私たちは売買される個人データです

VOIのシグネチャーシリーズへようこそ。この最初の記事では、個人データとは何か、私たちがデータである場合は私たちが誰であるか、デジタル活動から逃れることはほとんど不可能であるという事実に関するいくつかの質問に答えます。当社の個人データの悪用には多くのリスクがあります。特にインドネシアでは、個人データの保護を保証する強力な法的根拠がありません。 8月7日金曜日まで、この問題を調査します。 「個人データのプライバシーなし」へようこそ。

ベン・キャッシュ（ヴィゴ・モーテンセン）と彼の妻であるレスリー（トリン・ミラー）でさえ、彼らが何年も森に住んでいて、近代化から孤立しているにもかかわらず、近代文明に戻ることを余儀なくされています。映画「はじまりへの旅」（2016年）では、人間と現代の生活との関係の幅広い側面について語っています。

ベンが野生の子供たちと一緒に得た非常に多くの肯定的な価値観。彼らは健康を害するジャンクフードにさらされることなく、さまざまな高価値の製品を通じて資本主義を誘惑することから解放され、インターネットを情報源として使用する代わりに、本の役割を果たすことにさえ成功します。思考の基礎。

マット・ロスは、さまざまな純度でとてもよく見える人生を詳細に説明しています。監督がベン家の各メンバーと彼らが住んでいる生活の輪の外で回転している現代の生活との関係における人間の闘争を描写することも非常に複雑です。

私たちは、今日のデジタル生活の側面において、多かれ少なかれ同じ状態にあります。ジレンマ、明らか。私たちが日常的に行っているデジタル活動から生じる可能性のあるリスクについては、非常に多くの懸念があります。危険は現実のものです。それが私たちが知らなければならないことです。ただし、デジタル活動をやめることは不可能です。それが私たちが実現する必要があることです。

サイバーセキュリティの専門家であるAlfonsTanujayaは、この事実に同意しています。私たちは皆、基本原則を知っています。この世界には無料の昼食はありません。そのため、無料のアプリケーションとサービスが最初の注目を集めています。彼は、無料で使用できるアプリケーションやサービスを使用するときに支払う可能性のある結果について考えてみてください。

「支払うべき代償がある。無料の製品については、注意しなければならない」と、8月3日月曜日にVOIから連絡を受けたAlfonsは述べた。

商品としての個人データの観点から、私たちはアプリケーションやその他のデジタルサービスを開発する企業にとって資金源となる可能性が非常に高い製品であることを知っておく必要があります。 「はい、私たちは製品です。ユーザーは製品です。したがって、自分で計算する必要があります」とアルフォンス氏。

当社の個人データが特定の当事者によって収益化または現金化された場合の大きな損失。個人データの収益化スキームを検討する前に、まず自分自身をデータと見なす必要があります。私たちがデータである場合、私たちは誰ですか。少なくとも、私たちをデータとして説明できる3つの分類があります。

まず、私たちは「ベースライン」です。基本データには、人口識別番号（NIK）、ファミリーカード（KK）情報、「名前、生年月日、実の母親の名前など。それはドゥカピルにある」など、さまざまなものが含まれています。サイバーセキュリティの専門家AlfonsTanujaya。

第二に、私たちは、私たちが毎日使用するデジタルアプリケーションやサービスにアクセスするためのデジタル電子メールアカウント、ソーシャルメディアを含む「資格情報データ」です。デジタル活動のコンテキストでは、資格情報データが主な商品です。

3番目の視点は、私たちが「財務データ」と同じであるということです。これには、アカウントデータ、PIN認証、およびオンラインとオフラインの両方での財務アクセスに関連するその他の個人情報が含まれます。個人データの各分類には特定の収益化スキームがあり、独立して実行することも、相互に関連付けることもできます。

「つまり、eコマースの世界で最も価値のあるものは資格情報です。次に、財務データ。お金、口座、暗証番号認証など...経済的要因があります。その背後にある経済的動機は、このようなデータが標的にされた」とアルフォンス。

内務省（Dukcapil）の人口総局および市民登録局の個人データの漏洩の事例は、個人データとしての私たちが特定の当事者によってどのように収益化されているかを示している可能性があります。その場合、警察は容疑者を逮捕しました。

Tempo.coが引用したように、加害者はfriendmarketing.comサイトで個人データを販売したことを認めました。個人データは、購入者のニーズに合わせたパッケージなど、さまざまな価格で販売されます。逮捕から、加害者は50,854家族、1,162,864 NIK、761,435携帯電話番号、129,421クレジットカード番号と64,164口座番号を持っていたことが判明しました。

「さまざまな可能性があります（売買の目的）。現在、最も多くの番号が携帯電話番号であることがわかります。詐欺はWhatsApp経由です。目標は、大部分が（金銭的利益）です。さまざまな方法があります。通常は乗っ取られます（ WA）そして友達にお金を頼む-友達、例えば、「アルフォンスは言った。

KreditPlusに属する896千のデータが漏洩し、販売されました。漏洩したデータは次のとおりです。-名前-KTP-電子メール-パスワード-アドレス-HP番号-ジョブデータ-保証人ファミリーのデータKreditPlus自体は、@ ojkindonesiaによって登録および監督されている金融会社です。 pic.twitter.com/wQILwthye1

--Teguh Aprianto（@secgron）2020年8月3日

別のケースが発生しました。フィンテック企業のKreditPlusが関与しています。 8月3日月曜日、サイバーセキュリティ活動家のTeguh ApriantoがTwitterで調査結果を共有した後、この事件は大いに議論されました。 Teguhのアップロードでは、KreditPlusユーザーの896の個人データがハッカーフォーラムで取引されたことが知られています。

漏洩した個人データには、氏名、KTP、メール、パスワード、住所、携帯電話番号、勤務先データ、保証人の家族データなどが含まれます。 KreditPlus自体は、PT Finansial Multi Financeが所有するバイク、自動車、重機向けの多目的商品融資サービスです。 1994年に設立されたこの金融会社も登録されており、金融サービス機構（OJK）によって直接監督されています。

CISSRecのサイバーセキュリティオブザーバーであるPratamaHusadaは、KreditPlusの個人データの漏えいは昨年7月16日から実際に共有されていたと述べました。すべての個人データは78MBのダウンロードデータにラップされています。 430MBのCreditPlus顧客データを取得するには、ダウンロードを抽出する必要があります。これらのデータには、819,976の顧客情報が含まれており、詐欺やその他の犯罪に使用された場合に非常に危険なその他の機密データが含まれています。

KreditPlusの個人データの漏洩は、基本データ、資格情報データ、財務データの少なくとも3種類の個人データが関係しているため、強調することが重要です。そして、明らかに危険について。アルフォンスによれば、犯罪の文脈では、基本的なデータは非常に重要な要素です。犯罪者は、業務を遂行するための「プロビジョニング」であるだけでなく、個人データを使用して、犯罪の収益に対応するために必要な新しいアカウントを開設します。

「これは人口データの漏洩と非常に密接に関連しています。この詐欺師は送金に対応する手段を必要としているためです。新しいアカウントを開設するには、IDカードデータの漏洩が非常に必要です。適切に保護されていれば（データ）詐欺を防ぐために非常に協力的だ」と語った。

個人データの鉱山としてのインドネシアの可能性は計り知れません。特にデジタルの領域では。 HootSuiteとWeAreSocialが行ったGlobalDigital Reports 2020というタイトルの調査によると、インドネシアのインターネットユーザー数は1億7,540万人、つまりインドネシアの2億7,210万人の人口の64％に達しています。この数字は、インターネットユーザーの数がわずか2500万人、つまりインドネシアの総人口の17％であった前年のデータと比較して、大幅な浸透を示しています。

インターネットで現代人のライフスタイルを見れば、個人データの宝庫としての可能性はさらに大きくなります。包括的な説明を含む研究が、ピュー研究所とニールセンによってリリースされました。レポートは、世界の10代の若者の24％が常にインターネットに接続していることを明らかにしています。一方、ほとんどの成人は、デジタルメディアを含む電子メディアにアクセスするのに1日平均10時間を費やしています。

その他の調査は、英国郵便局によって実施されました。 YouGov研究所との共同観察によると、英国の携帯電話ユーザーの53％は、携帯電話のバッテリーが少なくても、携帯電話がないときに不安を感じ、クレジットが不足し、ネットワークの問題を経験しています。 2,163人の回答者のうち55％が、外の世界、特に家族や友人とのつながりを失ったために不安が生じたと述べました。

この状態は、国内の人々を含む世界のほぼすべての市民が経験しています。インドネシアにとって、今年は個人データの保護と管理に向けた取り組みを継続するための重要な瞬間です。この事件を振り返ると、2020年の最初の学期だけでも、少なくとも5件の大規模な個人データ漏えいが発生しました。

個人データの漏えいは、何億人ものインドネシア人に損害を与えたと推定されています。これらのケースのうち3つは、Tokopedia、Bukalapak、Bhinneka.comの3つの巨大なeコマース企業に関係していました。一方、他の2つのケース、すなわちCOVID-19患者に関するデータの漏洩と、総選挙委員会（KPU）からのデータの漏洩は政府機関に関係していました。

インドネシアでは、個人データのセキュリティ保証は理想からほど遠いです。たとえば、上記の場合。私たち真の所有者は、個人データ管理者を訴えることができます。しかし、この種の問題を完全に解決できる包括的な規制はありません。

技術的には、個人データの場合に使用できる法的根拠は民法（KUHPer）です。第1365条は、他人に危害を加えるすべての行為は、損失を引き起こした当事者に補償を要求すると説明しています。

個人データに関連する損失および違反は、情報および電子取引（ITE）法によって規制されています。個人データの所有者は、個人データの漏洩が発生した場合に法的措置をとることができます。まず、個人データを盗むために電子システムのハッカーを訴えることによって。

ITE法はまた、電子メディアでの個人データの使用は、関係者、この場合はデータ所有者との合意に基づく必要があることを規定しています。承認の条件は、ITE法の派生規則、すなわち2019年の政府規則（PP）番号71および2016年の通信情報大臣の規則番号20で規制されています。引き続きITE法では、損害賠償請求は承認の条件が満たされない場合、個人データの所有者によって提出されます。

その観点から、個人データの泥棒は法律違反者と見なされます。一方、犯罪の観点から、個人データを取引するハッカーや当事者も投獄される可能性があります。 ITE法は、最大8年の懲役とRpの罰金を規定しています。ハッキングには8億ルピー、懲役10年、個人データ販売の罪には10億ルピアの罰金が科せられます。

ただし、これらの規制は、個人データ保護の複雑な側面を具体的に規制していないため、不十分であると見なされます。たとえば、承認の問題はITE法と呼ばれます。実際には、アプリケーション開発者はしばしば魅力的な契約条件を提供します。たとえば、ユーザーが多くの点に同意しない場合、アプリケーションはまったく使用できません。

さらに、法的手続きの明確さを必要とする他の多くの現場条件があります。したがって、アルフォンス氏は、インドネシア人の個人データの保護と管理を規制するには、より詳細な規制が必要であると述べた。

「現在、（個人データ保護）は法執行機関に関連しています。したがって、コンパクトである必要があります。DPRも迅速に行動する必要があります。したがって、それを悪用するすべての人は、可能な限り厳しく罰せられる必要があります。したがって、人々は恐れています。抑止効果」と述べた。

シリーズのこの版の執筆に従ってください：私達は取引されたデータです