2012/02/29
12:46
Tag: 現在はインターネットでさまざまな情報を確認したり、会員登録することで自分が使用しているサービスの詳細情報を確認したりできますね。
TwitterやFacebook、foursquareなどのSNSは、自分で登録して入力していくので、自分でどこまで情報を出すかはコントロールできます(例外もあります(汗))が、今利用しているサービスをネットで会員登録することで確認する系のサービスは注意が必要です。
クレジットカードの利用明細とか、携帯電話の利用明細とか、ポイントサービスの利用状況とか、色んなことが会員登録(ユーザー登録)することでネット上で確認できますよね。
今話題になっているのが、PASMOの乗車履歴問題です。
実際にPASMOの登録ページを見ると、明らかにまずいです。
これで登録できるとなると、例えば職場の人のカード番号を知れば、残りの情報を知ることはたやすいでしょう。ネット上(Facebook等)でカード写真をアップしていると、残りの情報も一緒にアップしていたりするでしょう。
この件で問題なのは、「カード番号を死守しないと乗車履歴がばれちゃいますよ!」ということをどれだけの人が知っているか、ということなんです。(高木浩光さんもおっしゃっていますが)
私はSuicaユーザーなので知りませんでした。PASMOユーザーでも100%の人が知っているわけではないでしょう。
この程度の情報で本人認証されてしまうサービスは非常に危険です。
この問題を見た時、正直ネットが怖くなってきたので、自分が利用しているサービスが、どの程度の情報を入力して個人認証しているのか、少し確認してみました。
- auお客さまサポート
電話番号・暗証番号(4桁)・生年月日orお客さまコード - My docomo
電話番号・暗証番号(4桁) - auじぶんカードポイントプログラム
ポイント番号・生年月日・郵便番号 - 各種クレジットカード
カード番号・有効期限・氏名・電話番号・生年月日・口座番号(一部)等 - T-ID(Tポイント履歴確認可能)
カード番号・生年月日・性別 - Suica
ネットチャージのみ可能
載せたのはあくまで一例ですが、例えばケータイ会社だと暗証番号が実質本人認証手段といえます。4桁は心許ないですが、契約後すぐにサポートに登録してパスワードを設定する人がほとんどでしょうから、実質的な問題は発生しにくいでしょう。
ネットバンキング・クレジットカード類はカードに記載されている番号が生命線になりますので、安易に他人にカード番号などを見られないようにする必要があります。(皆さん既にご存知ですよね)
気になったのはT-IDで、カード番号で登録するとTポイント獲得履歴が確認できます。
どの店舗でポイントを入手したか見れるので、店舗名から行動パターンがある程度把握できてしまいます。ちょっと怖いですね・・・
ということで、もうネット上でのパスワードをきちんと管理するだけでは個人情報を守りきることはできません。
PASMOの例は完全に企業側に落ち度があるとはいえ、これからは自分が利用しているサービスについて、ネット上でどうなっているかをしっかり把握した上で利用していくしかないでしょう。
Tポイントについては、早めにT-ID登録して、パスワードできっちりガードしたほうがいいと思います。
<3/13追記>
SAPICA・nimocaでも、PASMO同様の事態が発生しているようです。
→札幌「SAPICA」や福岡「nimoca」でも、履歴をネットで他人から見られる仕様 - INTERNET Watch
