PASMOの「マイページ・PASMO履歴照会サービス」が廃止

3月に一時停止措置がなされた「マイページ・PASMO履歴照会サービス」ですが、結局そのまま終了ということになったようです。

終了の理由はこのように書かれています。

しかしながら、昨今のソーシャル・ネットワーキング・サービス(SNS)の普及等により、「氏名」「生年月日」「電話番号」に留まらず、場合によっては「PASMOカード番号」でさえインターネット上で公開されるなど、第三者が登録情報を入手しやすい社会環境になってきており、現状の本人確認方法では、PASMO記名人および同居の家族等以外の全くの第三者により、残額履歴等が閲覧される可能性を完全に排除することが困難となっております。このことから、現行の「マイページ」のシステム仕様ではセキュリティを担保できていないと結論付けました。

えと…、氏名や生年月日についてはそもそも公開情報で、第三者が知り得るのは当然のことです。PASMOカード番号を秘密情報として扱わない人がいるのは、購入時などに番号を公開するリスクが説明されていないからで、SNSの普及は結果論に過ぎません。

現行のシステムではセキュリティを担保できないというのはその通りで、安全なシステムにするためには本人確認のうえ仮パスワードを発行するなど、ウェブ以外も含めた大幅な改修が必要で、パスモとしてはそのような対応はできないと判断したものと思われます。

ところで、公式リリースだけでなく各ニュースメディアからも記事が出ていますが、ひどいと思ったのは読売新聞の記事。

タイトルからしておかしいですね。「浮気調査」はこのシステムを使った悪用例のひとつに過ぎす、まるで浮気調査に使われたから廃止したように読めてしまいます。

そして本文を見ると…。

サービスの利用登録者は、過去約3か月間の乗車履歴や残額などを閲覧できる仕組みだったが、カード番号や登録者の氏名、生年月日、電話番号が分かれば第三者も見ることができた。

違います。履歴を見るのに必要な情報はIDとパスワードで、一般的なウェブシステムと同様です。

問題だったのは、カード番号と氏名、生年月日、電話番号のみで会員登録ができること、また登録済みでも再登録によって上書きされうることです。とくに履歴照会サービスの存在自体を知らない利用者や、使用頻度が低い場合[1]は、他人に登録されてしまってもそれを知るすべがなかったこともまずかったですね。

脚注

  • 1.

    3か月以上利用しなかった場合、再度会員登録が必要だったため、パスワードが変えられていても気づけない。 ↩ 戻る