とある5丁目で活動する還暦を過ぎたWebプログラマーの覚え書きです。それとかかってくる迷惑電話や、家業のアパート経営について。
オープンソースカンファレンスでのアンケートで協賛企業からのお知らせを送ってもいいとOKしているから送るぜ、とメールに何か書いてあってあったので、ふーんそうなのか、って思うけど、カンファレンス事務局経由ではなくて直接送ってくるものも何だかなと思うけど。メールの中身が本当に暑中見舞いとメールを送る理由だけで、セールス効果も何もないというのも痛いところで。
まあ、これはメールを送ったことでその会社がマイナスになっているから放っておいて、オープンソースカンファレンスのサイト(https://www.ospn.jp/)にアクセスしようとすると、SSL証明書エラーでアクセスできないけど、これは自分ところだけの問題なのかなと。
これでアクセスできなくなるなんて、これからは証明書はきちんと面倒見なければいけないと思うのでした。
最近、登記簿と電話番号データをマッチングした個人データを使って、セールス電話をかけてくる不動産会社が多くなってきているし、その他プロパン会社の営業も重なって来ているので、そのような個人データを使うことがOKか関係省庁に聞いてみた。最近、個人情報保護法は改正されて個人情報保護委員会という組織ができたらしいので、個人情報保護委員会の相談窓口に電話して聞いてみる。
とても個人情報保護委員会の人には、法律に則って丁寧に回答してもらった。以下にやり取りの内容を上げるが、Comment:に続くのは私の個人的な感想。でも、まだまだわからないことばかり。
Q. 土地の登記簿は個人情報か?
A. 個人データである。
コメント
Q. 土地取引以外の営業活動で登記簿の情報を使用してもよいか?
A. 公開されている情報なので使用できる。
コメント
あくまでも登記簿の情報は土地取引が利用目的だから、プロパンの営業は利用目的外だからアウトだと思うけどな。
Q. 登記簿のデータを販売している会社は違法か?
A. 違法ではない。第三者提供のためのオプトアウト届出をしているはず。それだったら削除してくれるはず。(利用停止等)30条
コメント
Q. 住所にマッチングさせた登記簿の載っていない電話番号は個人情報であるか?
A. 個人データである。不正に取得されていなければの話しだけど。
コメント
携帯電話番号はただの記号で個人情報にはならないという話しもある。どっちだ?
Q. どこから入手したかを開示させることができるか?
A. 開示請求してみて。 (開示)28条2項
コメント
これはとてもいい加減だな。名簿を持っている事業者が入手元を教えないというのが実際のところだし、頑張って聞き出すしかないのかな?
Q. セールス電話の会社と個人データの利用目的の通知と公表は行わなければいけないのか?
A. 利用目的はWebサイトか何かで必ず公表すること。(取得に際しての利用目的の通知等)18条 公表していなければ違反。
コメント
これは事業者が個人情報保護法を理解していることが前提だな。
Q. 開示の依頼の方法は? 文書、その場の電話でOKか?
A. 事業者の定めた方法で行う。
コメント
これは事業者が方法を定めていることが前提ということ。大抵の不動産会社は、個人情報保護法なんて知らないから、開示依頼しても無意味かもな。
Q. 削除してもらった場合は文書で改めて通知してもらった方がいいのか?
A. それも事業者の定めた方法に従う
コメント
削除したかどうかは調べようがないから、相手を信じるしかないということみたい。
Q. 個人情報保護法を知らないで電話かけてくるけど、どうしたらいいの?
A. 本社にの個人情報保護の窓口に連絡して。担当でわからなければ上司。それでもダメだったら通報して。当事者同士の解決が一番だけど。
コメント
個人情報保護法なんて知らないし関係ないとか言ってくるやつらが結局多いから、これでは通報が増えるな。
Q. 削除を拒否されたときは、どこの窓口に通報すればいいか?
A. 個人情報保護委員会の窓口に通報して。会社名、連絡先、担当者名、時間、その他状況を窓口で聞くから。
コメント
これまた通報が増えそう。
以上、質問と回答終わり。
ポチップ高齢者への詐欺電話を防止するためにも、NTTはナンバーディスプレイを無料で提供すればいいのにと本当に思う。携帯電話は無料で着信番号表示をしているので固定電話でもできるはず。発信者通知は迷惑電話をかけてくる輩は嫌がるので、ナンバーディスプレイは本当に迷惑電話防止になる。ナンバーディスプレイに契約して対応した電話機ならば、発信者番号を通知しない詐欺電話は非通知になって拒否されるので、少しは安心である。これで詐欺電話は随分と減るので、NTTのナンバーディスプレイは詐欺電話撃退にはお薦めなのである。
とずっと書いているけど、ようやくNTTが高齢者向けにナンバーディスプレイが無料になりました。記事はこちらから。
個人情報保護法なんて、個人データを使われる方を守ってくれるなんて考えていてはダメだと思った。円滑に個人データを使いましょうってことなのね。使われたくなかったら電話した業者に言ってね。ただし、まとめて言わないで個別に言ってね、ってことなのかな。
それにしても、セールス電話を受けるたびに「個人情報保護法って知っている?」って聞くと、ほとんどの不動産会社は「知らない。初めて聞いたとか。」か、「名簿を買ったから大丈夫。」「個人データを削除しろと言われたら削除するって言うから大丈夫。(本当は削除しないけどね)」なんて答えが来る。ほほとんどの不動産業界の人って個人情報保護法なんて知らないで電話かけてくる。特商法についても同じでセールス電話をしているのに知らない。その前に宅地建物取引業法のほうが個人情報の取り扱いでもっと厳しい条項がけどさ。法律の細かい内容なんで理解するまでもないけど、おおまかな知識を講義を受けてから電話するくらいにしたほうがいいのにね。そもそも不動産業界の人は宅建免許を持っていると思ったら大間違い。持っていても宅建法なんて忘れているのではないかと思うくらいの程度。
個人情報保護委員会の相談窓口の人は、そもそも「これは個人情報保護法の○条です。」って言ってくれるくらいに「個人情報保護法は知ってて当たり前でしょう。」という前提で答えてくれる。だけど、もっと啓蒙活動をやったほうがいいぞ。特に全日本不動産協会と一緒に活動したら、もっと個人情報保護について世間に知らしめることの成果が上がるぞ。
ちなみに、ここの国交省のサイトで不動産会社名で検索すると、その会社がどこの協会に所属しているかわかる。中には結果に出てこないような自称不動産会社なんているけどな。
そういえば、全日本不動産協会の個人情報取り扱い窓口で尋ねたら、ここは協会の個人情報の窓口であって、会員の不動産会社の個人情報取り扱いクレーム窓口ではなかった。全然つながらない支部の電話番号を紹介されてしまったので。その辺りの啓蒙活動は全日本不動産協会は力を入れていないと思った。不動産会社ではない者にとっては、全く役に立たない組織かもな。
しつこい不動産屋の対応窓口は以下のページに掲載されているけど、何せ電話がつながらない。
今さらながら二段階認証のためにYubiKeyを購入した。今までは二段階認証にはGoogle認証アプリを使っていた。
サービスの中にはを二段階認証に使えないサービスもある。Evernoteとかセキュリティの設定画面でYubiKeyの設定がなさそうなのだけど、どこかにあるのかな?
Googleのログインは簡単になった。それとDropboxも。GoogleとDropboxはYubiKeyとGoogle認証アプリが併用できる。
パスワード管理のサービスを使っているけど、こちらはGoogle認証で二段階認証を設定しているところにYubiKeyの設定をすると、YubiKeyだけになってGoogle認証が使えなくなる。YubiKeyの設定を解除するとGoogle認証が使えるようになる。このことをサポートに聞いたら、これが仕様だそうだ。複数の二段階認証の入口を許さないことでセキュリティを高めているということなのか。
パスワード管理はYubiKeyを使わずに今まで通りGoogle認証アプリを使うことにする。6桁コードの認証コードを入れるのは面倒だけど、スマートフォンを無くさないと思うけど、小さなYubiKeyを無くしそうで心配だから。でも、スマートフォンって壊れるよね。結局どちらも心配だけど、これはいずれ考えるということで先送り・・・。
まだまだYubiKeyを使いこなせないという感じかな。一番の問題は、どうやってYubiKeyを持ち運ぶかということ。普段は家にいるし、自宅が電子キーなのでキーフォルダなんて持っていないしな。
お客さんのサイトを常時SSL化をしたときのメモ。というか嵌まったことをメモする。
現在は、AWSのELB+EC2(Windows Server)で運用している。EC2はとりあえず一台で運用している。インスタンスが一つではロードバランスとか冗長化と関係ないが、でもEC2一台でもELBを入れておけば、サーバーのアップデートとか入れ替えが簡単だし(言い訳)。
以上を常時SSL化を実施する。まずは、AWS Certificate Managerで証明書を発行する。認証が必要なのでDNSで認証する。AWS Certificate ManagerかかRoute 53に認証するSNAMEを追加してくれるので認証が簡単。
HTTPでアクセスしたとき簡単にリダイレクトの設定をしてしまうとループするようなので、IISのReWriteモジュールにリダイレクトのルールを追加する。Web,configにAWSのサポートページにあったルールを追加するとエラーになる。これからがトラブルの始まり・・・。
IISの設定から手作業でリダイレクトルールを追加する。参考にしたのは、こちらのページ。こちらでエラーもなくリダイレクトルールを追加できた。
次にAWS ELBにHTTPSのリスナを追加する。そのときAWS Certificate Managerで作成した証明書を指定する。これで完了を思いきや、サイトにつながらなくなった。
EC2のセキュリティグループを確認したり、Windows Serverのファイヤウォールを確認したりといろいろやってみたところダメ。これで作業終了かと思ったら、単にELBのセキュリティグループにHTTPSの設定がなかっただけだった。HTTPSを追加したらアクセスできた。
しかし、www.付きのドメインだとEdgeやFirefoxでは証明書エラーとなる。www.なしのドメインだけだと正常。Chromeだとどちらでも保護されていると正常となる。
これはAWS Certificate Managerで証明書を作ったときの失敗だった。www.無しのドメイン名だけで作成していた。www.付きでも大丈夫のように別名を指定して証明書を作ってあげるようにする。おかげで再度証明書を作り直す。
AWS Certificate ManagerでDNS認証で、どういうわけかwww.付きのドメインの認証がやたら時間がかかった。作成に失敗したかと思って、もう一回証明書を作成し直してしまった。www.無しだとすぐに認証してくれたけど、無しだと1時間くらい認証に時間がかかった。これがAWSの仕様かどうかは不明。
ELBのリスナーにHTTPSを追加する。このとき前の証明書の選択項目が残っていてリスナーの追加に失敗する。ELBから一旦別のAWSのサービスに行ってからELBに戻ると正常に追加できた。
これで常時SSL化は完了。HTTPでアクセスしてもHTTPSにリダイレクトしてくれることも確認する。www.付きでも無しでも正常にアクセスしてくれることも確認する。
途中、心が折れそうになったけど、無事に常時SSL化は完了。
ポチップ
