▼スレッド
│
└◇800:Re[5]:個人情報について [管理者] 02/09 21:30

　└◇801:Re[6]:個人情報について [NEO] 02/09 22:28
　　└◇802:Re[7]:個人情報について [管理者] 02/09 23:58
　　　└◇803:Re[8]:個人情報について [NEO] 02/10 01:59
　　　　└◇804:Re[9]:個人情報について [管理者] 02/10 08:26
　　　　　└◇805:Re[10]:個人情報について [管理者] 02/12 19:03<-last

まず、ハッキング等の攻撃や設定ミスなどの事故による情報流出についてですが、その可能性はあります。
次に、弊社の故意による情報漏洩ですが、弊社にも当然守秘義務がありますので、それは絶対にありません。

credit=人が他人を信頼することによって成り立つ、給付と反対給付との間に時間的なずれのある取引（大辞林第二版）

クレジットカードの取り引きは、お客様とお店だけでなく、カード会社や決済代行会社等の複数の人間が関与し、「信用」のもとに成り立ちます。
故意による情報漏洩はあり得ませんが、万が一ハッキング等の事故で情報が漏洩した場合は、弊社、ゼウス及びカード会社は一切その責任を負いません。
弊社を含め、カード会社や決済代行会社を信用して頂かないと成立たない取り引きですので、少しでも不安のある場合は、ご利用にならない方が良いと思います。

素早いご回答、ありがとうございます。

攻撃や設定ミスによる情報流出の可能性は、私も充分承知しています。
私が伺いたいのは、攻撃などによる情報流出の可能性に対して、
「充分な安全性を確保するために、どのような対策・対応をとっていますか？」
ということです。


次に、御社故意による情報漏洩についてですが、私が見た限りでは、

> 弊社にも当然守秘義務がありますので

こういった記述はホームページ上のどこにも見当たりませんし、
先のご回答でも「漏洩に対する責任は負わない」旨の記述もあります。

それとも申し込み後、守秘義務契約や覚書などを交わすのでしょうか？


> 故意による情報漏洩はあり得ませんが、万が一ハッキング等の事故で情報が漏洩した場合は、弊社、ゼウス及びカード会社は一切その責任を負いません。

先の質問の最後にも書きましたが、そういった免責は
・御社側で充分な対策・対応があったが破られてしまった
・お客様に重大な過失があった
等に限られると思います。設定ミスなどは追及されてしかるべきと思いますが。


> 弊社を含め、カード会社や決済代行会社を信用して頂かないと成立たない取り引きですので、少しでも不安のある場合は、ご利用にならない方が良いと思います。

ですから、信用に足る材料をご提示頂きたく、質問させて頂いています。

> 充分な安全性を確保するために、どのような対策・対応をとっていますか？

当サーバーでは安全性を確保するための充分な対策はとっていません。
弊社は不特定多数の方に各種CGIをレンタルしているため、レンタルCGI利用者の利便性を考えると、sendmailをクローズにしたりアクセス制限をする等のセキュリティ対策がとれません。非常にオープンなサーバーなので、セキュリティの面では問題があると思います
そこで、カード決済はセキュリティ上問題のある当サーバーとは切り離し、カード決済代行会社ゼウスのSSLサーバーで行うようにしています。

前のお問い合わせで、弊社のサーバーに累積された情報が漏れるのではないかというご指摘がありましたが、お客さまが入力した情報は、弊社サーバーを経由するだけですので、その内容が記録され、累積される事はありません。また、カード番号等の重要な情報は、弊社サーバーは経由せずにゼウスのSSLサーバー上で直接入力頂くようになっていますので、弊社はもちろん、加盟店様でも顧客のカード番号を知る事が出来ません。

> 申し込み後、守秘義務契約や覚書などを交わすのでしょうか？

ゼウスと加盟店契約を結ぶと、契約書を取り交わす事になりますが、その契約書に守秘義務等の細かい取り決めが記載されています。

フォームのパラメータ送信等の知識があれば、弊社のショッピングカートを利用せずに、NEO様のホームページから直接ゼウスのSSLサーバーにデータを送る事が可能です。
データの経由地点が少ない方が安全性はより高くなります。
より高い安全性を求めるのであれば、そのような方法をとられるのも良いと思います。

> 当サーバーでは安全性を確保するための充分な対策はとっていません。

こういった事をきちんとユーザに説明する責任はお感じになられませんか？


> 弊社は不特定多数の方に各種CGIをレンタルしているため、レンタルCGI利用者の利便性を考えると、sendmailをクローズにしたりアクセス制限をする等のセキュリティ対策がとれません。非常にオープンなサーバーなので、セキュリティの面では問題があると思います

たとえsendmailやCGIを使っていても、さまざまな技術や手段を講じれば、
充分セキュアな環境は作れるはずです。sendmailやCGIの稼動がセキュリティ
を確保できない理由にはならないと思いますが。


> そこで、カード決済はセキュリティ上問題のある当サーバーとは切り離し、カード決済代行会社ゼウスのSSLサーバーで行うようにしています。

何度も申し上げますが、私が重要視しているお客様の個人情報は、
カード番号だけではないのですよ。


> > 前のお問い合わせで、弊社のサーバーに累積された情報が漏れるのではないかというご指摘がありましたが、お客さまが入力した情報は、弊社サーバーを経由するだけですので、その内容が記録され、累積される事はありません。

本当にそれは真実ですか？
www.luckybreak.co.jp上で稼動しているhttpサービスプロセスが、
一切何のログも出力しない、というはずはないと思いますが。


> > 申し込み後、守秘義務契約や覚書などを交わすのでしょうか？
>
>ゼウスと加盟店契約を結ぶと、契約書を取り交わす事になりますが、その契約書に守秘義務等の細かい取り決めが記載されています。

何度も申し上げますが、私はZEUSの話をしているのではなく、
私と御社との間の話をしているのです。
私が御社のサービスを申し込んだ場合、御社は私のお客様の個人情報を
守る努力をしていただけるのですか？

> www.luckybreak.co.jp上で稼動しているhttpサービスプロセスが、
> 一切何のログも出力しない、というはずはないと思いますが。

アクセスログは記録してますが、当サーバのsendmail経由で送信されるデータの内容までは記録していません。ログの記録期間は２日間に設定しています。

> たとえsendmailやCGIを使っていても、さまざまな技術や手段を講じれば、
> 充分セキュアな環境は作れるはずです。sendmailやCGIの稼動がセキュリティ
> を確保できない理由にはならないと思いますが。
> 私が御社のサービスを申し込んだ場合、御社は私のお客様の個人情報を
> 守る努力をしていただけるのですか？

もちろん、弊社が知り得た情報を外部に漏洩する事はありませんし、サーバー上に不要なログは残さない等の努力は致します。
しかし、私の知識や技術ではNEO様の求められるレベルでの安全性は確保できないかもしれません。

> こういった事をきちんとユーザに説明する責任はお感じになられませんか？

確かにおっしゃる通りです。
弊社サーバーはデータの安全確保に十分な対策がとられておらず、弊社サーバー経由で送信されるデータは漏洩する可能性がある旨をホームページ上に掲載する必要があると思います。
早急に利用規約等の内容を検討し、ホームページ上に明記したいと思います。

いろいろご指摘ありがとうございました。

このスレッドに関連する回答をショッピングカートのＱ＆Ａ( hhttp://www.luckybreak.co.jp/shoppingcart/qanda.html )に載せましたのでご参照下さい。