お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

CNET Japan ブログ

ユニクロのパスワード漏洩騒ぎとネットキャズム仮説

2010/05/30 12:11
  • このエントリーをはてなブックマークに追加

プロフィール

渡辺聡

インターネット/IT分野で事業開発に携わる渡辺聡さんが、注目ニュースなどを題材に、そのニュースの背後にある本質的な変化とその先行きを、経済や社会との関わりの中で考えていきます。
ブログ管理

最近のエントリー

先週、ユニクロが展開しているネットキャンペーン、UNIQLO LUCKY LINEの利用者パスワードが漏れてしまってるのではないかとの騒ぎがあった。雰囲気としてはこちらのまとめ、「UNIQLO LUCKY LINEがtwitterのユーザー名とパスワードをだだ漏れしてるかもしれない件について」にあるので時系列で問題が伝わり、拡散し、一応の決着を見るまでの雰囲気として見て頂ければ。
 
メディアで詳細な状況レポートとしてはこちらが良いだろうか。テクニカル事象の背景を含めて綺麗にまとまっている。
 
ユニクロことファーストリテイリングのプレスリリース「UNIQLO LUCKY LINEに関するお知らせ」はこちら。
 
これらの記事を端的に要約するとこんなところだろう。

  • ツイッター連動企画として始まったキャンペーン利用者が、画面生成に使う一時ファイルのユーザーデータリストを見つけて「これやばいのでは?」と懸念を表する。
  • 懸念が拡散RTされて、一気に不安が広がる。(この流れがいかにもソーシャル)
  • 各種議論検証が行われ、ファストリ社も公式リリースとして大丈夫宣言を出し、記事としてもまとめられる。
  • 複数の漏れてません大丈夫ついったーがポストされ、更にRTされることでソーシャルにも沈静化の動きが出される。(この流れもいかにもソーシャル)

というところである。
 
以上、一応騒動は言われていたような問題があった訳ではなく、実体のない小火みたいなもので良かった良かったというのが上記経緯から感じとれる一般ストーリーである。
 
上記の流れや解釈に単純に異論を唱えるつもりはない。しかし、もっとややこしい問題があることを浮き彫りにしてしまったなぁ、というのが筆者の正直な感想であった。そして、いまでもこの感覚は変わらずもっている。
 
 

パスワードが漏れてないなら大丈夫?

 
上記のストーリーをもっと端的にまとめると、1)パスワード漏れてない?、2)漏れてませんでした、という2ステップである。
 
漏れていなかったから大丈夫だと言っていいのか。おそらくはそうではない。事態の推移について、普段やりとりする何人かのテクノロジーやセキュリティ周りのプロの方と意見交換しながら眺めていたが、揃えて「これはまずいんじゃないのか」というのが共通見解であった。ユーザー情報管理、セキュリティ周りの運用水準全体への疑義があるというのが解釈視点である。
 
個人情報保護法を持ち出さずとも、ユーザー情報の取り扱いは一般に相当神経を使って為される。そのレベル感は、パスワード使って云々という単純なものに留まらず、そもそもの保有リスクを避けたいがためにユーザー情報を取らずに済む事業モデルを採用するというレベルにまで至る。例えば、テレビ関連の事業者にヒアリングした際に決まって出てくるのが、セキュリティコストや運用の手間を考えるとユーザー情報を預かるのは割に合わないから無しで済ませたい。つまり、ネット的なユーザー登録サービスや連動しての放送サービスは検討に載らないといった話である。
 
その他、個人情報漏えいでの訴訟、PC置き忘れてニュースになった、USB忘れて謝罪のリリース文を出したという話はこのところ収まって来ているが一時期は代表的なコーポレートリスクとして扱われていた。漏洩事件とセットで株価も良く動いたものである。情報機器の運用管理ルールを変えたり外部対応に追われたり、胃の痛い思いをされた方も多いことだろう。
 
ユーザー情報を扱うというのはこの重さ感がセキュリティ管理としては標準的なものというのが業界コンセンサス、少なくともIT関連の事業者や部署でのコンセンサスと考えている。この重さ感覚からすると、万単位の桁のユーザー情報をパスワードが入ってないとはいえ、フラットファイル(テキストファイル)でネットの表から見える位置に置いているというのは扱い感覚が軽い。普通中に置くかせめて暗号化しない?というのが識者揃っての声である。推移を負っていると、後から幾つかセキュリティ対策を追加している様子から、サービス設計の際に事前チェックが十分に機能していなかったことが伺える。
 
つまり、チェック体制が不十分であり、不十分である可能性に思い至る習慣が薄い組織状態にあるのでは?というのが疑義の内容である。
 
ただし、十分な検証を行っての話ではなく直観レベルの推測に基づいたもの、確定事象ではないということは追記したい。やたらとユニクロへの不安を煽ることが本記事の意図ではない。今回の件に限るとユニクロに責があるかというのは非常にややこしいテーマについて議論の上でないと正確に判断は出来ない。その辺のややこしさを一端にはなるが後半でまとめてみたい。
 
 

ネットキャズム仮説

 
Twitterを使ったキャンペーンであることもあって、当然ながら事態の流れはTLで眺めていた。眺めていて顕わになったのがいわゆるテクノロジー業界というかIT業界の人と一般ネットユーザーの間にある受け止め方の違いである。
 
上記の「大丈夫?これ」というのはIT業界のプロに共通した見立てである。反対側で、漏れてないから大丈夫という告知支援RTはネットユーザー、及びネットに詳しい人達(典型的にはアルファブロガーと呼ばれるような層が代表イメージとなる)を中核としたクラスターでの出来事であった。
 
両者が同時に混在したTL、安心安堵の声に定まっていくクラスターと「うぅん、これはちょっと・・・」という声の残るクラスターを見ると両者の乖離を嫌でも気付かされる。これはいったいどういうことなのか。
 
ここ数年、プライバシーや個人情報の取り扱い技術や関連の制度設計のお手伝いをしていた。省庁の関係者や各種団体、主要事業者の皆さまとの意見交換もかなり多くさせて頂いている。
(事業者の動向や意識調査のため、ヒアリングにご協力頂いた各事業者の方々にはこの場を借りて改めてお礼を申し上げたい。)
 
業界の大手や、何がしか特徴のある会社を中心としての調査だったため、必ずしも全体平均の動向を追えているという保証はない。しかし、いわゆるネット系も含めた事業者の方々の声は前半にあるように何かあってからでは取り返しのつかない信用ダメージを負いかねないというピリピリしたものであった。
 
これは、度々ニュースになっていたというメディア意識みたいなものというよりは、各種炎上事件や訴訟を踏まえて、消費者側からの暗黙のプレッシャーからの安全確保という見えなくて恐ろしい相手とシャドーボクシングをしているような感覚を背景にしている。
 
消費者の潜在顕在に跨っての権利侵害を気にして事業者があちこち存在する反面、当の消費者が「パスワード漏れてない。公開情報。うむ、問題ない」という反応はどう解すればいいのか。一部とはいえ、リテラシーが高まって来て、以前ほどのリスク対応レベルは維持しなくて良くなっているのか、シャドーの相手は本当はいなかったのだろうか。文字通りの一人相撲だったのか。
 
同時に、広告業界販促業界の方のやりとりして「えー、フラッシュとか使うとこんなの普通にやるよねぇ」との声である。技術というか実装仕様としては分からなくはない。ないのだが、これも上記と同様に、コーポレートリスクとして管轄している部署や、総務経産など各所での検討懸念レベルと調和しない。
 
両者の間にある、キャズムのごとく埋めがたい溝、認識ギャップが感じられる。このギャップについては簡単に調和解決する類の課題でないことは確認するまでもない。簡単だったら各種プロジェクトや検討があんなに混迷してない。よってシナリオイメージとしては当面埋まらず、且つ埋まる方向に事態が推移するとしてもその間は両者の文化の違いによる行き違いや大小のトラブル、矛盾を含みつつ事は進んでいくとの想定で組むのが自然なところとなる。相互コミュニケーションの少ない業界間ギャップというのは埋まりがたいものだというのは摂理に近い理解の仕方となる。
 
長くなってしまったので、最後に面倒なファクターを加えて〆たい。
 
今世の中で進みつつあるのは、クラウド&スマートフォンという利用形態の広がりである。つまり、これまでよりも集積したデータの塊を背景にもったサービスが増えやすくなり、より多様なリテラシーを持ったユーザーがカジュアルにサービス利用を行うトレンドである。
 
むろん、この流れはネットワークや情報技術の活用普及という流れでは望ましい方向感のひとつである。しかし同時に、本項で懸念表明したリスクについては、むしろ深刻化するのではという気配を感じずにはいられない。

※このエントリは CNET Japan ブロガーにより投稿されたものです。朝日インタラクティブ および CNET Japan 編集部の見解・意向を示すものではありません。
運営事務局に問題を報告

最新ブログエントリー