後援会員受付ページのSSL化完了と個人情報取り扱いの難しさ

以下の12月3日朝10時頃の記事。

今気がついたがモンテディオの会員申し込みページはSSLじゃない・・・

某氏の指摘で気がついたのですが、休日だったにも関わらず、記事掲載の翌朝までにSSLが実装されたページが公開されたみたいです。SSL証明書発行日時は12月4日0時13分頃。phpの更新時間履歴を見てみると、その深夜にソース変更をされたようです。

日本ジオトラスト社の即時発行可能な証明書発行サービスを使われたようです。即時発行が可能なサービスって少ないし、ある程度信頼できる証明書発行元という事も考え合わせるとベターチョイスだったのではないでしょうか。

このブログ記事の影響があったのか、なかったのかよく分かりませんが、早急にSSLが実装されてよかったよかった。SY21の担当のみなさま有り難うございました。

余計なお世話かも知れませんが、SSLがない「http://member.montedio.or.jp/mbr/mbr_enter.php」もまだ生きているので、念のためHTTPの80番ポートは閉じた方が良いんじゃないかとも思うのですがまあいいや。

でも経路を暗号化したから安心だってことではなくて、一番注意して欲しいのは取得した情報の取り扱いだと思います。世の中では結構杜撰な取り扱いがされるケースが一般的に多いと思うのですよ。

私は一時期、情報セキュリティアドミニストレーターの勉強していたので、後援会員の個人情報の取り扱いって結構気になっていたりします。

んなもんで色々リスク要因や対策の詳細を書いたのですが、無粋なので消しました。

エッセンスとしてはこんなところかな。

・個人情報ファイルはサーバーに保存し続けない。
・個人情報ファイルは常時暗号化の上、取り扱う。
・個人情報にアクセスできる人を限定する。
・許可が無い外部持ち出しは厳禁。特に自宅持ち帰り、私用PCでの取り扱いは以ての外。
・メールは盗聴が容易な為、非暗号化ファイルは絶対に添付しない。
・業務委託先にも自分たちと同様の取り扱いルールを徹底させる。

ちなみに暗号化についてはZIPパスワードとかエクセルのパスワードとかは簡単に解析されるので絶対にダメだかんねー。フリーウェアで暗号を掛けるソフトもある（自分は個人利用ではフリーのAES128/256ビット暗号化ソフトを利用）けど、法人が使うんだったら商用の暗号化ソフトがベターだよなぁ。

このあたりが参考になる記事群。

http://www.itmedia.co.jp/news/privacy/

そんなんメンドクセーってのが世間一般の反応とは思うのですが、杜撰に取り扱った末の情報漏洩で失う信頼ってのは、なかなか取り返せないものです。
リスク分析をして丁寧に扱った上でも漏洩のリスクは0にはなりませんが、事前対策に加え、万が一の漏洩が合った場合も、きちんと原因分析と正直且つ的確な顧客へのフォローを行えば、失う信頼を最小限に食い止めることが可能です。

モンテディオと関係の深い旧日本信販（現UFJニコス）は以下の事件の前科もあるので結構私辛口です。モンテディオ山形NICOSプレミアムカードを作る気が更々起きないのもこれが理由。

日本信販、カード番号含む個人情報10万人分が流出の可能性 [ITmedia]

モンテディオがPマークを取ったら結構話題になるんじゃないかと思うけど、そんな余裕はなかなか無いだろうなぁ。