2013年03月30日
■ 空前の武雄市TSUTAYAドヤリングで住所・氏名・電話番号漏洩の危機
まもなく武雄市に2軒目のTSUTAYAが開業するということで、昨日から一般市民に先んじて内覧会に招集された市長のお友だちらから続々と喜びの声があっている。また、会員登録の事前登録が始まっているため、入手したTポイントカードの写真を撮ってツイートする人が次々と現れている。
カード作ってみた #osoreiri #武雄市 @ 武雄市立図書館 instagram.com/p/XbaH0pkQSn/
— 末広栄二さん (@e_suehiro) 2013年3月29日武雄市のTカードに更新してきたーーー(^ー^) レンタル無料券とスタバの無料券もらったー(^ー^) twitter.com/kpnnnnu/status…
— KPさん (@kpnnnnu) 2013年3月29日
このように、Tポイントカードの番号(Tカード番号)が丸見えになっている例が散見される。
ところが、CCCが運営する「T-SITE」(Tポイントカード1枚に付きひとつのWebサイトアカウントを作成できる)には、「新規登録」の際、Tカード番号と生年月日(と性別)の入力さえすれば、「Tカード情報の確認・反映をする」ボタンを押すことで、氏名、電話番号、住所が自動的に補完入力されるという機能がある(図1)。
これはつまり、Tカード番号があれば、その人の生年月日さえわかれば、誰でもその人の氏名、電話番号、住所を引き出せてしまう*1ということを意味する。
ただし、ここに現れる住所等の情報は、Tポイントカードを貰うときに紙に書いて提出した会員登録の申込書に記載した事項であり、これがCCCのデータベースに登録されるまでには一週間ほどの時間がかかるため、Tポイントカードを貰った直後では、ここに反映されることはなく、「お客様のTカード情報は処理中です。」というエラーメッセージが出るようになっている。また、既にT-SITEに登録済みのTポイントカードの番号を入力した場合は、「既にT−IDに登録されています。」というエラー画面になる。
つまり、この危険は、TポイントカードをもらったらすぐにT-SITEに登録してしまう(住所等を手入力して)ことで回避できる。
このような登録方式は欠陥があると言うべきだが、この問題は、既に1年以上前、PASMOにも同様の問題があることが話題になったとき(2012年2月26日の日記「ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか」参照)に、T-SITEにも同じ問題があるとして、指摘をTカードサポートセンターに伝えたという人がいた。私もそのとき電話した記憶がある。
念のため、昨日、Tカードサポートセンターに電話して、今でも、Tカード番号と生年月日(と性別)だけから住所等を引き出せてしまうのかを質問したところ、その通りだとの回答があった。それは欠陥である旨を改めて告げると、お客様の声として承っておくとの返事だった。
Tカード番号さえ他人に知られなければ、住所や電話番号が漏れることはないわけだが、今、佐賀県武雄市では空前のTSUTAYAブームの波が押し寄せているため、明日の一般市民開放デーで、Tポイントカードの写真をネットに掲載してしまう人がさらに続出する恐れがある。
T-SITEの存在を知らない人も少なくないだろうから、そういう人々がT-SITEの「新規登録」をしないでいると、住所・氏名・電話番号漏洩の危険に延々と曝され続けることになりかねない。T-SITEに全員登録すべきとは思わない*2ので、Tポイントカードの写真の取り扱い*3を注意するよう促すしかないだろう。
この欠陥の責任をCCCに問えるかというと、T会員規約で次のように規定されている。
第5条 (免責事項等)
3. 会員は、Tカード番号、T-ID及びパスワードを他人に知られることのないよう、責任をもって管理するものとし、会員の過失により何らかの損害が生じた場合といえども、当社は一切責任は負わないものとします。
T会員規約, カルチュア・コンビニエンス・クラブ
このように、Tポイントカードは、セキュリティを自ら放棄したシステムであり、会員に責任が負わされるものになっている。
漏洩の危険があるのは、氏名・電話番号・住所だけではない。他人にTカード番号で勝手にT-SITEにアカウントを作られてしまうことも起き得るわけで、そうなると、Tポイントの利用履歴(いつどこで何ポイント取得・使用したか)を閲覧されてしまうことになる。まだ確認されていないが、武雄市図書館でいつ本を借りたかも閲覧できてしまうようになるのかもしれない。
そういうTポイントカードに、武雄市長は「病歴も入れられるんじゃないか」と構想しているそうだから、市民は今後の成り行きに注視した方がよいだろう。
なお、今国会に提出されて現在衆議院で審議中の「行政手続における特定の個人を識別するための番号の利用等に関する法律案」の「個人番号」及び「個人番号カード」においては、こういうことにならないように、必要な対策がとられることになっている。
■ 追記(4月1日)訂正あり
やはり、どうしても人々は写真を撮って載せてしまうようだ。
武雄市図書館リニューアル初日、本も借りてみました。山形県鶴岡市在住でも免許証提示で貸出機能付きTカードを作り、セルフカウンターで自動貸出可能。スムーズ!図書館を利用すると1日3ポイントげっと(^-^)/ ow.ly/i/1Nqr4
— 田中宏@鶴岡市さん (@tanaka_hiroshi) 2013年4月1日
ここには、Tポイントカードこそ写っていないものの、レシートが写っている。一般に、TポイントのレシートにはTカード番号が印刷される*4ようだが、武雄市図書館店では、下4桁を残し、「************」で上12桁をマスクしているようだ。
しかし、Tカード番号の上8桁は、店舗で共通なので、武雄市図書館店で発行されたTカードの場合、公知の値である。しかも、次の4桁も、これまでに発見された写真で、「0000」「0001」「0002」のいずれかであることが判明している*5。どうやら、武雄市図書館店では連番で発行されている*6ようだ。
つまり、レシートの下4桁が写った写真を公開してしまうと、事実上、Tカード番号を公開したも同然(3分の1弱の割合で当たってしまう)である。よって、上記の問題は、Tポイントカードの写真だけでなく、Tポイントカード使用時のレシートの写真についても注意が必要ということになる。
それから、一点訂正だが、上記では、「CCCのデータベースに登録されるまでには一週間ほどの時間がかかるため、Tポイントカードを貰った直後では、ここに反映されることはなく」と書いたが、この猶予期間は、店舗によって異なるようだ。
私が一週間と聞かされたのは、ドラッグストアのTポイントカードを貰ったときであり、昨日、代官山蔦屋書店のTポイントカードを貰ったときには、店員さんから「明日登録される」との説明を受けた。
レンタルなど本人確認を必要としているところでは、この登録が早い可能性がある。つまり、CCCのデータベースへの登録に時間がかかるなら、その間に tsite.jp のアカウントを作成することで、上記の漏洩のリスクは回避できるが、レンタル店など、即日あるいは翌日に登録されてしまうところでTポイントカードを作成したときは、直ちに tsite.jp に登録する必要がある。
*1 このような行為は、刑法161条の3 電磁的記録不正作出及び供用の罪(「人の事務処理を誤らせる目的で、その事務処理の用に供する権利、義務又は事実証明に関する電磁的記録を不正に作った者は、五年以下の懲役又は五十万円以下の罰金に処する」)に当たる恐れがあるので、やってはいけない。(その点、1年前のPASMOのケースでは、「マイページ・PASMO履歴照会サービス」は、本人以外によるアカウント作成を禁止しておらず、むしろ本人以外が使うことを想定したサービスであったことから、人の事務処理を誤らせるものに当たらず、この罪には該当しないものであった。一方、Tポイントカードは、規約で、本人のみの利用しか認めていない。)
*2 T-SITEにログインすると、Webの閲覧履歴(CCC関係会社の広告ネットワークによるものに限られる)がTカード番号及び実名に紐付けられてしまうので。(これについては日を改めて書きたい。)
*3 従来の通常のTポイントカードと違ってこのTポイントカードの写真を見せびらかしたくなる衝動があることについては、そもそも以下の感想が寄せられている。
代官山蔦屋書店 tsite.jp/pc/r/tc/ と、蔦屋書店武雄市図書館店 epochal.city.takeo.lg.jp/201304/ のTカードの画像を並べて比較しました。 twitter.com/baked_pudding/…
— 焼きプリンさん (@baked_pudding) 2013年3月4日@seijimatsuda1 左はそれでもまだ「原研哉デザイン」なのでしょうけど、右は「デザイン流用」にしか見えないのですよねえ。
— 焼きプリンさん (@baked_pudding) 2013年3月4日@seijimatsuda1 @baked_pudding 字の違いではなく、背景の字に「武雄市図書館」の文字がかぶってるのがバランス悪く見えてしまってる原因かなと。特報フロンティアでは「(蔦屋書店と)フォントが一緒なので魂(ソウル)は一緒」とか言ってましたね。
— 金の髭さん (@goldenhige) 2013年3月4日@mo6jijii @seijimatsuda1 @baked_pudding H氏「よーしじゃあデザインするかー」 H市長「僕はあのカッコイイ代官山蔦屋書店と同じイメージにしたいんですよね」 H氏「・・・じゃあ字だけ・・・」 という流れを想像しました。
— 金の髭さん (@goldenhige) 2013年3月4日
*4 代官山蔦屋書店では「会員NO.」としてTカード番号の全桁が印刷されるのを確認した。
*5 31日の読売新聞の記事「ツタヤ運営の市立図書館、情報流出懸念の声も」によると、約3200枚のTポイントカードが発行済みのようなので、連番で、現在、00032XX-Y(Yはチェックディジット)くらいまで出回っていると推定できる。
*6 このこと自体、別の問題をひき起こしそうだが……。
CCC と TRC が協働して指定管理者となり、図書館の運営に当たると思われてい...
- https://bizenya.net/ ×4 (2024-01-13)
- egone.org ×14 : 13, 1 (2022-12-16)
- はてなブックマークコメント ×356 : 284, 49, 7, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2020-03-21)
- はてなキーワード [ドヤリング] ×3 : 2, 1 (2020-01-14)
- https://auctions.yahoo.co.jp/seller/asitasikun ×4 (2019-12-05)
- はてなブックマークコメント [f36type.cocolog-nifty.com/blog/2018/11/t-ee78.html] ×11 : 10, 1 (2019-08-13)
- https://www.google.com ×9 (2019-07-31)
- https://www-excite-co-jp.cdn.ampproject.org/ ×4 (2019-06-19)
- NAVERまとめ [2137104311422087801] ×29 : 17, 7, 3, 1, 1 (2019-03-05)
- https://detail.chiebukuro.yahoo.co.jp/ ×5 (2018-12-11)
- https://magic3.net ×7 (2018-10-20)
- NAVERまとめ [2145802575454302101] ×2 : 1, 1 (2018-07-08)
- http://spam-news.ddns.net ×232 (2018-01-14)
- NAVERまとめ [2137095453202123501] ×375 : 183, 116, 15, 11, 10, 10, 9, 6, 5, 2, 2, 1, 1, 1, 1, 1, 1 (2017-07-25)
- https://www.bing.com/ ×4 (2017-05-30)
- http://h-ishin.com ×6 (2016-12-04)
- スラドarticle [13/04/01/082239] ×45 : 43, 1, 1 (2016-08-11)
- Seesaaブログ [vocaloid-hatsunemiku] ×2 : 1, 1 (2016-05-25)
- http://m.chiebukuro.yahoo.co.jp/detail/q13135861763?ccode=of... ×5 (2016-03-20)
- http://m.chiebukuro.yahoo.co.jp/detail/q13135861763?ccode=of... ×4 (2016-02-10)
- http://m.chiebukuro.yahoo.co.jp/detail/q13135861763?ccode=of... ×13 (2016-02-09)
- http://spamnews.ddns.net ×249 (2015-10-01)
- https://www.google.co.jp ×39 (2015-08-26)
- http://spamnews.ddo.jp ×11 (2015-08-21)
- http://www.downtown.jp/~soukaku/archives/2015/0807_091006.ht... ×8 (2015-08-10)
- Twitter [1] ×80 : 5, 2, 2, 2, 2, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2015-07-31)
- スラドarticle [13/07/29/0854256] ×4 (2015-07-29)
- スラッシュドット ×30 : 5, 5, 4, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2015-03-08)
- http://m.chiebukuro.yahoo.co.jp/detail/q13135861763 ×94 (2014-10-10)
- http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q131... ×40 (2014-09-22)
- http://www.tanimoto.to/lesson14/ty/index.html ×4 (2014-05-12)
- 2ちゃんねる掲示板 [wildplus 1365245739] ×4 : 3, 1 (2014-03-03)
- http://sprint-life.hatenablog.com/entry/2013/03/31/154506 ×12 (2014-02-21)
- https://duckduckgo.com/ ×6 (2013-12-30)
- fc2 blog [kangohu456.blog] ×3 : 2, 1 (2013-10-19)
- http://zarutoro.livedoor.biz/archives/51821350.html ×27 (2013-08-30)
- Togetter [548686] ×4 : 2, 1, 1 (2013-08-22)
- スラッシュドットcomments [607534] ×2 : 1, 1 (2013-08-02)
- スラッシュドットarticle [13/07/29/0854256] ×136 : 121, 15 (2013-07-30)
- http://www.downtown.jp/~soukaku/archives/2013/0612_220227.ht... ×15 (2013-07-26)
- livedoor Blog [itsoku] ×82 : 64, 17, 1 (2013-06-16)
- http://himarin.net/archives/7172428.html ×24 (2013-06-13)
- 2ちゃんねる掲示板 [moeplus 1368783572] ×20 : 7, 4, 4, 1, 1, 1, 1, 1 (2013-06-13)
- http://nlab.itmedia.co.jp/nl/spv/1306/13/news049.html ×17 (2013-06-13)
- http://nlab.itmedia.co.jp/nl/articles/1306/13/news049.html ×67 (2013-06-13)
- http://zeppeli.bug.co.jp/pne/?m=pc&a=page_fh_diary&target_c_... ×4 (2013-06-13)
- http://zarutoro.livedoor.biz/lite/archives/51812863.html ×14 (2013-06-12)
- http://zarutoro.livedoor.biz/archives/51812863.html ×83 (2013-06-12)
- livedoor Blog [niiosokuhou] ×15 : 11, 4 (2013-06-11)
- http://zarutoro.livedoor.biz/?p=2 ×11 (2013-06-06)
- http://desktop2ch.tv/moeplus/1368783572/ ×4 (2013-06-02)
- Tumblr [katoyuu] ×9 : 4, 2, 2, 1 (2013-05-26)
- http://moe-news.doorblog.jp/lite/archives/28235983.html ×4 (2013-05-22)
- http://money-life.doorblog.jp/lite/archives/27175550.html ×7 (2013-05-21)
- Togetter [480185] ×157 : 145, 3, 2, 2, 2, 1, 1, 1 (2013-05-20)
- http://money-life.doorblog.jp/archives/27175550.html ×16 (2013-05-19)
- livedoor Blog [miyakodekof-mairud] ×17 : 9, 8 (2013-05-18)
- Seesaaブログ [sadocyan2ch] ×19 : 10, 9 (2013-04-29)
- Tumblr [ivarnjk] ×49 : 46, 3 (2013-04-27)
- http://www.tanimoto.to/lesson13/kz/index.html ×8 (2013-04-25)
- スラッシュドットcomments [597788] ×2 : 1, 1 (2013-04-11)
- http://headlines.yahoo.co.jp/cm/main?d=20130410-00000298-ben... ×5 (2013-04-10)
- スラッシュドットarticle [13/04/08/0942208] ×169 : 135, 31, 2, 1 (2013-04-10)
- livedoor Blog [slowter-news] ×3 : 2, 1 (2013-04-09)
- fc2 blog [suzunonejh.blog15] ×37 : 29, 8 (2013-04-09)
- Tumblr [otsune] ×11 : 4, 2, 1, 1, 1, 1, 1 (2013-04-08)
- 2ちゃんねる掲示板 [newsplus 1364786504] ×11 : 7, 1, 1, 1, 1 (2013-04-06)
- INTERNET Watch ×6 : 5, 1 (2013-04-06)
- セキュリティホールmemo ×940 : 894, 38, 6, 1, 1 (2013-04-04)
- カトゆー ×136 : 133, 3 (2013-04-02)
- スラッシュドットarticle [13/04/01/082239] ×1673 : 979, 644, 33, 6, 3, 3, 2, 2, 1 (2013-04-02)
- http://minkara.carview.co.jp/userid/1370521/blog/29620955/ ×5 (2013-04-02)
- http://minkara.carview.co.jp/smart/userid/1370521/blog/29620... ×5 (2013-04-02)
- Togetter [481562] ×5 (2013-04-02)
- 2ちゃんねる掲示板 [poverty 1364813028] ×5 : 3, 1, 1 (2013-04-01)
- http://yamagata.int21h.jp/d/ ×11 (2013-04-01)
- http://www.jttk.zaq.ne.jp/babuv800/ ×56 (2013-04-01)
- http://coziest.net/?p=422 ×16 (2013-04-01)
- http://www.newsblur.com/site/168286/ ×5 (2013-04-01)
- www.nantoka.com/~kei/diary/ ×2 : 1, 1 (2013-04-01)
- http://notify-proxy.net.ccc.co.jp/notify-Notice?http/takagi-... ×6 (2013-04-01)
- http://twitmatome.bogus.jp/archives/13684 ×14 (2013-04-01)
- http://yandex.ru/yandsearch?text=takagi-hiromitsu.jp&lr=213 ×12 (2013-04-01)
- http://purotora.com/m.shtml ×9 (2013-04-01)
- http://purotora.com/index2.shtml ×98 (2013-04-01)
- はてなブックマークコメント [www.yomiuri.co.jp/national/news/20130331-OYT1T00190.htm] ×28 (2013-03-31)
- はてなダイアリー [gorilla-boots] ×5 (2013-03-31)
- はてなダイアリー [gorilla-boots 20130331] ×2 : 1, 1 (2013-03-31)
- http://netnavi.appcard.jp/e/o9ml ×5 (2013-03-31)
- http://zapanet.info/new/hatebu/ ×5 (2013-03-31)
- http://hatebu.mekepo.com/category/it ×4 (2013-03-31)
- http://gnews.x0.com/20130331_131523/ ×6 (2013-03-31)
- http://childs.squares.net/murahatebu/progress.html ×5 (2013-03-31)
- http://yukkurisine.sakura.ne.jp/nnaro/brainstorm/ ×32 (2013-03-31)
- ime.nu /20130330.html ×209 (2013-03-31)
- http://twitterrific.com/referrer ×6 (2013-03-31)
- http://adobe.com/apollo ×4 (2013-03-31)
- http://zapanet.info/new/hatebu5/ ×5 (2013-03-31)
- http://plus.url.google.com/mobileapp ×15 (2013-03-31)
- キーワード不明 ×62 / takagi-hiromitsu.jp/diary/20130330.html ×43 / ドヤリング ×26 / 高木浩光 ×15 / 武雄市 ×15 / Tポイント 危険 ×12 / Tカード 危険 ×11 / 高木浩光 武雄市 ×9 / 武雄 ×8 / 武雄市図書館 感想 ×7 / 武雄市図書館 ×7 / 高木浩光 武雄市長 ×7 / Tカード セキュリティ ×6 / tカード 危険 ×6 / 武雄市 TSUTAYA ×6 / カード会社が無断で登録してある電話番号を他人に伝えた 個人情報違反? ×6 / tポイント 危険 ×6 / CCC 情報漏えい ×5 / 武雄市 高木 ×5 / 武雄 TSUTAYA ×4 / tポイントカード セキュリティ ×4 / Tポイントカード 危険 ×4 / 蔦屋書店 Tカード ×4 / Tポイント 危険 ×4 / 武雄市長 ×3 / tsutaya 武雄 ×3 / TSUTAYA 情報漏洩 ×3 / 武雄市立図書館 ×3 / TSUTAYA 武雄市 ×3 / tカード セキュリティ ×3 / Tポイントカード リスク ×3 / ツタヤ情報漏えい ×3 / tsutaya 情報漏洩 ×3 / http://takagi-hiromitsu.jp/diary/20130330.html ×3 / 高木浩光 武雄 ×3 / TSUTAYA 武雄 ×3 / お客様のTカード情報は処理中です。 反映 ×3 / ポイントカード 危険 ×3 / 武雄市立図書館 感想 ×2 / 危機 - 高木浩光@自宅の日記(2013年3月30日) ×2 / Tカード 漏洩 ×2 / Tカード 番号 流出 ×2 / 図書館 つたや Tポイントカード ×2 / 武雄市図書館 電話番号 ×2 / TSUTAYA パスワード漏洩 ×2 / CCC 危機 ×2 / 武雄市 高木浩光 ×2 / 武雄市図書館内覧会 ×2 / takagi hiromitsu ×2 / Tカード 武雄市 セキュリティ ×2 / 高木浩光武雄市 ×2 / tカードサポートセンター 電話番号 ×2 / 会員カード セキュリティ ×2 / TSUTAYA ドヤリング ×2 / Tポイントカード ×2 / tポイント 12桁 ×2 / Tカード セキュリティ ×2 / 武雄 TSUTAYA 図書館 ×2 / Tカード エラー 登録済み ×2 / Tカード 番号 漏洩 ×2 / 武雄市図書館 内覧会 ×2 / tカード 代官山 ×2 / 。 takagi-hiromitsu.jp/diary/20130330.html ×2 / 武雄 スタバ 店員 ×2 / ツタヤ 情報漏えい ×2 / ccc 情報漏えい ×2 / Tカード セキュリティー ×2 / 住所 氏名 電話番号 ×2 / 代官山 Tカード ×2 / 代官山 Tカード ×2 / 武雄市 蔦屋 ×2 / Tポイントカード セキュリティ ×2 / 武雄市図書館 原研哉 ×2 / ツタヤ 高木浩光 ×2 / お客様のTカードは、既にT-ID登録済みです ×2 / tポイントカード 危険 ×2 / 高木浩光 tsutaya ×2 / 蔦屋書店 代官山 tカード ×2 / 武雄市役所 電話番号 ×2 / 蔦屋書店 武雄 ×2 / ツタヤ図書館 原研哉 ×2 / Tカード 問題 ×2 / t card 番号 ×2 / Tカード 番号 ×2