Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

個人情報を管理するということ

Twitterはバカ発見器である。TSUTAYAにはこの”ネット格言”が身にしみた事と思います。

news.biglobe.ne.jp

このアルバイト店員は勤務中、客が「韓国人の紅白取り消しになった男のアイドル、頭おかしい」とBTSに関する会話をしていたのを聞き逆上。BTSの所属事務所が、アーティストに非はないと声明を出しているとして、「許さないからな」とTwitterに投稿。さらに、「個人情報を取り扱う仕事上、名前から性癖まで暴露可能だ」と続けた。この投稿は、既にアカウントごと削除されている。

投稿がTSUTAYAの店員のものだったのか広報に確認したところ、同社は「アルバイトスタッフによる投稿で間違いない」と回答。既に「投稿の経緯など事実確認を行い、現在、対応を検討中」とした。個人情報の取扱いについては、店員は必要な個人情報を閲覧することができるが、アクセス権限を設けたり閲覧履歴を記録するなどして適切に管理していると説明。また、SNSの利用マナーやルールについても、本部がガイドラインを用意し各店舗に教育を行っていたという。今回の問題を受けTSUTAYAは、「ご不安やご不快な思いをおかけして大変申し訳ありません。対応を検討し再発防止に努める所存です」と謝罪した。

ビックローブニュース記事より引用)

 

◆キタきつねの所感

韓国アイドルグループの原爆Tシャツ着用問題に起因して、ある意味TSUTAYAは不幸だったなと思いますが、アルバイトとは言え、Twitter上で、TSUTAYA」のバイトとはっきり明言したつぶやきが出たというのは、監督不行き届きと言われても仕方がないかと思います。

f:id:foxcafelate:20181117172457j:plain

今回は2つのTwitter上でのつぶやきがありますが、ここまでであれば、言い方悪いのですが、問題なかったと思うのですが。アルバイト女性の方が、問題であったと気づいてなかったと思いますが、炎上したのはこの部分があったからと言えそうです。

 

f:id:foxcafelate:20181117172511j:plain

 

TSUTAYA店員であれば、アルバイトであっても個人情報閲覧が可能で、その情報を個人でも(Twitter上に)暴露が可能、そう読み取れてしまいます。

入会・退会・そして延滞管理がありますので、業務上必要な範囲として店員が個人情報を閲覧可能である事は当然問題はありません。しかし、名前や性癖まで『暴露可能』というのは、受け手によっては脅迫とも解釈する事はさておき、TSUTAYAは自分の情報をそんな管理しているの?と、多くの会員が不安に思ってしまう事がつぶやかれていました。

 

企業の信用を貶める、たかだか2つのつぶやきがTSUTAYAに与えた影響は大きかったといえます。

 

とは言え、TSUTAYAの対応も早かった気がします。この手のお詫びとしてはしっかりしている回答だと思います。

f:id:foxcafelate:20181117172526j:plain

 

管理策としては、アクセス権管理や閲覧履歴の記録を取っていると記事に書かれている事から考えると、一般的な対策は取られていたかと思います。今回はTwitterのつぶやき(脅し)だけで、実際に当該会員の個人情報が不正に閲覧・取り出された事はなかったようですが、『アクセス権』や『閲覧履歴』のレビューが不十分であった可能性が高いのかなと思います。

特に記録は取っている。この部分は対策として十分な気がしますが、アルバイトや店員の不正があったかどうかを確認する、レビューする、こうした事は記録を取っている事で満足していると(監視カメラも同じですが)同じようなリスクは残ります。適切なレビュー、忙しい店長が行えないのであれば抜き取りチェックという手もあるでしょうし、そういったツール(AI)を使うのも良いかも知れません。

ただ、システム負荷や追加対策費用がかかる事でもあるので、現実的にはTSUTAYAは『教育』の徹底を選択するのかなと思います。

少なくてもTSUTAYAという会社・組織をSNS上で使わせるのはリスク管理の観点では適切ではないと思います。(そこが無ければ今回の件は炎上せずに済んだと思います)そうした教育がまずは優先されるべきでしょう。

SNSの利用マナーやルールについても、本部がガイドラインを用意し各店舗に教育を行っていた

ガイドラインにはきっと、書いてあったと推測しますが、効果がなかった。だとすればどうすれば伝わるのか?(FC加盟店であったとしても)そこを考えれば全体としてのモラルが向上するものと思います。

 

TSUTAYAはTポイントなどで個人情報のビックデータを保有しています。今回のアルバイト店員に対して、閲覧できる権限は限定されていたとは思いますが、こうした事件が続いてしまう様であれば、TSUTAYAのビックデータを使ったビジネスにも影響が波及してしまうこともあるかも知れません。個人情報を安全に管理している事が、ビックデータを扱う前提であるのは(TSUTAYA本社側は理解しているとは思いますが・・・)言うまでもありません。

燃え上がる青い鳥のイラスト

 

更新履歴

  • 2018年11月17日PM(予約投稿)