質問:
GDPRでパスワードハッシュのコピーをリクエストできますか?
Benoit Esnard
2018-05-28 14:33:28 UTC
view on stackexchange narkive permalink

人は名前や生年月日などの個人情報を使用して作成することが多く、複数のサイトでパスワードを再利用することが多いため、パスワードは所有者を特定できるため、個人データと見なされると思います。

ウェブサイトがパスワードハッシュに関するベストプラクティスに従わない場合、ハッシュプロセス全体が基本的に役に立たなくなる可能性があるため、パスワードハッシュも個人データと見なされると思います。

GDPR、パスワードハッシュのコピーをリクエストできますか?

IANALですが、選択できない*生年月日と、ランダムに生成する必要のあるパスワードには大きな違いがあります。前者の種類の情報は、本質的にあなたを識別します。後者は、それを複数回使用することによって接線方向にのみ。つまり私はあなたの前提がまったく成り立たないと思います。 DBの行にレコードを識別するid列があるからといって、それが個人データであり、それを知っているか、変更/削除する権利があることを意味するわけではありません。これは内部識別子のみです。
衒学者であるために、IANALと確かに私はGDPRの専門家ではありませんが、GDPRがパスワードハッシュのコピーを要求することを禁止していないことを99.99999%確信しています。 GDPRでは、リクエストを実行する必要があるのではないかと思います。私はそうは思いません。彼らは自分たちの裁量で応答したり、パスワードハッシュで応答したり、ランダムなゴミで応答したりすることができず、コンプライアンスの範囲内にあると思います。
正しくハッシュされたパスワードは、パスワードが異なっていても複数のパスワードが同じハッシュを生成する可能性があるため、個人を一意に識別しません。この単一の事実は、質問全体を無意味にします。なんらかの理由で、この効果に対する私の以前の(賛成の)コメントは削除されました。しないでください。それは関連しています。
二 答え:
Steve Woods
2018-05-28 15:39:43 UTC
view on stackexchange narkive permalink

まず第一に、パスワードは個人データではありません。

「個人データ」とは、識別された、または識別可能な自然人(「データ主体」)に関連する情報を意味します。識別可能な自然人とは、直接または間接的に、特に名前、識別番号、位置データ、オンライン識別子などの識別子、または身体的、生理学的、その自然人の遺伝的、精神的、経済的、文化的、または社会的アイデンティティ。

GDPR第4条( https://gdpr-info.eu

パスワードハッシュについて、あなたのコピーをリクエストするとはどういう意味ですか?ウェブサイトのハッシュアルゴリズムを知っていれば作成できます。

ちなみに、ウェブサイトでは、MD5やSHA1ではなく、bcryptやscryptなどの優れたハッシュアルゴリズムを使用する必要があります。

コメントは詳細な議論のためのものではありません。この会話は[チャットに移動](https://chat.stackexchange.com/rooms/78159/discussion-on-answer-by-steve-woods-can-i-request-a-copy-of-my- password-hash-wit)。
reed
2018-05-28 17:55:10 UTC
view on stackexchange narkive permalink

私の見方では、 識別された、または識別可能な人物に関連付けることができる情報はすべて個人情報です。したがって、パスワードハッシュは、電子メールまたはユーザーを識別できるその他のデータに明確に関連付けられた方法でデータベースに確実に保存されるため、個人情報です。ただし、考慮すべき点が2つあると思います。

  • 個人データの表示を実際に要求することはありませんが(ハッシュであり、パスワードは表示されません)、実際にはどのようにあなたの個人データが保存されるか。おそらく、データがどのように正確に保存されているかについての詳細を知る権利はありません。ただし、セキュリティに関するすべてのベストプラクティスに従っている、またはいくつかの基準に従っているなどの公式声明を除きます。
  • ハッシュの送信パスワードハッシュをユーザーに伝えるのは良い考えではないように思われるため、実際にはセキュリティポリシー、標準、または慣行を無効にする可能性があります。システムに安全に保存および管理されている場合、ハッシュをユーザーに伝達することでセキュリティを低下させるリスクがあるのはなぜですか?

上記の理由から、「個人データのセキュリティ」(セクション2)のGDPR原則は、理由もなくハッシュを表示する権利よりも間違いなく重要だと思います。

それがこの圧倒的な規制の問題です。小さなウェブサイトの所有者、ブロガー、サーバーを実行している個人でさえ、IPv4アドレスと個人の間の点を結ぶ現実的なチャンスはありません。グーグル、フェイスブック、その他の大企業は、国民国家とともにそれを行う立場にあるでしょう。しかし、規制は、コンテキストに関係なく、IPを同じように(乱用)使用できると偽っています...同時に、個人データに関しては、政府の行き過ぎから市民を保護することはできません。
@0xC0000022L。 GDPRが圧倒的であるかどうかはまだわかりません。判例はまだありません。私の目には、GDPRは指令95/46 / ECと*ほぼ*同一です。そのための判例は13年あり、空は落ちていません。
@0xC0000022L,は、特定のユーザーのみがアクセスできるログで特定のパスを検索することにより、IPをユーザーに関連付けることができます。たとえば、* / users / JohnDoe / private-messages / 123 *のようなパスを要求するIPはほぼ確実にJohnDoeです。ただし、技術的およびセキュリティ上の理由からAFAIKアクセスログが必要なため、とにかくIPをログに記録する権利があります。
そのようなシナリオでの@reed:は正しいです。しかし、Webサービス(フォーラムなど)を考えると、 `JohnDoe`はおそらく、プライバシーを重視するユーザーが選択した仮名のハンドルです。つまり、「JohnDoe」がIP x.y.z.aを使用していたことはわかりますが、それだけです。小さなウェブサイトの所有者として私ができる最善のことは、IPの非常に粗い地理的位置を試みることです。したがって、Googleは、Androidの使用状況に関するメタデータ、および無数のWeb検索と追跡を持っているため、収集した膨大な量のデータを相互参照することで、私の本名や住所を見つけることができるでしょう。
いいえ、規制では、この種の関連付けを行っているかどうかを具体的に考慮しています。 IPアドレスをユーザーに*関連付けない*場合、それらは実際には個人データではありません。
@pjc50:これはEU全体では当てはまりません。ドイツでは、2016年にGDPRが可決される前から、IPアドレスが個人データと見なされていたことを偶然知っています。
@0xC0000022L,では、IPアドレスを使用して多くのことを実行できます。ニックネームに関連付けることができます。ニックネームは通常、電子メールなどに関連付けられます。セッションでアクセスしたすべてのページ、時間などを追跡できます。ジオロケーションを行い、ジオロケーションの変更を確認して、ユーザーが移動した場所を推測します。個人データです。それを使用しない場合は、問題ありません。技術的な理由でIPがログに記録されると言ってください。ただし、それを使用して他の個人データと一緒に処理する場合は、ユーザーがそれを受け入れ、プライバシーポリシーに記載する必要があります。ただし、これはすべてここではトピックから外れています。
@0xC0000022Lドイツ語であっても、その引用に興味があります。この問題については本当に明確に欠けています
私が知っているIPのBGHによる分類が2017年5月のものであり、「VIZR135 / 13」として提出されたことを確認する@pjc50:の最新の判決。おおまかにリードが指摘したところまで来ているようです。 IPを個人にマッピングする手段がある場合、それはその分類に分類されます。残念ながら、その手段は「法的手段」(ISPに令状が渡されると考えてください)自体に限定されていません。したがって、大企業と小さなウェブサイトの所有者の間の格差は残っています。
@0xC0000022L小規模なWebサイト運営者は、セキュリティについての注意や知識が少ない傾向があり、データベースが政府や犯罪組織の手に渡るリスクが高まります。私は法律の専門家ではありませんが、「データをどう処理するかを知るには小さすぎる」という議論は、データを適切に処理する必要性を免れるべきではありません。
2016年、司法裁判所(EU)は、動的IPアドレスは個人データと見なされると判断しました。次のプレスリリースを参照してください:https://curia.europa.eu/jcms/upload/docs/application/pdf/2016-10/ cp160112en.pdf
しかし、@MikeOunsworthは私の主張ではありません。
ユーザーがユーザー名とパスワードのみを持ち、他のID(名前、住所など)を持っていない場合でも、このハッシュは「個人データ」ですか? GDPRはまもなく改訂されると思います。
パスワードハッシュが個人情報であるという事実に異議を唱えます。ほとんどの情報は、最終的には人を情報源として持っています。それは個人情報という意味ではありません。名前、身長、体重、性別などのデータはあなたの人と直接関係していますが、パスワードはあなたが作成したデータの一部であり、発信者としてのあなた以外の人としてのあなたとは関係がありません。


このQ&Aは英語から自動的に翻訳されました。オリジナルのコンテンツはstackexchangeで入手できます。これは、配布されているcc by-sa 4.0ライセンスに感謝します。
Loading...