(例として東証一部上場)
問題とは「そのサイトの利用者に関する情報を知ることができてしまう」です。
名前、住所、電話番号以外なので個人の特定は難しいですが
仮に自分のこれらの情報が他人に知られるとかなり気持ち悪いですし、
そのサイトに対して凄く腹が立つという内容だとします。
こういった情報が公に出るとSNSなどで一言話すだけであっという間にひろがり
間違えなくネットやテレビなどのニュースにも流れてしまう気がします。
「誰だかわからないんだからいいんじゃないの」と思う方もいると思いますが、
企業のイメージダウンは間違え無いと思います。
この問題は解決するために最低でも2〜3時間は必要で、
もしかしたら数時間サイトの運用を止める必要があるかもしれないとします。
そこで沢山の質問です。
見つけた側と見つけられた側で考えて下さい。
文字数オーバーのため、質問はコメント欄に記載します。
よろしくお願いします。
以前、ある和菓子屋さんのWEBサイトでオンラインショッピング中に、過去に購入した人の個人情報が見えてしまう問題を見つけたことがあります。
まんま名前、住所、電話番号まで書かれていました。
1.こういったことを知た人は何らかの罪になりますか?
故意なのか過失なのかによって、また使った手法によって話が異なるのです。私の場合は本当に偶然でした。
「知ることが出来そうと思って、調べた」場合、場合によっては罪に問われます。
2.知った人が黙っていれば誰も知らずに済むと思いますが、わざわざ企業に教えると逆に犯罪者扱いされますか?
私の時はなーんのレスポンスもありませんでした。感謝もなければ犯罪者扱いもなく。
3.このことを当該企業に買い取り要求するのは脅迫罪か何かの罪になりますか。
恐喝罪になる可能性は十分にあると思います。
4.この情報をどこかの誰かに売ることは罪になりますか?
買い取った人がそれを使って犯罪を行った場合は、売った人も幇助犯とされることは考えられます。
5.こういった情報を公にするのは罪になりますか?
4番と同じです。
6.その会社の株を信用で売れるだけ売ってから公にするのは罪になりますか?
金融商品取引法第百五十八条で、株の相場を変動させる為に不正な行為を行うと罪になるぞと書いてあります。
7.こういう投稿を見ると、各企業は「どきっ」として、念のため自社サイトを一通りチェックしたりすると思いますか。
しないと思います。具体的に自社を名指しで警告されているとしたらチェックするかも知れません。
8.あなたがどこかの企業のweb担当、システム担当者だったらこの投稿を見て一通りチェックしますか?
今の私の仕事はあなたが書くところの「システム担当者」(大手企業と言うほどではありませんが)ですが、この投稿を見たからと言ってチェックはしません。
9.あなたがそういう情報を知った場合はどうしますか?
メールにて無償で教えました。
10.あなたが当該企業の社長として、この情報を教えてくれた人がいたらどうしますか?
(教えてくれた人は金品の要求はしてきていません)
重要度にもよりますけど、メールくらいは送るかなと思います。
11.あなたが当該企業の社長として、買い取って欲しいと連絡があったらどうしますか?
重要度と金額にもよりますけど、誓約書を書かせます。
12.あなたが当該企業の社長として、こういった情報が公にされたらどうしますか?
影響度を調べます。該当する顧客には一報を入れますが、その上でプレスリリースを出します。そこから先は被害の状況によって対応を変えます。
1 なる可能性があります。
過去にoffice事件とyahoo事件があります。
前者は、サイトの脆弱性を発見し脆弱性があることを確かめそれを公表し逮捕されました。
後者は、yahooアカウントのIDパスワードがwebに書き込まれ、それを見た人が善意で
そのパスワードを使ってログインし、パスワードが公開されたことを知らせたことにより
逮捕されました。
2 知る過程に法律違反があれば犯罪者扱いですね
3 当然なるでしょう
4 売った先で犯罪に使われたり、犯罪に使われることを知って売った場合はあぶないですね。
幇助に問われる可能性があります
5 罪になった話は聞いたことがないです。
6 あなたが会社の関係者(社員・役員・取引先)でなければ問題なさそうです
7 そういったことはありふれてるので、チェックしないでしょう
8 情報があやふやなので、チェックしようがありません
9 脆弱性の観点からは、JPCERT/CCに通知するのが安全な方法かと思います。(警察や行政経由でもよいですが)個人情報の観点からは、国民生活センターか消費者庁の窓口もよいかもしれません。
10 何もしません。
11 警察に電話します
12 穴を閉じる。担当行政に連絡。プレス発表。再発防止、啓蒙。ある意味定型作業
ありがとうございました
現在企業が情報流失させた場合に罰する法律はありません。
一方、個人がそれらを指摘すると、不正アクセスとして逮捕する方針のようです。
つまり、企業サイトの不備は指摘するなという政府方針です。
気になる場合は、まず警察に相談しましょう。
そうしておいて追い返されたら、大威張りでHPでも掲示板でも書き込んでやってください。
匿名で相手企業に通告すると逮捕される可能性があります。
まず警察にアリバイを残しましょう。
ありがとうございました
ありがとうございました