2016年11月18日

株式会社PFUが個人情報を暴露

 〔約3400文字|読了の目安:6.8分〕

 富士通が販売しているスキャナー ScanSnap iX500A は、関連会社の株式会社 PFU が開発、サポートしている。
 ScanSnap iX500A は 300dpi 以下でスキャンするとすごく汚くなる という記事を書いたところ、PFU の関係者が激おこぷんぷん丸 ٩(๑`^´๑)۶ らしく、コメントに私の個人情報を書き込まれた(すぐに消した)
 なぜそれを書き込んだのが PFU の関係者だとわかるのか、ということを以下に説明する。一言でいうと、PFU にしか伝えていない情報が含まれていたからだ。

サポートとのやり取りの経緯

※最初の問い合わせフォーム以外はすべてメールでのやり取り。

日時 送信元 内容
8/4ごろ 富士通の問い合わせフォームから、圧縮率を変えてもノイズがほとんど変化しないという iX500A の不具合について問い合わせる。
メールアドレス・名前・郵便番号・住所・電話番号が必須であり、これらの個人情報が富士通に渡った
8/5 11:00 PFU 技術部門で確認中。
(私の個人情報が富士通から PFU に渡ったことがわかる)
夏休み?
8/25 10:42 PFU スキャナーに問題はない。
8/25 14:18 300dpi だとノイズが多いが、600dpi だと多くない。600dpi でスキャンして 300dpi に縮めたらきれいになるという証拠の画像を提出。
8/25 15:28 PFU 技術部門で確認中。
残暑休み?
9/30 23:48 不具合と関連していそうなネット上の情報を提出。
10/4 16:55 PFU こちらでは圧縮率に応じてノイズの量が変わる。スキャナーのソフトウェアのバージョンはいくつか。またスキャンしたままの画像を送って欲しい。
10/4 17:31 iX500A はレンタルで借りており、今は手元にない。スキャンしたままの画像を送る。
(ここで、私が iX500A をレンタルしたことが PFU に伝わった
10/5 10:12 PFU 技術部門で確認中。
秋休み?
10/28 10:31 PFU こちらでは圧縮率に応じてノイズの量が変わる。300dpi と 600→300dpi に縮めたものに関しては、300dpi は画質が低下するのでご了承ください。
10/31 11:45 ScanSnap iX500A は 300dpi 以下でスキャンするとすごく汚くなる のアドレスを PFU に送信する。

当のブログ記事へのコメント

※コメントの内容はこちらを参照

日時 IPアドレス 内容(補足)
10/31 13:18 153.197.99.192
(p231192-
ipngn200305kanazawa.
ishikawa.ocn.ne.jp)
酷い酷評ですね〜

(IP アドレスは 見ての通り石川県。PFU の所在地も石川県。記事のアドレスを PFU に送ってから 93 分後の書き込みであり、PFU の関係者と見て間違いない。アクセスログにも PFU サポートからのアクセスが残っている)
10/31 18:14   (このコメントは今回の件とは関係ないと思われる)
10/31 18:55   (私の返信)
10/31 19:15   (私の返信)

 ここ以下のコメントは削除済みだが、記録を残してある。

日時 IPアドレス 内容(補足)
11/01 07:40 49.97.109.30
(sp49-97-109-30.
msc.spmode.ne.jp)
こいつ馬鹿じゃねえの? 買っても無いのに文句言ってんの? 買う金も無いのに文句だけ一人前かよ〜

(ブログに書いていないのに、私が iX500A を購入していない・レンタルであることを知っている。私と PFU の他にこのことを知っているのはレンタル会社だけだが、一顧客である私がこのブログを書いていることをレンタル会社が知る術はない)
11/01 08:32 49.97.109.30
(sp49-97-109-30.
msc.spmode.ne.jp)
(個人情報の書き込み)

(↑と同一 IP。私の氏名・住所・電話番号を書き込み)

#spmode とは、ドコモのスマートフォン用プロバイダとのこと。

まとめ 

 ブログ記事に対し、最初に PFU の関係者と思われる人からのコメントの書き込み。IP が PFU と同じ県であることを指摘したせいか、その後その IP からの書き込みはなし。

 翌日の朝、ドコモのスマホから「買っても無いのに〜」の書き込み(スマホの IP から都道府県は特定できないっぽい)
 1時間後、同 IP から私の個人情報の書き込み。

●個人情報を書き込んだのが PFU の関係者である根拠
 ・最初に PFU の関係者がコメントを書き込んだ可能性が大。その後、都道府県の特定を防ぐためにスマホで書き込んだことが考えられる。
 ・私の個人情報を書き込んだ者は、私が iX500A を購入していないことを知っている。それを知っているのは、私・レンタル会社・PFU のみ。レンタル会社が書き込んだ可能性はない。
 ・私の個人情報は PFU に渡っているため、PFU の関係者が書き込むのは容易。
 ・私はネット歴が20年くらいのネット中級者で SNS も利用しておらず、ネット上で個人情報が漏れているとは考えにくい。
 ・私の個人情報を書き込んだ者は、PFU の関係者が書いたと思われる最初のコメントに対する私の返信に対し、過剰に反応している。同一人物である可能性がある。

どういう問題になるのか

●個人情報保護法
 http://www.ppc.go.jp/personal/general/(解説)
 http://law.e-gov.go.jp/htmldata/H15/H15HO057.html(条文)

○個人情報は利用目的を特定し、それ以外の取り扱いは禁止する。
 →業務上知り得た個人情報を、相手を畏怖させるために使用してはいけない。

第十六条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

○漏洩を防ぐために適切に管理しなければならない。
 →不特定の目に触れる場所に書き込んではいけない。

第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

○企業は、社員が個人情報を適切に扱うよう監督しなければならない。
 →勝手に社外に持ち出し、ましてやネットに書き込ませてはいけない。

第二十一条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

○安全に管理するため、委託先に適切な監督を行わなければならない。
 →富士通が PFU に個人情報を渡したなら、富士通が PFU を監督しなければいけない。

第二十二条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければいけない。

○企業は、個人情報について苦情があったら、適切に対処しなければならない。

第三十一条 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。

 富士通の個人情報保護ポリシー
 PFUの個人情報保護ポリシー


●民法第709条 不法行為
 https://ja.wikibooks.org/wiki/民法第709条

○不法行為をした加害者は,不法行為によって生じた損害を賠償する責任を負う。

故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は,これによって生じた損害を賠償する責任を負う。


 悪意を持っている匿名の相手に個人情報を握られているというのは、それだけで本人を畏怖させる効果がある。どこかの匿名掲示板に書き込まれるかもしれないし、変な物を送りつけてくるかもしれない。自分だけならまだしも、家族に迷惑がかかると家庭不和になりかねない。記事を削除させようという意図も感じられるため、威力業務妨害罪にもなり得るのではないかと思う。
 あとプライバシー権の侵害もありうる。


 続きはこちら
 株式会社PFUが個人情報を暴露 その2

posted by 葛 at 11:07 | Comment(0) | 語ってみた
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

※ブログオーナーが承認したコメントのみ表示されます。