「隠すの絶対そっちじゃなくない??!!まあまあの確率で当たるよコレ???!!!」と🥕野菜子(おかださいこ)@小田原(@okada_saiko)さんが公開した画像が驚きです。袋とじの通知を開けると、登録メールアドレスが案内されていますが、伏せ字になっているのはなぜかドメイン名のほう。「※セキュリティの観点から「@」以下を非表示にしています。」と書かれていますが、この通知作成した企業のセキュリティー意識、大丈夫か…。
メールアドレスは、@(アットマーク)の右側に書かれたドメイン名と、@の左側に書かれたユーザー名(メールアカウント)で構成されます。通常こうした案内は、郵便ポスト荒らしによる情報流出のリスクを考えると、ユーザー名を隠すのが賢明です。
おかださんのツイートには3万以上のいいねがつき、「コレは酷い」「逆」「情報教育の敗北」「セキュリティ激甘企業」「この仕様作った人はまずITパスポートからだな」と表示のあり方に首をかしげたり、担当者に勉強を促したりするコメントが相次いでいます。おかださんに聞きました。
送ってきたのは保険会社
ーこの郵便物は自治体ですか、民間ですか
「保険会社です。社名は伏せますが上場企業です。ちなみにリプ欄で推測されていた企業ではありません」
ー投稿画像ではスタンプで隠されていますが、通知ではユーザー名がフルオープンだったんですね
「最初に見た時の「ん……?」という違和感が「ええーーー?!www」という驚きに変わり、少し考えて「いやいやこれじゃダメだろwwww」と。ちなみに隠してある文字数、本当のドメインの文字数と同じなんです。この時点で、主要なドメインの中でもう2択くらいに絞られます笑」
ー…もう何というか
「『セキュリティの観点から』と書きながら、『これじゃダメでしょ笑』と突っ込まずにはいられませんでした。同じユーザー名で複数メールアドレスを作っている方の場合、ドメイン名が分からないとどのメールアドレスか分からないということはありそうなので、やはり理想は『ユーザー名は虫食いで(最初と最後の文字だけなど)一部表示、ドメイン名は全表示』の形が、リマインド機能とセキュリティのバランスが良いかなと思います」
ーこの通知を送ってきた事業者にアドバイスを
「個人的にはPWさえ漏洩しなければ、メールアドレスが誰かに知られてしまう可能性があることに大きなリスクは感じておらず、ここに全て記載されていても構わないとも思っています。でも、それは私個人の考えで、知られたくない人もいると思います。袋とじにはなっていますが、郵便が間違って届く可能性も、誰かに抜き取られる可能性もあり、そのときにはこの状態ではメールアドレスの特定は容易です」
ー利用者の立場で考えて、ということですね
「もしかしたら、個人の場合は主要ドメインの数は限られているという感覚がなかったのかもしれません。でも多くの人が気が付くことになぜ思いが及ばなかったのか、この企業の意思決定と承認プロセスは気になります。ユーザーの立場になって、複数の観点で確認できるようになっていただきたいです」
メールアドレスは個人情報?
総務省は個人情報に関するQAページで、「メールアドレスは、個人情報に該当しますか」という質問に、「記号を羅列したもののように、それだけでは特定の個人を識別できない場合には、個人情報には該当しませんが、特定の個人を識別できる場合には個人情報に該当します」と説明。また「メールアドレスから直ちに特定の個人を識別することが難しい場合であっても、メールアドレスは、各個人にとって私信を受け取るなどのためのインターネット上の住所とも言うべきものであり、慎重かつ適正に取り扱う必要があることに変わりはありません」と述べています。
企業の個人情報を扱う担当者の皆さん、よろしくお願いします。