ファミリーマートの機密情報漏えい事件(「香川真司」画像のツイッター投稿)

ファミリーマートの機密情報漏えい事件(「香川真司」画像のツイッター投稿)

.*.

ファミリーマートはホームページに謝罪文を載せた。

https://www.family.co.jp/
https://www.family.co.jp/company/
https://www.family.co.jp/company/news_releases/2013/130720_1.pdf
『2013年7月20日
ファミリーマート加盟店従業員に関するお詫び 
平素よりファミリーマートをご愛顧賜りまして誠にありがとうございます。
このたび、ファミリーマート加盟店の従業員が同店の防犯カメラで記録した映像をインターネット上に公開していることが判明いたしました。
関係各位には、多大なるご迷惑をお掛けしましたことを心からお詫び申し上げますと共に、今後同様の事態が発生しないよう、コンプライアンス指導を再徹底してまいります。
以上』

これだけの短いものだ。

.*.

事件の概要(ネット情報の聞きかじり)

小田原市にある「ファミリーマート木村入生田店」。7月15日の朝、帰国中のマンチェスターユナイテッド所属「香川真司」選手が来店したらしい。それを聞いた別のアルバイト店員(19歳、大学生)が防犯カメラの録画映像を確認して、自分のスマホで撮影した。撮影した映像は7月19日夜、ツイッターに投稿された。

アルバイト店員のツイッターはその夜のうちに炎上を始め、ファミリーマートの店舗、店員の名前、通学先などが特定されてしまった。問題の店舗には翌20日朝に通報され、店員は解雇、ファミリーマートは謝罪を出した。広報担当はもし「香川真司」本人なら謝罪したいと答えたらしい。

.*.

(疑問)


  1. ファミリーマートはこれで一件落着と思っているのだろうか?。
  2. ファミリーマートが言う「コンプライアンス指導」って何だろう?。

.*.

ISMSチェック:順不同

  1. 「香川真司」本人なら謝罪すると受け答えした広報担当は駄目だろう。誰が移っていようが謝罪しなければいけない。誰であれ知り合いなどが見れば本人が特定され想定外の悪用も懸念される。ファミリーマートは有名人でなくても誰であれ謝罪すべきだ。こういう基本的なことを本社の人間が分かっていないのだからコンプライアンス指導は自分自身に向けられるべきだ。世間に恥をかいていることを分かってください。常識的には香川選手に確認の連絡をファミマ側から取るべきだろう。少なくとも店員が其の名前で映像をアップしているのだから。全く上から目線の対応だ。
  2. アルバイト店員は容易に防犯カメラの録画映像を見ることが出来ること自体に驚く。画像情報はHDDかテープに保管されている筈だが、ファミマのバイト経験者なら誰でも見ることが出来るのか。もし、万引きの様子を確認するなどの目的で、容易に閲覧できる環境がファミマの裏側にあるのなら、権限設定(アクセス制御ポリシー)が妥当かどうか検証すべきだ。全くフリーにしておいて、教育指導で全部カバーするのは無理がある。
  3. 特に録画映像の削除の権利がどうなっているかは重大だ。同様に関し装置の電源コントロールの権限も重要になる。本部スタッフが持つ権限、店長が持つ権限、アルバイト店員が持つ権限。これらの仕分けが適切でなければ、コンプライアンス指導は口先だけに終わる。
  4. 画質も問題だ。本人かどうか分からないような画質の防犯カメラを置いて何か問題があっても使い物にならないなら防犯カメラの意味が無い。ファミリーマートの広報の言い方は現地に画像の確認に行ったかどうか分からないが「画像からは確認できませんでした」すなわち劣悪画像の防犯カメラですといっているようなもの。
  5. バックヤードにも監視カメラが必要だね。
  6. 炎上などと大騒ぎになっていなくても、類似事例が過去になかったかどうか調査することも必要だろう。其の上で本当に有効な再発防止策を打つべきだ。コンプライアンス指導で一本釣りしている対応はファミリーマートの情報セキュリティ管理のレベルが不十分なものであることを伺い見せるものだ。
  7. メディア(HDD/TAPE)の管理状況も気に成る。基本的には消耗品だ。何処で誰の責任で廃棄されるのか。入れ替え作業の手順は適切かなど。かぎ付きの保管庫の存在、かぎ管理なども。ファミリーマート本部からは有効なマニュアル類が提供されているか。もし何もなければファミリーマート本部の言うコンプライアンス指導の中身も怪しくなる。

.*.

このような問題・事件はファミリーマートに限らない。録画・録音を顧客との接点で行う企業はいくらでもある。下手すれば似たような状況に追い込まれる。

店舗であれ、コールセンターであれ、適切な管理手順、管理環境、法廷問題で使える十分な品質と保管期間の設定をしているかなど、再点検すべきだろう。

この事例は又、SNSの炎上がもたらすインパクトを理解するうえでも有用だ。

.*.

記事タイトルに「機密情報」と入れたが、ファミリーマートが来店者の画像情報を機密情報として認識していたかどうか大いに疑問であるため、敢えて入れたものです。

画像認識技術が高まった昨今では、とんでもない悪用も想定しなければいけないだろう。

.*.

<Pマーク認証の有効性>

 Pマーク取得のロゴ"P10840217(04)"がホームページに掲載されている。従来からPマーク認証ではマネジメント品質への有効性は疑問視されていたが、今回は其れを露呈した格好になる。

 ファミリーマートは今回の事件を契機にISMS認証への取り組みも検討せざるを得ないだろう。もっとも審査機関・審査員を間違えると元の木阿弥になります。

.*.

<必ずお読みください>

◆コメントについて

内容見直しの機会としてコメント可能としています。但し、採否・削除は勝手に行いますので予めご了解ください。

◆注意事項

当ブログは独断と偏見を排除しない私用目的のものです。不適切な内容を含む可能性がありますので注意してください。

組織・個人・商品・サービス等について固有名詞が引用されますが、関連考察は誹謗中傷を意図したものでは有りません。また内容の真否は一切確認しておりません。鵜呑みにしないでください。

記事は同じような内容が繰り返し記載されたり、矛盾することが記載されたりします。事実誤認もあります。これらの修正は必ずしも行うものではありません。

◆禁止事項

ブログ訪問者は直接閲覧すること以外の行為は遠慮してください。ブログ内容の一部または全部に関わらず、印刷、コピー、ダウンロード、保管、編集、利用、及び他の人への紹介・情報提供等を禁じます。

2004/04/01

人気の投稿:月間

  • 問題の審査機関(日本法人)では良い審査が出来ない理由
    問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
  • ASRエーエスアールの話が良く出てくる
    ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
  • (ISMS) 教育と周知の違い
    (ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...
  • ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください
    ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
  • 準備工数とか移動工数とか
    審査工数は組織に出向いて行う審査のほかに当然ながら準備の工数も発生する。準備工数が取れていない審査は適切な審査か疑わしい。そういうことだ。 ガイドライン(実際何処にガイドラインがあるか分からないから、そのうち確認する必要がありそうだ)で、例えば10人日とある場合、これは準備のた...
  • 審査をうまく進めるポイントは「お茶と弁当」?
    審査をうまく進めるポイントは「お茶と弁当」? お茶は自販機、お昼は好きなお店でどうぞ。なんてやると、審査員は気合が入る。気配りも何もない会社は”どうせ”問題が転がっているものだ。 かと言って女子社員とかケータリングサービスでお茶だコーヒーだと次々とサービスするのは、煩雑で...
  • 『ビーエスアイ(BSI)英国本社は立派だけど日本法人は残念?』
    bsi. Pointglobalログイン画面 『ビーエスアイ(BSI)英国本社は立派だけど日本法人は残念?』 https://pga.bsigroup.com/ ※ 情報セキュリティの審査はもはや最低レベル? 日本IBMの人が徐々に一線...
  • 同じ居室内に違う会社?
    同じ居室内に違う会社が席を並べることは珍しいことではない。 先に問題になった偽装派遣は殆どが該当。偽装でなく、正しく業務委託(請負)の場合も、オフィスに同居して、ある一角を請け負い先が占めることがあるし、中には委託元の社員にサンドイッチのこともある。 業務...
  • ISMS審査業界<JQA vs. BSI>
    ISMS審査業界<JQA vs. BSI> ISMSの審査では2強の形になってきた。以前はBSIの独壇場だったが相次ぐ戦略ミスのためにみすみすJQAの大接近を招いた。 統合審査はQMSのカスタマーベースを多く有するところに優位に働くという簡単なこ...
  • 審査員は謙虚か傲慢か?
    審査員は謙虚か傲慢か? 審査員は謙虚であれ!と言うもののお目にかかるのは傲慢な審査員ばかり? 倫理的行動を審査員は求められる。公務員も似たような倫理規定を被る。どの企業に勤めていて同じようなものだが、フェアネスのためにはその意識を強くしないといけないと言うことなんだろう。...

人気の投稿:年間

  • 問題の審査機関(日本法人)では良い審査が出来ない理由
    問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
  • ASRエーエスアールの話が良く出てくる
    ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
  • (ISMS) 教育と周知の違い
    (ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...
  • ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください
    ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
  • 準備工数とか移動工数とか
    審査工数は組織に出向いて行う審査のほかに当然ながら準備の工数も発生する。準備工数が取れていない審査は適切な審査か疑わしい。そういうことだ。 ガイドライン(実際何処にガイドラインがあるか分からないから、そのうち確認する必要がありそうだ)で、例えば10人日とある場合、これは準備のた...
  • 同じ居室内に違う会社?
    同じ居室内に違う会社が席を並べることは珍しいことではない。 先に問題になった偽装派遣は殆どが該当。偽装でなく、正しく業務委託(請負)の場合も、オフィスに同居して、ある一角を請け負い先が占めることがあるし、中には委託元の社員にサンドイッチのこともある。 業務...
  • 遠隔診断用及び環境設定用ポートの保護とは?
    遠隔診断用及び環境設定用ポートの保護とは? コンピューターを外部と接続させるポートには幾つかあるらしい。このポートは脆弱性の一つにされることもあるため適切に保護しなければならない。相手を特定したり、通信プロトコルを特定したり、多分、するんでしょう。 遠隔診断、環境設...
  • 観察事項のグッドポイントって何ですか?
    審査結果報告にある観察事項のグッドポイントって何ですか? 観察事項としてグッドポイント(良い点)を残すケースがある。これが実に理解できない。余計なお世話と言って嫌がるクライアントもいるとか。確かに、経営陣がドライブしようとしていたことに触るような話が出たら返ってやり難さがある...
  • 適用範囲の変更に伴う特別審査
    適用範囲を変更する時は認証の前提が変わるので変更による規格適合性からの逸脱の有無を確認する特別審査が実施される。 ロケーションの変更: 最も多くのケースがこれ。サイトの引越し。住所の変更にともない、環境も変わる。同一ビル内でもフロアや占有スペースの場所が変わるケースは住所...
  • 日本を狙う標的型攻撃「LODEINFO」「Earth Yako」
      自分はそんな大事な仕事をしていないから関係ないと思えばそれまで。だれがいつどのような意図を持つか分からないと思えば注意深くなれる。 > https://internet.watch.impress.co.jp/docs/news/1508514.html 個人のメールアドレス...

人気の投稿

  • ASRエーエスアールの話が良く出てくる
    ASRエーエスアールの話が良く出てくる でも評判が今一。何故だろう。噂では工数単価が相当安いということだが、審査業界の秩序破壊という意味で悪評判なのか、審査の質が悪いという意味で悪評判なのか、本当のところはよく分からない。 既存の審査機関は敷居が高い。こういう新手の...
  • 問題の審査機関(日本法人)では良い審査が出来ない理由
    問題の審査機関(日本法人)では良い審査が出来ない理由 「 BSIジャパンでは良い審査が出来ない訳がない理由 」とも読める。最低と最高が同居するのがこの審査機関だろう。良し悪しは審査員によるということだ。他所の審査機関も基本的には同じだね。一人でも馬鹿が居れば審査機関の評...
  • 経営者インタビューの要点
    経営者インタビューの要点 トップインタビューの要点 → 経営者インタビューの要点 昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規...
  • クリアデスクは時間の無駄?
    クリアデスクは時間の無駄? クリアデスク方針を改めて考えてみると、本質と言えるものは何かを考察することになるように思う。 クリアデスクは基本的には、自分が業務で利用する情報を不用意に第三者の目に触れたり、第三者により持ち出されたり、破損されたりすることを防止するため...
  • ISO 27002 :2013関連情報
    ISO 27002 :2013関連情報 いろいろ資料が回ってきた。これからも結構大変だね。こういう大事な資料を継続的に入手できないものだろうか。定期的にサイトを閲覧するしかないかな。頑張っている人がたくさんいるんだ。感謝ですね。 さてと、 要求規格ISO2700...
  • ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください
    ご利用の Apple ID のパスワードリセットまたはロック解除を行ってください こういうタイトルのメールが送られてきた。 どうすればいいの?。 > 送られてくるのは、Appleに限らない。Amazonであったり、Googleであったり、普通にクレジットカードとか、...
  • (ISMS) 教育と周知の違い
    (ISMS) 教育と周知の違い 人に関連するセキュリティ施策として、「教育」とか「周知」とかの話が出てくるが、この2つがあまり区別されていないようだ。常識的に理解できることだから殊更この2つの言葉を取り上げて何かを言う必要はないのかもしれない。しかし、組織のキーマンが混...
  • ASR :エイエスアール株式会社
    ASR :エイエスアール株式会社 あまり馴染みのない会社ですが、設立は2000年。審査機関として10年以上の経験があるのかな? http://www.armsr.co.jp/index.html 2011年11月の審査実績がJIPDECのデータでは38件。この件...
  • 名簿業者も利用者も違法行為?ベネッセもジャストシステムも説明責任を果たしていない?
    名簿業者も利用者も違法行為?ベネッセもジャストシステムも説明責任を果たしていない? ベネッセの罪: http://www.benesse.co.jp/ 預かった個人情報は適切に管理する義務を果たさなかった。基本的に契約違反だ。ミニマムでも1件につき\50...
  • 嗚呼、勘違いの情報資産台帳
    嗚呼、勘違いの情報資産台帳 情報資産台帳を単純に考えれば情報資産だけをリストにしたものになります。 ですから、多くの組織では情報資産を前提に洗い出しを始めます。ところが状況によっては単純には行きません。作業はもっと深くなる。情報資産の1つである「資産台帳」自身が...