1. まとめトップ

この記事は私がまとめました

emo.tamさん

▼ 【3月1日更新】 サービスが停止される

PASMO行動履歴サービスは午後4時頃からアクセス不可になっています。

http://sorry.pasmo-mypage.jp/sorry.htm

パスモ協議会では、「サービスの安全性が十分かどうかを確認する必要がある」としています。

なんて記事には書いてありますが、確認するまでもなく安全性がない状態でした。セキュリティ専門家の高木浩光先生の指摘など、停止に至った経緯などは↓ごらんください。

▼ PASMOの裏面ID番号で他人の行動履歴ってどういうこと?

→ マイページ・PASMO行動履歴サービスの存在

パソコンでPASMOウェブサイトにアクセスして、「マイページ・履歴照会サービス」にご登録いただくと、登録した記名PASMOのSF残額履歴(過去約3ヶ月分の全件)や定期券の購入情報等を確認することができます。また、バスポイントやバスチケット残高も確認することができます。

http://www.pasmo.co.jp/useful/mypage.html

→ 人によっては便利なサービスだけど、何が問題?

赤の他人の氏名、生年月日、電話番号は入手しづらいと思います。例えば、家族、夫、妻、彼氏、彼女、友達はどうでしょうか?Facebook利用者はどうでしょうか?

本人が会員登録してしまえば、PASMOIDに対して新たに会員登録ができないので問題ない!と思いきや、3ヶ月ログインしないと再び他人に勝手に会員登録されてしまうリスクにさらされます。

▼ 補足と現在の対処方法

→ PASMOカード購入時に氏名・生年月日・電話番号を教えた?

再発行可能な記名PASMOや定期PASMOの場合は、氏名・生年月日・電話番号を登録しているので問題あり。ですが、間違えて登録している場合は若干脆弱性が高まります。脆弱性と言っていいのかわかりませんが。

→ 対処方法:マイページ停止センターに連絡して停止してもらう

お客さまのPASMOで「PASMO履歴照会サービス」の登録ができないように設定することができます。ご希望の場合は下記窓口までお申し出ください。

現在の対処方法はこれが一番のようです。

▼ 実は昔から浮気調査などに使われていた?

▼ Twitterの様々な指摘

→ 本件のキモ

今回の問題のキモは、パスモの裏面写真を掲載している人がいるなど、事実の周知されていない点にある。

そして、株式会社パスモは、他人が閲覧できるリスクを知りながらこのサービスを提供している点。「マイページ停止センター」が用意されていることから明らか。 こんなものがオプトアウト方式で許されるはずがない。

→ Facebookとの相乗効果

→ 高木先生の電凸

パスモの登録サイト、糞過ぎる。いまどき政府のサイトでもこんな糞ではないぞ。 ・氏名の仮名は「半角カナ」でないと登録者なしになる。 ・電話番号にハイフンがあると登録者なしになる。 ・カード番号の英字が小文字だと登録者なしになる。 直せよ馬鹿。

この「マイページ停止センター」がいつ設置されたのか訪ねたところ、PASMOが始まって同時、「履歴照会サービス」も同時、最初から「マイページ停止センター」を用意していたという。PASMOのIDi があれば誰でも閲覧できることを認識・認容して、マイページ停止センター」を設定している。

パスモの「マイページ停止センター」の電話係の人(よくあるコールセンター調の対応をする人)は、よく慣れている様子で、基本的な質問に対しては即答だった。それだけ、同様の質問(苦情)をされているということだろう。

やりとりの冒頭だけ紹介。 パ「マイページ停止センターでございます」 私「マイページ停止センターというのは何のためにあるのですか?」 パ「インターネットで履歴を閲覧できるマイページというサービスがパスモにあるのですが、皆さんご自身の履歴を見るために、ご自宅にいながら見られる…

1 2