最近、久しぶりに実家から MyJCB のサイトにアクセスした。その際、ちょっと気になることがあって問合せを行ったのだが、その回答が、「これはいかがした物か?」という印象の物だったという、そういうお話しです。
もともと、いつもと違う場所からのサイトだったため、秘密の合い言葉をふくめ、いろいろと問いただされました。
まあ、いまだに「秘密の合い言葉」なんて使っていて、このサイトは大丈夫か? という疑念を別にすれば、これは当然の処置でしょう。
この段階では、なにも苦情を言うつもりはありません。
で、すすんでいくうちに、「カードの有効期限とセキュリティコード」の入力を求められました。
もちろん、これも、問題ありません。
が、実は、ここでまず私の方がちょっとミスをしました。
ミスをしたまま、「OK」をクリックするとエラーメッセージが。
> セキュリティコードが間違っています
そして、ご丁寧に、入力した有効期限はそのままで、セキュリティコード部分が「消えた」状態の画面が表示されます。
さあ、ここで、普通の人は何をするでしょうか?
私も普通の人なので、セキュリティコードを再入力しました。
そして、3回ほど「セキュリティコードが間違っています」を繰り返した後、別のことに気づきます。
「有効期限が一桁の時は、頭のゼロをつけてください」
実際に、有効期限の「月」が一桁だったので、0をつけ忘れていたのです。
で、0をつけたら、「OK」でした。
が、してみると、この「セキュリティコードが間違っています」というエラーメッセージは誠に不適切ですよね。
そこで、「有効期限とセキュリティコードを同時に求める画面のエラー処理がおかしいですよ」と、問い合わせをしました。
と、その回答が……
> お問い合わせ内容からはお客様を特定できず、
> 該当の画面や事象を特定できず、ご案内が難しい状況です。
> そのため、お電話でカード番号やご本人様確認事項、
> 状況をお伺いしたく存じます。
> お手数をおかけしますが、カード裏面に記載の発行会社まで
> ご本人様よりお電話でお問い合わせください。
いやいや、「有効期限とセキュリティコードを同時に求める画面のエラー処理がおかしい」のは、アカウントに依存しているのでしょうか?
そこで、2回目の質問では、要求を具体的な形で、
1) 御社 My JCB サイトにおいて、同じページで「カードの有効期限とセキュリティコード」の入力を要求する部分をリストアップしてください。
2) そのページで以下の情報を入力したときに、どのようなエラーメッセージが出力されるか確認してください。
・有効期限の「月」を、9 と入力(先行の0がないためフォーマットエラー)
・有効期限の「年」を正しく、26と入力
・セキュリティコードを正しく入力
3) その際、出力されたエラーメッセージは、「セキュリティコードが誤り」という趣旨でした。
4) さらに、入力した情報の内、セキュリティコード「だけ」がクリアされた画面が表示されました。
5) このエラーメッセージならびに、再入力を促す画面について是非を判断してください。
と、リストアップしました。
さらにその回答では、「いつもと違う場所からのアクセスであれば、『秘密の合い言葉』の画面ですが、(ここまでは正しい)そこでは、カードの有効期限とセキュリティコードを求めません」と、ご丁寧に
<「秘密の合い言葉」について>
https://www.jcb.co.jp/myjcb/pop/secret-qa.html
という説明までつけてくださいましたが……が、「登録画面」のつぎが、「確認画面」となっていて、その、「画面例」には、「有効期限とセキュリティコードを求める」画面が紹介されています。
少なくとも、一般的には、確認画面として出てくる画面ですね……と、自ら暴露と。
いずれにしても、普通に Webを管理していれば、「カードの有効期限とセキュリティコードを求める画面でのエラー処理がおかしい」だけで、対応はできるのではないかなと思います。
万一、「セキュリティコードを求める画面で、処理の不手際からセキュリティコードが漏洩する恐れがある」なんて事態に、「お客様のアカウントがわからないと対処できません」なんて言っている余裕はないはず。
結局、「なんか、ポイントがおかしいです」のような、「アカウントに依存した」問合せと、「有効期限の頭のゼロをつけなかった場合のエラーメッセージが変です」というWebシステムに関する問合せの区別もつかず、「かくかくしかじかの画面」も探すことができない。
こんな管理で大丈夫か? と、少々不安になった次第です。
2024年09月16日
「個人情報保護」という言い訳――四天王寺中学・「立学の精神の賞」疑惑を巡って
知っている人は知っている……というお話しではあるのだが、この世の中に、四天王寺中学卒業時に、「立学の精神の賞」なるものを受賞したと称している人が、ひとりだけ存在する。
ほかにこの賞に触れている人が皆無だったりもあり、どうも、存在しない賞のようなのだが、当人はこの賞を受賞したことがかなりのお気に入りのようだ。
実際に、この人の「著作」なる物も存在していて、
https://www.kinokuniya.co.jp/f/dsg-01-9784883921614
https://books.rakuten.co.jp/rb/9854500/
では、著者紹介(もっとも、書籍に記載した内容をそのまま書いたも)でも、しっかり、「四天王寺中学校卒業時、立学の精神の賞を授与」と書かれている。
さて、もしも、存在しない賞だとしたらこれは、特に、第三者のWebに受賞記録として明記されているのは問題ではなかろうか?
ということで、かなり時間が経っているのではあるが、当の四天王寺中学にメールで問合せをしてみた。
趣旨は、
> さて、四天王寺中学校には、卒業時に授与される「立学の精神の賞」なるものが存在
> していた事があるのでしょうか?
> そちら様に問合せを行った、数人の方からは、「そのような賞は存在しなかった」と
> いうお話も伺っています。が、それぞれに、そちら様からの直接の回答を開示される
> 方はおらず、今一度確認をいたしたくなった次第です。
そして、過去「回答を開示されたくない」ということも聞いていたので、上記のwebを紹介した上で、
> これは、そちら様に対しては、詐称に等しいのではないかと思います。
> さらに、当人は、「この賞はあります。疑うなら、ちゃんと学校に確認してください」
> とまで言い切ります。
> そこで、本件、「立学の精神の賞」の存在有無について、ご回答をいただければうれし
> いのですが、その回答を開示するのは困るという場合、そちら様のWebの「お知らせ」
> 等の一部にでも、「本学から『立学の精神の賞』を授与されたという者がいるが、本学
> はそのような物を授与したことはない(例文)」のような文言をお書きになるというの
> はいかがでしょうか?
という提案もしたのでした。
そして、その回答は、
info-stnnj@shitennoji.ed.jp からの、Wed, 28 Aug 2024 01:18:59 +0000 に書かれた、
Message-ID:
のメールによれば、
> 本校といたしましては、卒業生・在校生に関する記録等については、
> 個人情報の観点から一切お伝えいたしかねます。
ということでした。
「誰それは受賞したことがあったか?」とか、「受賞したのは誰か?」という質問であれば、個人情報の観点がともいえるでしょう。
しかし、「その賞は実在するのか否か?」が、どのように、「個人情報の観点」なのでしょう?
その点については、再度、
> しかしながら、本質的には「四天王寺中学における、『立学の精神の賞』の存在有無」について
> お伺いしたものです。
> この、特定の賞の存在有無が、「卒業生・在校生に関する記録」であるとは到底思えません。
> どなたがこの受賞したのかとか、だれそれが、賞を受賞したのかと問うたのでは、なく、単純に
> 賞の存在有無をお伺いしたに過ぎないのですが。
と問い合わせても、回答はありませんでした。
結果的に、
・Webで紹介された人物は、実際の卒業生であることを否定しない
・そして、その人物が、「立学の精神の賞」なるものを受賞したことを否定しない。
・結果的に、紹介した web に書かれていたことも、学校としては何ら不都合ではない。
ということになるわけですが。
これほどまでに
「本校といたしましては、卒業生・在校生に関する記録等については、個人情報の観点から一切お伝えいたしかねます」
というのは、回答を断る協力な「駒」になってしまったのでしょうか?
ほかにこの賞に触れている人が皆無だったりもあり、どうも、存在しない賞のようなのだが、当人はこの賞を受賞したことがかなりのお気に入りのようだ。
実際に、この人の「著作」なる物も存在していて、
https://www.kinokuniya.co.jp/f/dsg-01-9784883921614
https://books.rakuten.co.jp/rb/9854500/
では、著者紹介(もっとも、書籍に記載した内容をそのまま書いたも)でも、しっかり、「四天王寺中学校卒業時、立学の精神の賞を授与」と書かれている。
さて、もしも、存在しない賞だとしたらこれは、特に、第三者のWebに受賞記録として明記されているのは問題ではなかろうか?
ということで、かなり時間が経っているのではあるが、当の四天王寺中学にメールで問合せをしてみた。
趣旨は、
> さて、四天王寺中学校には、卒業時に授与される「立学の精神の賞」なるものが存在
> していた事があるのでしょうか?
> そちら様に問合せを行った、数人の方からは、「そのような賞は存在しなかった」と
> いうお話も伺っています。が、それぞれに、そちら様からの直接の回答を開示される
> 方はおらず、今一度確認をいたしたくなった次第です。
そして、過去「回答を開示されたくない」ということも聞いていたので、上記のwebを紹介した上で、
> これは、そちら様に対しては、詐称に等しいのではないかと思います。
> さらに、当人は、「この賞はあります。疑うなら、ちゃんと学校に確認してください」
> とまで言い切ります。
> そこで、本件、「立学の精神の賞」の存在有無について、ご回答をいただければうれし
> いのですが、その回答を開示するのは困るという場合、そちら様のWebの「お知らせ」
> 等の一部にでも、「本学から『立学の精神の賞』を授与されたという者がいるが、本学
> はそのような物を授与したことはない(例文)」のような文言をお書きになるというの
> はいかがでしょうか?
という提案もしたのでした。
そして、その回答は、
info-stnnj@shitennoji.ed.jp からの、Wed, 28 Aug 2024 01:18:59 +0000 に書かれた、
Message-ID:
のメールによれば、
> 本校といたしましては、卒業生・在校生に関する記録等については、
> 個人情報の観点から一切お伝えいたしかねます。
ということでした。
「誰それは受賞したことがあったか?」とか、「受賞したのは誰か?」という質問であれば、個人情報の観点がともいえるでしょう。
しかし、「その賞は実在するのか否か?」が、どのように、「個人情報の観点」なのでしょう?
その点については、再度、
> しかしながら、本質的には「四天王寺中学における、『立学の精神の賞』の存在有無」について
> お伺いしたものです。
> この、特定の賞の存在有無が、「卒業生・在校生に関する記録」であるとは到底思えません。
> どなたがこの受賞したのかとか、だれそれが、賞を受賞したのかと問うたのでは、なく、単純に
> 賞の存在有無をお伺いしたに過ぎないのですが。
と問い合わせても、回答はありませんでした。
結果的に、
・Webで紹介された人物は、実際の卒業生であることを否定しない
・そして、その人物が、「立学の精神の賞」なるものを受賞したことを否定しない。
・結果的に、紹介した web に書かれていたことも、学校としては何ら不都合ではない。
ということになるわけですが。
これほどまでに
「本校といたしましては、卒業生・在校生に関する記録等については、個人情報の観点から一切お伝えいたしかねます」
というのは、回答を断る協力な「駒」になってしまったのでしょうか?