本人同一性とは何か、楽天カードで勝手に住所情報が変えられた件で改めて考えてみた

ぜひシェア願います!
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Share on Google+
Google+

【これは約 3 分の記事です】

Twitterで、楽天カードの情報が勝手に書き換えられていた、という情報を見ました。なお、問題は、既に対応済み、とのことです。

例えばAという人物がBさんのカードの住所情報をAのものに変えたいときは、

  1. Aという人物が楽天IDを取得する。
  2. Aの楽天カード発行情報で、Bさんの名前、生年月日、電話番号、勤務先を入れる
  3. Aが楽天カード発行の申し込みをすると、Bさんの住所情報がAの住所情報に書き換えられる

楽天のプレスリリースでは見つかりませんでしたが、IT系のニュースサイトを見ると、この問題については既に対応済みだそうです。

「楽天カード」に他人が住所変更できる問題 既に対策済み
http://www.itmedia.co.jp/news/articles/1710/11/news126.html

で、何故こんなことが起きるか、です。

本人同一性を確認する手段として、ID情報を使っていないようです。どうやら「名前、生年月日、電話番号、勤務先」のいずれか、もしくはその組み合わせによって、本人かどうかを特定しているようで、それが原因と考えられます。

なんでIDを本人同一性の特定に使わないの?

という素朴な疑問がわきます。おそらく、カード会社がもっている与信データとの照らし合わせをするためだと思います。同一人物が別IDでカードを作っても、同じ与信データを参照する必要がある、そういうことではないかと思います。

通常、IDこそ、本人同一性に使われるべき要素です。

ID(IDentification)

「identification」は日本語に直すと「同一であることの証明」ですので。

ただ、一人の人間がIDを複数用意されると、同一性の連続が第三者からわからなくなります。それでそれ以外の要素で、本人にしか属さない属性を本人同一性に使っているのでしょう。

「名前、生年月日、電話番号、勤務先」で、特に名前と生年月日は個人本人の属性です。

が、これらの情報は秘密にできる情報ではありません。申告する情報として偽ることが出来るので、確認が完了する前に申請情報に基づいて住所変更できる仕様は問題あり、と言っていいでしょう。

佐藤英治

情報処理安全確保支援士第5338号。ネットワークスペシャリスト。防災士。ITコーディネータ。IPA登録セキュリティプレゼンター。

東北大学大学情報科学研究科第2期生。1994年からインターネットに携わる。システムベンダーの総務社内SEとして、社内システムの構築運用や従業員教育に関与。2015年情報セキュリティ専門法人「まるおかディジタル株式会社」を福井県坂井市丸岡町に設立し現在に至る。研修では基本的に着物でお話させていただいております。

情報セキュリティの研修・IT関連資格取得支援・コンサルティング・セキュリティアクション宣言の支援・取材のお問い合わせなどございましたら、こちらからご連絡ください。

メール・お電話・FAX・Facebook
https://www.maruoka-digital.jp/contact/form/

セミナーの実績

ぜひシェア願います!
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Share on Google+
Google+