Profile cover photo
Profile photo
Isao Sugimoto (d6rkaiz)
705 followers -
普段は d6rkaiz という数字を含んだHNを使っております。
普段は d6rkaiz という数字を含んだHNを使っております。

705 followers
About
Posts

google plus新しいのきた( ゚Д゚)
Add a comment...

Twitter障害ときいて。
Add a comment...

Post has shared content
Add a comment...

Post has attachment

Post has attachment

Post has attachment
Add a comment...

Post has attachment

Post has shared content

Post has shared content
Add a comment...

Post has shared content
http://twitter.com/ockeghem/status/234541309950582784 以下に書いたことをまとめました。typoの修正等があります。

Tポイントツールバーについて調べたことを連投します。

tsite.jpはCCCの運営で、ポータルとして認証機能などを持っている。tsearch.tsite.jpはTポイントツールバーが利用する検索サイトでオプトが運営する。tsite.jpの認証状態は共有せず、クッキーtlsc_lにより、顧客とも一対一対応するIDを渡されている。

tlsc_lは45バイトの乱数様のもので、オプト側はこれを顧客IDとして用いるらしい。閲覧履歴の送信時にもtlsc_lが渡されていて、顧客毎に閲覧履歴(URL)が識別できる

http://tsite.jp/r/toolbar/operation_policy/ によりと、CCCはオプトに、「WEB閲覧履歴、性別・生年月日、郵便番号などの属性データを匿名で提供します」とある。氏名やTカード番号ではなく、tlsc_lに変換しているから「匿名」だという理屈らしい

CCCはtlsc_lと個人情報の対応表を持っているから、tlsc_lは個人情報と「容易に照合できる」。一方、オプトが持っているのは、tlsc_lと一部属性値で、個人情報とは照合できないはず。すなわち、オプトは個人情報保護法の制約を受けない、という理屈なのだろう

ところが、tsite.jpの実装がよくない。tsite.jpのセッションIDはtcm_lというクッキーだけど、tsearch.tsite.jpにも渡っている。IEの場合、tsite.jpには送信するが、そのサブドメインには送信しないというCookieは設定できない

従って、tsearch.tsite.jpには、tcm_l(tsite.jpのセッションID)とtlsc_l(顧客番号)がセットで送信される。tcm_lをtsite.jpに送ると氏名は「容易に」取得できる。これは、氏名という個人情報が「容易に照合できる」状態ではないのか?

ということで、(1)CCCはオプトに「個人情報保護法でいう個人情報」を渡さないようにかなり気を使ってる、(2)しかし上記の穴があり、個人情報が容易に照合できるのではないか、という懸念(?)があります、というのが結論
Add a comment...
Wait while more posts are being loaded