IPAを甘やかすな2007年02月02日 09時23分03秒

とりあえず、今回のケースでは、はまちや2さんは IPA という独立行政法人に、本名という個人情報 (個人属性?) をあずけたくないという意思表示を示しているという点を無視するべきではないと思いますよ。例えば、警察へ通報を行う際には、必ずしも実名を名乗る必要はありません。

IPA が脆弱性の報告に際して氏名と連絡先の提示を求める根拠は、FAQ の中で説明しています。その根拠というのが中川昭一元経済産業大臣による告示な訳ですが (注: PDF ファイルです!!)、この中では、報告者が氏名を明かさねばならない理由については触れられていません。仮に、情報の信頼性を担保する為なのだとして、それが信頼しうる有効な情報であることを検証する能力が IPA に無いのだとしたら、それはそれで問題なのでは無いでしょうか? (「正確な情報」である必要は必ずしもありません。発見者が脆弱性の危険性について正しく検証できないケースは多々あります。しかしどのような程度の脆弱性であれ、報告の仲介を担う行政機関である以上、開発元に情報を渡し、議論を進める義務はあります。) その検証の根拠を「氏名」といった個人情報の提示に求めているのだとしたら、IPA という機関は無能であると断ぜざるを得ないし、そのような機関を信用して利用しようとする人は少なくなるかもしれません。

kyoumoe さんが言わんとすることもわかります。物事を前に進める為には、お互いの協力関係が必須であり、それを円滑に進める為のコミュニケーション作法はあってもいいだろうと。そしてその作法に準じないはまちや2さんの行動を囃し立てる行為を「幼稚だ」と断じたくなる気持ちもわかります。

しかし、世の中にはいろんな人がいる。はてぶでの反響が大きいだけに、多くの人がはまちや2さんの行動を賞賛しているように見えるのかもしれませんが、単純に関連する 3つの記事のブックマーク数だけ見たって所詮は述べ件数でも数百じゃないですか。こんなもん、「そういう人もいる」の域を出ません。全然日本終わってる根拠になんてなりゃしない。

むしろ、こういう、いろんな人がいるからこそ、コミュニケーションにおける作法とか、態度の取り方とかについて、各々が考えながら生きる必要があるんです。みんなが同じように礼儀正しかったら、コミュニケーション作法なんて考える必要も無い。

IPA には今回の件から早めに教訓を得て、報告者の氏名の扱いについて考えを改めて頂きたいです。信頼性に対する薄弱な根拠を担保にすることと、報告の敷居を下げ、コンピュータ利用の安全性底上げを早めること。優先順位は、はたしてどちらの方が上でしょうか?


Fri Feb 2 23:11:21 JST 2007 - 追記

正論ではあるんだが,敷居を下げたら下げたで別の問題も出てくるんだよね.いたずらの届出ばかりになって制度が機能しなくなるのも困りもの.

おいらはその辺についてはあんまり心配していません。現状でもいたずらはもっとたくさんあってもいいだろうし、その度にこの手の返事を返しているんだとすれば既に結構な手間ですし。はまちや2さんも (返信の書面で) 書いている通り、そもそも本名であることを確認する術が IPA にはない、という意味でも、氏名を要求することにあまり意味を感じません。

そもそもそんなはまちや2さんでも、メールアドレスは律儀に伝えているわけですし (当人も連絡を取り合うことの必要性は認識していらっさるのでしょう、っていうかリアクションが返ってくることを期待できなきゃそもそもブログのネタにもならんかw)、そこさえ守らせていれば、厳密なことを言えば実は既に匿名ではないわけで。