web-dev-qa-db-ja.com

会社が身分証明書のスキャンを要求しました。私は何をすべきか?

私が取引している会社(Uber、Googleなど)が身分証明書のスキャンをリクエストしました。どのように対応すればよいですか?例えば:

  • 書類は必要ですか?これにはどのようなリスクが伴いますか?これらのリスクを減らすためにどのような手順(透かしなど)をとることができますか?
  • 拒否すべきですか?もしそうなら、私にビジネスを続けるように会社を説得する良い方法は何ですか?

コンテキスト:実際の人は、これに遭遇したときにアドバイスを求められることがあります。通常は、ドキュメントを提供して次に進むことをお勧めしますが、参照できる詳細な回答を用意しておくとよいでしょう。

9
paj28

メタに向けられた同じ質問に従って: X会社は私のパスポートのスキャンを要求しました

さまざまなセキュリティドキュメントを頻繁に処理します。これらは、私が人々に提供する指針の一部です。

  • ほとんどのセキュリティ機能はスキャンした画像に表示されません
  • スキャンを白で黒で送信
  • 低解像度または圧縮画像(中/低JPEG)を送信します
  • 可能であれば、ドキュメントの片面のみを添付してください
  • データ保持ポリシーについて会社に尋ねる
  • 銀行またはその他の公証人にスキャンしたコピーを公証してもらいます
  • 会社(Yahooなど)で過去のデータ漏えいがないか検索してください
  • ドキュメントの物理的なプレゼンテーションを手配できるかどうかを確認します。
  • 撤回を許可するサービスへのリンクを含むドキュメントを送信します(有効期限)
  • FAXによる画像の送信について質問する
  • ドキュメント番号のみが必要かどうかを尋ねる(はるかに安全)
  • それでも心配な場合は、物理的/デジタル透かしを適用します

本人確認書類を直接確認しないと、企業が熱湯に流される可能性があります。これは単に悪い習慣です。有効なものはありません言い訳文書の真の所有者を検証しない理由、または実際に真の文書が存在する場合。企業はこの点で残念ながら怠惰です。

インターネットには、米国/カナダ/英国のパスポートや運転免許証など、一般的な書類がたくさんスキャンされています。多くの場合、Photoshopのテンプレートとして提供され、独自の画像を貼り付ける方法、他のいくつかの個人機能(名前/生年月日)を変更する方法、実際のスキャンとしてそれを偽装する方法が説明されています。

画像(または一連の画像)を送信すると、身を守るためにできることはほとんどありません。会社の秘密に関しては、データ損失防止に関連する研究の全領域があります。これらのほとんどは、複雑な設定を必要とするため、「平均ジョー」には適用できません。

ドキュメントのスキャンの送信を拒否することにより、何かを隠しているように見えますが、これは事実である場合とそうでない場合があります。求人に応募する際に、身分証明書のメール送信を拒否すると、機会を失う可能性があります。ですから、残念ながら、あなたは岩と難しい場所の間にいます。

2
dark_st3alth

写真と名前を一致させるのに必要のない部分(スキャンする前にテーピングして)を削除することをお勧めします(パスポートやシリアル番号など)。この目的について、パスワードスキャンを要求する当事者に尋ねて、どの部分が不可欠であるか、なぜ必要なのか、どのようにスキャンを保存するのか、いつすべてのメディアから削除するのかを理解します。多分写真は彼らに関連していないか、あなたは彼らにそれを示すウェブカメラセッションを持つことができます。

ドイツでは、IDカードの電子スキャンを禁止する法律が実際にあります。「Personalausweisgesetz」( §20 PAuswG )です。コピー機の使用のみが許可されていますが(基本的には「紙に保存」するため)、コピーを要求する会社または担当者は、シリアル番号をブラックアウトする権利があることを通知する必要があります。コピーは、その目的が達成されたらすぐに破棄する必要があります。要約されたすべてのガイドラインを見つける ここ 。しかし、ドイツには世界最高のデータ保護法があることを知っておく必要があるので、他の国がこの例に従わない場合でも驚かないでください。

注:最初に回答した ここ 、この質問を探していませんでした。 @ paj28 彼の発言に感謝します。

3
Anton Kaiser

スキャンしたドキュメントを使用して特定のレベルの識別を要求することは、ビジネスを行う組織にとって珍しいことではありません。

あなたはあなたが提示している情報と誰に向けた情報の現実的な評価を行う必要があります。それが合理的であるかどうかを根本的に判断することは不可能です。なぜならそれはあなたがしているビジネス、価値、リスク(あなたと彼らの両方)などに依存するからです。

共有を求められている情報の多くは、それほど機密性が高いとは限らないことを念頭に置いてください。たとえば、クレジットカードをコピーし、そのCVVの裏側もコピーして送信すると、組織はとにかくそのデータを取得する可能性があります。おそらく、彼らはあなたが正当で経済的に安全なビジネスであることを証明するものとして会社の請求書や銀行の明細書を求めます-その場合、彼らは彼らがすでに知っているより少しだけ多くのお金を払った人やいくらであったかなどの余分なものを手に入れます。最近あなたの会社の銀行口座に。価値のある(おそらく)ビジネスを行う相手にそれを渡すとき、それはあなたにとって大きなリスクですか?

許容できないリスクを伴うと思われるドキュメントがある場合は、代替案を受け入れるようにしてください。

2
Julian Knight