経でいられたのか、 カンファレンス参加者に対して個人情報を載せた資料を配るなどという行為を なぜしたのか、きちんとした説明が必要だと思う。

また、流出した個人情報についてどういう対策をとったのかについても きちんと説明すべきだと思う。具体的にはカンファレンスで配布された 「個人情報が含まれる発表資料」についてどういう対策をとったのか、 個々の参加者に連絡して廃棄するよう依頼したのかどうかも明確にすべきだろう。

セキュリティに関してあまり知識がない人であれば、個人情報を漏らすような 専門家の行為は法的に禁止して欲しい、と考えることが多いのではないだろうか。 きちんとした説明がなければ「専門知識がない普通の人」 *1が政治を動かして、「脆弱性調査の法的規制」といった方向に進みかねない。

_ 追記

現時点 (2004/01/07 1:00 AM) で office 氏のサイト (www.office.ac) 上に 「ACCS のユーザ様 (中略) への謝罪」と題した文書が掲載されているが、 office 氏自身が個人情報が含まれる資料を多数のカンファレンス参加者 (asahi.com によれば約 300 人) に向けて公開した点、さらに発表資料 (Microsoft PowerPoint らしい) を参加者にコピーして配布した点については 一切触れられていない。

_ 追記 (2)

崎山さんのコメントに反応。

まず、私は当該カンファレンスには出席していない。日記の記述は ネットワーク上で得られた伝聞によるものであり、不正確であるかもし れないことをお断りしておく。 「多数にコピーさせた」という私の記述(注 *2) も 不正確かもしれないが、当事者である office 氏の「謝罪」に具体的な状況に関する 説明が一切ないので判断しようがない。 office 氏ないし当該カンファレンス 主催者側から説明があれば訂正する。

私は

ということは知っており、以下これを元に書く。

確かに崎山さんがコメントしているように「なぜこうなってしまったか」についての 本人による明確な説明は無理かもしれない。しかし、当該資料は容易に 複製可能な形式であり、資料を持ち帰った人が悪意なしに

○○君、発表資料持っているんだって? 興味があるからコピーさせてくれない?

といった感じにコピーを広める可能性がある。

こういった事態を防ぐために、「持ち帰ったコピーの破棄」 *3を参加者に呼び掛けるのは、個人情報を (仮に意図していなかったとしても) 漏洩した者の当然の責務だろう。

個人情報が含まれた資料を持ち帰った人がいることは asahi.com の報道でも 明らかにされている。 office 氏の「謝罪」でこのことに全く触れていないのは 理解できない。 office 氏が漏らした個人情報が広まるのを防ぐために できるだけの処置をとり、かつ処置内容を説明すべきだと私は考える。

_ 追記 (3)

私の基本的な考え方をまとめておく。

今回の一件には複数の問題点がある。

  1. office 氏が発見した脆弱性により ACCS 等のサーバから個人情報が漏洩した 危険性があること。
  2. office 氏自身が個人情報 (が含まれる資料) を約 300 名という多数の前で公開し、 ある割合の参加者はその個人情報を持ち帰ったこと。
  3. 持ち帰られた個人情報がさらに広まる可能性があること。

1. に関しては office 氏の責任も一部あるものの、基本的には脆弱性がある サーバを公開していた側が責任を持つべき部分だと私は考える。 office 氏以外へ 漏洩した可能性が低いことが office 氏の謝罪文の中で明記されており、 私はこの部分について氏の行動を問題視するつもりはない。

2. に関しては全面的に office 氏の責任である。 asahi.com などマスコミで 報道されているにも関わらず、当事者からの説明はない。謝罪文の中でも 全く取り上げられておらず、問題があると認識さえしていないようにも読める。

3. に関しては、 (少なくとも善意で資料が再配布されている場合には) office 氏の責任と考える。持ち帰った人に呼び掛けて資料を破棄してもらうよう 努めるのが氏の責務だろう。

(1/8 追記: 3 について office 氏 *だけ* の責任であると主張するつもりはない。)

_ 追記 (4)

小島さんのコメントについて。

主観的な違いについてはコメントを避けるが、私が気になった点について。

私の日記で「参加者に対して公表」というのは office 氏が個人情報を 参加者に対してプレゼンテーションしたこと、「参加者にコピー・配布」というのは 個人情報が入ったプレゼンテーション資料 (Microsoft PowerPoint 形式) を 参加者に対して配布した (あるいは送信可能な状態にしてある割合の参加者が 持ち帰られるようにした) ということを指す。

具体的な状況については office 氏ないし主催者側から一切の説明がないため 不詳だが、「金を払った聴衆にすぎない」と明言されている 崎山さん

実際は外部と接続されていない環境で「送信可能」状態に置かれた資料を 一部の参加者が自発的に自分の計算機にコピー

と知っていること、さらに他の一般参加者の方で資料を入手して持ち帰った例が あることから、 office 氏ないし主催者側から 「資料が○○の方法で入手できるので、欲しい方はとっていってください」というようなアナウンスが会場であった可能性が非常に高いと私は考えている。

具体的にどういう状況だったのか。仮に小島氏が書くように「主催者が設置した サーバに置かれた」のであれば主催者側から何らかの説明 *4があるべきだし、主催者側が一切関知していなかったのであれば その旨の説明があるべきだろう。

office 氏や主催者側の www を全部みた訳ではないが、そのような説明は 少なくとも目につきやすいところには発表されていないようだ。


*1:おそらく大多数のマスコミ関係者もここに含まれる。
*2:追記: 読み返してみたが、私はそのような記述はしていない。この部分は 撤回する
*3:参加者に対して資料破棄のお願いがあったかどうかまでは確認していない。
*4:新聞で大々的に報道された個人情報漏洩事件に直接手を貸したことになる。


2004/1/7(Wed)

今日

_

初午 at #67

_ 追記

こちら


2004/1/8(Thu)

個人情報公開 (続)

asahi.com で報道されてから 4 日以上が過ぎたが、

同日夜、都内で開かれた (中略) 集会で、参加者約 300 人に体験を披露。 「証拠」として、持ち出した個人情報の一部を公表した。持参したパソコン にこの情報を保存した参加者もいたという。

という報道内容について、 office 氏も集会の主催者側も詳細な状況を説明する気は ないようだ。 崎山さんのコメントにあったような説明が office 氏なり主催者側なりからあれば、 情報の流出を心配している人も多少は安心するのではないかと私は考える。

セキュリティ問題では、技術的な面も大事だが、個人情報の取り扱いや 実際に問題が起きた時の対処も非常に重要となってくる。あれだけ大々的に 報道されたにも関わらず全く説明を行わない office 氏 *1や主催者側には、「セキュリティ」について語る資格はないと考えざるをえない。

いま「セキュリティ」に携わっている者の自浄能力が問われていると私は考える。 事実の説明や個人情報の流出を止める最大限の努力を当事者たちが行わなければ、 世間から「自浄能力がない」と判断され、法的な規制が行われる方向に 進んでいくのではないか。

_ 追記 (1)

主催者側から一応の説明が出たようだ。しかし 個人情報を含む発表資料が (様々な情報から判断すると主催者側の用意したサーバに) 置かれ、 参加者で PC 等を持ち込んだ人なら誰でも入手できる状態にあったという経緯 *2については説明がない。この点の追加説明を強く望む。

とはいえ、一応の説明を出したことには一定の評価をしたい。

_ 雑感

今回の件でいろいろな場所の議論を簡単に見て回ったが、「当事者と周囲の人が どう行動すべきか」という点についての議論が全くと言っていいほどなく、 マスコミの意図だの特定個人の身分だのといった枝葉末節に関する議論ばかりが 目立ったように思う。

多少ましなものとして、「脆弱性を発見した場合の連絡方法」の議論はあった。 しかしそれだけでいいのだろうか。ネットワーク関係でボランティアベースの 活動を行っていく場合、メンバーの誰かの過失で今回のような問題が 発生する可能性は否定できない。

今回の件では、集会の主催者団体が報道からまる 4 日以上も経ってから コメントを www に載せるなど、当事者の対応は誉められるものではなかったと 私は考える。問題が発生した際に関係者や周囲がどう行動すべきかについて 考えていく必要があると思う。


*1:office 氏については司法当局が動いているため事実の説明を止めた可能性はある。 その場合でも主催者側は説明を行うべきだろう。
*2:こうした集会でありうる形態であることは個人的には理解しているが、 情報漏洩を心配する方々が理解しているとは限らない。どのような形式で 行われたのか説明する必要があるだろう。


2004/1/9(Fri)

個人情報公表 (続)

いくつかの情報をいただいた。

一つめは office 氏は当該集会の単なる参加者ではなく、主催者団体の主要メンバー として運営側の一員であった ( こちら参照) とのこと。 office 氏自身が コラムの中

10 月 5 日、 6 日、 (中略) A.D.2002 [1] が行われた。筆者は A.D.200x のメンバーとしてこのイベントに参画し、 (後略)

と書いていることとあわせ、氏が以前から運営側として関わっていたものと 判断できる。この点が主催者側の説明で触れられていないのが何故なのか、興味深い。

二つめは会場における (個人資料を含んだ) 資料の扱いについて。 崎山さんが

一般的な告知事項として講演者の用意した資料が会場内でのみ取得可能 な状態にあること (とその方法) がアナウンスされていた

と書いておられること、また私宛に個人的に寄せていただいた情報から、 会場内で資料入手方法についてのアナウンスがあったことは確実と考えられる。 このことから 小島さんによる

もしそのような状況 (今野注: 個人情報が含まれた発表資料が主催者の サーバに置かれて参加者に公開されていたことを指す) にあったのなら、 主催者側から何らかのアナウンスがされてしかるべきだろう。私の知る 限り、主催者側からはそのようなアナウンスはされていない。

という説明が事実に反する *1と判断できる。

(1/10 追記) 小島さんの言う「アナウンス」が会場におけるものではなく、 報道を受けて行われる一般向けの事後報告を指すのではないか、という 指摘をいただいた。確かにそうとも読める。もしそうなら (私の解釈のように) 会場でのアナウンスを指すと誤読されないよう、小島さんに追記していただけると ありがたい。

_ リンク

私の日記にリンクがあった中で、アクセス数が多いものを記録しておく。


*1:「アナウンスされてはいない」が事実とは異なるというだけであり、 小島さんが虚偽を説明しているという意味ではないので念のため。 「私の知る限り」であるから、アナウンスに気付かなかっただけだろう。


以上、5日分です。