PSN全面サービス再開Xデーは5月31日(火) か? プレイステーションストア再開に至らない理由

本日、長らく停止していたPlayStation Networkの一部サービスが再開されました。しかしPlayStation Storeの再開については具体的な発表がありません。SCEは5月中の全面サービス再開を目論んでいますが、サービス全面再開に至らない理由、つまり今欠けているものは何なのでしょうか。ヒントは2011年5月27日付の「株式会社ソニー・コンピュータエンタテインメントに対する個人情報保護法に基づく指導について」という経済産業省の発表にありました。

まずはソニーの7700万人件にも及ぶ個人情報漏洩事件のこれまでの経緯をまとめてみました。

    2011年4月16日から17日にかけて、サーバーがハッカーの侵入を受ける

    2011年4月21日
    13:00頃からPSNにサインインできなくなる

    2011年4月22日
    調査を行っているが、復旧までに一両日かかる可能性と発表

    2011年4月23日
    SCEが「外部要因」を初めて認める。徹底的な原因究明と安定したネットワークサービスの提供のためにという理由でサービス停止と発表

    2011年4月24日
    システムセキュリティを更に強化するために必要不可欠なシステムの再構築を行っているため時間を要していると説明

    2011年4月26日
    SCEより経済産業省へ、PSNとキュリオシティのネットワークから、不正侵入により個人情報が漏洩した可能性があるとの連絡を入れる。SCEは経済産業省に1回目の任意の事情聴取を受ける
    その一方で25日から26日にかけて、公式サイトを更新せずユーザーに対して情報提供を遮断。

    2011年4月27日
    不正アクセスにより、アカウント情報が漏洩していた可能性があることが判明と初めて発表
    7700万人分の個人情報が流出した可能性を発表。クレジットカード情報流出の可能性も否定できないとして史上最大の個人情報流出事件へ発展

    2011年5月1日
    この日までにSCEは合計3回の経済産業省からの任意の事情聴取を受ける
    個人情報保護法第32条の規定に基づき経済産業省がSCEに報告を求める
    午後2時から日本で記者会見し、状況と今後の対策を説明

    2011年5月7日
    サービス再開については安全性を確保した上で地域ごとに段階的に実施し、日本国内でのサービス再開スケジュールについては決まり次第発表すると公表

    2011年5月12日
    より高度なセキュリティを実現し安全性を確実なものとするための検証を行っている段階と進捗状況を説明

    2011年5月15日
    アカウントパスワードを強制的に変更させるPS3システムソフトウェア バージョン3.61アップデートを開始
    米国および欧州地域において、PSN/Qriocityのサービスを段階的に再開
    日本国内については様々な準備および関係機関との協議中と発表

    2011年5月24日
    アカウントパスワードを強制的に変更させるPSPシステムソフトウェア バージョン6.39アップデートを開始

    2011年5月27日
    SCEが経済産業省に対し漏洩の事実関係、安全管理措置、委託先の監督、消費者保護、再発防止策等について回答

経済産業省はサービス再開を認めなかった原因を
「SCEから米国法人Sony Network Entertainment International LLC(SNEI)への個人情報の管理委託において、個人情報保護法第22条に定める「委託を受けた者に対する必要かつ適切な監督」が行われていなかったと判断」したためと公表
具体的には

1. 委託先のSNEIにはCIOなどの情報セキュリティに関する専門的な責任者がおらず、また、異常発生時における報告連絡体制に係る規程等の整備がされていないなど、組織的安全管理体制に不備があったこと。
2. SNEIにおいては、ネットワークの利用をビジネスの中心とし、かつ、7,700万件もの個人情報を保持していながら、公知の脆弱性について自社で確認する体制が整えられておらず、技術的安全管理体制に不備があったこと。
3. SCEとSNEIとの間には、安全管理措置を遵守させるために必要な委託契約が締結されていないなど、個人情報の取扱状況を直接かつ適切に監督する体制が整えられていなかったこと。

を挙げています。

ただし、SCEのその後の対応が

(1) 記者会見の開催やクレジットカード会社に対する協力要請など、被害の拡大防止に随時努めたこと
(2) 1〜3安全管理措置及び委託先の監督に係る不備を解消し、技術面及び組織面から、安全管理の確保に必要な再発防止策を既に実施しつつあること等、改善に向けた自主的な取組が行われつつある

ため、個人情報保護法第33条(主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関し必要な助言をすることができる。)に基づき経済産業省がSCEに対し指導を行いました。

法律に記載してあるのが助言ですのでここでは助言と表現しておきますが、その助言に基づき行動すればよい=サービス再開を認めることになったと言えます。勧告や命令でなかったのが救いです。
これに伴い、2011年5月27日にSCEは日本およびアジアの国/地域で5月28日より一部サービスを再開するとのプレスリリースを配信しました。

その助言(経済産業省は「指導」と表現しているので助言したものSCEに対する指導ということになる)の内容は

1 個人情報管理に関し、委託先における安全管理措置及び委託先に対する必要かつ適切な監督について、次の措置を講じ、報告のあった再発防止策を確実に実施すること。
(i)委託先における組織的安全管理体制の整備
(ii)委託先における技術的安全管理体制の整備
(iii)委託先における個人情報の取扱状況を直接かつ適切に監督する体制の整備
2 クレジットカード決済を利用しないサービスの再開にあたっては、クレジットカード情報に関する現時点の状況について消費者に周知すること。
また、クレジットカード決済を利用するサービスの再開にあたっては、調査会社からの最終報告を踏まえ、消費者の安心及び安心確保のために必要とされる措置を講ずること。
3 ソニーグループ内他社においても、個人情報の漏洩及び漏洩につながり得る事故が相次いでいる状況を踏まえ、グループ内他社との情報共有及び連携強化を図ることで、グループ内全体における個人情報の安全管理体制の向上に資すること。

本日開始されたのはクレジットカード決済を利用しないサービスのみであるのは上記指導によるものです。
消費者に周知するとされた現時点の状況は下記の内容でした。

4月に行われたPlayStation NetworkおよびQriocityへの不正侵入によって、違法に持ち出されたと考えられる情報の範囲・特定については、外部の調査機関を含んだチームによる調査を継続しています。本日時点において、お客様のクレジットカード情報が持ち出されたという証拠は報告されておりません。また、今回の不正侵入を原因とする不正利用があったということも確認しておりません。

気になるPlayStation Storeの再開については
調査会社からの最終報告を踏まえ、消費者の安心及び安心確保のために必要とされる措置を講ずること
となっています。

つまり、少なくとも調査会社(ソニーの言う所の外部の調査機関を含んだチーム)から報告があり、それを会見など何らかの形で公表した後、「消費者の安心及び安心確保のために必要とされる措置」発表と同時にPlayStation Store再開というシナリオになると予想されます。

5月中の全面サービス再開を目指すのであれば、今日が既に5月28日(土)であり、少なくとも最終結果を報告するはずの経済産業省が日曜日に仕事なんぞするはずがありませんので

5月30日(月)
調査会社からの最終提出(既に受け取り済みで社内検証しているかもしれません)及び経済産業省への報告

5月31日(火) 
サービス全面再開

というシナリオしか残っていません。
当面は5月30日(月)に何らかの発表をSCEが行うかどうかがポイントになりそうです。

[おまけ]
日本の公式サイトにソニー株式会社 代表執行役 副社長 平井 一夫氏からのメッセージがありますが、超眺めがいい高層ビルの上層階でいかにも偉い人っぽい机+イスに座ってのにこやかなお詫びメッセージを語る平井氏の服装のしわの具合や机にわざとらしく配置されているメガネやらマウスやらフォトスタンドらしきものの位置や角度、外の雰囲気などをよく見てみると、北米でのPSN再開時に公開したビデオメッセージとどうやら同時に撮影した様子がうかがえます。

↓これと比べてみてください。

日本語で日本人向けにメッセージ配信しろよと思っていましたが、どうもソニーは準備だけはしていたようです。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

『PSN全面サービス再開Xデーは5月31日(火) か? プレイステーションストア再開に至らない理由』へのコメント

  1. 名前:Matyapiro 投稿日:2011/05/28(土) 23:03:47 ID:66c0dbf9b 返信

    Is there any relation with Honda’s issue?

    • 名前:mamosuke 投稿日:2011/05/28(土) 23:32:24 ID:8f1c5e53e

      うーん、わかりませんね。目的が何かによりますが、個人情報を盗むこと自体が目的だったとすると一連のサイト攻撃の流れかもしれないし。

  2. 名前:Matyapiro 投稿日:2011/05/29(日) 15:51:19 ID:bdd90ebcc 返信

    ありがとうございます。急に日本語入力が出来なくなったもので。
    ところでGamegazウィキを日本語で作ってほしいですね。
    なんか一人で翻訳してられないし、他のウィキは全部英語ですし。そろそろ日々のニュースも膨大になって、あれ、これどこのページだっだけな、ということがあるんです。