▼スレッド
│
└◇795:個人情報について [NEO] 02/08 19:55

　└◇796:Re:個人情報について [管理者] 02/08 21:35
　　└◇797:Re[2]:個人情報について [NEO] 02/08 22:26
　　　└◇798:Re[3]:個人情報について [管理者] 02/09 09:14
　　　　└◇799:Re[4]:個人情報について [NEO] 02/09 20:36
　　　　　└◇800:Re[5]:個人情報について [管理者] 02/09 21:30
　　　　　　└◇801:Re[6]:個人情報について [NEO] 02/09 22:28
　　　　　　　└◇802:Re[7]:個人情報について [管理者] 02/09 23:58
　　　　　　　　└◇803:Re[8]:個人情報について [NEO] 02/10 01:59
　　　　　　　　　└◇804:Re[9]:個人情報について [管理者] 02/10 08:26
　　　　　　　　　　└◇805:Re[10]:個人情報について [管理者] 02/12 19:03<-last

こちらのショッピングカートおよび
ZEUSのクレジット決済の利用を検討しています。
下にも質問されている方がいらっしゃいますが、
加えて次の点が心配です。

�@こちらのサーバがハッカーによって進入された場合、残っている通信記録等からお客様の個人情報を盗まれてしまうのではないか？

�Aこちらを運営している方が故意に個人情報を漏洩することはないか？（我々ユーザ、利用して頂いた我々のお客様の双方について）

同様のことはZUESに対しても言えます。
よろしくお願いします。

カード決済は弊社サーバー上は行われず、ゼウスのセキュアサーバー（SSL）とカード会社との間で直接行われるので、カード番号が外部にもれる事はありません。ゼウスの加盟店や弊社にはカード番号は通知されません。
ゼウスのセキュアサーバーとカード会社との間ではベリサイン社が開発した業界標準の暗号技術(デジタルID)を用いて安全に送信されますので、第三者にその情報が盗み見られる心配はまずありません。
暗号化されたデータでも解読される可能性はありますので100%安全とは言えませんが、普通のお店でクレジットカードを利用して買い物するよりも、むしろ安全だと思います。

ベリサイン社の暗号技術について詳しくお知りになりたい場合は、日本ベリサイン株式会社のホームページ( hhttp://www.verisign.co.jp/ )をご覧ください。

早速のご回答ありがとうございます。

> カード決済は弊社サーバー上は行われず、ゼウスのセキュアサーバー（SSL）とカード会社との間で直接行われるので、カード番号が外部にもれる事はありません。

ということは、ZEUSはカード決済にかかわる情報を入手でき、
かつZEUSのサーバに蓄積されることになりますよね。
ZEUSのサーバがハッキングされ情報流出する可能性もあると思いますが。
それから、ZEUS自身が漏洩を行わないという保証はあるのでしょうか？

ところで、クレジットカードにかかわる情報はないにしろ、
住所や氏名、年齢、電話番号、メールアドレス、
いつ、どこのページで、何を、いくつ購入した
といったお客様の情報はこちらのサーバにも蓄積されると思います。
この場合も同様に、
�@ハッキング等攻撃や設定ミスなど事故による情報流出
�A御社の故意による情報漏洩
のそれぞれについて、どのような見解なのかご回答いただけますか。

ゼウスのサーバーのセキュリティーについては、直接ゼウスに問い合わせて頂きたいのですが、こちらでわかる範囲でお答えします。
ショップ（ゼスウの加盟店）から送信される顧客情報は、ショップとゼウスに送信されますが、弊社(LuckyBreak)には送信されません。
また、ゼウスに送信されるデータはカード決済に必要なもののみです。
ゼウスに送信されるデータは
顧客名、電話番号、カード番号の他に、メールアドレス、IPアドレスです。
メールアドレス、IPアドレスはカードが不正利用されないようにチェックするためにも利用されます。
加盟店はゼウスから発行されたIDとパスワードを利用して、ゼスウのサーバーにアクセスし、カードの決済状況を知る事が出来ます。この場合もカード番号等の重要な情報は表示されないようになっていますので、カード番号が事故で漏洩する可能性は少ないと思います。
クレジットカード決済を行うのに際し、ゼウス側は当然ですが、ショップ（ゼスウの加盟店）側にも、顧客のデータを他に一切漏洩してはならない、という「守秘義務」が発生します。

どんな場合でもそうですが、100%安全という事はありえません。
ショップやゼウス、カード会社が故意に顧客データを漏洩したら犯罪になりますので、そのような事はないはずですが、なんらかの事故で漏れてしまう可能性は0%ではありません。
クレジットカードを利用する顧客側も、それを承知の上で利用して頂く必要があります。
ホームページでカード決済を行う場合は
「インターネットを通じて送信される情報を暗号化してもその情報を完全に秘密にはできない場合があること及び完全には秘密にできない場合にも、それについてショップ（ゼスウの加盟店）、カード会社及び通信を行う業者（ゼウス）が顧客に対して責任を負わないこと」
を明示する必要があります。

丁寧なご回答ありがとうございます。

繰り返しになりますが、私がお尋ねしたいのは、

�@ハッキング等の攻撃や設定ミスなどの事故による情報流出

ZEUSの決済ページに移る前、カートを利用している間は、お客様のブラウザは、
常に私のサイトと御社サーバ（www.luckybreak.co.jp）にアクセスしています。
すなわち、私のサイトと御社のサーバにはお客様の全アクセス記録が蓄積され
ることになります。

しかも、注文確定の際には、お客様の住所や氏名、メールアドレスなどの
個人情報を記入する必要があります。これも当然アクセス記録として残り
ますが、この記録は「御社サーバにのみ」に蓄積されることになります。

この「御社のサーバに蓄積されている情報の安全性はどうなのか？」
という点について、御社の見解をご回答いただけますか？

私のサイト（のアクセス記録）については、私の努力により安全性を高める
ことが可能ですが、御社のサーバについては、私は有効な対応が取れません。


�A御社の故意による情報漏洩

住所氏名といった個人情報に加え、カートの利用状況から把握できる購買状況・
傾向などは、マーケティング的に大変重要な価値を持つと思います。
御社は、サーバのアクセス記録から、個人情報に加え、お客様の購買状況
まで正確に入手することが可能です。

このようにして入手した情報を、私やお客様の知らない間に、第三者に対して
対価の有無は別として、御社が故意に漏洩してしまう可能性を否定できません。
（少なくとも、私の現段階の認識では）

この点についても、御社の見解をご回答願います。


> どんな場合でもそうですが、100%安全という事はありえません。
> 「インターネットを通じて送信される情報を暗号化してもその情報を完全に秘密にはできない場合があること及び完全には秘密にできない場合にも、それについてショップ（ゼスウの加盟店）、カード会社及び通信を行う業者（ゼウス）が顧客に対して責任を負わないこと」
> を明示する必要があります。

100%の安全確保は大変困難ですし、最大限の注意や努力を払った上での事故や、
お客様に重大な過失があった場合など、ある程度お客様にご容赦頂く面も
ありますが、その場合でも完全に責任を免れる事は有り得ないと私は思ってます。

長い文章で大変申し訳ありません。
ご回答、よろしくお願いします。

まず、ハッキング等の攻撃や設定ミスなどの事故による情報流出についてですが、その可能性はあります。
次に、弊社の故意による情報漏洩ですが、弊社にも当然守秘義務がありますので、それは絶対にありません。

credit=人が他人を信頼することによって成り立つ、給付と反対給付との間に時間的なずれのある取引（大辞林第二版）

クレジットカードの取り引きは、お客様とお店だけでなく、カード会社や決済代行会社等の複数の人間が関与し、「信用」のもとに成り立ちます。
故意による情報漏洩はあり得ませんが、万が一ハッキング等の事故で情報が漏洩した場合は、弊社、ゼウス及びカード会社は一切その責任を負いません。
弊社を含め、カード会社や決済代行会社を信用して頂かないと成立たない取り引きですので、少しでも不安のある場合は、ご利用にならない方が良いと思います。

素早いご回答、ありがとうございます。

攻撃や設定ミスによる情報流出の可能性は、私も充分承知しています。
私が伺いたいのは、攻撃などによる情報流出の可能性に対して、
「充分な安全性を確保するために、どのような対策・対応をとっていますか？」
ということです。


次に、御社故意による情報漏洩についてですが、私が見た限りでは、

> 弊社にも当然守秘義務がありますので

こういった記述はホームページ上のどこにも見当たりませんし、
先のご回答でも「漏洩に対する責任は負わない」旨の記述もあります。

それとも申し込み後、守秘義務契約や覚書などを交わすのでしょうか？


> 故意による情報漏洩はあり得ませんが、万が一ハッキング等の事故で情報が漏洩した場合は、弊社、ゼウス及びカード会社は一切その責任を負いません。

先の質問の最後にも書きましたが、そういった免責は
・御社側で充分な対策・対応があったが破られてしまった
・お客様に重大な過失があった
等に限られると思います。設定ミスなどは追及されてしかるべきと思いますが。


> 弊社を含め、カード会社や決済代行会社を信用して頂かないと成立たない取り引きですので、少しでも不安のある場合は、ご利用にならない方が良いと思います。

ですから、信用に足る材料をご提示頂きたく、質問させて頂いています。

> 充分な安全性を確保するために、どのような対策・対応をとっていますか？

当サーバーでは安全性を確保するための充分な対策はとっていません。
弊社は不特定多数の方に各種CGIをレンタルしているため、レンタルCGI利用者の利便性を考えると、sendmailをクローズにしたりアクセス制限をする等のセキュリティ対策がとれません。非常にオープンなサーバーなので、セキュリティの面では問題があると思います
そこで、カード決済はセキュリティ上問題のある当サーバーとは切り離し、カード決済代行会社ゼウスのSSLサーバーで行うようにしています。

前のお問い合わせで、弊社のサーバーに累積された情報が漏れるのではないかというご指摘がありましたが、お客さまが入力した情報は、弊社サーバーを経由するだけですので、その内容が記録され、累積される事はありません。また、カード番号等の重要な情報は、弊社サーバーは経由せずにゼウスのSSLサーバー上で直接入力頂くようになっていますので、弊社はもちろん、加盟店様でも顧客のカード番号を知る事が出来ません。

> 申し込み後、守秘義務契約や覚書などを交わすのでしょうか？

ゼウスと加盟店契約を結ぶと、契約書を取り交わす事になりますが、その契約書に守秘義務等の細かい取り決めが記載されています。

フォームのパラメータ送信等の知識があれば、弊社のショッピングカートを利用せずに、NEO様のホームページから直接ゼウスのSSLサーバーにデータを送る事が可能です。
データの経由地点が少ない方が安全性はより高くなります。
より高い安全性を求めるのであれば、そのような方法をとられるのも良いと思います。

> 当サーバーでは安全性を確保するための充分な対策はとっていません。

こういった事をきちんとユーザに説明する責任はお感じになられませんか？


> 弊社は不特定多数の方に各種CGIをレンタルしているため、レンタルCGI利用者の利便性を考えると、sendmailをクローズにしたりアクセス制限をする等のセキュリティ対策がとれません。非常にオープンなサーバーなので、セキュリティの面では問題があると思います

たとえsendmailやCGIを使っていても、さまざまな技術や手段を講じれば、
充分セキュアな環境は作れるはずです。sendmailやCGIの稼動がセキュリティ
を確保できない理由にはならないと思いますが。


> そこで、カード決済はセキュリティ上問題のある当サーバーとは切り離し、カード決済代行会社ゼウスのSSLサーバーで行うようにしています。

何度も申し上げますが、私が重要視しているお客様の個人情報は、
カード番号だけではないのですよ。


> > 前のお問い合わせで、弊社のサーバーに累積された情報が漏れるのではないかというご指摘がありましたが、お客さまが入力した情報は、弊社サーバーを経由するだけですので、その内容が記録され、累積される事はありません。

本当にそれは真実ですか？
www.luckybreak.co.jp上で稼動しているhttpサービスプロセスが、
一切何のログも出力しない、というはずはないと思いますが。


> > 申し込み後、守秘義務契約や覚書などを交わすのでしょうか？
>
>ゼウスと加盟店契約を結ぶと、契約書を取り交わす事になりますが、その契約書に守秘義務等の細かい取り決めが記載されています。

何度も申し上げますが、私はZEUSの話をしているのではなく、
私と御社との間の話をしているのです。
私が御社のサービスを申し込んだ場合、御社は私のお客様の個人情報を
守る努力をしていただけるのですか？

> www.luckybreak.co.jp上で稼動しているhttpサービスプロセスが、
> 一切何のログも出力しない、というはずはないと思いますが。

アクセスログは記録してますが、当サーバのsendmail経由で送信されるデータの内容までは記録していません。ログの記録期間は２日間に設定しています。

> たとえsendmailやCGIを使っていても、さまざまな技術や手段を講じれば、
> 充分セキュアな環境は作れるはずです。sendmailやCGIの稼動がセキュリティ
> を確保できない理由にはならないと思いますが。
> 私が御社のサービスを申し込んだ場合、御社は私のお客様の個人情報を
> 守る努力をしていただけるのですか？

もちろん、弊社が知り得た情報を外部に漏洩する事はありませんし、サーバー上に不要なログは残さない等の努力は致します。
しかし、私の知識や技術ではNEO様の求められるレベルでの安全性は確保できないかもしれません。

> こういった事をきちんとユーザに説明する責任はお感じになられませんか？

確かにおっしゃる通りです。
弊社サーバーはデータの安全確保に十分な対策がとられておらず、弊社サーバー経由で送信されるデータは漏洩する可能性がある旨をホームページ上に掲載する必要があると思います。
早急に利用規約等の内容を検討し、ホームページ上に明記したいと思います。

いろいろご指摘ありがとうございました。

このスレッドに関連する回答をショッピングカートのＱ＆Ａ( hhttp://www.luckybreak.co.jp/shoppingcart/qanda.html )に載せましたのでご参照下さい。