2011.10.26

衆議院のシステムにアタック?

朝日新聞より「全衆院議員のパスワード盗難か 管理者権限で操作

衆院のネットサーバーや衆院議員らの公務用パソコンがサイバー攻撃を受けた問題で、議員と秘書の計約960人全員分のIDとパスワードが盗まれた疑いがあることが朝日新聞の調べでわかった。

侵入者は、すべてのサーバーやパソコンのデータなどを操作できる「管理者パスワード」の盗み出しにも成功。

これを入手したことで、衆院のネットワーク内を自在に動き回れるようになったという。

関係者によると、侵入者は今年7月末以降、ウイルスを感染させた議員のパソコンを足場にして、衆院のサーバーや別のパソコンに感染を拡大させていった。

議員約480人と秘書約480人の全員分にあたるIDやパスワードを盗み、本人になりすまして各自のパソコンを外部から操作することが可能だった。

足場となった議員のパソコンに、すべての議員と秘書のパスワードなどが抜き取られた跡が残されていたという。

この記事では分からないのが、「議員と秘書の計約960人全員分のIDとパスワードが盗まれた疑いがある」で、一気に全員ということならば、サーバーをいきなりやられたとなってしまいます。
あるいは、全パスワードが同じとか一連番号であったとか・・・・・。

そういう原因は別にしても、政府も国会もこの事件をあまり重大視していないように見えるのが大問題でしょう。
ネットを特別扱いしているところがいまだにあるのではないだろうか?
それではどんどん拡大していって、インフラを乗っ取られてしまうことになってしまう。

衆議院の内部のやり取りは、法律を作るためのインフラであって、別に水道や道路交通だけでインフラではないだろうから、そういう意味ではインフラに攻撃を受けて、ある程度の被害が出たのであって、昔ならこれだけで戦争になりかねない程の事件のはずです。

サイバー攻撃が、熱い戦争になる可能性は否定のしようがない問題で、問題を理解するためには「戦争までの距離」を考えことも重大でと思うのだけど、国会も政府もそのようことを考え得るということ自体を知らないように見えます。

しかし、読売新聞の記事「大使館にサイバー攻撃、情報盗むウイルス感染

アジアや北米など9か国に置かれた日本大使館など約10在外公館で運用するコンピューターが夏以降、外部から操って情報を抜き取る「バックドア型」などのウイルスに相次いで感染していたことが25日、関係者の証言で明らかになった。

現時点で確認できただけで感染台数は数十台にのぼり、韓国では大量の外交情報が攻撃により外部のサーバーに送信できる状態になっていた。
外務省は外交上の機密を狙った標的型のサイバー攻撃の可能性が高いとみて、被害状況の確認を急いでいる 。

サイバー攻撃を巡っては、防衛産業大手「三菱重工業」(東京)のコンピューター約80台がウイルス感染していたことが分かり、警視庁が不正アクセス禁止法違反容疑などで捜査を始めたほか、衆議院の公務用パソコンの感染が発覚したばかり。

防衛産業や政治の中枢に加え、外交機密も危機にさらされている実態が浮かび上がり、国としての対策が急がれる。

(2011年10月26日03時01分 読売新聞)

こんな事では、外国から「外交も出来ないではないか」と見られて当然でしょう。

こうして、国は信用を失っていくのです。

十数年前に、ネットワークセキュリティに興味を持って、勉強し始めた頃に今も親しくしている研究者の方々は、わたしの妄想のような危険性についても「可能性はある」と考えていて、ネットワーク以外の社会の事柄の意味なども含めて、ネットワーク上にどのようなことが起きる可能性があるのかを、研究しては発表されていました。

多くの情報は、海外の先端的研究成果で発表を見るたびに「これほど極端なことを考えなくてはいけないのか?大げさすぎるだろう」と見ていましたが、いずれも3年ぐらいで日本でも起きました。

どんどん悪化しているのが実情で、いわば「泥棒する人がいる」といううわさ話が、「隣の家に泥棒が入ったが、被害はないらしい」となり、「我が家にも泥棒が来たが被害がない」とか言っているようなものです。

こんな展開をしていたら「泥棒が根こそぎ持って行ってしまったので、我が家は空き家にせざるを得ません」というところまで、被害がないからよい、と続くことになります。

警察とか、サイバーセキュリティーの技術の問題ではなくて、国家運営の基礎なのだから、いわば憲法にどう記載するのか?という種類の話しだと思うのです。

10月 26, 2011 at 09:11 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2011.09.23

中国をやり玉に挙げてもね

サンケイ新聞より「サイバー攻撃中継点 無防備PCが“踏み台”に 中国発アクセス大量検知

2011.9.23 01:25

サイバー攻撃を行う際の中継点となるコンピューターを探索するための不正アクセスが平成21年末以降、国内で大量に検知されていることが22日、警察庁への取材でわかった。

発信元の大半は中国で、今年8月からは同じ目的の別種類のアクセスも急増。

セキュリティー対策ができていないと、攻撃の“踏み台”として悪用される可能性があり、サイバー攻撃の脅威が企業や官公庁だけでなく、個人にも及んでいる実態が浮き彫りになった。

警察庁によると、21年末から検知されているアクセスは、中国の動画共有サイトから動画をダウンロードする補助ソフト「TudouVa」を使用しているパソコンやサーバーを無差別に探索しているという。

このソフトを外部からの接続を制限しない状態で使っていると、検知後に外部から侵入され、知らない間に他のサイトに接続されてしまうことが確認されている。

このため、大量のデータを送信するDDoS(ディードス)攻撃や掲示板への悪意のある書き込みの“踏み台”にされる可能性が高い。

同庁サイバーフォースセンターが全国に設置している定点観測システムでは、

21年11月ごろから大量のアクセスを検知。
22年には1日平均1300件、
22年10月中旬には1日で最大となる5千件を検知した。
発信元はほとんどが中国だった。

今年8月10日ごろからはこのアクセスが減少する代わりに、別の動画ダウンロードソフト「iku」の使用コンピューターを探すアクセスが急増。
検知数は1日平均約500件、9月20日までに計約2万5千件に及んでいる。

定点観測システムはアドレスや設置場所などの情報が一切公開されていないため、一連の不正アクセスは自動的に無差別、大量に行われているとみられる。

関係者によると、中国の動画サイトには、著作権法に抵触する日本の作品なども多く掲載されており、国内の利用者も少なくないという。

一方、21年以前には、マイクロソフト社製データベースの使用パソコンを探索する中国からのアクセスを大量に検知。

これはパソコンのデータを盗み出すことが目的で、サイバー攻撃の踏み台探索は21年末から本格化しているとみられる。

警察庁は

「不用意にソフトを使用せず、外部からの接続制限を行うなどの対策が必要。
特に、常時動作し、インターネットに接続している人は注意してほしい」
としている。

まあ、ボットの侵略がすごいことになっているのは、知っている人は知っていますが、知らない人はボットなんてモノがあること自体を知らないのですから、すごいもヘチマも無いわけで現実問題として対策のしようがないですね。

すごくやっかいなことになってきました。
日本では、ウイルス作成罪が成立しました。各国が一斉に取り締まるようにしないと、抑止できないでしょうね。

9月 23, 2011 at 11:12 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2011.09.18

航空管制官・いろいろ問題

毎日新聞より「管制官:相次ぐ不祥事 業務取り巻くさまざまな問題浮かぶ

空の安全を守る管制官の不祥事が相次いでいる。国土交通省は有識者で構成する「航空管制事務適正化検討委員会」を設け再発防止策の検討に乗り出したが、モラル低下の背景には管制業務を取り巻くさまざまな問題が浮かんできた。【川上晃弘】

「こんなに問題になるなんて思わなかった。驚いた」。
米大統領専用機「エアフォースワン」の飛行計画などをブログに掲載していたことが9日明らかになった羽田空港の50代管制官は、省内の調査にこう話したという。

国交省幹部は

「大変なことをしたという自覚がない。こんなところから教えなければいけないのか」
とため息をつく。

16日に開かれた検討委の4回目の会合。

「管制官へのコンプライアンス(法令順守)の徹底が必要だ」
「組織のあり方を見直さないと、また同じことが起こる」。
不祥事が続く理由について、各委員が問題点を挙げた。

検討委は全国の管制官645人にアンケートを実施し、571人から回答を得た。

「他の職員の安全意識や緊張感が希薄になっているか」との問いに34.5%が「しばしばある」「時々ある」と回答。
「私語が多い」「業務への慣れから緊張感が薄れている」といった記述もあった。
「組織の規律が緩んでいると感じるか」との質問には「大いに感じる」「時々感じる」が43.3%を占めた。

航空需要の高まりにより、国内の空港で管制官が離着陸などを指示、誘導する航空機の数は急増。94年に約333万9000機だったが08年には1.5倍の約511万8000機に。
この間、管制官の数は1666人から1978人と2割増どまり。
特に羽田空港の管制業務は激務で、1分30秒に1度のペースで離着陸する航空機を8人程度の管制官が取り仕切る。
検討委では委員から「人数を増やせないのか」との質問も出たが、公務員の定数は法律で決められており、同省幹部は「(他の部署よりは)優遇されている」と答えた。

「大多数はまじめに頑張っているが、仕事量が増えても給料は上がらず、不満を抱く同僚も少なくない」と話すのは羽田空港での勤務経験のある40代管制官。

羽田は24時間勤務で早番、遅番、夜勤、夜勤明け、公休、昼番が続き、土日の休みはほとんどない。

職場でも管制官以外との接触は乏しく、閉鎖的な人間関係になりがちという。

「こうした生活で常識的な感覚を失うことが背景の一つかもしれない」。コンコルドの飛行計画をコピーし記念に持ち帰った同僚もいた
と明かす。

航空評論家の清水喜由さんは「有資格者だけの特殊な世界。人事交流も少なく、なれ合いが起きやすい」と指摘。「大きな事故が起こる前に、外部の目できちんと監査できる体制を整えることが必要だ」と訴える。

ノンフィクション作家の柳田邦男さんはツイッターやブログによる不祥事が目立つことに注目。

「自分で気付かぬうちにネット世界に依存している人が増え、現実社会の常識やモラルが通用しなくなっている。越えてはいけない一線があいまいになり、結果として職業倫理に反する行為をしてしまったのではないか」
と話し、情報社会の進展を踏まえた規範作りを求める。

◇最近の管制官による主な不祥事◇

10年10月福岡航空交通管制部の管制官が職場体験中の中学生2人に無線交信を読み上げさせる
11年05月福岡空港の管制官が離着陸しようとしていた2機に対し、着陸と離陸を同時に許可
11年07月東京航空交通管制部の管制官が短文投稿サイト「ツイッター」で施設見学ツアーを企画していたことが発覚
11年09月羽田空港の管制官が米大統領専用機「エアフォースワン」などの飛行計画をブログに掲載していたことが発覚
20年09月那覇空港の管制官が業務中に居眠りし、12分間応答不能に

このニュースで分かることは、「航空管制情報漏洩事件・国交省のバカな決定」で述べたかったことを、事実として証明したと言えるでしょう。

だから、カメラの持ち込みを禁止しても、手書きでデータを持ち出す可能性はあるわけです。
職場から個人的に情報を持ち出しても構わないと思っているところが職業人失格でしょう。
一言で言えば最初から職業人失格な人がこういう専門職に就いている。

この問題は、別に航空管制官だけの問題ではなくて、職業人としての社会常識教育といったものは、社会に関わることで自然に理解しているはずだと思われているのですが、それが現実は違っていたということです。

子どもたちに職業講話(キャリアー教育)をする場合にも、実は先生が仕事とはどういうものなのかを教えることが出来るほど整理していない、ところに良く出っくわします。
子どもたち、今では学校の先生と自分の親ぐらいしか大人と話す機会がないとも言えるので、社会常識を教わる機会がないのが心配ですが、それ以前にいろいろな職場で社会的には非常識なことがまかり通っているのがまず問題ですね。

9月 18, 2011 at 05:09 午後 セキュリティと法学 | | コメント (0) | トラックバック (0)

2011.07.31

集合訴訟シンポジウム

昨日(2011/07/30)、霞が関の弁護士会館で開催された「集合訴訟シンポジウム」に参加してきました。

繰り返される大規模な消費者被害。

その一方で被害を受けながら、泣き寝入りを強いられている消費者は少なくありません。
そのような消費者の権利を糾合して、消費者が容易に被害回復を求められる画期的な訴訟制度の検討がいま大詰めを迎えています。

本シンポジウムでは、内閣府消費者委員会に設置された集団的消費者被害救済制度専門調査会の最終報告案の内容についてわかりやすく紹介すると共に、当連合会がこれまで公表した提言(「損害賠償等消費者団体制度要綱案」等)の内容を踏まえて評価すべき点や問題点を明らかにします。

当連合会は、本シンポジウムを通じて、市民の皆さまとともに、集団的消費者被害救済制度はどうあるべきか、同制度導入の必要性について改めて確認し、より良い制度の実現に向けて、今後どのような取組が必要かを考える機会としたいと考えています。是非、御参加ください。

消費者庁及び消費者委員会設置法の付則

   附 則

(施行期日)

1 この法律は、公布の日から起算して一年を超えない範囲内において政令で定める日から施行する。

(検討)

2 政府は、消費者委員会の委員について、この法律の施行後二年以内の常勤化を図ることを検討するものとする。

3 政府は、この法律、消費者庁及び消費者委員会設置法の施行に伴う関係法律の整備に関する法律(平成二十一年法律第四十九号)及び消費者安全法(以下「消費者庁関連三法」という。)の施行後三年以内に、消費者被害の発生又は拡大の状況、消費生活相談等に係る事務の遂行状況その他経済社会情勢等を勘案し、消費者の利益の擁護及び増進を図る観点から、消費者の利益の擁護及び増進に関する法律についての消費者庁の関与の在り方を見直すとともに、当該法律について消費者庁及び消費者委員会の所掌事務及び組織並びに独立行政法人国民生活センターの業務及び組織その他の消費者行政に係る体制の更なる整備を図る観点から検討を加え、必要な措置を講ずるものとする。

4 政府は、消費者庁関連三法の施行後三年以内に、消費生活センター(消費者安全法第十条第三項に規定する消費生活センターをいう。)の法制上の位置付け並びにその適正な配置及び人員の確保、消費生活相談員の待遇の改善その他の地方公共団体の消費者政策の実施に対し国が行う支援の在り方について所要の法改正を含む全般的な検討を加え、必要な措置を講ずるものとする。

5 政府は、消費者庁関連三法の施行後三年以内に、適格消費者団体(消費者契約法(平成十二年法律第六十一号)第二条第四項に規定する適格消費者団体をいう。以下同じ。)による差止請求関係業務の遂行に必要な資金の確保その他の適格消費者団体に対する支援の在り方について見直しを行い、必要な措置を講ずるものとする。

6 政府は、消費者庁関連三法の施行後三年を目途として、加害者の財産の隠匿又は散逸の防止に関する制度を含め多数の消費者に被害を生じさせた者の不当な収益をはく奪し、被害者を救済するための制度について検討を加え、必要な措置を講ずるものとする。

この、赤字にした部分について、新たに法律を作る必要がある、ということで「集団的消費者被害救済制度専門調査会」で検討が進んできて、8月に最終報告のとりまとめを行い、平成24年通常国会で法案提出の予定になっています。

消費者被害と言っても、極めて軽微なものから、人命に関わるものまであるわけで、集合訴訟がどんな亊案を対象にして、どのように運用するべきか?というところに興味があって、覗いてきました。

わたしの感想は「いやはや、難しい」です。

シンポジウムを主催している方々、参加している聴衆の多くが、集合訴訟を強力に推進する、という立場の方々だったのですが、正直に言って「生煮え」な感じであり、個人情報保護法が使い物にならない、あるいは誤解している人が多い、という例を思い出してしまいました。

基本的な考え方としては、従来の訴訟が原告一人一人が、同じ被告を訴えるという形であったのに対して、原告を代表するもの一人が被告を訴える形になります。

逆に言うと、原告の意志はどのように反映されるか?がいくつか想定できます。

  • 被害者(利用者)全員を機械的に対象とする
  • 被害者(利用者)の内、訴訟に参加する意志を表明した人を対象にする

なんでこんな事になるのか?というと、「被害を生じさせた者の不当な収益をはく奪」が利いてくるわけです。
不当利得だとして、剥奪した財産を被害救済として被害者に給付することになりますから、訴訟と給付という二段階があります。

こんな当たり前のことが、なんで問題になるのか?というと、事件の内容によっては被害者自身が被害に遭っているのかどうか分からないのです。
例えば、食中毒事件の場合、中毒症状が出た人と出ない人が居るわけですが、これを厳密に分けているから従来の訴訟では莫大な手間が掛かった。
そこで「製品に欠陥があったのだから、出荷した製品に応じて賠償するべき」といった考え方なのです。

そうして、賠償金を代表原告の手元に入ったとして、それをどのようにして給付するのか?というところは、従来の訴訟の手間がそのまま代表原告のところに来るでしょう。
被害者の中には、給付金を受け取らない、という人も出て来るでしょう。

こんな状況が分かりました。

わたしには、「これで法律に出来るものなのか?」という印象が極めて強いです。
広範な消費者に被害を及ぼした被告から、まとめて賠償金を取り上げるのは悪徳商法撲滅などにも有効なはずですから、賛成なのですが、その先をどうするのか?

諸外国の例の説明はあまりありませんでしたが、消費者教育のために寄附になる、といったこともあるようです。
日本では、寄附する先があるのだろうか?なんて考えてしまいました。

7月 31, 2011 at 11:10 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2011.07.23

個人メールを攻撃する、サイバー戦争

サンケイ新聞より「「標的型メール」中国が半数 警察庁、強制接続先を分析

2011.7.23 08:46 (1/2ページ)

特定の企業や官公庁を狙って不正プログラムを仕込んだメールを送りつけ、機密情報を盗み出すサイバー攻撃の一種「標的型メール」が今年5月だけで警察庁関係者に計24通届き、分析の結果、不正プログラムによる強制接続先の半数が中国だったことが22日、分かった。

昨年の警察庁へのサイバー攻撃でも発信元の9割が中国だったことが判明しており、中国発のサイバーテロの脅威が改めて浮き彫りになった。

標的型メールは、開いたりすることで感染し、強制的に外部のサーバーに接続。
その後、別のプログラムがパソコンに侵入してきて、機密情報を盗み出す仕組み。最近急増しており、被害も拡大している。

警察庁によると、同庁へのメールは平成18年ごろに初めて確認。

21年は68件、22年は75件届いた。今年は4月までは数件だったが、5月に複数の職員に計24通が送りつけられたという。

メールのタイトルは「【情報共有】地震、津波に係る英文情報」「【至急】参考資料」など、ほぼすべてが業務に関連した内容を偽装。
中には内閣官房で作成したメールに自動的に付けられる機密性を示す記号を模倣したものもあった。

送信者は外務省や海上保安庁などの政府機関の職員になりすましたケースが多く、実在する外務省職員のメールアドレスも含まれていた。
どこかで本物のメールを入手した可能性が高いとみられる。

警察庁でこれらのメールを分析したところ、大半が発信元を特定できないようにしていたが、中国が2件、日本と韓国もあった。

一方、不正プログラムにわざと感染し、情報を盗み出すための接続先を調べたところ、12件が中国につながった。

ほか10件は、複数の国に設置されたサーバーに無作為に接続される「ダイナミックリンク」というプログラムで、接続先の国を特定できなかった。

ただ、警察庁はこの中にも中国が含まれているとみている。残り2件は韓国だった。

警察庁は、通信部門で不審なメールをチェックしている上、覚えのないメールを開かないよう職員に徹底しており、これまでに標的型メールによる被害は発生していないという。

同庁幹部は

「接続先だけで中国からの発信と断定できないが、中国を経由しているのは事実。官公庁や企業にとって脅威になっており、情報共有など連携を進めたい」
としている。

サンケイ新聞より「中国のサイバー攻撃、国際的脅威に

2011.7.23 08:59

中国がサイバー攻撃の“発信地”だったことを裏付ける分析結果が22日、また明らかになった。

5月に警察庁に送りつけられた「標的型メール」の強制接続先の少なくとも半数は中国だった。
これまでも米政府機関への不正アクセスが取り沙汰されるなど、中国のサイバー攻撃はもはや国際的な脅威になっている。

米国防総省が今月14日に初めて公表した「サイバー戦略」は中国や北朝鮮を念頭に置いたものだった。

サイバー攻撃による被害の深刻さに応じた報復に言及。
武力攻撃の可能性も排除しなかった。
背景には中国の関与を疑わせるサイバー攻撃がはびこっているからだ。

■発信元は解放軍部隊

警察庁によると、米国の民間機関が、世界各国の政府機関に対して行われたサイバー攻撃のうち、 単一で最大の発信元は、海南島に拠点を置く中国人民解放軍の部隊と断定したという。

3月には米国の軍需企業がサイバー攻撃を受け、大量の情報が流出する被害があり、米国防総省幹部は国名には触れなかったが、「高度な能力は国家に属するものだ」と述べ、諜報機関を含む国家レベルの犯行との見方を示した。

国内でも中国の脅威が現実のものになっている。警察庁は今月7日、昨年9月に受けたサイバー攻撃の発信元の9割が中国だったと公表。
その直後に再び攻撃を受けるという事態に発展した。発信元は中国の可能性が高いとされ、報復措置との見方も出ている。

(楠秀司)

最初にこの話を聞いたのは、4~5年前かと思います。

わたしの知人のセキュリティ専門家は、行政関係の会議などに出席している方が多いのですが、実例として嗣ぎようのことがあった、との報告でした。

  1. 会議に実際に参加した。
  2. 終了後、その晩にメールをチェックしたら、怪しげなのが来ていた。
    このチェックは、アンチウイルスなどではなくて、専用の分析ソフトによるものだそうです。
    つまりアンチウイルスではチェックしようがない。
  3. 内容は、会議の出席者の一人から、出席者に向けてであった。
  4. フォームなどは、政党が日ごろ使っているものであった。

これでは、内容ももっともだし、アンチウイルスにも引っかからない、のだから回避のしようがない、というものでした。
何でこんな事になるのか?と考えると、出席者の一人が使っているPCの中身を継続してみている攻撃者がいる、となります。
すでに乗っ取られている、わけです。

こうなると、署名書付きのメール以外は排除する、といったことを必要か?という話しになっています。

個人的には、なんでもインターネットというのは無理ではないか?と思い始めています。

7月 23, 2011 at 11:34 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2011.03.06

法律の基礎的な面を見直すべきである

毎日新聞より「反射鏡:「参議院の優越」を何とかしなければ=論説委員長・冠木雅夫

「参議院の優越」。それが最近の日本政治を動かす原則である。
と言うと、おや?と思う向きも多いだろう。わが憲法が定めているのは「衆議院の優越」のはずだと。

目の前で起きているのはこういう図柄だ。

衆院では過半数(241議席)を大きく上回る307議席(国民新党と合わせ311)を有する菅政権が参院で立ち往生しつつあるのだ。

参議院で与党が過半数割れしている以上、衆院での再可決に必要な3分の2を確保できないと予算関連法案を通せない。予算修正で合意できなければ政権は窮地に陥る。

参院が政権の生殺与奪の権を握る形である。

自民党が強い時代は両院で与党が過半数を確保するのが常だった。だが、2大政党が拮抗(きっこう)し、民意が振り子のように変わる最近では難しくなった。まして衆院で3分の2以上というのは難易度が高い。

この条項については<むしろ「参議院の優位」を帰結する効果をもたらす>という憲法学者の指摘もある(只野雅人・一橋大教授「岩波講座 憲法4」所収の論文)。

欧米の政治制度に詳しい大山礼子・駒沢大教授が「日本の国会--審議する立法府へ」(岩波新書)で問題提起している。
内閣提出法案の審議に内閣の関与を強める、国会審議を通じて合意形成する、参院の権限を弱め言論の力で存在感を発揮することなどにより、国会の機能を高めようというのだ。

先日、大山さんの研究室を訪ねて話を伺った。

今の事態は「それみたことか」という印象だという。同書は

「カリスマ性をもたない弱いリーダーもある程度指導力を発揮でき、
逆に強いリーダーが登場した場合にはその権限行使をチェックできるような枠組みを」と記す。

要するに「程度の悪い議員でも何とかできるような制度にする必要があるということです」。

政治学者の北岡伸一・東大教授も昨年末刊の「グローバルプレイヤーとしての日本」(NTT出版)で国会改革を主張している。

「首相を決めるのは衆院議員選挙であるということの再確認」が重要であり 「参議院の敗北くらいで責任問題を問うべきでない」と強調する。

両教授とも3分の2条項を過半数にという主張だ。

2大政党の政策の違いが少なくなっている今、衆参両院で多数派が異なる「ねじれ」はむしろ常態になる。
「ねじれ」を嘆かず、それを前提に物事を決める仕組みが必要という。

菅直人首相は平成の23年目にして16人目の首相である。うち2年以上在任したのは小泉純一郎氏ら3人だけ。

今世紀に入ってからでは、小泉氏以外の森喜朗、安倍晋三、福田康夫、麻生太郎、鳩山由紀夫の各氏とも約1年かそれ以内の短命政権だった。政権がコロコロ代わる理由は一口では言えないが、参院選敗北直後の辞任、参院選に備えての首相交代、参院多数派工作の失敗など、
「参院の重圧」が大きな比重を占めている。

政権が頻繁に代われば政治の問題解決能力は小さくなるし、国際的な信頼度も低下する。

デフレにあえぎ国内総生産(GDP)の2倍もの借金を抱えつつ少子高齢化社会に突入している日本である。
政治の機能不全で問題を拡大再生産している場合ではない。

もちろん「政治は可能性の芸術」であるから、高いハードルがあれば備えるのが当然だ。できなくてブツブツ言うのはみっともない。
だが、こう短命政権が続くと、高すぎるハードルの問題も大きいことになる。

両院のあり方の改革は9条の問題よりもはるかに重要で緊急性が高いとしているのが京大教授の大石眞氏(憲法)である。

1999年に斎藤十朗議長のもとに設置された「参議院の将来像を考える有識者懇談会」に参加し
「再議決要件を過半数に、ただし一定期間は再議決権を行使できないようにする」などの改革案を提起した。
だが参議院の権限を弱める提案には「参議院をおとしめる気か」と反発する議員もいたという。

「強い参院」にはさらに昨年7月時点で最大5・00倍という1票の格差問題がある。
高齢者の多い地区が過剰代表になっていて、それが政策をゆがめているという議論もある。

敗戦後、GHQが示した1院制の憲法草案に対し、日本側が追加を要求して受け入れさせたのが参院だった。

創設当初から今に至るまで衆院との関係や性格付けが延々と議論され続けている。
日本の政治の力を回復するために今こそ本格的な国会改革をする時期だろう。

憲法も含めて、根本的なところをチェックする必要があると強く思う。

この記事の通り、なぜ参議院が反対すると衆議院は2/3の賛成多数を集めないと参議院の決議をひっくり返すことが出来ないのか?その理由が分からない。
こんなことには、もっと明確で国民が誰でも理解できる説明がなければいけない。
例えば、参議院議員は無給のボランティアである、とでもすればだいぶ話が違ってくるだろう。

そもそも、国民から見て、衆議院と参議院の区別が付くものなのだろうか?だから参院廃止論も出て来る。
そして、唯一参議院が力を発揮するのが、2/3条項だというのでは、逆に言えば衆議院の議決を過半数から2/3に変更すれば、参議院は廃止できるとも言える。
この程度のことで、存在意義が無くなってしまう参議院とはなんなのか?

最初に憲法に触れたのは、先日の京都大学で起きたネット利用カンニングで事件について、IPアドレスなどを「任意」で提出したのですね。

確かに、社会的に緊急事態であって、捜査の必要はあると言えるのだが(たかがカンニング論は別にする)、じゃあ警察がこれを捜査できるのか?というと、法的にはかなり怪しい。

要するに、盗聴ではないのか?となるのだが、憲法では禁止されているように見える。
しかし、実体法では何が盗聴なのかが規定されていない。

情報通信では、情報の本文と、住所など宛先の情報があるのに決まっているが、通信の秘密には通信したことを隠すこと含まれるから、宛先の情報も通信秘密であり、盗聴が通信秘密全体に及ぶのであれば、IPアドレスの任意の提出なんて事は許されない、となってしまう。

それ以前に、複数のノードを経てくる通信を遡って発信者を突き止める、というインターネットでは日常的に行われていることも、憲法上は違反になってしまって、要するにインターネットは使えないとなる。

なんでこんな初歩的なところで、混乱しているのか?というのは、通信の秘密についてまともに憲法から実体法まで整理していないからで、国民全体で適当にやっている。
こんな事では、政治がちょっといい加減になったら、近代の国家Toshi地球上に存在許されないことになりかねない。

憲法の改正も含めて、法的な基礎を再建する必要があると強く思います。

3月 6, 2011 at 09:20 午後 セキュリティと法学 | | コメント (0) | トラックバック (0)

2010.12.21

法廷からネット中継・イギリスの裁判所

東京新聞より「英、法廷内からのつぶやき許可 首席裁判官が画期的決定

2010年12月21日 09時09分

【ロンドン共同】
英イングランドとウェールズの判事のトップに当たる首席裁判官は20日、裁判を傍聴取材する記者が電子メールや短文投稿サイト、ツイッターを通じ、法廷の様子を外部に文字で“生中継”するのを条件付きで認める「暫定指針」を発表した。

米コネティカット州の裁判所では11月8日、死刑評決の際、例外的にツイッターの使用が認められ注目されたが、指針発表は世界的に異例とみられる。欧州メディアは「画期的決定」と報じた。

指針によると、廷内からの送信は「公正で正確な報道が目的」で、裁判所の許可が必要。証人や陪審員らに影響を与えると判断されれば許可されないこともある。使えるのは携帯電話やノート型パソコンなど「手で持てるサイズで、ほとんど音が出ない機材」

わたしの知人で、東京地裁でこれをやって次の裁判から特に規制が入ってしまった、という事態を引き起こした人物がおります。

しかし、そもそもツイッターなどで法廷の様子を中継することの何が悪いのか?という根本問題があるし、法廷ではPCでディクテーションしている人も居ます。

日本では、法廷で傍聴人がメモを取ることを認めていますが、これは平成元年(1989年)3月8日の最高裁判決で実質的に認められました。
わずか21年前のことです。

それまでは、記者(司法記者クラブ会員)だけがメモを取ることを認められていました。
この20年間の電子機器の発達は、このような「法廷でメモをとる」ことの技術的な可能性を大きく変えてしまって、現在の所はPCでディクテーションは一応認められていますが、携帯電話でメモを取ることは禁止です。
これがスマートフォンになったらどうするのか?

そもそも、録音・録画・静止画撮影を認めないのは、一律に禁止でよいのか?となります。

まあ、20年も経ったのだから、また一つ変化があっても良い時期でしょう。

12月 21, 2010 at 10:36 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2010.12.19

スマートフォンから個人情報がダダ漏れというのだが

東京新聞より「アプリから個人情報流出か スマートフォンで米紙調査

2010年12月19日 00時32分

【ニューヨーク共同】
米紙ウォールストリート・ジャーナルは18日、多機能携帯電話(スマートフォン)で音楽を聞く際などに利用する応用ソフト(アプリ)から、年齢や性別などの個人情報が外部の広告会社に漏れている例があると独自調査で報じた。

米アップルのiPhone(アイフォーン)などでこれらのアプリを利用すると、個人情報がそのまま外部に流出するという。

同紙はiPhoneや米グーグルの基本ソフト(OS)アンドロイドを搭載した携帯向けの101種類のアプリを調べた。

このうち56種が、利用者の許諾を得ずに携帯電話固有の識別番号を外部の会社に送信。
47種が位置情報を、5種は年齢や性別を送っていたという。

スマートフォンなどと言うからいかにも「電話です」みたいに捉えているけど、完全にPCを持ち歩いているわけで、ネット上であり得ることは一通りスマートフォンでも起きることであり、その上に位置情報が付加されると考えるべきでしょう。

そしてやっかいなのが、セキュリティーコントロールがユーザにはほとんど出来ないことでしょうね。

THE WALL STREET JOURNAL TECH に元記事があります。「Your Apps Are Watching You

えらい長文で、日本の新聞が伝えたのは記事の一部であって、ウォールストリートジャーナルは別のことを伝えたいのではないのか?という印象が強いです。

どうも、 Google やアップルなどの進行業界のビジネス姿勢全体を論評している感じです。
まあ、確かに「広告付きの情報を受け取っているのだから、個人情報を知られてもかまわない」という考え方はあるでしょうね。

そのような考え方は、例えば新聞や牛乳、米など伝統的(?)に宅配していた業界では、店単位で把握していたし、ユーザーも気にしていなかった。

同じことをネットワーク利用で行われているだけだ、というのがネットワークでビジネス展開をしている企業側の言い分でありましょう。

それに対する疑念が、「実績がないから」というのはよく分かることですが、「ネットワークだから」というのがどこかにあるのではないのか?
それは、新旧ビジネス展開の違いなのではないのか?
あるいは、アメリカのプライバシー概念の根幹である「放っておいてもらう自由」への攻撃と見ているのか?
色々と考えてしまいます。

By SCOTT THURM and YUKARI IWATANI KANE

Few devices know more personal details about people than the smartphones in their pockets: phone numbers, current location, often the owner's real name―even a unique ID number that can never be changed or turned off.

These phones don't keep secrets. They are sharing this personal data widely and regularly, a Wall Street Journal investigation has found.

An examination of 101 popular smartphone "apps"―games and other software applications for iPhone and Android phones―showed that 56 transmitted the phone's unique device ID to other companies without users' awareness or consent. Forty-seven apps transmitted the phone's location in some way. Five sent age, gender and other personal details to outsiders.

The findings reveal the intrusive effort by online-tracking companies to gather personal data about people in order to flesh out detailed dossiers on them.

Among the apps tested, the iPhone apps transmitted more data than the apps on phones using Google Inc.'s Android operating system. Because of the test's size, it's not known if the pattern holds among the hundreds of thousands of apps available.

Apps sharing the most information included TextPlus 4, a popular iPhone app for text messaging. It sent the phone's unique ID number to eight ad companies and the phone's zip code, along with the user's age and gender, to two of them.

Both the Android and iPhone versions of Pandora, a popular music app, sent age, gender, location and phone identifiers to various ad networks. iPhone and Android versions of a game called Paper Toss―players try to throw paper wads into a trash can―each sent the phone's ID number to at least five ad companies. Grindr, an iPhone app for meeting gay men, sent gender, location and phone ID to three ad companies.

"In the world of mobile, there is no anonymity," says Michael Becker of the Mobile Marketing Association, an industry trade group. A cellphone is "always with us. It's always on."

iPhone maker Apple Inc. says it reviews each app before offering it to users. Both Apple and Google say they protect users by requiring apps to obtain permission before revealing certain kinds of information, such as location.

"We have created strong privacy protections for our customers, especially regarding location-based data," says Apple spokesman Tom Neumayr. "Privacy and trust are vitally important."

The Journal found that these rules can be skirted. One iPhone app, Pumpkin Maker (a pumpkin-carving game), transmits location to an ad network without asking permission. Apple declines to comment on whether the app violated its rules.

Smartphone users are all but powerless to limit the tracking. With few exceptions, app users can't "opt out" of phone tracking, as is possible, in limited form, on regular computers. On computers it is also possible to block or delete "cookies," which are tiny tracking files. These techniques generally don't work on cellphone apps.

The makers of TextPlus 4, Pandora and Grindr say the data they pass on to outside firms isn't linked to an individual's name. Personal details such as age and gender are volunteered by users, they say. The maker of Pumpkin Maker says he didn't know Apple required apps to seek user approval before transmitting location. The maker of Paper Toss didn't respond to requests for comment.

Many apps don't offer even a basic form of consumer protection: written privacy policies. Forty-five of the 101 apps didn't provide privacy policies on their websites or inside the apps at the time of testing. Neither Apple nor Google requires app privacy policies.

To expose the information being shared by smartphone apps, the Journal designed a system to intercept and record the data they transmit, then decoded the data stream. The research covered 50 iPhone apps and 50 on phones using Google's Android operating system. (Methodology at WSJ.com/WTK.)

The Journal also tested its own iPhone app; it didn't send information to outsiders. The Journal doesn't have an Android phone app.

Among all apps tested, the most widely shared detail was the unique ID number assigned to every phone. It is effectively a "supercookie," says Vishal Gurbuxani, co-founder of Mobclix Inc., an exchange for mobile advertisers.

On iPhones, this number is the "UDID," or Unique Device Identifier. Android IDs go by other names. These IDs are set by phone makers, carriers or makers of the operating system, and typically can't be blocked or deleted.

"The great thing about mobile is you can't clear a UDID like you can a cookie," says Meghan O'Holleran of Traffic Marketplace, an Internet ad network that is expanding into mobile apps. "That's how we track everything."

Ms. O'Holleran says Traffic Marketplace, a unit of Epic Media Group, monitors smartphone users whenever it can. "We watch what apps you download, how frequently you use them, how much time you spend on them, how deep into the app you go," she says. She says the data is aggregated and not linked to an individual.

The main companies setting ground rules for app data-gathering have big stakes in the ad business. The two most popular platforms for new U.S. smartphones are Apple's iPhone and Google's Android. Google and Apple also run the two biggest services, by revenue, for putting ads on mobile phones.

Apple and Google ad networks let advertisers target groups of users. Both companies say they don't track individuals based on the way they use apps.

Apple limits what can be installed on an iPhone by requiring iPhone apps to be offered exclusively through its App Store. Apple reviews those apps for function, offensiveness and other criteria.

Apple says iPhone apps "cannot transmit data about a user without obtaining the user's prior permission and providing the user with access to information about how and where the data will be used." Many apps tested by the Journal appeared to violate that rule, by sending a user's location to ad networks, without informing users. Apple declines to discuss how it interprets or enforces the policy.

Phones running Google's Android operating system are made by companies including Motorola Inc. and Samsung Electronics Co. Google doesn't review the apps, which can be downloaded from many vendors. Google says app makers "bear the responsibility for how they handle user information."

Google requires Android apps to notify users, before they download the app, of the data sources the app intends to access. Possible sources include the phone's camera, memory, contact list, and more than 100 others. If users don't like what a particular app wants to access, they can choose not to install the app, Google says.

"Our focus is making sure that users have control over what apps they install, and notice of what information the app accesses," a Google spokesman says.

Neither Apple nor Google requires apps to ask permission to access some forms of the device ID, or to send it to outsiders. When smartphone users let an app see their location, apps generally don't disclose if they will pass the location to ad companies.

Lack of standard practices means different companies treat the same information differently. For example, Apple says that, internally, it treats the iPhone's UDID as "personally identifiable information." That's because, Apple says, it can be combined with other personal details about people―such as names or email addresses―that Apple has via the App Store or its iTunes music services. By contrast, Google and most app makers don't consider device IDs to be identifying information.

A growing industry is assembling this data into profiles of cellphone users. Mobclix, the ad exchange, matches more than 25 ad networks with some 15,000 apps seeking advertisers. The Palo Alto, Calif., company collects phone IDs, encodes them (to obscure the number), and assigns them to interest categories based on what apps people download and how much time they spend using an app, among other factors.

By tracking a phone's location, Mobclix also makes a "best guess" of where a person lives, says Mr. Gurbuxani, the Mobclix executive. Mobclix then matches that location with spending and demographic data from Nielsen Co.

In roughly a quarter-second, Mobclix can place a user in one of 150 "segments" it offers to advertisers, from "green enthusiasts" to "soccer moms." For example, "die hard gamers" are 15-to-25-year-old males with more than 20 apps on their phones who use an app for more than 20 minutes at a time.

Mobclix says its system is powerful, but that its categories are broad enough to not identify individuals. "It's about how you track people better," Mr. Gurbuxani says.

Some app makers have made changes in response to the findings. At least four app makers posted privacy policies after being contacted by the Journal, including Rovio Mobile Ltd., the Finnish company behind the popular game Angry Birds (in which birds battle egg-snatching pigs). A spokesman says Rovio had been working on the policy, and the Journal inquiry made it a good time to unveil it.

Free and paid versions of Angry Birds were tested on an iPhone. The apps sent the phone's UDID and location to the Chillingo unit of Electronic Arts Inc., which markets the games. Chillingo says it doesn't use the information for advertising and doesn't share it with outsiders.

Apps have been around for years, but burst into prominence when Apple opened its App Store in July 2008. Today, the App Store boasts more than 300,000 programs.

Other phone makers, including BlackBerry maker Research in Motion Ltd. and Nokia Corp., quickly built their own app stores. Google's Android Market, which opened later in 2008, has more than 100,000 apps. Market researcher Gartner Inc. estimates that world-wide app sales this year will total $6.7 billion.

Many developers offer apps for free, hoping to profit by selling ads inside the app. Noah Elkin of market researcher eMarketer says some people "are willing to tolerate advertising in apps to get something for free." Of the 101 apps tested, the paid apps generally sent less data to outsiders.

Ad sales on phones account for less than 5% of the $23 billion in annual Internet advertising. But spending on mobile ads is growing faster than the market overall.

Central to this growth: the ad networks whose business is connecting advertisers with apps. Many ad networks offer software "kits" that automatically insert ads into an app. The kits also track where users spend time inside the app.

Some developers feel pressure to release more data about people. Max Binshtok, creator of the DailyHoroscope Android app, says ad-network executives encouraged him to transmit users' locations.

Mr. Binshtok says he declined because of privacy concerns. But ads targeted by location bring in two to five times as much money as untargeted ads, Mr. Binshtok says. "We are losing a lot of revenue."

Other apps transmitted more data. The Android app for social-network site MySpace sent age and gender, along with a device ID, to Millennial Media, a big ad network.

In its software-kit instructions, Millennial Media lists 11 types of information about people that developers may transmit to "help Millennial provide more relevant ads." They include age, gender, income, ethnicity, sexual orientation and political views. In a re-test with a more complete profile, MySpace also sent a user's income, ethnicity and parental status.

A spokesman says MySpace discloses in its privacy policy that it will share details from user profiles to help advertisers provide "more relevant ads." My Space is a unit of News Corp., which publishes the Journal. Millennial did not respond to requests for comment on its software kit.

App makers transmitting data say it is anonymous to the outside firms that receive it. "There is no real-life I.D. here," says Joel Simkhai, CEO of Nearby Buddy Finder LLC, the maker of the Grindr app for gay men. "Because we are not tying [the information] to a name, I don't see an area of concern."

Scott Lahman, CEO of TextPlus 4 developer Gogii Inc., says his company "is dedicated to the privacy of our users. We do not share personally identifiable information or message content." A Pandora spokeswoman says, "We use listener data in accordance with our privacy policy," which discusses the app's data use, to deliver relevant advertising. When a user registers for the first time, the app asks for email address, gender, birth year and ZIP code.

Google was the biggest data recipient in the tests. Its AdMob, AdSense, Analytics and DoubleClick units collectively heard from 38 of the 101 apps. Google, whose ad units operate on both iPhones and Android phones, says it doesn't mix data received by these units.

Google's main mobile-ad network is AdMob, which it bought this year for $750 million. AdMob lets advertisers target phone users by location, type of device and "demographic data," including gender or age group.

A Google spokesman says AdMob targets ads based on what it knows about the types of people who use an app, phone location, and profile information a user has submitted to the app. "No profile of the user, their device, where they've been or what apps they've downloaded, is created or stored," he says.

Apple operates its iAd network only on the iPhone. Eighteen of the 51 iPhone apps sent information to Apple.

Apple targets ads to phone users based largely on what it knows about them through its App Store and iTunes music service. The targeting criteria can include the types of songs, videos and apps a person downloads, according to an Apple ad presentation reviewed by the Journal. The presentation named 103 targeting categories, including: karaoke, Christian/gospel music, anime, business news, health apps, games and horror movies.

People familiar with iAd say Apple doesn't track what users do inside apps and offers advertisers broad categories of people, not specific individuals.

Apple has signaled that it has ideas for targeting people more closely. In a patent application filed this past May, Apple outlined a system for placing and pricing ads based on a person's "web history or search history" and "the contents of a media library." For example, home-improvement advertisers might pay more to reach a person who downloaded do-it-yourself TV shows, the document says.

The patent application also lists another possible way to target people with ads: the contents of a friend's media library.

How would Apple learn who a cellphone user's friends are, and what kinds of media they prefer? The patent says Apple could tap "known connections on one or more social-networking websites" or "publicly available information or private databases describing purchasing decisions, brand preferences," and other data. In September, Apple introduced a social-networking service within iTunes, called Ping, that lets users share music preferences with friends. Apple declined to comment.

Tech companies file patents on blue-sky concepts all the time, and it isn't clear whether Apple will follow through on these ideas. If it did, it would be an evolution for Chief Executive Steve Jobs, who has spoken out against intrusive tracking. At a tech conference in June, he complained about apps "that want to take a lot of your personal data and suck it up."

機械翻訳

電話番号は、現在の場所、頻繁に変更することはできない、またはオフになって所有者の実際の名前もユニークなID番号:いくつかのデバイスがポケットにスマートフォン以上の人々の詳細については、個人情報を知っている。

これらの電話機は、秘密を保持しない。彼らは広く、定期的に、この個人データを共有している、ウォールストリートジャーナル紙の調査で明らかになった。

101人気のスマートフォン"アプリ"ゲームやiPhoneとAndroid携帯電話のための他のソフトウェアアプリケーションの検査では、- 56は、ユーザーの意識や同意なしに他の会社に電話の一意のデバイスIDを送信することが明らかになった。 47のアプリはいくつかの方法で携帯電話の位置を送信されます。 5人は部外者に年齢、性別などの個人情報を送信されます。

調査結果はそれらの詳細な関係書類を肉付けするために、人々に関する個人データを収集するために、オンライントラッキング企業による侵入の努力を明らかにする。

テストアプリケーションの中でも、iPhoneアプリは、Google社のAndroidオペレーティングシステムを使用して携帯電話でアプリをより多くのデータを送信されます。パターンは、アプリケーション利用可能な数十万人の間で保持している場合、テストのサイズが大きいため、それが知られているではありません。

ほとんどの情報を共有するアプリはTextPlus 4、テキストメッセージングのための人気のiPhoneアプリ含まれています。それはそれらのうちの2つに、ユーザーの年齢や性別に加えて、八の広告会社や携帯電話の郵便番号に携帯電話の固有のID番号を送った。

両方のAndroidとパンドラ、ポピュラー音楽のアプリは、iPhoneのバージョンは、様々な広告ネットワークへの年齢、性別、場所と電話識別子を送った。ゲームのiPhoneとAndroidのバージョンでは紙を転がし、選手たちはゴミ箱に紙のワッドをスローするようにしようということができる、各は、少なくとも5つの広告会社への電話のID番号を送った。 Grindrは、ゲイの男性を満たすためにiPhoneアプリ、3つの広告会社への性別、場所と電話番号を送った。

"モバイルの世界では、ない匿名があり、"モバイルマーケティング協会、業界グループのマイケルベッカー氏は述べています。携帯電話は"私たちと、常にそれは常にオンです"です。

iPhoneメーカーアップル社は、ユーザーにそれを提供する前に、各アプリをレビューと言います。どちらも、AppleとGoogleは、アプリケーションが場所などの情報、特定の種類を明らかにする前に許可を得るために必要とすることによってユーザーを保護すると言う。

"我々は、特に、位置ベースのデータについて、お客様のための強力なプライバシー保護を作成して、"アップル広報担当トムノイマイル氏は述べています。 "プライバシーと信頼関係が極めて重要です。"

ジャーナルは、これらのルールは敬遠されることを見出した。一つのiPhoneアプリは、カボチャメーカー(カボチャ彫刻ゲーム)、許可を求めることなく、広告ネットワークに場所を送信する。アップルはこのアプリは、そのルールに違反したかどうかについてはコメントを拒否した。

スマートフォンのユーザーは、すべてが追跡を制限するには無力です。いくつかの例外を除いて、アプリのユーザーは、通常のコンピュータでは、限られた形で、可能ですが、携帯電話トラッキングの"オプトアウト"することはできません。コンピュータ上では、ブロックしたり、小さな追跡ファイルです"クッキー"を削除することも可能です。これらの技術は、一般的に携帯電話のアプリでは動作しません。

TextPlus 4、PandoraとGrindrのメーカーは、彼らが外部企業に渡すデータは、個人の名前にリンクされていないと言う。年齢や性別などの個人情報は、ユーザーが自発的であり、かれらは言う。パンプキンメーカーのメーカーは、彼が場所を送信する前にユーザの承認を求めてアップルに必要なアプリを知らなかったと言います。紙を転がしのメーカーにコメントを求めたが、返答は得られなかった。

書プライバシーポリシー:多くのアプリケーションが消費者保護のも基本的なフォームを提供していません。 101アプリの四十五は自分のウェブサイト上やテスト時にアプリケーション内のプライバシーポリシーを提供していませんでした。どちらもAppleも、Googleはアプリのプライバシーポリシーを必要とします。

スマートフォンのアプリケーションで共有されている情報を公開するには、ジャーナルは、データストリームをデコード、インターセプトし、それらが転送するデータを記録するシステムを設計した。研究では、GoogleのAndroidオペレーティングシステムを使用して電話機50のiPhoneアプリ50を覆った。 (/ WTK WSJ.com方法で。)

学会はまた、自身のiPhoneアプリをテストし、それは部外者に情報を送信しませんでした。ジャーナルは、Androidの携帯電話のアプリを持っていません。

試験したすべてのアプリの中で、最も広く共有の詳細はすべての携帯電話に割り当てられた一意のID番号です。それが効果的に"supercookie、"て、Vishal Gurbuxaniは、Mobclixの株式会社は、モバイル広告の交換の共同創設者と言います。

iPhoneの上では、この番号は"UDIDを"、または一意のデバイス識別子です。 AndroidのIDが他の名前で行く。これらのIDは、携帯電話メーカー、キャリア、またはオペレーティングシステムのメーカーが設定されている一般的にブロックまたは削除することはできません。

トラフィックの市場、携帯アプリに拡大しているインターネット広告ネットワークのして、Meghan O'Holleranは言う"携帯の素晴らしいところは、cookieができますようにUDIDをクリアすることはできません。" "それは、我々はすべてを追跡する方法を説明します。"

氏O'HolleranはTraffic Marketplaceでは、エピックメディアグループの単位で、いつでもそれができるスマートフォンのユーザーを監視している。 "我々はあなたがダウンロードしてアプリ何を見て、あなたがそれらを使用する頻度は、それらに費やすどのくらいの時間、どのように深いアプリにあなたが行く"と彼女は言う。彼女は、データは、個々にリンクされて集計されていないという。

アプリケーションデータは収集するためのグラウンドルールを設定する主な企業が広告事業に大きな利害関係を持っています。新しい米国のスマートフォンの2つの最も人気のあるプラットフォームは、AppleのiPhoneとGoogleのAndroidです。 GoogleとAppleはまた、携帯電話に広告を置くため、売上高では、二大サービスを実行します。

AppleとGoogleの広告ネットワークは、ユーザーの広告主のターゲットグループを聞かせて。両社は、彼らがアプリケーションを使用する方法に基づいて個人を追跡していないとは言えない。

何iPhoneアプリを必要とすることによって、iPhone上でインストールすることができますアップルの制限は、そのApp Storeを通じてのみ提供される。アップルは、関数、不快やその他の条件に一致するそれらのアプリケーションを見直します。

AppleがiPhoneアプリ"は、ユーザーの事前の許可を得て、約方法とデータが使用される情報へのアクセス権を持つユーザーを提供することなく、ユーザーに関するデータを送信することはできません。"という誌でテストされた多くのアプリケーションは、ユーザーに通知することなく、広告ネットワークにユーザーの位置を送信することによって、そのルールに違反して登場した。 Appleはどのように解釈するか、またはポリシーを適用する議論を拒否。

GoogleのAndroidオペレーティングシステムを実行している携帯電話は、多くのベンダーからダウンロードすることができるアプリを確認していない米モトローラ社やSamsung Electronics社Googleを含む企業によって作られています。 Googleはアプリのメーカーは"彼らは、ユーザー情報を処理する方法については、責任を負うものとします。"という

Googleは、アプリケーションがアクセスしようとするデータソースのアプリをダウンロードする前にAndroidアプリには、ユーザーに通知する必要があります。可能なソースは、携帯電話のカメラ、メモリ、コンタクトリスト、および100人以上の人が含まれています。ユーザーが特定のアプリがアクセスしようとして好きではない場合は、アプリをインストールしないを選択することができます、Googleは述べています。

"我々の焦点は、ユーザーがインストールするアプリかを制御し、どのような情報の通知をアプリにアクセスしていることを確認作っている"とGoogleの広報担当者は言う。

どちらもAppleも、Googleはアプリケーション、またはデバイスのIDのいくつかのフォームにアクセスするために外部に送信する許可を求める必要があります。彼らは、広告会社に場所を渡すかどうスマートフォンのユーザーは、アプリの場所を見てみましょうすると、アプリケーションは一般的に開示することはありません。

標準的な慣行の欠如は、異なる企業が異なる同じ情報を扱うことを意味します。たとえば、Appleは内部的に、それはiPhoneのUDIDを扱い、という"個人を特定できる情報を表示します。"それがために、アップルによると、それは人に名前やなどに関するその他の個人情報と組み合わせることができるのメールアドレスは、アップルのApp Store、またはそのiTunesの音楽サービスを介していることを確認します。これとは対照的に、Googleと、ほとんどのアプリケーションメーカーは、デバイスID情報を識別する考えていない。

成長産業は、携帯電話ユーザーのプロファイルにこのデータを組み立てている。 Mobclixのは、広告の交換、広告主を求めている約15,000のアプリケーションと25以上の広告ネットワークと一致します。カリフォルニア州パロアルト、同社は、携帯電話のIDを収集する(番号をあいまいにして)それらをエンコードし、そして、彼らは他の要因のうち、アプリを使って過ごす人々は、ダウンロードしてアプリ何をどのくらいの時間に基づいて関心のカテゴリに割り当てます。

携帯電話の位置を追跡することにより、Mobclixのは、その者の生活の"最良の推測"を作る氏Gurbuxaniは、Mobclixの幹部だ。 Mobclixのは、ニールセン社からの支出と人口統計データと、その場所と一致する

およそ4分の1秒では、Mobclixのは、それが"緑の愛好家"から、広告主に提供しています150"セグメント"のいずれかでユーザーを配置することができます"サッカーママ"。たとえば、一度に20分以上のためのアプリケーションを使用して自分の携帯電話に20以上のアプリケーションと15~25歳の男性は"ハードゲーマーが死ぬ"。

Mobclixのは、そのシステムは、強力ですが、そのカテゴリが十分な個人を特定しないように広いいるという。 "それはあなたが良い人を追跡する方法についてだ"と氏はGurbuxani氏は述べています。

いくつかのアプリのメーカーは、結果に応じて変更を加えている。少なくとも4つのアプリのメーカーは(これで鳥が卵ひったくり豚の戦い)Rovioのモバイル株式会社は、人気ゲーム怒っている鳥の背後にあるフィンランドの会社を含め、学会から連絡された後、プライバシーポリシーを掲載した。広報担当者はRovioのは、政策に取り組んでいた雑誌のお問い合わせは、それを明らかにしても良い時間したと言います。

怒っている鳥の無料と有料版は、iPhone上でテストされました。アプリは、ゲームを販売エレクトロニックアーツ社のChillingo株式会社ユニットに携帯電話のUDIDを、場所を送った。 Chillingo株式会社は、それが広告のための情報を使用していない部外者がそれを共有しないと話している。

Appleは2008年7月に、そのApp Storeを開いたときにアプリが卓越性に入って、何年もがバーストを回避されている。今日は、App Storeは30万人以上のプログラムを提供しています。

モーション社とノキアで、BlackBerryのメーカー研究を含む他の携帯電話メーカーは、すぐに自分のアプリのストアを構築しました。 2008年後半にオープンしたGoogleのAndroid市場は、10万人以上のアプリを持っています。市場調査会社ガートナーは、世界全体のアプリケーションの売上高は今年、$ 6700000000合計すると見積もっている。

多くの開発者がアプリの中に広告を売ることで利益を期待して、無料のアプリケーションを提供しています。市場調査eMarketerにのノアElkinさんは、何人かの人々は、"自由のために何かを得るためにアプリケーションに広告を容認する用意がある"というテスト101アプリの中で、有料アプリは一般的に部外者に以下のデータを送信する。

電話での広告売上高は、23000000000ドル、年間のインターネット広告での5%未満を占めている。しかし、モバイル広告への支出は、迅速に市場全体よりも成長している。

中央この成長して:そのビジネスアプリケーションと広告主を接続している広告ネットワーク。多くの広告ネットワークが提供するソフトウェア"キット"アプリに自動的に広告を挿入。ユーザーはアプリの中の時間を過ごす場所キットも追跡します。

一部の開発者は、人々のより多くのデータを解放するために圧力を感じています。最大Binshtokは、DailyHoroscope Androidアプリの作成者、広告ネットワークの幹部は、ユーザーの位置情報を送信するために彼を励ましたという。

氏Binshtok彼はプライバシーの懸念から下落と言います。しかし、場所によってターゲットを絞った広告は、関連性の低い広告として多くのお金を2~5倍をもたらす氏Binshtok氏は述べています。 "我々は、収入の多くを失っている。"

他のアプリは、より多くのデータを送信されます。ソーシャルネットワークサイトMySpaceのAndroidアプリには千年のメディア、大手広告ネットワークには、デバイスIDとともに、年齢や性別を送った。

同社のソフトウェアキットの説明では、千年のメディアは、開発者に送信することができる人々の情報の11種類を示しています"千年は、より関連性の高い広告を提供するため。"彼らは、年齢、性別、所得、民族、性的指向と政治的見解が含まれています。より完全なプロファイルを使用して再試験では、MySpaceは、ユーザーの利益、民族、親のステータスを送った。

スポークスマンは、MySpaceは、広告主が提供するために、ユーザープロファイルから詳細情報を共有すること、そのプライバシーポリシーに開示されている"より関連性の高い広告を。"マイスペースには、雑誌を発行するNews Corp。は、の単位です。千年は、ソフトウェアキットにコメントを求めたが、返答は得られなかった。

データを送信するアプリの開発者はそれを受信する外部企業に対して匿名であると言う。 "は現実のIDがここにある"ジョエルSimkhaiは、となりのバディファインダーLLCは、同性愛者の男性のためのGrindrアプリのメーカーのCEOは言う。 "我々が名に[に情報]を結ぶされていないため、私は懸念の領域が表示されません。"

Scott Lahmanは、TextPlus 4開発Gogii Inc。のCEO、彼の会社は"我々のユーザーのプライバシー保護に取り組んでいます。我々は、個人情報やメッセージの内容を共有することはありません。"というパンドラの広報担当者は、関連性の高い広告を提供する、アプリケーションのデータ使用する方法を説明し"我々は、当社のプライバシーポリシーに従い、リスナーのデータを使用する"と言う。初めてのユーザレジスタは、アプリケーションは、電子メールアドレス、性別、誕生年およびZIPコードを要求する。

Googleがテストで最大のデータを受賞しました。そのAdMobのは、AdSenseのは、AnalyticsとDoubleClickユニットまとめて101アプリの38から聞いた。その広告ユニットの両方のiPhoneとAndroid携帯電話上で動作Googleは、それはこれらのユニットによって受信されたデータを混在させることはないという。

Googleのメインのモバイル広告ネットワークは、750000000ドル、今年買ったAdMobのです。 AdMobは、広告主が場所によって携帯電話のユーザーは、デバイスの種類や性別や年齢などの"人口統計データを、"ターゲットにすることができます。

Googleの広報担当者は、それがアプリは、携帯電話の場所、およびユーザーがアプリケーションに提出しているプロファイル情報を利用する人のタイプを知っている内容に基づいてAdMobのターゲット広告を言います。 "ユーザーのプロファイルが、彼らがしてきたか、何が彼らがダウンロードしたアプリそのデバイスが作成され、またはストアド"と彼は言う。

AppleがiPhone上でのみ、そのIADは、ネットワークを運営しています。 51 iPhoneアプリの18は、Appleに情報を送信されます。

それはApp StoreとiTunesの音楽サービスを介して、それらについて知っているアップル社は、主に基づいて携帯電話ユーザーに広告を対象としています。ターゲット条件は、Journalによって見直さアップルの広告のプレゼンテーションによると、曲数、ビデオおよびアプリケーション者のダウンロードの種類を含めることができます。カラオケ、キリスト教/ゴスペル音楽、アニメ、ビジネスニュース、健康アプリ、ゲーム、ホラー映画:プレゼンテーションを含む103対象のカテゴリーを、という。

人々はIADに精通してAppleはユーザが内部アプリケーションや提供の広告主様の人々ではなく、特定の個人の幅広いカテゴリーを行うかを追跡しないと言う。

Appleがより密接に人々をターゲットとしたアイデアを持っていることを通知しています。特許出願は今年5月に提出で、Appleは人の"ウェブの履歴や検索履歴"に基づいて価格の広告や配置するためのシステムを概説した"メディアライブラリの内容を表示します。"たとえば、ホーム改善広告主様は日曜大工のテレビ番組をダウンロードした人に到達するより高いお金を払ってかもしれないが、文書は言う。

友人のメディアライブラリの内容を:特許出願はまた、広告を持つ人々を対象に別の可能な方法を示しています。

どのようにAppleは携帯電話ユーザーの友人が、誰であるか、彼らが好むメディアの種類を学ぶか?特許は、Appleが"つまたは複数のソーシャルネットワーキングウェブサイト上の既知の接続"をタップしたり"購買決定、ブランドの設定を記述する公に入手可能な情報またはプライベートデータベース"、および他のデータを言います。 9月には、Appleは友人とユーザーが音楽を共有する設定をすることができますピンと呼ばれるiTunesでソーシャルネットワーキングサービスを導入しました。 Appleはコメントを避けた。

ハイテク企業は、すべての時間青空の概念についての特許出願、そして、それはAppleがこれらのアイデアのフォロースルーをするかどうか明確ではない。それがいない場合は、それが侵入追跡を批判している最高経営責任者スティーブジョブズは進化しているのでしょう。 6月の技術会議では、彼がアプリに不満"あなたの個人的な大量のデータを取得し、それを吸うします。"

12月 19, 2010 at 11:14 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2010.12.09

日本のインターネット事件捜査のFBI化?

読売新聞より「ネット犯罪摘発に新方式

インターネットに男性の裸の画像を投稿したとして、大阪府警保安課などは7日、府内に住む短大1年の男子学生(19)をわいせつ物公然陳列容疑で逮捕した。

警察庁が収集した違法情報について、警視庁に発信元を分析させ、全国の警察に捜査を割り当てる新方式で初めての摘発となった。

発表によると、男子学生は10月17日、ネット上の掲示板にわいせつな画像を投稿し、公然と陳列した疑い。

新方式は、警察庁が「インターネット・ホットラインセンター」で把握した情報を集める形式で、10月1日から導入された。同月下旬、警視庁が今回のわいせつ画像の発信元を分析し、浮上した男子学生の身元を府警へ通報していた。
(2010年12月9日08時57分 読売新聞)

なんじゃらほい、とよく読んだら「う~ん」となってしまいました。

  1. インターネット・ホットラインセンターが警察庁に報告
  2. 警察庁は警視庁に分析を指示
  3. 分析結果により、各県警が取り締まりを実行

という手順ですよね。
今までの犯罪捜査の基本的手順とは大きくちがっていて、びっくりです。

わたし自身は、日本版FBIを作るべきだと思う者で、全国あるいは全世界に関係するような事件を県警単位で捜査するのは無理があるだろうし、また科学捜査や鑑定などは一元化した方が技術水準の確保という意味からも望ましいと思います。

しかし、そこにインターネット・ホットラインセンターを組み込んでしまうとは、予想していませんでした。
インターネット・ホットラインセンターが出来たときには、組織・体制の図に紹介されているように、インターネット・ホットラインセンターが警察庁に情報を提供し、警察庁・各県警が、その情報を元に再度調査をするのかと思っていたのですが、今回の「新方式」では、結局はインターネット・ホットラインセンターが事件捜査の指示を出すことに等しくなったように思います。

岡崎図書館事件のような「マヌケ」な事件を起こさないためにも、インターネット・ホットラインセンターが有害情報をチェックするのは、妥当であるとは思いますが、本来の「ネットの自主性によるチェック」の方が重要であろうと強く思うのです。

12月 9, 2010 at 10:41 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2010.12.04

DVDのコピー禁止の法制化

朝日新聞より「DVDコピー、家庭内も禁止へ 暗号で保護のソフト対象

2010年12月4日4時30分

DVDやブルーレイなどに収録されている市販の映画やテレビドラマなどの映像ソフトをコピー(複製)する行為は、家庭内であっても違法になりそうだ。

暗号化技術を使って保護されているソフトが対象で、保護を破るプログラムの製造や配布も禁止される。ネット上にあふれる「海賊版」を抑制するのが狙い。

文化庁が3日、方針を固めた。

文化審議会の小委員会のワーキングチームが報告書をまとめた。
早ければ、来年の通常国会に著作権法改正案を提出する。
複製行為については罰則は設けない。

映像ソフトを保護する技術は複数あるが、文化庁によると、現在は、情報を「暗号化」するタイプが主流という。
この技術を破るプログラムがネット上などで公開され、指南本も市販されており、一部の人はパソコンで映像ソフトを複製している。

現在の著作権法は、こうしたプログラムを製造・配布したり、このプログラムを使って家庭内で複製したりすることを規制していない。
複製された映像がファイル交換ソフトなどでネット上に出回り、映画業界が問題視してきた。

1999年の同法改正では、「信号」を付与してコピーを禁止する技術を破る行為を、規制の対象にした。

当時、「暗号化」技術については、複製そのものを防ぐものではないとみなして、規制しなかった。

文化庁は、小委員会で検討してきた、違法な海賊版ゲームソフトを使えるようにする装置「マジコン」の製造を禁止するのとセットで、著作権法を改正する方針だ。(赤田康和)

どうなのだろう?
マジコンと同列に扱えることなのだろうか?

マジコンというのは、ゲーム機のプロテクト破りだから、確かにDVDのプロテクト破りと論理的には同列と言えるのだろうが、ゲーム機ではゲーム機本体とソフトウェアの組み合わせは一対一であるから、マジコンでは簡単に禁止できるだろうし、副作用も少ないだろう。

しかし、DVDではプレーヤとソフトウェアの組み合わせは事実上無制限で、特にプレーヤーが進化すると、昔のDVDが見えないといった副作用が生じるのではないのか?

この点は、コピーコントロールCD(CCCD)が消滅してしまったのと同じようなことになる気がする。

結局、DVDに対して再生装置が適正であるかを保証しない限り、保護を破る装置というのは決められないから、それをどうやって決めるのだろう?

うまく行くとはちょっと思えないのだが。

12月 4, 2010 at 12:28 午後 セキュリティと法学 | | コメント (1) | トラックバック (0)

2010.11.03

ミッフィー問題

サンケイ新聞より「「キャシーはミッフィーのコピー」とサンリオに生産停止命令 模倣を認定 オランダ裁判所

ウサギの女の子のキャラクター「ミッフィー」の生みの親であるオランダの作家が、サンリオのキャラクター「キャシー」はミッフィーを模倣した著作権侵害として、関連製品の生産差し止めを求めた係争で、アムステルダムの裁判所は2日、オランダなど欧州3カ国での生産の即時停止を命じた。日本の仮処分決定に当たる判断とみられる。

差し止めを求めていたのは作家のディック・ブルーナ氏(83)の著作権を管理するオランダ企業メルシス。

同社は「サンリオが全世界でキャシー製品の販売をやめることを期待している」とのコメントを発表。サンリオが命令を受け入れなければ、損害賠償を求める本訴訟を起こす構えだ。

裁判所は、サンリオのキャシーは「コピー」と認定。サンリオにオランダとベルギー、ルクセンブルクでの生産や販売、宣伝の停止を命令。
これに応じない場合、1日2万5千ユーロ(約280万円)をメルシスに支払うよう命じた。(共同)

これはどうなりますかねぇ?

以前、著作権について非常に詳しい弁護士さんにレクチャーを受けて、びっくりしたのがこのミッフィー問題です。

ミッフィー(うさ子ちゃん)はディックブルーナーの創作で、当然著作権があると思っているわけですが、その弁護士さんは

「幼稚園児がうさぎの絵を描いたら、誰が描いてもミッフィーになるだろう。つまりミッフィーにはオリジナリティーが無いから、著作権が成立しない」
というご意見でした。

国際的な知的財産権争いを専門とする弁護士さんでしたが、さすがにこの論理は想像外でありました。

しかしながら、ミッフィーに誰が見ても間違えなくオリジナリティーがあるのか?と言われると、確かに首をひねってしまう面もあります。
つまり、争いの余地はあると言えそうなのです。

この10年間ぐらい、ミッフィーの著作権は非常に強調され始めているのですが、ビジネスとして世界に広まったから、後から著作権の主張が強調され始めた、とも感じられます。

11月 3, 2010 at 09:39 午前 セキュリティと法学 | | コメント (1) | トラックバック (0)

2010.10.25

ついに爆発、携帯IDがセキュリティホールか?

読売新聞より「iPhoneで人の情報丸見え…閲覧ソフト原因

高機能携帯電話・スマートフォン「iPhone(アイフォーン)」で携帯サイトにアクセスしたら、他人の会員ページに入り、個人情報を“盗み見”してしまった――。
アイフォーン利用者の間でそんなトラブルが起きている。

本来、携帯サイトの閲覧はできないスマートフォンに、携帯電話の識別番号(携帯ID)を付与して一般の携帯電話に「なりすまし」て、サイト閲覧を可能にするソフトが原因だ。

会員の情報が漏れていた宅配大手「ヤマト運輸」(東京都)では、サービスの一部を停止し、被害状況の調査を始めた。

トラブルが起きたのは、ヤマト運輸の「クロネコヤマトモバイルサイト」。

サイト上で集荷や再配達の依頼をできるサービスで、9月末現在、パソコンでの利用者を含め約560万人が登録しているが、氏名、住所、電話番号、メールアドレスなどの登録情報を他人が閲覧できるケースが確認された。

少なくとも2人から閲覧されていたことが分かった首都圏の女性会社員(28)は

「便利なサイトだと思っていたのに、情報が漏れていたとはショックだ。これから迷惑メールや電話が来るのではと不安」
と語る。同社では
「情報が漏れてしまったことは大きな問題。25日までに対策をとりたい」
としている。

同サイトを含め、日本の多くの携帯サイトは携帯IDなどによって閲覧者を識別しているため、携帯IDを持たないパソコンやスマートフォンでは基本的に閲覧できない。

しかし、アイフォーンの公式サイトで販売されているソフト(アプリ)「エスブラウザ」を使うと、アイフォーンに任意の携帯IDを割り当て、接続したサイト側に「携帯電話」と認識させるため、閲覧できるようになる。

今回のトラブルは、このソフトが複数の利用者に同一のIDを割り当てていたことが原因だ。

アイフォーン以外のスマートフォンでも、エスブラウザと同様のソフトが販売されており、ヤマト運輸では、現在詳しい被害を調査している。

一方、ヤマト運輸以外にも、個人認証を携帯IDのみで行っているサイトでは、同様の問題が発生しているとみられる。

エスブラウザの販売元「さいこち」(大阪府)では、

「本来、携帯サイトの開発者がアイフォーンを使ってサイトの機能を検証するためのソフトで、今回は想定外の使われ方だ」
としているが、エスブラウザは既に約2万5000本を販売。実際には、多くの一般の利用者が携帯サイトを見るために購入しているとみられ、同社では今後、同じID番号を提供しないような対策をとるという。

アイフォーン販売元で、公式サイトでのソフト販売を認めている米アップル社の日本法人「アップルジャパン」は「著作権法違反など反社会的な内容でなければ認めている。

販売後のトラブルは販売業者と購入者で解決してほしい」としている。

スマートフォンの利用者は拡大を続けており、調査会社「MM総研」(東京都)の調査では、スマートフォンの予測販売台数は、2010年度は携帯電話全体の1割強だが、5年後には5割を超えるとみられる。

(2010年10月25日 読売新聞)

なぜこの記事が、読売新聞に出たのかは、slashdot の「ヤマト運輸のモバイルサイトで「自分のものでないIDでログインできる」問題発生」にいきさつが説明されています。

読売新聞の記事によると、ヤマト運輸の携帯電話向けサイトに特定のiPhoneアプリからアクセスした場合、自分のものでないIDでログインできてしまうという問題が発覚したそうだ。

詳細についてはこの問題を発見したというMoba氏のブログにて説明されているが、携帯電話のブラウザを偽装するiPhoneアプリ「SBrowser」で携帯電話用の「クロネコメンバーズのWebサービス」にアクセスし「クイックログイン」を行ったところ、自分のものでないIDでログインできてしまい、そのユーザーの名前や住所、電話番号などが閲覧できてしまったらしい。

問題を発見したMoba氏が高木浩光氏に相談し、高木氏から読売新聞の記者を紹介されて記事になったとのこと。

高木氏からは

「以前から氏が警告していたケータイID絡みの問題」「問題はサイト側にある」
などのコメントを貰ったという。

結局、高木浩光氏がだいぶ前から、警告していた問題がアプリとして登場してしまったのが、原因らしい。
高木氏自身のコメントはまだ無いようです。

要するに、携帯電話に付いてくる「簡単ログイン」でインターネットアクセスの認証を簡易化する手法自体が問題だ、と高木氏は警告しています。
非常に大量の文章なのですが、比較的まとまっているのが「今こそケータイID問題の解決に向けて」です。

高木氏の説明によると、恐ろしくマヌケというか、何を考えているのだ?的な状況ですが「普及しちゃったから仕方ない」といったところで、事件が起きるのを待っていた、といったところです。

このあたりの話を見ていると、頭がクラクラしてきます。

10月 25, 2010 at 09:31 午後 セキュリティと法学 | | コメント (7) | トラックバック (0)

2010.08.19

ブラックベリー問題とは

読売新聞より「ブラックベリー、規制広がる理由は?

世界的に普及している高機能携帯電話(スマートフォン)「ブラックベリー」を巡り、アラブ首長国連邦(UAE)やインドなど、世界各国で電子メールやサイトの閲覧機能を制限する動きが広がっている。

何が起きているのだろうか。

ブラックベリーは、カナダの携帯電話メーカー「リサーチ・イン・モーション(RIM)」社の製造するスマートフォン。
1990年代末から北米で人気となり、オバマ大統領も愛用していることで知られる。
今年5月末時点で、175か国で累計1億台以上を販売。利用者はビジネスマンなど約4600万人に上る。

人気の一つは、独自の通信方法。データ通信の内容を暗号化して、サーバーに送信する仕組みで、企業情報などの秘密を守りたい顧客のニーズに応えてきた。

ところが、この「強み」がむしろ、各国で問題になっている。強力な暗号化が施されている上に、サーバーが国内にないため、当局が通信内容を監視するのは困難だ。このため、「テロや犯罪に使われるのでは」との懸念を抱く国が反発を強めている。

UAE政府は今月1日、10月からブラックベリーのメールやサイト閲覧などの機能を禁止すると表明。

サウジアラビア政府も、「改善策がとられない場合、6日から機能を制限する」と発表した。同国では実際に一時、利用の一部が制限され、RIM社は、当局が通信内容を監視できるよう、サウジ国内にサーバーを設置することで合意した。

インド政府も、「月末までに懸念が解消されない場合は国内サービスを停止する」と迫っているとされる。RIM社は「各国政府との協議内容は明かせないが、できる限り協力するよう真摯(しんし)に努力している」としている。

慶応大の武田圭史教授(情報セキュリティー)は

「現在、ブラックベリーを問題視している国の多くはこれまでも政治的内容などに関して、ネットへのアクセス制限をかけており、今回もその一環」
としながら、こうも話す。
「それぞれの国では、官僚や重要なビジネスマンにおけるブラックベリーの利用率が高く、特定の企業のサーバーを経由することで、自国の情報が他国に筒抜けになることへの警戒心もあるのではないか

では、日本はどうなのか。日本では2006年から法人向けに、08年からは個人向けにも販売が始まったが、調査会社MM総研の調べによると、09年度の全携帯端末の国内出荷台数におけるシェア(占有率)はわずか0・3%(10万台)。

通信の秘密もあり、サービス停止の問題が突然浮上する可能性は低いだろう。

武田教授は

例えば、他国のテロリストが日本でブラックベリーを使い、テロを起こした場合、日本の当局の捜査は困難になる。セキュリティーとプライバシーの兼ね合いという意味では日本も無縁ではない
と話している。(十時武士)

◆高機能携帯電話(スマートフォン)

小型キーボードか、指で画面に触って操作できるタッチパネルの付いた携帯電話。パソコン用のインターネットサイトが閲覧でき、パソコンのようにソフトウエアを取り込み、自分の使いやすいよう仕様の変更もできる。iPhone(アイフォーン)の登場などで国内でも普及が進んでいる。
(2010年8月19日18時04分 読売新聞)

ホンネとタテマエの争いのようなところがありますね。

通信の秘密とは何を秘密にするべきなのか、誰が何の秘密を守るのか?という問題に直面します。

通信には、

  • アドレス(発信者・受信者)
  • 本文
  • 通信の記録(ログ)
が、含まれていて、直感的に本文が秘密の対象であることは、分かりますが、通信したこと自体も秘密である、というのが法学上の一般的解釈です。
確かに「内容は言えませんが、AさんはBさんに、1日に100通の発信をしています」なんて情報を公開されたら「何かがあった」と分かってしまいますから、秘密の暴露になります。

しかし、アドレス情報に属する、メールアドレス、電話番号、氏名、住所、といったものは、ある程度社会に公表しないと、意味がない。
これは結局は「Aさんは日本に住んでます」といった情報は、秘密とは言い難いということでしょう。

通信は、仲介者(通信事業者)が居て成り立つことですから、上記の「通信の秘密」は結局は通信事業者の秘密保持義務、となります。
このときに、通信事業者は誰に対してどの程度の秘密保持をするのか?という程度問題が出てきます。

通信事業者が、裁判所の命令に対しても「通信の秘密だ」といって情報を開示しない場合、テロ事件を含めて、事件事故で被害を食い止められない、といった事になるでしょうから、ある条件下では通信事業者は秘密の開示をします。
主に、政府にですね。

それが、インターネット時代で、通信事業者自体が国境を越えてしまった。
このために、上記の条件を満たすべく、各国が動いたわけで、法律が国境を越えられないことの問題が、また一つ具体的になった。と理解するべきでしょう。

8月 19, 2010 at 07:32 午後 セキュリティと法学 | | コメント (4) | トラックバック (0)

2010.08.10

ウイルス作成罪がようやく作られるか?

毎日新聞より「サイバー犯罪:「ウイルス作成罪」創設へ 刑法改正を検討

コンピューターウイルスを使って個人情報を流出させるなどのサイバー犯罪を阻止するため、法務省はいわゆる「ウイルス作成罪」を新たに創設する刑法改正の検討に入った。

ウイルスを使った犯罪が相次ぐ一方、これまでウイルスの作成や頒布を直接罪に問える法律がなかった。
同種の事件は時間の経過とともに被害が飛躍的に拡大する恐れが強いことから、法務省は早期の法案提出を目指す。

法務省が創設を検討しているのは、ウイルスを作成したり、ばらまくことを禁止する「不正指令電磁的記録作成罪」(仮称)。
懲役刑を科すことも可能とする。

警視庁は5月、ファイル共有ソフトに個人情報を流出させるウイルスを仕掛け、被害者から個人情報の削除を理由に現金をだまし取ったなどとしてインターネット広告会社役員らを詐欺容疑で逮捕。
今月にはパソコン内のファイルを勝手に上書きする「タコイカウイルス」を送りつけてパソコンを感染させ使用不能にしたとして、会社員にネット犯罪では異例の器物損壊容疑を適用して逮捕した。

いずれもウイルスをばらまくだけでは現行法で罪に問えないことから、適用罰則に苦慮したとされる。

同種の刑法改正案は共謀罪を創設する組織犯罪処罰法改正案とともに03年以降3度、政府が国会に提出し、いずれも廃案となった。

今回はサイバー犯罪防止の重要性がより高まっているとして、共謀罪を除き提出する方向で検討している。【石川淳一】

◇早期摘発に期待

コンピューターウイルスを使った犯罪を阻止するため法務省が刑法改正で導入する検討を始めた「ウイルス作成罪」。
「タコイカウイルス」を作成した大阪府泉佐野市の会社員の男(27)を器物損壊容疑で初摘発した警視庁の捜査幹部は

「こうした罪があれば、もっと早く検挙できた」
と、ウイルス犯罪捜査の難しさを痛感している。

警視庁がネット上で警戒する「サイバーパトロール」で、ファイル共有ソフトに仕掛けられた「タコイカウイルス」を発見したのは09年11月。

ウイルスの放出源を突き止めるには、通信事業者が保有するファイル共有ソフトの通信履歴解析が不可欠だが、そのためには罪名を特定した上で裁判所に令状請求しなければならなかった。

捜査幹部は「被害実態に合わせて、考えられるだけの罪名を検討した」。

例えば私用文書等毀棄(きき)罪の適用も検討されたが、同罪は破損されたデータが「権利または義務に関する文書」であることを立証しなければならず、最終的に器物損壊罪で落ち着いたという。

摘発までにはさらにハードルがあった。器物損壊罪は、被害者からの届け出が必要な親告罪だったためだ。男が作成したウイルスはアニメ音楽ファイルを装っており、被害者が違法ファイルをダウンロードした後ろめたさから被害届を出すことに尻込みする事情もあった。
このため被害者の特定に時間を要してしまい、その間に被害は約5万人にまで拡大したとみられる。

捜査幹部は「作成者からウイルスを譲渡された第三者がウイルスを拡散させる犯罪も今後想定されるが、法改正されれば対応できる」と期待を寄せる。【町田徳丈】

毎日新聞 2010年8月7日 2時30分

以前から「さっさと法律を作れ」と言われ続けていた問題です。

いまだに、コンピュータウイルスの犯罪性について、「子供のいたずらのようなもの」と捉えられている感じがありますが、すでに組織化されていると報告されています。

  • ウイルスの作成
  • 配布
  • ハッキングした情報の転売
  • ハッキング情報を購入して攻撃
このような行動が、ビジネス化してる。
ようするに、組織犯罪であり、ヤクザの世界そのものです。

もう「わたしのPCの情報を盗む理由がない」といった考え方では、通用しません。
怖いのは、ボットです。 ボット自体の説明は、総務省・経産省連携プロジェクト「サイバークリーンセンター」に説明があります。

ボット ウイルス(BOT)とは

ボット ウイルスとは、コンピュータを悪用することを目的に作られた悪性プログラムで、コンピュータに感染すると、インターネットを通じて悪意を持った攻撃者(以下「攻撃者」という)が、あなたのコンピュータを外部から遠隔操作します。

感染すると、この攻撃者があなたのコンピュータを操り「迷惑メールの大量配信」、「特定サイトの攻撃」等の迷惑行為をはじめ、あなたのコンピュータ内の情報を盗み出す「スパイ活動」など深刻な被害をもたらします。

この操られる動作が、ロボット(Robot)に似ているところから、ボット(BOT)ウイルスと呼ばれています

感染したコンピュータ自体は、ちょっと動作が遅くなるぐらいで具体的な障害が出ませんから、気がつかないわけです。
「被害がないなら気にしないでよいだろう」となりそうですが、持ち主が気がつかない間に、制御できることを利用して、ボットネットを構築しているのです。ウィキペディアの解説。

ボットネット(Botnet)とは、サイバー犯罪者がトロイの木馬やその他の悪意あるプログラムを使用して乗っ取った多数のコンピュータ(ゾンビPCという)で構成されるネットワークのことである[1]。

サイバー犯罪者の支配下に入ったコンピュータ(ゾンビPCという)は、使用者本人の知らないところで犯罪者の片棒を担ぐ加害者(踏み台など)になりうる危険性がある[2]。

ボットネットにおいて、指令者(ボットハーダーまたはボットマスターもしくは単にハーダーという)を特定することはボットネットの性質上、非常に困難である。

そのため、近年では組織化された犯罪者集団がボットネットを構築し、それを利用して多額の金銭を得ている[3]。

これらの犯罪行為の実際の発生例の内、よく知られているのがスパムメールの配布です。
スパムメールの発信者を追及して責任を取らせようと、考えるのはごく自然ですが、配布しているのは乗っ取られたコンピュータで、持ち主もスパムメールを発信していることを知らない、となります。

このような現状に対して、法律を整備していくことは今や遅すぎると言うべき段階であって、早急に実現させるべきです。

8月 10, 2010 at 09:06 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2010.07.07

法科大学院・個々の大学院ではなくて仕組みを見直すべきだ

NHKニューより「法科大学院 組織見直しを

7月7日 4時34分 動画あり

法科大学院のあり方について、政府の作業チームは検討結果をまとめ、この中で、法科大学院の中には教育の質の確保など問題が改善されていない学校があり、統廃合を含めた組織の見直しなどを進めるべきだとしています。

法科大学院をめぐっては、卒業生の司法試験の合格率が年々下がっていて、去年は28%にとどまったことなどから、政府は法科大学院のあり方を見直すため、法務省や文部科学省などによる作業チームを設けて検討を進め、6日、検討結果を発表しました。

それによりますと、全国で現在74ある法科大学院の中には、入学試験の競争性が十分に確保されていないうえ、質の高い教員も確保できておらず、こうした問題への改善が進んでいない学校もあると指摘しています。

そして、今後、全体の定員の削減や法科大学院の統廃合を含めた組織の見直しを進める必要があるとしたうえで、改善が進まない場合は、国からの財政支援などを中止することも検討すべきだとしています。

加藤法務副大臣は、記者会見で「今回取りまとめた結果が、今後の議論の土台になる。できるだけ速やかに政府全体で検討を始めたい」と述べました。

政府は法科大学院のあり方を見直すため、法務省や文部科学省などによる作業チームを設けて検討を進め、6日、検討結果を発表しました。

何度か指摘していますが、法科大学院の管轄は文科省です。
わたしには、実務家養成という観点で大学とは別の組織にするのだから、法務省管轄での方が良いだろうと思えるのですが、文科省管轄です。

その結果、成績評価が相対評価になってしまった。
当然、同じ法科大学院内での相対評価です。

まあ、司法試験が資格試験だとすると(実際には競争選抜)法科大学院での評価が相対評価であっても構わないような気がしますが、それなら司法試験の直接受験を認めればよいのに、現実的に直接受験はほぼ不可能なので法科大学院の修了が事実上義務化されています。

法科大学院生の立場から見ると、全司法試験受験生(ライバル)の中で、自分がどの成績であるかをしる方がはるかに現実的でしょうから、統一試験でもやって絶対評価を示した方が良いと思うのです。

色々な問題を含みつつ、今回の「政府の作業チーム検討結果報告」になったわけですが、面白いのは、法務省が主導したように見えることです。

そもそも、法科大学院を作って何をするつもりだったのでしょうか?

確かに、法曹人が足りないという声はありました。また、会社などで法律の専門家が必要になる、という将来予測もありました。

しかし、それだけでは司法研修所の機能拡大ぐらいで対処できたはずで、法科大学院を作るのが合理的であったかは、大いに疑問です。

おそらくは、法科大学院制度を検討し始めた時点でも、上記のような議論はあっただろうと思いますが、それを一気に多数の法科大学院の設置に動いたのは、大学側つまり文科省の意向であったのでしょう。

大学にとって18歳年齢の減少に対抗して、収益の元である学生を確保するために、全く新たな学校を作るのが大変魅力的だった、というのは間違えないでしょう。

おそらくは、法科大学院を作ることだけを文科省は強力に推進した。法務省などは「勝手にやってくれ」と放置した。
しかし、いよいよ司法試験受験者が法科大学院卒業者に限定されると、色々な問題点が明らかになってきて、行政全体として「このままではダメだ」となったのだと思います。

司法試験が、実務家の資格試験であるのなら、そもそも受験資格を問うのがおかしいと思います。 学歴に関係なく、実力試験でよいでしょう。

日弁連会長の宇都宮弁護士、弘中淳一郎弁護士、久保利英明弁護士はいずれも法学部在学中に司法試験に合格しています。

確かに、あまり若くして弁護士として独立すると「世間知らず」とか言われることもありますが、それは個人的な問題であって一律に法科大学院に放り込めば、人格的に練れた弁護士になるとはとうてい思えない。

多様な法曹人を要請する必要があるのは間違えなく、法科大学院だけが法曹人の入口である仕組みはまずいと思います。

7月 7, 2010 at 10:02 午前 セキュリティと法学 | | コメント (1) | トラックバック (0)

2010.05.30

ディープ・パケット・インスペクションお断り

朝日新聞より「「ネット全履歴もとに広告」総務省容認 課題は流出対策

インターネットでどんなサイトを閲覧したかがすべて記録される。

初めて訪れたサイトなのに「あなたにはこんな商品がおすすめ」と宣伝される――。

そんなことを可能にする技術の利用に、総務省がゴーサインを出した。

ネット接続業者(プロバイダー)側で、情報を丸ごと読み取る技術を広告に使う手法だ。

だが、個人の行動記録が丸裸にされて本人の思わぬ形で流出してしまう危険もある。業者は今後、流出を防ぐ指針作りに入る。

この技術は「ディープ・パケット・インスペクション(DPI)」。

プロバイダーのコンピューター(サーバー)に専用の機械を接続し、利用者がサーバーとの間でやりとりする情報を読み取る。

どんなサイトを閲覧し、何を買ったか、どんな言葉で検索をかけたかといった情報を分析し、利用者の趣味や志向に応じた広告を配信する。

DPIは従来技術に比べてより多くのデータを集められるため、こうした「行動ターゲティング広告」に利用すると広告効果がさらに上がると期待されている。

だが、情報を突き合わせれば、他人に知られたくない持病やコンプレックスなどが特定される恐れがある。

技術的にはメールの盗み読みもでき、憲法が保障する「通信の秘密」の侵害にもつながりかねない。

こうした点から、米国と英国では業者による利用が問題化し、いずれも実用化に至っていない。

DPIは現在、一部のネット利用者が「ウィニー」などのファイル交換ソフトで通信を繰り返し、サーバーに負荷がかかって他の利用者に迷惑をかけるのを防ぐのに使われている。

総務省もこの監視目的での利用は認めてきたが、業者側から新たに広告利用を要望され、昨年4月に作った識者による研究会の中に作業部会を設けて検討してきた。

その結果、導入を認めたうえで、ネット業界に対し、

  1. 情報の収集方法と用途を利用者にあらかじめ説明する
  2. 利用者が拒否すれば収集を停止する
  3. 情報が外部に漏れるのを防ぐ
など6項目を求める「提言」をまとめて26日に公表した。

総務省消費者行政課は、こうした情報収集の技術は発展途上にあり今後どう変わるか未知数のため、「あまり縛らず、緩やかな原則にした」としている。

DPIの導入を検討している大手プロバイダー、NECビッグローブの飯塚久夫社長は

「個人の特定につながらないよう、集めた情報はいつまでも保存せず、一定期間が過ぎたら捨てる。(プライバシーの侵害目的だと)誤解されたら全部アウト。
業界で自主規制が必要だ」
と話す。

一方、新潟大の鈴木正朝教授(情報法)は

「DPIは平たく言えば盗聴器。
大手の業者には総務省の目が届いても、無数にある小規模業者の監視は難しい。利用者が他人に知られたくない情報が勝手に読み取られ、転売されるかもしれない。業者がうそをつくことを前提にした制度設計が必要だ」
と話す。

作業部会に参加した一人は

「総務省の事務方は積極的だったが、参加者の間では慎重論がかなり強かった。ただ、『利用者の合意があれば良いのでは』という意見に反対する法的根拠が見つからなかった」
と話している。(小宮山亮磨)

こんなモノが実施可能なんでしょうかねぇ?
情報を集めることができた後に起きることは

  1. 情報の漏洩
  2. 情報の転売
  3. 情報の窃盗
  4. 情報の窃視
  5. 情報の流出
  6. 恐喝
  7. 詐欺
何でもアリでしょう。
それを「自主規制で留める」なんての事は不可能に決まっている。
例えるなら
「ちゃんと管理しますから、全ての家に使えるマスターキーを使います」
と言っているようなものではないか。
問題が起きたらどうするんだ?

問題が起きるという前提で、実施可能かどうかを考えるべきだろう。
分からないからやってみる、という種類の話とは思えない。

5月 30, 2010 at 09:47 午前 セキュリティと法学 | | コメント (2) | トラックバック (0)

2010.05.08

ネットによる人権侵害・・・・シンポジウム

「弁護士会館のイベント案内」で紹介した「ネットによる人権侵害――インターネットにおける表現の自由を考える」に参加してきました。

パネラーが

  • 紙谷雅子 氏(学習院大学法学部長)
  • 大村真一 氏(総務省総合通信基盤局電気通信事業部消費者行政課企画官)
  • 江川紹子 氏(ジャーナリスト)
  • 丸橋透 氏(ニフティ株式会社法務部長)
でしたので、最初から「プロバイダ責任制限法の話が出て来るだろう」と予測して行きました

会場である、弁護士会館のクレオは何度も行っているところですから、さっさと階段を上がって、受付で資料をもらって入場してちょっとビックリ。

60歳代ぐらいの方が大勢居ます。

会場で意見のある人は、専用の用紙が用意されていて、意見や疑問などを書いて問題として司会者に採りあげてもらう、という型式でした。

この方式で、先に述べた方々が、パネルディスカッションが進まないうちにドンドン書いて提出しているのです。

司会者は「会場からの意見」として「わたしも当事者なのだが・・・・」という意見が多数来ているというのですね。

つまり会場の参加者の中に「検索されるのを止められないか」とか「削除するにはどうするのか?」といった問題を抱えている人たちが大勢来ていたのでした。

まあ、多くの方々は新聞記事のタイトル通りに「ネットによる人権侵害」という観点で「被害者救済」を求めて参加されたのではないのか?と想像します。

しかし、わたしは上記に書いた通り、プロバイダ責任制限法の話に触れるし、発言削除と、通信の秘密、表現の自由とのバランスの話になるだろう、と思っていましたし、現実にその通りになりました。

管理者が、削除要求を受けて、掲示を削除した場合、その事実を実名を表示して「○○氏からの削除要求を受けて削除しました」と書き込んだから、その記事で、管理者が名誉毀損で訴えられないか?

という質問がありました

こんな、コンニャク問答になるとは、「被害救済の手段」を求めて参加された方々にとっては「何なんだい!!」みたいな感想だったのではないかと思います。

そういう意味では、わたしが参加している情報ネットワーク法学会の研究会の色彩が非常に強くて、一般受けはしないでしょうが、この種の公開シンポジウムは繰り返し行うべきだと思います。

5月 8, 2010 at 11:58 午後 セキュリティと法学 | | コメント (1) | トラックバック (1)

2010.05.07

弁護士会館のイベント案内

朝日新聞より「「ネットによる人権侵害」考えるシンポ 東京で8日

東京の3弁護士会と日本弁護士連合会は8日、「ネットによる人権侵害――インターネットにおける表現の自由を考える」と題するシンポジウムを、千代田区霞が関1丁目の弁護士会館2階クレオで開く。

第1部で犯罪報道をテーマに昨年公開された映画「誰も守ってくれない」を上映、第2部で総務省担当者やニフティ法務部長らがパネル討論する。

午後0時半開場、1時開演。無料。定員先着500人。問い合わせは03・3595・8583。

日弁連が関わるイベントは日弁連のHPに掲載されますから、さっそく見てみました。
第19回憲法記念行事 「ネットによる人権侵害~インターネットにおける表現の自由を考える~」」

こちらのイベントは日弁連・東京弁護士会・第一東京弁護士会・第二東京弁護士会の共催です。詳細は第一東京弁護士会HP(→こちら)を参照下さい。

また、前日の5月7日(金)には、裁判所、検察庁、弁護士会を巡るスタンプラリーを実施します。スタンプラリーの応募方法等、詳細は第一東京弁護士会HP(→こちら)に掲載されています。

皆様のご参加をお待ちしております。

日時 2010年5月8日(土)13:00~17:00(12:30開場)
場所 弁護士会館 2階講堂 クレオ
(千代田区霞が関1-1-3 地下鉄丸の内線・日比谷線・千代田線 「霞ヶ関駅」B1-b出口直結)(→会場地図
参加費等 入場無料(先着500名)・予約不要
内容
第1部 映画「誰も守ってくれない」上映
第2部 パネルディスカッション
パネリスト
  • 紙谷雅子 氏(学習院大学法学部長)
  • 大村真一 氏(総務省総合通信基盤局電気通信事業部消費者行政課企画官)
  • 江川紹子 氏(ジャーナリスト)
  • 丸橋透 氏(ニフティ株式会社法務部長)
コーディネーター
  • 上柳敏郎 氏(弁護士)
主催 日本弁護士連合会 東京弁護士会 第一東京弁護士会 第二東京弁護士会
問合せ先 第一東京弁護士会 人権法制課 
TEL:03-3595-8583

明日の昼ですが、総務省系のシンポジウムですね。
総務省の大村さん、ニフティ社の丸橋さんとは面識もあるので、ぜひとも参加しようと思っています。

映画「誰も守ってくれない」は、2008年製作され、2009 年1月公開。第32回モントリオール世界映画祭にて最優秀脚本賞受賞です。
詳しくは、こちらなどをご覧ください。

5月 7, 2010 at 09:09 午前 セキュリティと法学 | | コメント (3) | トラックバック (0)

2010.04.16

司法修習問題

毎日新聞より「司法修習生:無給あんまり 日弁連が対策本部

2010年4月16日 2時33分 更新:4月16日 2時33分

国が司法修習生に給与を支給する「給費制」が廃止され、11月から生活資金を貸し付ける「貸与制」が導入されることに対し、弁護士や修習生から反対の声が上がっている。

司法試験合格までに奨学金を借りている修習生が多く、貸与制でさらに借金が必要な状態になると、「金持ちしか法律家になれなくなる」との懸念があるためだ。日本弁護士連合会は15日、給費制の維持を訴えていくために緊急対策本部の設置を決めた。【伊藤一郎】

日弁連が09年に実施したアンケートによると、司法試験合格者の53%が、法科大学院在学中(2~3年間)に奨学金を利用した。金額は平均約320万円で、最高は1200万円に達した。

現在、給与をもらいながら司法修習中の男性(26)は、3年間の法科大学院生活で600万円の奨学金を借りた。修習生のアルバイトは禁止されており、「貸与制になって借金を抱えた人が弁護士になれば、返済のために金になる仕事しかしなくなる」と心配する。

日弁連は貸与制の問題点を指摘する意見書を公表してきたが、導入反対に向けた本格的取り組みはなかった。

だが、4月に就任した宇都宮健児会長は

「会長選のために全国行脚する中で、法科大学院で多額の負債を抱えた若手弁護士がいかに多いかを知った」
といい、
「貸与制になれば負担が増し、貧乏人は法曹の道をあきらめなければいけなくなる」
と指摘する。

若手弁護士も行動を起こしている。仙台市では今年1月、弁護士や学者ら70人が市民グループ「市民のための法律家を育てる会」を結成。
街頭宣伝や集会で、貸与制の問題点をアピールしている。

中心メンバーの渡部容子弁護士(28)は

「給費制の廃止は、国が質の高い法律家を育てる義務を放棄したに等しく、結局は国民が不利益を被る。サービスを受ける市民の問題であることを理解してほしい」
と訴えている。

司法修習を所管する最高裁は日弁連の方針について、

「現在、担当部署で貸与制開始に向けて準備を進めており、特段のコメントはない」
としている。

◇ことば 司法修習

司法試験合格者が1年間、裁判所や検察庁、弁護士事務所で実務研修を行う制度。裁判所法に基づき、国は月約20万円の給与や通勤手当を修習生に支給してきたが、法曹資格取得を目指す個人のために公費を支給することを疑問視する声もあり、04年の法改正で制度改正が決まった。

今年11月に修習が始まる新64期(新試験組)から給与はなくなり、毎月18万~28万円が貸し出される。

無利子だが、修習終了後5~10年間で返済できない場合は、遅滞利息が生じる。

この問題は、法科大学院制度を問題にしている弁護士さんがブログで以前から取り上げていましたが、わたしも理解していませんでした。
「こんな日弁連に誰がした?」を読んでようやく理解した次第です。

4月に就任した宇都宮健児会長は 「会長選のために全国行脚する中で法科大学院で多額の負債を抱えた若手弁護士がいかに多いかを知った

魂の仕事人第10回「社会の闇と闘う仕事人・弁護士 宇都宮健児」 で宇都宮会長が次のように述べています。

でも仲間の中に弁護士を目指す人がいて、その話を聞くと、弁護士は非常に自由であり、自分が学んだ法律の知識を人のために役立てることが可能なんじゃないかとだんだん思えてきて、それで弁護士を目指して司法試験の勉強をするようになったんです。

司法試験、週100時間の猛勉強
背水の陣で在学中に一発合格

卓球も続けていて、東大卓球部のレギュラーとして大学3年の秋のリーグ戦までやりました。それですぱっと卓球はやめて司法試験の勉強一本に打ち込んだんです。

勉強は東大受験のときの10倍くらいはやりましたね。
1週間に100時間くらい勉強してました。そのため体重が7、8キロ落ちて、良かった視力が落ちてメガネをかけるようになりました。

そこまで頑張れたバックボーンになったのは、父親の働いている姿でした。
朝3時4時に起きて、夜の8時9時まで働くと。文句も言わずに黙々とね。
それに比べれば勉強なんか簡単なことなんですよ。
せいぜい体重が減って視力が落ちるくらい。それで死ぬことはないですからね。

また、ウチは貧乏でしたから、一発で合格しなきゃならなかった。

親に迷惑はかけられないから。司法試験を受ける人の中には5回も6回もだらだらやってるのもいるけど、うちはそんな経済的余裕なんてないですからね。

受けるなら一回で受からないかんと。それで受からなきゃ司法試験はすぱっとやめて、他の道に行くしかないと思ってた。だから背水の陣。

人間、そういうのは重要ですよ、だらだらやっててもしょうがないですからね。

でも当時東大法学部で弁護士を目指すのは異端だったんですよ。大蔵省や通産省の官僚とか第一勧銀(当時。現みずほ銀行)などの大企業を目指すのが一般的だったんです。

親を思って東大中退
屈辱のイソ弁生活のスタート

22歳のときに大学を中退して司法研修所に入りました。

中退したのは経済的な理由です

当時大学でいろいろ紛争があって、卒業試験が伸びたりしてたんです。奨学金をもらったり、3年から授業料も免除されてたんですが、それでも生活費は親から仕送りしてもらってました。
傷痍軍人だった父親の恩給からね。

でも司法修習生になると、公務員と同じ扱いで給料が出るんですよ。
だから親に迷惑をかけないで、自活できるんですね。
それで卒業よりも司法修習生の道を選んだんです。

実は今でも東大法学部から「卒業生のみなさまへ」っていう手紙が来るんですよ(笑)。

卒業名簿を作るから連絡先を教えろとか、東大の法科大学院に寄付してくれとか。向こうはてっきり卒業していると思ってるんだろうけど、私、中退してますからね(笑)。

司法研修所を出て、最初の弁護士事務所に入ったのは24歳のときでした。

弁護士の世界については具体的なイメージがなくって、弁護士になれば自動的にメシが食えるようになると思っていた。ところが、それは大きな間違いだったんです。

この記事で注目するべきところは、

  • 東大在学中に司法試験合格
  • 東大を中退して司法研修所に入る
  • 司法研修所では公務員として給与が出た。
これが法科大学院制度では、法科大学院修了が司法試験受験資格となった。
このために、法学部4年間、法科大学院3年間、司法研修所1年間の8年がかりが標準になりました。
最短で26歳まで勉強して、27歳で法曹人になれます。

宇都宮会長が24歳で弁護士として職に就いた時に比べても、どうやっても遅くなるわけです。
しかも大学は卒業しているわけですから、親が生活費を出すというのも問題でしょう。そして、法科大学院の学費は極めて高額。

宇都宮会長は「家の経済的状況を考えて、在学中に司法試験に通ってやろう」と猛勉強して、その努力が実ったわけです。
しかし法科大学院制度では、そういう努力をする余地がなく、金が掛かるという構図です。

その上、今まで続いてきた司法修習生への給与支払いが無くなるというのはどういう意味だ?となります。
大学卒業までは親が学費・生活費を負担するとしても、法科大学院から司法研修所まで4年間の生活費と学費の合計がいくらになるのか?

「法科大学院学費あれこれ・ランキング等」によれば、年間学費は以下のようになっています。
当然、入学金など初年度学費もあります。

国立23大学平均1,086,000円
私立49大学平均1,566,284円
全国74大学平均1,210,845円

ザックリ言って、月間の学費が15万円ぐらいでしょうか?生活費も15万円ぐらいだとすると、30万円が3年間ですから、それだけで1080万円が必要です。

つまり、首尾よく弁護士になれたとしても最低で、1500万円ぐらいのハンディを背負って社会人になる、という異様な構図です。

教育投資と言うくらいで、勉強にはお金が掛かるわけですが、大学を卒業してさらに1500万円以上を投資しないと弁護士になれない、というのはまずいでしょう。

「弁護士増員・大問題」にトラックバックをいただいた、理経済さんのエントリー「任天堂最強伝説がまた一つ」にこんな記述がありました。

【前略】

最近、弁護士数が上昇気味で、既存の弁護士達の悩みの種となっているそうです。
一方、弁護士資格があるから弁護士に成らねばならないと言うのは誤りで、資格持ちサラリーマンでもいいだろうと主張する人もいます。

酔うぞの遠めがね:弁護士増員・大問題

今後は弁護士資格を持つ人が、法務部サラリーマンとして就職する場面が多くなりそうです。

と書かれています。
この「弁護士になっても、法律事務所に就職できないのであれば、法務社員の途があるだろう」という論は、かなり多くの方が述べていて、社会的な期待も大きいのですが、法科大学院制度に問題があると声を上げている弁護士などは「法務社員にならないよ」という意見を述べていました。
その根拠の一つは、この「弁護士資格を得るまでの投資金額の大きさ」ですね。

なにしろ、社会人として出発する時点で、1500万円以上の借金を背負っているわけですから、いくら弁護士資格のある専門職の新入社員と言っても、普通の会社員と同等の給与のレベルでは「やってられない」になるでしょう。
新入社員と言っても27歳以上ですから、結婚や子どもの問題、住宅の問題も現実になっています。会社員としての年俸が1000万円程度と恵まれていても、そこから1500万円を返済するのに何年掛かるのか?

このまま行くと、法科大学院制度は当初の思惑から大きく外れて、弁護士志望者の激減という恐るべき事態になる可能性も皆無とは言えますまい。

一番トンチンカンなのは、司法試験の受験資格を法科大学院修了に限定したことで、これを自由化してしまえば、宇都宮会長のように「在学中に司法試験に合格」という優秀な若者が法曹界に入ることが期待できるわけです。

4月 16, 2010 at 11:38 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2010.04.12

弁護士増員・大問題

サンケイ新聞より「【日本の議論】弁護士は多すぎる?少なすぎる? 日弁連新会長誕生で再燃

弁護士の数を増やすべきか、減らすべきか、法曹界で議論が再燃している。

政府は「法的紛争の増加が予想される」として、裁判官、検察官も含めた「法曹人口」全体を拡大すべき-という立場で、司法試験合格者を現状の年2千人程度から3千人程度に増やすことを閣議決定している。

これに対して、弁護士側から「これ以上、弁護士が増えると困る」と反発が強まり、「日本弁護士連合会」(日弁連)に合格者1500人論を掲げる新会長が誕生した。

「なんでも裁判にするギスギスした『訴訟社会』になる」という反対論も根強い。果たして適正な弁護士の数とはどれくらいなのか。(菅原慎太郎)

「1500人に削減を」新日弁連会長が誕生

「弁護士の就職難が深刻化している。立ち止まって検証すべきだ」

今年3月10日、日弁連の会長選で当選した宇都宮健児弁護士(63)=東京弁護士会所属=は東京・霞が関の弁護士会館で記者会見し、改めて、こう強調した。

東京や大阪の弁護士会主流派が推す元日弁連副会長の山本剛嗣(たけじ)弁護士(66)=同=との一騎打ちで、異例の再投票の末に勝利を収めた宇都宮弁護士。

「弁護士人口が急増し、就職難となっている」
と訴えて、司法試験合格者を現状の年間約2千人から1500人程度に削減することを提唱した。
それが大きな勝因となったのは明らかだった。

年間1000人程度だった司法試験合格者を平成22年をめどに3千人程度とすることを、法曹界での議論の末、政府が閣議決定したのは14年。

「3千人」はまだ実現していないが、2千人程度まで増やされた結果、弁護士から「このままでは、やっていけない」と悲鳴に近い声が上がるようになった。

司法試験合格者の8~9割が弁護士になるため、20年前に約1万4千人だった弁護士の数は約2万9千人に急増。

その結果、相対的に1人当たりの依頼者も減り、経済的に“困窮”する弁護士が増えたのだ。
そうした弁護士の不満を吸収したのが宇都宮弁護士だった。

政府は30年に弁護士、裁判官、検察官の法曹人口を5万人とする計画で、そうすると弁護士は4万人を超えることになる。
弁護士の危機感は大きい。

「イソ弁」はまだいい方給料ゼロの「ノキ弁」

「このままでは大変なことになる。ただでさえ、一生懸命、勉強して弁護士になっても、法律事務所にも入れず困っている仲間が多い」

ある若手弁護士はこうぼやいてみせた。司法試験に合格し、司法修習を終えた新人弁護士は、顧客もいなければ経験もないため、普通はまず先輩弁護士の法律事務所に入り、給料を得ながらキャリアを積む。

こうした弁護士を「居候(いそうろう)弁護士」、略して「イソ弁」と呼ぶが、最近は新人弁護士が増えすぎて、イソ弁を受け入れる事務所が足りない。

「給料なしで、事務所の机だけ借りて、自分で“営業”している若手弁護士も多い。軒(のき)の下を借りているようなものだから、『ノキ弁』と呼ばれている。
仕事がなかなかなく、収入は大変厳しい」

若手弁護士はこう話す。勉強を重ね、司法試験という難関を突破しても、最近の若手弁護士は平均年収300~400万円ともいわれる。

「このままでは志がある優秀な若者が弁護士にならなくなる」

弁護士増員について詳しく書いた「こんな日弁連に誰がした?」の著者、小林正啓弁護士はこう危機感を募らせる。

「国民の権利を守る法律家に、優秀な人材が集まらなくなれば、困るのは国民。弁護士業界だけの問題ではない。弁護士の数を減らしても、本質的な解決にはならないが、当面はやむをえないのではないか」

すでに、利益ばかり重視するあまり、安易に訴訟を起こそうとするなど、「正義より利益優先」の弁護士も増え始めているという。

高利の金融業者から「過払い」金利を回収するように依頼した多重債務者が、取り戻した過払い金のほとんどを弁護士に報酬として支払わされ、トラブルになるケースも目立つようになっている。

人を助ける余裕を失った弁護士、訴訟社会の危機…

「困った人を助けるのが弁護士だ。しかし、ボランティアで困っている人を助けるためには、自分に余裕がなければ無理。『貧すれば鈍する』だ」

ある弁護士はこう、本音を打ち明けた。

東京や大阪など大都市は、それでも企業や団体が多く法的トラブルや犯罪も多いため、弁護士の仕事もある。
しかし、地方はもっと深刻だ。

「地方では、事務所を維持できなくなる弁護士も出ている」

ある弁護士はこう話す。宇都宮弁護士を日弁連の会長選に勝利させたのも、地方の弁護士の支持だった。
宇都宮弁護士は東京では得票数で対立候補に敗れたが、地方では逆転。その結果が当選につながっている。

「弁護士が増えすぎると、国民が訴訟を乱発する『訴訟社会』になる」

こう指摘する専門家や弁護士もいる。確かに弁護士の数が多い米国は、ささいなトラブルも裁判になることなどから、「訴訟社会」「濫訴(らんそ)社会」と呼ばれ、さまざまな問題が指摘されている。

米ニュー・メキシコ州で、ハンバーガーショップでコーヒーを購入した高齢者の女性が、持ち帰る途中に、こぼしてやけどを負ったとして、店側を訴えた訴訟は、賠償金286万ドル(約3億円)の支払いを命じる判決が出たため、日本でも注目された。

富裕層のように高額の法的なコストを払えない大多数の国民に不利だという指摘もあり、日本がこうした社会の仲間入りをするべきか、慎重な議論が必要だ。

弁護士は甘えている?増えれば「安く」なる?

一方で「弁護士が多すぎる」という意見に対しては、批判もある。

「弁護士は甘えていると思う。もし、法律事務所を維持できないなら、サラリーマンになればいい。
弁護士だからといってお高くとまっているから、そういう発想になる」

米国で弁護士資格を取得した中央大の平野晋(すすむ)教授はこう厳しく批判する。

米国では、一般企業や官公庁で、いわばサラリーマンとして働く弁護士が多い。

「日本は弁護士の数が少な過ぎる。
弁護士に相談できず、正当な権利を主張できないため、泣いている国民は多いのではないか。
弁護士が増えれば、リーズナブルな価格で法律サービスが提供されるようになり、国民のためになるはずだ」。
平野教授はこう強調する。

確かに日本はほかの先進国に比べると、弁護士ら法律専門家が少ない。

1997年で、

米国で国民約290人に1人
英国で約710人に1人
ドイツが約740人に1人
フランスでも約1640人に1人

の法律専門家がいるのに対し、

日本は約6300人に1人

だった。現在では日本の弁護士らは増えているが、それでもフランスの水準にも及ばない。

「米国ほど弁護士を増やさなくても、ヨーロッパレベルまで増やせばいい。『濫訴社会になる』という指摘はあるが、それは自分の利益ばかりを主張するいまの日本の風潮が問題で、正当な権利を尊重することとは別問題だ」。

平野教授はこう主張する。

また、「困っている」といいながら、高所得を得ている弁護士が多いことも、「弁護士が多すぎる」という意見の説得力をそいでいる。脱税で摘発される弁護士も後を絶たない。

今年3月にも、8億円超を脱税したとして、東京弁護士会所属の弁護士が所得税法違反罪で起訴されたばかりだ。

国民のための司法とは?

そもそもいまの法曹人口拡大策は、日弁連も合意したうえで閣議決定されたことだった。

経済の国際化や社会問題の複雑化などで法的トラブルの増加が予想されることなどを理由に、司法制度改革の一環として決められたことで、基礎となる議論を行った政府の「司法制度改革審議会」には、法学者や裁判官、検察官だけではなく、弁護士の代表も加えられていた。

「今ごろになって、『弁護士が多すぎる』なんて言い始めるのはおかしい」。

ある法務省関係者は、こう眉(まゆ)をひそめる。

普通にサンケイ新聞のこの記事を読んで、問題があることは分かるが、なぜそうなったのかが分かる人はまずいないだろう。

現状では、弁護士が「弁護士が多すぎる」と言っているわけだから、弁護士の団体である日弁連は弁護士増員に反対したのか?と考えるわけですが、そもそも日弁連の反対を押し切って、法務省が「弁護士を増やす」などと言ったら今ごろは国が分裂するほどの大騒ぎになっていたでしょう。

つまりは、少なくともその時々の日弁連執行部は弁護士増員に賛成していたはずです。

だから、法務省関係者が

「今ごろになって、『弁護士が多すぎる』なんて言い始めるのはおかしい」。
というのも当然だろう。となります。

この事情をものすごく面白く解説した本が「こんな日弁連に誰がした?」です。

まるで、三国志とか史記のような感じで、

誰それの時代に、○○な背景の元に、××な思惑を持って、△△した結果、思惑に反して、◎◎になってしまった。
といった調子で書かれています。

弁護士は「面白いけど、ちょっと違う」といった意見も多いようです。

わたしはこの本を読むまで、全く知らなかったのですが、現在の司法試験合格者の中から法曹三者(弁護士・検事・判事)になる、法曹人養成の一元化は戦後になって始まったことなのだそうです。
戦前は、弁護士と裁判官は別の資格であった。

現在は、「検事を辞めて弁護士になる」「弁護士から裁判官に任官する」といった身分的(仕事的)な交流があります。

「こんな日弁連に誰がした?」の説明では

弁護士の中で「弁護士出身の裁判官を増やすべきだ」という声が大きかったのは、戦前は裁判官にはなれない、いわば二級法曹人だと感じていた戦前を知っている弁護士にとっては、議論の余地のない「当然の運動」であった。
とあって、これは大いに納得出来るところです。

では、全ての裁判官は弁護士出身者がなるべきか?と考えてみると、ある程度以上弁護士として経験を積んだ人がなるべきだ、となりますし、それも弁護士として優秀な実績を上げていることが条件でしょう。
そうなると、「優秀な稼ぎの多い弁護士が、裁判官になる」ですから、これでは「成功しているビジネスを捨てて、公務員(官僚)になれ、というのと同義語になってしまいます。

全く、この通りの展開を下敷きにしたテレビドラマが、「SHARK ~カリスマ敏腕検察官」です。
アメリカでもテレビドラマになるくらいの話で、現実問題としては制度的に成立するわけがない。

弁護士増員問題は、現状を見ても良く分からないのですが、過去の説明を聞いても良く分からないのです。
そして、「よく分からないけど決まった」というのは、その時々のかなり短期的な、あからさまに言えば派閥抗争なども含む、政治的な判断で、あっちこっちに流されていった結果が、弁護士500人時代から、3000人時代になってしまったわけです。

さらに、法科大学院が文科省と大学の思惑で仕組みを作ってしまった。
これは、結果を見ても法曹人を世に送り出すという本来の目的よりも、大学教育の範囲を広げることに重点を置いた仕組みなのではないでしょうか?
この背景には、少子化による18歳人口の減少をカバーする教育範囲の拡大があるのは当然です。

というわけで、極めていびつな弁護士増員プロジェクトの本当の姿が露わになりつつある、というのが現状のように思います。

「こんな日弁連に誰がした?」は、とりあえず面白く読みやすい本なので、お勧めです。

4月 12, 2010 at 10:50 午後 セキュリティと法学 | | コメント (1) | トラックバック (1)

2010.03.27

びっくり・証明の問題

知人である、丸山さんのブログ「まるちゃんの情報セキュリティ気まぐれ日記」にこんな記事がありました。
総務省 クラウドコンピューティング時代のデータセンター活性化策に関する検討会(第4回)配付資料

 こんにちは、丸山満彦です。夏井先生のブログの記事で知りましたが、総務省が「クラウドコンピューティング時代のデータセンター活性化策に関する検討会(第4回)配付資料」を公開していますね。。 

 夏井先生のブログでは辛口コメントがありますが、議事録なども読んでみると納得かもしれません。。。

おおそうだった、と夏井先生のブログ「Cyberlaw」を見に行きました。
丸山さんの言う、辛口コメントとは「総務省:クラウドコンピューティング時代のデータセンター活性化策に関する検討会(第4回)配付資料」のことです。

総務省のサイトで,下記の資料が公開されている。

 クラウドコンピューティング時代のデータセンター活性化策に関する検討会(第4回)配付資料  総務省:2010年3月26日

 クラウドコンピューティング時代のデータセンター活性化策に関する検討会 報告書(案

この報告書案に目を通してみると,「日本は世界の最劣等国まで落ちてしまったのだなあ」という感が深まる。

読むべき内容が1行も含まれていない。
問題の本質がまったくわかっていない。
内容の大半は別の資料やWeb上の記事の受け売り等で満ちており,無内容に近い。
法的課題については著作権保護関係の短い記述しかなくしかもその解決策はトンチンカンで荒唐無稽だ。
あきれはてる。

一般論だが,良い報告書というもは,ただの1頁だけであっても差し支えないと思っている。
その1頁の中に正しい先見が示されていれば,それだけで何兆円分もの価値があるはずだ。ただし,そのような価値ある「1頁」を構成することは決して常人のなし得ることではない。

何千ページもの報告書の作成を求めることも,せっせとそのようなものを作成することも,どちらかというと二流の人々の仕事に属すると思っている。単なる資料整理に過ぎないからだ。

夏井先生がここまで言うのは予想外でありますが、「日本は世界の最劣等国まで落ちてしまったのだなあ」というのは、非常にズキッと来ます。

わたしも派遣問題などけっこう厳しく書いているつもりですが、ここまでは書けないし、またここまでの問題意識はなかった。
さすがに「学者」ということでしょう。

しかしながら、夏井先生のブログを読んでいたら、もっと仰天する記事にぶつかった。

証明は本当にできるか?
このタイトルを見て、概要を見た時にずっと前にわたしが書いた「続・インターネットで発信者の信用をどう確保するか?」と同列の話しだと思っていました。ところが、続きを読んだら大違い。

一般に,ある特定の者が「本人」であるのか(同一性識別),そして,その本人が特定の資格を有するのか(属性識別)は,社会生活を営む限り常に問題となる事項だ。

ネット取引では「本人確認」が法的にも経営上非常に重要なことであるにもかかわらず,しばしば様々な困難が伴うとされている。

なにしろ,識別のためのIDやパスワードが完全に正しいものであったとしても,PCの向こう側でそれを入力しているのが「誰」であるのかを知る方法がないからだ(正確には生体認証デバイスを組み合わせて用いる方法もあるが,そもそも最初の生体情報が正しく本人のものとして入力されているという保証は全くない。
生体情報を登録する時点ですでに替え玉や成りすましが成功していたり,間違いが混入していたりすれば,それ以降,常に偽者のほうが本物として認証されてしまうことになる。)。

ところで,このような困難は,本当は,ネット上だけではなく現実世界でも基本的には変わらない。

一般に,仕事の関係で初対面の人と会うときは誰か紹介者から紹介してもらうのが普通だ。

しかし,その紹介者がすでに偽者にだまされて本物だと信じてしまっている場合には,紹介された者もまた騙されてしまい,以後,偽者を本物として認証してしまうことになる。

このことは,同一性識別だけではなく,属性識別でもあり得るし,現実にしばしばある。

例えば,外国の大学を卒業していないのに卒業したとして立候補し,当選して議員になってしまった者などがその例だ。「ハク」をつけるためにそうしたのだろうが,属性に関する嘘であることには変わりがない。

実は,「弁護士」であると自称し,名刺にもそのような表示をしている者がいるということを某氏から教えてもらった。

その偽弁護士は,かつて私も面識のある人だったのだが,もしかすると「氏名」(同一性識別要素)まで最初から嘘だったかもしれないという疑惑がある。

なにしろ,現在では別の氏名の名刺をもっている。しかし,そのことを教えてくれた某氏によれば物理的には同一個体であることは間違いないという。

つまり,同一性識別要素としては,身体的特徴(外観)だけが頼りであり,符号列で示される同一性識別要素及び属性要素のすべてが「嘘」である可能性があるのだ。

ちなみに,日本国の弁護士法では,弁護士でない者が弁護士であると表示をすることが禁止されており,罰則もある。

はっ?!


ですよ。

起きた事も想像外ですが、「こんな事どうにかならないのか?」と疑問符が頭の中を駆け巡ったのですが、コメントを読んで「ふ~む・・・」でありました。

コメント

湯淺先生 コメントありがとうございます。

ご指摘のとおり,一番肝心な「同一性識別」の最初のところで何も根拠がないことが多いですね。

根拠がなくても証明書が発行されてしまうと,その証明書がまかりとおってしまう危険性があります。

戸籍や住民票だって最初から真実と一致していない内容のものがいくらでもあるし,闇で戸籍の売買が常態化しているという現状において,「本人確認」とはいったい何なのかと疑問に思ってしまうことが少なくないです。

日本では,世界各国と比較して,登録制度や証明書等の発行が比較的多い国だと思いますし,それを信ずる国民性のようなものがあると思います。

だからこそ,だまされるときは完全にだまされてしまうこともあるという因果関係のようなものがあるんでしょうね。

「本人とは何か?」つまり「同一性識別の本質」は私の研究テーマの重要な部分を構成するものです。

哲学的な解はすでに出ていて「識別不可能」という不可知論以外には成立しそうにないです。

しかし,それではすべての人々の社会生活が根本から破壊されてしまうことになってしまうので,妥協策としての何らかの実務的な理論を構築しなければなりません。

だから難しいんですよ。

投稿: 夏井高人 | 2010年3月26日 (金曜日) 11時03分

--------------------------------------------------------------------

電子政府関係で諸外国の制度を比較してみると、日本は、ある人物についての行政文書は膨大にあるけれども、現に目の前にいる人物が何者かであるかについて公的に認証する仕組みがない国であることを痛感しますね。

また、安全保障上の理由で、リアル・ネットワーク上とを問わずなりすまし自体に厳罰がある国も少なくないので、日本の場合はこんなところに憲法第9条の射程があるのかなと思ったりします。

投稿: yuasah | 2010年3月26日 (金曜日) 10時23分

湯淺先生のコメントの「リアル・ネットワーク上とを問わずなりすまし自体に厳罰がある国も少なくない」というのは、なるほどな~と強く思ったわけです。

わたしは、法学に興味はありますが、それも現実的な消費者被害などに代表される「人を騙す」というところから始まっていて、その中に「ウソなのか、誤解なのか」といったことについての、法律的判断を考えていると、なりすましにも直結します。

しかし、いわゆる実名制が意味を持つとは思えないわけです。
実名・顕名と通称や芸名とは、どっちが信用できる?という話しになるわけです。

同様なことを、夏井先生は「生体認証だって最初からウソもありうる」と指摘しているわけで、正に不可知論になってしまいます。
そこで、以前「信用されるためには」と書いたわけです。

しかし、証明書の偽造のようなことを徹底してやるとなると、まさしく「何を信用するのだ」ということになりますね。
やはり、なりすまし自体に刑事罰を科すことができる(前科がつく)ことを考えなくてはいけないのかもしれません。

3月 27, 2010 at 01:05 午後 セキュリティと法学 | | コメント (0) | トラックバック (0)

2010.01.06

日弁連会長選挙に注目

毎日新聞より「日弁連会長選:主流派VS著名弁護士 法曹人口問題が争点

6日公示の日本弁護士連合会の会長選が、かつてない盛り上がりをみせている。

立候補するのは、現執行部の路線を継承する前副会長の山本剛嗣(たけじ)氏(65)と、多重債務問題への取り組みで知名度の高い宇都宮健児氏(63)。

従来は主流派の事前調整で擁立された候補の信任投票の様相だったが、今回は激戦模様。法曹人口問題への対応が最大の争点で、若手弁護士の支持取り込みもカギだ。

会長選は全国約2万7000人の弁護士全員が投票権を持つ。投開票は2月5日。任期は4月から2年間。

これまでは大規模弁護士会の主流派が調整し、東京の3弁護士会や大阪弁護士会の会長経験者を「統一候補」として擁立するのが通例。その流れで今回は元東京弁護士会会長の山本氏が推された。

これに対し宇都宮氏は「政権交代など政治・社会情勢が変化する中、市民のための日弁連をつくる好機」と挑む。東京弁護士会所属でオウム真理教犯罪被害者支援機構の理事長を務め、08年末の「年越し派遣村」で名誉村長になった。

日弁連の最大課題は法曹人口増員。

政府は司法試験合格者を10年までに段階的に年3000人に増やし、18年に法曹人口を5万人とする計画を立てた。しかし、質の低下や過当競争への懸念が弁護士の間に強く、日弁連は09年3月「今後数年間の合格者数は現状の年2100~2200人を目安に」とペースダウンを提言した。

山本氏はこの提言作りにかかわり、会長選にも同様方針で臨む。

「09年の合格者数2043人を当面の目安とする」
と強調。

一方、宇都宮氏は

「合格者数を1500~1000人に減らすべきだとの一部弁護士会の決議に耳を傾け、現状より合格者を減らす」
と現執行部との違いを鮮明にしている。

「組織票」による票読みが難しくなってきた中で、若手弁護士の投票動向がカギになり、両陣営とも若手の支援強化を掲げる。【銭場裕司、伊藤一郎】

は~宇都宮弁護士が立候補ですか・・・・・・。

一度、消費者庁設置要求集会後に、居酒屋で宇都宮弁護士と親しくお話しする機会がありました。
宇都宮弁護士が、何もないところから、現在の過払い金取り戻しのようなところまで持ってきたのはすごい実行力だと思います。

まあ、そういう意味では日弁連会長になる事には、何をやってくれるのかな?という期待もありますが、同時に現場でやってもらうことも沢山ありそう、とも思うところで微妙であります。

弁護士増員問題は、本当に日弁連会長選挙の焦点なのだろうか?

弁護士増員問題は実は、法科大学院制度の問題なのではないだろうか?
だとすると、日弁連と文科省の対決となるわけです。
早晩どこかに落とし所を見つけざるを得ないところで、宇都宮弁護士は速く決着付けるという方向であろうし、現在の路線を継承するのであればこのまま百家争鳴状態が続く、となりそうに思う。

個人的には、非常に興味深い選挙戦であります。

1月 6, 2010 at 10:09 午前 セキュリティと法学 | | コメント (3) | トラックバック (0)

2010.01.04

改正著作権法の施行

サンケイ新聞より「ダウンロード違法化…著作権法改正で進む「ネットと著作権」論議 注目集めるフェアユース

インターネット上のコンテンツの「ダウンロード違法化」を含む改正著作権法が施行された。

これにより、著作権者の許可なくネット上にアップロードされた音楽や映像をユーザーが自分のパソコンなどにダウンロードすることは、「私的使用」であっても禁止。

罰則がなく、違法性を認知していなければ適用されないことから、効力には疑問の声もあるが、文化庁は「自粛効果はある」としている。

これを機に、「後手後手」と批判されてきたネット上の著作権対策をめぐる動きが活発化しそうだ。(池田証志、猪谷千香)

ビジネスを阻害

ネット上のコンテンツの著作権侵害に対してはこれまで、主にアップロード面での規制に力点が置かれ、ダウンロードは私的使用目的であれば違法ではなかった。
しかし、ネット社会の進展とともにユーザーによる違法な流通が増え続け、「正規のコンテンツビジネスの育成を妨げる規模に増大している」(文化庁著作権課)。

社団法人「日本レコード協会」の調査によると、携帯電話向け違法サイトからダウンロードされた音楽の推計数は過去3年間、右肩上がり。

平成20年には、正規配信(3億2500万曲=約678億円相当)を上回る4億700万曲にまで増えたとみられている。

また、社団法人「コンピューターソフトウェア著作権協会」(ACCS)の調べでは、昨年8月の1日間で、ファイル交換ソフト「シェア」で流通したニンテンドーDS用の海賊版ゲームは約90万本(38億7千万円相当)もあった。

このような事態を踏まえ、文化庁の文化審議会で検討した結果、欧州諸国で近年取り入れられているダウンロード違法化を求める報告書を提出。
昨年の通常国会で、「著作権を侵害してアップロードされた事実を知りながらダウンロードした場合は違法」などを盛り込んだ同法改正案が可決された。

業界は効果に期待

「昨年まで『違法なダウンロードはやめてください』といえなかったが、これからはいえる。正規配信が増えるだろう」。

レコ協は改正法に期待を寄せる。違法配信サイトを紹介する雑誌の存在も問題視されていたが、すでに自粛を求める文書を出版社側に送付しており、「1月からはなくなるはず」とみている。

ACCSも「コンピューターゲームにはプログラムのほかに、映像や音楽が含まれる。今回の違法化の対象になる」。同課は「違法化の対象となるものがある」との見解だ。

改正法を“てこ”にユーザーに対し損害賠償訴訟を起こすことも可能だが、業界関係者は「金額が小さく、現実的ではない」とみる向きが大勢だ。

ユーザー団体は反発

法改正に反対する意見も根強くある。

メディアジャーナリストらからなる一般社団法人「インターネットユーザー協会」(MIAU)は

「業界団体は少ないサンプルをもとに、自分たちの権益を守ろうとしている」
と批判した上で、
「あいまいな規定で罰則もなく、効果に疑問。新たなコンテンツやビジネスの育成を萎縮させるだけだ」
と指摘している。

確かに、法改正の効果については議論を呼んだが、レコ協は、適法な音楽配信サイトを認証する「Lマーク」が全体の97%に普及していることから、ユーザーは違法サイトを見分けられるみている。

「クリエイターがコンテンツの対価を得て生活ができ、新たなコンテンツを作る『創造のサイクル』を途絶えさせないためにルールを守ってほしい。日本人は順法意識が高く、違法ダウンロードは減るはず」と同課。ただし、順守されない場合は罰則化も検討することになるという。

進む議論

ダウンロード違法化以外にも、ネット上の著作権に関する議論が進む機運が高まっている。

政府の知的財産戦略本部は今年、違法アップロードの監視などを義務づけるプロバイダー責任制限法の改正について、専門調査会で検討する方針。
今年前半には「知的財産推進計画2010」にまとめられる。

さらに、著作物を公正に利用する限りは著作権侵害と見なさない「フェアユース(公正利用)規定」についても導入の是非を文化審議会で検討し、年内には報告書が提出される見通しだ。

フェアユースは米国などで採用されており、ユーザー団体からも「コンテンツの流通を促進する」と期待されている。

ネット上の著作権に詳しい松田政行弁護士は「情報は今やインフラであり、ユーザーは水道代やガス代と同じように対価を払うべきだ。ダウンロード違法化は情報化社会の発展に必要な措置といえる」と改正法を評価し、さらなる法整備の必要性を訴えている。

注目集める「フェアユース」

著作権侵害を防ぎながらコンテンツ流通を促進させ、経済や文化を発展させるにはどうしたらよいのか-。
現在、関係者の間で注目を集めているのが「フェアユース」(公正利用)だ。
著作物を公正に利用する場合は著作権侵害にあたらないとする規定で、米国や英国などで導入されている。

国内の著作権法では、著作物を利用する際には事前に権利者の許諾が必要となる。
しかし、米国のフェアユースでは、「オリジナル作品の市場を奪わない」などの4つの要素を勘案して公正利用にあたるとされれば許諾は不必要で、著作権侵害で訴えられても抗弁の根拠となる。

フェアユースに詳しい国際大学の城所岩生客員教授は

「ネットの普及で1億総クリエーターという時代なのに、硬直的な著作権法がコンテンツの制作や流通を萎縮させている。海外の企業に奪われているネットビジネスの育成、引いては日本文化の育成にもつながる」
とメリットを指摘する。

ユーザーの間でも、フェアユースを導入すべきという声が上がっているが、法体系が異なる米国のフェアユースをそのまま導入すべきではないとの意見もある。
城所教授は「ユーザーは過剰な期待を抱き、権利者は過剰な警戒をしている。日本版フェアユースをどのような条文にするか議論すべきだ」と話している。

ダウンロード違法化著作権を侵害して違法にインターネット上にアップロードされたコンテンツ(音楽、映像)のダウンロードは、私的利用目的であっても改正著作権法により禁じられた。

ただし、アップロードの違法性を知っていた場合のみ適用。罰則はない。昨年の通常国会で成立し、今年1月1日に施行された。改正前は、私的利用目的であれば違法ではなかった。

パソコン通信を始めてすぐに著作権問題に直面したのですが、法律論と実務・慣習の間に大きなギャップがあって、現実的な落とし所がよく分からないまま20年以上が経過したと言えます。

最初に「???」と思ったのが「書評記事」でした。
専門の雑誌から、新聞・雑誌までおびただしい書評記事が出ていたのですが、考えてみるとこれらの記事の一つひとつが著作権の許諾を正式に取っているわけがありません。

著作権の実務では、複数の著作権者が絡んできます。原著者、編集、発行といった具合です。
これらを全部あたってみますと、相手が捕まらないなどで簡単に半月ぐらい掛かってしまいます。
まして、記事中に、文章、写真、イラスト、図表などがありますと、それをいちいちたどることになります。

書評については「業界の慣習がある」と聞きました。
要するに、書評記事は出版社著作者側から見ますと、宣伝になるから無許可でも著作権を問題にしない、ということですね。

この考え方は、実際的であるし良く理解できるところですが、これこそがフェアユースなのでしょう。

ところが、日本の著作権法のどうしようもないところは、著作権を自然発生としていることです。

このために、法律の文章にすら、著作権があります。

ここまで来ますと、著作権法が情報の流通を阻害するために機能しているとしか言いようがありませんし、何人も著作権法に違反せずに生活することは出来ない、とも言えます。

基本的に、原著者が著作権を放棄できるようにするべきでしょう。

わたしの理解では、著作権の自然発生的な面としては「誰が作ったものかの真贋(しんがん)争い」は人類文明が記録されるころからあったことは確実です。
それが「法律で積極的に保護するべき財物」となったのは、印刷機の発明が大きいようです。

グーテンベルクが活版印刷機を発明したのが、1445年だとされてます。1455年に「グーテンベルク聖書」を印刷したことが、印刷機の普及の始まりとされていますが、マルティン・ルターの宗教改革(1520年、プロテスタントの始まり)は印刷機が聖書を大量に作り出したことが、教会に行くことを減らしてカトリック教会の権威を減らしたことだ、とされています。

当時、印刷機一台は工場一軒分ぐらいの価格であった、とも言われています。
当然、印刷というビジネスは巨額な投資が必要でかつ無限の市場を持っている商売ととらえられていたのでしょう。

そのように巨費をかけた、印刷物の権利を守る必要があったので、著作権という考え方が確立した、とわたしは解釈しています。
つまり、著作権=発行者の権利です。

日本の著作権法では、著作人格権の考え方として、著作者の権利を作りました。
同様に編集権なども作ったのでしょう。

しかし、著作人格権つまり「誰が原著者か?」という問題と、発行者の権利を同次元で解釈するから変なことになります。

通称「ミッキーマウス法」という問題があります。
著作権は個人の著作に根本をおいているために「死後○○年の権利」という形になっています。
しかし、ミッキーマウスのようにいつまでも商業上の権利があるものにとっては、個人の死(ウォルト・ディズニー 1901~1966)を結びつけることに無理があるからとして、法律の方を改正することになりました。

そんな事を言ったら、紫式部とか紀貫之はどうしてくれるのだ、とわたしは思います。

ウォルト・ディズニーも紫式部も、ユリウス・カエサルもその著作において、今も世界中から尊敬を受けていることに間違えはないでしょう。

そして、源氏物語やガリア戦記の著作権が出版社・編集者(解説者)にあって、原著者にはないことも疑いはありません。

つまりは、著作権法自体が著作と流通、それらの権利についてあまりに粗雑な規定をしているのであって、いわゆる権利者はその荒れ地の中で権利を押し広げる運動として、ネットを目のカタキにしている、と理解した方が現実的でしょう。

著作権管理団体は、契約した著作権についてだけしか管理しないのですから、著作物全体に網をかぶせるような議論をする立場に無い、と思いますしそのような権利を全国民に付託されている立場でもありません。
その意味では、著作権団体が管理する著作権(著作権者)について明らかにした上での議論にしないと法律の改正を主張する権利があるのか?となります。

著作権法は、考え方も含めて抜本的な改正が必要です。

1月 4, 2010 at 11:10 午前 セキュリティと法学 | | コメント (3) | トラックバック (1)

2009.11.29

弁護士バー計画が座礁

サンケイ新聞より「弁護士バー 身内が待った 民間との仲介業は法に抵触

■弁護士会、近く注意文書

弁護士がバーテンダーになって酒を振る舞いながら法律相談もする「弁護士バー」。

そんな店舗を東京都内の弁護士が飲食事業者らと共同で計画したところ、弁護士会から“待った”がかかる事態となっている。

「弁護士資格を持たない者が報酬目的で法律事務に参入するのは違法」というのが弁護士会の言い分。
近く注意の文書を出すという。
一方、弁護士側は「法律違反には当たらない」と反発、何とか店をオープンさせたい考えだ。

出店計画をしているのは第二東京弁護士会(二弁)所属の外岡潤弁護士(29)。

友人のシステム開発会社役員、三上泰生理事長(33)と8月に出店の母体となる「弁護士とみんなの協会」を立ち上げた。

三上さんが「トラブルが起こってから弁護士を探しても遅い。
普段から一般の人が弁護士と気軽に交流できる場が必要」と外岡弁護士に設立を持ち掛けた。

■気軽な交流必要

交流の場の具体例として持ち上がったのが、弁護士自らがバーテンダーとして酒を提供する弁護士バーだった。
外岡弁護士は「バーなら会社勤めの社会人が仕事帰りに立ち寄りやすい」と説明する。

協会と飲食事業者による共同経営とし収入は折半。

従業員として常駐する弁護士は無報酬で、客の要請があれば別室などで法律相談を行い、契約に至れば弁護士報酬を受け取る構想だった。

その際、弁護士は別室の利用料などを協会と飲食事業者に定期的に支払うことにしていた。

10月4日には約100人を招いた協会創立記念パーティーも開き、あとは具体的な出店準備をするだけだった。

■議論は平行線

だが計画を聞いた日本弁護士連合会(日弁連)が、事業内容について「民間が入っての営利目的の弁護士仲介業にあたり、弁護士法に抵触する」と問題視。外岡弁護士が所属する二弁が対応に乗り出した。

弁護士法では、弁護士の仲介業務を含む法律事務の取り扱いが、弁護士か弁護士事務所を法人化した弁護士法人にしか認められていない。

そうした事業を行う非弁護士(組織)に弁護士が協力することも禁じられている。
協会や飲食事業者が関与する点が問題となると判断されたようだ。

二弁では外岡弁護士から事情を聴いたが、従う姿勢がないことなどから近く会長名で注意の文書を出すことにした。

二弁の味岡良行副会長は「顧客が弁護士に法律相談をすることを容易にする時点で事実上の仲介業務」と指摘。

店がオープンした場合には「それなりの措置を取らなければならない」と、弁護士法違反罪での刑事告発も示唆している。

これに対して、外岡弁護士は「あくまでも弁護士と顧客が直接やり取りをする場の提供であって、法律事務の仲介にはあたらない。何がだめなのか基準をはっきりと示すべきだ」と反論、何とか店を開きたい考えだ。

米国ではカリフォルニア州に弁護士がコーヒー(10ドル=860円~45ドル)を提供しながら法律相談に乗る「リーガル・カフェ」がある。

二弁の味岡良行副会長は「顧客が弁護士に法律相談をすることを容易にする時点で事実上の仲介業務」と指摘。

う~ん・・・・、容易にする時点で事実上の仲介となる、とまで拡大解釈するとネット上や本や雑誌にある弁護紹介記事も、弁護士法違反だと言えそうですね。

弁護士パーの計画では、仲介自体に仲介料金を取らないのだから報酬目的ではない、ということだったのでしょう。
それを間接的にしろ場所を用意したのだから、というのは一見すると分かりやすいようだけど、現実問題としてネットでの紹介とか、色々なケースがあるし、そもそもネット上でも「弁護士を紹介して欲しい」という声があるわけで、 それらをどう交通整理できるのか?

二弁の決定は、いささか以上に乱暴すぎる判断だと感じます。

11月 29, 2009 at 10:32 午後 セキュリティと法学 | | コメント (0) | トラックバック (0)

2009.10.31

ネット犯罪に関する白書

読売新聞より「ネット犯罪「裏経済白書」

ネット犯罪を中心としたアンダーグラウンドエコノミー=地下経済が成長している。個人データ販売やスパム大量送信で収益を出し、さらにネット犯罪そのものに使うためのツール、手段でも金儲けをしている。(テクニカルライター・三上洋)

スパムメール送信が手っ取り早い収益源

ドイツのセキュリティー大手・G Dataが、「アンダーグラウンドエコノミー」という調査リポートを発表した。ネット犯罪の裏経済白書ともいえるもので、ネット犯罪グループの動きや取引の実態などを詳しく分析している。

まず白書に掲載されている、ネット裏市場における価格表を見てみよう。

ネット犯罪者が集まるコミュニティーでは、様々なデータやサービスが販売されている。

最もわかりやすいのはクレジットカード情報、メールアドレス、ゲームのアカウントといった個人情報の販売だ。例えばクレジットカード情報は、272円から4万764円程度で販売されていた。

注目すべきは価格差が非常に大きいことだ。

例えばクレジットカード情報では、番号と有効期限だけだと安いが、生年月日、住所、電話番号、メールアドレスといった付随する情報があると100倍以上も高くなる。

同様のことはメールアドレスでもいえる。特定のジャンルに絞ったメールアドレスなら価格がハネ上がる。そのデータが犯罪者によってどこまで使い物になるか、という基準で価格が変わってくるわけだ。

もう一つ注目すべきは、スパムメール(迷惑メール)送信の価格が高いことだ。100万通のスパムメール送信の代金は、約4万円から約10万円程度とされており、ほかのサービスやデータ販売よりもまとまった金になりやすい。

G Dataによれば、100万通のスパムメール送信では、2万台規模のボットネット(一般ユーザーのPCを乗っ取ったネットワーク)なら毎秒2通のペースで送信できるため、約25秒でその仕事を終えてしまうという。

ネット犯罪者にとっては、もっとも手っ取り早く儲けられる手段なのだ。

ネット犯罪フォーラム同士の抗争も

ネット犯罪者のフォーラムにおける売買の書き込み。一般ユーザーのPCを足場とするボットネットを販売している(アンダーグラウンドエコノミー:G Data)

ネット犯罪者たちは、フォーラムを通じて情報交換・売買などを行っている。ネット犯罪者が集うフォーラムは、掲示板やメッセージ機能、売買するための市場(マーケットプレイス)などが一体化したものだ。

初心者向けの内容は公開されているが、掲示板やダウンロードなどの機能は、アクセス制限をかけている場合が多い。

フォーラムの市場では、盗難クレジットカード情報、メールアドレスリスト、ボットネットなどが売買されている。この市場を広告として使い、実際の取引はICQやYahooメッセンジャーといったインスタントメッセンジャーを使う場合が多いそうだ。

このようなネット犯罪フォーラムは多数あるが、ナンバー1の座を巡ってのフォーラム間の抗争が常にあるとのこと。

同業者のサイトを改ざんしたり、DDos攻撃によってサイトをダウンさせるなどの抗争が行われている。ライバルのフォーラムを改ざんすることが一種のステータスとなるそうで、これは暴力団の覇権争いにも似ている。

もう一つ面白いのは、ネット犯罪者をだます詐欺者「スキャマー」が多いことだ。

いわば「詐欺者中の詐欺者(G Data白書による)」であり、ネット犯罪のサービスを提供すると称してダマし、前払い代金だけを盗み取る。

多くのフォーラムが、このスキャマー対策に頭を悩ましているようだ。
そのため多くのフォーラムでは、販売者、購入者の評価システムがあるとのこと。

Yahoo!オークションの評価システムと同じものが、ネット犯罪者のフォーラムにもあるのだから面白い。お互いが信用できない犯罪者だけに、なおのこと信用度が重要になるという皮肉な話だ。

犯罪ツール・身元隠しサービスで儲ける

クレジットカード情報やネット送金アカウントを売買するショップ(アンダーグラウンドエコノミー:G Data)

ネット地下経済では様々なデータ・サービスが販売されている。前述したスパムメール送信代行、個人データ販売は、多くのネット犯罪フォーラムで行われている。それ以外で目に付くのは、ネット犯罪自体に使うサービス、データの販売だ。いわば地下業界の玄人向けのサービス・データであり、身元隠しや犯罪ツールとして利用されている。

●コンピューターのボット化

一般ユーザーのパソコンをウイルスに感染させ、ロボットのように遠隔操作するもの。ネットワーク化したボットネットは、スパム送信やサイト攻撃などに使えるため、ネット犯罪の温床となっている。ボットネットの時間貸しなども盛んに行われている。

●カーダブルショップ(Cardable Shop)のデータ

カーダブルショップとはクレジットカードのチェックが甘いショップのこと。盗難クレジットカードでも購入できてしまうショップの情報が販売されている。

●身元隠しのためのプロシキサーバー

プロキシサーバーとは中継サーバーのこと。追跡を逃れるために匿名性の高いプロキシサーバーが有料でレンタルされている。

●防弾ホスティング

追跡を逃れるために匿名で利用できるレンタルサーバー。違法商品を並べるショップ、ウイルスのダウンロード元サーバー、ボットへの命令送信サーバーなどに利用される。ロシア、トルコ、パナマ所在のサーバーが多い。

●ドロップゾーン

商品の中継・転送サービス。盗んだクレジットカードなどで購入した商品を、いったんこの場所に送り転送してもらう。追跡されにくい第三国に置かれている場合が多い。

このように玄人向けのサービスが多く提供されており、これだけでビジネスが成り立っている。犯罪に直接手を染めるのではなく、犯罪者向けのツールを提供することで金儲けをしていることになる。

日本でも同様のことが進行中?

このようなブラックマーケットは、欧米を中心とした英語圏や、ロシア、中国などが中心となっている。それに対して日本は、今まで比較的安全なエリアだと思われてきた。
日本語という言語の壁があるために、組織的なネット犯罪の被害を受けにくいと考えられていたからだ。

しかし、その状況も崩れつつある。G Dataによれば「日本でも地下経済の発展が進行している」とのこと。

今までのスパムメールや詐欺は、下手な日本語訳だったり、商品が日本にふさわしくなかったため、あまり大きな被害は出ていなかった。

それが日本でもなじみのあるスタイルに変わりつつあるという。「スパムメールは、今まではバイアグラなど海外で人気のある商品が多かったが、日本向けに競馬やパチンコなどのスパムメールが増加。日本の政治や社会状況に合わせたタイトルをつけるなどの工夫をしている。ボット利用と思われるスパムメールが増えてきた(G Data)」とのことだ。

私たちが注意すべきは、地下経済の発展に手を貸したり、加害者にならないようにすることだ。

例えばウイルス対策ソフトのないパソコンは、ボットに感染することで知らないうちにスパム送信などに利用されてしまう。パソコンのセキュリティーをしっかりしないと、自分が被害に遭うだけでなく加害者にもなるので注意したい。

なかなかここまで整理された情報が公表されることはないので、良い資料だと思います。

G Data日本法人のHPに「ネット犯罪「裏経済白書」を公開」とのプレスリリースがあります。

ネット犯罪「裏経済白書」を公開 2009.10.29

G Data Software株式会社(本社:東京都千代田区、代表取締役社長:Jag 山本)は、アンダーグラウンドで行われているネット犯罪の仕組みや商品・サービスの取引の実態を調査し、ホワイトペーパー「アンダーグラウンドエコノミー」としてまとめました。

これにより、ネット犯罪の経済活動が、実際どのように行われているのかを把握し、被害を最小限に抑えるための手がかりとしてほしいと考えます。

ネットの裏市場はどのように動いているのか、何を取り引きしているのか、どのような役割分担がなされているのか、そして、どのように世界中にネットワークを張りめぐらしやりとりをしているのか――こういった疑問に答えるべくジーデータのセキュリティラボでは、数カ月にわたって実際に不法な取引場や犯罪者専用板に潜入し調査を行いました。

その結果、実際の経済体制と同様に、地下経済もまた、グローバルなネットワークをもち、高度に組織され、きわめて効率のよい販売戦略で働いていることが明らかになりました。

ネット犯罪のコミュニティは、世界中に広がっており、よく組織化されて、かつ、きわめて高い匿名性を維持しています。

経済原則がはっきりとしており、犯罪者たちは利益を最大にすることに専心しています。

この市場は需要と供給のシンプルなバランスで成り立っています。
それは同時に、弱者はたちまちポートフォリオから除外されることをも意味します。

裏市場で提供される商品やサービスは、コンピュータウイルス、ボットネットレンタル、サイバー攻撃など、きわめて広範囲にわたっています。

企業相手だけでなく、競争相手に仕掛けられることもあります。

人気商品は、DDoS攻撃、スパムメール送信、盗まれたクレジットカード情報などです。

銀行から金銭を奪うためのハードウェアまでとりそろえています。

商品とサービスを提供する者同士の競争は熾烈です。
当然、価格設定にはかなりの注意が向けられています。

同時に広告営業も盛んで、裏の広告代理店がバナーを作成・掲示するほか、デザインやプログラミング、およびウェブホスティングの世話をする場合もあります。

さらには、初心者でもスムーズに実行できるようにコンサルタントサービスも含み、フォーラムやFAQ、ビデオチュートリアルも充実し、かつ、リーズナブルな価格で提供されています。

このコミュニティの通信手段には、インスタントメッセンジャーまたはインターネットリレーチャット(IRC)がよく使われています。それは、通常の検索では見えてこない、裏市場の入り口でもあります。

【ネット犯罪「裏経済」白書 目次】

1 概要: 無邪気なハッカー攻撃からドル箱市場を狙った犯罪へ
2 裏経済の構造
 2.1 犯罪者のたまり場とコミュニケーション手段
 2.2 盗難クレジットカード情報の販売
 2.3 スキャマー
3 取引される物品とサービス
 3.1 金になるデータ
 3.2 プロキシを利用したトラッキング回避
 3.3 コンピュータのボット化
 3.4 防弾ホスティング
 3.5 収入源となるスパムメール
 3.6 DDoS攻撃がサーバーをダウンさせるメカニズム
 3.7 偽装IDを使ったID隠蔽
 3.8 カーディング詐欺
 3.9 スキミング詐欺
 3.10 フィッシング詐欺
 3.11 ボットネットとその構成
4 現金化
5 結論: サイバー犯罪は更なる増加へ
 付録1 裏市場における価格表
 付録2 用語集

「アンダーグラウンドエコノミー」(PDF/日本語)

G Data Software

White Paper 2009

―アンダーグラウンドエコノミー―

G Dataセキュリティラボ
マークアウレル・エスター&ラルフ・ベンツミュラー
(岸本眞輔・瀧本往人 訳)

目次

1 概要: 無邪気なハッカー攻撃からドル箱市場を狙った犯罪へ 3
2 地下経済の構造 4
2.1 犯罪者のたまり場とコミュニケーション手段 4
2.2 盗難クレジットカード情報の販売 6
2.3 スキャマー 9
3 取引される物品とサービス 11
3.1 金になるデータ 11
3.2 プロキシを利用したトラッキング回避 12
3.3 コンピュータのボット化 12
3.4 防弾ホスティング 13
3.5 収入源となるスパムメール 15
3.6 DDoS 攻撃がサーバーをダウンさせるメカニズム 15
3.7 偽装ID を使ったID 隠蔽 16
3.8 カーディング詐欺 16
3.9 スキミング詐欺 17
3.10 フィッシング詐欺 18
3.11 ボットネットとその構成 19
4 現金化 22
5 結論: サイバー犯罪は更なる増加へ 24
付録1 裏市場における価格表 25
付録2 用語集 28

1 概要 無邪気なハッカー攻撃から ドル箱市場を狙った犯罪へ

ここ数年の地下経済(アンダーグラウンドエコノミー)の成長ぶりには、著しいものがあります。
一昔前までのハッカーといえば、自己の能力をひけらかしたり、多数の人々を困難に陥れて楽しんだ りといった、愉快犯的な犯行を行う人物がほとんどでした。それが、今では、大量のコンピュータを 不正プログラムに感染させて不正に操作し、スパムメールの送信、各種個人情報の窃取、様々な標的 への攻撃を行う人物を指すようになりました。

何故ハッカーの性質は、これほどまでに変わったのでしょうか?

それは、巨大なビジネスチャンスが、そこにあるからです。

急速なインターネットの普及に伴い、そこにビジネスチャンスを見出した犯罪者は、ハッカーを巻 き込み、次第に地下経済を形成してゆきました。地下経済の構造といっても、その構造は表社会のそ れと全く変わりません。メーカー、リセラー、サービス業者、詐欺師、顧客によって構成され、あら ゆる業種・サービスが存在・成立しています。地下経済での取引がこの短期間で急成長した理由の1 つとしては、実行現場が仮想上であり、リアルな人物との接触がほとんどないため(このため、多く が軽はずみで犯罪に手を染めはじめます)、犯罪者側にとってはもってこいのプラットフォームであ ったこと、インターネット普及・マーケット拡大による高収益性、あるいは、自国の政治情勢や景気 悪化による就職難(高度なIT 専門知識をもつにもかかわらず、職に溢れた若者がやむなくこの業界 に入っていくケース)などです。

また、地下経済で活動するのは、特定の少数グループではなく、無数の犯罪組織という点も理解し ておく必要があります。

地下経済の実情や地下経済の構造については、以下に詳しく説明してゆきます。

専門用語については、本資料の巻末の用語集を参照してください。

2 地下経済の構造

2.1. 犯罪者のたまり場とコミュニケーション手段

犯罪者のコミュニケーションの場所として利用されるプラットフォームの1 つは、インターネット のフォーラムです。このフォーラムでは、犯罪ツールや犯罪手段ごとにカテゴリーが分類されていま す。また、このようなフォーラムには、ハッカーの真似事をするスクリプトキディ向けのビギナー用 サイトから、個人情報やクレジットカード情報、盗難品を公然と取引する犯罪を助長するサイトまで あり、サイトの特質や特長はそれぞれです。また、フォーラムで扱うコンテンツの違法性が高いほど、 運営者は一般のインターネットユーザーや権限のない閲覧者のアクセスに対し制限を設けています。 このような犯罪用フォーラムは、一見したところでは、普通のフォーラムとは大差はありません。し かし、同じ犯罪組織に所属するメンバー、もしくは組織に大きな利益を齎すものだけにアクセスを許 可するエリアが存在します。この特殊領域に入れない者は、フォーラム内のオープンになっているエ リアだけにアクセスすることになりますが、このエリアだけでも実効性の高いサイバー犯罪情報を見 つけ出すことができます。

下の図はあるサイトのスクリーンショットです。このサイトでは、ボットネット、脆弱性に関する 最新情報、RAT(Remote Administrations Tool)をインストールするための手引きなど、初心者用サ ービスが提供されています。閲覧には、管理者によるアクセス権の付与が必要なため、一般閲覧者は コンテンツを閲覧できません。

図1: ある裏フォーラムのスクリーンショット

このようなフォーラムでは、盗難クレジットカード情報、メールアドレスリスト、ボットネットの 品から、サイバー犯罪の実行に必要となるボットネットのサービス(DDoS 攻撃やスパム送信を実行す るために基礎となるサービス)が提供されているマーケットプレイスが存在します。

さらに、多くのフォーラムでは、不正にコピーされたソフトやツールなどのダウンロードサービス も提供されています。利用者は、様々な違法コピー品をここから簡単にダウンロード入手できます。

なお、フォーラムが運営されているバーチャル空間では、No.1 の座をめぐってのフォーラム間の争 いも絶えません。同業者のサイト改ざん、ウェブサーバーへのDDoS 攻撃を仕掛けることもあります。

更に、競合のフォーラムのデータベースをコピーし、別のフォーラムで公表するなどして、自身の有 能性を誇示しながら競合に深いダメージを与え、コミュニティ内の自身の地位を確固たるものへと築 き上げることもあります。なお、ウェブサイトのハッキングに成功した際は、証拠としてサイトに視 覚的エフェクトを残すのが一般的です。

このコミュニティ内では、購入・販売・交換などのやりとりは、MSN、ICQ、Yahoo メッセンジャー、 Jabber などのインターネットメッセンジャーで行われます。最初のコンタクトに、サイバー犯罪者が 他のフォーラムでは頻繁に利用されるプライベートメッセージ機能を利用することはほとんどありま せん。フォーラムにおいては、2,3 の拡張機能だけを備えた通常のソフトが利用されます。

図2: 裏フォーラムにおけるボットのオファー

この業界においては、顧客と接触する手段に、インスタントメッセンジャーが好んで使われます。 入力フォームやメールアドレスに代わり、ICQ の番号を連絡先情報として公開します。そして、取引 に興味のある顧客がこのICQ の番号にコンタクトして取引開始、というのが一般的な取引開始までの 流れです。

ICQ に次いで、利用頻度の高いサービスツールは、インターネットリレーチャット(IRC)です。 IRC は、その機能の多様性から、混乱させることにより情報の錯綜が可能なツールとして地下業界で 考えられ、好んで利用されるプラットフォームです。IRC では、一度に数千ものユーザーが1つのチ ャットルームに入室でき、リアルタイムでチャットできます。しかし、IRC 取引は、スキャマー(犯 罪者を騙す犯罪者)による詐欺被害が発生しているため、多くのフォーラムでは、IRC 取引に対して 十分注意を払うように促しています。

IRC は誰でもアクセスできるネットワークで利用されるケースもありますが、普通は、プライベー トIRC サーバーで通信が行われます。プライベートIRC サーバーの運営には、地下経済のニーズにあ うように、ポピュラーなIRC サーバーをカスタマイズしたバージョンが数多く存在しています。

図3: カスタマイズされたIRC サーバーのダウンロード先

2.2. 盗難クレジットカード情報の販売

盗品(クレジットカード情報、ネット送金サービスやインターネットオークションのアカウント情 報など)販売の大部分は、犯罪フォーラムのマーケットプレイス経由で取引されています。盗品販売 に特化したフォーラムもありますが、その数は多くはありません。

販売はフォーラム内の専用領域で行われ、既述のようにブラックマーケット 、または単にマーケ ットと呼ばれています。このマーケットにおける取引は、次のようなステップで行われます。まずは、 販売者が取引情報(インターネットオークションのアカウント情報などの取引物、取引物の販売価格、 大量購入時の割引率、利用可能な支払方法、売り手の連絡先)をマーケットに書き込みます。次に、 フォーラムには例に漏れず購入希望のレスポンスを連絡先情報と共に書き込んだり、購入希望者が直 接売り手にコンタクトを取り、取引を開始します。

図4:多種多様な品が取引されるマーケットプレイス

なお、不正コードの取引は、オンラインショップ形式で運営されているケースもあります。

図5 は、盗難された各種情報をネット販売する業者のサイトです。このサイトでは、盗難された各 種クレジットカード情報、ネット送金アカウント、無人小包受取り所(ドイツではパックステーショ ン)の利用アカウント情報を販売しており、犯罪者が新たなクレジットカード情報を必要とする場合、 または盗難したネット送金用アカウントの利用が停止された場合は、このようなサイトから必要な数 だけ入手できます。

図5:盗難された各種アカウント情報をネット販売する違法ショップ

また、市場のニーズに対し、ショップ、ホスティングサービス、ドメインなどショップ運営に欠か せないサービスをセットにして提供する事業者まで出現してきています。この業者が提供するお任せ パックにより、違法品の販売を目論む売り手は、販売準備の手間や時間の削減とスムーズな販売開始 ができるようになっています。このサービスに関する価格は、図6 を参照してください。

下記は、上述のお任せパックを提供する、あるショップのウェブサイトに掲載されていたFAQ です。

ショップレンタル FAQ

*******.net のサービス概要

  • - サーバー費用の負担
  • - ドメイン取得
  • - サーバーおよびスクリプトの無料更新
  • - ビジネスモデルに関する無料相談
  • - サーバーの設定(DDoS 攻撃回避するための堅牢なセキュリティ)
  • - 有名フォーラムへの広告(費用負担込み)
  • - スクリプトの提供(スクリプトに関する詳細は、 ******.net/products を参照)など。

ショップをレンタルするための条件

- ポジティブな与信*
(ポジティブな与信とは、あなたの信頼性を確認でき、かつ私たちと面識がある人物がいること)

*ポジティブな与信は以外に条件がありますが、ショップレンタルにおける重要な要素です。
なお、ポジティブな与信情報を提示できない場合は、ショップは開設できません。

利用料金

オンラインショップ設立費用:
50 . - ヘッダー、フッター、ボタンの設置
100 . - 要望に応じたカスタムデザイン(カスタマイズされたヘッダー、フッター、ボタン)
200 . - カスタムデザイン・コンプリート(素材のアレンジや配置が auf *******.cc 、 ******.net 、 ******.net 、 *****.net などのように予め未定義で、デザインが完全に 固有のもの。)

売上手数料

0~1,000 .(月あたり): 33.33 %
1,000~3,000 .(月あたり): 30 %
3,000 . ~(月あたり): 20 %

売上手数料は、上記の率を基に計算され、毎月の売上高から差し引かれます。
レンタル契約者側から特段の要望がない場合を除き、支払いは3 日毎に行われます。
(最後の支払いから、24 時間後)

なお、顧客に対してショップがサービス機能を保証する点は、顧客にとっては非常に魅力的なポイ ントと思われます。購入したクレジットカードが利用できない場合は、購入額全額を顧客の銀行口座 へ返金する仕組みになっています。この業者は、売り手が買い手側の心理を十分に考慮し、それをビ ジネスに反映された経営が図られている例の1つです。盗みを実行する側とそれを販売する側の関係 もはっきりしています。質の劣った盗難品を提供すると、当然顧客からの評判は落ちて業者は信頼を 失います。さらに、既存顧客は他の販売業者へ流れ、ビジネスに大きなダメージを被る可能性があり ます。

図6: クレジットカード情報、ネット送金アカウント情報を提供するオンラインショップ

2.3. スキャマー

サイバー犯罪業界におけるスキャマー(Scammer)は、今まで記述したようなサイバー犯罪を駆使 して、犯罪を行う犯罪者です。言わば、彼らは詐欺者中の詐欺者です。スキャム(Scam)の定義は以 下のとおりです(ウィキペディアからの引用)

スキャム: 大量のメール(以前はFax の送信)の送信を詐欺手口とする詐欺。受信 者は、絶対にありえない話を信じ込まされ、無限連鎖講への参加もしくは送信者に 対し仲介手数料を事前に支払わせることにより、送信者に利益を得る違法行為。受 信者を騙す手口は多岐に渡る。犠牲者は通常膨大な利益を得ることができるように 思い込ませ、その対価として送信者に事前に金品を徴収する仕組み。

スキャマーとは、提供を謳うサービスを実際には提供せずに、前払いで支払わせた金額を詐取する 詐欺者です。購入者がスキャマーから本当にサービスを受けるケースはほとんどなく、サービス提供 される場合も、ビジネス開始時期の信頼構築が必要な場合の初期の客2、3 名のみです。多くのフォ ーラムでは、アマゾンやインターネットオークション同様に、販売者・購買者の評価システムがあり、 この評価は取引成立の重要な指標となっています。スキャマーはこのシステムと高評価によって安心 する購入者の心理をつき、購入者を巧みにだますのです。

フォーラムでは、スキャマーに対する非難や警告を促すスレッドもよく見られます(図7 を参照) が、このネガティブなポスティングは、邪魔な同業者の営業妨害に利用されることもあります。その ため、現在は、フォーラム管理者が当該ユーザーへの対応する前に、スクリーンショットや確固たる 証拠の提示を要求するフォーラムが増えてきています。

図7: フォーラムでのスキャマー(リッパーとも呼ばれている)に関するトピック

犯罪者は、さまざまな手法やツールを用いて商売を行ないます。犯罪者が利用するツールの中で最 も重要なものは、ボットネットです。ボットネットは、ウイルスに感染したPC を攻撃者の支配下に おき、思い通りに操作します。ボットネットを使えば、さまざまなサイバー犯罪関連の違法行為を行 うことが可能となります。

3 取引される物品とサービス

3.1. 金になるデータ

地下経済で流通する物品は、多岐に渡ります。ニーズが高いのは、犯罪に使うアカウントを作成し たり、ID を乗っ取るために必要な情報です。個人の氏名、住所、銀行口座、数百~数千個単位のユー ザー情報が収められた「データベースダンプ」など、様々な品が取引されています。なお、データベ ースダンプとは、オンラインショップやフォーラムのユーザーデータが大量に保存されたデータベー スの内容を丸ごと出力したものです(図8 を参照)。このようなデータは無料で公開されることもあ りますが、専ら他のフォーラムのデータベースの情報に限定されることがほとんどで、価値のあるオ ンラインショップに関するデータは、通常無料で公開されることはありません。

他に需要の高い情報としては、カーダブルショップ(Cardable Shops)と呼ばれるショップのリス トです。カーダブルショップとは、チェックが甘い、盗難クレジットカード情報でオンラインショッ ピングが可能なショップです。このカーダブルショップのリストは、サイトでの支払い時に入力を要 求されるクレジットカード情報の項目数が少なければ少ないほど、価値は上昇します。これは、クレ ジットカードでも同じことがあてはまり、情報の完全性が高ければ高いほど、情報の価値は上がりま す。

図8: アンダーグラウンドでデータベースを販売する業者
(1 万ユーザーの氏名、ユーザーID、メールアドレス、パスワードなどが含まれている)

3.2. プロキシを利用したトラッキング回避

地下経済の参加者は、自身の身元が割り出されるのを防ぐため、様々な手段を講じています。その 1 つがプロキシの利用です。簡単に説明すると、通常コンピュータをウェブサイトに接続させると、 その接続ログがウェブサーバーに記録されます。しかし、プロキシを利用すると、プロキシの中継機 能で、自身のIP アドレスが記録されるのを防ぐことができます。従って、犯罪者はウェブサイトや フォーラムを移動する際、プロキシ経由で接続し、自身の接続元の情報が記録されるのを防ぎます。 ただし、司直による調査命令に基づいて、プロキシサーバー運営者やISP などに情報提供が求められ る場合は、そこから足がつくことがあります。

東欧の犯罪者は、ドイツ、オランダ、スイス所在のプロキシサーバーを好んで利用します。逆にド イツの犯罪者は、ポーランド、ロシア、ウクライナにあるプロキシサーバーを犯罪に利用する傾向に あります。この業界では、様々なサイト上に無料プロキシサーバーのリストが見られます。しかし、 無料プロキシサーバーは無料というだけあり、通信速度が遅いという問題があります。そのため、犯 罪者は、より通信速度の速い有料プロキシサーバー業者のサービスを利用します。また、有料プロキ シサーバー業者を利用するメリットとして、ログ未作成や悪質なメールの受信時の未対処があります。 このような業者が提供するサービスは、SSH やOpenVPN を使い匿名でのインターネット利用が可能な 簡易プロキシの提供です。OpenVPN やSSH ならば、一般的なプロキシでは不可能な、インスタントメ ッセンジャー、IRC、Skype などの普通のプログラムが利用できることがあるからです。

この地下業界では、支払いはネット送金サービスで行われるのが一般的で、このやりとりもインス タントメッセンジャーでよく行われています。

3.3. コンピュータのボット化

ボットネットは、感染させた大量のマシンで構成され、スパイウェアやアドウェアで商業的利益を 得るために利用されます。コンピュータをマルウェアに感染させるには、様々な手法が使われていま す。常套手段は、ウェブサイトやメールを介した感染です。以前頻繁に利用され、現在は減少傾向に あるメールの添付ファイルも健在で、感染にはワンクリックで十分です。更にファイル交換経由でも 同様のことが言え、有用なプログラムやゲームと見せかけたトロイの木馬系マルウェアも大量に流通 しています。マルウェアの種類により振舞いは異なりますが、一度マルウェアに感染すると、マルウ ェアは、インターネットからボットをロードし、ついには、コンピュータはボットネットへと組み入 れられます。なお、これらの感染手口からマシンを防御するには、ウイルス対策ソフトを導入はもち ろんのこと、定期的なウイルス定義ファイルの更新やウイルススキャンの実行、OS やインストールさ れたプログラムの更新など、ユーザー側での適切な対応が非常に重要になります。

コンピュータを感染させるサービスを提供する専用業者も存在するので、犯罪者は大量のコンピュ ータを感染させる手間を省略することもできます。このような業者は、裏フォーラムでサービス提供 の告知をしています。価格は、感染したコンピュータの所在国別で値段付けされています。人気が高 いのは、西欧、北米、オーストラリアの感染コンピュータで、IT インフラ環境の整備と普及度の高い 国々です。また、昨今では1000 台単位でボットネットを提供する業者も出てきました。この業者で も、感染コンピュータの所在国ごとに価格が設定されています。幸いなことにヨーロッパの裏市場で は日本は、言語の違いがあるせいか、今のところ、あまり人気がありません。

購入希望者がサービス提供者を募集することも稀ではありません(図9 を参照)。

図9: ウイルス感染をサービスとして提供するウェブサイト
(イギリスが最も高く240 ドル、次いでカナダが220 ドル。アジアは最安値で32 ドル)

なお、コンピュータは感染すると、金銭価値のあるファイルがコンピュータからコピーされ、その データは売買の対象とされます。さらに、コンピュータ内の各種アカウントが盗みだされ、ブラック マーケットで売買されます。そして、金銭価値のあるデータを盗みだされたコンピュータは、ボット ネットに組み込まれ、スパム送信やDDoS 攻撃に加担させられるのです。

3.4. 防弾ホスティング

防弾ホスティングの提供者とは、調査機関による追跡から逃れるため、匿名で利用できるサーバー 所在地を提供する業者です。防弾ホスティングで最も有名な組織の1つとしては、ロシア最大のネッ ト犯罪組織であるロシアン・ビジネス・ネットワーク(RBN、Russian Business Network)やアメリ カのモッコロ(McColo 、2008 年にインターネット接続を遮断されています)などがあります。RBN が提供するホスティングで、ボットネットのファイル用ドロップゾーン(感染マシンにインストール されたスパイウェアが収集したデータを保管するサーバー)、違法ショップ、C & C (Command & Control)サーバーなどがみられます。提供されるサービスは、小さなウェブスペース、仮想サーバー、 サーバークラスタにまで至り、提供するサービス群は、正規のサービス提供業者のサービスに劣りま せん。

図10:あるホスティング業者のレンタルサーバーによるサービス一覧表
(トルコのアンカラにあるVPS。ディスクスペースが10GB(月額39 ユーロ)から50GB(月額39 ユーロ)まで。)

このプロバイダーの利用規約では、とてもあいまいに記述がなされています。『禁止事項』という 注意書きもありますが、全く意味なしていません。コミュニティ内では、どの提供者がどのサービス を容認しているのかは周知となっています。違法コピーに留まらず、法に触れる様々なデータをサー バーに置くことも許可するサービスもあります。この種のサービスは、様々な国で提供されています が、ロシア、トルコ、パナマ所在のサーバーが多くなっています。

図11:ホストの許可するサービスの一覧表

通常のホスティング業者においてはドメイン登録すると、ドメインが所属するデータベースに保存 されます。これは、犯罪者たちにとって大きな問題で、登録時に保存された名前、住所、電話番号、 メールアドレスなどの情報が調査機関などによる情報の公開を求められた場合に漏れ、そこから足が つく可能性があります。これを回避するため、防弾ホスティング業者は、この情報にアジアやアフリ カなどの適当なダミーの情報を割り当てるなどの細工を行います。そうすると、防弾ホスティングの ユーザー情報から割り出されることを防ぐことができます。

防弾サービスはホスティングだけに収まらず、バルクメールというサービスも存在します。バルク メールとは、大量のメールをプロバイダーのサーバー経由で送信するサービスです。サービス提供者 は、送信メールがスパムフィルタに引っ掛からないように高度なソーシャルエンジニアリングを使っ ています。また、業者によっては、メールアドレスのリストも(有償で)提供する業者もいます。

このようなサービスの運営者は有名な裏フォーラムに出没し、提供サービスやその価格をフォーラ ムに書き残してゆきます。

また、業界内での競合間闘争でDDoS 攻撃を仕掛け、競合のビジネスを麻痺させるケースも頻繁に あるため、顧客をDDoS 保護から保護するサービスなどもよく提供されています。

3.5. 収入源となるスパムメール

地下経済の活動で最も一般に知れわたっている活動は、スパムメールの送信です。コミュニティ内 でもその収益性の高さから、非常に好んで利用されています。例えば100 万通のスパムメールを送信 は、あるボットネット運営者では、250~700 ドルで提供されています。2 万台規模のボットネットの 運営者では毎秒2 通のペースで、スパムメールが送信できるので、スパム100 万通を送信する依頼で は、その仕事はたった25 秒で完了となります。

この例からもわかるように、ボット運営者にとって、スパム送信ビジネスは有益なビジネスであり、 ボット運営者が自身のボットネット拡大に躍起になるのも当然と言えます。

なお、スパム送信を依頼する側は、スパムの送付先や国地域別で選択できます。またたり、オンラ インゲームユーザーなど特定のターゲットに的を絞ったスパム送信を指定することも可能です。

メールアドレスのリストは、裏フォーラムのショップやバルクメールのサービスを提供するプロバ イダーから購入できます。メールアドレスは様々なカテゴリーやソースなどに分類され、扱うメール アドレスはスパムメールの受信履歴のないものが通常です。ただし、これは売りに出されたことがな いということで、他のスパマーがこのメールアドレスを使ったことがないということではありません。

3.6. DDoS 攻撃がサーバーをダウンさせるメカニズム

今日のインターネットのウェブサイト運営者の最大の悩みは、自身のウェブサイトへ降りかかる DDoS 攻撃です。DDoS 攻撃とは、分散型サービス拒否(ディストリビューション・デナイアル・オ ブ・サービス)の略で、ボットネットなど、複数のネットワークに分散する大量のコンピュータから 一斉に特定のサーバーへパケットを送出し、通信路を溢れさせて機能停止にする攻撃です。DDoS 攻撃 には様々の種類のものがありますが、ウェブサーバーに対し大量のパケットによって高負荷をかけて 利用不能の状態にします。ウェブサーバーへの攻撃に次いで多いのが、ターゲットに対し大量の確立 しない接続を試みるスィンフラッド(YN-Flood)です。接続は数秒から数分間、接続が完全に確立す るのを待機する設定ですが、ターゲット側がこの大量の問い合わせを送信されると、すべての不完全 な接続に対し、1 つのエントリが作成されます。攻撃されたサーバー側ではいずれメモリが不足の状 態になりますが、その状態に達すると、サーバーへの接続や呼び出しができなくなります。

集中攻撃を受けてしまうと、攻撃されたウェブサイト運営者は攻撃が止むのを待つ以外にサイト復 旧の手立てはありません。そのために、同業者間の攻撃合戦も頻繁に起こります。つまり、競合に対 し攻撃を仕掛けて相手のビジネス基幹システムを麻痺させ、業務不能の状態に陥れます。システムを ダウンさせられた競合のサービスを利用する顧客は、攻撃によりサービスを利用できなくなり、これ はより強大な業者への乗り換えの動機となっています。

図.12:ウェブ上で表示されるDDoS 攻撃サービスのバナー広告
(英語、ロシア語、ドイツ語)

アンダーグランド業界でのDDoS 攻撃は、サービス提供業者間だけでは収まりません。また、特定 のサイトやフォーラムをダウンさせるために、DDoS 攻撃が実行されることもあります。この攻撃は、 商業的理由だけでなく、単純な嫉妬や憎しみを動機として行われることもあります。

3.7. 偽造ID を使ったID 隠蔽

盗難ID は、需要が非常に高い商品の1 つです。身分を詐称するための身分証明書、運転免許証、 学生証などのID 情報が売買の対象となります。特にロシアのフォーラムで盛んに取引されています。

偽造もしくは盗難ID は、取引用の銀行口座開設やオンラインカジノやインターネットオークショ ンなどの登録に利用されます。

3.8. カーディング詐欺

クレジットカード詐欺(またはカーディング)は、犯罪者がフィッシングやトロイの木馬を被害者 のコンピュータに忍ばせたり、ウェブショップのデータベースに侵入して目的の情報にアクセスし、 既述のカーダブルショップなどで正当な権限のない人物によって買い物に利用されます。一方、クレ ジットカード情報の盗難は、上で説明した仮想空間上での詐欺だけでなく、財布から盗んだり、郵便 ポストから書類を取り出したり、実際に買い物をした時にカード所持者の気付かないように一瞬で用 意した読み取り機でコピーするスキミングなどの昔ながらの手口も今尚報告されています。

例に漏れず、クレジットカード情報も様々なフォーラムやショップにおいて大量に売り買いされて います。

図13:クレジットカード情報を販売するショップ

クレジットカード番号はある一定の法則に基づいて生成されますが、地下経済で流通するクレジッ トカード番号生成ソフトのクレジットカードジェネレータを使うと、所有する1 つの有効なクレジッ トカード番号から、様々な発行業者に発行された有効なクレジットカード番号を生成できます。何故 このような不正が可能かというと、ほとんどのカードではカード発行会社で割り当てる内部番号や連 番、チェックデジットと呼ばれるクレジットカード番号が正しいかチェックをする数字が公に知られ ているためです。

カーダー(Carder)と呼ばれる人物にとって重要なのはクレジットカードデータの完全性です。あ まりデータの揃っていない クレジットカード番号単体から、有効期限・セキュリティ番号付きの完全性の高いクレジットカー ド情報など、データの完全性に基づいて販売価格が設定されています。

3.9. スキミング詐欺

スキミングとは、特殊なカード読み取り装置やカメラをATM に取り付け、カードの情報を不正に記 録する犯罪行為です。スキミングは実社会で行う必要があるため、実行者にとっては高い危険性が伴 い、犯罪行為の普及度はネット犯罪と比較すると、その数はそれほど多いとは言えません。また、ス キミングで使われている専用機器も非常に高価で、フォーラムでは数十万円ほどの価格で取引されて います。更に、購入後設置した装置はいつ発見・押収されてしまうかわかりませんし、ほとんどの ATM は通常ビデオ監視が行われていて、これもスキミングの絶対数が少ない理由の1つとなっている と考えられます。

図. 14:スキミング装置が掛けられたATM (出典:バイエルン州警察白書、2007 年8 月7 日)

ドイツおよびヨーロッパ諸国におけるスキミングの実行者は、東欧出身者が大半を占めています。 スキミング装置取り付けの対象となる地域は、利用者数のポオ大都市で取り付けられる傾向にありま す。

以前はスキミング機器の設置は、ATM 利用客が発見し、警官もしくは銀行に通報されることがほと んどでしたが、最近は一般人が見ただけでは気付かないほどの精巧なスキミング機器も作られるよう になってきました。これはスキミング機器開発者がATM の寸法を設計段階から考慮にいれ、ATM 毎の スキミング機器を製作しているためだと考えられています。

3.10. フィッシング詐欺

フィッシングはまさに必要とされる任意のデータを抽出できる手段として、犯罪を行う側が非常に 好んで行う犯罪手段です。詐欺者が銀行口座のデータが必要とする場合は、本物そっくりの偽銀行ウ ェブページを作成し、ボットネットで偽銀行サイトのリンクを含んだ大量のスパムメールを送信し、 獲物を偽サイトへと誘導します。対象となるデータの種類は多岐に渡り、オンラインゲームアカウン ト、クレジットカード情報、オンラインバンキングのアカウントなど、アンダーグラウンドで換金出 来得るあらゆる種類のデータやアカウント情報などです。同様に好まれるのがオンラインのギャンブ ルやカジノのアカウントです。このアカウントは詐欺によって得た資金の行き先の追跡を困難にする ために利用されます。

地下経済で取引される品のラインナップには、リミットや制約がありません。フォーラムを見てみ ると、MySpace やTwitter のアカウントが売りだされていたり交換取引に出されています。犯罪者は 人物のID 情報を可能な限り多く収集し、実際にその人物を名乗って犯罪を行うこともあります。 オンラインバンキングやオンラインゲームを利用する方は、アカウント情報の入力時など、アカウ ント情報の入力を行うページが本当に正しいのかどうか、情報は暗号化されているのかどうかを確か め、アカウント情報の取扱いに十分に気をつける必要があります。

よく利用するサイトは、ブラウザのブックマークに登録しておき、その登録先からログインしまし ょう。また、銀行やオンラインゲーム名義で送信されたメールでも、送信者名を偽装している可能性 もあり、ワンクリックでマルウェアが仕掛けられたサイトや詐欺サイトへ誘導される可能性もあるの で、無闇にメール内のURL をクリックすることは避けるのが得策です。

3.11. ボットネットとその構成

詐欺者はエクスプロイトを利用してトロイの木馬やワームを目的のマシンにインストールさせます。 エクスプロイトとは、OS やプログラムに存在する脆弱性をついて攻撃する行為やその利用されるコー ドです。ウイルス対策ソフトからの検出を回避するため、トロイの木馬は暗号化ソフトで暗号化しま す。暗号化ソフトには様々なバージョンがありますが、表の世界で流通するパブリックバージョンを 使って作成したものはだいたいのウイルス対策ソフトで検出されます。一方、検出できないマルウェ アを生成するプライベートバージョンは、ウイルス対策製品に搭載されているウイルススキャナーに 対応する定義ファイルがありません。そのため、裏フォーラムなどで取引されていて、プライベート バージョンの暗号化やパッカーの需要は非常に高いと考えられています。

ボットについても同様のことが当てはまります。ボットにはボットマスターが密かに侵入し、コン ピュータを乗っ取るバックドア(裏口)が仕掛けられています。ボットがコンピュータに仕掛けられ ると、ユーザーに気付かれないように、バックグラウンドでDDoS 攻撃やキーロガーなど様々な命令 の処理が行われ、犯罪行為の加害者となります。ボットの規模には色々ありますが、規模の大きなも のほど一度に大量のメールを送付できパフォーマンスは高くなるので、アンダーグラウンドでの提供 価格は相対的に高くなります。

ボットネットの管理は、C&C (Command & Control)サーバーを通して実行され、ボットマスターの 支配下にあるボットのノードは、C&C サーバーからの命令を待ちます。なお、C&C サーバーのコンセ プトは数種ありますが、通信手段には一般的にはIRC が用いられ、ノードは特殊なチャンネルに参加 します。なお、犯罪者は自身の安全性確保にも抜かりなく、プライベートのIRC サーバーを利用して います(図15 を参照)。IRC に接続したボットネットのノードは、IRC チャンネルで指令を待ちます。

図. 15:ボットのIRC チャンネル

ボットネットは、ユーザー名とパスワードを入力すると利用できるウェブインターフェース経由で も利用され(図. 17 を参照)、ボットに指示、感染したノードの数、オンラインのノードの数、ノー ドのOS の種類などを統計表示、ノードにインストールされたボットの更新などを操作できます。

図.16:ボットネットのウェブインターフェース(ロシア語)

多くのケースでは、トロイの木馬がコンピュータに侵入すると、まずそのトロイの木馬は詐欺者が 置いたボットをインターネット経由でロードします。ボットのロード先は防弾ホスターが利用されま す。詐欺者が最新のボットネットが必要な場合は、プログラマーに接触してバイナリコードやソース コードで提供されるバージョンを購入します。なお、ソースコードでの購入は、バイナリコードより 高価な価格で(約5~10 倍の値段)取引されます。売り手は、希望する購入者に対し、バックドアの 有無をチェックさせるサービスを提供しています。

RAT を使うと、ノードと接続を確立でき、感染の成功やウイルス対策ソフトベンダーが運用するハ ニーポットに侵入したかなど、確認できます。

ボットがハニーポットに入ると、そのボットのバージョンがウイルススキャナーに検出されるのも 時間の問題となるので、犯罪者はボットを改変します。また、インストール済みボットもウイルス対 策ベンダーのウイルススキャナーが検出から逃げるために、インストール済みボット用のアップデー トを提供します。

図 17:RAT クライアント

RAT は高度な手法ですが、完全自動インストールと比べると、費用負担が増大します。RAT の拡散 する犯罪者の手法には、ドライブバイダウンロード、P2P ネットワーク、大量のメールなど、ありと あらゆる手法を用いて送信されます。

また、RAT やトロイの木馬と同じ手法で拡散されているスティーラー(アカウント情報盗難用のツ ール)もよく使われています。これらの脅威への対策としては、高度な検出力を持つウイルス対策製 品(HTTP フィルタやメールスキャナ機能をもつ製品)をコンピュータにインストールすることです。

このグループには、キーロガーが含まれます。キーロガーは小さなプログラムですが、コンピュー タにインストールされると、ユーザーのキー入力を記録し、ネットバンクの口座番号やログイン用パ スワードを盗みだします。

4. 現金化

すでに紹介したように、サイバー犯罪には様々なツールや犯罪手口が使われていますが、犯罪者の 目的はどのように利益を得るかです。ここでは、犯行完了後の現金化(キャッシュアウト)の方法に ついて説明します。

図18:あるフォーラムにおけるドロップゾーンのオファー
(ドロップ、ドロッピング、ダンパー、シッピングという言葉が見出される)

現金化とは、金の出所など痕跡を残さずに仮想貨幣をリアルマネーに変換することです。多くのケ ースでは、盗まれたクレジットカード情報や仮想貨幣は、インターネットでの買い物にそのまま利用 されます。ここで購入した品の受け取りには足がつかないようにドロップゾーン(予め用意した送付 先)に配送されます。ドロップゾーンには、スパム経由で送信業者や運送業者として雇われた仲介者 が存在し、配送された品を転送します。従って、犯罪者にとってドロップゾーンは非常に重要な意味 を持ちます。更にこれはドロップゾーン業者増殖の連鎖を生みだします。フローは、品物を注文した 後、用意したドロップゾーンの住所(ほとんどが外国)に発送されます。送付先に配達されると仲介 者が引き取り、それを転送します。なお、仲介者への報酬額は、ドロップゾーンの所在国の生活レベ ルを考慮しても、同国ではかなり高報酬のレベルにあります。また、プラスアルファとして注文の際 に、この仲介者用の品物も併せて注文することもあります。

過去にはハウスドロップという家主が不在の家やアパートなどが利用され、銀行からの重要な通知 なども問題なく送達されていました。住所変更はオンラインで可能ですが、実際に銀行に足を運び変 更手続きを行う犯罪者も存在します。銀行窓口で変更手続きをする際は、特定の書類が必要になりま すが、この書類もアンダーグラウンドでの入手が可能です。

他にはオンラインカジノ経由で金を移動させる方法があります。盗みだしたネット送金サービスの アカウントを使って、盗み出したオンラインギャンブルサイトのアカウントに金を移動させます。犯 罪者の情報交換に利用されるフォーラムでは、オンラインギャンブルサイトの犯罪への適正度に関す る評価を確認でき、サイト毎のアカウント作成にどのようなデータが必要か、データの真正性、偽装 ID で通るか、などの情報もまとめられています。好まれるのは、認証済みのアカウントです。このア カウントを利用してバンクドロップといわれる口座に送金します。バンクドロップとは、他人名義で 開設された銀行口座です。バンクドロップ用のアカウントの入手マニュアルは高値で取引され、その 内容は、郵便局従業員の買収によるバンクドロップ口座開設方法から、不正ID による口座開設方法 まで、多岐にわたります。

また、カーダブルショップで犯罪者が買い物し、盗み出した無人小包引取所のアカウント情報で無 人小包引取所宛てに配達させます。引き取られた商品はオンラインオークションなどを通して換金し、 犯罪者の口座へ振り込まれます。

5. 結論:

サイバー犯罪は更なる増加へ

自身の卓越した能力をひけらかす愉快犯、もしくはスクリプトキディなどのハッカーたちがシーン を主導していた時代は終わった今、このシーンで活動している者たちをハッカーという表現で一括化 するのは、適切ではありません。技術的な専門知識を有し、犯罪に加担する彼らは、金庫破りやその 他の犯罪行為を行う犯罪者と同線上に存在するグループに属するものと言えます。しかも今やこの犯 罪市場は、全犯罪市場でも最大の市場規模を誇ります。犯罪を実行する人物はプロの犯罪組織に属し、 その犯罪手法も組織化・効率化・分業化が進んでいます。

IT インフラの整備に伴うインターネットの普及で、私たちの生活は便利になりましたが、その一方 で、インターネットの利用は、サイバー犯罪という新たな犯罪に巻き込まれる新たな要因となってい ます。インターネットを利用する一般のホームユーザーや企業ユーザーは、インターネット内に潜む マルウェアや様々な攻撃から自身のコンピュータやネットワークを迅速かつ適切な対処方法で保護し ていく必要があります。

続いて重要なテーマは、個人情報の取扱いです。多くのインターネットユーザーは、自身の個人情 報が犯罪者の手に渡る危険性を考慮せずに、SNS、ブログ、ホームページなどに公開しています。と りとめもないように思われる生年月日が、犯罪者側にとってはクレジットカード情報の完全化に必要 な情報である可能性もあります。

現在増加中で今後も増加すると推察されるのは、被害者のマシンからウェブサイトのログイン情報 を盗み出し、そのサイトを犯罪に利用するというものです。運営するサイトのログイン情報が盗まれ ると、犯罪者はマルウェアをウェブサイトに自由に仕掛けるなどし、マルウェア配布に悪用します。 更に、サイト運営者は、信用を問われるだけでなく、訪問者を感染させたとして損害賠償などの深刻 な被害に発展する可能性も十分考えられます。インターネット利用において自身の安全性を保持する には、自身のコンピュータだけでなく、ネットワーク全体、更にプラスアルファ(この場合は、運営 サイト)も入念にチェックするなど、徹底した対応を心がける必要があります。

付録1 裏市場における価格表

この価格表は、2009 年6~7 月に裏サイトのフォーラムで実際に取引されていた商品やサービスの 価格表です。価格は幅が広く、ボリュームディスカウントや交渉スキルによって変化します。

【略】

付録2 用語集

*カッコ内は英語での表記。略号はカタカナを併載しています。

【略】

2009年10月29日発行

10月 31, 2009 at 01:53 午後 セキュリティと法学 | | コメント (0) | トラックバック (0)

2009.10.08

Winny無罪判決・要旨

共同通信ニュースより「【資料】 ウィニー裁判・判決要旨

ウィニー開発者の著作権法違反ほう助事件で、大阪高裁が8日に言い渡した控訴審判決要旨は次の通り。

【ほう助の成否】

(1)ソフトについて検討

ウィニーはP2P技術を応用したファイル共有ソフトであり、利用者らは既存のセンターサーバーに依存することなく情報交換することができる。

その匿名性機能は、通信の秘密を守る技術として必要にして重要な技術で、ダウンロード枠増加機能などもファイルの検索や転送の効率化を図り、ネットワークへの負荷を低減させる機能で、違法視されるべき技術ではない。

したがってファイル共有機能は、匿名性と送受信の効率化などを図る技術の中核であり、著作権侵害を助長するような態様で設計されたものではなく、その技術は著作権侵害に特化したものではない。ウィニーは多様な情報交換の通信の秘密を保持しつつ、効率的に可能にする有用性があるとともに、著作権の侵害にも用い得るという価値中立のソフトである。

(2)ほう助が成立するか

ネット上のソフト提供で成立するほう助犯はこれまでにない新しい類型で、刑事罰を科するには慎重な検討を要する。

原判決は、ウィニーは価値中立的な技術であると認定した上で、ホームページ上に公開し不特定多数の者が入手できるようにしたことが認められるとして、ほう助犯が成立するとした。

しかし、2002年5月に公開されてから何度も改良を重ね、03年9月の本件に至るが、どの時点からどのバージョンの提供からほう助犯が成立するのか判然としない

利用状況を把握することも困難で、どの程度の割合の利用状況によってほう助犯の成立に至るかや、主観的意図がネット上において明らかにされることが必要かどうかの基準も判然としない。したがって原判決の基準は相当でない。

被告は誰がウィニーをダウンロードしたか把握できず、その人が著作権法違反の行為をしようとしているかどうかも分からない。

価値中立のソフトをネット上で提供することが正犯の実行行為を容易にさせるためにはソフトの提供者が違法行為をする人が出ることを認識しているだけでは足りず、それ以上にソフトを違法行為のみに使用させるように勧めて提供する場合にはほう助犯が成立する。

被告はをネットで公開した際、著作権侵害をする者が出る可能性を認識し、「これらのソフトにより違法なファイルをやりとりしないようお願いします」と著作権侵害をしないよう注意喚起している。

また、被告は02年10月14日には「コンテンツに課金可能なシステムに持ってゆく」などと著作権の課金システムについても発言しており、ウィニーを著作権侵害の用途のみに使用させるよう提供したとは認められない。

被告は価値中立のソフトであるウィニーをネットで公開した際、著作権侵害をする者が出る可能性は認識していたが、著作権侵害のみに提供したとは認められず、ほう助犯の成立は認められない。

【結論】

被告にはほう助犯の成立が認められないのに一審判決がほう助犯の成立を認めたのは刑法62条の解釈適用を誤ったもので、検察官の所論は理由を欠き、いれることはできない。よって被告は無罪とする。

2009/10/08 12:52 【共同通信】

「Winny 著作権法違反幇助・二審は無罪判決」を書いた時点では、どういう論理で逆転無罪に持って行ったのか興味津々であったのですが、一審がソフトウェアとして価値中立であることを認めつつ、著作権侵害幇助としたのは筋が通っていないだろう、指摘して、「幇助というからには、積極的に違反を勧めているはずだ」というモノサシを持ってきて、検察側と一審判決に対して「何を言っているのだ」という感じの高裁判決ですね。

検察は一審の罰金150万円が軽すぎると控訴していました。それが、無罪判決ですから上告したいのでしょうが、高裁判決をひっくり返すには、

  1. 証拠は十分である
  2. 幇助を明確に証明する必要は無い
  3. ソフトウェアは価値中立ではない
といったことを最高裁に認めさせる必要がありますが、どれもがちょっと以上に無理でしょう。

元々ウィニー事件がネットで話題になったのは「ソフトウェアを作ったら刑法の幇助になるものか?」という素朴な疑問でした。
今回の高裁判決は、一言で言えば「世間から疑問があると指摘されてはいけない」と言っているようなものでしょう。

そういう風に見ると、あまり法律的なテクニカルな論理ではなく、明快な判決ではありますね。

10月 8, 2009 at 08:08 午後 セキュリティと法学 | | コメント (0) | トラックバック (0)

Winny 著作権法違反幇助・二審は無罪判決

毎日新聞より「ウィニー:2審は逆転無罪 著作権法違反ほう助

ファイル共有ソフト「Winny(ウィニー)」を開発・公開し、インターネット上で映画などの違法コピーを助長したとして、著作権法違反のほう助罪に問われた元東京大助手(39)に対し、大阪高裁(小倉正三裁判長)は8日、罰金150万円(求刑・懲役1年)とした1審・京都地裁判決(06年12月)を破棄し、無罪を言い渡した。

1審に続き控訴審でも、違法コピーの拡散による著作権侵害を、被告が図していたのかが最大の争点となった。

1審判決は「不特定多数が入手できるようウィニーを公開した。悪用される認識はあったが、意図したわけではない」としてほう助罪を認定したが、確定的意図は否定した。

これに対し、検察側は「著作権侵害を助長した確信犯で、罰金刑は軽すぎて不当」と主張。
弁護側は「純粋な技術検証が目的。面識のない不特定多数に対するほう助は成立しない」と無罪を主張し、双方が控訴していた。

また、ウィニーの技術特性や利用実態についても争われた。1審判決は「応用可能で有意義な技術」として、技術自体の中立性を認めたが、検察側は「匿名性が高いなど、著作権侵害が目的の技術」と指摘。
弁護側は「さまざまな分野に応用可能な技術で、著作権者にとっても利益がある」と反論していた。

1審判決によると、被告は02年5月から自身のホームページでウィニーを公開。群馬県の男性ら2人=ともに有罪確定=がゲームソフトなどを無断でネット上に公開した著作権法違反行為を手助けした。【日野行介】

【ことば】ウィニー

利用者が各自のパソコンに所有する映像や音楽などのファイルデータをインターネットを通じて共有、交換するソフト。送信者を特定しにくい「匿名性」と、不特定多数へのデータ拡散を可能にする「効率性」が大きな特徴で、著作物の違法流通を容易にし、暴露ウイルスの出現で警察や原発などの機密情報流出につながった。

今日から、湯沢で「ネットワーク・セキュリティ・ワークショップin越後湯沢」が始まっていますが、これは話題になっているでしょうね。
判決文がすぐに上がってくると思います。

10月 8, 2009 at 10:35 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2009.09.05

通販サイトがクレジットカード情報をハッキングされた?

読売新聞より「カード情報5万件流出、三菱商事系通販サイトで

三菱商事の子会社「デジタルダイレクト」(東京)が運営するインターネット通販「サクワ ネットショッピング」「ファン スタイル ショッピング」の両サイトから、商品購入客らのクレジットカード番号など個人情報が流出していたことが4日、わかった。

同社はクレジットカード番号5万2000件、メールアドレス2万9000件の流出を確認しており、同日、会員や商品購入客にメールで報告を始めた。

同社によると、6月下旬、提携するカード会社から「カードが勝手に使われたと訴えている会員が複数いる」との指摘を受けた。

外部に依頼して調査したところ、会員情報を管理するサーバーが不正アクセスを受けていた可能性が強まり、先月20日に両サイトを一時閉鎖、経済産業省や日本通信販売協会に報告した。

その後の調査で、昨年7月以降、同じサーバーが中国や韓国などの計49か所からサイバー攻撃を受けていたことが判明した。

こういう事件は、初めてのような気がします。

今までも、情報流出はたくさんありましたが、クレジットカード番号が流出し、それがネットワークを介しての流出、ハッキングの可能性があるというのは初めてではないでしょうか?

事件の詳細が明らかになるのかは、手口の拡大にもなるので何とも言えませんが、それにしても

  1. 6月下旬にカード会社から流出していると指摘される
  2. 外部に調査を依頼して、8月20日にサイトを一時閉鎖
  3. その後の調査で、1年前から攻撃を受けていたことが判明

というのは、ネット時代に必要な「速度」が全く無い、と言えるでしょう。

サクワ ネットショッピングには現在こんな掲示が出ています。

いつも 「saQwaネットショッピング」、 「fun style shopping」をご利用頂き、誠にありがとうございます。

只今、ショップのご利用を中断しております。
お客様にはご迷惑をおかけいたしますが、何卒ご理解いただきますようお願い申し上げます。

尚、お電話でのご注文は通常通り承っておりますので、
お手数をお掛けいたしますが、下記電話番号より、ご注文下さい。

これは一体どういう意味なのだろう?

なんでインターネット通販がダメで、電話による通販だと大丈夫なのか?

インターネット通販側の、受付ページに情報をストックしたままで放置していたのか?
ずいぶんと怪しい様子に感じます。

9月 5, 2009 at 10:13 午前 セキュリティと法学 | | コメント (2) | トラックバック (0)

2009.06.11

第13回サイバー犯罪に関する白浜シンポジウム

先週の木曜日(4日)から第13回サイバー犯罪に関する白浜シンポジウムに参加してきました。

元は「コンピューター犯罪に関する白浜シンポジウム」と名乗っていて、わたしは1999年の第3回から、ずっと参加していましたが、ここ2回ばかりは行っていませんでした。

この間に、若干組織の変更などもあったようですが、今回は「ウイルスとマルウェアの脅威」~あなたの生活が狙われている~をテーマにして開催されたのですが、なかなか考えるところが多々ありました。

プログラムは以下のようになっています。

6月4日(木)
13:00~13:30開会オリエンテーション
13:30~15:00講演「セキュリティトレンドについて」
株式会社ラック取締役西本逸郎氏
15:00~15:30コーヒーブレイク
15:30~17:00講演「マルウェアと法的責任」
大阪弁護士会弁護士岡村久道氏
17:00~19:00ディナータイム
19:00~20:30BOF分野別会合(ご興味のあるBOFにご参加くださいませ)
文教分野、行政分野、警察分野
(※警察BOFは警察関係者のみに限ります)
6月5日(金)
9:20~9:30開演挨拶
9:30~10:30講演「お財布ケータイが狙われるかも」
トレンドマイクロ㈱CTOレイモンド・ゲネス氏
10:30~11:30講演「シン・クライアント化によるセキュリティと利便性の両立」
和歌山県企画部企画政策局情報政策課稲住孝富氏
11:30~13:00講演ランチタイム&協賛企業PRタイム
13:00~14:30基調講演「マルウェアに対する研究者達のチャレンジ」
東京電機大学教授佐々木良一氏
14:30~15:30警察講演「マルウェアと脅威の傾向」
警察庁情報通信局情報技術解析課理事官國浦淳氏
15:30~16:30講演「情報セキュリティってそもそも何だっけ?」
総務省総合通信基盤局電気通信事業部事業政策課課
長補佐高村信氏
16:30~18:30ディナータイム
18:30~19:00参加者交流会ご挨拶白浜町長立谷誠一氏
19:00~20:30ナイトセッション「マルウェアに立ち向かおう」
コーディネータ:日本経済新聞社坪田知己氏
パネリスト:監査法人トーマツ丸山満彦氏
大阪弁護士会岡村久道氏
カーネギーメロン大学日本校教授武田圭史氏
21:00~23:00ミッドナイトセッション
6月6日(土)
9:30~11:00 講演 「マルウェアの脅威に対する対策」
IPAセキリティセンター小門寿明氏
11:00~11:40 「情報危機管理コンテスト」 結果発表審査委員長三輪信雄氏
講評および表彰 講評和歌山大学泉(川橋)裕氏
表彰状授与経済産業省商務情報政策局審議官
木村雅昭氏
11:40~12:00 ご挨拶 和歌山県知事仁坂吉伸氏
12:00~12:10 閉会 閉会のご挨拶
元防衛省官房長西川徹矢氏
6月6日(土) 同時開催 和歌山県立情報交流センターBig・Uにて
9:30~17:00 セキュリティキャンプ セキュリティ道場in白浜(フォレンジックに関する研修)
※参加資格は警察官を含む公務員です

今回は、6月5日(金曜日)のナイトセッションまで居て、22時前に白浜を発ちました。

テーマであるマルウェアとは悪意あるソフトというほどの意味ですが、従来のウイルス対策とは何が違うのか?ということと、現状はどうなっているのか?が大きな話題でした。

マルウェアが表に出てきたのはボットネット問題からで、話がどんどんややこしくなってきて説明しがたくなってきた、というのは今回のシンポジウムに参加しても変わらず、参加者の一致した意見として「怪しいモノに近づくな」といった技術的ではない対策の重視が必要で、それには主に若い人たちの教育が重要といった話になってしまいました。

非常に興味深かったのは基調講演である佐々木良一先生の「マルウェアに対する研究者達のチャレンジ」で、ウイルスの歴史を振り返ってその「進化」を概観し、「マルウェアに対する疫学的アプローチ」の説明でした。

一言で言うと、コンピュータウィルスも身体に病気をもたらす実際のウィルスと同様に扱える、という研究でもちろんコンピュータウイルスも弱毒化しつつ感染力は強くなる(発見しにくくなる)方向に「進化している」とのことでした。

このために、対策も決定的なものではなく、社会全体が病気を警戒し予防するように、コンピュータウイルスに対しても、社会としての情報の共有、多段階の追跡システムの必要性など、正に現実の病気と同様のアプローチが良いのではないか、という提案がありました。

他の分野でも非常に気になっているのですが、現在の日本では社会全体がデジタル指向といいますか、結果には原因がある、で終わりといった極めて単純化した「対策」ばかりがよいとされているところがあると感じています。

それが「インフルエンザだからマスクをする」として電車から降りてくる人が全員マスク姿で外国メディアで報道されるなど、ある種の「考え無しの決断」のようなことが続いていますが、後になってからどれほど有効か?と議論するのは無視するようなところがあります。

そのために、各種の資格や認定の大ブームになっていますが、警察講演の「情報セキュリティってそもそも何だっけ?」では、

  • 最大限の努力をしています」と言わないと許してもらえない雰囲気。
  • プライバシーマーク、ISMS取得企業数はうなぎ登り
  • (ISMSを取得している企業数は実はほとんどが日本企業だけ)

なんて報告がありました。

これらをまとめますと、何年か前には「こんな事件」「こういう対策」「必要な法律」といった具合に分かりやすく説明できたことが、現実社会で起きるわけの分からない事件と同様に複雑なことが起きていて「こうすれば大丈夫です」とはまるで言えない無くなってしまった、というのが極めて印象的でありました。

6月 11, 2009 at 05:56 午後 セキュリティと法学 | | コメント (0) | トラックバック (0)

2009.04.30

民法大改正

サンケイ新聞より「民法1世紀ぶり改正へ 「市民のため」分かりやすく

法務省が着手する民法・債権(契約関係)分野の大改正が注目されている。

1世紀以上にわたって手つかずで、契約ルールなどの現代化により実社会の要請に応えにくくなっていたものを再編成。

条文や項目数は大幅に増える可能性もあるが、目指すのは「市民のための民法」。
早ければ今秋にも法制審議会に諮問され、本格的な作業が始まる。

改正をめぐっては、学者や法務省担当者も参加する「民法(債権法)改正検討委員会」が改正の参考にもなる試案をまとめ、29日、シンポジウムで公表した。

改正の対象は、第一編「総則」と第三編「債権」のうち、契約に関する約400条。

民法については近年、変化する社会や経済に対応させ、「読んで分かる法律に近づけたい」として見直しが検討されていた。

試案では、現行法で条文に盛り込まれていない「契約の自由」などの基本原則や、条文にないが判例で一般に通用しているルールを明記する。
例えば、見込みのない契約交渉を継続する不誠実な対応で相手に損害を与えた際は賠償義務を負う-などを盛り込む。

また、民法関係の特別法である消費者契約法が定めている「不当な勧誘・契約条項」の不実告知、不利益事実の不告知は、民法の「契約の無効・取り消し」事由にも取り込むなどし、「民法を読めば同種のルールが一覧できる」ようにする。

試案を検討すると、最終的には600条前後のボリュームになる可能性がある。
試案も参考に改正に着手する法務省では「市民社会の基本法」という趣旨を重視し、国民に分かりやすくなるよう臨む方針だ。

■民法 明治29(1896)年に「総則」「物権」「債権」の財産法部分、31年に「親族」「相続」の家族法部分が公布され、いずれも31年に施行。
家族法は昭和22年に新憲法制定に伴い全面的に見直し、平成16年には片仮名文語体が現代語化された。
現在の全体の条文数は1044条で、欧州諸国の2000~4000条超に比べ少ない。

この話自体は、ちょっと前に法学者から直接聞いていて「へ~そうなんだ」と感じた事そのものが記事になった、というところです。

法学をちょっとかじると、なかなか面白い話にぶつかるもので、一番面白かったのが阿部泰隆先生の持論でした。阿部泰隆の研究の略歴と特色

行政法学の再生  2004年 神戸大学卒業生の同窓会への寄稿 他学部出身の社会人にもわかるように書いたつもり

凌霜の皆さんは、法律の基本というと、六法だと思っているでしょう。

経済・経営学部出身者ならもちろん、法学部出身者でも、それどころか、法学部教授のかなりも、「六法」を最重要科目と思いこんでいる。

筆者の専攻する行政法学は、「『六法』に入れて貰えぬ行政法」という川柳(高木光)があるほどで、辺境科目扱いである。

司法試験では、行政法は選択科目に甘んじていたが、その試験委員は、誰も勉強しない変わった問題を出して、受験生の行政法離れを招いた。
選択科目出題者は、受験生という顧客を集める営業も兼ねているのに、独占企業のつもりで、身勝手な問題を出していたのである。
そのため、行政法選択者が受験生の六%くらいに低下して、どうせ学ぶ者も少ないし、刑訴と民訴が選択では司法研修がやりにくいとかで、司法試験法改正により、二〇〇〇年度の司法試験から、両訴を必修にする代わりに、選択科目が廃止された。
かつての行政法試験委員は、行政法学界に対しては、「背任罪」を犯したに等しいといいたい。

しかし、これは行政法の重要性を知らない愚行である。

試みに、「六法」を見てください。小六法やポケット六法は、「基本六法」中心に編集しているから別であるが、有斐閣の大六法を見れば、憲法と民法の間の大部分、労働法の後のかなりは、行政法である。

分量的には、「六法の半分分捕る行政法」(阿部泰隆作)なのである。「犬も歩けば行政法に当たる」のである。

 これに対して、六法科目は、民法、刑法といった一つの法典があるのに、行政法には、行政法というまとまった法典がなく、雑多な法の集まりだから、「基本科目」を学んだら、あとはその関係の法律だけを見れば済むと思っている人が少なくない。

たとえば、不動産関係の業務にかかわっていて、都市計画法や建築基準法を必要とするなら、その注釈書を見ればよいというわけである。
そこで、公務員にも、行政法の講義は役立ちましたかと聞くと、昇進試験で役立ちましたという答えが返ってくる始末である。

しかし、法の体系は、憲法を頂点に、私人間の権利関係や紛争のルールである民事法と国家の刑罰権の発動ルールである刑事法のほか、国家と国民の関係のルールである行政法が基本である。

基本三科目というべきなのである。

労働法、独禁法、租税法、知的財産法、社会保障法など、先端科目はこれらの応用で、それには行政法的なしくみが組み込まれている。

行政法は、行政手続法、行政不服審査法、情報公開法、行政事件訴訟法などの一般法のほか、都市計画法、地方自治法、環境法、運輸法、教育法、社会保障法等々無数にある。
1800以上といわれる現行法のおそらくは七、八割は行政法関連法律であろうと推測する。会社や官庁で活躍される凌霜出身者も、民法や商法関連科目のほか、実は密林のような行政法関連法規と役所の解釈、指導の中で喘いでいるはずである。

そして、行政法のルールは、法治国家など、共通のシステムで作られている。

行政法は、形式的に「行政法」という法典がないだけで、重要性がないわけではない。前記の都市計画法も、行政法の一般理論を理解しないと、正しく理解できない。

私は、行政法が司法試験から追放されたときに強い反対運動を行った。

その結果、その「改正(改悪?)」を阻止することはできなかったが、最高裁、法務省当局からは、行政法の重要性を認識し、司法研修所ではしっかり教えるという国会答弁を得た。

その後、法科大学院が設置され、新司法試験制度が立案されるに当たり、この阿部の主張の骨を拾う形で、小生よりも若い学界実力者が動いて、行政法は憲法と統合されて「公法」として必修科目になったのである。

そこで、新司法試験では、これまでの六法科目に行政法を入れた七科目が必修となり、公法系、民事法系、刑事法系という三つの法系が基幹科目となった。

したがって、法典化された六法科目だけが重要だという錯覚を起こしかねない「六法」という言葉は死語にすべきであり、基幹三法群というべきである。

そこで、一部の法科大学院では困ったことが起きている。

学生は、完全な未修者以外は、基本「六法」は沢山勉強してきているが、行政法は学んだことがない。

それなのに、学部では少なくとも八単位の勉強させる行政法に四単位くらいの時間しか与えられていない。
これで複雑な事例を解決させる論文式問題を解けるように教育するのは至難である。

こうした事情を理解しない学生は、行政法は難しい、やさしく教えろと要求するし、他の同僚も、なぜやさしく教えられないのだと非難しかねない。

行政法の重要性をやっと理解したが、依然中途半端であるという、制度設計のミスのつけが回ってきたのである。

行政法学者としては、基本科目に値するだけの研究を行い、すでに世間から見捨てられた感のある行政法学を再生しなければならない。
私は来春定年になるので、次世代の方には、しっかり研究してほしいと願うところである。

6、行政法学の再建

 行政法学は、これまで、六法に入れてもらえないことから、司法試験の選択科目でもなくなり、辺境科目扱いされたが、実は国家の法体系は、憲法を頂点に、私人間の法律関係を扱う民事法と、国家の刑罰権の行使に関する刑事法のほか、国家と国民などの法律関係に関する行政法の3つからなるので、行政法は基幹科目である。それ以外の知的所有権法、労働法、社会保障法、経済法、租税法、環境法などはこれらの応用科目である。

この阿部泰隆の年来の(しかし、行政法学者としても斬新な)主張は、今般の司法改革の中で取り入れられつつある。

法科大学院でも、基幹科目として、行政法を含む公法、民事法、刑事法の3科目を教える。したがって、「六法」という言葉は死語にすべきである。

 そうすると、行政法学者は、その責任の重大さを理解して、行政法学をもっと深く正確に研究しなければならない。
そこで、私は、行政法学再建のため「行政法研究フォーラム」を創設しようと努力した。2002年7月6日にその第一回研究会が開催された。

これは来春から、研究会として恒久組織とするという合意がなされている。2004年は7月24日午後、後楽園にある中央大学で、今回の改正行訴法をテーマとして論議された。

なぜ、行政法に素人のわたしが関心を持ったのか?は、プロバイダ責任制限法の施行の時でした。ネットワーク管理者として「どう考えれば良いのだ?」というところで「プロバイダ責任制限法は行政法なのだ」と聞いたことががある種の衝撃を持って入ってきました。

この時期から、法律の構造といったものに強く興味を持つようになりました。
法律の専門家は、弁護士など実務の方と、法学者として法律を作ったり教育したりする側の方に大きく分かれるのですが、わたしには両方に親しくおつき合いいただいている先生がいるので、なかなか楽しいです。

そのよう状況で、今回の「民法の大改正」が出てきたわけですが、大きな流れとして阿部先生の主唱する「法典化された六法科目だけが重要だという錯覚を起こしかねない「六法」という言葉は死語にすべきであり、基幹三法群というべきである。」に近づくのではないか、と思うところです。

六法とは、憲法、民法、商法、刑法、刑事訴訟法、民事訴訟法とされていて、文字通りに解釈すると、社会生活上では、企業(法人)と個人とか大人と子供といった社会上の力(影響力)の差などは法律上は考慮しないとなります。

わたしは、ここらヘンの「活用」が恫喝訴訟とか、モンスターペアレント、行政の門前払いなど「社会の実情に照らしてヘンだろう」という法律的な行為が出てくる遠因ではないのか?と感じています。
「法律には反していないかもしれないが、社会的にはマナー反しているだろう」と言いにくい社会はヘンだと思うのです。
そんな点からも、行政法から公法としてまとめた方が現実的だ、と阿倍先生はおっしゃっているは当然であるとも感じています。

法律が出来て100年以上が経ち、何度も取り上げている名誉毀損の基本的な考え方は時代にそぐわないのではないか?とか、著作権法の元々の権利とは何なのか?といった事についても、今後は話題になっていく時代になってきた、と考えています。

4月 30, 2009 at 10:29 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2008.12.07

情報ネットワーク法学会・研究大会

昨日(2008/12/06)は情報ネットワーク法学会の研究大会に参加してきました。

情報ネットワーク法学会設立の趣旨からキーワード引っ張り出しますと。

  • 情報ネットワーク社会の到来
  • 「情報法」の必要性
  • 情報ネットワーク社会における「表現の自由」
  • 自動実行性
  • サイバーテロ・サイバー戦争
  • 社会変革に対応した法システムの必要性
  • グローバル性
  • 情報ネットワーク社会の特殊性を考慮した対応の重要性
  • 学際的研究の必要性
  • 情報ネットワーク法学会の設立

とあって、情報ネットワーク法学会の設立は

 このような認識を踏まえ,我々は,情報ネットワーク法学会を設立することを決意した。
我々はこれまで,情報ネットワーク法学会の設立に向け,長い時間をかけて準備を重ねてきた。
「学会」という枠組みは,既にその有用性に疑問をもたれるものになってしまっているかもしれない。

しかし,現実世界と情報ネットワーク環境とを架橋するための研究団体にとって合理的で有用な組織形態として,我々は議論と思慮を重ねた上で,あえて「学会」という古い革袋を選択することにした。
この革袋は,いずれ新たな容器へと取り替えられるべきものかもしれない。
だが,我々は,現時点においては,様々な分野の人々が安心して参加可能であり,かつ,真に社会貢献が可能な研究団体を構築するための形式として「学会」という手慣れた社会的方式を採用するのが妥当であると判断する。

我々は,ここに,情報ネットワーク法学会の設立準備を世に公表し,賛同者の参加を募ることとしたい。
2002年5月

こんなわけで、「学会」ではありますが、どんどんと議論する範囲が広がっていて、飽きることがありません。

神田の電機大を会場としましたが、最大では同時に3会場を使っての一日であったので、全てを見ることは出来ませんが、わたしが見たのは以下のようなものです。

●「通信の秘密の数奇な運命」(制定法)高橋郁夫(弁護士)
●「情報手段の拡大による学校の情報の学校外への侵出とそれに基づく
  侵襲性の高い介入情報の発信がなされた事例についての検討」
長谷川元洋(金城学院大学)
●「コンピュータによる論争スキルの教育支援の試み」新田克己(東京工業大学大学院)
●基調講演 『著作物に関する包括契約と補償金制度の公正性
  または63%の法則について』
苗村 憲司 情報ネットワーク法学会フェロー、駒澤大学
●招待講演 『現代における債権法改正の意義』内田 貴 法務省経済関係民刑基本法整備推進本部参与
●パネル・ディスカッション 『法学教育のIT化 大学間連携を視野に入れて』

基本的に法学の勉強会であるわけですが、色々な企業の方も数多く参加していますし、ネット上の有名人も多数参加しています。
しかも、現在の法律について実務的な解釈といった話題はあまりなくて、現実の事件と法律のすり合わせや、法律の改正などについてはレクチャーが多く、上に挙げた講演のずれもが「こんな事があるのだ!」ということばかりで、非常にエキサイティングな一日でありました。

「通信の秘密の数奇な運命」は一年前に勉強会で聞いてびっくりしたもので、情報ネットワーク法学会の会報誌に報告がありますが、ネットワーク管理者にとって常識でありかつ重石のように常に圧力を感じざるを得ない「通信秘密が実はけっこう無茶苦茶だ」という研究報告です。

「情報手段の拡大による学校の情報の学校外への侵出とそれに基づく侵襲性の高い介入情報の発信がなされた事例についての検討」は、中学校でのプロフをめぐる炎上についての生徒・学校の対応などを分析したもので、現実の事件は3時間ぐらいだったので、リアルタイムでは学校は対応できないという現実の一方で、学校は別のところに何か無いかを半年ぐらい調べなかった、とのことでした

「コンピュータによる論争スキルの教育支援の試み」は、すごく面白い研究で、法律に基づく議論をコンピュータによってどこまで分析できるのか?というものでした。
ある条件(法律上の交渉ごと)といった前提では、非常に高度な分析が出来るようです。

12月 7, 2008 at 09:56 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2008.11.29

すでに情報戦に巻き込まれている

読売新聞より「偽装機能を持つ新手のボット

高度な偽装機能を持った新手のボットが発見された。セキュリティー対策会社などに解析されないようにする「アンチフォレンジック機能」を持っていることが特徴だ。「アンチフォレンジック」とは、どんなものなのだろうか。(テクニカルライター・三上洋)

USBやCDから忍び込み「ごみ箱」に偽装

企業向けセキュリティー大手のラック・サイバーリスク総合研究所が「アンチフォレンジック機能を持つボットの出現~攻撃者のターゲットは個人情報から機密情報へ」というリポートを発表した。

それによると、国内では初となる「アンチフォレンジック機能」を持つボットが発見されている。ボットはパソコンに侵入し、ロボットのようにパソコンを遠隔操作する不正ソフトウエアのこと。今回発見されたボットが持つ「アンチフォレンジック」機能とは、解析を阻む機能のことだ。

セキュリティー会社では、企業のパソコンやネットワークが不正ソフトウエアに感染した場合、過去の履歴をさかのぼって分析し、問題のある場所や侵入ルートなどを解析する。この解析を「フォレンジック」と呼んでいる。それに対抗するのが「アンチフォレンジック」で、ボットが解析されないように様々な偽装・対抗手段を取る。

例えば、今回発見されたボットではパソコンの時計を1980年1月1日に戻してしまう。強制的にシステム日時を変更することで、ファイルの最終更新時刻・アクセス時刻などがバラバラになる。このボットは定期的に時計を1980年1月1日に戻すため、どれが新しいファイルで、いつ操作されたのかという履歴を追いかけることが困難になる。解析を阻み、少しでも発見を遅らせるための機能だと言っていいだろう。

さらにこのボットは侵入方法が巧妙だ。従来のインターネット経由の侵入だけではなく、標的とする企業の取引先を経由して、USBメモリーやCDを郵送している(画像1)。このUSBメモリーやCDを開くと、自動実行ファイル(Autorun.inf)によりボットが入り込んでしまう(参考記事:「USBメモリー経由のウイルス感染が拡大」)。またボット本体はデスクトップの「ごみ箱」のファイル名である「Recycle.exe」に偽装されている。「Recycle.exe」は隠しファイルとなっているため、一般のユーザーが気づくのは難しいだろう。

デスクトップ遠隔操作やカメラののぞき見まで可能

ラックによれば、今回発見されたボットには生成ツールが存在しているとのこと。左がその画像(画像2)で、中国語の生成ツールのようだ。ターゲットや欲しい機能をセットするだけで、オリジナルのボットができてしまうソフトウエアである。この生成ツールでは、ボットを作成するだけでなく、乗っ取ったパソコンをリモートデスクトップのように外部から遠隔操作する機能がある。

さらにこのツールでは、パソコンに接続されたカメラやマイクを乗っ取る機能まで持っている。カメラが接続されていると、画像4のように外部からカメラの映像を見られてしまう。ラックでは「カメラをチェックしてパソコンの利用者がいないことを確認したうえで操作できてしまう」と警告している。

このほか、このボットにはキーロガー機能があり、キーボード入力をすべて記録、送信できる。パスワードがすべて筒抜けになる怖い機能だ。

企業の機密情報などを狙っている

今回発見されたボットを分析したところ「侵入後に日本語で記載された重要資料を漁ったような操作記録があった(ラック)」とのこと。犯人は、個人情報の収集だけでなく、企業が持つ機密情報を狙っているようだ。より金になる情報を求めて、高度なボットを作成したと考えていいだろう。

対策としては、まずはウイルス対策ソフトの定義ファイル(パターンファイル)を最新のものにすること。複数台のパソコンを使っている場合は、すべてのパソコンでウイルス対策ソフトが有効になっているか確認したい。1台が感染した場合、ネットワーク経由でほかのパソコンの情報を盗みとられる可能性があるからだ。また企業ではネットワーク内や外向きの通信を監視することを推奨している。ボット感染後の二次被害を防ぐためだ。

今回のようなボットは、発見・解析が困難なため、侵入が長期間に渡る危険性がある。企業だけでなく、個人もしっかりと対策する必要があるだろう。

●参考サイト

ラック・サイバーリスク総合研究所レポートhttp://www.lac.co.jp/info/rrics_report/

(2008年11月28日 読売新聞)

ボット問題は非常に深刻であることが報告されていますが、この記事のようにキーロガーを仕組んだものが、直撃の添付ファイル付きメールで来ていることを聞いて震え上がりました。

元もと、ハッキングはイタズラとして始まったと言えますが、それが銀行のサイトの偽装といった手法で金儲けの手口となりました。
しかし、情報を盗ること自体が目的になるのは容易に想像できるところで、そのためパスワードの管理を厳重にしろ、と言われます。

現在、直撃で来ているメールは重要な会議の参加者を狙っていたりしているので、誰かが引っかかればよいという、イタズラや詐欺といったものから情報戦になりつつあるとしか考えられない。

ボットであるから、感染すると住み着いてしまって手下を再送信する。
極論を言えば今や「ちゃんとやっていれば大丈夫」という時代ではなくなった、ということかもしれません。

11月 29, 2008 at 12:16 午後 セキュリティと法学 | | コメント (0) | トラックバック (0)

2008.11.14

続・2006年度神奈川県立高校全生徒の情報流出

読売新聞より「生徒情報流出、第三者が故意に公開か

2006年度に県立高校に在籍した生徒延べ約2000人分の個人情報流出は、授業料口座振替用コンピューターシステムを開発した日本IBMの下請け業者が県教委との契約に違反して個人用パソコンに情報を保存していたために引き起こされた。
県教委とIBMは13日、下請け業者のパソコンから流出した情報を入手した第三者が、ファイル交換ソフト「シェア」を使って「意図的にネット上に公開した可能性がある」と指摘した。

発表によると、約2000人分のうち、約1400人分は、授業料の口座振替に使う名前や口座番号などの情報。約600人分は住所や氏名、電話番号など。

IBMの下請け業者の社員は、06年3月の契約期間を過ぎてもパソコンに約11万人の個人情報を保存。そのまま使い、08年6月に、ファイル交換ソフト「ウィニー」を介して情報を流出させるウイルスに感染させた。
社員は「作業後に個人情報を消去した」とIBMに報告していたが、今回の調査には「データが残っていることを失念していた」と話したという。

IBMでは、ウィニーを介して流出した個人情報を、第三者が再びネット上でダウンロードできる状態にさせているのではないかとみている。個人情報はシェアにより拡散するおそれがあるが、IBMは「犯罪性がないと警察は動いてくれない」として、流出した個人情報をすべて削除するのは難しいとしている。

県教委が12日に開設した相談窓口には、2日間で「どうして流出したのか」という保護者などから計93件の問い合わせがあった。

県教委では、個人情報が流出した恐れがある06年度に県立高校に在籍した約11万人には書面で謝罪し、流出が確認された2000人分の該当者には電話で連絡するという。
また、被害を防ぐため、県警と協議し口座変更を円滑にできるように金融機関に要請する。

神奈川新聞より「2000人分の流出確認/口座番号など県立高生徒の個人情報

二〇〇六年度に県立高校に在籍していた全生徒約十一万人の個人情報が流出した恐れのある問題で、県教育委員会は十三日、約二千人の口座番号などのデータがインターネット上に流出していた、と発表した。
県教委は流出した恐れのあるすべての生徒や保護者に文書で謝罪し、口座番号の変更を求めていく。

県教委によると十二日午後、授業料の徴収システム開発を委託した日本IBMが、生徒の氏名や住所、口座番号、電話番号を含む個人情報がファイル共有ソフト「シェア」を介して閲覧可能な状態になっているのを確認した。
流出情報が悪用された形跡はないという。

インターネット上では、既に数十人分のデータが大半を消した状態で流出しているのが確認されている。
シェア上のデータも同一人物が流出させた可能性が高いとIBMはみている。

笠原達夫教育局長は「適切に管理する責任があったのに大変申し訳ない。流出が確認された約二千人に対してはできるだけ早く事実を伝え、対応をお願いしたい」と述べた。
IBMは「現状では他の流出はないと思う」と話している。

今回、流出したデータは、システム開発に携わった日本IBMの下請け業者の男性社員のパソコンに保存していたものと同一だった。ファイル共有ソフト「ウィニー」を介してウイルスに感染していた。

2006年度神奈川県立高校全生徒の情報流出の続報であるが、なんだか意味不明ですね。

  • 県教委とIBMは13日、下請け業者のパソコンから流出した情報を入手した第三者が、ファイル交換ソフト「シェア」を使って「意図的にネット上に公開した可能性がある」と指摘した。
  • IBMでは、ウィニーを介して流出した個人情報を、第三者が再びネット上でダウンロードできる状態にさせているのではないかとみている。
  • 被害を防ぐため、県警と協議し口座変更を円滑にできるように金融機関に要請する。
  • 流出情報が悪用された形跡はないという。
  • IBMは「現状では他の流出はないと思う」と話している。

教育委員会も、IBMも情報セキュリティという観点では珍しいほど完璧に失格だと思うのだが・・・・。

リスク評価を公表して比べるとかしないと、何をやったのか理解できないのだろう。

11月 14, 2008 at 12:38 午後 セキュリティと法学, 事故と社会, 個人情報保護法, 教育問題各種 | | コメント (2) | トラックバック (1)

2008.11.12

2006年度神奈川県立高校全生徒の情報流出

神奈川新聞より「最大11万人の県立高生徒の個人情報流出か/PC感染で住所、氏名、口座番号も

二〇〇六年度に県立高校に在籍していた生徒の個人情報がインターネット上に流出した可能性が高いことが十一日、分かった。コンピューターシステムの開発に携わった業者のパソコンから最大で全生徒約十一万人分のデータが流出したとみられ、県教育委員会は確認を急いでいるが、いまのところ個人情報が悪用された形跡はないという。

県教委によると、流出した可能性のあるデータは生徒の住所、氏名、授業料の振替口座番号、電話番号など。二〇〇五年度に県教委が授業料の徴収システムを開発する際、開発を担当した日本IBMの下請け業者の男性社員のパソコンにあったデータと同じ二十~三十人分の個人情報の画像がインターネット上に大半をぼかした状態で掲載されていた。

データは契約終了後に消去しなければならなかったが、男性社員は私物で使っていたコンピューター内にデータを残したままにしていた。ことし六月になってファイル共有ソフト「ウィニー」を介してウイルスに感染していたことが確認されている。

九月に県庁へ匿名の情報があったことを受け、県教委が委託先の日本IBMに調査を指示した。日本IBMの調査によると、今のところそれ以外の生徒の情報流出は確認できていないという。

県教委は発表が遅れたことについて「発表することで検索回数が増えて、仮に流出していた場合にデータが表面化し、二次被害の恐れがあったため」と説明している。ただ、「第三者がデータを持っている可能性が高い」と警戒している。

日本IBMは今後もデータが流出していないか二十四時間態勢で監視を継続。もし流出が確認された場合、県教委は口座番号を変更するなどの対応を生徒に要望するとしている。

日本IBMは「業務委託先で判明した不適切な情報管理について深くおわびする。今後、業務委託先での情報管理の徹底を一層強化し、再発防止に努める」とのコメントを出した。

FNNニュースより「2006年に神奈川の県立高校に通っていた全生徒の個人情報がネット上に流出のおそれ

神奈川県の県立高校に2006年に通っていたすべての生徒の個人情報が、インターネット上に流出しているおそれがあることがわかった。

神奈川県教育委員会によると、情報流出のおそれがあるのは、2006年に神奈川県の県立高校に通っていたすべての生徒およそ11万人分で、名前や住所、それに授業料納付などに使用していた口座番号などが含まれるという。

県では、授業料徴収のシステムを日本IBMに委託していて、システムを作成した下請け会社の社員のパソコンが、ファイル交換ソフト「Winny(ウィニー)」を介してウイルスに感染し、2008年9月には、流出した情報の一部がウェブサイトの掲示板に掲載されていたという。

それ以降、個人情報の流出は確認できていないということだが、県やIBMでは引き続き情報流出がないか監視を続けている。

開発で生データを使うのは禁じ手であります。

なんで、県 → IBM → 下請け → 担当者 と生データが渡ってしまったのかの方が重大問題でしょう。

県も、IBMも事件を矮小化しようとしているように見えますね。
情報管理の徹底をいっそう強化し、って生データを直接開発の末端まで回した時点で、落第であって強化以前の問題、早い話が「今後はこの種の開発業務を引きうけません」と言うぐらいしか対策がないと思うのだが。

11月 12, 2008 at 09:10 午前 セキュリティと法学, 事故と社会, 個人情報保護法, 教育問題各種 | | コメント (0) | トラックバック (0)

2008.11.01

サイバー戦争

読売新聞より「ネットが「戦場」に…国境越えウイルス、大量データ攻撃

「第63回国連総会における麻生総理大臣一般討論演説(最終版)」。麻生内閣誕生直後の9月下旬、こう題したメールが防衛省の主だった幹部に一斉に送られてきた。送信元は「内閣広報室」。

「またか」。防衛省幹部は添付ファイルを開かないまま「ゴミ箱」へ捨てた。「これは内閣広報室を装った『なりすましメール』。ここ数年増えてるんです」

同省の職員に外部から届くメールの4割がウイルスつき迷惑メール。その数は1日1万通に達する時もあり、多くは

実在する組織や職員、OBらの名前をかたる

。仕込まれているのは、開くと自動的に外部との通信を始め、情報を抜き取るウイルスだ。情報の行き先の多くは中国だった。同省幹部は「メールの発信者が省の部内情報を狙っているのは明白」と語る。

「情報化戦争が21世紀の主要な戦争形態となる」。中国政府の公式サイトに2006年2月、国営新華社通信のこんな記事が掲載され、日米の防衛関係者を震撼(しんかん)させた。「人民解放軍にサイバー戦の専門部隊があるのは有名」と防衛省幹部は話す。防衛白書も今年初めて「安全保障への影響を慎重に分析する必要がある」と言及した。

「中央省庁でもっとも多く攻撃を受ける」防衛省では、24時間態勢で迷惑メールをチェックする地下部隊も存在する。だが、ファイル交換ソフトによる情報流出も記憶に新しく、危機管理能力が問われている。

◆ロシアVS対立国「世界初のサイバー戦争」◆

北京五輪が開幕した今年8月8日、グルジアの南オセチア自治州を巡り、同国とロシアが交戦状態に入った。米露関係にもひびを入れたこの衝突のもう一つの「戦場」はネット上だった。

グルジアの外務省や国防省には、大量のパソコンを乗っ取り一斉にデータを送りつけるD―DOS攻撃が仕掛けられた。データは2週間に15億件にのぼり、基幹システムは断続的にダウン。同国の議会サイトが書き換えられ、サアカシビリ大統領の顔写真の横にヒトラーの顔が並べられた。

D―DOS攻撃は昨年4月、ロシアと緊張関係にあるエストニアも受けた。同政府は「ロシア政府の関与は明らか」との声明を発表、「世界初のサイバー戦争」と注目された。ロシア政府は今も関与を認めていないが、攻撃の一つがロシア大統領府から発信されていたことがNATO(北大西洋条約機構)の調査で明らかになっている。

米国のウイルス対策会社マカフィーのアナリスト、グレグ・デイ氏(35)はこう分析する。「ロシア政府の関与は分からない。ただ、エストニアに反発する一部のロシア人が攻撃に参加したのは間違いなさそうだ」

サイバー攻撃は国家が戦略的に使うばかりでなく、愛国心に支えられた「ゲリラ戦」もある。

米ラスベガスのホテルで開かれたハッカーの集まりで、30歳前後の韓国系米国人に出会った。ハンドルネーム「マスターSE」と名乗るこの男は05年ごろ、教科書問題に取り組む日本の市民団体のサイトを「恥を知れ」と書き換えたと語る。「過去の侵略に対し、サイバー社会でお返しをしただけ」。ここにも愛国心にかられたサイバー戦の現実があった。

◆目当ては金、増殖し続けるハッカー◆

その集まりは今年8月、米国ラスベガスのホテルを3日間ほぼ借り切った形で開かれた。「DEFCON(デフコン)」。米国の防衛準備態勢を示す言葉から命名されたそのイベントは、毎夏恒例のハッカーたちの祭典だ。16回目を迎えた今年は、世界中から8000人以上のハッカーが集まった。最先端のハッキング情報を仕入れようとセキュリティー会社や米連邦捜査局(FBI)、時には日本からの捜査関係者も紛れ込む。

会場では、不用意に無線LANを使うとすぐパスワードやIDをハッキングされ、壁に「WALL OF SHEEP(このおバカさんを見よ)」という文言とともに張り出されることもある。相手のサーバーを互いに攻撃し、ハッキングに成功した者が勝ち進むコンテストも名物だ。

ホテル内の講演会では犯罪に直結する情報も披露される。今年はボストンの地下鉄のICカード乗車券を偽造し、ただ乗りに成功したハッカーが報告する予定だったが、米連邦地裁の命令で直前に中止された。

「かつてのハッカーは、自分の技術で社会を驚かすことを楽しむ『愉快犯』だったが、今は金もうけばかり」。米国のウイルス対策会社マカフィーのアナリスト、トラフ・ディロ氏(37)はこう話す。

これまで5000以上のウェブサイトを書き換えたという自称イラン人ハッカー「アリ」は、書き換えたサイトの画面に自分のメールアドレスを載せる。その理由をメールで尋ねると「サイトを見た人にウイルスを販売するため」と返信してきた。売っているのは、サイバー攻撃をするための「ボットネット」など自分で作った違法ツールだ。

ウイルス専門の販売サイトも増えている。

「XAKEP」。ロシア語で「ハッカー」を意味するこのサイトにはウイルスの値段表がずらりと並ぶ。「トロイ=15wmz」「Mパック=20wmz」。wmzは仮想通貨の単位、「トロイ」はパソコンを外部から不正に操作できる「トロイの木馬」を指し、日本円にして約1800円。2400円の値がつけられた「Mパック」は簡単にサイバー攻撃ができるソフトで、ロシアを拠点に活動する犯罪組織「RBN(ロシアン・ビジネス・ネットワーク)」が開発したといわれる。

RBNの活動を追うロシアのウイルス対策会社カスペルスキー研究所のセルゲイ・ゴロワノフ主任研究員によると、RBNは2006年ごろから活動を開始。同研究所が確認しただけでも、ハッキング被害は10億円に上る。20人程度の中核的メンバーが、ウイルス開発、販売、使用などのチームを束ねるが、チームが違えば互いに名前も顔も知らないという。

ゴロワノフ氏は、「組織化と分業化が最近のハッカーの特徴。捜査の壁を厚くしている」と指摘する。

線香を持ったパンダが画面に現れると、パソコン内の情報が抜き取られてしまうウイルス「熊猫焼香」。日本では「お祈りパンダ」と呼ばれ、中国で100万台以上が感染したこのウイルスを販売したとして中国当局に逮捕されたのは23歳のコックで、システムの知識はほとんどなかった。

かつて高度な専門知識を持つ技術者ばかりだったハッカー。今は、金目当てだけの集団も取り込み、拡大し続けている。

(2008年11月1日03時04分 読売新聞)

実はこの話は、ネットワーク・セキュリティー・ワークショップ in 越後湯沢で金曜日(10月10日)の車座会議で教えてもらっていました。

読売新聞の記事では、「情報を抜き取るウイルスだ」となっていますが、具体的にはキーボード入力を盗むキーロガーだとのことです。

新聞記事のように「議事録」といったワードなどの添付ファイル付きのメールにウイルスを仕込んであるわけで、手口としてはフィッシングサイトと同じようなものでしょう。

フィッシングサイトに誘導するDMといったものが、不特定多数にバラまかれるものだと思っていたわたしや、車座会議で聞いていたほかの十人程度も言葉を失いました。

現実に当日行われた会議の記事録として、議事録を出すであろう事務局名義などで、参加者にのみ送られてくる、ウイルス付きメールであって、発信者は別人。

こんなものをどうやって防御することができるのか?

車座会議の席でも「誰がやっているのだ?」という話はちょっとは出ましたが、ほぼ全員が専門家なので、やじ馬的な議論にはならず、また具体的に誰もが実行できる対策も今は無いので、事実の報告に止まりました。

わたし自身は、これはすでにサイバー戦争の一部なのだと思います。

ただし、おそらくは現状で盗んだ情報で何かをするのは、一つの会議の参加者が持っている情報から、その会議のメンバー全体に、その後はその方面全体にと、盗聴できる範囲を広げている段階ではないか?と考えます。
つまり、直接にネットバンクで金を盗み取るといったことは、今はやらない。

現実のサイバー戦争が発生すると、少しだけ盗みなどを実行して、ネット利用が危険であると喧伝し、ネット利用を大幅に減らす。
つまりは戦争で敵国ににせ札をバラまいて、経済の破たんを狙うといったことと同じく、国家の信頼を揺るがすことを狙うのだろうと予想しています。

先のことはとにかく、現時点でも「添付ファイル付きのメールを使わない方が良い」などと言い出したても、現実には情報交換の退化になるというべきであって、とてもできません。
最低限としてアンチウイルスソフトをキチンと働かせるぐらいしか誰にでもできる対応策は無いのですが、非常に怖いことになってきました。

11月 1, 2008 at 10:41 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2008.10.11

湯沢シンポジウム

ネットワーク・セキュリティ・ワークショップ in 越後湯沢に参加してきました。

10月9日(木)~11(土)で開催されているのですが、わたしは10日だけの日帰りで参加です。

プログラムはこんな感じです。

10日のプログラムはいずれも興味深いものでした。

白浜シンポジウムや情報ネットワーク法学会の勉強会でも感じるところですが、法律関係では原理的にグレーなところがあるのに対して、コンピュータ技術系統の話ではとりあえずシロクロをつけないと話が進まないところがあって、その微妙な感覚がこの種のシンポジウムに参加して色々な業界の方のお話を聞く楽しみになっています。

秋山先生の報告は、医療現場でのIT利用の結果についての膨大な実証データの報告でしたが、医療サイドそれも大病院となると、人の命の問題でシロクロで情報を整理するのだ、気づきました。

町村先生の講演は基本がプログ炎上を題材にしてご自身のプログの例から始まりましたが、よく知っている内容なので、いささか笑いをこらえるのが大変でありました。

昼間の講演が終わると、夕食後に「車座会議」と名付けられた、分科会が複数開かれます。
わたしは、京都大学の上原先生が座長の「情報セキュリティ教育を語ろう」に参加しました。

そこで出たのが、マルウエアが増えているという話で、誠にビックリするような話でした。
一番の問題は、アンチウイルスソフトが検出しないということでしょう。

どちらかというと特殊な話だと捉えていましたが、かなりヤバイ状況になってきています。
個人レベルでの対策が必要になるかと思います。

10月 11, 2008 at 11:59 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2008.06.18

発信者情報開示手続の改善について

今話題の(^_^;)小倉秀夫弁護士のブログ la_causette にわたしの興味を強く惹く意見がアップされました。
発信者情報開示の運用の見直しの必要性

発信者情報開示の手続に関しては,そろそろ,開示請求者側の代理人として,主たるアクセスプロバイダやレンタルサーバ業者(商用ブログ事業者やレンタルサーバ事業者を含む。),巨大電子掲示板管理者等に,運用の改善を求めた方が良いかなという気にはなっています。壇先生や久保先生などもお誘いした方が良いかもしれません。

とりあえず,弁護士が代理人についているのに本人の写真付き身分証明書の写しの交付を要求するのはやめてもらいたいし(本人から委任を受けていないのに委任状を偽造してまで発信者情報の開示請求をするなんてリスク犯しませんよ),投稿者のメールアドレスとして捨てアドが登録されていて意見照会ができない場合や,意見照会の結果真実性の抗弁の存在を基礎づける資料の提出がなかった場合には,速やかに発信者情報の開示に応じていただきたいものです。意見照会の結果のコメントが「申し訳ありません。発信者情報だけは開示しないで下さい」なのに,「当該犯罪を犯していないとの公的な証明書が提出されない限り,権利侵害が明白とは言えないので,開示には応じられません」という回答はもう止めてもらいたいものです。

また,IPアドレスと投稿時間しか把握できていないレンタルサーバ業者等について言えば,発信者情報の開示請求を受けたら,当該投稿に用いられたIPアドレスからアクセスプロバイダを探し出して,当該投稿にかかるアクセスログを消去せずに保管しておくようにアクセスプロバイダに連絡し,そのような連絡を受けたアクセスプロバイダは当該投稿のなされた時間帯に当該IPアドレスの割り当てを受けていた人物を特定するのに必要な限度でアクセスログを切り分けて保管するようにしてもらいたいものです。

ブログ事業者等には,匿名プロキシサーバを経由してのコメント投稿を禁止するようなシステムを採用してもらいたいものです。ブログのコメント欄で名誉又は名誉感情を毀損されるのはブログ主だけとは限らず,むしろ第三者の名誉又は名誉感情がコメント欄で毀損される例も少なからずあるので,匿名プロキシサーバ経由のコメントの投稿を認めるか否かをブログ主の選択に委ねるのも如何なものかという気がしつつあります。

小倉弁護士の意見は良く言っても少数派ですから、話題になるというか敵も増えちゃうようですが、わたしはリアルな知り合いで色々と話もしている仲ですから、面白い意見を言う方と捉えています。
このエントリーもなかなか興味深いものです。

最初にわたしの基本的な考え方を述べますと、「発信者情報開示の運用が問題だ」というところはまったく同感で、見直しというかいわば洗練は不可欠であろうと思っています。
この部分については、小倉弁護士が「そろそろ見直し」との意見であるなら、わたしはもっと過激で「最初から分かっているダメなところ」であると思います。

いくつか引っかかったところをネットワーク管理者の立場から意見を述べます。

弁護士が代理人についているのに本人の写真付き身分証明書の写しの交付を要求するのはやめてもらいたい

わたしは実行することはしませんでしたが、同じ意見を出した事があります。
今は、わたしは絶対にそういう意見を出さないでしょう。

この部分は、弁護士さんにはご理解いただけないだろうと思います。
その現れが次の部分です。

本人から委任を受けていないのに委任状を偽造してまで発信者情報の開示請求をするなんてリスク犯しませんよ

この部分は、わたしは今では弁護士さんの仕事をかなり理解していますから、同意できるのですが以前はそう考えなかった。
要するに「本物の弁護士かどうか分からない」とか「弁護士がウソを言うのではないのか」といった、ある意味で当然の疑念が先に出るのです。
弁護士を名乗ってそういうことをするのは、弁護士にとってとんでもないリスクになる、ということ自体が知られていません。

だから「そんなリスクは犯しませんよ」ではまったく説得力がないのです。

【追記】

もう一つ、弁護士さんは当然のこととしているのに、庶民が理解していないことがありました。

弁護士は依頼人の立場で対応する

冷静に考えると、誰でも分かることですが庶民が誰でもきちんと理解してはいないでしょう。むしろ「弁護士は法律の専門家なのだから常に中立の立場だろう」と思っているところがあります。

このために、通知を受け取った側が「これは弁護士を自称したクレーマーではないのか?」と反射的に思ってしまう。
もちろん、クレーマーという表現がまずくても苦情をいうことに代わりはないわけですが、「弁護士は仲裁して当然だろう」とどこかで思うわけです。

このために、最初に「これは本当に弁護士のいうことか?」と反応してしまうわけで、その現れが「別途証明をよこせ」になるのでしょう。
こんな事だから「弁護士だからリスクを冒しません」はまったく世間には知られていないと考えるべきで、これを元に強調しても話は進まないでしょう。

むしろここは逆で、弁護士会からの保証書のようなものをセット出だすような方向で考えた方が現実的かもしれません。
一番困るというか途方に暮れるのが「弁護士本人以外のどこに相談すればよいのか?」分からない。なのです。

投稿者のメールアドレスとして捨てアドが登録されていて意見照会ができない場合や,意見照会の結果真実性の抗弁の存在を基礎づける資料の提出がなかった場合には,速やかに発信者情報の開示に応じていただきたいものです。

この二つを一つにされてしまうと、困ってしまうのですが

「意見照会ができない場合」に発信者情報開示をするというのは、発信者情報をプロパイダが持っているけど、意見照会したら返事がない。という場合ですよね?
これは、プロバイダがどうこうできることではないのだから、プロバイダはさっさと発信者情報を開示するべきでしょう。
正直な話が、こういう対応をするプロバイダには「何を考えているのだ?」と聞いてみたいところです。

「意見照会の結果真実性の抗弁の存在を基礎づける資料の提出がなかった場合には,速やかに発信者情報の開示に応じていただきたい」

これをプロバイダに求めるのは、無理でしょう。
確かに実務的には難しい問題で、例えば全くの白紙を内容証明郵便で送りつけてきた,なんて極端なケースにプロバイダが対応できるものか?と想像してみると、頭を抱えるだけですよ。

だからと言って「じゃ、発信者情報開示にするぞ」と言えるのか?というと、プロバイダが発信者にペナルティーを課したことになるわけで、それは出来るものなのだろうか?
むしろ、実務的にはプロバイダの会員規約に違反していると判定する方が、プロパイダの立場としては優先するだろう。
その結果として、問題の発言をプロバイダが削除する、というのは実例があります。

プロバイダに取っては、プロバイダ責任制限法と会員規約の二つが大きな柱で、その背景に著作権法などがあるといった理解をしているのでしょう。
このために、プロバイダに取っては、このレベル(?)の問題に対して、プロバイダ責任制限法で行くか、会員規約で行くか、を決めるのは、大きな判断の分かれ目です。。

IPアドレスと投稿時間しか把握できていないレンタルサーバ業者等について言えば,発信者情報の開示請求を受けたら,当該投稿に用いられたIPアドレスからアクセスプロバイダを探し出して,当該投稿にかかるアクセスログを消去せずに保管しておくようにアクセスプロバイダに連絡し,そのような連絡を受けたアクセスプロバイダは当該投稿のなされた時間帯に当該IPアドレスの割り当てを受けていた人物を特定するのに必要な限度でアクセスログを切り分けて保管するようにしてもらいたいものです。

この追跡不可能問題は、一番最初からありましたよ。
わたしは最初はプロバイダの説明を聞いても「なぜ追跡できないのか」理解できませんでした。

プロバイダ責任制限法の最初の説明の時に「追跡できます」と素直に聞いていたから、現実にぶつかってビックリしましたが、考えてみると要するに一種の名簿のようなものですから、データを押さえないわけです。
割と「分からなくする」「データを持たない方が良い」になっているのですね。
実際に、発信者情報開示請求が起きた頃には、データの整合性が分からなくなっている。

こういった傾向は、個人情報保護法などとの関係で、今後もどういう方向に向かうのかなんとも言いがたいですね。

少なくともプロバイダが「分かりました。データを保存します」と言っても実効性はないでしょう。

ブログ事業者等には,匿名プロキシサーバを経由してのコメント投稿を禁止するようなシステムを採用してもらいたいものです。ブログのコメント欄で名誉又は名誉感情を毀損されるのはブログ主だけとは限らず,むしろ第三者の名誉又は名誉感情がコメント欄で毀損される例も少なからずあるので,匿名プロキシサーバ経由のコメントの投稿を認めるか否かをブログ主の選択に委ねるのも如何なものかという気がしつつあります。

この部分は、実務的にはよく分かるし「そうやった方が良いのかもね」と思わないでもないですが、一律規制のような考え方では実行しがたいですね。
もし、実施しようとした場合は、匿名プロキシーお断りなわけで、これ自体はあっちこっちであることだから、問題ないでしょうが、それをブログ事業者が実施するというのはやはり無理じゃないかな?

じゃあ当初の「発信者情報開示手続の実務の改善」はどういう方向で進めるべきなのか?と言うと、ネットワーク管理者がプロバイダ責任制限法について勉強をすること、それに合わせて弁護士さんや総務省などもネットワーク管理者に実務についての指導をすること、が必要だと思います。

現実には、ネットワークに強い法務社員がいるような会社ぐらいしか、まともに対応できないのです。

プロバイダ責任制限法は元々、法律判断の一部をプロバイダ等に任せるという側面があるわけですが、その判断基準の実務教育なんてのは、上記のような「元々出来る会社」ぐらいしかやっていないわけです。
それ以外の最終的には個人までのネットワーク管理者は蚊帳の外のまま、現在に至っているのですから運用面がいつまで経っても改善されなくて当たり前、と言えます。

いわば法律の運用という観点で見れば、超根本的とも言えるところですが、それができていないのは現実です。

6月 18, 2008 at 09:51 午後 セキュリティと法学 | | コメント (1) | トラックバック (0)

2008.02.18

歌手のための著作権延長論・EU

日経新聞より「音楽著作権の保護期間、EUが大幅延長を検討

歌手や演奏家らの音楽著作権をめぐって、欧州連合(EU)の欧州委員会は保護期間を大幅に延長する方向で検討に入った。
今夏をメドに現行の50年から95年への延長をEU加盟国などに提案する。

平均寿命が延びるなか、若年から活動を始める歌手らが高齢になって著作権収入を失う恐れがあるためだ。

EU域内では歌手らが著作権収入を得られるのは音楽の録音後50年まで。
一方、作曲家の著作権の保護期間は約70年で、マクリービー委員(サービス担当)は「歌手らの著作権の保護期間を50年に限る理由はない」と指摘した。

著作権法の実務には詳しくありませんが、作曲家の著作権は死後何年かになっているのでしょう。それに対して歌手が録音した時点から50年というのは、映画が公開されてから何十年、といった規定があったと思いますがそれと同様かな?

歌手は直感的に分かりやすいですが演奏家はどうなのだろう?特定の演奏家を区別できない場合も多いですよね。

さらに著作権料という意味ではどういう配分になっていてそれは円滑に処理されているのか?

保護期間の延長だけで問題の多くが解消するとはちょっと思えないのですが・・・・・。

著作権法が現実に合わなくなってきていて、今となっては乱暴すぎる法律という印象が強いです。
全体的な見直しをするべきでありましょう。

2月 18, 2008 at 10:45 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2008.01.06

ネットバンキングの弱点は公表するべし

サンケイ新聞より「ネットバンキングであわや被害 海外サーバー経由で追跡に限界

京都市内の男性が昨年、ネットバンキングで預金を引き出されそうになる事件があり、京都府警が捜査したところ、海外のサーバーを経由して何者かが男性になりすまして別口座に預金を送金、現金引き出し役を不特定多数に送ったメールでスカウトするなど、巧妙な偽装工作が行われていたことが分かった。

国境の壁にも阻まれて犯人の正体はつかめないままで、府警幹部は「ネットバンキングは利便さの裏側で国際的な犯罪集団の標的にされている」と警鐘を鳴らしている。

調べでは、被害者は京都市在住の会社社長の男性。昨年3月に預金口座の残高が数百万円も減っていることに気づき、府警に相談。何者かが男性のIDとパスワードでネットバンキングにログインし、預金を別口座に振り込む手続きをしていたことが分かった。

振込先の口座の捜査から、東京都内に住む外国人留学生らが現金を引き出そうとしていたことが判明。
留学生らは海外の見知らぬアドレスから引き出し役を募集するメールが送りつけられたといい、任意の事情聴取に対し、「依頼者の正体は知らないが、報酬を約束されて引き受けた」と話した。犯罪の認識がなく逮捕は見送られた。

一方男性のパソコンは、保存された情報を勝手に外部に送る「トロイの木馬」系ウイルスに感染しており、ネットバンキングのIDが海外サーバーに送信されていた。

犯人は、ネット接続中の他人のパソコンに侵入して一時的に乗っ取っては次のパソコンに侵入することを繰り返し、最終的に盗んだ男性のIDでネットバンキングにログインしたとみられる。経由されたパソコン所有者は「犯罪に悪用されたことに全く気づかなかった」と話したという。

府警は外国人の関与を疑っているが、複数のパソコンを経由して犯人までたどるのは極めて困難。
犯人がどの国に拠点を置くか、グループか単独犯かも不明という。ネット上の解析で引き出し役の勧誘メールは膨大な数が発信されたことを確認しており、今回は氷山の一角とみられる。
男性は実際に振り込みが行われる銀行の営業日までに気づき、現金被害はなかったという。

京都府警幹部は「関係国に捜査員を派遣したいが、捜査権がない海外では限界がある」とし、「通信を記録したログの保存期間はプロバイダー任せになっていて、短いことが多い。内偵に数カ月かかる場合、ログが消去され犯人を追跡できないことがよくある」と、現状での捜査そのものの限界も指摘している。

恐ろしいですね。リモートアクセス状態になっていたのかな?

サンケイ新聞は続けて「ネットバンキング犯罪、倍々ペースで増加」を書いています。

ネットバンキングを狙った犯罪はここ数年、倍々ペースで急増しており、銀行はセキュリティー強化を図る一方、政府は国境を越えた通信ログの証拠保全などが可能になるサイバー犯罪条約の締結を目指すなど、対策を急いでいる。

ネットバンキング犯罪をめぐり、金融庁が金融機関から被害報告をまとめた結果によると、年度統計を取り始めた

平成17年度49件
18年度103件
19年度は上半期だけで137件

に達しており、前年度から2倍以上にのぼることはほぼ確実となっている。

サイバー犯罪条約は加盟国の間で国境をまたいだ通信ログの保全や差し押さえ、通信傍受などが可能になるため、増え続けるネット犯罪を取り締まるハイテク捜査の大きな武器になると期待される。一方、通信の秘密やプライバシーが侵害される懸念もあるが、国内では締結に必要な国内法の整備が進んでいない。

こうした状況に対し、都銀などの金融機関は利用者に個別の乱数表を渡し、振り込みなどの際にパスワードとは別に乱数表に基づく数けたの数字を入力させたり、ログインする度にパスワードが変化する方法を導入したりするなど、セキュリティー強化を進めている。

サイバー犯罪に詳しい甲南大学法科大学院の園田寿教授(刑法、情報法)は「ネットバンキングは今後さらに普及するだろうが、銀行のセキュリティーが強固になっても、利用者側がIDやパスワードを盗まれては元も子もない。パスワードなど重要な情報を保存したファイルはロックをかけるなど、利用者の意識向上も重要」と指摘する。

本当に倍々で増えてますね。

サイバー犯罪条約は国内法の整備にどうしても躓きますから、現実的に有効に機能するためには「国際警察」のようなものが必要になるのじゃないでしょうか?
冗談抜きでEEスミスの「銀河パトロール隊」になってしまいますが・・・・・。

銀行も「自宅で簡単に」としか言わないのは問題だと思いますね。
現実に「PCが壊れた」「不調だ」という相談が来たり見たりしているわけで、そういう危なっかしい機械にお金の管理を任せること自体が問題だし、銀行が言う「自宅で簡単」は「自宅に銀行並みに管理されている機械を用意しろ」だからちっとも簡単じゃないと思うんですがねぇ。

やはり、どうしてハッキングされたのかは、警告の意味も含めて「どの銀行のどういうシステムの、どの弱点を突かれた」と公表するべきだと考えます。
それによってその銀行の評価は一時的には下がるでしょうが、対策が進歩するし、ユーザも進歩する。
結果的によりセキュアーになると思いますから、やはり公表するべきです。

1月 6, 2008 at 12:52 午前 セキュリティと法学, 事件と裁判 | | コメント (2) | トラックバック (0)

2008.01.04

民主党・プロバイダに削除義務の法案

日経新聞より「有害サイト削除、民主が独自法案・プロバイダーに義務化

民主党は18歳未満の若年者が犯罪に巻き込まれるのを防ぐため、インターネット上の違法・有害サイトの削除をプロバイダーなどに義務付ける法案の国会提出に向け、党内調整を始めた。

自殺勧誘や、児童買春の温床とされる出会い系や児童ポルノなどに簡単にアクセスできないようにする狙い。
与党との共同提出も視野に入れており、今月召集の通常国会での成立を目指す。

検討中の法案では、サイト開設者やプロバイダーは違法情報を発見し次第、削除しなくてはならないと規定。
違法かどうか明確でなくとも、有害な恐れがある場合は児童が閲覧できなくなるような措置を講じるよう義務付ける。
罰則を設けることも視野に入れる。(09:19)

法的根拠が明確でなくても義務

なんてことを、大政党が言い出して良いというのか?

このニュースは「弁護士 落合洋司 (東京弁護士会) の 「日々是好日」」の記事「有害サイト削除、民主が独自法案・プロバイダーに義務化」で知りました。落合弁護士は

「違法情報」と一口に言いますが、違法性が明らかなものから、非常に微妙なものまで、様々であり、それらを一切合財、「発見し次第削除しなければならない」と義務付けて本当に良いのか、プロバイダ等に過度な負担をかけることにならないのか、ということは検討すべきでしょう。こういった法律ができれば、削除してほしい側は、法律を盾にとってかなり厳しくプロバイダ等に削除を迫ることになると予想されますが、微妙な案件に関し、削除すべきかどうかの狭間で苦悩する人々が増えることが予想されます。

罰則まで設けるのであれば、特にこの点については十分な考慮、配慮が必要でしょう。

とコメントされています。

実際に発言削除などをやっていた側からすると「基準を事前に決めることすら難しい」と思いますし、単語や言い回しなどに注目してもその発言が出る場所によって評価も変わります。

いったいどうやって、こんな事を義務→罰則することが出来るのでしょうか?
もう、この民主党案は実行しようすると、想像を絶する問題点が続出することが目に見えてます。どうやって法律にするというのでしょう?

1月 4, 2008 at 11:09 午前 セキュリティと法学 | | コメント (0) | トラックバック (1)

2007.12.03

地方新聞だけが名誉毀損とされた事件の控訴審

毎日新聞より「東京女子医大・手術事故:配信記事掲載で名誉棄損 責任の所在、どこに!?

11日から控訴審--1審は地方紙のみに賠償命令

共同通信社が配信した記事について、掲載した地方紙のみに名誉棄損での賠償を命じる判決が9月に東京地裁であった。
定評ある通信社の配信記事を掲載した場合、新聞社は免責されるとの主張を判決は退けた。
これに対し、共同や地方紙は、多様な言論を封じ、国民の知る権利を阻むものだとして猛反発している。
11日に東京高裁で控訴審が始まり、改めて「配信記事の責任」の所在が問われる。
【本橋由紀、北村和巳】

地方紙「知る権利大きく損なう」/共同通信「報道の萎縮につながる」/識者「配信制度に理解がない」

裁判は東京女子医大病院で心臓手術を受けた女児の死亡事故をめぐり、業務上過失致死罪に問われ、1審無罪(検察側控訴)となった医師が起こした。
判決は、医師の基本動作ミスが事故を招いたとする配信記事(02年7月)について「警視庁の記者会見に基づくなどしており、報道内容を真実と信じる相当の理由がある」として、共同の賠償責任を否定した。

その一方で、

  1. 定評ある通信社からの配信を受けたことだけを理由に、記事が真実と信じる相当の理由があったとはいえない
  2. 共同通信の定款施行細則で、配信記事には配信元の表示(クレジット)を付けると規定されているのに、そのクレジットを付けずに自社が執筆した記事のような形で掲載している
として、掲載した上毛新聞社(前橋市)▽静岡新聞社(静岡市)▽秋田魁新報社(秋田市)の3紙に計385万円の賠償を命じた。共同によると、この記事をクレジットを付けて掲載した新聞はなかった。

実情無視と批判

堀部政男一橋大名誉教授(情報法)は「今回のような形で地方紙が責任を負わされるのであれば萎縮(いしゅく)して、読者の知る権利に応えられなくなる」と話すが、地方紙側はどう受け止めているか。

当事者の上毛新聞は「通信社とその加盟社の実情を無視した判決。認められれば配信制度や地方紙の根本にかかわる」と主張する。

他の加盟社も「覆ると思うが、仮に確定すれば知る権利、言論の多様性への悪影響は計り知れない」(河北新報)▽「加盟社は多くの読者を抱え、世界で起きるニュースを提供する責務があり、仮に確定すれば、表現の自由を大きく侵害する」(信濃毎日新聞)▽「通信社制度の存在意義を否定し、国民の知る権利を大きく損なう」(北海道新聞)▽「報道の自由を制限し容認しがたい」(西日本新聞)など、民主社会の根幹にかかわる問題だと指摘する。

背景にあるのが、通信社と地方紙など加盟社との密接な関係だ。

共同は社団法人で、NHKやブロック紙も含め加盟する計57の報道機関は「社員」となっている。運営方針などを決めるのは最高の意思決定機関「社員総会」や社員から選ばれた理事による理事会だ。通信社とは単なる契約関係ではなく、同じ共同体ということになる。

共同の配信記事に誤りや名誉棄損の部分があった場合の責任について、共同通信の安斉敏明・総務局総務は「配信した共同にある」と明言。加盟社も「責任は配信側にあり、地方紙は免責される」との意見でほぼ一致する。地方紙が中心の米国では、この「配信サービスの抗弁」の法理は一般的だという。

この考え方に沿い、加盟社は地域の独自ニュースと世界規模、全国規模のニュースを紙面に掲載できる。新聞社間の無用な競争を避け通信のコストを下げながら、多様な言論が保たれ、国民の知る権利にも応えられることになるという。

判決は判例踏襲

最高裁は「ロス疑惑」をめぐる名誉棄損訴訟で02年1月、「社会の関心を引く私人の犯罪やスキャンダル」報道に関し、「配信サービスの抗弁」を否定した。報道合戦が過熱し、慎重さを欠いた記事があると指摘し、「一定の信頼性を持つとされる通信社の配信記事でも、真実性について高い信頼性が確立しているとは言えない」と結論づけた。今回は、公的な使命を帯びる医師が医療ミスの刑事責任を問われたケースだったが、東京地裁は「社会の関心と興味を引く分野の報道」として、判例を踏襲した。

さらに今回の判決は、3紙が「配信元の表示(クレジット)」を付けなかった点を重視し、「新聞社自ら執筆した記事と体裁が変わらず、読者は配信記事かどうか判別できない」と指摘。共同と3紙は一定の関係があっても別の責任主体で、共同の「(免責とされる)相当の理由」を3紙は援用できないとした。

クレジットについてはロス疑惑をめぐる別の訴訟の最高裁判決(02年3月)で意見が分かれた。2人の裁判官は「報道の自由は、どの社の責任で記事が作成されたか認識できて初めて十分に発揮される」として、クレジットを付さない場合は配信を理由にした抗弁は一切主張できないと述べた。だが、別の3人の裁判官は「クレジットの付いていない記事でも、その内容や記事を掲載した加盟社の規模などから、通信社からの配信記事と推認できる可能性があれば、加盟社と通信社が実質的に同一性を持つと考えて差し支えない」「クレジットがないからといって、配信サービスの抗弁を認めないという意見には賛同できない」と意見を述べている。

「クレジット」は必要か

今回の判決も指摘しているように共同の定款施行細則は配信記事の掲載時にクレジットを付けなければならないと規定。だが、現実には国内のニュースには付けないのが長年の慣行で、共同も問題にしてこなかった。原告医師の代理人の喜田村洋一弁護士は「クレジットがなく自分の記事の形で掲載した以上、責任を問われるのは当然。取材を尽くしたかで個別に名誉棄損を判断するのは妥当だ」と話す。

これに対し、上毛新聞は「すべての記事にクレジットを付けると読者の混乱を招く懸念もある。記事の内容ではなく、クレジットの有無を問うのは本質的ではない」と主張。「クレジットを付けたからといって加盟社が免責になる保証はない」(中日新聞)との疑問の声も消えない。

そのような中、北海道新聞は10月から、話題の人を紹介する囲み記事「ひと2007」について、自社原稿の署名だけでなく、配信記事にも原則としてクレジットを入れることにした。「原稿の出自を明らかにする観点から」と、見直した理由を説明する。

控訴審では何を訴えるのか。共同は「直接の取材手段を持たない加盟社に配信記事の真実性を証明させようとし、報道を萎縮させる判決の不当性を主張したい。クレジットなど個別の主張については訴訟で明らかにしたい」と話す。

通信社の歴史に詳しい秀明大総合経営学部の里見脩教授(メディア史)は「メディアがすみ分けることで成り立ってきた配信制度にとってゆゆしき判決だ。最高裁判例の一部を一方的に解釈しているという印象を受けざるを得ない。『赤福』がチョンボしたからといって、みやげ物屋が責任を負いますか? メーカー責任の原則からもはずれている。クレジットの点もおかしい。共同は社団法人で地方紙は社員。地方紙は社説まで共同から配信を受けるような関係だ。配信記事にクレジットを付ければ地方紙は共同のクレジットで埋まってしまう。すべての記事にクレジットを、という実態を理解しない考え方で、民主社会にとって大切なものを犠牲にすべきではない」と断じる。

共同通信社が配信したニュースをそのまま載せた地方紙が名誉毀損に当たるとされた事件で、控訴審が始まるという解説記事です。

素人考えとして非常に不思議なのは、ニュースを配信した共同通信社に対しては「信ずるに足る情報を伝えたから、賠償責任は無い」としておきながら、そのニュースを掲載した新聞が名誉毀損に当たる、という理屈が成立するのか?です。

地裁判決では「共同通信社が配信したニュースなのか独自取材の記事なのか区別が付かないから、名誉毀損」としているようですが、共同通信については「警察発表など」を根拠に「信じて当然」との情報を「共同通信が配信したから信じてはいけない」と読めるわけで、それでは情報の伝達ということを自体に無理難題を吹っかけた判決となりませんかね?

また、地方新聞社が共同通信と同列で警察を直接取材して書いた記事であれば、やはり名誉毀損に当たらないのでしょうね。だとすると「共同通信のクレジットを表示しない」ことにどういう意味があるのか?
さっぱり分からない判決だと感じます。

12月 3, 2007 at 12:21 午後 セキュリティと法学, 事件と裁判, 国内の政治・行政・司法 | | コメント (6) | トラックバック (0)

2007.12.01

オリコン訴訟・最終局面

昨日(2007/11/29)「恫喝訴訟で口封じ?! 表現の自由を考える 11・29シンポジウム」に参加してきました。

パンフレット(PDF)から引用します。

パネルディスカッション
烏賀陽弘道雑誌の取材に答えたらオリコンから訴訟を起こされた
西岡研介週刊現代に書いた記事でJRの労組から50件の訴訟を起こされた
山田厚史テレビ出演で日興コーディアル証券の問題にコメントして、安倍前総理の秘書から訴訟を起こされた
斉藤貴男週刊現代に書いた日本経団連会長の御手洗氏についての記事で訴訟を起こされた
釜井英法烏賀陽氏の弁護士
田島泰彦上智大学・文学部・新聞学科

コーディネータを田島泰彦教授が務めました。

弁護士とコーディネータを除いた4人のパネラーはいずれも記者で事件についてもわたしはだいたいは承知しておりました。
西岡記者・斉藤記者はいずれも新聞記者からフリーライターに転じて、週刊現代で重い記事を書いている方です。

烏賀陽記者は「オリコン訴訟」をネットで知ったときに初めてお名前を聞いたし、それ以前の記事についても知らなかったので「どんな方なのだろう?」という野次馬根性が先行して見にいったというのが実情です。
しかし、結論としては4人の記者は似たような雰囲気の方でした。
朝日新聞記者でテレビにも出ている山田記者についても、意外とフリーのライターに近い感覚を感じました。

今回のシンポジウムのきっかけとなった「オリコン訴訟」を私が知ったのは2006年12月の新聞記事などだと思います。

烏賀陽氏のページの説明によると

ヒットチャートで有名な株式会社「オリコン」が、烏賀陽弘道個人を被告に、月刊誌サイゾー06年4月号の電話取材に応じた20行ほどのコメントに対して5000万円の損害賠償を求める訴訟を東京地裁に起こしました(061213)。

確かにまとめるとこういう話なのだけど、もっと詳しい説明をアップしてほしい・・・・
月刊誌サイゾーの記事は、烏賀陽氏が記者の質問にコメントしていました。つまり一般常識として、出版社→編集者(責任者)→記者までが記事の内容が名誉毀損であるような場合の責任追及の対象だと考えていました。
それが「記者に取材された人だけが責任追及された」というのが特異ではあります。

シンポジウムで烏賀陽氏も強調していましたが

「わたしは取材対象です」
「取材対象を名誉毀損で訴えて、
出版社などの責任は追及しない」
「訴訟目的は裁判に勝つことではない」

なんてのがキーワードになっています。

結局は、反対者を黙らせる(抹殺する)ために形として裁判を利用したとも言えるわけですが、このような裁判を利用するのは濫訴だとして「環境ホルモン濫訴事件」では、わたしは2005年7月から apj さんが始めた「中西応援団」を手伝っていました。

当時は「こんな裁判はアリか?」ということで「濫訴というのだろう」などと、たしか喫茶店で呼び方を決めたりしました。
似たようなことを「先進国アメリカでは「SLAPPStrategic Legal Against Public Participation)」と呼んで対策の法律まで出来ているのだそうです。栗原 潔氏によるSLAPP の解説記事

資力のある大企業等が巨額の賠償請求訴訟をすることで資力のない個人や小企業をびびらせて、結果的に言論を封じる手法です。意訳すれば「恫喝訴訟」ということですね。

米国では、カリフォルニア州をはじめとして多くの州でSLAPPが州法により禁止されているようです(SLAPPと認定されれば、被告と原告のどちらの言い分が正しいかの議論以前に提訴自体が却下になるということのようです)。

日本では、SLAPPが全然OKということになってしまうと、個人が実名ブログ等で正当な理由に基づいて企業を批判することが困難になる可能性があります。そうなると、結局、批判は匿名掲示板でということになってしまいます。ネット言論の適正化のためにも何らかの形でSLAPPには歯止めをかけてもらいたいものです。

訴訟を提起したオリコン株式会社の主張がオリコン社のサイトに掲示されています。
「事実誤認に基づく弊社への名誉毀損について」 ( 2006年12月19日 12時00分)

本日、一部報道にありました「ライター烏賀陽弘道氏への提訴」について弊社の見解を述べさせていただきます。直接的な原因は、烏賀陽氏の(株)インフォバーン発行の「サイゾー」4月号における明らかな事実誤認に基づく以下の2つの発言にあります。また、烏賀陽氏は、長年に亘り、明らかな事実誤認に基づき、弊社のランキングの信用性が低いかのごとき発言を続けたことが背景にあります。

①「オリコンは調査方法をほとんど明らかにしていない」(烏賀陽氏発言)

弊社は、調査方法について昭和43年のランキング開始時以来明示しています。またその調査店についても平成15年7月以降、弊社の WEBサイト、雑誌等のメディアにおいて開示しています(3,020店)。さらに、調査方法については、他社メディアの取材にも応じています。

②「オリコンは予約枚数をもカウントに入れている」(烏賀陽氏発言)

昭和43年のランキングの開始時から今まで予約枚数をカウントしたことはありません。

以上2つの発言につきまして、明らかな事実誤認に基づき弊社の名誉を毀損していることに対して提訴しています。

申し上げるまでもなく、弊社が発表するランキングは、弊社事業の中核を担うものであり、明らかな事実誤認に基づいた報道によって、その信用性が低いとの印象が社会的に浸透するならば、弊社の事業に多大な影響を与えることにもなりかねません。

烏賀陽氏は、弊社からの平成18年6月23日付け内容証明郵便の中での「サイゾーの記事のとおり発言ないし指摘をされているのでしょうか」という問いに対し、平成18年6月30日付けのFAXにて「自分が電話でサイゾー編集者の質問に答え、編集者が発言を文章にまとめました。まとめたコメントはメールで自分に打ち返され、修正・編集を加え、若干の意見交換ののち掲載の形にまとめられました」(同氏からのFAX原文)と回答してきています。このように、烏賀陽氏は、発言は自分が責任をもって行ったものと明言されています。

烏賀陽氏は、同様の発言を他のメディアでも行っており、同氏の発言の社会的影響力は決して小さいものではありません。

社会的信用とは長年の不断の努力によって成されるものと確信しています。ジャーナリズムの名の下に、基本的な事実確認も行わず、弊社の長年の努力によって蓄積された信用・名誉が傷つけ、損なわれることを看過することはできないことからやむを得ず提訴に及んだ次第です。 この度の提訴はあくまで烏賀陽氏によって毀損された弊社の名誉を回復するための措置であることをご理解ください。

( 2006年12月19日 12時00分)

わたしがオリコン社の主張を読んだ印象は「将来の損害の抑止」に重点があるように感じます。
賠償請求では「将来の損害」はなかなか認められないし、では将来の損害になるような現在の被害の大きさはどうなのか?ということなると、1/100とか1/1000なのでしょうね。
逆に言えば「現在の損害の1000倍の請求」をした事になりそうです。

これがどんどん拡大するとアメリカのような「対策」も必要になるのでしょう。
まぁ、SLAPP 禁止を法的に定めるのは極めて難しいだろうし、そもそも反対意見に対抗する形として損害賠償は認めない、という社会も困るわけです。

実際問題として、記事を載せた月刊サイゾーと編集者、烏賀陽氏の三者を提訴したのであれば、問題にはならなかったでしょう。
そういう事例は珍しくありません。

しかし、裁判では裁判外のことについては言及しませんから「三者が提訴すれば・・・」なんてことは法的判断としては出てきませんね。
社会の動きとして注目しておくべき裁判です。

このオリコン裁判は次回が人証で烏賀陽氏も証言するそうで、民事裁判の流れとしては、人証の後は最終弁論を経て判決となりますから、次回が事実上最後の法廷の論争です。

オリコン訴訟第6回口頭弁論
12月11日 13時30分~
東京地裁709号法廷(傍聴券配付)

だそうです。

12月 1, 2007 at 11:02 午前 セキュリティと法学, 事件と裁判 | | コメント (0) | トラックバック (0)

2007.10.22

情報ネットワーク法学会

情報ネットワーク法学会・第7回研究大会のご案内。

Up

第7回研究大会の個別報告の内容について

●個別報告の内容
第 1会場 10:10

10:40
砂金 伸一(山本秀策特許事務所)
田中 規久雄(大阪大学)
「匿名ファイル交換ソフトで違法複製物をダウンロードした者の法的責任」
10:45
|
11:15
奥村 徹(大阪弁護士会)
「プロバイダの刑事責任~名古屋高裁平成19年7月6日と東京高裁平成16年6月23日」
11:20
|
11:50
石井 夏生利(情報セキュリティ大学院大学)
「情報セキュリティと専門家の責任」
第 2会場 10:10

10:40
李 丹丹 (神戸大学)
「中国電子署名法の成立および中国電子政府の現状」
10:45
|
11:15
淺井 達雄(長岡技術科学大学)
王 悦(日本IBM)
「中国における営業秘密の法的保護の現状と課題」
第 3会場 10:10

10:40
中村 有利子・石丸 湖美(龍谷大学)
加藤 晶子・高橋 香名・平谷 明子・吉田妃穂子(キャリアパワー)
「大学図書館からの法情報発信
―R-LINEの開発・運営と課題、今後の展開について」
10:45
|
11:15
長谷川 元洋(金城学院大学)
大嶽 達哉(愛知県弁護士会)
大谷 尚(名古屋大学)
「インターネットの電子掲示板上での児童・生徒間の誹謗中傷トラブルに対して教師が直面している問題についての検討」

スケジュールがこんな事になっていて、9時に新潟ですね・・・・・・

09:00受付開始
09:30開会挨拶
09:35~10:00総会
10:10個別研究報告(第1~第3会場)
11:50昼食
12:50~13:50基調講演「情報ネットワーク社会と刑法」
山口厚・東京大学大学院法学政治学研究科教授
14:00~17:35パネル・ディスカッション
第1分科会テーマ「違法・有害情報と匿名性」
第2分科会テーマ「法学教育のIT化~ロースクール完成年度を契機として」
17:40閉会挨拶
18:00~20:00懇親会(ホテル日航新潟)

10月 22, 2007 at 11:22 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2007.10.19

行政が削除請求

東京新聞より「ブログに『公園で犬放し飼い禁止、違法』都など『削除を』接続業者側は拒否

東京都内在住とみられる愛犬家が、インターネットのブログ(日記)に「公園での犬の放し飼いの禁止は違法」との主張を書き込み、東京都と西東京市が「違法行為をあおり、公園でのマナー低下を招く」として「プロバイダ責任制限法」に基づき、サイトを提供するプロバイダー(接続業者)に削除を求めていたことが分かった。
接続業者側は「内容の正否を判断できない」として請求を拒否している。(中沢誠)

ブログの掲示板には三年前の開設当初から「しつけのいい犬は放し飼いでもいい」「リードは動物虐待」「狂犬病予防法は時代遅れの悪法」などの主張が展開され、都や市には「放置していいのか」との苦情が寄せられていた。
公園で放し飼いを注意した市職員が、飼い主から「ブログには問題ないと書いてある」と反論されたケースもあるという。

プロバイダ責任制限法は、ネット上で中傷されたり、プライバシーを侵害されたりした場合については被害者が接続業者に書き込みの削除を求めることができると規定。
都福祉保健局と同市みどり公園課は、同法に基づき二月、違法行為を招くとしてサイト提供者の「楽天」と「ヤフー」に書き込みの削除を求めた。

しかし、両社とも自治体の請求を拒否。同市があらためて六月、楽天に発信者の身元情報の開示を求めたが、楽天はやはり拒否した。

接続業者らの「テレコムサービス協会」(本部・東京)の桑子博行サービス倫理委員長は「自治体からの削除請求は聞いたことがない」とした上で、「安易に削除に応じれば、表現の自由を定めた憲法二一条や、電気通信事業法に抵触する恐れがある」としている。

これに対し都環境衛生課は、公園での動物の放し飼いを禁じている都条例や予防注射を義務づけている狂犬病予防法を挙げ「ブログは明らかに法律を否定する内容。誤った考えを先導するブログを放置するのは好ましくない」と反論する。

公園での犬の放し飼いをめぐっては、トラブルが後を絶たない。環境省によると、二〇〇五年度に犬にかみつかれた被害は約五千三百件。愛知県では大型犬が主婦を襲い、七月に飼い主が逮捕された。東京都檜原村では先月、四十四匹の犬を放し飼いにしていた飼い主が狂犬病予防法違反容疑で摘発された。

「ブログは明らかに法律を否定する内容。誤った考えを先導するブログを放置するのは好ましくない」

法律に反論する権利は当然あるわけで「法律を否定する考えだから削除するべき」というのではちょっと無理だろう。

このような場合は「対抗言論するべし」との判決が出ているくらいで、行政が堂々と反論するべきだと思う。

仮にここで削除できても、次々と同じようなサイトが出てくることも十分に予想できる。
どのような考え方で削除請求する事にしたのか?検証するべきだと思う。
削除すればOKという事ではない。

10月 19, 2007 at 09:22 午前 セキュリティと法学 | | コメント (5) | トラックバック (1)

2007.10.15

著作権延長についての議論

IT media News より「著作権保護期間の延長、経済学的には「損」 「毒入りのケーキ」が再創造を阻む

大変に長い解説記事なので本文を読んでいただくとして、わたしが注目したのは次のところです。

  • 著作権保護期間を今より20年延長すると「損」なのか「得」なのか――。
  • 長すぎる著作権保護期間が書籍の“死”をむしろ早める
  • 著作者の死後は、売れるものだけが生き残る極端な弱肉強食
  • 絶版書は、以前はただ忘れ去られていくしかなかったが、ネットが状況を変えている。
  • 欧米で著作権保護期間が70年に延長されたのは、ネット時代以前
  • 保護期間の延長によって著作者が得る収入の増加は、1~2%程度
  • 保護期間延長が創作者の意欲を高めて映画制作本数が増加する――という根拠は、まだ得られていない
  • 自由にパロディを作れるまで、さらに20年待たなくてはならなくなる
  • 2次創作が行われる可能性が減り、権利者には「権利が有効活用されない

といった著作権保護期間の延長によるデメリットが数々紹介されて

「経済学的に不合理」な延長、なぜ欧州では行われたのか

これらの研究から「インセンティブが見えないのにデメリットは確実にある」(成蹊大学法務研究科の安念潤司教授)とほぼ証明された著作権保護期間の延長。そもそも欧米ではなぜ、70年に延長したのだろうか。

東京大学大学院 情報学環・学際情報学府の酒井麻千子さんの研究「EUの保護期間延長の事情」によると、EUが保護期間を70年に統一したのは「EC(当時)域内の単一市場形成を達成するための手段だったとしか考えられない」という。

ECは1993年までに域内で単一市場を形成しようと急いでいた。その動きの中で、著作権保護期間の不統一――著作者の死後50年の国と70年の国の混在――が問題になっており、長いほうに合わせることで、どの国の著作者も不満なく統一できるよう図った、というわけだ。

「(50年という短いほうに統一せず、50年から70年に延ばした)EUの政治家は『バカじゃん』と思うかもしれないが、政治家は、政治的影響力の強い文化的エリートの反感を買うわけにはいかなかったのだろう。保護期間延長問題は、経済学的には大差で判定負けだが、政治の世界ではそうはならない」(安念教授)

というわけで「欧米の著作権法に合わせないで根本的に考え直そう」となって

  • 「著作権登録制」の現実味
  • 著作権はどうあるべきか
弁護士でクリエイティブ・コモンズ・ジャパン事務局長の野口祐子さんは「延長で著作者のやる気が高まり、文化が豊かになると主張するなら、過去の作品の延長は不要なはず。
過去の著作物と将来生まれる著作物とはきちんと区別して議論すべき」と指摘する。

野口祐子インタビュー02に著作権法のあり方について幅広い考え方を述べています。
これはお勧めです。

ようやく、著作権がどうあるべきかが記事になったという感じですが、今後どうなるのでしょうか?

10月 15, 2007 at 12:09 午後 セキュリティと法学 | | コメント (2) | トラックバック (0)

2007.07.01

高校の個人情報流出事件

読売新聞より「愛知で県立高生徒情報流出、教諭PCから…空自基地資料も

愛知県教委は30日、同県立高校の男性教諭のパソコンから、県立高校2校の個人情報がインターネット上に流出したと発表した。

教諭の自宅パソコンに入っていたファイル交換ソフト「シェア」のウイルスを介して流出したとみられ、情報が流出した生徒数は延べ1万4598人に上るという。

航空自衛隊岐阜基地の個人情報なども、この教諭のパソコンから流出していた。

県教委によると、流出したのは教諭が勤務する一宮工業高と前任校での1994年度以降の内部資料。
生徒の氏名、進路希望、成績表や大学、専門学校などの受験の合否結果、指導要録を作成するための性格検査の結果などが流出した。

教諭は、進路指導資料作成のため、無断で持ち帰り、自宅のパソコンで作業をしていた。

空自岐阜基地の情報は、教諭の親族が同基地に以前勤めていた関係で、同じパソコンに資料を保存していた。
流出したのは退職者名簿や行事内容などで、機密資料などはないという。

教諭は県教委の調査に対し「ファイル交換ソフトが入っているパソコンでデータを扱ってはいけないと知っていたが、毎日ウイルスチェックをしており、大丈夫だと過信していた。個人的な目的には使用していない」と話している。

同県教委高等学校教育課の高須勝行課長は、「仕事熱心な教諭で、極めて残念。教員一人ひとりに徹底されるよう、指導のあり方を考えたい」と話した。

結構詳細な情報なので色々と検討することができます。

  • 一万5千人以上のデータ
  • 現在と前任地、家族の勤務先のデータ
  • 進路指導資料の作成
  • シェアをインストールしていたが、ウィルスチェックで大丈夫と判断
  • 教育委員会は「教員一人ひとりに徹底」とコメント

業務用のPCでシェアーを使う神経が分かりませんが、それ以上に分からないのが「1万5千人以上の個人情報」そんなものを個人で抱えてどうするつもりだったのでしょうか?
ましてや、前任地の学校のデータは何に使うつもりだったのか?

要するに「情報を捨てられない人」なのだろうと思いますし、言い分としては「進路指導の基礎データを集めていた」というのはあるでしょう。
しかし、なんで個人のPCでやるのか?となります。

最悪なのが、教育委員会のコメント

ですね。
今回の事件は早い話がアクシデントの一種で、防止策は何重にも掛けなければならない。
個人の責任に負わしてもまた同じような事件が出てくるだろう。

個人のPCで仕事をするな、と教育委員会は主張できる程のものではあるまい。
わたしが見ている範囲でも、教員のITスキルが十分に世間に通用する人はかなり少ない。
もちろん「これはやってはいけない」と言われたことを忠実に守ればアクシデントにはならないが、そういうレベルでは個人PCを使ってまで仕事をする必要もないIT利用が現実だ。

ウイルス感染、ハードウェアの破損、データの流出、不正アクセスなどは誰にでも起きる可能性があるのであって「こうすれば絶対」なんてあり得ない。
一番確実な安全策はコンピュータを利用しないことだ。

わたしが見るところ、教員のPC利用スキルを大幅に引き上げることが必須で、その結果として「個人PCの使用禁止・教育委員会がPCをすべて供給する」というのようなことになるだろう。

だいたい、学校には1000人以上もの人がいるわけで、扱っている個人情報の数は莫大だ。
それらを安全に運用するために、それなりの体制や設備が不可欠だが、現実にはネットワーク・プリンターもまともに運用出来ない。メールは個人に届かない。情報管理者が居ないという仕事場がかけ声を掛ければなんとかなるものなのか?

「個人の責任」で全部まとめてしまうようでは、対策にはならない。

7月 1, 2007 at 11:57 午前 セキュリティと法学, 個人情報保護法, 教育問題各種 | | コメント (8) | トラックバック (0)

2007.06.16

捜査情報流出を考えると

朝日新聞より「警視庁情報流出、わいせつ画像コピーがきっかけ

警視庁北沢署の巡査長の自宅パソコンから警察書類を含む計1万件の文書がネット上に流出した問題で、この巡査長が同僚所有の外付けハードディスクから、わいせつ画像をコピーしたのが流出のきっかけだったことが13日、わかった。

調べによると、巡査長は自宅に私用パソコンを2台所有。
ファイル変換ソフト「ウィニー」が入った1台にデータをコピーしたため、同僚のハードディスクの情報がほぼ丸ごと、遅くとも今年4月までに流出していた。

1万件のうち1000件は画像で、逮捕前の被疑者を隠し撮りしたと見られる写真もある。
9000件の文書の中には、強姦(ごうかん)や強制わいせつ、恐喝事件に関する捜査書類や被疑者の携帯電話の解析記録もあった。
暴力団関係者の使用車両などを示した捜査資料もあり、ほとんどが実名入りだった。

警視庁は今年3月、私用の全パソコン約4万1000台に、ウィニー導入の有無を調べるソフトを走らせる一斉点検を実施。
この際、巡査長はウィニーを入れたのが発覚するのを恐れ、流出元になった1台には点検ソフトを使わなかったらしい。

なんで winny を入れたPCに捜査資料のデータを繋いだのか、この巡査長は自分のやっていることが分かってなかったのでしょうか?
しかしこういう詳細が伝わってくると、「winny を使わなければ」といったことでは防げないのではないか?と思うところです。

今回の捜査情報流出は社会システムに影響を与えたことは確実で、DMの名簿が流出したのとはレベルが違うと考えても良いでしょう。
原理的には情報流出で政府が潰れるとか、核戦争が起きるなどといった空想的な可能性も皆無ではないのですが、法的にそういう「社会の安定を壊す可能性がある」として規定されているものに、偽造通貨の扱いがあるな、と思い出しました。

刑法 第十六章 通貨偽造の罪

第百四十八条 通貨偽造及び行使等

行使の目的で、通用する貨幣、紙幣又は銀行券を偽造し、又は変造した者は、無期又は三年以上の懲役に処する。
2 偽造又は変造の貨幣、紙幣又は銀行券を行使し、又は行使の目的で人に交付し、若しくは輸入した者も、前項と同様とする。

第百四十九条 外国通貨偽造及び行使等

行使の目的で、日本国内に流通している外国の貨幣、紙幣又は銀行券を偽造し、又は変造した者は、二年以上の有期懲役に処する。
2 偽造又は変造の外国の貨幣、紙幣又は銀行券を行使し、又は行使の目的で人に交付し、若しくは輸入した者も、前項と同様とする。

第百五十条 偽造通貨等収得

行使の目的で、偽造又は変造の貨幣、紙幣又は銀行券を収得した者は、三年以下の懲役に処する。

第百五十一条 未遂罪

前三条の罪の未遂は、罰する。

第百五十二条 収得後知情行使等

貨幣、紙幣又は銀行券を収得した後に、それが偽造又は変造のものであることを知って、これを行使し、又は行使の目的で人に交付した者は、その額面価格の三倍以下の罰金又は科料に処する。ただし、二千円以下にすることはできない。

第百五十三条 通貨偽造等準備

貨幣、紙幣又は銀行券の偽造又は変造の用に供する目的で、器械又は原料を準備した者は、三月以上五年以下の懲役に処する。

こうして調べてみると、通貨偽造や行使の罪が思いっきり重罰であることが分かります。
そこで、今回の捜査資料流出を通貨偽造や行使に比べて社会的な被害はどのようなものだろうか?と考えてみます。

世界中で偽札事件は続いていて、そのために通貨の変更で対策するのが普通です。
米ドルは世界中で流通することあって、頻繁に変更しているという印象があります。
日本でも過去何回も緊急事態扱いで通貨を更新したことがあります。

こういうことがあるから、通貨偽造は世界的に重罪になっているのでしょう。それに比べて、捜査情報流出といっことの被害はどうか?と考えると、現時点で法的にはなんの処罰も無いというのはかなり問題ではないだろうか?
別に捜査情報でなくても、銀行や税金といった情報が流出した場合に、国家としての信用が毀損されて、国際取引に問題が出てきたら偽装通貨問題を上回る被害となりうるでしょう。

それで、片方は無期懲役で片方は全く罪がない、というのはいつまでも通用するものではない、という印象が強くします。

明らかに、P2P技術や winny そのものを規制してもダメで、例えば「電磁的公文書流出罪」とでもいった法律を作って、結果を積極的に処罰するというぐらいしか抑止効果が無いと思うのです。

こんな「対策」にでもしないと、今回のように

  1. 他人のHDDを
  2. 個人的管理下のPCの内
  3. winnny を使用中の機械に接続した
なんていう組合せを事前に回避できるわけがない。
そりゃ元をたどれば、データの入ったHDDを他人に渡すのが論外だ、とは言えますがだからと言って無くなるとは思えない。
結局は、結果に対して処罰するしか無いのかな?と思うところです。

6月 16, 2007 at 11:15 午前 セキュリティと法学, 個人情報保護法, 国内の政治・行政・司法 | | コメント (0) | トラックバック (1)

2007.06.06

中学校で事務管理情報がハッキングされる

信濃毎日新聞より「テスト成績データなど生徒が見て持ち出す 小諸東中

小諸市加増の小諸東中学校で、生徒が校内のパソコン教室の端末から、学校のサーバー内にある教員用データを集めた「フォルダー」を閲覧し、勝手にテストの成績や生徒の住所録などのデータをコピーして自宅に持ち帰っていたことが5日、分かった。
同校は管理ミスがあったとして同日の朝会で生徒に報告し謝罪、夜に保護者説明会を開く。
市教育委員会も同日、市議会全員協議会で報告した。

市教委や同校によると、持ち出されたデータは、1学年分個人ごとの中間・期末テスト得点をまとめた成績表と名簿、住所録、学級編成資料。男子生徒2人がパソコン教室で昨年10月ごろから放課後の部活動の時間に閲覧していたとみられ、4月以降に何回かに分けてUSBメモリーなどの記憶媒体にコピーして自宅に持ち帰った。
さらに別の2人の男子生徒にデータをコピーして渡したという。

5月25日に「情報が漏れている」と別の生徒が教員に訴え発覚。

業者が調べたところ、本来なら教師用パスワードを入力しないとアクセスできないフォルダーが、生徒用パスワードで開ける状態になっていた。
システムは一昨年9月に更新。
教員側が何らかの設定変更をした際にアクセスが可能になったとみられる。学校はデータの入った記憶媒体や自宅のパソコンの提出を受けてデータを消去した。

校長は5日、取材に対し「学校の管理ミスで生徒に申し訳ないことをした」と述べた。
データを持ち出した生徒には厳重注意したという。
同市教委は「生徒が閲覧できる環境をつくってしまい、ミスを発見できなかったのは学校や教育委員会の責任。
生徒のケアに努めるとともに、教職員を対象にした研修会を開いて再発を防止する」としている。

学校(校長)や教育委員会が「再発を防止する」と言っても、調査段階で業者が調べたらパスワードの設定が混乱していた、と言うのですから技術的には当事者能力が無いですね。

高校では情報の授業が必修になっていて、一クラス40人が同時にコンピュータ実習が出来るようにコンピュータ実習室があって、ちょっと昔のことを考えると隔世の感というよりもウソみたいといった印象です。

当然のことながら、学校自体でもネットワーク利用環境の整備は進んでいますし、教育委員会は教員1人ずつにメールアドレスを配付することも多いのですが、実情はかなりお寒いところもあります。

学校での事務合理化を考えると、何十人かの教員・職員がいる職場ですから複数の端末を置いて、サーバに情報を集中して、ネットワーク構築をしなければならない。となりますが、学校でネットワーク管理を任せるのが適任の方、となると情報の先生が当てられてしまうことがあります。

情報の授業をする先生が、ハードウェアの故障診断から工事に至るまで担当しているのが現実で、ネットワーク環境を活かすことが出来る可能性はあるとは言えますが実際には「担当者が多忙で」とかなっても不思議ではありません。

こんな実情なので、教員が学校でメールを使う(メールアドレスを取得する)のも個々の事情によるとされていて、必ずしもメールが機能していない学校も少なくありません。
また、中途半端にネットワークが機能しているので、メールを受信する専門の担当者が印刷して宛先の先生に配付する、なんてこともありネットワーク活用とは言い難い状況もあります。

問題の中学校で事務管理と授業用の情報が同一ネットワークに流れていたこと方が問題じゃないかと思います。
学校・教育委員会の認識は「間違えないようにする」なのだと思いますが、人間は間違えるものだ、間違えても重大事故にならない、という対応こそが大事でどうも基本的なところを理解していないのではないか?と感じます。

6月 6, 2007 at 10:44 午前 セキュリティと法学, ネットワーク一般論, 教育問題各種 | | コメント (4) | トラックバック (0)

2007.03.29

大塚商会から情報流出・Winny

INTERNET Watch より「大塚商会、有力見込先5,488社の情報がWinnyで流出
大塚商会は28日、5,488社分の企業情報がファイル交換ソフト「Winny」を通じて流出したことを明らかにした。
同社社員の私物PCが、Winnyを通じてウイルスに感染したことが原因だという。

流出したのは、2001年度における兵庫県の企業5,488社分の情報で、同社が有力見込先として市販の企業データなどから収集していたもの。
社名、住所、電話番号、代表者名などが含まれていた。該当する企業に対しては、個別に連絡するほか、専用窓口を設けて問い合わせに対応する。

今回の流出を受け、セキュリティや関連法規に精通した学識経験者、技術専門家で構成する諮問委員会を4月中旬までに設置し、管理体制や情報システムの総点検を実施する。
また、社員が所有する私物PCについても、専用ツールを用いて定期的にデータの監査するとしている。
今回の流出に関係した社員とその上位役職者に対しては、社内規程に基づき懲戒処分を行なうという。

大塚商会では、業務関連情報の社外持ち出しや私物PCの業務利用のほか、Winnyの利用についても禁止していた。
なお、同社はWinnyがインストールされたPCを検知するなどの情報漏洩対策サービスを提供しており、Webサイトでは「P2P型ファイル共有ソフトによる情報漏洩対策は『使わない、使わせない』が一番」などと記載していた。
大塚商会は「情報流出についてのお詫びとお知らせ」を発表していて、全体としては最善の対応のように見えます。
しかし、大塚商会に管理を任せているところも多いことを考えると企業イメージには相応のダメージがあるかもしれません。

それ以上に問題なのは「大塚商会をもってしても社員の行動までは規制しきれなかった」でしょうか?

大塚商会の発表によると
  1. データを自宅に持ち帰り
  2. 個人パソコンに読み込んだ
  3. パソコンウイルスに感染した
この事実に対して、大塚商会は
  1. データの持ち帰りを禁止していた
  2. 個人所有のPCに業務データをコピーすることを禁止していた
  3. Winny なんかインスートルしないのが一番とアドバイスしていた
というのですから、会社の方針を個人に徹底することの難しさを改めて知らせる事件といえるでしょう。

もう10年ぐらいこの種の問題については勉強しているわけですが、わたし自身も管理者・責任者としての見方しかしていなかったような気がします。
今回の大塚商会の「P2P ソフトなどインストールするな」という説明も「流出したら大変ですよ」という説明とセットになっていたはずですが、考えてみると「大変なのは責任者」であって、実行した社員の方はそんなことを考えないからやっちゃうのでしょう。

なにしろ、「データ持ち出し禁止を破って」→「個人のPCにコピーした」というのですから、もし情報窃盗罪があれば犯罪ですよ。
責任ある立場あれば、普通は業務データと P2P を同居させることはしないでしょう。
なぜこの社員はそういうことをしてしまったのか?今やこの部分に着目して対応策を考えるべきでしょう。

3月 29, 2007 at 10:08 午前 セキュリティと法学 | | コメント (0) | トラックバック (1)

2007.01.25

欧州委員会の制裁金決定に関連して

朝日新聞より「三菱・東芝など重電10社に制裁金1200億円 EU
欧州委員会は24日、変電所設備の納入を巡る国際カルテルで三菱電機、東芝など日本の5社を含む日欧の重電企業10社に総額7億5071万2500ユーロ(約1200億円)の制裁金を科すと発表した。
単独のカルテルに対する制裁金としてはEUで過去最高という。

日本企業の制裁金は、
  1. 三菱電機  1億1857万5000ユーロ(約190億円)、
  2. 東芝       9090万ユーロ(約140億円)、
  3. 日立製作所   5175万ユーロ(約80億円)
  4. 富士電機(現富士電機ホールディングス〈HD〉)
  5. 日本AEパワーシステムズ(富士、日立、明電舎の合弁企業)も対象になった。
最高額は独シーメンスの3億9656万2500ユーロ(約620億円)でほかにアルストムなど仏3社とオーストリアの1社が含まれている。

欧州委によると、1988~2004年に、変電所のガス絶縁開閉装置の価格を事前に話し合ったり、入札地域を決めたりしていたという。
日本企業は欧州での入札を見合わせ、欧州企業は日本市場に参入しなかった。
欧州委は「日本企業は参入見合わせで欧州市場での競争を阻害した」と判断。制裁金は主導性や企業規模、カルテルに加わっていた時期などで決めたという。シーメンスは欧州司法裁判所に提訴するとしている。

カルテルにはスイスの重電大手ABBも加わっていたが、欧州委に情報を提供したため、制裁金は免除された。

東芝は「欧州委の調査に協力してきたが、当社の調査では欧州競争法に違反する行為を行っておらず、今後、欧州裁判所で争っていく方針」とのコメントを発表。
三菱や日立も「内容を精査した上で、提訴も含めて対応を検討していく」との考えを示した。

一方、富士電機HDは「内容を精査した上で公正に対応していきたい。決定内容や社内調査の結果を踏まえて、社内処分、再発防止の徹底を行う所存」とした。
読売新聞より「絶縁装置でカルテル、EUが日欧10社に巨額制裁金
制裁対象の日本企業は、三菱電機、東芝、日立製作所、富士電機ホールディングス、日本AEパワーシステムズ。
欧州委は、10社が1988年から2004年にかけ、GISの入札過程で情報を共有したうえで落札価格を事前に相談したほか、落札企業の順番を決めた合意を交わしていた、としている。

合意には、日本企業が欧州市場に参入せず、欧州企業が日本市場に参入しないことを互いに約した文言も含まれていたという。
NHKニュースより「EU 日欧企業に巨額制裁金
ヨーロッパ側の企業と日本側の企業が、それぞれ相手の市場で販売活動を行わないことも申し合わせていたということです。
ヨーロッパ委員会は、情報を提供したスイスの1社を除く10社に対して、総額7億5000万ユーロ余り、日本円にしておよそ1200億円の制裁金を科すことを決めました。
これは、ヨーロッパ委員会が単独のカルテルに科す制裁金としては史上最高額だということです。

これに対し、10社の中で最も高額の制裁金を科されたドイツのシーメンスは「事実認定に誤りがあり、制裁金額が高すぎる」として、処分の見直しを求めてヨーロッパ司法裁判所に提訴する方針を発表しました。
けっこう話が混乱気味ですが、問題になった「ガス絶縁開閉装置」とはこのページの写真が代表的なものです。タンクの中にガスを入れて大電力に対応するスイッチを作る、という技術です。
重電機の代表ですが、大きな物を鋳造するので東芝や日立が先に出てくるのでしょう。

さて、その上で今回の日本企業に幅広く制裁金を科する決定はどんなのものか?と思います。
朝日新聞は、どちらか言うと「日本企業が悪い」といったトーンの記事と読めますが、読売新聞の記事では「日本企業はヨーロッパでは売っていないが・・・・」となっていて、さらにNHKニュースでは「シーメンスが事実認定が違い、制裁金が高すぎる」となっています。

現実問題として、変電所の設備ですから日本企業がヨーロッパで商売するのはほとんど無いのは確実でしょう。特に「ガス絶縁開閉装置」だけのビジネスというのは考えにくい。
一方で、欧州委員会の主張は「市場参入しないことを申し合わせていた」とのことですが、法律的に「○○をしない」という文章が違法の証明になるのでしょうかね?

法的判断では「無いことの証明」は「悪魔の証明」と呼ばれ不可能であるから採用しないとなっています。
無いことを証明するのはあまりに広範囲になるので不可能だが、あることの証明なら一つだけだから簡単だ。との原理です。
今回の「市場参入しない」という文章や文言はこれにちょっと近いかと思います。
つまり、問題の文章がなければ日本企業は参入したのだろうか?ですが、上記に書いたようにかなり難しいのではないか?と思うところがあります。
さらに実際には参入しなかったことが参入の可能性があるすべての企業に制裁金を課するとなったので、東芝・日立から始まって、すべての企業に課徴金となっています。
これは「やっていないことに処罰」となるとこうならざるを得ない証明でしょう。

この問題は、日本では安倍首相が他のほとんどすべてが反対しているのに成立を指示したことでまたまた有名になった共謀罪の適用にかなり近いでしょう。
共謀罪は「やっていなくても話したら処罰」ですから、欧州委員会の制裁と原理的にはかなり近い。

近年、法の厳しい適用が求められる傾向がありますが、痴漢えん罪などでもこの手の「やっていないことを証明せよ」的な法的判断が多くなってきた、と感じます。

今回の欧州委員会の決定は色々なことを考えさせてくれました。

1月 25, 2007 at 09:42 午前 セキュリティと法学 | | コメント (0) | トラックバック (1)

2007.01.10

通信の秘密は未定義なのか?

昨日の夜は情報ネットワーク法学会の勉強会でした。

内容はミスターITこと高橋郁夫弁護士のプレゼンテーションでタイトルが「通信の秘密の数奇な運命」というものでした。

高橋弁護士とはずいぶん前からの知り合いで、あちこちでお目にかかっている間柄です。
タイトルだけでは内容はさっぱり想像がつかないのですが、高橋弁護士のお話なら面白くないはずもない。ということで出かけました。

実は情報ネットワーク法学会の総会以外の会議に参加したのは今回が初めてです。
ざっと20人ほどの勉強会でしたが、目からうろこと言うかものすごいお話を伺いました。

ネットワーク管理者として何かと考えなくてはならないことも一つに「通信の秘密」があります。
高橋弁護士のプレゼンテーションは、この「通信の秘密」というものが法律的にどういうことなのかを憲法の成立時点にまでさかのぼって解き明かしてみるというものでした。

一般的な理解として通信の秘密は憲法21条によるとされています。
第二十一条
  • 集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。
  • 検閲は、これをしてはならない。
  • 通信の秘密は、これを侵してはならない。
これを素直に読むと、通信の秘密は表現の自由の中に含まれていると、なってしまいます。
つまりあまりよくわからない。

帝国憲法では現憲法の通信の秘密に相当するのは
第26条
  • 日本臣民ハ法律ニ定メタル場合ヲ除ク外信書ノ秘密ヲ侵サルヽコトナシ
となっていて、いわゆる信書の秘密にあたります。

そこで、通信の秘密とは「通信の本文=コンテンツ」と「通信をしていることの情報」のどちらなのか、あるいは両方なのか、が問題だとされます。

通信の秘密を守る側の立場から言うと、通信をしているかしていないか自体を明らかにしないとされますが、DDoS攻撃対策やWinny対策は、通信をしているという事実をもとに、通信を遮断するといったことをプロバイダーが行う、とされています。
ここで通信をしている事実(高橋弁護士によると「トラフィック」)は通信の秘密に当たらないとすることで初めて対策できるとなります。

ネットワーク管理といった実務の観点からいうと、法律の専門家あるいは国がここら辺について明確な説明をしていないことが気になっているわけですが、高橋弁護士のプレゼンテーションによるとなんと憲法制定時にまでさかのぼっても、実は議論がされていなくて「通信の秘密とは何か」は憲法にはないも同然となるそうです。

この憲法で通信の秘密を明確に定義していないことが、刑法や通信に関する法律が、通信の秘密を明確に定義していない、当然通信の秘密を侵すことが何かわからない。というヘンテコな事態を引き起こしています。

確かに通信の秘密というものがはっきりしなかったことはよく承知していますが、なんとこれら憲法にまともに転院されていないし。元をさかのぼっても、まともに議論していなかったらしい。ということが、分かってきました。大変に興味深くも、びっくりするプレゼンテーションでした。

1月 10, 2007 at 09:04 午前 セキュリティと法学 | | コメント (1) | トラックバック (1)

2006.12.26

発信者情報開示のための新たな手続き?

毎日新聞より「発信者情報:同意なしで開示へ ネット被害で業界が新指針
インターネット上のプライバシー侵害や名誉棄損について総務省と業界団体は、情報を書き込んだ発信者の同意がなくても被害者に発信者の氏名や住所などを開示する方針を固めた。

業界は総務省とも協力し、同法に基づく自主的な発信者情報開示のためのガイドラインを策定することを決めた。
原案によると、他人の氏名や住所、電話番号など個人を特定する情報を掲示板などに勝手に書き込む行為を幅広く「プライバシー侵害」と認定。
個人を名指しして病歴や前科を公開することも含まれる。

こうした場合にプロバイダーが被害者からの要請を受け、発信者の同意がなくても、その氏名や住所、電話番号、電子メールアドレスなどを開示できるようにする。

一方、名誉棄損については、プロバイダーによる任意の発信者情報開示をあまり広く認めると「政治家や企業経営者らの不正や問題点の内部告発までネット上からしめ出す懸念もある」(業界団体幹部)と判断。
これまでの名誉棄損裁判の判例も踏まえ、公共性や公益性、真実性などが認められない個人への誹謗(ひぼう)や中傷に限って自主的な開示の対象とする。

被害者は裁判で発信者情報の開示を求めることが多かったが、悪質な書き込みをした発信者を早急に特定し、損害賠償請求できる可能性も高くなるとみられる。

業界と総務省は一般からの意見も募集したうえで、早ければ来年2月にも導入する方針。
直観的にはすごくわかりにくいニュースで、プロバイダー責任制限法では「発言削除」と「発信者情報開示」の二つに大きく分かれていました。
実務的には、「発言削除」と「発信者情報開示」では「発信者情報開示」の方が重大視されていて、発信者情報を開示してしまうと取り消すことができないために手続きを厳重にするべきだ、となっていました。

上記のニュースでは一見発信者情報開示を簡単にしているように見えて、ちょっと違和感があったのですがよくよく読むと発信者情報開示のための手続きとして「プライバシー侵害」を新たにつくるということのようです。

プロバイダー責任制限法はプロバイダーなどに法律的な判断をさせるという意味で、実務的には極めて難しくまた法的な根拠もあいまいでかなり問題があると思っています。

その上にさらに難しい手続きを決めるというのでは、現場はちょっとやっていられないでしょう。
どうもうまくいくとは思えません。

12月 26, 2006 at 09:00 午前 セキュリティと法学 | | コメント (0) | トラックバック (1)

2006.12.14

Winny 判決

昨日(2006/12/13)は Winny 裁判の判決が京都地裁であった。
求刑が著作権法違反幇助で懲役1年に対して判決は罰金150万円であった。
金子被告は即日控訴した。

新聞の社説を集めてみた。

日経新聞社説   「技術も配慮したウィニー判決
読売新聞社説   「技術者のモラルが裁かれた
朝日新聞社説   「ウィニー有罪 開発者が萎縮する
サンケイ新聞社説 「ウィニー判決 開発意欲そがない議論を
毎日新聞社説   「ウィニー有罪判決 実態は変わらないむなしさ
東京新聞社説   「ウィニー判決 ソフト開発にも良識を

タイトルだけでも色々な社説があり、この裁判の影響が多岐に渡る複雑なものであることが分かります。
現時点では判決文の全文を見ていないのでわたし自身の判断は後にしますが、社説の中から注目するところをピックアップすると。

日経新聞社説より
ウィニーを巡っては防衛庁の機密情報が流出する事件も起きており、元助手の責任は免れないだろう。

2年前に京都府警が元助手をほう助の疑いで逮捕した際、技術開発を萎縮させるという批判の声が上がったが、判決は「技術を提供すること一般が犯罪行為になりかねない無限定な範囲拡大は妥当でない」と枠をはめた。

そのうえで、元助手が「著作権を侵害する状態で利用されるのを十分認識しながらソフトの公開を続けた」ことに違法性があると判断した。
技術開発の有用性を評価しつつ、技術を悪用した違法行為を抑止する点で、妥当な判決だといえる。
読売新聞社説より
技術者のモラルを重く見た判断と言えるだろう。

技術開発に当たって技術者は「暗」の側面を自覚する必要がある、というメッセージだろう。
ウィニーに限らない。科学技術の研究開発に携わる者にとって共通に求められるモラルだ。

今回の判決で技術者が委縮するという指摘もある。だが、同種ソフトの開発は止まっていない。心配は無用だろう。
朝日新聞社説より
運転手が速度違反をしたら、速く走れる車をつくった開発者も罰しなければならない。

そんな理屈が通らないのは常識だと思っていたが、ソフトウエアの開発をめぐってはそうではなかった。

新しい技術を生み出した者は、それを悪用した者の責任まで負わされる。
こんな司法判断では、開発者が萎縮(いしゅく)してしまわないか。納得しがたい判決である。

ファイル交換ソフトの開発者が刑事責任を問われたのは韓国と台湾で計3件あり、それぞれで1件ずつ無罪判決が出ている。
問題のソフトでは著作権を侵害しないよう警告しており、合法的な情報も流れている。
それが無罪の理由だが、こうした事情はウィニーも同じだ。
サンケイ新聞社説より
ソフトが悪用された場合、その開発者も刑事責任を問われるのか-。

弁護側は、「刃物を作った人が、その刃物が使われた事件の責めを負うのと同じ」と主張、終始無罪を求めてきた。
これに対し判決は、被告側に違法行為が行われるとの「十分な認識、認容」があれば、たとえ技術自体は中立的価値があるにせよ罪を問われるとの判断基準を示した。

その上で、ネット掲示板への書き込みなどから、被告が違法コピーに利用されると知りつつウィニーの改良を繰り返していたと認定しており、有罪の判断は妥当な流れといえよう。

ただ判決は同時に、ウィニーを「多方面に応用可能な有意義なもの」と認め、「技術の提供一般が犯罪行為となりかねないような無限定な幇助犯の成立範囲の拡大は妥当ではない」との判断も示している。
取り締まり当局にも一定の枠をはめ、健全なソフト開発の意欲まで阻害することがないよう慎重な対応を求めたものであり、バランスのとれた判断として評価したい。

しかし、今回のように被告の発言などから違法行為への認識を証拠立てられる場合はむしろ例外といえる。
匿名性が特性の一つでもあるネット社会では、たとえそれが明確な意図で行われた違法行為であれ、実行者の特定は極めて難しいのが実情だ。著作権問題にしても激しい変化に法整備が後手に回っている観は否めない。
毎日新聞社説より
判決は「利用者の多くが著作権を侵害することを明確に認識、認容しながら公開を継続した」と述べ、著作権法違反のほう助にあたると認定した。

著作権侵害は、映画などコンテンツ産業に大きな被害を与えている。断じて容認するわけにいかないし、ソフトウエアの開発者の倫理も問われている。

判決はネット社会のひどい現状に警鐘を鳴らしたとも言える。しかし、これによってネットでの著作権侵害の実態が大きく改善するかというと、そうならないだけにむなしさが残る。

新技術が後に及ぼす影響について、開発者が事前にすべてを予測することはできない。
元助手が逮捕され、さらに有罪と認定されたことによって、ソフト開発にマイナスの影響を及ぼすなら残念だ。

技術が先に進み、法制度が想定していない世界が誕生してしまったというのが、ネットの実態だろう。
元助手は即日控訴したが、著作権管理のあり方も含め、ネット社会に対応した仕組みを築くことが必要だ。
東京新聞社説より
判決は、「ウィニーの技術自体は有意義で、価値は中立的」と述べ、著作権侵害に悪用されなければ、社会に貢献するソフトとなる可能性を秘めていたと積極的に評価した。

しかし、元東大助手の金子勇被告が開発したウィニーが流通した結果は、あまりに破壊的だった。

何者かがウィニーに取り付くウイルスを開発してネット上に流したため、ウィニーを組み込んだパソコンから、個人情報や企業秘密が流出する事件が続き、情報流出の被害は警察、陸海空自衛隊、原子力発電所、学校など広範囲に広がった。

判決は、「被告はウィニーをホームページ上に公開し、悪用者の著作権法違反を容易にし、犯行をほう助した」と認定。
被告弁護団の主張も考慮したうえで、ソフト開発の自由と社会秩序のバランスを視野に入れ、社会秩序の方を重視する立場を取った判決といえる。

だが、デジタル技術が急速に進歩する中で、現状の著作権保護のあり方に再検討の必要性を訴える被告の主張には十分耳を傾ける価値があるのではないか。

控訴審では、検察・弁護双方の主張を通し、デジタル時代にふさわしいソフト開発のあり方を示す結論が得られることを期待したい。
いくつかの社説がウイルスによる情報流出を問題にしているが、これはちょっとひどいだろう。
現象面としてもセキュリティーホールによる情報流出が沢山あるわけで、別に Winny だからということではない。
むしろ社会に一般に誤解を生じさせるミスリードの可能性も高い。

それにしても、これらの社説は刑事裁判に対する評価と言えるのだろうか?大いに疑問がある。

12月 14, 2006 at 09:52 午前 セキュリティと法学, 事件と裁判 | | コメント (4) | トラックバック (2)

2006.12.02

一日中法律

今日(12月2日)は情報ネットワーク法学会の年次総会 & 研究大会で筑波大学に行ってきました。
例によって、岡村先生、町村先生、丸山さん、小倉弁護士、高橋弁護士、鈴木先生、須賀先生といった顔なじみの方々と「どもども」とかやってきました。

つくばエクスプレスで行きましたが、最初はどう乗り替えるのがよいのか良く分からない。
見慣れているのは秋葉原ですが、そもそも秋葉原は田園都市線からは行きやすい場所ではない。
田園都市線は半蔵門線になって押上から東武線になって北千住に行くから、そのつもりだったのだけど乗換案内では大手町で日比谷線に乗り替えろ、と出たからそれに従いました。

まぁつくばエクスプレスの速いこと、あっと言う間につくば駅。
7時に自宅を出て9時にはつくば駅だから、ラッシュは強烈かもしれないが通学可能範囲だね。

情報ネットワーク法学会は5年になるそうで、わたしは最初から入会していますが、今回は事務合理化をしたそうで、かなり立派に安定した運営になりそうです。
ちょっと興味のある方は入会すると面白いですよ。

午前中のセッションはコーディネターがニフティ社の丸橋氏
  1. 「拡大するカラオケ法理とその限界ついての一考察」 神奈川大学 奥邨広司
  2. 「Aninymity Provider の法的責任」 小倉秀夫
  3. 「プロバイダ責任制限法における発信者情報開示における実務的な問題」 壇俊光
でした。 わたしには大変に興味深いテーマで面白かった。
とは言え、現状は色々な方面に発散中でまだまだ混乱は続くといった感じですね。

その後、高橋弁護士、小倉弁護士などと六人でラーメン屋に。
小倉弁護士とネット上には出せないような話をして、司法修習生を煙に巻いてしまった。(^_^)

パネルディスカッションはαブロガーがメディアを語るといったものでしたが、パネラーが以前は新聞社という人ばかりでなかなか面白かったのですが、16時半に中座して霞ヶ関に戻ってきました。

町村先生「つくば」落合弁護士「情報ネットワーク法学会・研究大会(筑波大学)」、といった記事が早くも上がっています。



霞ヶ関まで一時間ちょうどぐらいで着いて「近未来通信に関する被害者説明会」を覗いてきました。

消費者被害問題の集会は何度か見たことがありますから、ある程度集まる人の数とかはザッと予想するのですが、報道にありますが700人越えとかでマスコミもものすごい数がいてビックリでした。

わたしの興味は、この事件のニュースがあまり細かい事情が分からないと思っていて、説明会なのだからもっと細かい情報が出てくるのかな?と思っていましたが基本的には報道の範囲でした。

色々な情報からわたしも確信的な詐欺であると考えています。
弁護団は「詐欺と考えて刑事告訴と破産申し立てをする」と述べていました。

そんなわけで、今日一日でものすごい数の弁護士という人を見たことになります。(^_^)

12月 2, 2006 at 11:50 午後 セキュリティと法学 | | コメント (0) | トラックバック (0)

2006.12.01

住基ネット離脱容認・高裁判決

読売新聞より「大阪高裁、住基ネット離脱を容認 情報保護に欠陥
住民基本台帳ネットワークシステム(住基ネット)はプライバシー権を侵害し違憲だとして、大阪府箕面(みのお)市など府内5市の住民16人が、住民票コードの削除や損害賠償などを求めた訴訟の控訴審判決が30日、大阪高裁であった。

竹中省吾裁判長は「住基ネット制度は、個人情報保護対策の点で無視できない欠陥があり、プライバシー権を侵害している」と述べ、住民側の請求を棄却した1審・大阪地裁判決を変更、箕面、吹田、守口の3市に、住民4人のコードを削除し、住基ネットからの離脱を認める判決を言い渡した。

住基ネットからの「個人離脱」は昨年5月、金沢地裁が初めて認定。高裁レベルでは初めて。

判決はまず、「住基ネットが、情報漏えいや目的外利用によって、本人が情報の提供や利用の可否を決める自己情報コントロール権(プライバシー権の一つ)を侵害される具体的な危険があれば、憲法13条に反する」との基準を示した。

竹中裁判長は「住基ネットは厳重なセキュリティー対策が講じられ、情報漏えいの危険性はない」と評価。一方で、行政機関が保有する本人確認情報を利用できる国の事務が拡大され、行政機関自ら法律や条例で将来、無制限に拡大できる点を指摘した。

さらに、防衛庁が自衛官の適齢者情報を収集した自治体のうち、3分の1以上が住民基本台帳法で閲覧が認められていない情報を提供していた実例も挙げ、「個人情報が際限なく、目的外利用される危険性が具体的に存在することをうかがわせる」と認定した。

これらの点から、竹中裁判長は「集積された個人情報が、住民票コードによる検索でデータ照合や名寄せが行われ、本人の予期しない時に予期しない範囲で行政機関に保存・利用される危険がある」とした。

そのうえで「目的外利用を監視する第三者機関はなく、住基ネットの運用は、自己情報コントロール権を著しく侵害するものと言わざるを得ない」と結論付けた。
南山大学の町村先生が


とコメントされています。
全く同感で、注目しています。

この判決では「住基ネットの運用は、自己情報コントロール権を著しく侵害するものと言わざるを得ない」となっていますが、自己情報コントロール権に完全な差し止め、つまり他人に自分の自己情報を渡さない権利というのものがあるという観点のように読めます。

個人情報保護法の説明をしていたときに、個人情報とは社会に知られて始めて意味が出てくるのであって、社会と絶縁しているのなら個人情報という概念が元々無い世界になってしまう。と説明していました。

わたしは現実的には個人情報を保護するべき情報と公開して良い情報に分けて考えるべきだろうと思っています。

まず個人を特定するとは社会で他人と自分を分けるというのが基本だから、完全に姿を消すというのはあり得ないと考えます。
その中で、一般的に言えば住基ネットが扱う個人情報の4情報(氏名、生年月日、性別、住所)をことさら保護しなければならないというのはかなり特殊な場合でしょう。
実際問題として、氏名・生年月日・性別・住所を隠したらほとんどの契約が出来ません。だから「住基ネットだけには知らせない」という論理が必要になって、これ自体がかなり無理ですね。

しかし、その逆にわざわざ住基ネットを作っていったいどういう意味があるのか?とは強く思います。

それやこれやで、色々な議論が展開できますが、今回の大阪高裁の判決が住基ネットからの離脱の条件に自己情報コントール権を持ってきているのはどうか?という気もします。

なぜなら、自己情報コントロール権は絶対的なものではない。かなり相対性が強いものだと考えています。
こういう観点からは、自己情報コントール権は認めるが、住基ネットは4情報限定だから、コントール権の範囲外だという展開はありそうです。
むしろ、個別の事情によって離脱できる、とした方が実際的だったのではないだろうか?

それにしても住基ネットの一番の問題は「使い道がない」だと思う。
確か、北陸だったと思うが高齢者ドライバーの免許証返納運動として住基ネットカードと引き替えサービスをやったところ返納が大変に増えた、という記事がありました。
公的身分証明書になるという意味です。
その程度のモノですからねぇ。こんな仕組みを維持することに意味があるのでしょうか?

12月 1, 2006 at 11:02 午前 セキュリティと法学 | | コメント (0) | トラックバック (1)

2006.10.27

2月2日は情報セキュリティの日なんだって

サンケイ新聞が始めた iZa(イザ)にはまっております。
基本的にはニュースサイトなので ZAKZAK と同じようなものですが、ブログ機能があって記事に直接コメントできます。
さらに面白いのは、記者プログがあって新聞記事にはならないような取材メモを元にしたブログが沢山あってこれが面白い。

最近になってチョコマカ見るようになったのですが、ヘンなのを見つけた。

夜討ち朝寝坊日記より「情報セキュリティの日
本日開催の第8回情報セキュリティ政策会議(議長・塩崎恭久官房長官)で、2月2日を「情報セキュリティの日」と定めることが決定されました。

この「情報セキュリティの日」を記念し、情報セキュリティの重要性への認識を広めるため、この分野で貢献のあった団体・個人へを表彰するほか、シンポジウム、セミナー、フォーラムなどなど全国で関連イベントを行いたいとのこと。しかし、主催者やスポンサーを募集中で概要はどうも未定のようで、メディアにぜひエントリー願いたいという話なのです。

きちんと知りたい方は内閣官房情報セキュリティセンター(NISC)のホームページへ。
(°Д°)ハァ? なわけです。

それで「内閣官房情報セキュリティセンター(NISC)」を見に行きましたよ。
(リンクを貼ってない、佐々木記者にも???ではありますが、検索すればすぐ出てくる)
さらに「 第8回会合(平成18年10月25日) NEW」という見たらPDFで報道発表資料が並んでいた。
第8回会合(平成18年10月25日) 会議終了後の報道発表資料

議事次第

資料1-1 「セキュア・ジャパン2006」の進捗状況について
資料1-2 「セキュア・ジャパン2006」に盛り込まれた施策の実施状況
資料2-1 「情報セキュリティの日」の概要
資料2-2 「情報セキュリティの日」について(案)
資料2-3 情報セキュリティの日功労者表彰要綱(案)
資料2-4 情報セキュリティ政策会議の後援等名義の使用について(案)
資料3 江畑構成員意見
資料4 小野寺構成員意見
資料5 金杉構成員意見
資料6 野原構成員意見
資料7 前田構成員意見
資料8 村井構成員意見
これが全部PDFだから、全部を見る気にはならないわけで、とりあえず「資料2-1 「情報セキュリティの日」の概要」を見てみた。

Up1_1
表彰ねぇ?そりゃまぁ一生懸命やってきた人たちは何人も存じ上げているけど、インターネットに限って言えば広義のセキュリティは大勢のボランティア管理者によってブラッシュアップされてきたのであって、誰かが旗を振ったというのとは違うだろう。
かなり多くの人が「あなたを表彰します」と言われたら断るのではないかな?

10月 27, 2006 at 08:05 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2006.09.10

面白い法律対談

壇弁護士の事務室」に紹介があった「【談話室たけくま】日本の著作権は「鹿鳴館」である

これは、著作権法というわけの分からない法律のできあがりの過程などを説明した竹熊健太郎氏と白田秀彰氏の対談記事です。

第一回が掲載で現在は(第2回に続く)となっていて期待が持てます。面白いところは。
  1. フランスの国立視聴覚研究所が、過去制作された10万本のテレビ・ラジオ番組を、ほとんど無料で公開
  2. 日本(の著作権法)はドイツ(ベルヌ条約)ですね。
  3. 江戸時代の書籍商組合である「本屋仲間」というものがありまして、そこで版木に関する権利を検閲と引き換えに認めてきた、ということがあったみたいですね。版権という言葉は無かったと思います。「権利」という概念も西洋法からの借り物ですから。ただ、確実に言えることは、「株」という言葉があったということですね。個別の作品に対する版元の権利よりも、もっと広いイメージです。
  4. 9世紀ころに各種法典をつくるときに、いったんそれまで国に存在していた、各種の実行されている法律を分析して、どんどん抽象化していった結果、それぞれの国に固有の法概念とか、法のベースになるものを発見した、と19世紀の学者さんたちは考えた。当時は観念的な法律学がはやっていたんです。そこでどうなったかというと、網羅しているはずだから、それから漏れるものは論理的にあり得ない、どんな新たな事件が発生してきても、既存の法律の推論で説明がつくんだという言い方をしたわけですよ。
  5. 「今の法律はおかしいから、もう壊してつくり直しちゃえ」なんていうことは、法律学の負けを認めることになる。現行法がおかしいからといって、まるっきり作り直すということであれば、じゃあ、改正前の法律に基づいて裁かれた人たちへの正義はどうなるか、という疑問も生まれてくる。
  6. 結局は田舎の温泉旅館みたいになっていくわけですよね。
  7. めちゃくちゃな話なんですけど、独自の言語体系として存在することに法律学の価値があるんですね。
といったところですね。
「法典」の意味がそういうことだったのか、とは初めて知りました。
まぁ確かに「今までの法律は、概念として無かったことにする」とか突然変更になっても困りますよね。
だからどっちかという解釈を拡大しつつ、綿密になっていって、結果として専門家じゃないと分からない、という展開になっているのでしょうか?

9月 10, 2006 at 03:33 午後 セキュリティと法学 | | コメント (0) | トラックバック (0)

2006.06.13

400万人情報漏れ

読売新聞より「KDDIで400万人分情報漏れ、恐喝未遂の2人逮捕
「DION」に加入する顧客情報のうち約400万人分が外部に漏えいし、これを入手して同社から現金を脅し取ろうとしたとして、警視庁捜査1課と麹町署は13日、職業不詳の男2人を恐喝未遂容疑で逮捕した。

2003年12月時点の全顧客情報で、システムルーム内のパソコンからデータが抜き取られた可能性が高い。
このパソコンを使うには専用のパスワードが必要なことなどから、同課は、内部関係者が犯行に関与した疑いが強いとみて、流出ルートの解明を急いでいる。

流出したのは顧客の名前、住所、電話番号など。
クレジットカードや銀行口座の番号などは漏れてはいないという。

これまでに明るみに出た個人情報流出としては、04年2月に発覚したインターネット接続サービス「ヤフーBB」の顧客情報約452万人分の流出に続き、過去2番目の規模となる。

2人は5月30日、KDDI本社に電話を入れ、同社の携帯電話サービス「au」の顧客データ440万~450万件を入手したとして、「KDDIから流出したと思われる」などと通告。その後、同社を計3回にわたって訪れ、データ入りの書き込み可能CD(CD―R)などを持ち込んだ。
要するに脅迫されたから流出が発覚した、ということなんでしょうかね?
確かに、2003年12月ころとなると、個人情報保護法対応で監視カメラを配備するとかというブームの前ですから盗難が記録されていなかったかもしれませんね。
それにしても、これだけの時間が掛かっているとなると、情報としてはすでに出回っている可能性が大きいでしょうね。
KDDIが全く気づかなかったというのはちょっと思えないんですがねぇ。

しかし、この脅迫犯はババ抜きの負けなんじゃないでしょうかね?それにしても、400万人分とは驚いた。Yahoo!BB 事件の時には後になったら結局のところまるでガードしていなかったと分かって「なんだ?これは!!」といったところでしたが、今回はパスワードが掛かっていたとのことですが、また「変更していなかった」じゃないでしょうね。
情報管理という点では2004年後半ぐらいにならないと、証拠保全などといった配慮をしていなかったということですかね。情報待ちですね。

6月 13, 2006 at 10:29 午後 セキュリティと法学 | | コメント (0) | トラックバック (1)

2006.05.09

ウイルス対策ソフトの押し売り?

IT+PLUS より「「ウイルス対策ソフト」の押し売りに注意・IPAが警告
情報処理推進機構(IPA)は2日、「セキュリティー対策ソフト」と称するソフトを押し売りしようとする行為がインターネット上で発生していることについて警告を出した。
サイトを閲覧している際に、パソコンに勝手にプログラムがダウンロードされ、そのプログラムがウイルスに感染しているという偽のメッセージを出して、対策ソフトの購入を迫るという。
ウイルス対策ソフトという名目で売りつけようとするソフトの金額は5000-6000円程度で、クレジットカードによる購入をしつこく迫る。
いやはや、なんともすごい話だと感心してしまう。
自分でも絶対に大丈夫とは言えないと自覚していますが、それなりに勉強というか情報収集をした上でそれでも「絶対とは言えない」と考えているわけで、ちょっときわどい時代になってきたな、と思いますね。
情報交換できる立場に居ればなんとなく分かるものだと思いますが、多くの方にそういうチャンスは無いわけで、そうなると危険だと煽るばかりで不安をかき立ててもインターネットを使わないという非現実的な選択しか解決策がないとなります。
どうしたものでしょうかねぇ?

5月 9, 2006 at 01:29 午前 セキュリティと法学 | | コメント (1) | トラックバック (1)

2006.05.02

バーコード印刷ミス・山梨県自動車税

山梨日日新聞より「自動車税通知書、39万通にバーコード誤記 県が陳謝、コンビニでの納付できず
山梨県は一日、自動車税納税通知書約三十九万通のバーコードに誤記載があり、コンビニエンスストアでの支払いができなくなっている、と発表した。
本来は取扱期限を「二○○七年三月十五日」とすべきところ、「二○○六年三月十五日」と記載した。通知書上は取扱期限が既に過ぎているため、バーコードの読み取りができない。
県は各コンビニに対し、誤記した通知書でも納付できるようシステム修正を依頼しているが、当面の間、コンビニ収納はできない見通し。
なるほど「取扱期限を過ぎているから受け付けられない」とシステムが判定したのは、正しい処理でシステムが健全であることを証明したことになりますね。
これに対して「誤記した通知書でも納付できるようシステム修正を依頼」って、そりゃある種のセキュリティホールを作れというのと同じじゃないですか。
誤印刷をチェックしないところから始まって、チェックを外せというのに至るまで何が目的で何をするべきか分かってないですな。
これ意外と対応がやっかいな問題だと思いますがねぇ。

5月 2, 2006 at 08:29 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2006.04.24

掲示板管理者は共謀罪のリスクを負うのか?

「アイコラ・名誉毀損裁判判決」に奥村弁護士からトラックバックとコメントをいただきました。
判決書が待ち遠しいですね。
裁判例を眺めていると、管理者の刑事責任については
1 掲示板管理者の削除義務違反の不作為犯(正犯・幇助)
2 掲示板設置管理を実行行為とする作為犯(正犯・幇助)
3 投稿者との掲示板を介した共謀共同正犯
4 設置管理を幇助とする
(注記)奥村弁護士から「2とダブっている」とのことで取消線を入れました。
などの切り口があるようです。本件はそのどれないのか?
また名誉毀損罪の保護法益に関連して、いかなる事実を摘示したことになるのかという問題もあります。
わたしも「どういう理屈で、掲示板管理者が名誉毀損の正犯になったのか?」が一番知りたいところです。
奥村弁護士も同じご意見のようですが、法律家は全体として国会で審議が始まる「共謀罪」との絡みで特に最近のインターネットを巡る裁判での判決について危惧を感じているようです。

落合弁護士のブログより「暴走する(?)「共謀」概念
http://d.hatena.ne.jp/yjochi/20060417#1145282716 の中の「共謀共同正犯の意義と認定(出田孝一)」や、奥村ブログに接したりして感じましたが、共謀概念の主観化が、「希薄化」「形骸化」へと進んでいるようで、強く憂慮されます
落合弁護士のご意見は非常に濃密に書かれていて、是非とも本文をお読みいただきたいと思いますが、ポイントは以下のようです。
  • 実務上、「黙示の共謀」も共謀の中に含まれるものと考えられている
  • 謀議「行為」の存在ということに、あまりにも重きを置きすぎると、共謀共同正犯の本質を見誤ることになりかねない
  • しかし、「共謀」を主観面のものと捉えると
  • 主観面というものは、目に見えないものであり
  • 慎重な認定が行われないと、「共謀共同正犯として処罰したいと検察庁、裁判所が考えるもの」が共謀認定される
  • 共謀概念の希薄化、形骸化へ向けて暴走しかねない
  • ここにこそ、現在、反対論が巻き起こっている「共謀罪」の危険性が存在している
  • 非常に安易な共謀認定が行われるようになれば
  • 国家権力なり捜査機関が、特定の人間を共謀罪で葬ろうとすれば
  • いくつかの共謀の証拠らしきものをそろえることで
  • 簡単に逮捕、起訴し、有罪にする、ということができてしまいます。
  • インターネットの掲示板運営者と投稿者が、相互に何の人間関係もなく、
  • 単に、掲示板の運営と投稿、という点でしか接点がなくても、
  • 「合意」が認められ共謀認定がなされるという
  • 共謀がそこまで希薄化してしまった世界では
  • 何らかの接点があれば共謀が認定されるという、考えてみれば恐ろしい事態が頻発しかねないでしょう。
直感的には「裁判所はそこまで無茶なことをするか?」と思いたいところで、落合弁護士は現役裁判官の論文にその危惧は十分にある、と論じています。
上記の論文は、現役裁判官によるものですが、共謀概念のそういった危険性に思いを致した形跡は皆無で、
感じられるのは、職業裁判官による共謀認定への絶大な自信であり、上記のような最高裁判例の出現に、よく「強気の刑裁」などと司法修習生に揶揄されるような、
裁判所による一種の独善的な事実認定が今後もその傾向を強め、そこに共謀罪が法制化されるようなことになれば、
確かに、恐ろしくて言いたいことをやりたいこともできない、という治安国家化、警察国家化、ということも、単なる杞憂では終わらないかもしれません。

かつては、こういった危険な流れに対し、いろいろな歯止めとなる勢力があり、国民の支持もそれなりにあって、バランスがとれていた側面もあったように思いますが、
最近は、世の中の流れも変わってきて、必ずしも危険性等に思いが致されることなく、スローガン的な部分に目を奪われてある方向に一気に流れてしまう、という傾向が出てきているような気がします。

かつて捜査機関に身を置いていたものとして、犯罪を的確に処罰し国民の平和な生活を守る必要性は強く認識していますが、「まず処罰ありき」といった傾向には、強く疑問を感じますし、「共謀」の問題(共謀罪の問題を含め)についても、問題意識を持って今後とも検討して行く必要性を感じます。
確かにこういう考察を見ると「さすがに専門家」と思いますし、わたしが素人ながら「この判決はなんだ?」と感じるのもまんざら根拠のないことではない、と分かってきてありがたいことです。

ところで、別の視点からちょっと気になることがあります。
いわば換骨奪胎とでも言うのでしょうが、鈴木正朝新潟大学教授が「法律を実態だけに合わせると、理論的なつじつまが合わなくなる」といった事を述べられていて「なるほど、それが個人情報保護法の混乱の元か」と思ったのですが、共謀罪については元々はアメリカ同時多発テロ(9.11)以来の、アフガニスタン・イラク侵攻の引き金になった「テロ対策」のいわば超法規的・超文化的(グローバリズム)にアメリカが世界に押しつけたものだと理解しています。

アメリカの超法規的な無理は、グアンタナモ基地への強制収容が国際的に破綻しつつあることなどからも明らかで、全体として法的秩序の再構成といったところに向かっていると感じます。
だからこそ

「今ごろになって共謀罪を推し進めるとはなぜだ?」

と感じますが、これも誰が「都合良く利用してしまおう」としているのではないか?それもインターネット規制の方向で考えているのではない?と強く思います。そしてインターネット規制を是としているのは、主にマスコミではないか?と思うのです。
EFF(Electronic Frontier Foundation)を作らねばなりますまい。

4月 24, 2006 at 10:30 午前 セキュリティと法学 | | コメント (1) | トラックバック (3)

2006.04.17

Winny・政府が対策ソフトを作るのだそうだ

日経新聞より「政府、「ウィニー」で総合対策・産官学でソフト
ファイル共有ソフト「Winny(ウィニー)」やウイルスによる機密情報流出を防ぐために政府が4月にまとめる総合対策の概要が17日、明らかになった。
新しい対策ソフトを産官学で開発し2007年度から順次、全政府機関に配布する。
個人用パソコンの業務使用制限など対策マニュアルの順守状況を検査する制度を新設する。
情報流出を未然に防ぐ体制の構築を急ぎ、民間企業にも取り組みを促していく。
本質的にソフトウェアとして Winny とは無関係で、Winny 向けの対策というのはあり得ないと思うんですがね。
対策を主唱している人たちが何が問題・どこが問題ということを分かってないんでしょうねぇ。
分かっていないで対策するのは全くのムダだろう。
ちょっと待てとしか言いようがない。

4月 17, 2006 at 04:49 午後 セキュリティと法学 | | コメント (0) | トラックバック (0)

2006.04.12

金沢市教育委員会教師のPCを調査

北國新聞より「全教職員2千人、自宅パソコン「捜査」 金沢市教委 ウィニー被害撲滅へ 退職者も追跡
金沢市教委は七十九の小中学校、金市工高の全教職員の自宅パソコンに、ウィニーや成績、評価などの個人情報が取り込まれていないか”徹底捜査”する。
データを持ち帰り自宅パソコンで作業するケースもあったが、今後は持ち出しを禁止し、ウィニーが見つかれば削除して漏洩(ろうえい)を防ぐ。
しかし、結果は自己申告制で、新手のウイルスが台頭する心配もあり、ネット全盛期に100%阻止するのは困難との見方もある。

調査対象は、約二千人の教職員の自宅パソコンと、児童生徒が授業で使う約二千台のパソコンで、十九日までに結果報告を求める。

自宅パソコンの調査は、学級担任はもちろん、英語特区で独自採用した英語インストラクター、校務士、調理士、カウンセラーにまで。本人にウィニー使用の覚えがなくとも、供用する家族が取り込んでいる可能性もあるという。

調査の網は、今春の退職者や市外異動者にまで及ぶ。市教委の監督権限が及ばないためウィニー削除まで指導できないが、教え子の個人情報が残っていないかを照会し、見つかれば抹消してもらう。

授業で使う児童生徒用のパソコンには、「ウィニーや個人情報が入っていることはあり得ない」(市教委)としながらも、念には念を入れて点検する。

校内で使用する公用パソコン約千四百台について、市教委はすでにウィニーが使われていないことを確認済みだ。

学校パソコン持ち出しも一切禁止する。記録などでどうしてもパソコンが必要な場合は、市教委が持ち出し用パソコンを貸し出す。一方で持ち出し禁止による業務上の支障も調べる。
まあ大変だと思いますが、こんなの無理でしょう。

今までだって、警察などは何度も指示を出していたがやるヤツはやってました。PCの所有権が個人にあるからコントロール出来ないのは明らかで、社用のPCであれば単にエロ画像を見ていたとして処分される場合にも異議は出ません。

「こんな面倒なことならPCを使わない」とかになるに決まっています。全体として極めてバランスが悪いです。

わたしの従姉妹が教員だから何年か前にインターネットに接続すると言い出したときに、インターネット用のPCを用意させました。
やる人はちゃんとやっているし、教員に学校がメールアドレスを与えないとか、1000人ぐらいの人が居る学校という場所にネットワーク管理者を置けない(タテマエだけだったりする)といった根本的な問題に手を付けないわけにはいかない。

市教育委員会がやるのなら、教育訓練に先生を送り出すために予算を使う方が有効ではないだろうか?

4月 12, 2006 at 08:56 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2006.03.21

Winny対策・問題の本質を考える

「愛媛県警事件・どれほどの情報溜めていた?」にコンメントをいただきました。
手に入る限りの情報を溜め込むというのは、適切な検索手段さえあれば非常に便利なんですよ。Google が便利だと言うのと似ているかもしれません。 ですから、この例が特殊な性癖をもつ人間の特殊事例というわけでなく、利便性を追求すれば誰でもやってしまうようなことだ思うんです。 結局、利便性とセキュリティの間でどこに線を引くかと言う、ごく一般的な問題に帰着するのではないかと... ただ、Winny が動いている PC で作業するのは、公開 Web サーバや匿名 FTP サーバ上で作業すると同じか、もっと危険なわけで、そんなところに機密情報を溜め込むのは、どんな基準でも許されないのですけどね。
意見交換に発展するほどのコメントいただけるのは大変にありがたいことです。

kei-2さんのこのご意見はそれほど突飛ではないというよりも新聞社の意見などとあまり変わりがないと感じます。新聞社の記事には出てこないわたしの意見の方が異端の色彩は強いと思います。

注目したいのは「Winny が動いている PC・・・・・・そんなところに機密情報を溜め込むのは、どんな基準でも許されない」の部分で、対策を考えると「Winny を作業用のPCに入れるな」にするのか「Winny の入っているPCで作業するな」の二つの選択肢があることになります。

この二つの選択は実際には「Winny を入れるな」という方向しか働かないと考えます。事実、首相も官房長官も「Winny を入れるな」と記者会見までして言っています。
しかし元々私物のPCがあって、それを業務に提供しているのですから、全て人が「自分から進んで勝手に業務用に私物のPCを持ち込んできた」わけではないでしょう。警察などが組織として「私物のPCを持ってこい」と命令したことはさすがに無いとは思いますが、隣の席の同僚が持ち込んできた時にいつまでも「わたしは持ち込まない」と主張するのは難しくて、「アンタは家でバリバリにPCを使っているのだから持って来いよ」といった軽い圧力も含めれば、私物のPCを持ち込む方向に圧力があったと想像がつきます。

そして私物のPCを持ってきた人の中には Winny を入れているような人物も居た。これは事実だし、さらには家族が知らない間に Winny を入れたという例もあります。
私物PCであるのですから、業務用PCではあり得ないようなことも考えられます。
Winny 以外でも、ウイルスのチェックを全くしていないとか、業務上は考えられないサイトへのアクセス、業務上はあり得ないようデータの蓄積・・・・、「業務上はあり得ない」をキーワードにして幾らでも考えられます。

これは同じPCの中も「私物」と「業務上のデータ」を混在させたら当然起きることで、別に不法でなくても「そんなことを業務用のPCでやるものか!」となるのです。。
しかも「業務用PCでそんな私的なことをするか」と「私物のPCでそんな業務をするか」の両方向があります。
Winny については「映画をタダで見るのだから、そもそも著作権法違反」という意見は大きくは正しい指摘だろうと思いますが、エロ画像のストックなんてものを業務用PCにやったら職場は「いい加減にしろ」と言うには決まっているでしょう。個人の年賀状の宛名のデータとか住宅ローンの計算、家計簿といった具合に「業務に関係ないデータ」はいくらでも思いつきます。

会社が業務に使用するために設置した「会社のPC」にこんな「個人的な情報」を書き込んだら内容に応じて、色々な注意が飛んできて当然です。
それは「会社のPC。業務用」ですから、内容も含めて会社が管理して当然だし使用する個人も業務用と私物ではやることを分けますよ。
業務用のPCで会社の仕事をすることと同様に私物のPCで個人が必要とする作業をするのは当然で、

いったい私物PCの業務利用とはどうあるべきか?

ということの答えは出せるのでしょうか?わたしはムリだと思いますよ。
実際、首相・官房長官が「Winny を入れるな」という話も「Wiiny 自体は悪くない」とか何が何だか分からない話しになってしまいました。

そこまで不明瞭なことを続けるコストは業務用のPCを揃えるよりも遙かに高くなるでしょう。つまりこの問題の根っこは
「私物PCを業務に使うと管理できない」ということになって
「管理しないからから、不法に近いことも起きる」が実態となってしまって
「トラブルになってしまった」という構造であると思うのです。
予防という観点では

「業務用PCだけで作業すれば、ほぼ完璧に防げる」

なのですから、Winny を入れるのは良くないなんてことを言うまでもないです。なんで「業務用PCにするべき」という声が少数派なのかな?

3月 21, 2006 at 10:41 午前 セキュリティと法学 | | コメント (1) | トラックバック (0)

2006.03.20

愛媛県警事件・どれほどの情報溜めていた?

読売新聞より「個人情報延べ4400人、供述調書も…愛媛県警流出
愛媛県警の捜査資料がファイル交換ソフト「Winny(ウィニー)」を介してインターネット上に流出した問題で、県警は19日、捜査1課の警部(42)のパソコンから流出した被疑者や被害者、捜査協力者などの個人情報は延べ約4400人分に上り、窃盗事件などの供述調書も含まれていたと発表した。

県警が具体的な流出規模を明らかにしたのは初めて。ウィニーによる警察の個人情報流出としては、今回が最大規模になるとみられる。
「愛媛県警・Nシステム情報流出」を書いたのは「こんな情報まで取り込んでいたのか!」という驚きであったのですが、今回の報道で「やっぱりね」と思うところですが弁護士 落合洋司 (東京弁護士会) の 「日々是好日」さんが「何でもかんでも自分のPCに取り込んで、ため込む人だったのだろうと推測します」とスッパリと書いていらっしゃいます。

こうなると、どんな情報が流出したのか?という興味が出てきますが、これについては県警は
具体的な内容は「情報の拡散を招き、関係者の保護の支障につながる」として公表しなかった。
と当然だろうなという反応でした。
しかしながら、問題の警察官が一人でどれ程の情報を溜め込んでいたのか?はやはり問題でしょう。

これを明らかにするのには溜め込んでいたファイルや元の文書の数、さらには取り上げていた事件数(一人の警察官が関与する事件数を遙かに超えるだろと予想します)といったものが明らかになると分かると思います。

ネットワークを利用してメールのやり取りをしているだけですぐに何万という情報がPCに蓄積してしまいます。それをどう管理するかは非常に深刻な問題で「HDDを捨てるな」なんて話になるのも当然です。
問題の警察官はそういう危機意識が無かったのでしょうが、個人にとって強力過ぎるパソコンの情報蓄積力といったものは「情報を溜め込むとそれ自体が暴走(管理のしようがない情報の蓄積)」になってしまうと思いますから、ここを明らかになると良いですね。

3月 20, 2006 at 10:29 午前 セキュリティと法学 | | コメント (1) | トラックバック (0)

Winny対策・朝日と産経の社説

今日の新聞社社説で朝日新聞と産経新聞がウィニー問題を取り上げています。

朝日新聞社説より情報流出 ウィニーだけではない
ウィニーだけを悪者にして、使わなければすむという話ではない。情報を勝手に流すウイルスはほかにもあるからだ。これからも新手のウイルスが出てくると考えた方がいい。ここは、ネット時代の情報の扱い方について根本的に考え直すときだ。

何十万人分もの情報でも、膨大な捜査資料でも、今は小さなハードディスクに入れて持ち運ぶことができる。紙しかない時代だったら、持ち出すことさえ考えなかったはずだ。持ち運びの容易さが、取り扱いの安易さにつながっている。

厳重な取り扱いが必要な情報は、私有のパソコンには入れないのが鉄則だ。漏れてはいけない情報を扱う部門では、きちんと予算の手当てをして、業務用のパソコンをそろえるべきだ。

個人でパソコンを使っている人も、ひとごとではない。知らないうちに手元から大切な情報が流れ出ているかもしれない。ウイルス対策用のソフトをいつも最新の状態にしておかなければいけない。

ネット時代はこれまでの常識が通用しない。そのことを一人ひとりが心に留めておきたい。
この朝日新聞の社説の大部分は今後の対策として有力な手法に新聞報道としてようやく言及したと思います。
しかし、最後の一文はそれを割り引いてしまう危険があるのではないか?現実は個人の意識の問題というよりは警察や企業が業務用PCに投資するかという問題であり、警察だけでも数十万台のPCを用意しなければならないということだろう。そっちの方がよほど「個人の意識が」という指摘よりも重要なのではないか?

同時に出た産経新聞社説ウィニー このままではIT途上国」は朝日新聞社説と比べるとずっとひどいと思う。
ウィニーを介した情報流出は三年前から起きている。個人情報や機密を扱う官民の組織では、すでに予防策が講じられていて当然だ。にもかかわらず、どうしてこれほど事故が頻発するのだろうか。

結論から言えば、情報を扱う職員や社員の意識の甘さに第一の原因が求められる。仕事で使うパソコンに、決してウィニーを入れてはならない。これは常識だ。各組織は責任を持ってウィニーチェックを行うべきである。

海外にもウィニーと似たファイル交換ソフトはあるが、日本のような情報流出騒ぎはあまり聞かない。欧米では業務データの自宅持ち帰りなどが厳しく制限されているためらしい。

日本では、そのけじめがついていないのに加え、忙しくて自宅に戻って仕事を続けることも少なくない。職場で支給されるパソコンの数が足りず、やむなく私物を使う例もある。こうした労働のあり方も情報流出を起きやすくしている。
話の順序がおかしく無いか?
労働環境が悪ければ役所から情報流出が起きても仕方ないような国なのか?
なんで予防策が「社員の意識」とか「「仕事で使う私物のパソコンの仕事以外に使ってはいけない」といった論旨になってしまうのだろう。極めて論理展開に無理があるというべきではないか?
両社の社説ともに「私有のパソコンの業務利用」が問題であると指摘したのは正しいのだが、その上で業務用パソコンを緊急で配備する防衛庁の対策に全く言及しないのはどういうことよ?
これには暗黙の内に新聞社などがネットワーク利用の拡大に反発している現れではないのかね?

3月 20, 2006 at 10:01 午前 セキュリティと法学 | | コメント (2) | トラックバック (0)

2006.03.19

Winny対策・教育は決め手じゃない

日経新聞社説より「ウィニー対策へ安全管理教育の徹底を
ファイル交換ソフトの「Winny(ウィニー)」による情報流出事件が拡大している。原子力発電所の保守情報や自衛隊の内部情報に加え、岡山県警や愛媛県警の捜査資料がネット上に流出、首相官邸も問題にし始めた。
その多くは業務用と私用のパソコンの使い分けがきちんとなされていない点に起因する。
問題解決へ企業や国を挙げて本格的な防衛策を導入する必要が出てきた。

まず業務用パソコンと私用パソコンとは明確に区別する必要がある。経費はかかっても、各人に業務用パソコンを配布してファイル交換ソフトの使用を禁じ、個人のパソコンは仕事には使わせないことだ。

パソコンの使い方は多くの組織で指導しているが、セキュリティー教育まで実施しているところは少ない。特にネットで流出した情報は回収が不可能なため、安全管理教育を徹底し、従業員個人の自覚を高めなければならない。
対策を「業務用パソコンと私用パソコンとは明確に区別する必要がある」としているのだが、結論が「従業員個人の自覚を高めなければならない」になるって意味不明に近いではないか。

最近は業務に私用パソコンを使うことを従業員が進んでやる場合はほとんど無いだろう。職場が私用パソコンの持ち込みを認めていて、かつ業務用PCを配付しない場合に限られると言って良いでしょう。
SOHO事業者などでは、業務と私用の区別がついていない場合もあるだろうが、問題になるのは「お役所の私物PC利用の実態」で紹介したように、組織として私用パソコンの使用を認めているところから情報流出が起きているのは事実であって、日経新聞社説も「業務用パソコンと私用パソコンとは明確に区別する必要がある」としているのだから、もし「従業員個人の自覚が高くなれば」、従業員は私用パソコンを職場から引き上げてしまって業務に差し支えが出るのが当然だということになる。

確かに従業員が自覚を高めて私用パソコンを業務にしか使わなくなるというのは可能性としてはあるだろうが、そさでは私物を職場に提供するということになってしまうではないか。
なんで日経新聞社説はこんな分かり切ったことをスッパリと切ることが出来ないのだろうか?
逆に言えば日経新聞ですら言えないから「業務に私用パソコンを使わせない」という当たり前ことが防衛庁でした対策されず、これだけ問題を起こしても対策を進めることが出来ない最大の理由ではないのか?

わたしはネットワーク利用が社会をネットワーク的に機能するようにすると、既存のカスケード構造の社会と衝突すると考えているのだが、このために既存のカスケード構造の社会に無理矢理ネットワーク利用を押し込めようと意識・無意識のうちに考えているからこんな社説になってしまうのではないだろうか?

ネットワーク利用は情報交換のコストを事実上タダにしてしまうから、カスケード構造社会とネットワーク利用社会が競争しないでうまく利用して並存しようとしても、個々の場面で確実に負けてしまう。
おそらくネットワーク構造の社会はビジネスでは過半数を超えるようなことになるのではないだろうか?
しかし、法律の支配といった点は上位構造を認めないわけにはいかないから、すべてがネットワーク構造社会になるというのはイメージ出来ません。
この社説にはこんなところの「闘争」が見えているのかもしれません。

3月 19, 2006 at 08:34 午前 セキュリティと法学 | | コメント (3) | トラックバック (1)

2006.03.18

お役所の私物PC利用の実態

毎日新聞より「ウィニー問題:防衛庁の公務PC、私物が半数、警察は4割
ファイル交換ソフト「Winny(ウィニー)」を介し捜査情報などの重要データがネット上に流出した問題で、毎日新聞は府省庁や地方自治体、警視庁、道府県警など計123機関から聞き取り調査を行った。
防衛庁を除く府省庁や自治体では公用パソコンの配備が進み、業務で使われるパソコン(PC)のうち、私物PCはわずか0.1%だったのに対し、防衛庁では約半数、警察では約4割が職員の私物を使っていた。

調査対象は、内閣府、総務省など15府省庁と47都道府県、14政令指定都市、警視庁など47都道府県の警察。

15府省庁では計約37万4000台のPCを公務に使用していた。うち約7万台が職員らの私物で、そのほとんどは防衛庁で稼働していた。
なかでも陸上自衛隊では公用が約2万台なのに対し、私物は3倍を超える約6万3000台にのぼった。

内閣府、総務省、農林水産省、文部科学省   私物はないと回答。
都道府県や政令指定都市、で私物PCが公務使用されていたのは、奈良、岡山の2県のみ
都道府県警察で私物PCを公務使用していないのは、公用PCを3万5000台導入している警視庁のみ
47のうち4割近い18府県警が公用PC台数よりも私物の方が多かった
「Winny 問題・話が違うだろう」は官房長官が記者会見で「Winny をインストールしなければ問題は無い」と取れる発言をして、マスコミも「とにかく Winny が良くない」といったトーンで統一されているのを批判し、私物のPCで仕事をするのが問題だ、と主張したものです。

毎日新聞の記事は「防衛庁と各県県警が飛び抜けて私物PCを使っている」と明らかにしたのだが、仕事に私物のPCを使用すると現実の情報流出に直結というかほとんど正比例の関係になっているではないか?

予算が足りないとか言っているようだが、自動車一台でPCは10台から30台ぐらいは買えるし、3年ぐらいは使えるだろうから、30~100台のPCを自動車一台で買える。早い話がどうにでもなることで、個人が買える私物PCがあるのに、組織が予算がないから買えないなんて話が通用するわけがない。

PCなんて私物で良いと考えた

に決まっているだろう。Winny 以外の情報流出ウイルスである山田オルタナティブについてもようやく新聞に記事が出た。これだけでも「Winny を入れないのが一番」というわざわざ官房長官が記者会見で発表した内容が吹っ飛んでしまった。

情報流出の定義を考える必要があるだろう。今回の一連の Winny 騒動で、何年も前に業務用のPCの不具合があったので、一時的に私物PCにデータを移して作業し、業務用PCが使えるようになったので私物PCをそのまま私用していてい、だいぶ経ってから Winny を入れたらHDDに残っていた情報が流出した。という事件があった。

この場合、情報が流出したとは「何時だとすれば良いのか?」個人であるからいずれは退職するだろうし、退職しなくても他部署に移動することはあるだろう。その時に私物のPC内の情報はどうするのだ?
個人情報保護法を守ると称して、営業社員が退職するときに営業手帳を取り上げる=営業ノウハウの取り上げ、といったことが問題になっているが、PC内の情報はノウハウといったアイマイなものではなく、名簿とか記録といったもっとずっと危うい(クリティカルな)情報であろう。

事件の実態を見れば私物PCで仕事をさせた場合、その中の情報を管理することが極めて大変でこんなことなら業務用PCを使わせる方が簡単だ、ということになる。
予算がないから私物PCを業務に使ったから後で何倍ものコストが発生する、ということが問題でもある。対応は早ければ早いほど良い、少なくとも防衛庁が一気にPCを導入するのは現時点で取り得る最善の対策でありましょう。

3月 18, 2006 at 08:51 午前 セキュリティと法学 | | コメント (0) | トラックバック (2)

2006.03.16

愛媛県警・Nシステム情報流出

毎日新聞より「愛媛県警:Nシステム情報流出か 車10万台ナンバー
「各種事件のN資料」と名付けられたフォルダー内のファイルは、いずれも99年の日付で、ほとんどが1日単位で区分されていた。この装置を設置した愛媛県や香川県、徳島県の国道、高速道路を通過した車のナンバー、通過日時が保存され、記録は約10日分、延べ約10万台に上った。

警察庁はこれまで国会での質問に対し「重要事件で使用された車や盗難車など手配車両のナンバーと照合するために使っている。アクセスする者を制限し、一定期間保存した後に消去される」などと強調したうえで、ナンバーは公開された情報で収集に問題はないと説明してきた。
一捜査員が10日分・10万台の通過車輌のナンバーのデータを持っていて何とかなるとは到底思えないのだが、どうするつもりだったのだ?

問題の捜査員が個人的にNシステムのデータを無理矢理盗み出したということであれば、愛媛県警の情報管理の問題だし、愛媛県警が捜査員の私物のPCに持ち出すことを了解しているのだとすると「10万台のナンバーのデータを個人がどう扱うと考えたのだ?」にしかならない。

警察をことさら貶めるつもりはない(知人もいるし)が、それにしても「どうするつもりだったのだ?」にしかならないぞ。


10万のデータをたのデータと突き合わせをするのには、例えば陸運局のデータと突きあわせないと役に立たないのは自明でしょう。
横浜市青葉区は横浜市長選挙と横浜市議会議員補欠選挙が同時に行われるのですが、わたしは選挙で名簿の整理をしたことがあります。ざっと2万人のデータを点検して重複の無い名簿を作りましたが、その手間は莫大なもので個人の作業としては限界でしょう。
その経験からすると10万台のナンバーのデータを個人が他の支援無く見てもなんの役にも立たないでしょう。
どういうつもりでこんなことをしたのでしょうか?信用低下を推し進めることになりますよ。

3月 16, 2006 at 05:36 午後 セキュリティと法学 | | コメント (4) | トラックバック (0)

Winny 問題・話が違うだろう

産経新聞より「危機意識低く深刻 「ウィニー」情報流出、底なし
なぜ流出被害が止まらないのか。その背景を探ると、国民の危機管理意識の希薄さも浮き彫りとなってくる。

出被害の大半が、ウィニーを介してウイルスに感染した私用パソコンを職場に持ち込んだり、業務データを家に持ち帰り、私用パソコンに取り込んだりしたことが原因となっている。

「私用パソコンでは使用の自粛を求めている」という官公庁が多い。法務省の幹部は「基本的には職員個人のモラルの問題だ。しかし、流出に対する危機意識を一人一人に持たせることは必要」と話す。
特に理由があって産経新聞の記事を取り上げたのではなくむしろ平均値だと思う。
第一安倍官房長官が「Winny を使わないのが一番」と発表している、これについては Matimulog さんが「winny使用自粛呼びかけ」
あまりにプリミティブでナイーブな認識と対策で、開いた口が塞がらない。
とストレートな感想を述べていらっしゃる。
その後さすがに乱暴すぎると考えたのか内閣官房はより細かい情報、「Winnyを介して感染するコンピュータウイルスによる情報流出対策について」を発表した

この記事を読んでいるほとんどの方はよくお分かりのはずで「本質は違うだろう」で、マスコミがここらで納得されても困ります。

そもそも情報流出とは以前からファックスの誤送信とか、郵便の誤配といったことも含めて社会的に「この程度は仕方ない」というものから宇治市の住民基本台帳をMOにコピーして40万人分持ち出したといった極めて意図的なものまであります。

内容については先頃の海上自衛隊の暗号情報が流出に代表される「どう考えても公開するべきでない情報」もあるし、大量に流出したとは言え住民基本台帳の情報は公開されている情報である、といったこともあります。

今、事件になっているのは「業務上の情報」が「個人所有のPC」にある時に「ウイルスに感染」したら「Winnyをインストールしてると」流出することがある。
ということでしょう。そして「業務上の情報が流出」したときに社会的事件になって問題だ。ということです。

情報流出で言えば「Winny・不倫を会社にメールしたのは・・」で紹介した事件など個人的には人生の致命傷といった事件も起きていますが、社会的には個人の問題でとどまります。

しかし業務上の情報となると社会的に非常に困るわけで、これはなんとか止めるべきです。
そこで「元を絶てばよい」ということなら

「私有のパソコンで仕事をするな」

でほとんど解決でしょう。
官房長官が言うべきことは「Winny を使わないように」じゃないですよ。業務(オフィシャル)とプライベートが入り交じっている環境で問題が出ない方が不思議というべきです。

私物のPCで会社の業務を実行していると、Winny だけでなく、著作権法違反、インターネット上の名誉毀損、児童ポルノ所持など個人的犯罪でパソコンを押収された場合に業務が止まってしまうような可能性がある、ということです。
こんな危険を避けるという意味でも、さらには公私混同を避けるという当たり前のことからも、プライベート用のコンピュータで仕事をしてはいけません。というだけのことで「Winny が問題」とか言うよりよほど簡単だと思うのですが。

3月 16, 2006 at 01:14 午後 セキュリティと法学 | | コメント (9) | トラックバック (2)

2006.03.15

政府が「PCの情報管理」を呼びかける

読売新聞より「ウィニー問題、パソコン情報管理の徹底呼びかけへ
政府は14日、ファイル交換ソフト「Winny(ウィニー)」を介した情報流出が相次いでいるのを受け、国民に直接、パソコン情報の管理の徹底を呼びかけることを決めた。

安倍官房長官の定例記者会見などを通じ、ウィニーを使用することの危険性や注意事項などを説明する考えだ。
情報管理→PCの管理→ウイルス対策
といった段階になっているんじゃないでしょうか?
例えば電車の中で仕事をするなんてのは、情報管理という点から失格です。
ウイルスなんか入っていないし、ネットワークにも接続していないけど情報流出の危険は極めて大きい。

ビジネスの常識として電車の中でクライアントの名前を出さないなんてのは常識だし、多くの場合はクライアントを訪問した直後にクライアントの構内ではビジネスの話そのものをしないのも普通です。

こういった情報管理について意識している人は、絶対数としては少ないわけで、多くの人たちは今まで情報管理の必要性があるなんてことを知らなかった。
今でこそ、PCにはアンチウイルスを入れるのが常識として知られるようになりましたが、ちょっと前までは「危ないと思ったら線を抜けば・・・」なんて話が真面目な顔で語られていたことを思い出せば「パソコンの情報管理」なんて話が世の中の常識になるためには、ものすごい強力なキャンペーンが必要だしはっきり言えば「Winnyで懲戒免職100人」ぐらいのことをやらないとダメではないだろうか?はっきり言えば

「Winnyで懲戒免職100人」ぐらいことをやらないとダメ

ではないだろうか?

3月 15, 2006 at 09:07 午前 セキュリティと法学 | | コメント (4) | トラックバック (0)

情報流出・読売新聞社説がようやく・・

読売新聞社説より「[情報流出続発]「『ウィニー』だけが問題なのか」

ようやくまともな社説が出てきたという感じですが、この社説が目立つことが問題だし、社説だから一般論でとどまっていて、今後は報道機関が役所などの個々の対応についての評価を示すかが注目点でしょう。
ウィニーのせいだけにしていては問題の本質を見失う。むしろ一連の情報流出騒ぎで露呈したのは、流出が起きた組織の情報管理のお粗末さだ。

どうして私物パソコンに、重要な情報やデータが簡単にコピーされ、持ち出されてしまうのか。機密を扱う職場なら当然あるべき対策がない。

大量流出したのがパソコンのデータではなく、紙の文書と考えてみれば、事態の異常さが浮き彫りになる。

流出が起きた職場では、重要な文書を職員が勝手にコピーして外部に持ち出せるのか。自宅に持ち帰れるのか。国や自治体には、機密情報、個人情報が大量にあるが、これで管理は大丈夫か。

政府や関係機関は、情報管理体制を根底から見直さなくてはならない。
以前からなんとなくネットワークを社会が利用することが出来ないのではないか?という疑問がありました。
89年にFAフォーラムを作った時にわたしは必ずしもネットワーク万歳と積極的に工業界に売り込むということはしなかったと言えます。
個人間の情報交換にはとても便利だったから、設計事務所の業務などには大いに有効であったしなんと言っても人脈の構築が出来ました。

しかし会社や業界といった組織にネットワーク(インターネット)が影響を及ぼしたのか?というと、本質的には変わっていないでしょう。
コンピュータ犯罪に関する白浜シンポジウムの案内をアップしましたが、わたしが初めて参加した99年には大学のネットワーク管理をしている教員の方が「わたしはネットワーク管理をしているが、本業ではない。にも関わらず責任だけ持たされてはたまらない。責任が無いということにならないものか」と発言されていました。
今では、プロバイダ責任制限法は管理者には管理者としての責務がある、としています。

近代社会は軍隊式の組織が基本であって、責任者(指揮官)・中間管理者(士官・下士官)・一般社員(兵士)といったカスケード構造(枝分かれ構造)で動いています。
ネットワークはネットワーク構造の問題であってインターネットやPCの事ではない。社会に異なる構造がうまく納まるのか?という問題なのだろう。

会社でも同期会とか県人会といった会社組織にとって横串に相当する構造があることが多く、縦のカスケード構造(指揮命令系統)と人的繋がり(同期会など)といった横のカスケード構造が重なるのと、結果的にネットワークのようものが出来ていたのでしょう。
しかしこれはネットワークの形をしていてもネットワークではありません。

形のとしてのネットワークのようなものを持っていた日本の社会構造は最終的には強いカスケード構造で動く、というルールでうまくやってきました。
横からの情報に基づいて一旦情報を縦の構造に通すために「元に戻して」といった手続きが示されることがしばしばありました。

ネットワークがネットワークとして機能するのは、検索するような場合に典型的に現れます。手元に無い誰かの情報を見ることで結果OKとしているのですが、昔は本を所有する必要があったことです。
このようにノードが機能してこそのネットワークですが、カスケード構造とは相容れないのは当然で、これをどうするか?という問題がようやく顕わになってきた、ということでしょう。

3月 15, 2006 at 07:54 午前 セキュリティと法学 | | コメント (0) | トラックバック (1)

2006.03.12

情報流出・特効薬は無いのでは?

北國新聞社説より「情報のネット流出 「公私混同」体質が危ない
システムの構築には熱心でも、パソコンを取り扱う社員への教育や、情報を扱う際のルールづくりなどがおろそかになっていた。こうしたケースはまだまだ多いのではないか。

自民党は、業務上知り得た個人情報を漏らした民間企業の従業員に懲役や罰金を科す個人情報保護法改正案の今国会成立を目指している。
個人情報の保護は、法的な措置やシステムの整備より先に、個人情報に接する社員教育がまず重要である。業務で取り扱う情報を私用のパソコンに保存するなどの行為については、例外を設けずに禁じるべきだろう。
なんかなぁ、いささか乱暴な意見だと感じますねぇ。

情報流出と個人情報保護法改正案の従業員が金銭目的で故意に情報を持ち出した例はほとんど無いことは分かっているので、わたしが社説を書いたとすると個人情報保護法改正案はスジが違う、と書くでしょう。

しかし、この社説の意見などが世間の中心的な見解かな?と思うと、そりゃ「社員教育」なのか?と強く思います。
お役所を批判している見方は「管理がどうしようもない」であって、社員じゃなくて管理者・経営者教育でしょう。
最近でこそコンプライアンスなどと「法令遵守」を言いますが、ちょっと前まで大企業の経営者が法的知識が無いことを当然とし「我が社の法律は」などと都合良くやっていくのが当然としていたのですから、かなりの力を注がないと正常な状態にはならないでしょう。
その点で社説のような「これで、解決」的な表現は間違えを拡大する心配があると思います。

3月 12, 2006 at 10:38 午前 セキュリティと法学 | | コメント (2) | トラックバック (1)

Winny・不倫を会社にメールしたのは・・

たぶん本当なんだろうな、という事件です。

「不倫妻なおみwinnyで証拠流出!まとめサイト」

2ちゃんねる情報で知ったのですが、
「浮気は絶対バレない!」宣言の不倫妻(34歳・元ミス鹿島)が
winnyで違法ダウソし「仁義なきキンタマ」ウイルスに感染

OEの2000年以降の受信、送信済みメール全て(含:不倫メール数千通)
特定できる個人情報・会社資料・本人や身内、ご近所さん画像等が流出

VIPPERが不倫妻と浮気相手のブログへ凸

鬼女板住人 会社にメール→エリート旦那の出世コース終了

3/9、23:30頃、両者のブログが同時に閉鎖→連絡を取り合ったようだ

3/10、過去のものも含めると不倫相手は4~5名はいると判明

不倫妻、友人ブログに被害者ヅラで書き込みし友人を巻き込む
今ここ。 証拠隠滅にやっきな不倫人たちと不幸な旦那。
なにがすごいって「2ちゃんねる住人が会社にメール」というところでしょう。
会社も社員(夫)もあずかり知らないところで情報が増幅(?)されるし、自らのミスでもないからコントロールのしようがない。

情報化社会とは社会なのだから自分に有利な面も不利な面もある、という当たり前の話が極端な形で出てきているのだ、と解釈するべきなのでしょうか?
個人レベルで情報化が大きく有利になったのはデイトレーダーでしょうか。
逆が情報流出ですかね。

これらはコンピュータが高くて企業でなければ使えない時代には個人ではあり得なかった事件で、プライバシーというか個人的な秘密流出と言えば、イギリス国防相のプロヒューモ事件、ウォーターゲート事件といった国際政治級の事件しか無かったように思います。

政治家、芸能人の不倫の話題なんてのは昔からあるわけで、それでも本人の情報がネット上に流出するなんてことは全く無かった。
それが一気に庶民レベルですからね。これを旧来の状態にコントロールしようとするとインターネットの管理を中国のようにするしかないでしょうから、トータルでは良いことかもしれませんね。

3月 12, 2006 at 07:38 午前 セキュリティと法学 | | コメント (2) | トラックバック (1)

2006.03.11

Winny作者も情報流出対策は問題と言う

弁護士 落合洋司 (東京弁護士会) の 「日々是好日」さんの記事「[P2P]ウィニー開発者:「流出は想定外で残念」講演会で主張」経由、毎日新聞より「ウィニー開発者:「流出は想定外で残念」講演会で主張
保釈中の金子被告は、「技術的検証のため作ったウィニーと(情報)漏えいは本質的には無関係。
ウィニーを入れさえしなければ防げると考えると対策を誤る」と強調。
本質的な対策として、内部情報を家に持ち帰らない
▽持ち帰ったデータを保存したパソコンを家族らと共有しない
▽ウィニーがよく分からない人は使わない--
などを挙げた。
作者本人もこう言っているし、全く同感です。
もっとも、
相次ぐウイルス感染による情報流出について、「予想外で残念。ウィニーは技術の高い人を利用者として想定していた」
これは楽観的に過ぎるだろう。人間というのは出来ること必ずやるわけで、予防という観点からの企画も大事な問題だ。

3月 11, 2006 at 11:47 午後 セキュリティと法学 | | コメント (3) | トラックバック (3)

Winny 各中央省庁の対応

読売新聞より「私物パソコン使用禁止…各省庁、情報流出対策急ぐ
ファイル交換ソフト「Winny(ウィニー)」を介した情報流出が相次いでいる事態に対し、外務、総務両省などが職員による私物パソコンの業務使用を原則禁止する措置を打ち出すなど、政府は再発防止策の強化を急いでいる。
記事から整理すると
外務省 個人が所有する私物パソコンの庁内や在外公館での
    業務使用の原則禁止

総務省 プライバシーに触れるなど
    「秘密文書に相当する機密性を要する情報」は、
    私物パソコンでの処理を禁止。
    これ以外の情報でも公表しないものは
    「流出する可能性があることを前提に、
    (使用)許可の可否を判断する」と明記

経産省 自宅などで作業するために省内から持ち出すことを
    禁止する情報の範囲を、機密性が高い情報だけでなく、
    「公開を前提としない一般情報」にまで拡大

内閣府 近く重要情報の外部持ち出しを厳禁とする管理基準を策定

警察庁 全国の都道府県警察本部に対し、公用だけではなく、
    自宅で使う私物パソコンについても、
    Winnyの有無を点検するよう指示
となりますが、内閣府が一覧を発表するべきでしょう。
偽札問題が重罪とされるのは通貨の信用を無くすことを問題にしているからで、偽札で稼いだ利得が不当だといったことよりも重大だとされているからです。
PCを使うことが必須である現在、お役所の仕事が信用できないというのは大事件で、Winny を入れるなんてのは通貨偽装行使なみに処罰して良いくらいです。
なんか、秘密の紙を一枚持ち出したのよりも軽く考えているのかな?
防衛庁は私物PCを無くすために7万台のPCを購入することになりました。
先に挙げた愛媛県警のように誓約書を書かせるなどといったトンチンカン(トンデモだ)な対応をするお役所もあることを考えれば、この程度でも仕方ないというべきでしょうがなんというかお役所という組織が先を読む力がないことの証明なのかもしれません。

3月 11, 2006 at 10:13 午前 セキュリティと法学 | | コメント (0) | トラックバック (2)

愛媛県警事件・対策でない対策

産経新聞より「「ウィニー使いません」 愛媛県警、全職員に誓約書
愛媛県警警部(42)の私用のパソコンから捜査資料がインターネットに流出した問題で、県警は10日、全職員約2700人にウィニーなどのファイル交換ソフトを使わないなどとする誓約書を書かせると発表した。
この対応は

絶対に間違っている!

セキュリティは精神主義でなんとかなるのものではない。
こんなのは「誓約書を出して、ウィニーをインストールしなけば、後は何も考えないでよい」と誘導するに決まっている。

実際に過去の流出事件で、親のPCに息子が Winny をインスートルしたから流出になったという実例がある。
こんな問題を「誓約書でどうやって排除できるのか?」
この種の、目的であるセキュリティを精神主義に置き換えた大間違え事件に、太平洋戦争の開戦時の駐ワシントン日本大使館の外交暗号がアメリカに破られていた、という事件で報告されている。
この事件は、その後のアメリカは日本の開戦を知っていた=陰謀説に繋がる大問題となっている。

当時、日本の外務省は「アメリカに暗号を破られている可能性がある」と暗号電報でワシントン大使館に通知した。暗号を解読しているアメリカ側は「もはやこれまで」と覚悟したが、その後も暗号はなんら対処することなく使われた。
実際にワシントン大使館がやった「暗号破り対策」は取扱注意の赤札を暗号機に貼っただけ

今回の愛媛県警の誓約書と何が違うのか?
もっと言えば、こんなバカな発想しか出来ない県警上層部が今回の事態を生み出したと、セキュリティ専門家は一致して評価するだろう。
この決定をした人物は5月に白浜に来い!!
いわば、手錠を掛けて、そばに鍵を置いて「鍵を使ってはいけない」と誓約書を書かせるようなものだぞ。
誓約書を書かせても手錠を鍵で開けるヤツは開けるし、開けないヤツは開けない。手錠を掛けなくても大丈夫。
何を考えるとこんな事が出来るんだ?せめて専門家に相談してから発表したらどうなんだ?

3月 11, 2006 at 09:53 午前 セキュリティと法学 | | コメント (4) | トラックバック (0)

2006.03.10

Winny 問題あれこれ

神奈川新聞より「ウィニーで個人情報流出/アルプス技研
技術者派遣のアルプス技研(相模原市)は九日、元社員の私物パソコンから、同社社員の個人情報や取引先情報が流出したと発表した。

この社員は二〇〇二年八月に同社を退職。在職中に業務で必要なデータを私物パソコンに保存して利用し、退職後もデータを削除せずにいたため、ウイルスに感染してデータが流出したとみられるという。
3年半も経ってから流出事件が解明されたというのは、この会社はよく調査したというべきでしょう。
これほどやっかいな問題ということを考えている人はほとんど居ないではないだろうか?

問題になっている Winny はファイル交換ソフトで、作者が著作権法違反幇助で裁判中です。


朝日新聞より「「逮捕されなければ対処できた」 公判でウィニー開発者
ファイル交換ソフト「ウィニー」の開発者で、著作権法違反幇助(ほうじょ)の罪に問われている元東大大学院助手のプログラマー、金子勇被告(35)の第20回公判が9日、京都地裁(氷室真裁判長)であった。弁護側の被告人質問で金子被告は、全国でウイルスに感染したウィニーを介して情報流出が相次いでいる問題について「私が逮捕されていなければ対処ができ、初めから問題は起きなかった」と述べた。

金子被告は「問題を防ぐように改良することは比較的容易にできるし、積極的に対処したいが、改良を問題視されて、罪に問われた。今改良すれば、また幇助に問われることになる」と述べた。
この点について、実際にこの公判を傍聴した弁護士 落合洋司 (東京弁護士会) の 「日々是好日」さんで落合弁護士が意見を述べています。
昨日のエントリーで言及した警察庁長官の言動を見ても、ウイニーの技術そのものや開発行為自体を違法視していることが明らかですから、確かに、改良したくても怖くて手は加えられないでしょうね。「保釈中の再犯」などということになったら大変です。 改良などの開発を今後はしない、という誓約書をとった人や組織が、責任を持って自ら改良するのが筋でしょう。
この「技術開発を問題にしている」のが著作権違反幇助で刑事事件という珍しい裁判で当初からネットワークで盛り上がった点です。
ソフトウェアの開発が問題なら、マイクロソフトは大犯罪者といった議論ですね。

しかし、社会的な事件がここまで大きなことになると、開発の意図などは別にしても社会的に無視できない損失が起きたというべきで、法的に正しい判断かは分かりませんが使用が社会的に制約されている他の技術と同等に扱うべき事かと思います。

技術の歴史の上では、銃器や薬品の扱いなどは生産や配付自体が免許制度などで制約されていますから、ソフトウェアについても開発・研究と配付の間にハードルを設けるといったことは考慮するべき時代なのかもしれません。
わたしが始めて参加した1999年のコンピュータ犯罪に関する白浜シンポジウムで「従業員の監視のめたにインストールを推奨するソフトウェア」としてFBI関係者が推奨していたのは、ネットワーク上のクライアントの動作をすっかりコピーしてしまうスパイウェアでした。
こういうソフトウェア技術の必要性自体はありますから、今後も開発されるでしょう。

つまりは Winny による情報流出は Winny だからの問題ではなく、通称「キンタマウイルス」と呼ばれるものが Winny 利用者のPCに感染し Winny で中身が公開されてしまうところに問題があるのです。 スパイし放送(公開)するウイルス、という極めてやっかいな性質のものです。

以上の説明でお察しの方は多い思いますが別に Winny だけがこんな機能を持つわけではない、と思われていましたがどうも出てきたようです。

IT + Plus より「「ウィニー」無しでも情報暴露、新型ウイルス登場
2月下旬に発見された新型ウイルス「山田オルタナティブ」がネット利用者の間で話題になっている。
同ウイルスに感染すると、パソコン

内部に保存した情報すべてがインターネット上に流出する

おそれがある。
ウイルス対策のトレンドマイクロによると「3月8日まで同ウイルスに感染したとの報告はない」が、今後も被害ゼロで済む可能性は低い。
2ちゃんねるの解説よるに、このウイルスはエロ画像などに付いてくるのだそうで、蔓延の危険性は Winny よりも桁外れに多いと考えるべきでしょう。
こうなると対症療法的な対策では無理だと言うべきで、流出してはまずい情報の仕事・名簿の扱いなどのPCとインターネットで情報を取るあるいは見るPCを分けるのが良いかもしれません。
また情報は流出するものとして、流出後に読めないように暗号化して保存する、といったことがアンチウイルスソフトの導入が義務同然になっているのと同列で考えるべきなのでしょう。
やれやれ、大変な時代になってきました。

3月 10, 2006 at 05:36 午後 セキュリティと法学 | | コメント (0) | トラックバック (0)

2006.03.08

岡山県警事件・担当者が内規違反では

元検弁護士のつぶやきさんの記事「あきれた話」経由、毎日新聞より「岡山県警情報流出:巡査長はセキュリティー担当者
巡査長が署内でパソコンの情報管理などを担当するセキュリティー指導員だったことが8日、分かった。
県警監察課は、巡査長がファイル交換ソフト「ウィニー」の情報流出の危険性を熟知しながら、通達に違反して再三使用していたことを重視、巡査長から連日、事情聴取をしている。

県警では昨年6月以降、再三にわたりファイル交換ソフトのインストールや使用を禁ずる通達を出し、巡査長も一時使用をやめていたが、今年1月から再開していた。この結果、2月末ごろ、暴露ウイルスに感染し、犯罪被害者の実名や国会議員の後援会名簿など大量の捜査資料がネット上に流出した。
これでは確信犯とでも言うのかね?
危険を知っていたわけでしょう。そして一時的には止めたのに再開した。
まるで薬物問題のようじゃないですか。

少なくもと、警察勤務はもちろん機密情報を扱うような分野ではお断りという人ですね。
それが見抜けない岡山県警の責任は大きいですよ。やっちゃってから取り締まったってダメなんだから、損害の回復は出来ないのだから、ネットワーク管理者の自覚としては「やったらネット界では死ぬな」とやってますよ。
現代社会でネット上の死は社会的な死であるし、それは肉体の死となんら変わらないでしょう。 県警は分かっているのかね?

3月 8, 2006 at 06:49 午後 セキュリティと法学 | | コメント (3) | トラックバック (1)

愛媛県警事件・管理していなかった

毎日新聞より「愛媛県警情報流出:パソコンにウイルス対策ソフトなし
県警は捜査資料を取り扱うパソコンがウイルスに無防備だったことを深刻に受け止め、職員の使うすべてのパソコンについて緊急点検を始めた。

県警は職員に対し、公用にパソコンを使う場合、ウイルス対策ソフトを自己負担で購入、インストールしたうえで、「(頻繁に)最新版に更新するように」という指示をしていた。ソフトの種類や更新の頻度などは事実上、職員任せだった。
愛媛県警の亊案は「捜査資料流出・愛媛事件、詳細」に書いたように、2年ぐらい前に県警が管理する以前に私物として利用し、その後は公用には使っていなかったPCから流出したとされています。

しかしですよ「ウイルス対策ソフトを自己負担で購入」ってその程度のPCを登録して公用に使用するというのでは「管理していません。勝手にやって」ということではないですか。

こうなると、県警はPCを使う資格がないとしか言いようがないでしょう。
パソコン通信の管理者ですらスタッフのためにアンチウイルソフトを供給するぐらいのことはやっていましたよ。
どこをどうやれば「自己負担で購入」なんて危ないことが出来るのでしょうか?それではそれぞれの借り上げPCの中身を調べるなんてしていませんね。ひどすぎる。

3月 8, 2006 at 05:24 午後 セキュリティと法学 | | コメント (3) | トラックバック (1)

2006.03.07

捜査資料流出・愛媛事件、詳細

読売新聞より「愛媛県警も捜査資料などがウィニーで流出
県警によると、流出したのは、2004年2月以前に作成された文書ファイル。県警の書式に沿って作成され、県警内部でしか知り得ない情報もある。複数の警察署管内で発生した捜査1課が担当する殺人事件などの文書が含まれ、被害者名などが記載されているという。

県警は、文書の内容から業務で使わなくなった捜査1課員の私物パソコンに、消去されずに残っていた文書が、ウイルスに感染して流出したとみて調べている。

県警は2004年3月、パソコンに関する管理制度を設け、業務に使う私物パソコンは登録制にし、ウィニーなどのソフトのインストールと庁舎外への持ち出しを禁止した。今回流出したデータは、管理制度のない当時のものだった。
以前、流出事件で息子とPCを共用していたら、息子が親の知らない内に Winny をインストールしたのか原因で流出した。という事件がありました。
さらには秋葉原で買った中古HDDの中から個人情報が出てきた事件もありました。

PCの管理のやっかいなとこの一つが、廃棄や使用停止したPCの管理です。
ここまで来ると、個人が自由にPCを使うということと、個人情報などを含めた秘密情報を業務で扱う(仕事に使うことですね)を分けないといけないかもしれませんね。
「業務上PC使用免許証」とか(^^ゞ

3月 7, 2006 at 12:13 午後 セキュリティと法学 | | コメント (2) | トラックバック (0)

捜査資料流出・こんどは愛媛県警?

毎日新聞より「捜査資料:愛媛県警もネット上に流出か
愛媛県警の捜査資料がインターネット上に流出している疑いが出てきた。同県警も情報を把握しており、調査を始めた。

捜査資料を巡っては、岡山県警でウイルスに感染した捜査員のパソコンから約1500人分の個人情報を含む大量の資料がファイル交換ソフト「Winny(ウィニー)」のネットワークに流出したことが明らかになったばかりだ。
本当なのでしょうか?
連日、警察から捜査資料が流出しているというのは、シャレになりません。
社会の安定になによりも必要なのは信頼であって、警察の捜査資料の管理や銀行の口座管理といったものは、一番信頼を要求されるものですから、これは大きな問題ですよ。

3月 7, 2006 at 09:44 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2006.03.06

捜査資料流出・借り上げPC全廃に

読売新聞より「捜査資料流出の岡山県警、私物パソコンを全廃へ
県警は、職員が公用に使うパソコンのうち「公用借り上げ」の私物パソコンを7月までに全廃することを決めた。

県の新年度予算案に新規購入を計上、順次公用パソコンを購入する。県警では、約2500台の公用パソコンのうち、「公用借り上げ」の私物パソコンが約200台を占めている。
2500台のうち2000台(80%)が借り上げとは何なの?
コメントで指摘されました。200台だから8%でしたm(_ _)m

これが実情なのかもしれないが、情報管理という点から根本的にまずいでしょう。
退職者とか仕事が変わるといった情報の環境が変化する場合にどうするのでしょう?
常識的には管理外になったつまりは流出した情報は沢山あるでしょうね。Winny でネット上に流出したから事件になっていますが、情報の管理という視点からはみると管理外のところに情報が蓄積されること自体がまずいワケで、80%のPCの管理に問題があるというのでは、長期的にも何か起きても不思議ではない。

PCの値段だけを見て借り上げという仕組みにしたのだろうと思いますが、情報管理のコスト総額という計算をするべきです。

なんか根本的にどうするのかを考えた方が良いですよ。

【追記】
Winnny で流出するためには、Winny をインストールして、運用して、さらにウイルスに感染する。といった段階が必要で私物のPCだから流出したということではありません。しかし実際に流出すると大騒動になります。
情報には大きさとか重さがほとんど無いので、小さな穴から大量の情報が流出することなります。
その意味では、借り上げPCがあるということ自体がリスクですね。しかし多くの会社でも同じ事になっているわけです。

3月 6, 2006 at 08:12 午前 セキュリティと法学 | | コメント (4) | トラックバック (0)

2006.03.04

捜査資料流出・岡山県警

毎日新聞より「岡山県警:捜査資料が大量に流出 1500人分、ネットに
県警倉敷署の巡査長の私有パソコンがウイルスに感染し、ファイル交換ソフト「Winny(ウィニー)」のネットワークに流れた。警察の内部情報流出としては、過去最大規模。

資料は同署刑事1課勤務の40代の巡査長が99年9月~02年10月ごろ、県警が公用の使用を認めた自分のパソコンで作成。02年10月ごろ、このパソコンが故障したため、署長の許可を得てパソコンを自宅に持ち帰り、家にある別の私有パソコンに一時的にデータを移した。巡査長は県警に「移したデータは消去した」と説明したが、同課の調べで、普段は使わないフォルダーに全データが残されていたことが分かった。

県警は昨年6月、公用使用を認めたパソコンにファイル交換ソフトを入れていた場合、削除を全職員に指導。私有パソコンでも同ソフトの使用を禁じた。

巡査長は今年1月からウィニーを使用。パソコンの記録から流出は今年2月下旬ごろだったらしい。
これは非常に大問題というべきでしょう。
話を整理してみると、結果は情報流出で取り返しがつかないのですが、では事前にもっと何かできたのか?を考えてみると実行されたのであれば、これ以上はちょっと対策が無いのでは?と思います。

事実関係を整理してみます。
私物のPCで作業することを認めていなかった。
故障したので自宅のPCで作業した。
データを削除したつもりになっていた。
本人が知らないところに保存されていた。
Winny の削除は昨年6月に指示した。
しかし本年1月に Winny を入れたら、2月に流出したらしい。
これでは対策するといっても個人にPCを使わせない(シンクライアントなどで監視する)ぐらいしか対策が無いでしょう。
どうやれば個人にPCを使わせないようにできるのか?を考えると明らかに無理です。
その一方で、Winny は確かに情報流出で有名ですが、スパイウェアの技術は多くのアプリケーションが使いたいことの一つで無くすことはできない。
両方とも無くならないのですから、重要情報の流出を防ぐことはできない、となります。

また「重要情報の流出」と書きましたが「何が重要情報か?」という問題もあります。いやはやどうしたものでしょうかねぇ?

3月 4, 2006 at 11:46 午前 セキュリティと法学 | | コメント (2) | トラックバック (2)

2006.02.27

情報流出・因果関係を整理しないのか?

海上自衛隊の艦艇の情報を持ち出したあげく私物PCの Winny がウイルス感染していて機密情報をバラ撒いてしまったという事件に、産経新聞東京新聞北海道新聞が社説を出しています。
キーワードがモラル(産経新聞)、緊張感(東京新聞)、緩んでいる(北海道新聞)でキーワードだけからは「人的な問題、しかも個人的な問題」と読めます。

産経新聞社説より「海自情報流出 モラルの低下が露呈した
問題は安全保障に関する情報管理のずさんさだ。通信業務を担当し、「極秘」情報まで扱うことが認められている海曹長は、職場のパソコン内にあった秘密情報を無断でCD-Rに落とし、自宅に持ち帰っていた。防衛秘密を外部に持ち出すことは防衛庁の訓令で禁じられているのにである。

防衛庁は情報管理の徹底を指示したばかりだ。それだけに今回の流出は隊員個人や組織の情報管理の甘さにとどまらず、背後にはモラルの低下という大きな問題が内包されている。
東京新聞社説より「海自情報流出 緊張感が不足している
ウイルスの危険は、コンピューターの初心者でも知っている。私物のパソコンに秘密情報を保存すれば、流出の危険が高まることも常識だ。隊員が部隊のデータベースから、容易に秘密情報を取り出していた実態も不可解だ。

さらに、情報管理をおろそかにした隊員個人だけでなく、隊員の危険な行動を抑制できなかった自衛隊組織の問題点を徹底的に洗い出し、事件の再発を防止する必要がある。

自衛隊の組織には閉鎖的な体質があり、情報管理をめぐる新しい知識に疎い面があるのかもしれない。秘密情報を扱う隊員については、教育課程も再点検すべきだ。
北海道新聞社説より「情報流出*どこか緩んでいないか
同じ過ちが繰り返されるのは綱紀に緩みがあるからといわざるを得ない。小泉純一郎首相が直接、防衛庁に防止策を指示したのは、そうした危機感の表れだろう。

ただ、インターネットへの情報流出が一部の組織や個人の問題ではなくなっているのも事実だ。

それでも、ファイルの持ち出しを防ぐ方策など官民それぞれの組織でできることはある。情報の万全な管理は、情報を預かる組織の責務だということを忘れないでほしい。
なんでこうなるのか?まるで情報流出させた人は「流出する可能性があるのを承知しているのに、危険を犯すようなモラルの低下」といった論理に読めます。

ウイルスの危険は、コンピューターの初心者でも知っている。


本気で「初心者でも知っている」=「対処できる」と思っているのか?
多少ともPCの相談に乗った人にはこんなことは絶対に言えないだろう。

PCは社会的には極めて強力な道具で、ネットワークをPCで利用出来るようになったのは人類史上で自動車の実用化以上の大変化ではないかと思っています。
確かに昔のMS-DOSマシンに比べると「誰でも使えるようになった」のは事実ですが、社会常識が時間の経過に対して水平線であるとすると、時間が経つにつれて簡単になるのは下り勾配の線なのでしょう。
一方、PC(の及ぼす影響)はどんどん大きくなっているのですからこれを上り勾配だとすると、常識の水平線が使いやすさを上回った時点で「誰にも使える」になったわけですが、同時に能力も増えているので全体が把握できなくなっています。

「初心者でも知っている」のか「誰にも分からない」のかどっちなのだ?


いずれにしろ「人だけを何とかすれば対処できる」のは間違えだろう。
どうも日本の「結果だけを重視する」という姿勢が最近強くなってきたように思う。情報流出問題への対処は決して簡単ではないし、場合によってはかなりの対策費が必要になる。公務員の多くが私物PCを仕事に使うところにかなりの問題があると思ってます。

2月 27, 2006 at 09:46 午前 セキュリティと法学 | | コメント (4) | トラックバック (0)

2006.02.25

メールの証拠能力の扱いは?

今回の民主党・永田議員の「メールを印刷したモノのコピーを証拠として告発」したというのが「証拠になるかよ?」となっているわけです。
「証拠はあるのか?」とは誰もが問題にするところですが、実はちゃんとした手法は研究されていて、日本でも提案されています。まだ一般的に通用しているとは言い難いのですが「デジタルフォレンジック」と言います。

証拠とは刑事・民事で評価が違うのですが法律の世界では「絶対的証拠」というのはありません。その意味では「これは怪しい」というのは十分にそれだけで証拠であります。
よって「証拠Aというが、事実Bと反するのだが?」ということになると「証拠Aは確かなのか?」になってその事件は「怪しいとは言えない」=「怪しくない」となります。

特にデジタル技術ではコピーによる劣化がありませんから「証拠Aは後から書き加えたから、インクの色が違う」なんてことがありません。「後から」かどうかは「時間の記録」を見るしかないです。

この話の怖いのは「このメールには3年前の・・・」なんてことを主張しても、実は昨日作ったものかもしれない。
ということです。ただ、絶対的証拠や証拠能力よりも特に民事では「総合して判断する」ですから、裁判の実務や社会常識の範囲では使い物になるのです。

ちょっと挙げた「メールを作った時刻を証明する」という話になると、メールの内容などを印刷物で判定するなんてのはまるで無理で別の技術が必要なってきます。そうしないと「証拠を示す」ことすら出来ません。それを「デジタルフォレンジック」と呼びます。

「特定非営利活動法人デジタル・フォレンジック研究会」役員構成を見ると、22人中の5人が顔なじみというのはわたし個人としては問題があるような気がします(^^ゞ(世間がドンドン狭くなる)
デジタル・フォレンジックとは?
インジデント・レスポンス(コンピューターやネットワーク等の資源及び環境の不正使用、サービス妨害行為、データの破壊、意図しない情報の開示等、並びにそれらへ至るための行為(事象)等への対応等を言う。)や法的紛争・訴訟に対し、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術を言います。

デジタル証拠の確保が図られることによって、コンピュータセキュリティを積極的に維持することができます。具体的には、以下のような分野に展開されます。
1.ハイテク犯罪や情報漏えい事件などの不正行為発生後にデジタル機器等を調査し、
いつどこで誰が何をなぜ行ったか等の情報を適切に取得し、
問題を解決するインシデント・レスポンスとして。


2.定期的にフォレンジックを用いた監査を行う事により、
不正行為の発生を抑止するとともに発生後の対応を迅速に行えるようにする、
広義の意味でのインシデント・レスポンスとして。


3.デジタル・データの保全、解析、保管等の取り扱い手法に関して適切に行われているかを議論する事により、
相互の法的権利を正しく守る活動として。
大変にややこしい説明で、白浜シンポジウム・湯沢シンポジウムなどでも繰り返して説明されている内容です。
しかしこのややこしい問題が本質的には「証拠という万人が了解できる情報を確定する」ことなのですが、この種の配慮や措置をしないで出てきた「永田(紙)コピー」のようなものは信用しろという方が無理、というべきです。

こんなことを総合して考えると、永田議員のやったことは「自動車を運転しているから、自動車メーカの技術に通じている誤解した」といったレベルの話ですが、インターネットやメールというものについてあまり詳しく知らずに使っている・使えるといったことを忘れていたのか知らなかったのでしょうね。

PS 前原代表は、メールは証拠にならないが真相追求をする、記者会見しましたがその根拠は示してないですね。なんなんだ?

2月 25, 2006 at 11:58 午前 セキュリティと法学 | | コメント (2) | トラックバック (1)

2006.02.23

Winny・海上自衛隊の機密情報が漏洩

毎日新聞より「海自機密データ:「極秘」暗号書類などネット上に流出
海上自衛隊の「極秘」と書かれた暗号関係の書類や、戦闘訓練の計画表とその評価書など、多数の機密データがネット上に流出していることが、22日分かった。流出した海自情報はフロッピーディスク約290枚分に相当する膨大なもの。約130の自衛艦船舶電話番号や顔写真付きの隊員名簿、非常時連絡網なども含まれており、防衛庁は事実関係について調査を始めた。

情報は、ファイル交換ソフト「Winny(ウィニー)」のネットワークに今月中旬に流出した。ファイルの内容などから、護衛艦「あさゆき」の関係者のパソコンが「暴露ウイルス」に感染したことが原因とみられる。
また、Winny ですか!ですな。
どうも Winny による情報流出について、報道は基本的に分かってないのではないか?と強く思います。

情報漏洩の危険を防ぐために何が必要か?という問題と、情報を扱いやすくするにはどうするか?というのは、基本的にほぼ相反する命題です。
情報で一番扱いやすいのは「誰でもアクセスできるもの」で例えばNTTの電話帳なんてのは扱いやすい方の代表格でしょう。「電話帳を見ると住所が出てるよ」と電話で言うだけで情報の共有が出来ます。

情報を段々と秘密にしていくと、基本的には「アクセスしにくくする」になっていきます。
パスワードを付ける、暗号化する、なんてのはすべてアクセスしにくくするから情報が漏洩しない、という原理で簡単に言えば「情報を金庫に閉まって、カギを掛ける」といったイメージです。

Winny はP2Pソフトの代表格で、ネットワーク上のPCがお互いの情報を直接通信するもので、特別な設備投資などをせずにインターネットを利用できる、と考えると非常に有望な技術です。
しかし、これは上記の「情報を金庫にしまって、カギを掛ける」というのとは正反対に近いことです。

P2Pは自分のPCが情報を外部から取り出せるようにする、つまりサーバー機能を持たせることと同義語です。それだけでかなり高度な注意が必要だと言えます。サーバーを設置して安全に運用することは誰もが簡単にできる、と言ってはまだダメでしょう。

しかし、もっと重要だとわたしが思うのは「基本的にセキュリティをどう考える?」が整理されていないのではないか?と強く思うのです。
このところ行政(自衛隊も含む)からの情報流出に「Winny で」というのが連続しています。その多くが、個人用所有のPCを自宅で使っていた。という例ばかりです。
ごく普通に考えても「個人の用のPCに行政の情報を入れさせるものか?」ですし、まして「自宅でネットを接続して作業する」とはどういうことだ?となります。

言うまでも無く、お役所を初め企業などはネットワークにファイヤーウォールを入れるなどで、ネットワーク全体を管理しているのですから「自宅で同じPCを使う」では何のための設備投資か?となってしまって「意味無いだろう!!」なのです。

問題は
職場外に情報を持ち出すことの問題
個人PCで仕事をすることの問題
情報の機密度に応じて、PCなどを使い分ける必要性
があると考えていますが、これをすべて無視した上に「情報流出の可能性が極めて高い Winny を使った」なのです。
何段階もあるフィルターをすり抜けて最後が Winny だとするのなら、行政などが「なんで情報を持ち出させたのか」や「個人PCで仕事をすること是認して良いのか」という組織の情報セキュリティ・レベルの甘さの問題、だと言えます。

セキュリティの問題はハードウェア・ソフトウェアにお金を掛ければどうにかなる、という問題ではなくて教育・訓練などにこそお金を掛けるべきです。結局は最初に書いた現場が「利便性」=「コストダウン」の追求に傾き過ぎている、ということでしょう。

2月 23, 2006 at 08:10 午前 セキュリティと法学 | | コメント (1) | トラックバック (2)

2006.02.01

山梨県・インターネット監視ボランティア

山梨日日新聞より「ネット犯罪防げ サイバーパトに市民〝出動〟
県警がボランティア28人を委嘱 監視サポート
ヘッドラインしか無いのでこれだけです。どうなっているのか分かりません。

そこで山梨県警のHPを見てみるとこんなページを見つけました。 「山梨県警察本部 山梨県インターネットプロバイダ連絡協議会」中には

宣言文
事業計画
会員名簿
サイバー犯罪の防犯対策
インターネット事件簿
山梨県警察本部ホームページへ

と並んでいますが、どれかをクリックすると
事務局
山梨県警察本部刑事部
生活安全企画課サイバー犯罪対策
055-235-2121
と出てきます。
うーむ県警が事務局のプロバイダー連絡協議会ですか・・・。
「宣言文」を読むとこの「協議会」の事業目的がはっきり書いてあります。
私たちは、山梨県において、ネットワークサービス提供に関わる業務を行う者として、自ら及び業界に課せられた社会的責任を自覚し、ネットワーク環境の浄化と健全な発展を目指すとともに、県民の健全で安心できる日常生活や経済活動を確保するため、会員が一致協力して次の事項を推進します。
○コンピュータ・ネットワークを利用した犯罪の被害防止
○自主防犯体制の強化、適正事業の推進
○青少年健全育成対策の推進
○会員相互による連携の強化と情報交換体制の確立
○インターネット利用者等に対する自主防犯意識の啓蒙
事務局
山梨県警察本部刑事部 生活安全企画課ハイテク犯罪対策室
055-235-2121
なんかすごいものを見つけてしまったような気がしています。

2月 1, 2006 at 07:55 午前 セキュリティと法学 | | コメント (1) | トラックバック (1)

2005.12.23

忘年会

昨日は「リンク総合法律事務所・懇親会」なるものに参加してきました。
紀藤弁護士の事務所の忘年会ということですが、立食パーティー型式で3時間もやってました。
参加者は100人ぐらいかと思いますが、小宮山衆議院議員、経済評論家の荻原博子氏、TBS、テレビ朝日といったところが挨拶したりとなかなか幅広いところからの参加者でした。

大きく分けて、リンク総合法律事務所の全職員+所属弁護士全員、関係のある弁護士、放送局、出版社、新聞社などマスコミ、宗教問題被害者、我々ネットワーカーなどといった思い切り幅広いメンバーでした。

二次会でも20人ぐらいいたのではないでしょうか?わたしは二次会までだったのでかろうじて終電で帰って来ました。

今回は毎日新聞社の教育取材班の方とコンタクトが付いたのがわたしには一番の収穫でした。

ホームオブハート事件平和神軍事件奥平事件などは当事者を良く知っていますし、裁判も傍聴していて、今年になって関わった中西 vs 松井裁判では応援サイトの運営などを手伝っています。
97年ぐらいからネットの法律問題は現代思想フォーラム裁判で身近になってきましたが、裁判の実際は新聞報道と同等でごくマレに当事者から報告がある、いった情況が続いていて、ネット上で裁判あること知っていても傍聴するといった方は極めて少ないのが実情でした。

わたしが裁判に関わったのはホームオブハート事件となりますが、この裁判からわたしは傍聴記を公開するようなしたのですが、この次期からブログが普及したこともあって傍聴記などがネットに出始めました。
中西 vs 松井裁判では関係者が学者ばかりなので元々HPで「この裁判は問題だ」と取り上げている方が複数いらっしゃったことなどもあって、意識して「ネットで情報を拡大しよう」と企画してみました。

掲示板の参加者にも多方面の意見をいただくようにして、個々の見解についてHPやブログで公開といったように、なるべく多くのサイトに出していただくようにお願いしました。
これは基本的には「ネット上で盛り上げる」という感じだったのですが、驚くべき事には傍聴者が増加してしまいました。

傍聴記をHPや掲示板に書く→コメントする人が居る→次は傍聴する、といった展開になっています。
実際に裁判を傍聴すると「次回も見よう」と思うものですが、ネット上でもこのような感想が出てきたわけで、いわば裁判のネット公開になったわけです。
これは予想外でしたが、ここまでの動きは全部で2年間なのです。
実に急速に動いたわけで、リンク総合法律事務所の懇親会も弁護士事務所がやるパーティとしてもちょっと異例でしょう。つまり法律・裁判といった業界も急速に変わりつつあることがハッキリした一年でありました。

12月 23, 2005 at 08:59 午前 セキュリティと法学 | | コメント (1) | トラックバック (0)

2005.11.02

裁判員裁判の実施要領

朝日新聞より「裁判員制、量刑検索が可能に 証拠は減量 最高裁試案
導入まで3年半に迫った裁判員制度をめぐり、裁判をどうわかりやすく進めるかについて最高裁がつくった試案の全容がわかった。

これまで実施してきた模擬裁判では、裁判員と裁判官の間で量刑判断に差が出るケースが目立った。
過去の似たような事件でどんな判決が出たかを裁判所の「量刑検索システム」を使いやすく改良し、裁判員はもちろん、検察官と弁護人にも開示するとした。

証拠を大幅に減らすことにも力点を置く。そのため、検察官と弁護人が争いのない点については公判前に「合意文書」をつくり、簡潔な証拠として示す制度の活用を提唱している。
裁判員制度のイメージが固まって来てシミュレーションドラマが放送されるようになった時に一番感じたのが「裁判員が裁判に関わるので拘束されるのは2~3日だ」という点で「そんなに簡単に進むものか?」と思ってました。

朝日新聞の記事のように「量刑の決定で混乱する」のはもちろんとして前例やいわば相場というか常識といった点の議論になるだろうから、2~3日で結論が出せるモノか?と思っていたわけです。

また、膨大な証拠を読むというのはやったことが無いですが、法廷に出される証拠の山を見るとこれを読むこと自体がとても大変そうで法曹界の人たちは常識としてやっていることが経験が無い人がすぐに出来るモノか?という思いもあります。
だからといって簡易にすればよいということでも無いでしょうから、やってみないと分からないということなるでしょうか?

まぁそれでも裁判所(最高裁)が一生懸命やっているという印象は受けますね。
実際に地裁の裁判を見ていると、傍聴人をかなり意識している裁判官を増えてきたようで、裁判員制度の実施に向けて裁判所はオープンに市民は裁判に関心を持つ、というのは大事なことだと思います。

11月 2, 2005 at 04:07 午後 セキュリティと法学 | | コメント (2) | トラックバック (3)

2005.10.16

鳥取県の人権条例・その2

10月14日書いた鳥取県の人権条例にはコメント・トラックバックをいただいたが、毎日新聞社説も非常に厳しい批判をしている。
そもそも一つの県に固有の人権侵害が存在するのかどうか。基本的人権は、全国どこでも等しく保障されるべきだ。必要なら法律で一律に保護するものではないのか。

条例では、人種差別や虐待、セクハラ、差別につながる興信所による身元調査など8項目を禁止すべき人権侵害と規定した。この中で「私生活に関する事実、肖像その他の情報を公然と摘示する行為」を禁止すべき行為に挙げた。プライバシーが保護されるのは当然だが、憲法で保障された「表現の自由」を制約しかねない条項を見過ごすわけにはいかない。

委員5人は知事が任命し、事務局員は県職員が担当する。さながら知事直轄の監視機関である。知事や県幹部の「人権擁護」はさぞかし盤石になるだろう。

その一方で行政機関の人権侵害の追及には「抜け穴」を作っている。条例には「公共の安全と秩序の維持に支障を及ぼすおそれがある時は、人権侵害の事実の有無を明らかにせずに協力を拒否できる」との項目を挿入した。実態として刑務所や拘置所などを調査の対象から外しているのだ。
法律や条例に違反すると裁判に掛けられて処罰される、と理解されています。
ところが個人情報保護法を勉強していて行政法ではまず行政処分があって、行政処分に反すると初めて裁判となり懲役刑もある、という構造であることを知りました。

このことをだいぶ前に「行政法を適用されると一般に厳しく処罰される傾向がある」と聞きました。

要するに三権分立の抜け道的な側面があるということですね。
さて鳥取県の人権条例はどうか?と見てみると、基本的に人権委員がまず呼び出すわけですが、場合によっては反論できる機会すらありません。つまり事実関係を争うことが出来ない。
そして処分があって、不満であれば行政処分不服審判にでもするのでしょうかね?

基本的に行政法の考え方は手続きが正しいのかを行政が監視しているというものであって、結果について評価するのはヘンじゃないかと思うのです。それは国の司法の問題です。
そういう点からもかなり憲法違反の条例である疑いが強いと思います。

10月 16, 2005 at 09:51 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2005.10.14

鳥取県の人権条例

読売新聞社説より「[鳥取人権条例]「拙速な制定に追従すべきでない」
鳥取県が全国に先駆けて「人権救済条例」を制定した。差別的言動や虐待など、人権侵害の被害救済を目的とし、来年6月に施行される。

救済機関となる人権侵害救済推進委員会は、知事が任命する男女5人の委員で構成される。被害救済の申し立てを受けて調査を開始し、加害者側に是正勧告などを行う。従わないと氏名、住所などが「公表」される。

委員会の調査権限は絶大だ。条文上は事情聴取や資料提供などの「協力」を求めることができる、とされているが、拒めば5万円以下の過料が課される。実質的な処罰規定で、調査に応じることを強制しているに等しい。
ずいぶん強力な条例を制定したものだと思う。
「人権」と名付けるとなんか特別のものがあるように感じるが名誉毀損と重なるのではないか?と直感的に思う実際にこのようなことらしい。

「名誉又は社会的信用を低下させる目的」で、「私生活に関する事実を公然と摘示する行為」に当たる、と判断されれば、是正勧告の対象となる。
読売新聞社説などは報道機関が適用除外になっていないことを問題にしている。
「人権侵害」の定義があいまいな上、報道機関が適用対象とされていることも大きな懸念材料だ。
報道の公共性や公益目的の有無などは勘案されず、政治家の不正疑惑を追及する記事なども一律に規制対象になる恐れがある。
その一方で、行政機関の長が、調査への協力は「捜査」や「刑の執行」、「公共の安全と秩序の維持」などに支障を来す、と判断すれば、協力要請を拒めるという規定もある。

警察や刑務所での強圧的取り調べや、職員による暴行事件がしばしば問題になる。救済申し立てがあっても、県警本部長や刑務所長が「ノー」と言えば、調査はそこでストップしてしまう。

私人には罰則を課しながら、公権力機関には“抜け穴”を用意するなど、条例は著しく均衡を欠いている。委員会が実質的に県の付属機関となっている点も、独立性の点で問題がある。
しかし、わたしには名誉毀損罪として刑法・民法で定義されていて手続き的も長年の実績がありる法律問題について条例を定めてはどちらで判定するのか?という問題になってしまうし、そもそも反論のしようない条例のように見えるから鳥取県弁護士会が会長声明で「憲法違反の恐れがある」と述べたのは当然ことと言える。
この条例については引き続き検証する必要がある。

10月 14, 2005 at 08:37 午前 セキュリティと法学 | | コメント (8) | トラックバック (3)

2005.08.22

会社から通帳と印鑑を持ち出したドロボー?

オンライン操作で2億5千万円の詐取?」を書いたのは8月10日で、事件は8月1日に起きていた。
オンラインで銀行から詐取というのもすごいと思ったが、塾業界にお金があるのねという事も感心した。オンラインで出し入れ出来る預貯金が億円というのがすごいと思っていたらこんな事件があった。
読売新聞より「「Z会」子会社、通帳盗まれ7億5千万円引き出される
犯人は、社内の金庫に保管されていた預金通帳を持って都市銀行の窓口に現れ、堂々と大金をせしめていた。警視庁神田署は窃盗や業務上横領の疑いで捜査を進めているが、「社内の事情を知る者の関与が濃厚」という指摘に、会社関係者は戸惑いを隠せない。
いやはや驚いた。
通帳と印鑑を盗まれて、って個人の家でも「通帳と印鑑は一緒に置くな」と言われるし、最近は通帳に印鑑を捺さないのも、通帳を盗まれても印鑑が分からないようにして安全を高めるためだ。
さらに、会社の金庫に保管してあるのが盗難されたのなら「開けた手口」が分かるだろう。

警察じゃなくても「社内の事情を知る者が関与」としか思わないだろうが、それを「会社関係者は戸惑っている」というのはどういうことなのだろうか?
偏見だとは思うが「塾業界は大金の管理が甘いのか?」と思ってしまう。

8月 22, 2005 at 06:22 午後 セキュリティと法学 | | コメント (2) | トラックバック (0)

2005.08.19

通信傍受法の活用と言われても

北國新聞社説より「サイバー犯罪 通信傍受法生かすべき
インターネットなどの情報技術を悪用した「サイバー犯罪」が急増し、かつ凶悪化している現状は、法制面の整備も含めて新たな対応を迫っているといえる。
いきなりこう始まりますか・・・・・。

通信傍受法は組織犯罪対策三法の一つで、薬物・銃器・集団密航・組織的殺人の四分野に限り、捜査機関が裁判官の令状に基づき電話やファクスのほか電子メールを傍受することが認められている。
同法の適用につては、「通信の秘密を侵してはならない」とする憲法二十一条に抵触するとして反対意見が根強く、適用を拡大するとなると抵抗もあろうが、凶悪犯罪を防ぐため、野放図に流れるネット上の有害情報を監視し、規制する方策を考えるべきときにきている。
だから「どうやってやるのだ?」と考えると、使えない法律だろうという見解が出ているのだが・・・・・。
政府が先にまとめたネット上の違法・有害情報対策は

有害サイトの閲覧を制限できるソフトの普及
接続業者による有害情報の自主規制支援
違法・有害情報に関する専門相談窓口の設置

などで、これら対策の具体化も急がねばならない。
だから、それをどうやってやるのさ?
今、ネットワークを規制する(ある種の規制は必要だと思うが)のが難しいという議論をしているつもりなのだが、ここまで単純化した「ねばならない」とか社説で言われても「だからどうした?」と投げ返すしか無いと思う。 ネット問題についての既存マスコミの記事は相変わらずかなり偏っていると思わざるを得ない。

8月 19, 2005 at 09:06 午前 セキュリティと法学 | | コメント (0) | トラックバック (1)

2005.08.10

オンライン操作で2億5千万円の詐取?

IT Pro より「ネット・バンキングで無関係口座に2億5500万円振り込み被害、学習塾の修学社
学習塾「シドウ会」を経営する修学社は8月8日、何者かがネット・バンキングで同社の口座から2億5500万円を無関係の口座に振り込み、現金で引き出したと発表した。
利用していたのはみずほ銀行のネット・バンキング。パソコンは社内に設置した1台に限定しており、操作する社員も二人に限っていた。同社は「社員二人は振り込み予約が実施された時刻には、すでに社内にはいなかったので、内部犯行の可能性は低い」としており、スパイウエアなどを利用した犯行の可能性もある。
要するに、インターネットバンキングで、操作担当者と利用端末が確定してい、それを使っていないことがはっきりしている、ということなのだろうけどこれでは「インターネットバンキングは使えない」となってしまうので注目していました。そうしたら続報が「【続報】2億5500万円の不正振り込みは専用端末によるものと判明」ときました。
ネット・バンキングではなく、ホストと電話回線でつながった専用端末であることが分かった。これにより、ネット経由での不正アクセスの可能性は低くなった。
同社が利用していたサービスでは、特定のパソコンを使った上でID/パスワードによる認証に成功しなければ、振り込み操作はできない。犯人は8月1日の 22時30分に、同社が持つみずほ銀行の口座から、翌日に2億5500万円をほかの口座に振り込むよう予約手続きをしていたことが分かっている。
ネット経由での不正アクセスによるものでないとすると、内部犯行や、同社内に侵入して直接端末を操作した可能性などが考えられる。
どうも今ひとつ理解出来ないのだが、この会社は銀行とインターネットバンキングではないオンラインサービスの回線を持っていたということなのだろうか?
だとすると、それを監視記録する装置はあったのかね? 実際には何があったのだろうか?

8月 10, 2005 at 01:47 午前 セキュリティと法学 | | コメント (9) | トラックバック (1)

2005.08.08

ひどい青森県の条例

Respose より「個人情報保護法を理由に処分者の実名公表を見送り…青森
青森県教育委員会は3日、酒気帯び運転で事故を起こした46歳の中学校教諭と27歳の高校教諭を同日付けで懲戒免職処分とすることを決定した。これまで実施されていた氏名公表については、県の個人情報保護法を理由に公開が見送られることとなった。
この条例には「本人、または第三者の権利利益を不当に侵害させる恐れがあるときは保有する個人情報を提出できない」という規定があり、これまでどおり実名を公表した場合には「第三者である学校や生徒の名誉を傷つける」と判断されたようだ。
こんな条例は許されないだろう。
「第三者の名誉を不当に侵害させる恐れのある場合」では「全部」にしかならないだろう。
明らかに個人情報保護法の解釈間違いであって、この条例は個人情報保護法とは無関係の「情報隠し条例」以外の何物でもないと思う。

8月 8, 2005 at 10:55 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2005.07.06

価格.COMハッキング犯が逮捕された?

サンケイ新聞より「24万人分の顧客情報入手か 中国人留学生を逮捕
今年3月、旅行会社クラブツーリズムのサーバーから大量の顧客情報が外部流出した事件で、警視庁ハイテク犯罪対策総合センターは6日までに、不正アクセス禁止法違反などの疑いで、私立大学に通う中国人留学生の男を逮捕した。
警視庁によると、このほか、カカクコムやアデコ、静岡新聞社がそれぞれ運営するサイトから不正入手したとみられる計約13万人分の個人情報も残されていた。
あらら大物逮捕かと思ったらどうもそれほどのことではないらしい。

男は「(個人情報をネット上で売却して)学費を稼ぐために1人でやった」と供述しているという。 調べでは、男は3月15日から17日にかけ、自宅のパソコンから、クラブツーリズムが管理するサーバーに断続的に侵入。同社の会員の氏名や住所、電話番号、IDやパスワードなどを入手した疑い。
ええ?である。この供述だと素人の小遣い稼ぎと読めるが、そんなことで価格.COM が停まってしまうようでは、大問題だろう。
組織的にやっているグループの末端とか、犯行(犯罪だから)マニアの情報ネットワークとかあるのでしょうかね?

いずれにしても、この手の犯罪抑止は「引き合わない」ようにさせるのが最も良い手段であって「完全・絶対防御」とか言っても「ズボッと抜かれる」というのが一番困ります。
ソフトバンクBBの事件は、インターネットカフェでダウンロードできたという事例です。
インターネットカフェからアクセスできるというのもひどいが、名簿などがダウンロード出来るというのは怖い。
顧客対応のために個人情報に触れる業務があるのは当然であるが、個々の顧客対応のためにダウンロードする必要なんて無い。
つまり、ソフトバンクBBは二重に危険を犯していて、結果的に大量流出となった。これでペナルティが無いのはヘンではないか?
ある程度の規模で個人情報を扱っているところは、強制的に保険に入れてしまって、アクシデント・インシデントに応じて保険料を変えてペナルティを課すとかするべきでしょう。
確かにドロボーは罰するべきだが、消費者が期待する鍵を掛けていないことがペナルティにならないのでは改善されないだろう。

7月 6, 2005 at 11:56 午前 セキュリティと法学 | | コメント (0) | トラックバック (2)

2005.06.18

全日空のPC盗難・内部犯行だったが

北海道新聞より「全日空子会社の社員逮捕 パソコン3台盗む

この事件はこういうことです。
読売新聞17日23時の記事「パソコン盗まれ5300人分情報流出…全日空本社ビル
全日空は17日、東京都港区の同社本社ビルで約5300人分の個人情報が入ったパソコンが盗まれたと発表した。
パソコンが置いてあった部屋は施錠されていたが、15日夜から16日朝にかけて何者かがマスターキーを使って侵入した可能性が高いという。
誰が考えても中で仕事していた人物が犯人だろう。
パソコン3台が東京都港区の全日空本社ビルから盗まれた事件で、警視庁愛宕署は18日、窃盗の疑いで埼玉県入間市に住む同社子会社社員の男(32)を逮捕した。
厨房ですか?
全く何を考えているのやら?いや、全く考えてないのか?

しかし全日空は大被害です。今頃、何人もの管理職が総動員態勢でしょう。個人情報保護法対応策を国土交通省に提出することになります。もちろん、文章だけでなく実際の対応策を実行しなければならない。
法律は行政からの是正命令などがペナルティとして働くから個人情報取扱事業者は個人情報の管理をキチンとするだろう、という想定なので今回の時点で全日空に実質的なペナルティが課せられるのは法律の運用として全く正しいです。

しかしですね、こんな厨房か?というような人物が引き起こした事件のようなものは極めて小さな確率ではあっても防げないですからね、全日空の担当者としては「冗談じゃない」でありましょう。

6月 18, 2005 at 10:48 午前 セキュリティと法学 | | コメント (1) | トラックバック (0)

2005.06.17

個人情報保護法に刑事罰というが

読売新聞社説より「過剰規制にならぬ配慮が必要だ
民間企業の社員に個人情報流出事件に刑事罰を科す、個人情報保護法の改正案を自民党が検討していることについての社説です。

現行の個人情報保護法は、大量の個人データを扱う事業者を規制する法律で、情報を漏洩させた実行行為者を直接処罰する規定はない。
法の制定後も、社員らが大量の個人情報をコピーして持ち出す事件は後を絶たないが、警察は捜査に動けず、抑止効果も期待できないのが実情だ。
流出した情報は、振り込め詐欺や架空請求などにも悪用されている。大量流出の場合、企業が情報の被害者に配る謝罪の金券なども巨額にのぼる。
法律に「隙間(すきま)」があることは以前から指摘されていた。犯罪の“張本人”を罰する規定は、やはり必要だろう。相次ぐ事件に歯止めをかけるためにも、早めに対処すべきだ。
ただ、処罰規定を設ける際には、構成要件などに慎重な配慮がほしい。
ようするに刑事罰は必要だという社説なのだが、現時点では個人情報流出事件のかなり多くが事故です。

コンピュータ犯罪の白浜シンポジウムでの報告では3割が盗難、置き引き、車上荒らし、置き忘れなどとのことですからこれらに刑事罰を科して流出事件が減るものでしょうかね?
この数字は報道のデータによるものですから、子細に調べると犯罪的に個人情報が流出した事例はもっと減るかもしれない。

確かに法的には問題かもしれないが、その多くは個人情報保護法が個人情報に重要度などを全く評価しないから、という面も多く流出事件の報道で「クレジットカード情報は出ません」とかになっているのは、実態としては情報の重要度が問題だとしていることの反映でしょう。

個人情報保護法の「個人情報とは」が現状のままで刑事罰を科すとなると「名刺を落としたから警察に来い」ということになるわけで、これはどう考えても無理です。
つまり、個人情報保護法の「個人情報の定義」を変更しないと刑事罰を科すことは無理だろうと思うのですが、読売新聞の社説はそこまで検討している形跡を感じさせませんね。

6月 17, 2005 at 09:44 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2005.06.07

弁護事務所がファックス誤送信

北海道新聞より「破産受理票を誤送信 旭川の弁護士事務所

同事務所によると、四月四日、担当弁護士が女性職員に受理票を債権者六人にそれぞれファクスするよう指示。職員が送信後、担当弁護士がファクスの送信記録を確認したところ、六人のうち一人分だけが別人に送付されていたことが分かった。
ファックスの誤送信は良くある話で最近ではファックスからメールに連絡手段が変わったら誤送信とCCでメールアドレスを公開してしまう、という別の問題も発生しています。

これらは個人情報保護法上の情報流出に当たりますから、なんかもっとうまくやる、事故が起きないようにする、といった対策が必要ですが、有効な対策があるか?となると難しいです。

わたしの住んでいる地域のケアプラザ(福祉法人)から、同報メールを安全に出す方法などを含めた相談を受けていますが、同報メールで事故を起こさないようにとなると、送信専用のメーラを使うしか無いようですね。
調べてみたら「メールマジック」というソフトウェアに当たりましたが、SPAM 発信にも使えるわけで(^_^;)悩ましいものですね。

一宮の小学校の先生の流出事件でも、今回の弁護士事務所からの流出事件でも、記事を読んで「注意しよう」ではいつかは流出すると考えて良いのではないか、と思います。
つまり具体的に「こう対策したから、安全性は高まった」と誰もが判断出来るような対策が良いのかな、と思っています。

6月 7, 2005 at 09:28 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2005.06.04

一宮の小学校から情報流出は面倒な事件だ

Tetsu=TaLowの雑記さんの記事「[セキュリティ] バカ?」も見解を述べていますが

北陸中日新聞より「全児童名簿がネット流出 愛知・一宮の市立小
ちょっと前の事件だが、整理された記事がなくてちょっと書くのを控えてきました。

一宮市教委によると、これらの個人情報は小学校で作成、管理されたもので、二〇〇四年三月末ごろ、同小学校の当時の校務主任の男性教諭(47)が、PTAへの案内状作成や成績処理作業を行うため、持ち運びできる外部メモリーに保存して自宅へ持ち出した。この教諭は息子のパソコンで作業し、データを消去しなかったため、個人情報がそのまま息子のパソコンに残った。
息子はこのパソコンでファイル交換ソフト「ウィニー」を使っていたが、今年三月五日から三十日までの間、ウィニーが自動的にデータを外に流すウイルスに感染、パソコンは常時インターネットにつないだ状態だったため、そこから情報が漏れたとみられる。
2004年3月つまり1年以上前に、自宅の息子つまり他人のPCにコピーして作業し、そのまま削除しなかった。
その後、Winy でウイルスに感染しデータが流出した

この問題は、
   1 データを持ち出した
   2 他人のPCで作業し、消さなかった
   3 Winy を使用していて
   4 ウイルス感染していたので、流出した

と言えるでしょうが、実は流出したデータを見てみるともっとやっかいな話しのようです。

名簿には児童の氏名や電話番号、保護者名、住所のほか、一緒に登校するグループの通学班、兄弟姉妹の名前と学年クラスが記載されていた。教職員名簿には、住所、年齢、教員免許の種類、出身大学と卒業年月が書かれていた。
さらに、運動会で児童がグループで走っている写真など複数の児童写真も流出していることが確認され、同教諭が〇三年度に担当した三年生の体育と四年生の図工の個人成績表も流出していた。
この流出データを見るとどう考えても一つのファイルではない。つまり、フォルダーか最悪の場合ドライブの内容をコピーして持ち出したことになるでしょう。
なまじメモリーにコピーして持ち出せる技量があったことが被害を拡大したと言って良いでしょう。

こういう事件に対して「管理を強化する」でなんとかなるものなのでしょうか?
廃棄HDDから情報が流出した場合に、なんでHDDを破壊しておかないのか、という非難のようなものかもしれません。とてもじゃないが、当事者にそのような先の先の問題を理解しろというのが無理なような気がします。
じゃあ「とにかく持ち出すな」で済むのかと言えば「持ち出せないからコピーする」になるに決まってます。社会全体としてコンピュータデータをやり取りしているという現実があるのですから、持ち出すな・ネットに接続するななんてのは全くの無理です。

この先生がやるべきことは
   1 持ち出すデータは必要なファイルだけに限定する
   2 作業するPCにはファイルをコピーしない
   3 作業中はネットワークを切断しておく
   4 作業終了後に TEMP ファイルを削除
といったところでしょうか?
そもそも他人のPCで作業するというのが論外で、他人のPCでやるなら仕事場(学校)の同僚に委託するべきだったでしょう。

後から見ると「そんなの常識だ」と思えるし「よくよく間の悪い組合せで流出した」とも思えますが、その「滅多にない組合せ」で事件は起きるのですね。

6月 4, 2005 at 10:00 午後 セキュリティと法学 | | コメント (3) | トラックバック (1)

2005.05.30

ACCS裁判の余波?

弁護士五右衛門さんの「IT技術者のためのデジタル犯罪論」にあった記事です。
東京地裁判決の具体的不当性について

あるWeBlog に下記のような記載があった。
このWeBlog主は自分のWeBlogへのアクセス解析を見ていて、たまたまURLをクリックしたら、某大学のメールボックスに入ってしまい、当該大学のメールが見放題という状態となったらしい。
東京地方裁判所のACCS事件についての平成16年3月25日判決の論理で考えると、彼の二回目のメールボックス閲覧はどのような評価を受けるのだろうか。
東京地裁判決の論理を敷衍すると、不正アクセス行為に該当し、不正アクセス禁止法違反で有罪となるように思える。

そもそも ACCS 事件とはコンピュータソフトウェア著作権協会(ACCS)のセキュリティが甘いことをプレゼンテーションで実演してしまったことを不正アクセス禁止法にひっかかるのかという裁判があって、東京地裁の判決は「通常パスワードで保護されているはずのところにアクセスしたのだから不正アクセスだ」という内容でありました。

そこで上記の記事になるわけですが引用先の記事を読むとさすがに驚く。少なくとも東京地裁は「通常パスワードで保護されている」ということの検証はしていないだろう。もし逆に「通常隠すべきところが保護されているとは言えないのだから」だったらどうするだろう?

どうも法律と世間の向いている方向が違うような気がする。
位置が同じでも方向が違うという感じかな?

5月 30, 2005 at 11:28 午前 セキュリティと法学 | | コメント (2) | トラックバック (0)

2005.05.28

退職挨拶→個人情報保護法違反?

朝日新聞より岐阜病院の元医師が患者情報持ち出す 院長らを処分
タイトルだけ見るといかにも病院と対立した医師が前の職場からカルテ情報でも持ち出したかのように読んでしまったが、まるで違います。もっと見出しを慎重に付けるべきだよ>朝日新聞社

県立病院での981人分の患者の個人データを持ち出し、これをもとに632通の「退職あいさつ状」を送っていたと、同県が27日発表した。
県の確認に対し、医師は事実を認め「持ち出したデータや患者から届いた礼状、年賀状をもとに『退職あいさつ状』を患者に送った」などとする謝罪文を提出したという。

これは個人情報保護法の実務を検討している時にどうしたものか?ということで話題になっていたことの典型例で、新聞記事になるとは予想していませんでしたが、ここを読んでいらっしゃる方に紹介するのには良い例と言えます。

わたし自身は現在の個人情報保護法は実務レベルでは判断に困るというか、現実的でないところが多々あると思っています。その代表が「名刺一枚落としても役所に届け出る」なんてのですが、もっと根本的な問題があり、かつ全く検討されていないに等しい問題があります。

個人情報保護法は、個人情報を管理することを義務づける法律ですが「誰が何処を管理するのかを調整すること」については全く規定されていません。個人情報を収集する人に管理義務があるのか、収集した情報を集積したところにあるのか、といったところさえ分かりません。というより、個人情報を集めるところ管理するところを分けるなんてことが出来ません。純粋に集めるだけで全く集積も整理もしないということはあり得ないでしょう。その一方で集めているが、その結果を整理して提供する業務というものあるわけですが、提供を受けた側が管理を提供された側の言う通りにするのでは下請けになってしまって、これも現実的ではない。

いささか抽象的に書きましたが、世の中には個人で営業している営業マンという人たちが居ます。この人たちは基本的に自力で顧客を見つけているわけですから、転職時にその名簿持って行くことは少なくとも今までは当然でした。これは退職された企業から見ると顧客を失うのですが、顧客が「○○さんと取引しているのだから」と会社との取引を二番目以下に置いている例は珍しくありません。
また、新製品や新サービスを顧客が受ける当然の権利としても、顧客情報が廃棄されることが望ましいとも言えません。営業マンが個人情報を管理するのであれば、個人情報保護法上は勤務している会社の個人情報管理状態に責任を持つことになります。会社としてはその他の個人情報を保有しているので、営業マンを管理することになります。

こんなことは現実的ではないので、現時点では営業マンの保有する個人情報は会社のモノだということになるような方向ですが、その結果として営業マンは退職時に手帳を置いていくといったことなります。これでは、個人の営業マンは絶滅するしかないわけで、どう考えても社会の活力を失わせる方向にしかなりません。

朝日新聞の記事に戻ってみると、県(病院)側は「個人データを持ち出して」と言っていますが、医師側は「礼状、年賀状のデータだ」と言っています。
個人情報保護法の大問題は情報を区別していないことで、遺伝子情報も氏名も全く同一に扱います。つまり常識的には「年賀状は個人向けだろう」という話しが成立しません。その上に個人向けに礼状が来たとしても病院が受け取って管理するものだ、ということなっているからこんな展開になったのでしょう。法的には病院(県)が正しいのですが、常識としては医師の主張の方が正しいように感じます。こんなことが事件になるのか?というその原因は割とはっきりしています。

あいさつ状には、医師が4月から勤務している県内の民間病院の名前や診察時間なども書かれていた。医師は「患者に何かあったら連絡してくれればと思った」と話しているというが、岐阜病院は「事実上の民間病院の営業案内というとらえ方も不可能ではない」としている。

つまり挨拶状が営業案内に見えるモノだから問題になった、ということでしょう。

それにしてもこういうバカバカしい展開になる法律は問題だと思います。

5月 28, 2005 at 12:01 午後 セキュリティと法学 | | コメント (2) | トラックバック (0)

2005.04.21

自殺サイトや殺人予告掲示に情報開示というが

朝日新聞より「ネット自殺予告に即応、プロバイダーが契約者情報開示へ」

インターネット上に書き込まれた自殺や殺害予告に即応するため、プロバイダー(接続業者)が警察からの契約者情報の照会に応じるシステムが今夏にも動き出す。通信の秘密を理由に照会が拒否されるケースもあったが、情報通信ネットワークのあり方を検討する「総合セキュリティ対策会議」(委員長・前田雅英首都大学東京教授)が21日、「人命保護に努めるべきだ」とする提言をしている

分からないではないが「どうやってやるのだ?」という大問題が抜けているのではないか?

そもそもインターネットの管理者とはインターネット全体(の部分)を見張っていることが管理なのか?
ネットワーク管理者が見張っているのではないとして、契約者の情報を持っているのかどうかをどうやって、問題の記事を見つけた警察などが知るのだ?
正直に言って「なんでこんな生煮えの提言を出したのだ?」「総合セキュリティ対策会議のメンバーはどんなヤツだ?」と思って検索したら見つかった。
警察庁 サイバー犯罪対策 総合セキュリティ対策会議 各委員の紹介
誰がとは言いませんがね「??」な人が複数居ますね。
このメンバーでは現場知らずというか現実離れした意見が出てくるの無理ない、と思いますわ。
インターネットというか社会の変化の速度が速いことについて行くことが出来ない人たちが、あらゆる業界に出てきているということでしょう。

4月 21, 2005 at 12:45 午後 セキュリティと法学 | | コメント (2) | トラックバック (0)

2005.04.13

ワンクリック詐欺で社長指名手配

サンケイ新聞より「ワンクリック詐欺団摘発 架空請求で上納金、社長を指名手配」

インターネットのアダルト画像などを一度クリックしただけで架空料金を請求される「ワンクリック詐欺」を行う組織を率いて部下から「上納金」を得ていたとして、大阪府警捜査二課は十二日、組織犯罪処罰法(犯罪収益等隠匿)違反容疑でアダルトサイト運営会社社長、中西俊昭容疑者を指名手配。

悪徳商法?マニアックスや紀藤正樹の消費者問題総合掲示板などで毎日のように相談があります。
オレオレ詐欺(振り込め詐欺)と同じでお金を取れば詐欺罪になると言って良い、根拠のない請求です。
そこで実際には難しいことではありますが詐欺未遂罪が適用にならないかな、と思っていたのですがなんと組織犯罪処罰法ですか!

確かに「上納金を得ていた」で実行犯ではなく社長を指名手配に出来たわけではありますが、なんかちょっと違和感がありますね。
インターネットのサイト自体が犯罪を実行している場合の、実行犯となる人物は誰か?というのが問題になるのでしょうね。プログラムを書いた人間を実行犯にしたら、Winny 事件どころではない大騒動になるでしょう。そうなると、実行犯が居ない犯罪なのでしょうか?大体、犯罪性のあるプログラムつまり凶器に相当するプログラムといった概念があるのかな?Winny 事件の本質はココなんでしょうかね?

4月 13, 2005 at 09:45 午前 セキュリティと法学 | | コメント (0) | トラックバック (2)

2005.04.09

キャッシュカード盗難対応と言うが

日経新聞より「カード被害、盗難は補償対象外・全銀協ルール案」

銀行側に有利な現行規定を抜本的に改め、預金者に重大な過失があったと銀行側が立証できない限り、原則補償に応じることを明記した。ただ、カード盗難による被害は対象外としたほか、補償に応じないケースとして「他人に暗証番号を知らせた場合」など5項目を列挙した。

なんでこんなことを今さら決めねばならないのか?としか思えないのだが、そもそもの原因がカード盗難などで不法に引き出された預金が銀行のモノだから銀行が被害届を出さない限り事件ではない、という法律の規定に原因があるのだろう。それを考慮すると、


これはものすごい話しで、不法に預金が引き出されたという事実と、銀行が警察に被害届けを出す、ということが連動していない上に、被害が無いにも関わらず預金は消えたまま。ということを許容しているワケだ。
つまり預金は理由もなく蒸発しても仕方ない、ということだろう。

銀行が被害がないのなら、預金は理由のいかんを問わず口座に残っていて当然だろう。
口座のお金が消えて、銀行に被害がないというのは、正式に引き出された時だけで、例えばATMを操作した人間が不当であるということなら、銀行のやることは被害届を出すか、口座のお金を元に戻すか、のどちらかしか無いだろう。

全銀協のルールと言っても、盗難の証明はどうするのだ?警察の届け出以後に有効とかじゃ意味がない。もっと明確なルールが必要なのだが、どう考えても逃げ道を沢山作るためにルールにしたようにしか見えない。カードが無かった時代やハンコがPCで偽造できる時代に比べると銀行の責任は遙かに重くなっていることを理解しているのだろうか?

4月 9, 2005 at 09:59 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2005.04.01

個人情報保護法完全施行日です

個人情報保護法完全施行日に合わせて日経新聞と産経新聞が社説を出した。
日経新聞の社説は「個人情報保護対策へ内部管理の徹底を」と題し、産経新聞の社説は「個人情報保護法 適切なルールとマナーを」となっている。
3月31日付けで朝日新聞の社説は「私の情報 大切に扱われたい」となっている。法律的な事実関係の解説は変わりようがないのだから、いわば社説のトーンの問題になるのだか、そういう細かいところを比べてみると。

日経新聞

今後は民事上の賠償責任だけでなく、刑事責任も問われるようになる。欧州などに比べ、日本は個人情報保護に関する法制化が遅れてきただけに、法律の順守を国を挙げて徹底する必要がある。外部からの不正アクセスもあるが、個人情報保護対策でまず重要なことは従業員の人事・労務管理にあるといえる。問題を起こした企業の多くは必要以上に従業員にアクセス権を与えていた。

産経新聞

パソコンやインターネットの普及で大量の情報を瞬時にやりとりできるようになったことから、個人の氏名や住所、eメールアドレスなどの「個人情報」が悪用される被害が相次いでいる。だが、大量の個人情報が勝手に集められ、取引され、改竄(かいざん)までされる事態はこれまで想定されていなかっただけに、ルールもマナーもきちんと整備されているとはいえない。一方で、データベース化された個人情報は生活に大きな利便性をもたらすツールでもある。その便利さを放棄することも現実には不可能だ。

朝日新聞

自分のどんなデータを持っているのか、業者に情報の開示を求めることができる。本人の了解を取らずに集めたような違法な情報であれば、消させることもできる。とくに注意が必要なのは思想信条や宗教、本籍地、犯罪歴、病気など個人のプライバシーと深くかかわったり、社会的な差別につながったりするような微妙な情報の取り扱いだ。こうした情報について法律には明記されていない。自分や家族の情報が名簿のような形で売られている。知らない間にインターネットで流されている。大切な情報が不当に使われているのではないかと不安になる出来事が少なくない。

まぁ社説といえども総花的な表現になっているのは残念な印象であるが、それでもこれだけ方向の違う見解が公表されるというのは個人情報保護法に対する共通した見解が社会的にまとまっていないことの証拠であろう。
3新聞社の社説が間違っているということは無く、タイトル通りに個人情報取扱事業者として「内部管理が重要」だし、名刺一枚の紛失でも届け出るのか?に代表されるような「適切なルールが社会的に合意されていない」のも事実だ、その一方でシュレッダーがムチャクチャに売れているといったこと代表される「個人が個人情報を管理することが大事」という傾向もある。
はっきり言えば朝日新聞の社説はいささか個人情報保護法を誤解させる方向ではないか?という疑問も感じるが、世の中の一般的な理解として多数なのであろう。それくらい理解しにくい法律であるし、当初の立法予定から大幅にずれてしまったのは間違えない(当初通りの方が良いという意味では無い)。とりまとめると非常に中途半端で社会的な合意を高めることが一番重要なのだろう。「

4月 1, 2005 at 09:45 午前 セキュリティと法学 | | コメント (1) | トラックバック (2)

2005.03.25

ACCS不正アクセス事件・有罪

ITmedia News より「元研究員に有罪判決 ACCS不正アクセス事件」

コンピュータソフトウェア著作権協会(ACCS)の個人情報流出事件で、不正アクセス禁止法違反で起訴された元京都大学研究員の判決公判が3月25日、東京地裁であった。青柳勤裁判長は懲役8カ月、執行猶予3年(求刑・懲役8カ月)の判決を言い渡した。

この事件のいきさつについてはここ。
ACCS の「著作権・プライバシー相談室」というサイトに質問を寄せたユーザの情報が外から丸見えであることを指摘した研究員を不正アクセス禁止法で逮捕したというのである。

調べでは、研究員は2003年11月、ACCSが著作権やネット上のプライバシー問題について一般ユーザーからの相談を受け付けるために設けた「ASK ACCS」のサーバに侵入、相談を寄せた個人の情報を不正に入手した疑い。 研究員は同月に開かれたセキュリティ関連イベントで、使用されていたCGIの欠陥を指摘するとともに、4人分の個人情報を含んだプレゼンテーション資料を公開していた。
検察側は「機密情報にアクセスしたのだから不正アクセスだ」といった程度の判断のように感じるが、弁護側の主張は「不正アクセス禁止法では、非合法にパスワードを入手してアクセスする場合に適用するべき」といった主張であった。 しかし、個人情報をイベントでプレゼンすることに正当性があるのか?という意見は当初からあった。今回の判決はこの点について
青柳裁判長は「問題のファイルには、FTPサーバからIDとパスワードを入力してアクセスするのが通常。CGI経由のアクセスは、FTP上のアクセス制御を回避した不正アクセス行為にあたる」と認定した。
いささか乱暴というか安定性つまり説得力に欠ける判決であるように感じます。 確かにセキュリティを確保する側がありとあらゆる穴を塞いでおくべきである、とするのはセキュリティを確保するために過大な負担を負わせると感じるが、「不正アクセスが無いと思うから」ということで全くの無防備である場合にはサイトの方に責任があるのも異存の無いところだろう。 つまり、ここのバランスについて判定するべきなのだが、それを「CGI経由は・・・」というのでは、ちょっとサイト側に甘すぎるのでないだろうか?第一ほぼ同じ事件があった時に同じ判決になるものだろうか?TBC事件に代表される「全くの公開状態の場所にデータを置いた」といった場合と何が違うのだろうか?「CGIを操作できるのは少数の者だ」とでも言うのだろうか?なんか判決としては評価できないと感じる。

3月 25, 2005 at 10:24 午後 セキュリティと法学 | | コメント (0) | トラックバック (0)

2005.03.23

少額訴訟詐欺に鉄槌

読売新聞より「架空請求の少額訴訟、「極めて悪質詐欺」と賠償命令」
これは架空請求詐欺で敗訴・支払になるケースで紹介した裁判の判決が出た、という内容です。

訴えられた場合に放置していると、ただちに敗訴してしまう少額訴訟を起こされ、身に覚えのない約14万円の支払いを請求された男性会社員が、サイト運営業者(大阪市)に対し、「架空請求の訴訟で精神的な苦痛を受けた」として110万円の損害賠償を求めた訴訟の判決が22日、東京地裁であった。
少額訴訟の通常の手続きは、呼び出された裁判所に出頭して争うことになります。この事件の場合は東京から大阪に出頭ですから、費用も時間も大変です。

これに対して「架空請求の訴訟で精神的な苦痛を受けた」として反訴(になるのかな?)したというのは「すごい方法を取ったな」とちょっとびっくりしましたが、その判決が出ました。

清水克久裁判官は「裁判制度を悪用した、極めて悪質な訴訟詐欺だ」と認定し、40万円の賠償を命じた。
同時に、問題となった少額訴訟の判決も言い渡され、清水裁判官は運営業者の請求は架空だったと判断し、請求を棄却した。

きわめて明快な判決になったようですが、これは裁判所として最大級の怒りの表明でしょうね。もうちょっと詳しい判決文を見たいところですが、まだ速報には出ていません。

3月 23, 2005 at 03:16 午後 セキュリティと法学 | | コメント (1) | トラックバック (0)

2005.03.09

個人情報DBの廃棄方法

月曜日(3月7日)にアップル・ジャパンで開催された個人情報保護セミナーに参加してきました。
講演者のお一人が藤原静雄・筑波大学教授で、非常に面白いというかキーになるお話しを聞いて来ました。

個人情報データ(デーベース)の廃棄の実務です。

わたしは個人情報データの廃棄はどうするのだ?とかなり考えていましたし、実務関係者の中では「捨てられないよな」といった理解で居る方が回りに居るので、わたしも「捨てられないものをどうやって廃棄するのだ?」と思っていました。

藤原先生の説明で「データの廃棄とは個人情報を書き換えてしまえば良い」というのです。
ついついて廃棄というとデータそのものを物理的に廃棄するにはどうするか?と考えてしまう自分が情けないですが、考えてみれば情報が消えれば良いわけで、それも個人情報なのですから、例えば個人が特定出来ないように氏名を書き換えてしまうことは個人情報の廃棄になるのですね。

これをさらに拡大してみると、例えばDMを出すといった業務においては最終的な個人情報を扱って、法律にも要求(義務ではない)されている通りなるべく最新の正しいデータにアップデートすることになりますが、顧客動向調査といった業務であれば氏名などを直接扱う必要が無い場合も多いでしょう。
その場合、先に氏名などを書き換えてしまえば個人情報データベースではない、となる可能性も視野に入ってきます。

さらに考えてみると、個人情報データベースを扱うのは個人情報取扱事業者ですから、少なくともその個人情報データベースに記載されている個人情報の本来の持ち主である、個人では無いのがほとんどです。
個人情報データベースを作った人が自分の情報を記載しても5000人分の1人以下です。

つまり、個人情報データベースと本来の個人は記載されいる個人情報を共有しているといって良いのだと思います。
共有するために個人情報データがある。
こうなると、それを断ち切ってしまう。例えば氏名ではなく番号にするといった方法は個人が特定出来なくなる、と考えますが総務省はIDは個人情報に当たると言っています。

結局、個人が特定できる情報を社会が共有している状態が問題なのでしょう。
クレジットカードの番号などは社会と個人が共有しているから社会的な意味での個人情報である、ということですね。

先に挙げた、氏名は番号に変えてしまう、というのは個人情報保護法上の個人情報データベースから、単なるデータベースにするのには社会と共有しない、つまりそのシステムオリジナルの番号などにする、といったことなりますね。
これは一種の暗号化であって、社会と共有しないデータであれば持って扱っても良い、と言えるでしょう。

もちろん、暗号化ルールなども含めて流出することで、復号されてしまっては意味ないわけで、慎重に取り扱うことに代わりはないですが、廃棄が出来るというのが明確になったのは良かったです。

3月 9, 2005 at 09:26 午前 セキュリティと法学 | | コメント (2) | トラックバック (1)

2005.03.07

個人情報漏洩罪の検討だって

読売新聞より「個人情報漏えい、社員の罰則検討…自民が作業チーム」

自民党は5日、個人情報を漏えいした民間企業の社員に対する罰則の法制化を目指し、政調審議会の中に作業チームを設置する方針を決めた。

個人情報漏洩罰則を議員立法しようというのですが、もともと個人情報保護法で罰則などが全く考慮されていなかったのか?というとそうではなく、いろいろないきさつを経て今の形になりました。

そもそも情報窃盗罪が無くて良いのか?という問題が議論されます。


基本的に窃盗は複製ではないから、元の所有者の手元から無くなるということが窃盗の根本原理でしょう。ところが情報は盗んでも元の所有者の手から無くなることは無いのですから、窃盗というより複製です。
さらに、窃盗したと事件化した場合に被害者と犯人が同じ情報を所有していた場合に、どちらが正当な所有者かといった争いになった場合には、なかなか決めがたい。特に両者に同じ情報が現実にあるのですから決定しにくい。
これを利用すると、言論の自由に直接影響してしまうわけで、特許のように情報を登録制にでもしないと難しいでしょうね。

個人情報保護法について情報を流出させた社員に責任を追求する途が無く、経営者や会社には責任があることが不当だという考え方なのでしょうが、現行の個人情報保護法では名刺も遺伝子情報も同列で重要度を定義するという考え方自体がないので、名刺を紛失したことを理由に遺伝子情報の流出と同じ責任を負わせられるという可能性もあるでしょうから、こんなことになったらたまりません。

だからといって、個人情報保護法と全く無関係に法律とその中身を定義するというのもちょっと無理があるのではないか?と思うわけです。
マクロには良いかもしれないが、今まで出来なかったことには理由がある、というような立場で考えると法律制定は無理なんじゃないでしょうか?

3月 7, 2005 at 11:27 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2005.03.01

個人情報保護法・お勧めの解説本

今日個人情報保護法とコンプライアンス・プログラム」鈴木正朝著・堀部政男監修、商事法務刊 3800円を買ってきました。

個人情報保護法は4月1日に施行が迫っていますが、日を追うごとに「大丈夫なのか?」的な話題が出てきています。

弁護士が大勢参加しているMLで10日ほど前に「弁護士は本当に個人情報取扱事業者なのか?」という質問が弁護士さんから出ました(^_^;)

どういうことかと言うと

弁護士は弁護士名簿を使って業務をしている。弁護士名簿は個人情報データベースであるから弁護士は個人情報取扱事業者だと言うのだが、弁護士名簿と電話帳で何が違うのだ?
ということから発生しました。
もちろん、弁護士名簿も電話帳と同じ扱いにすれば弁護士は個人情報取扱事業者ではなくなる、という方向の考え方があるですが、これについて法律上は弁護士は弁護士名簿を使っているから、個人情報取扱事業者になるということなって、その解説をした著者の鈴木さんはさらに踏み込んだ考え方をこの本に書いていると、ご自身が紹介したので買ってきました。

結局のところ、個人情報保護法制によって真に守るべきものは何かを見極めることが重要である。たとえば、世代をまたがって個人情報が管理され、親の犯罪歴、病歴、職歴、納税額などの個人情報によって子の就学、就職、結婚、経済活動などに影響が及ぶ社会は、まさに憲法の定める「個人の尊厳」の否定にほかならない。

と個人情報保護法の厳格に過ぎる適用は問題外であると論じています。

一方では個人情報の厳格な管理を要求する声があり、他方では個人情報の厳格な管理は社会経済活動そのものを圧殺する、といった意見もあります。
なんでこんなことになったかについて、鈴木さんは

個人情報保護分野において一般法を制定することは、立法論的にはやや乱暴なアプローチであることは否めない。たとえば、名刺情報から遺伝子情報までの多種多様な個人情報をわずか十数条からなるルールで規律することを意味しており、名刺情報のような個人情報を念頭に置いた場合は過剰規制と評価され、遺伝子情報のような個人情報を念頭に置く場合はいわゆるザル法と批判されることになる。

と問題点が、ここにあると指摘しています。
この点からは実務者としては法律改正に期待することになってしまいます。


法律の素人にとって、法律が成り立っている原理や考え方を知ることは条文を暗記したり、他の法律の詳細を知らないでも関係性を推測できるといった意味で必要なことだと思いますが、個人情報保護法はあまりに多面的なことを含んでいるので、意見交換ですらそのシーンでの議論の立場によって毎回結論が違ってしまうというほど、難しい法律です。
その上、解説本で問題点を指摘した本は今まで見たことがないのですが、この本が問題点を指摘しているのは、実務的に何を重視するべきか、将来あるかもしれない法改正がどんな形になるのかを推測するための教材、といった意味で是非ともお読みになることをお勧めします。

3月 1, 2005 at 01:00 午前 セキュリティと法学 | | コメント (6) | トラックバック (1)

2005.02.16

個人情報保護法・現実化の問題

昨日、個人情報保護法についての小さな勉強会がありました。
講師は本を出されているニフティ社の鈴木正朝さんです。

わたしはけっこう積極的に勉強しているつもりですが、どうも「一歩前進三歩後退」のような印象ですね。

昨日話題になって興味深かったのは、元になる個人情報データベースがどこかで流出したとされた場合に、管理監督するべき個人情報取扱事業者はどの段階まで責任があるのか?です。

これ、法律上も規定は無いですし、下請け・代理店・業務委託といった契約上の実務や業者間の力関係を無視して管理監督をすることなっていますが、例えばNTTを例にとれば量販店などでフレッツを売っているわけです。

どちらがどちらでも良いのですが、お互いに「我が社の管理手法はこれだから、やってくれ」というのでは、NTTだって量販店だって手間になるだけです。
現実にNTTは力がありますが、量販店にとっては「NTT以外にもソフトバンクもあるしアッカもKDDIもあるよ、全部別々にするわけにいかない」となるでしょう。

こうなると、管理も監督も鑑査も出来ないわけで、責任の取りようがないという現実が見えてきます。
個人情報データベースを持っているところは、その情報がどの段階で出ても責任を追求されるという考え方で来たわけですが「それじゃやってられん」という話しが公然と出てきました。

個人情報データベースを持っている個人情報取扱事業者から情報は少しずつ使われるはずで、元の個人情報取扱事業者を親とする子ども・孫と続いていく構造です。
そして、何代目かの孫で流出した。
そこから、親までさかのぼってきて「親が監督していないからだ」というのは法律の構造ですが、そんな何代も下まで管理出来るワケがない。というのが見えてきました。

当面の間「あれもダメこれもダメ」とビジネス的に萎縮するでしょうが「そんなのやってられるか」というところで、もうちょっと現実的なところ着地することになるでしょう。

2月 16, 2005 at 11:02 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2005.02.14

個人情報保護法・読売新聞社説

読売新聞社説より「[個人情報保護]「流出防止へ法の抜け穴をふさげ」

問題は、情報流出があった場合の処罰に関する法体系に不備があることだ。従業員が自分のCDに情報をコピーして持ち出し、対価を得たり、業務を妨害したりすれば、何らかの処罰ができるよう、法整備を急ぎたい。

この意見はわからないではないが、これも一局面であるし、そんな明快なものばかりではないのは、今対応のための作業をしている企業から見れば「もっとずっとやっかいだ」という声が上がるだろう。

報道は個人情報保護法の適用除外だから、こんな突っ込みの甘い社説が書けるのではないか?と疑ってしまう。

2月 14, 2005 at 11:19 午前 セキュリティと法学 | | コメント (1) | トラックバック (0)

2005.02.08

個人情報保護法の運用は大丈夫なのか?

個人情報保護法を調べているうちに非常に根本的なところに疑問符が付きました。
この法律は個人情報管理手順法とでも言うべきもので、主題を企業が集めた個人情報の管理について定めているのですが、管理の範囲から外れた場合に管理下から流出するだろう、とか情報収集の手順は明確になっていて当然だ、といった範囲で考えているようです。

この範囲だけだと、個人情報を収集することについて法的な規準があるよ、というのは良いのですが、持っている個人情報や新たに入ってくる個人情報を元にやり取りをする時の範囲などについてどうも法的な判定基準が無いように見えます。

個人Aさんが、企業(個人情報取扱事業者)Xとやり取りをするのは
A←→X の二者関係になります。

法律は「第三者提供」という概念を書いていますが、どうもこれが第三者ではあっても企業側に立つ第三者を想定しているように見えます。別の企業Yの出現です。
A←→X→Y
このXからYへのAの個人情報提供を想定して「第三者提供」と言っているようです。
しかし、個人にして個人情報の本人であるAの第三者はあります。Bです。
B←A←→X
これは、AとBは家族であるという場合が典型です。

確かに、XからYへの情報提供については法律が問題視するでしょうが、家族間の情報の共有は当然のことです。そこで業者XからA家に電話があった時にBが電話に出てAに変わって個人情報に基づく例えば契約などを進めるのは、どうなのか?というと常識的に考えて「その場で適切に対処」ぐらいしか無いと思うのですが、法律でこの種のことについて言及したところが見つかりません。

銀行の対応なども「本人!」と強化されていてとてもやっかいになってきています。
なんかここらへんの法律運用の全体像が不明確になってきました。
今、調べているところです。

2月 8, 2005 at 11:33 午後 セキュリティと法学 | | コメント (2) | トラックバック (0)

2005.02.01

個人情報保護法・実務上の検討1

弁護士 鶴巻 暁 lawblogさんの記事「同窓会における個人情報の取扱い」

にわたしにはとても刺激的で興奮する論が出ていました。

同窓会が個人情報取扱事業者に該当する場合、その同窓会の業務として、同窓会が保有する個人データを会員(年度幹事)に提供する行為は、事業者内部での個人データのやりとりなので、そもそも個人データの第三者提供に該当しないのではないでしょうか。その会員は同窓会の従業者として、同窓会の監督を受けることになりますが。 同窓会の業務としてではなく、会員自身が利用する目的を有する場合に、その会員に対して同窓会が保有する個人データを提供する場合には、第三者提供に該当すると思います。

実は、わたしはこういう面を強く意識していたのですが、うまい例を思いつきませんでした。
もうちょっと実務的にあり得るケースを挙げてみます。

親会社と下請け関係にある会社、例えば販売会社が親会社から個人情報を第三者提供を受けて事業を行っていたとします。
下請け先の会社がその親会社の委託先になっている場合、親会社と一体化して個人情報の取扱をする、とわたしは考えています。

下請け会社が、親会社の下請け業務ではないオリジナルな例えばサービスなどを開始する時に、親会社と共有している(で良いかと思いますが)個人情報を使うのは経営上は常識でしょう。
さて、個人情報保護法上は本来は親会社から第三者提供を受けると同時に、委託先でもあるような場合、このような展開はどう扱うのか?

元々は、親会社が集めた個人情報は事前通知で下請けの会社も使うことで法的にはクリアーされているとして、下請け会社が独自に始めたサービスなどが親会社の事前通知の範囲に入っているのかどうか、で決まることなのでしょうか?

もし、下請け業者が独自サービスをするために、親会社の事前通知の範囲に入っているのかを確認する必要があるのだとすると、今度は営業の自由や秘密などに触れそうです。

かなりきわどいことになるのではないでしょうか?

2月 1, 2005 at 10:52 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2005.01.19

個人情報保護法を考えてみる 4

わたしは @nifty のフォーラム・マネジャーです。
フォーラムというのは、ニフティ社と契約しているマネジャーがフォーラムを管理運営しているので、本的な責任はニフティ社・マネジャー双方にあることは、確認されています。

そんなことをもあって個人情報保護法を勉強しているわけですが、どこまでも行ってもフォーラムというのは @nifty の1部門です。そこで気づいたのが「会社(組織)の中の部門ごとに個人情報保護法の実務は変わる方が合理的ではないか?」です。

例えば、通販部門と現金販売部門がある販売会社を考えてみますと、通販部門には明らかに個人情報のデータベースが整備されているでしょう。しかし、現金販売部門には氏名・住所といったデータは無いのでデータベースとしても整備されていない。
といった会社を仮定します。

現金売買部門は対面販売でしょうから、顧客に対面するわけで防犯カメラが作動して顧客を撮影していると、その画像は個人情報に当たります。
しかし、通販部門で社員の行動監視のためにカメラが作動している場合、少なくとも顧客の個人情報は撮影されません。

どちらの画像が重要か?という問題を別にして、かつ「顧客の個人情報管理」という観点からは、対面販売している現金販売部門で撮影された画像は管理する必要があります。

画像と顧客名簿という二つの個人情報があるとして、これを最大公約数的につまり全社的に管理しましょうとやると、両部門と大変な手間が掛かることになります。
つまり、二つの部門が業務として顧客の個人情報保護を行うために焦点を当てるところは違う、ということです。

こういうことで、部門ごとの個人情報保護法対応についての記事を Google で検索してみたところ、ほとんどありません。
つまり、まだ社内の個々の部門ごとの検討というところまで、個人情報保護法対応はこなれていない、と言うことでしょう。
まだまだ、途は遠いようです。

1月 19, 2005 at 03:01 午後 セキュリティと法学 | | コメント (1) | トラックバック (0)

2005.01.16

個人情報保護法を考えてみる 3-3

個人情報保護法を考えてみる 3-2にyuu2さんからコメントをいただきました。

ビジネスで面談する名刺はお互いに保有しあう内容と、自分を覚えてねとあなたを覚えたいとの双方の合意が成立しています。展示会の名刺では、カタログを渡して後で商談したいとか新製品情報メールを送るとかの用途に限定した旨の表示がいるとのあるコンサルの先生のお話でした。

少なくとも勉強している、yuu2さんを初めとする方々は名刺の扱いについて、上のような見解を問題なく理解していると思います。

わたしは、積極的に勉強してはいない一般の方々に誤解させるよう内容が飛び交っていることに心配しています。

去年の5月ごろからフォーラム管理者向けに個人情報保護法の説明をわたしが(素人にも関わらず)するということなって、説明するいうことなりました。
そこで、実際に説明を作る前に何人かに「どんなことを知りたいか?」とヒアリングしてみたところ、全員が「何をすればよいのか/何をしてはいけないのか」を知りたいとのことでした。

「個人情報保護法」を買ったに書いたように厚さ3センチのハードカバー本が出てくるような内容を「一言で言えば」なんて説明は出来るわけがない(^_^;)です。
結果として「一言で説明できるものではありません」なんていう話から始まることになりました。

手元に「これだけは知っておきたい 個人情報保護」岡村久道+鈴木正朝著、日本経済新聞社刊があります。最後に個人情報保護心得10ヶ条というページがあって1番目に

名刺1枚、社員情報でも個人情報である

とあります。
どういう風に扱うのか?については、この本の中では具体的に書かれてはいません。
このような「○○のデータはどう扱うように考えるのか」というのは、それぞれの企業やさらには企業の中の部門ごとにも違うでしょうから、本来は現場で考えるべきことでありますが、実際には「何をすればよいのか/何をしてはいけないのか」とはっきりと外部から指図された方が気楽だというのも真実でしょう。

そういう背景があるから「名刺は個人情報」「名刺を個人情報として保護する」「鍵の掛かる机に保管する」「そんな面倒なこと、名刺交換しない方が良いので」などと議論の暴走になるようです。

昨日買ってきた「個人情報保護法」の立ち読みした部分は「メールアドレス」ですが、これが諸説が並んでいます。
この項の結論は「今後議論される必要がある」となっています。

こういう話の連続というべきで、個人情報=保護するべきという感覚が先走り過ぎている、という感じは変わりません。

非常に難しいと思うのが「個人情報はプライバシー情報ではない」にあると思います。
どうも「プライバシー感覚の対象になるものは、個人情報であり、保護されるべきだ」といったことに展開しているような気がします。

1月 16, 2005 at 03:18 午後 セキュリティと法学 | | コメント (0) | トラックバック (0)

「個人情報保護法」を買った

以前からどうしたものか?と悩んでいた「個人情報保護法」岡村久道著・商事法務刊 を買いました。
なんで悩むのか?というとなんと税込み5040円!!

個人情報保護法の本は以前に岡村氏の著書である「個人情報保護法入門」を買って以来、講習会の資料として配付されたモノなど、複数持っているので、その焼き直しでは単なるムダになるがそれが5000円越えでは、そりゃ悩む。

商事法務という出版社は法律の本の専門出版社であるから近所の書店などに無く、以前もセブン & ワイ(eS-BookS)で取り寄せたりしていた。
要するに内容を見ないで買うかどうか?であって、これで悩んでしまう。

昨日、新宿東口で新年会があったので、高島屋の先の紀伊國屋書店にあるだろうと狙って行ってみた、さすがに個人情報保護法本だけで何種類も平積みになっていて「個人情報保護法」も厚さ3センチ550ページのハードカバーという堂々たるものが平積みになっていた。

時間も無いので、ちょっだけ立ち読みして、やはり学説を並べて解説してあるところなどは、他の本ではなかなか得られないものであり、買うことにした。
まだ読んではいないのだが、他にも良い本があればご紹介くださいな。

1月 16, 2005 at 11:04 午前 セキュリティと法学 | | コメント (0) | トラックバック (1)

2005.01.12

個人情報保護法を考えてみる 3-2

個人情報保護法を考えてみる 2にyuu2さんからもコメントをいただきました。

この法律では「個人情報データベース」。それを構成する「個人データ」&「保有個人データ」を対象としているのではないでしょうか?
個人情報保護法は行政法ですから、お役所に管理監督させることが基本の法律で、各業界ごとに担当のお役所がガイドラインを出してきますから、そのガイドラインを遵守することになります。
総務省のガイドライン「電気通信事業における個人情報保護に関するガイドライン(平成16年8月31日総務省告示第695号)」といった形で示されます。
このガイドラインは旧版を改訂したもので、直前の版では「料金徴収のためのデータの管理の仕方」を定めていました、それが第5条などに現れています。
(利用目的の特定)第5条 電気通信事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定するものとする。

つまりガイドラインも「個人データ」&「保有個人データ」の全部について説明してはいません。
どうもこのガイドラインによると第7条・第8条が示していることは、利用目的を明示して取得したものが個人情報である、と解釈できそうです。つまり利用料金の徴収など目的がはっきりしているものに対応する個人情報の取得ということです。
そうなると、一般営業活動用に各種名簿を使用するのは電気通信事業者にとって個人情報収集のためのガイドラインがあるのか?という話しになります。
つまりガイドラインでは考えようによっては個人情報データベースの範囲を狭く捉えることが出来ます。
しかし総務省のガイドラインも第4条で

「個人情報を取得しないものとする。ただし、
自己又は第三者の権利を保護するために必要な場合その他社会的に相当と認められる場合はこの限りでない。」

としているので、利用目的外の個人情報の収集も当然のように認めています。
こうなると、それこそ「名刺も個人情報」とも言えるわけで。個人データベースとはナンなのか?という問題に拡大してしまうかもしれません。

yuu2さんのご意見

情報漏洩は、悪意のある場合完全には防げない。どれだけ漏洩の防御策をしていたかで法として罪を問うとの主旨の法律と、勝手な理解をしています。

法的な対応はその通りだと思います。
そのための実務的な対応をどうするか?で会社や業界でやり過ぎとなる例があるのではないか?と思っています。具体的には「名刺は個人情報」といった考え方です。名刺が個人情報であることに異存はないですが、保護管理するべき個人情報か?という視点が抜けているから「すべての名刺は」と話が拡大して「個人情報保護法の観点から名刺交換しない方がよい」といったことになりかねないでしょう。それでは本末転倒というべきです。

yuu2さんのご意見

展示会などで収集した名刺などからなるデータベース程度しか無い場合は、ホームページなどに収集したデータを公開しないことや、収集する場合に目的を明示するといった数行のポリシィを書いておけば良いとコンサルに指導されたとの話も聞きます...?

「書いておけば何が良い」のでしょうかね?個人情報保護法は行政指導に反した時に会社(の代表など)に刑罰が適用されるという法律ですから、会社(団体)にとっては「個人情報保護法でお役所に通報、立ち入り検査などがされないように備える」のが一番の対応策でしょう。
通報する側は勝手ですからね、通報されないようにすることを全ての目的とするとありとあらゆる個人情報を社内に出入りしないようにすることなって、これでは会社なんてやってられません。
その意味では個人情報保護法に抵触するリスクは多少なりともあることを前提とすることになるのでしょう。
その一環として「HPに個人情報保護法対応」を掲示しておくのはありだと思いますが、掲示した内容を社内で実施するのはそれなりに大変でしょうね。
結局はどうも「対応の実務はどうやるんだよ?」という話しになりそうです。

1月 12, 2005 at 10:24 午前 セキュリティと法学 | | コメント (2) | トラックバック (2)

2005.01.11

個人情報保護法を考えてみる 3

個人情報保護法を考えてみる 2にmasterさんからコメントをいただきました。

はじめまして、
名刺って広告手段で、自分を知ってもらう道具のはずが、他の人に知られないようにしなければいけないというような変な感じがしますが、いかがなものなのでしょう?

はいその通りです。
ところが一般的によく出てくる解説で「名刺も個人情報で注意して扱いましょう」といったことが出てきます。

個人情報保護法の総則には、

第一条  この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

とあります。「注意して扱えよ」と言っているように読めます。
しかし、なぜ注意して扱う必要があるのか?つまり個人情報保護法を定める理由はどこにあるのか?と言えば「個人情報の取扱が不適切であるために、被害が出たケースがある」からでしょう。

実際に被害があった事件としては、三洋信販事件があります。

朝日新聞より(2004年5月20日の記事)「三洋信販の顧客データ流出、信用情報含む116万人分」
【前略】
顧客らから同社に寄せられた問い合わせや苦情は1月から4月までに約3万9000件。うち7割が架空請求の相談という。

架空請求が来てしまうのですから、問答無用で個人情報の流出による被害発生と言えるように思います。

クレジット会社から情報が流出して架空請求が発生したのに「被害発生と言えるように思う」などという、言い方をするのは架空請求をするだけなら被害者の住所氏名などが分かれば可能だからです。実際に起こった架空請求がクレジット会社から出た情報によるものなのかどうかは、確定出来ないでしょう。
そうなると、名刺でも架空請求が起きるかもしれない。ということになります。

なんかヘンですね。「風が吹けば桶屋が儲かる」のような論理のように感じます。
わたしの考えでは、クレジット会社の名簿と他の名簿は同列に名簿であるから同じ管理をするべきだ、といった考え方がおかしいのだと思います。
名刺の例に戻すと、名刺交換の場がどういう場なのかによって名刺の情報を保護する程度は変わるのでしょう。
例えば、第三者にその会合の存在が知られては困るような場で交換された名刺は保護するべき情報と言えるかもしれません。
逆に展示会で来場者が業者に渡した名刺でDMが来るのは当然でしょう。

このように、個々の情報を扱う時にどうするのか、という話しをほとんどしていない、ように思えるのです。

1月 11, 2005 at 03:49 午後 セキュリティと法学 | | コメント (0) | トラックバック (0)

2005.01.08

個人情報保護法を考えてみる 2

その2です。

個人情報保護法自体は割と明快なように見えるからやっかいなものだ、という側面があるのかもしれません。

1月4日のニュースで「個人情報流出:TDL年間パスなど14万人分 恐喝未遂も」というのがあります。
この事件は外部から「個人情報リストを持っている。買わなければマスコミにばらす」と恐喝されたことで始まりました。
TDLの説明によると16人分の個人情報が流出したとのことで、14万人にお詫び状を出しています。わたしの知人も受け取ったとの報告をくれました。言うまでもなく莫大なコストであったでしょう。

この問題について法律の専門家とお話ししましたが、TDLが14万人にお詫び状を出したということは、流出した情報がそれなりに問題のあるものであったろう、ということになりました。
というのは、16人分ですから極端なことを言えばTDLのバスポートを持っている人の名簿を集めて「ほれ個人情報流出だ」とやれる可能性もある、ということです。
しかし実際にこんなことであれば、どこの会社でも14万人にお詫び状を出すなんて手間は掛けないのではないか?と思います。
つまり、もっとクリティカルな情報が流出していたのではないか?ということです。

そこで、個人情報の流出として問題になる個人情報とはナンなのか?に舞い戻ります。
これは「個人情報」が流出と考えるのが問題なのではないでしょうか?
「問題になる個人情報」の流出であるべきでしょう。
問題になる情報が流出したから問題になった、なら理解できますが個人情報が流出しただけでは問題になるかどうか分からない、という当たり前のことです。

ところが新聞報道をチェックしてみると読売新聞の記事に「個人情報2万9500件流出、札幌市の保健所から」とあります。

個人情報を入力したノート型パソコン2台が盗まれたとして、市は7日、札幌中央署に盗難届を出した。人口動態統計のうち、死亡情報約1万9000件、離婚約5000件、出生約3000件、婚姻約2500件が登録されていて、氏名、生年月日、住所、職業などが入力されているが、人数は数万人単位になるものの「不明」という。
記事の中身には「個人情報が盗まれた」とは書かれていません、ノートPCが盗まれたと書いています。しかし、記事のタイトルは「個人情報流出」です。ごく普通に「個人情報が盗まれた」と読めると思います。

その何が問題なのか?というと、個人情報は財物ではありません。
盗むとか詐取するというのは財物に対して出来ることであってこれは最古の法律で「汝盗むなかれ」と書かれているくらいです。
氏名(姓名)は個人情報の代表的なものでしょう。問題は名前の所有者は誰なのか?です。
一見、個人の姓名はその個人のモノのように思えますが、よくよく考えると自分の名前を自分だけで独占していると全く名前として機能しません。他の人はその人の名前を知らないのですから。
つまり、名前(姓名)はその個人の社会的な位置を確定するために社会が共有しているものである。
といった定義の方が実際的なものではないでしょうか?

個人情報保護法に関わってから違和感があったのが「名刺も個人情報です」と言われることです。
ネット用の名刺としてハンドルとメールアドレスしか書いていない名刺を使うことは特に女性には珍しいことではありませんが、ビジネス用途に限っても名刺を出したらそれがDMに使われるのは覚悟の上でしょう。
それを個人情報として管理しなさいという話しになると、説明として出てくるのは「机の中に名刺の束を放り出しておいて、誰かがそれをDM業者に渡したら文句が来ます」なんて説明になっています。
これは、名刺が個人情報だとしてもその取り扱いの一局面の話しであって、名刺そのものや名刺を交換することについて特段の注意をしろという意味では無いでしょう。
ところ「名刺は個人情報」「鍵の掛かるところにしまうべき」といった議論がなんの疑問もなく語られますが、普通はオフィスは鍵が掛かるでしょう。野天でオフィスを開業しているなんて例はほとんどありません。

というわけで「個人情報」という言葉だけが走りすぎていて、その問題点をかえって考えていないのではないか?さらには「個人情報の使い方の問題」を「個人情報の問題」にしてしまっているのではないか?と思うようになりました。

1月 8, 2005 at 05:25 午後 セキュリティと法学 | | コメント (4) | トラックバック (1)

2005.01.07

個人情報保護法を考えてみる 1

個人情報保護法を考えてみます。
4月から個人情報保護法が施行されます。
この法律は行政法というもので、行政から主に企業や団体などの個人情報の取扱について管理監督があるという趣旨の法律です。
だからある特定個人の個人情報を悪用したといったことが直接個人情報保護法違反にはなりません。
実際には、
個人情報が悪用された→個人情報が流出したのだろう→流出させた企業の情報管理に落ち度があったのだろう→監督官庁が企業を調査する→監督官庁は企業に情報管理について是正を指示する→命令を受けた企業が命令に反した→個人情報保護法違反で管理者が処罰される。

なんてことになります。

こんなことなので、企業は個人情報保護法対応のために莫大な投資をしているのが現状です。
一例が日立製作所の発表した「社内のPC全廃」です。PCに代わってターミナルを配付するのでしょうが莫大な投資額になるでしょう。

ところで個人情報保護法が定義している個人情報は次のようなものです。

第二条  この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

これではナンのことか分かるような分からないような・・・です。
ところで、個人情報保護と境目があいまいなものに「プライバシー保護」があります。
プライバシーは個人にとってはかなり明確ではありますが、それが他人にとっては「それくらいいじゃないの」というところで、摩擦になるから「個人が勝手にされている権利」といった概念プライバシーである、とも言われています。
もっとも法律上はプライバシーを権利として確定していませんし、そもそも法律で決めることなのか?という議論もありますが、同時にプライバシーが全く存在しないということもあり得ないので、かなり自然なことでしょう。

これに個人情報がくっつくとヘンなことになります。
例えば「公職」という言葉があって、多くの場合は議員などの職務や上級公務員の職務を指すようです。じゃあ「私職」という言葉があるのか?というとあるわけ無い。「公職」だけですね。
そこで「代議士の○○が愛人を・・・」なんて週刊誌などが書くと愛人なんてのは職とはあまり関係ないわけで、公職であろうがプータローであろうが人類公平の原則によるでしょう。
しかし実際には公職の人の愛人問題を週刊誌に書いても多くの場合は名誉棄損にならない。一方、市井の人の愛人問題を電柱に貼ったりすると、名誉棄損で逮捕される可能性は高いです。この違いはどこから出てくるのか?

簡単に言えば「個人として違う人だから裁判の結果も違う」ということになります。
つまり「個人」とは「社会の中での個人」であるということを改めて認識にする必要があります。
私たちは自分の氏名を自分で変更することは許されません。裁判所の判決を必要とします。同様に住所のデータは住民票のデータでありますから、自分で管理していないことは確実です。
ところが個人情報保護法の個人情報の定義に「氏名、生年月日その他の記述等により特定の個人を識別することができるもの」となっているのですから、氏名や住所は個人情報の一部であることになります。

さて、ここで後戻りになりますが「保護するべき個人情報とは何なのだ?」という問題が浮かび上がって来ますが、それは法律にも書いていない。
ちょっと大変なことになってきました。
個人情報保護法には保護するべき個人情報の定義が無いようです。

1月 7, 2005 at 02:42 午後 セキュリティと法学 | | コメント (4) | トラックバック (2)

2004.11.19

ノートンインターネットセキュリティ

ずーとノートンインターネットセキュリティを使っています。 毎年買い換えて(アップデート)していますが、年ごとにややこしくなってきていて、今回の2005は一般向けとしては限界なのじゃなかろうか?という印象でした。

Getting Started Guide なる紙があって、1ページ目(表)が「ユーザー登録をする」として説明がありますがそれによると「パッケージの底にある番号」でユーザー登録が出来るとなっています。 つまり箱を捨ててしまうとユーザー登録が出来なくなります。

2ページ目は「ソフトウェアをインストールする」とあって「CD-ROMをドライブに入れると自動的にインストーラーの最初の画面が表示されます」としか書いてありません。 実際のインストールの注意書きは別の冊子である「テクニカルサポート」に書かれていて、「インストールの際にはプロダクトキーをお手元にご用意下さい」とあります。 プロダクトキーはCD-ROMを収容している紙の袋に貼ってあるラベルに印刷してあります。つまりこのラベルを捨ててしまうとインストール出来ません。ノートンインターネットセキュリティ2005を使う限りはこのラベルを捨てることはできません。

さらに、ウイルスパターンのアップデートを受け取るためには、シマンテックのサイトに登録する必要がありますがこの時に「アクティベイト」を要求されます、アクティベイトキーはプロダクトキーが書いてある袋に貼ってあったラベルに印刷されていますが、実際にインストールする時にはPC上に表示されます。

いずれにしろ、プロダクトキー、アクティベイトキー、ユーザー登録のための番号の3つを意識している必要があります。 アクティベイトキーが増えたわけですが、実質的には入力はしません。

さて、インストールの実際も以前と違ってると感じます。 やはり時間が掛かるようになったと思います。2004で保護者機能といったものが付いたと記憶していますが、保護者機能や SPAM フィルター、広告フィルターの扱いが違ったようです。第一アイコンが緑から黄色になった。

実際の使用感では個人的には一番困っていた ITmedia 系列の写真が全滅で見られないというのが改善されたのはありがたいです。 先に書いたように以前と微妙に違うので設定などを見直しているところで、SPAM メールフィルターは機能が強化されたというウワサがありますが、フィルタリングではじいたメールがどこに行ってしまうのがよくわかりません。 そんなこんなで、進化したのでしょうが難しくなったと感じます。 しかし、ウィルスチェックなどはネットワーク利用者の義務ですから、面倒でもやるしか無いですね。

11月 19, 2004 at 01:17 午後 セキュリティと法学 | | コメント (2) | トラックバック (0)

2004.11.03

携帯電話ハンズフリーでも危険?

朝日新聞より運転中の携帯、ハンズフリーでも危険 工業大助教授実証」  

運転者の注意力が散漫になることは避けられず、 事故の危険性は電話機を直接手にした時と同じく高いという実験結果を、大同工業大(名古屋市南区)の鈴木桂輔助教授(制御工学)がまとめた。   

実験は、運転シミュレーターを操作しながら、 前方のライトが点灯したらハンドルのボタンを押すという内容。ライトは運転者の前方180度に十数個が等間隔で置かれ、 無作為に点灯する。(1)携帯電話を直接持って通話(2)ハンズフリー器具を使って通話(3)通話しない場合の3通りについて、 それぞれボタンを押す反応の速さを比べ、20~50代の男女24人の平均時間を割り出した。

細かくは記事を読んでもらうとして、この先生はどんな人だろうと検索したら 日本機械学会,計測自動制御学会,自動車技術会所属だった・・・・。

なんか新聞記事がおかしいのではないか?と思ってしまうが、ハンズフリーの運転に対する影響を考える時に容易に考えられる要素は、運転歴、 会話の内容、ハンズフリーか否か、道路環境などがある。
会話の内容というのは話し手にとっての内容だから、どうでも良い会話からとても重大な会話まであるだろう、 こんなものを実験で再現できるものなのか?
非常に有名な実験で、作業能率に環境が及ぼす実験というのがホーソンの実験として知られている。

ホーソンの実験とは、 照明を暗くするなど明らかに作業能率を下げると思われる環境に変化させても、実際の作業能率は上がってしまった、 というものでこの実験で人間にはモチベーションが大きく影響すると分かった。

ハンズフリーの実験など人間の行動や能力を調査するのには、この人間の動機を項目に入れることは必須で、 新聞に紹介してあるような機械的な調査では正反対の結果も出ることを考慮に入れると、明らかに自動車を止めて電話する例も考えに入れると、 およそ無意味とは言わないにしても、現実離れした分析だと言われても仕方あるまい。

PS 13Hzで稼働中さんにトラックバックしました。   「助手席の人と話した場合との比較はどうなるのでしょう?」   これも多くみられる意見ですね。この記事はなんなんだろう?

11月 3, 2004 at 04:13 午後 セキュリティと法学 | | コメント (0) | トラックバック (0)

2004.10.20

プリペイド携帯電話の禁止法案だと

朝日新聞より「プリペイド携帯の販売禁止法案、与党が議員立法で検討」

法と常識の狭間で考えようさんの記事「プリペイド携帯電話の販売禁止は妥当か?」問題提起されていたことである。

与党は20日、プリペイド(料金先払い)式携帯電話の販売を禁じる法案と、インターネットなどでの預金口座の売買を禁じる法案を今国会にも議員立法で提出する方針を決めた。携帯電話各社は、プリペイド式携帯の販売時の本人確認を強化しているが、一部店頭では不十分だったり、転売が絶えなかったりしているという。与党は新法で、一定の告知期間を置いたうえで、プリペイド式携帯の販売を規制することを盛り込む考えだ。警察庁も携帯各社に対し、携帯の第三者への譲渡を禁止するよう求めている。

こんなことを法律にするとはバカじゃないか?としか言いようがない。

要するに匿名携帯電話が犯罪に使われ場合に追跡出来ない場合があるから、その一つの原因であるプリペイド携帯電話を禁止するという原理だろうが、どこをどう繋ぐとそういう話しを理論立てることが出来るのだ?

この手の何かを禁止するというのは「他の用途はほぼあり得ないから禁止出来る」という理屈はある。代表が拳銃などの所持規制である。だから刃物については刃の長さや用途で規制している。

そこでプリペイド携帯電話であるが、携帯電話の利用者が追跡出来ないということなら幾らでも可能性はあるだろう。会社支給の電話の横流しといったことも想定できる。

つまり先に書いた「他の用途はほぼあり得ないから規制出来る」という原理になるのか?という問題になる。
それに第一、携帯電話の料金支払いの方法を法律で規制出来るものなのか?この話は「携帯電話の使用者以外が契約してはいけない」ということになってしまうのではないか?

こんな法律が成立するようなら国会議員のバカさ加減を世間に知らせることになる。

一方、日弁連「プリペイド携帯:契約時の本人確認 日弁連が総務省に要請」を出した。毎日新聞より。

プリペイド(料金前払い)式携帯電話について、日本弁護士連合会は20日、本人確認の徹底などを求める意見書をまとめた。近く事業者を監督する総務省に郵送する。(1)新規契約時だけでなく、既存の契約についても本人確認し、確認できない場合は契約を解除する(2)犯罪に使用された場合、利用を停止する--などの行政指導を求めている。

こちらの意見の方がよほど妥当だろう。

10月 20, 2004 at 11:32 午後 セキュリティと法学 | | コメント (5) | トラックバック (1)

2004.10.17

ロースクール志願者激減?

ロースクール問題で取り上げた、法科大学院卒業者が司法試験に合格する可能性が当初の予定の7~8割から30%台に落ちるという予想が出たことで、朝日新聞に次の記事が出た「法科大学院の志願者激減 新司法試験の合格率懸念?」
ビートニクスさんがコメントした通りになったと言える。

ただ、仕事を辞めて新司法試験を目指そうという人たちにとっては、厳しい現実を知らせることなった訳で、「賢い」社会人は、来年以降ロースクールには行かなくなるように思いますね。

朝日新聞の記事でのこの現象への説明は

・「課題や合格率の厳しさが漏れ伝わり、社会人は様子見をしているのではないか」
・「当初、新司法試験には法科大学院出身者の7、8割が合格するとされたが、今では2、3割とまで言われている。仕事を犠牲にして法曹を目指すにはリスクが大き過ぎる」
・都内の女性会社員(25)は悩んだ末、法科大学院の受験をやめ、働きながら現行の司法試験を目指そうと予備校の講座を申し込んだ。「法科大学院を修了しても、必ず弁護士になれるとは限らないなら、最短距離の現行試験にかけてみようと思って」
・「法科大学院の3年は長いし、授業料も高い」などとして、現行試験を目指す人は多い
・文科省専門教育課の専門職大学院室は「初年度は、それまで待っていた人が一気に受けたと考えられる。数年すれば志願者数も落ち着いてくるのでは」

となっていて、総じて常識的な判断をしていると言えよう。このような敏感な判断をする人たちが法曹界に入ることは良いことだと思う。

一方で、司法修習生の生活費を給与から貸与にするという法案が提出されるが、期間が1年半であるから、年間300万円として450万円である。これを給与から貸与では、相対的には900万円差となってしまってあまりに格差がひどすぎるというべきだろう。
半分とか1/3を貸与にするといったところが妥当ではないかと思う。
一方で、ロースクールにお金が掛かるから・・・という論もこれまた乱暴に過ぎている。ロースクールにはお金が掛かるから国が出すべきだ、とも取れる。

国民つまり司法従事者のサービスを買う消費者にとっては、適度にバランスが取れたところで優秀な人材が法曹界に競争して入る形であることが一番望ましい。そのためには、競争意欲を失わせるような過度な競争も、誰でもなれるといった競争の事実上の撤廃もどちらもダメで、あえて言えば非常に厳しい競争になるべく多くの参加者があるような形が一番良いだろう。

次回の志望者の動向によって、ロースクールが有効なのかどうかが確認できるだろう。

10月 17, 2004 at 10:54 午後 セキュリティと法学 | | コメント (4) | トラックバック (0)

2004.10.09

ロースクール問題

「法と常識の狭間で考えよう」さんの「ロースクールは生き残れるか?」を代表にしますが★J憲法&少年A★さん弁護士 落合洋司 (東京弁護士会) の 「日々是好日」さんらが一斉に取り上げたのが朝日新聞の「法科大学院生にも狭き門 新司法試験、一発合格は34%」という記事です。

この情報がなんでこんな大げさな記事になったのかを法曹関係者の皆さんは取り上げているわけで、基本は「法と常識の狭間で考えよう」さんの記事

元々、ロースクールは、現行の司法試験の合格率が低く、予備校に行くなどしないと合格しないことから、大学の法学部とは別に、2年制(法学既習者向け)と3年生制(法学未習者向け)で、実務も射程に入れた余裕のあるカリキュラムを実施して、「その卒業生の7、8割は合格できる」という制度として設計されていた。
しかしながら、J憲法さんが指摘するように、昨年秋の時点で、約70校以上ものロースクールを認可した時点で、その定員数から、既に、その卒業生の7、8割は合格できることはありえないということは明らかなことであり、どうして、今頃になって、このようなことが1面のトップ記事になるのか、理解に苦しむところではある。

に集約されているでしょう。

法曹界の実務に携わっている現役の方々からはロースクールについて、BENLIさんは以前からかなり強烈に批判していましたが、その通りになりつつあるとも言えるでしょう。
確かに「7~8割に法曹資格を与える(弁護士になれる)」というふれこみで出発したロースクールですが、元々の定員が少ないのですから学校を増やしたら弁護士になれない学生が大勢出るのは当たり前です。この事について上記の実務家の皆さんは当然のこととして「だから出発点から間違っているのだ」とおっしゃっています。
代表的な意見は★J憲法&少年A★さん

仕事を辞めてロースクールに未修者として入学した人が一番大変だ。幸いにしてまだ辞めていない人は、勤めを続けながら05年ないし06年の現行試験を目指し、それでダメなら諦めるのが現実的だろう。

がふさわしいと思いますが、わたしはちょっと違う印象を受けます。
ロースクールに入学し法曹人を目指す学生は大変な情況は分かっていて当然だと思う。
「聞いてない、教えられてない」と言える立場の学生では無いはずだ。
教えられないと情況が理解できないような法曹人は、はっきり言うがいらない
単純に言えば非常識な人物という範疇に入る。

もちろん、BENLIさん(小倉弁護士)が以前から指摘しているように「法曹人になるのは金持ちだけになる」という危険はあるが、お金の問題は解決可能であろうと思う。
それよりも、判断力が弱い人間がお金を掛けて法曹人になる方が恐ろしい。

バンバン競争して、したたかに生き残るような逞しい社会をよく知っている法曹人を求めているという事実は変わらないのだから、法曹を目指す人たちには大いに苦労して欲しい。その苦労もお金が勝負を決めるということを心配するのは当然ではあるが、お金なのだからなんとかなると言えないでも無いでしょう。

紹介した実務に携わっている方々の半数は存じ上げてるし、決して甘やかせと言っているのではないことは理解していますが、記事の読み方としては仕組みを変えて甘やかせとも読める、と感じました。

10月 9, 2004 at 04:22 午後 セキュリティと法学 | | コメント (4) | トラックバック (1)

2004.10.06

IT事故対策だって

日経新聞より「IT事故対策を5段階格付け・経産省が検討」

経済産業省は情報技術(IT)事故への対策を促すための企業格付け制度の検討に入った。来年中にも導入する。顧客情報流出の防止策やシステム停止の復旧策の充実度などが評価対象。企業に対策をまとめた報告書の公表を呼びかけ、その報告書を5段階程度に格付けする。結果を公的機関による調達の基準とすることも検討する。

う~~ん・・・・・・・・。

やらないよりはマシだとは思うが、誰が格付けするんだ?そしてその格付けの精度はどんな時に確認されるのだろうか?

だいたい多くの場合、格付けとはかなり偏った結果になります。IT事故については考えてみると、事故後の対策が優れているかなんて評価は実際に事故にならないとちょっと評価出来ないのではないでしょうか、そうなると事故を起こしてから良い対策をした企業と、事故を全く起こさない企業を同列では評価できません。

これは分類が一様ではない団体にありがちなことで、健康保険組合にはよく見られる現象です。健康封建組合の財政は歳の割に高い収入の組合員が多いところは健全経営になります。しかし、日本全体でみると高齢化によって健保財政は全体として悪くなっています。つまり健保組合の財政をそのまま比較してもそれぞれの業界事情とかを意味する以上ではないから、あまり意味がないとなります。

これを悪用するのが、悪徳商法で「○○社の評価・・・」なんてのウリにしますが、会社の財務の評価なんて消費者には無関係です。

IT関係について役所の取り組みは、縦割り行政を良いことに切り取り勝手というのが現状だと見ています。次々と出来る法律も役所の意向を反映しているために、どうにも統一性に欠けています。今夏の経産省の案は、経産省の得意な業界団体作りなのであろうと思われます。

10月 6, 2004 at 10:58 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2004.09.28

個人情報の確保

cococoさんの記事「びっくりです。」は実際に出くわせば確かに「ビックリ」ですが

聞けば、暗証番号が「生年月日」だったそうです。
これはうまくないですね。しかもすべてのカードの暗証番号が一緒だったらしいので、
こうした犯罪のプロ(?)にしてみれば、スキマーもいらない、ちょろさでしょう。

これは、パソコン通信が始まったころには実際に起きていた問題です。だいたい、最近ではATMに「暗証番号は誕生日ではダメです」とか書いてある時代です。最近では認証のあるサイトなどにアクセスするために実にたくさんのパスワードを管理するひつようがあって、それをポストイットに書いてディスプレーに貼ってあるなんてのは少なからぬ実例であり、かつ「それはダメだ」と強く指摘されています。ところが、代替案というかお勧めが示されない。セキュリティの専門学会などではパスワードをコンピュータのどこかに記憶させて、その上でそのファイルをセキュアーにして、セキュアーを解除して読むことができる状態にするパスワードだけを記憶するようにした方が良い。と指導されます。わたしが最近使っている手法はパスワードを時計のデータにしています。040928001534 とかなります。作った当人だって覚えていない。その他、例えば誕生月と誕生日を計算してしまう。9月28日であれば、9+28、9*28、9÷28、といった計算結果を使う方法です。もちろん誕生日以外でも、電話番号の局番と番号で計算するとか電話番号と住所で計算するなんてこともありです。元の数字まではなんとかなっても、計算ルールは勝手ですからまず破れないでしょう。

9月 28, 2004 at 12:20 午前 セキュリティと法学 | | コメント (1) | トラックバック (0)

2004.09.27

千葉地検で法律の適用誤りなどがあった

朝日新聞より「千葉地検の検察官5人に厳重注意 法超す刑期、罰金忘れ」

千葉地検で00年度以降、法律の適用を誤り、法の規定を上回って求刑したり、罰金の求刑を忘れたりするミスが相次ぎ、検察官5人が厳重注意を受けていたことが分かった。検察事務官10人も、別人の過去の犯罪歴をもとに刑事処分手続きをしていたなどとして厳重注意などになっていた。いずれも国家公務員法にもとづく懲戒処分ではなく、未公表だった。裁判所も違法な求刑を受けて違法判決を出していた。

朝日新聞記者の情報公開請求に基づいて開示請求された内容によるのだそうだが、司法の信頼という面から検察は積極的に発表するべきだと思う。さらには、やはり責任はあるだろう。それも部内の問題ではなく公式に責任を追求するべきだと思う。知られなければ良いというのでは司法の信頼は一気に無くなってしまう。

9月 27, 2004 at 10:48 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2004.09.17

架空請求詐欺で敗訴・支払になるケース

産経新聞より新手の架空請求 少額訴訟など悪用 「無視」続けると敗訴に」

 ちょっと前に悪徳商法?マニアックスでも話題になった事例です。

架空請求は警察・消費者センター・ネット上の消費者被害相談などでも「無視して下さい」とアドバイスしています。業者が少額訴訟を裁判所に申し立てます。裁判所から被害者=被告に少額訴訟の呼び出し状が来ますが、これも「架空請求だから」と無視してしまうと、少額訴訟のルールで敗訴確定となってしまいます。つまり架空だった請求が裁判所というもっとも権威があるところに保証された確定した請求になってしまうのです。

一般には「敗訴したら控訴して上級審で争えば良いでは無いか」と考えますが、少額訴訟では一審(原則一回)で確定であり、控訴は出来ません。つまり最初の呼び出しに応じないとそれだけで敗訴です。産経新聞の記事では

架空の訴訟を起こされて精神的被害を受けたとして損害賠償請求を起こすのは都内在住の二十代の男性会社員。大阪市内を本拠とする出会い系サイト運営者が提訴した訴状が、大阪簡裁から届いた段階で「身に覚えがない」と弁護士に相談した。業者側が起こした訴訟は、東京簡裁に移された後、さらに東京地裁に移され、二十七日に審理が始まるという。

となっていて細かい事情が分かりませんが、日本司法書士連合会のサイト少額訴訟の解説

少額訴訟手続により訴えを提起しても、被告が通常の訴訟として審理することを求めた場合には、少額訴訟手続による審理は行なわれません。

とある通り、少額訴訟で勝ち負けを決しないと判断した場合に、少額訴訟ではなく通常訴訟で争うことにするしか手がありません。産経新聞の紹介している事例がこのケースなのか、少額訴訟で敗訴したので一般民事事件で再度訴訟を起こしたのかが分かりませんが、どちらにしてもやっかいなことです。

一方「架空請求が裁判所にバレる可能性があるだろう」と誰もが思うところですが、アングラ情報ですが少額訴訟を起こす原告=架空請求が裁判所にバレする可能性がある人物には本人が借金などで首が回らず、なんでも引き受ける人間を使う。という話しもあるようです。これは、Spam メールを送りつけるのに弱みのある人間を使うという話があるのと同様で、少額訴訟の規定にある「 同一の裁判所に年間10回を超えて申立てることはできませんも人を取り替えることで逃れているとも言えるでしょう。

9月 17, 2004 at 10:29 午前 セキュリティと法学 | | コメント (0) | トラックバック (1)

2004.09.15

二次詐欺被害

朝日新聞より マルチ商法被害弁済装い、郵貯だまし取る 13人が被害」

健康食品販売会社「全国八葉物流」による巨額詐欺事件の被害者に 電話で「被害弁済を代行する業者」を名乗り、郵便貯金の振り替えをインターネットや電話でできるサービスに加入するよう指示。操作に必要な暗証番号やパスワードを事前に指定したり、聞き出したりして、 8都府県で13人の被害が確認された。一家4人で計312万円だまし取られた例もあった。

なんというか、被害者には失礼だがなんで同じ話しに二回引っかかれるのだろう?

もちろん全国八葉物流事件の被害者が再度被害者になっているのなら、まさに個人情報流出であるわけだが、これもしょせんは犯罪組織に名前を知られた=カモリストに載った、ということなのだが、向こうから来る電話などというのは100%疑って当然なのだが、そういう知識が無いのだろうか?

それにしても、初期からのパソコン通信ユーザとしてはそれなりにひどい話を見たり経験したりしているからネットワークという顔が見えない世界では基本的に信用が無いということが身体に染みついているだが、ネットワークの世界とは別に「会社だから」「役所だから」といった既存の権威があって「ネットでは信用出来ないが、会社(役所)に聞けば確認出来る」と長年やってきた。

それが最近では会社も役所もネットを利用し始めた。その結果がニセサイトの登場でありフィッシングの横行、架空請求メールの氾濫である。

にも関わらず、会社はとにかく役所や周辺のボランティアグループなどが安直にインターネットで「私たちは○○(の認可を受けているの)だから信頼出来る」とやっている。そもそもニセサイトで無いことは証明出来ないということ知ってとは思えない。ネット外の権威を出せばネット内でも信用できると思っているところが恐ろしい。役所を代表として信用を常に維持するために莫大に費用を掛けていることを知らない人が多すぎる。

インターネットは社会そのもの反映であるから「いかがわしいインターネット」などというのがヘンなのだ。社会にはいかがわしい部分は間違えなくある。だからインターネットにもいかがわしい部分があって当たり前なのだ。そういう方向議論はあまり聞かない。

9月 15, 2004 at 11:51 午後 セキュリティと法学 | | コメント (1) | トラックバック (0)

2004.09.05

架空請求の進歩か?

人工事実さん「驚異の新技術「個人識別コード」」という記事が出ていた。

http://www.cat-e.be/member/index.php
 ここより。

個人識別コードはPC個別に割り当てられている個人情報を特定可能な次世代コードです
 いつの間にそんな技術ができたんだか(笑)。IPアドレスからプロバイダーを表示して、知らない人を怖がらせる方法は一応取ってますが、架空請求業者の方々の考えるネタは面白過ぎます。あー、でも、IPv6が普及したら、信じる人が意外と増えてしまいそうかも…。
 念のため、書いておきますが、そんな技術はありませんのでご安心を。
ナンダなんだとクリックしてみました、そうしたらこんなことになった(^_^;)

人工事実さんが紹介しているリンクをたどっていくと大評判!(爆)、まぁ良くも考えたものだと思うが、ここまで来るとネットワーク犯罪であると言って良いでしょう。
架空請求とオレオレ詐欺について現時点で警察の平均的な対応は「無視して下さい」らしいが、弁護士さんとの対話では「詐欺未遂という立派な犯罪」となっています。つまり本来は警察は「無視して下さい」ではなくて「詐欺未遂の疑いで告発して下さい」ということも出来る立場なのだが、そこまでは話しを広げないらしい。
でもこれは、かなり立派に多くの人を脅しているぞ。2ちゃんねるで「爆破します」とか書いて逮捕されたバカが居るが、それとさほど差がないだろう、実際にこの口座を調べるぐらいのことはやって良いだろうと思う。

9月 5, 2004 at 02:19 午後 セキュリティと法学 | | コメント (2) | トラックバック (1)

2004.09.02

記憶するべき日なのかも9月1日

まだ9月2日だから9月1日のことを書いても良いだろう。 わたしが興味を持っている法律的側面では2004年9月1日は記憶するべき日なのかもしれない。   一番目、京都地裁で winny 裁判第一回公判があった。つまり裁判の始まりである。 正確に言うともうちょっとマニアックな見方も出来る。 通称 winny 裁判とは winny の作者である金子氏をめぐる「著作権法違反幇助」の裁判である。幇助という従犯なので別に正犯がいる。これが、群馬県の人でこの人も京都地裁で裁判が進行中である。これが8月31日に懲役1年の求刑があった。その翌日の9月1日が金子氏の裁判の始まりであった。     二番目が違憲判決をめぐってすごいことかもに書いた、確定した判決の後に根拠となった法律が無効となった場合、再審請求できるという大阪高裁の決定である。これについては町村先生はじめ何人かがコメントしているが、いずれの意見も「大混乱になるだろう」という話しである。法律の新たな適用を昔に遡る(遡及)というのはもし一般化すると非常にまずい結果になると思う、さっさと最高裁で結論を出すべきだろう。     三番目が、三菱ふそう(自動車)のリコールの虚偽報告で、宇佐見元会長らへの刑事裁判の始まりである。この裁判は虚偽報告があったということにしないと国土交通省にとった多分非常に都合の悪いことになるのだと思う。その意味ではもともと虚偽報告というのが無理があって、それを被告側が突いたのだろう。 わたしの印象であるが、ハブもクラッチハウジングも基本的な設計でミスしているのだと思う。設計と言ってもその部品の設計が間違っている場合(ハブ)と設計の前提となる公差の設定が違っていた場合(クラッチハウジング)があるのだろうが、いずれにしても本職であれはヂェックするべき部分を見逃したのだろ。見逃したと書いたが見逃していけないのがプロの設計であるし、万一どこかを見逃して致命傷にならないように安全を確保しておくがプロであるから、見逃しはそれだけで重罪なのだが・・・・。 自動車には車検制度があって、最低基準ではあるが国が安全を保証してるのである。ハブの設計はわたしだけでなく機械工学の知識のある人は「なんだこれは?」といった印象を受ける設計である。三菱は「摩耗が0.8ミリで壊れる」と言ったのだが、ほとんど10ミリはある部品である、それが一割の摩耗で破断することあり得ない。一割の摩耗で破断するほど強度に余裕がない場合、破断する以前に曲がってしまう。これは機械工学の専門家でなくても中学生ぐらいでも直感的に分かることだ。そこで「人身事故になるほど致命的な設計ミスでした」となると、国土交通省の車検を通した責任という問題が出てくるのだろう。そこで元会長の個人的な責任に話しをまとめてしまうために、設計ミスは無かったが、リコールの届け出がウソだった、とやっているのだろう。隠さない方が良いと思うのだが。

9月 2, 2004 at 08:15 午後 セキュリティと法学 | | コメント (0) | トラックバック (0)

2004.08.31

実録オレオレ詐欺とは!!

これぞネットの醍醐味というのでしょうか、Filtration(純水)さんが「実体験!オレオレ詐欺の手口」というのを公開されています。

まぁかなり強烈で、これはダマされる可能性は高いですね。
当初「オレオレ詐欺」という話しがあった時に「そんなものにダマされるものなのか?詐欺としての効率はかなり悪くてすぐに廃るだろう」と思っていたらその後、成功率1割とかいう話が出てきて「それじゃやるわ」と驚いたものです。
しかし、具体的な手口を詳細に説明されるとこれも当然という印象ですね。

被害者が警察官がなどというのは割と伝わっている情報ですが、Filtrationさんの場合は事故を起こしたとされる父上の携帯電話が伝わらなかった、その手口がすごいです。
ここは是非読んで欲しい、というか携帯電話を止めることが出来ないのならその後のオレオレ詐欺にたどり着けないわけです。
携帯電話を止めてしまったの一番の問題点であるわけで、これについてFiltrationさんはauの対応を疑問視しています。

是非ともご覧下さい。

8月 31, 2004 at 05:51 午後 セキュリティと法学 | | コメント (3) | トラックバック (1)

2004.08.23

日能研から情報流出

 
地元であります。横浜は進学塾の激戦地なのではないかな?駅前のビルにノボリが掛かっていたりする。
今回は情報管理会社の内部から流出した可能性が高いということだが、
エヌ・ティ・エスの従業員は87人で、個人情報にアクセスできるのは12人。同社の三十数台のパソコンからパスワードを使って個人情報にアクセスできるが、履歴には残らないという。
ダメじゃん。12人が三十数台のPCでアクセス可能で、かつ名簿のダウンロードが可能だった。もうこれがダメ。毎日新聞には
日能研によると、流出した個人情報は、模試を過去に受験した現在小学3年から中学1年の児童・生徒の氏名、性別、学年、生年月日、保護者の氏名、住所、電話番号の7項目。模試の成績は含まれていない。流出した一部の約100人分の個人情報リストを、日能研が模試受験者のデータベースと照合したところ、ほぼ一致した。  流出したのは首都圏や関西圏を中心に、児童・生徒約18万人分に上るとの情報もあるという。
と書いてある。ソフトバンクの個人情報流出事件の時に問題になったが数百万人分のデータがダウンロードできる方がおかしい。そもそも名簿のデータをダウンロードする必要はない。検索に必要なのは特定なデータを見ることが出来れば良いのであって、ダウロード機能があること自体が失格というべきだ。
ソフトバンクの場合は実行犯は恐喝目的に使った、三洋信販の場合は架空詐欺などがある模様、つまり名簿を持ち出した後に使うのは誰か?という問題が出てくる。る。進学塾の名簿を持ち出したら、そりゃ同業者である進学塾や家庭教師派遣などでしょうね。実際に家庭教師の電話セールスが頻繁にかかってくるといった報告もある。
個人情報保護法ではなくて、刑法に情報窃盗罪を作るべきだと強く思う。

8月 23, 2004 at 11:10 午後 セキュリティと法学 | | コメント (0) | トラックバック (0)

2004.08.20

アメリカでファイル共有ソフトの作成は著作権法に抵触しないとの高裁判決

 
 
サンフランシスコの米連邦高裁は19日、インターネット上で情報を交換できるファイル共有ソフトの提供者に音楽や映画の著作権侵害の責任を問えないとの判決を下した。  高裁判決は、ソフト会社は著作権の有無にかかわらず、情報を共有しようとする個人にソフトを提供しているだけで、著作権侵害行為に深く関与してはいないと認定した。  一審に続く控訴審での敗訴は業界にとって大きな衝撃とみられる。
 
ちょうどWinny事件と同じと考えて良いのだろう。
 
まだ詳細は分からないのだが、一般常識として考えると妥当な判決と見える。Winny事件ではソフトウェアのWinnyを利用した者が「著作権侵害になると承知して使用した」と述べている(主犯)ようなので、「そんなことをさせるソフトウェアを提供したから共犯だ」という論理らしい。素人考えとしては、共犯となるかならないかを争うのはソフトウェア開発やそれこそ車の製造は交通事故の共犯だという展開になりかねないように思うので、出来れば「共犯にはあたらない」という門前払いの結論が欲しいところである。
 
何が共犯なのか?は程度問題になりそうな気がする。どうもこういう論理展開を程度問題にして良いものか?という疑問がある。どうも検察側の主張はこの共犯の程度問題とかにしないというこのようだけど、それじゃもっと分かりにくいし新しい手段が出てきたのに権利者が新しい手段の存在を無視して権利を主張するから話が折り合わないという印象が強い、どういうことになるのか?

8月 20, 2004 at 11:37 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2004.07.30

プロバイダ責任制限法のガイドライン改定案・意見募集中

プロバイダ責任制限法ガイドライン等検討協議会が「法務省人権擁護機関からの情報削除要請対応プロセスの明確化」について意見募集しています。

プロバイダ責任制限法はネットワークで権利を侵害された被害者が、裁判など手続きをしないでも、プロバイダ等に被害の元となった誹謗中傷発言などの削除を求めることが出来るという法律です。

 
問題は、被害者(申立人)が身分を証明しないと実際に発言を削除するプロバイダ等にとっても申し立てが真実であるかどうかが分からないことで、推奨する書式には身分の証明の欄があります。

これは、成人で社会的に身分証明しやすい人や企業にとっては容易ですが、小学生など身分証明そのものが本人にふさわしくない場合には、プロバイダ責任制限法による削除請求自体が出来ないという問題がありました。

そこで、法務省人権擁護局が削除請求した場合にプロバイダ責任制限法上の申立人に相当しないのでどうしようかという問題を解決するために手続きを決めようというものです。

もっとも、不当な記事かどうかという問題を判断出来ないプロバイダというのが許されるのかという根本的な疑問も出てきますが、それだけネットワークも社会的に重要になったということです。

意見のある方はガイドライン改定案(PDF)をご覧の上でこのメールアドレスにどうぞ。

7月 30, 2004 at 10:49 午前 セキュリティと法学 | | コメント (1) | トラックバック (1)

2004.06.06

SUICA や ICOCA の捨て方は?

吉井怜さん(^_^;)(そこの君たち、勝手に言ってなさい)の無くなった SUICA が出てきたそうです。

それで「ありゃ?」と思ったのが「SUICA の捨て方は?」です!!
JR東日本のサイトには説明無いですね~(オイ!!)

クレジットカードも番号を取られるとおしまいなので、事実上捨てられませんし、もし捨てるのであれば番号の部分を切って、別の日に捨てるといった対処をするべきです。

ところが、SUICA や ICOCA は RFID ですから、カードを切っても(切れるモノなのか?)無線機能が生きていれば、切ったことにならない。

電子レンジでチンするとか、ガス火であぶってみるとかでしょうかね?
まぁ携帯電話についても専門店では「データを消去して処分します」と書いている位ですから、SUICA とか携帯電話という記憶型の情報機器のように見えないものをどうやって捨てるのか?というのは、これからの大きな課題ですね。

6月 6, 2004 at 04:31 午後 セキュリティと法学 | | コメント (5) | トラックバック (0)

2004.06.05

吉井怜さんが、SUICA と ICOCA を気にしてますが

吉井怜さんが「ICOCAが気になる」と言ってます(^_^)

>そういえば、友達にSuicaを買った自慢をしたら、
>その友達は定期券付きSuicaを持っていたのだーー!
>う、うらやましい(☆▽☆)
>この間、滋賀に行った時、「ikoca」
>(行こうか、ikoca!っていうキャッチフレーズ)を発見!
>これって、もしやSuicaみたいにタッチandゴーってことかしら?
>気になる~(>▽<)

だそうですが・・・・(^_^;)

どうも良いことばかりを強調するので、吉井怜さんも気になるわけでしょう。
問題は誰が「良いことばかりを強調するのか?」ですが、これはあからさまに言えば、お国であります。
SUICA も ICOCA も非接触型ICカードの代表的な使い方で、たまたまカードの形をした RFID という分類になります。
仕組みとしては、米粒ぐらいの無線送信機を内蔵しているカードで、この無線送信機を使用して非接触=無線でその品物を特定しようという仕組みです。

確かに非常に高度な技術であって、偽造が困難なことと無線を使うので非接触であることで、処理速度を上げることができるのはメリットです。
現実に、SUICA では改札口の通過速度が明らかに上がってきています。
このために、関東地区で使われている私鉄のパスネット(プリペードカード)を SUICA(ICカード)に統合する方針のようです。

無線で情報をやり取りするのならば、携帯電話の方がずっと先行しているので、携帯電話に SUICA の機能を持たせる製品はすでに試作品が発表されています。
世界的な携帯電話メーカのノキアの本社があるフィンランドでは、自動販売機に携帯電話を近づけて買い物が出来るそうです。実験は日本ではすでに行われています。

まぁここまで来ると「面倒だから、携帯電話に統一するか?」というのもアリなのですが、それが一部現実と化しています。
電話の主力が、今までの固定電話が主で携帯電話が從という関係から、携帯電話が主で、IP電話が從という構図が出来てきました。つまり、携帯電話の重要度はますます高くなりますが・・・・。

もし携帯電話を落としたらどうなるんでしょう?
拾った(盗んだ)人物が持ってるだけで、SUICA として使われてしまいます。
さらに、電波を出しているということは、内容が分からなくても「通信していることは分かる」のは確実で、自宅で携帯電話で話す習慣のある人は、電話の習慣を外部から察知されることになります。

なんでこんな心配をしなければならないのか?
便利さと安全は両立しない、ということですね。
コンピュータ犯罪の白浜シンポジウムでは参加者のお一人が「家の娘が」という話で「席取り携帯電話を置いておくから、人に取られたらメールアドレスを盗まれるだろう」と注意したところ「構わない」と言うので「アドレス帳に載っている人に迷惑を掛けるんだぞ」と注意したとのことでした。
難しいハイテク社会というべきですね。

6月 5, 2004 at 02:06 午前 セキュリティと法学 | | コメント (0) | トラックバック (0)

2004.05.31

続・ヤフーBB事件の持ち出し犯人逮捕

産経新聞によれば、パスワードは通常のサーバーが異常な時などに遠隔操作で修復に使われる「メンテナンスサーバー」に入るためのものだった。
入手したパスワードなどは元契約社員が出社しなくなってからの約1年間、1度も変更されておらず、外部侵入が容易なまま放置されていた。

ところが、ソフトバンクは「外部から侵入して盗み出された可能性は低い」という見解を出していた。だから社内からの物理的な持ち出しをモニターで監視するとも発表したわけだ。

そもそも、セキュリティのイロハとして、担当者が職責を離れたら即座にパスワードを無効にする義務が会社にあるだろう。
いったいどういう会社なのだ?
問題を一つ一つ上げれば、個人情報を収容しているサーバーにインターネットからアクセス出来たこと。
担当者のパスワードを全く管理していなかったこと。
機密情報を一気にダウンロード出来るような仕組みになっていたこと。

これはセキュリティ・ポリシーがどうのこうのという種類の話しではない、個人事業者ですら、仕事用のPCをインターネットに常時接続しないような配慮ぐらいはしている。トンでもない話しだ。

5月 31, 2004 at 01:34 午前 セキュリティと法学 | | コメント (0) | トラックバック (1)

2004.05.30

ヤフーBB事件の持ち出し犯人逮捕

ヤフーBB情報流出事件で、恐喝グループにデータを渡していた容疑者が捕まった。
読売新聞によれば、ソフトバンク・グループのサーバにアクセス出来る元派遣社員からパスワードを聞き、インターネットカフェからデーターベースに侵入したとのこと。

どうすればこういうレベルのセキュリティ対策になるのだろう?