酔うぞの遠めがね: セキュリティと法学

2009.10.31

ネット犯罪に関する白書

ネット犯罪を中心としたアンダーグラウンドエコノミー＝地下経済が成長している。個人データ販売やスパム大量送信で収益を出し、さらにネット犯罪そのものに使うためのツール、手段でも金儲けをしている。（テクニカルライター・三上洋）

スパムメール送信が手っ取り早い収益源

ドイツのセキュリティー大手・G Dataが、「アンダーグラウンドエコノミー」という調査リポートを発表した。ネット犯罪の裏経済白書ともいえるもので、ネット犯罪グループの動きや取引の実態などを詳しく分析している。

まず白書に掲載されている、ネット裏市場における価格表を見てみよう。

ネット犯罪者が集まるコミュニティーでは、様々なデータやサービスが販売されている。

最もわかりやすいのはクレジットカード情報、メールアドレス、ゲームのアカウントといった個人情報の販売だ。例えばクレジットカード情報は、２７２円から４万７６４円程度で販売されていた。

注目すべきは価格差が非常に大きいことだ。

例えばクレジットカード情報では、番号と有効期限だけだと安いが、生年月日、住所、電話番号、メールアドレスといった付随する情報があると１００倍以上も高くなる。

同様のことはメールアドレスでもいえる。特定のジャンルに絞ったメールアドレスなら価格がハネ上がる。そのデータが犯罪者によってどこまで使い物になるか、という基準で価格が変わってくるわけだ。

もう一つ注目すべきは、スパムメール（迷惑メール）送信の価格が高いことだ。１００万通のスパムメール送信の代金は、約４万円から約１０万円程度とされており、ほかのサービスやデータ販売よりもまとまった金になりやすい。

G Dataによれば、１００万通のスパムメール送信では、２万台規模のボットネット（一般ユーザーのＰＣを乗っ取ったネットワーク）なら毎秒２通のペースで送信できるため、約２５秒でその仕事を終えてしまうという。

ネット犯罪者にとっては、もっとも手っ取り早く儲けられる手段なのだ。

ネット犯罪フォーラム同士の抗争も

ネット犯罪者のフォーラムにおける売買の書き込み。一般ユーザーのＰＣを足場とするボットネットを販売している（アンダーグラウンドエコノミー：G Data）

ネット犯罪者たちは、フォーラムを通じて情報交換・売買などを行っている。ネット犯罪者が集うフォーラムは、掲示板やメッセージ機能、売買するための市場（マーケットプレイス）などが一体化したものだ。

初心者向けの内容は公開されているが、掲示板やダウンロードなどの機能は、アクセス制限をかけている場合が多い。

フォーラムの市場では、盗難クレジットカード情報、メールアドレスリスト、ボットネットなどが売買されている。この市場を広告として使い、実際の取引はＩＣＱやＹａｈｏｏメッセンジャーといったインスタントメッセンジャーを使う場合が多いそうだ。

このようなネット犯罪フォーラムは多数あるが、ナンバー１の座を巡ってのフォーラム間の抗争が常にあるとのこと。

同業者のサイトを改ざんしたり、ＤＤｏｓ攻撃によってサイトをダウンさせるなどの抗争が行われている。ライバルのフォーラムを改ざんすることが一種のステータスとなるそうで、これは暴力団の覇権争いにも似ている。

もう一つ面白いのは、ネット犯罪者をだます詐欺者「スキャマー」が多いことだ。

いわば「詐欺者中の詐欺者（G Data白書による）」であり、ネット犯罪のサービスを提供すると称してダマし、前払い代金だけを盗み取る。

多くのフォーラムが、このスキャマー対策に頭を悩ましているようだ。
そのため多くのフォーラムでは、販売者、購入者の評価システムがあるとのこと。

Ｙａｈｏｏ！オークションの評価システムと同じものが、ネット犯罪者のフォーラムにもあるのだから面白い。お互いが信用できない犯罪者だけに、なおのこと信用度が重要になるという皮肉な話だ。

犯罪ツール・身元隠しサービスで儲ける

クレジットカード情報やネット送金アカウントを売買するショップ（アンダーグラウンドエコノミー：G Data）

ネット地下経済では様々なデータ・サービスが販売されている。前述したスパムメール送信代行、個人データ販売は、多くのネット犯罪フォーラムで行われている。それ以外で目に付くのは、ネット犯罪自体に使うサービス、データの販売だ。いわば地下業界の玄人向けのサービス・データであり、身元隠しや犯罪ツールとして利用されている。

●コンピューターのボット化

一般ユーザーのパソコンをウイルスに感染させ、ロボットのように遠隔操作するもの。ネットワーク化したボットネットは、スパム送信やサイト攻撃などに使えるため、ネット犯罪の温床となっている。ボットネットの時間貸しなども盛んに行われている。

●カーダブルショップ（Cardable Shop）のデータ

カーダブルショップとはクレジットカードのチェックが甘いショップのこと。盗難クレジットカードでも購入できてしまうショップの情報が販売されている。

●身元隠しのためのプロシキサーバー

プロキシサーバーとは中継サーバーのこと。追跡を逃れるために匿名性の高いプロキシサーバーが有料でレンタルされている。

●防弾ホスティング

追跡を逃れるために匿名で利用できるレンタルサーバー。違法商品を並べるショップ、ウイルスのダウンロード元サーバー、ボットへの命令送信サーバーなどに利用される。ロシア、トルコ、パナマ所在のサーバーが多い。

●ドロップゾーン

商品の中継・転送サービス。盗んだクレジットカードなどで購入した商品を、いったんこの場所に送り転送してもらう。追跡されにくい第三国に置かれている場合が多い。

このように玄人向けのサービスが多く提供されており、これだけでビジネスが成り立っている。犯罪に直接手を染めるのではなく、犯罪者向けのツールを提供することで金儲けをしていることになる。

日本でも同様のことが進行中？

このようなブラックマーケットは、欧米を中心とした英語圏や、ロシア、中国などが中心となっている。それに対して日本は、今まで比較的安全なエリアだと思われてきた。
日本語という言語の壁があるために、組織的なネット犯罪の被害を受けにくいと考えられていたからだ。

しかし、その状況も崩れつつある。G Dataによれば「日本でも地下経済の発展が進行している」とのこと。

今までのスパムメールや詐欺は、下手な日本語訳だったり、商品が日本にふさわしくなかったため、あまり大きな被害は出ていなかった。

それが日本でもなじみのあるスタイルに変わりつつあるという。「スパムメールは、今まではバイアグラなど海外で人気のある商品が多かったが、日本向けに競馬やパチンコなどのスパムメールが増加。日本の政治や社会状況に合わせたタイトルをつけるなどの工夫をしている。ボット利用と思われるスパムメールが増えてきた（G Data）」とのことだ。

私たちが注意すべきは、地下経済の発展に手を貸したり、加害者にならないようにすることだ。

例えばウイルス対策ソフトのないパソコンは、ボットに感染することで知らないうちにスパム送信などに利用されてしまう。パソコンのセキュリティーをしっかりしないと、自分が被害に遭うだけでなく加害者にもなるので注意したい。

なかなかここまで整理された情報が公表されることはないので、良い資料だと思います。

G Data日本法人のＨＰに「ネット犯罪「裏経済白書」を公開」とのプレスリリースがあります。

ネット犯罪「裏経済白書」を公開　2009.10.29

G Data Software株式会社（本社：東京都千代田区、代表取締役社長：Jag 山本）は、アンダーグラウンドで行われているネット犯罪の仕組みや商品・サービスの取引の実態を調査し、ホワイトペーパー「アンダーグラウンドエコノミー」としてまとめました。

これにより、ネット犯罪の経済活動が、実際どのように行われているのかを把握し、被害を最小限に抑えるための手がかりとしてほしいと考えます。

ネットの裏市場はどのように動いているのか、何を取り引きしているのか、どのような役割分担がなされているのか、そして、どのように世界中にネットワークを張りめぐらしやりとりをしているのか――こういった疑問に答えるべくジーデータのセキュリティラボでは、数カ月にわたって実際に不法な取引場や犯罪者専用板に潜入し調査を行いました。

その結果、実際の経済体制と同様に、地下経済もまた、グローバルなネットワークをもち、高度に組織され、きわめて効率のよい販売戦略で働いていることが明らかになりました。

ネット犯罪のコミュニティは、世界中に広がっており、よく組織化されて、かつ、きわめて高い匿名性を維持しています。

経済原則がはっきりとしており、犯罪者たちは利益を最大にすることに専心しています。

この市場は需要と供給のシンプルなバランスで成り立っています。
それは同時に、弱者はたちまちポートフォリオから除外されることをも意味します。

裏市場で提供される商品やサービスは、コンピュータウイルス、ボットネットレンタル、サイバー攻撃など、きわめて広範囲にわたっています。

企業相手だけでなく、競争相手に仕掛けられることもあります。

人気商品は、DDoS攻撃、スパムメール送信、盗まれたクレジットカード情報などです。

銀行から金銭を奪うためのハードウェアまでとりそろえています。

商品とサービスを提供する者同士の競争は熾烈です。
当然、価格設定にはかなりの注意が向けられています。

同時に広告営業も盛んで、裏の広告代理店がバナーを作成・掲示するほか、デザインやプログラミング、およびウェブホスティングの世話をする場合もあります。

さらには、初心者でもスムーズに実行できるようにコンサルタントサービスも含み、フォーラムやFAQ、ビデオチュートリアルも充実し、かつ、リーズナブルな価格で提供されています。

このコミュニティの通信手段には、インスタントメッセンジャーまたはインターネットリレーチャット(IRC)がよく使われています。それは、通常の検索では見えてこない、裏市場の入り口でもあります。

【ネット犯罪「裏経済」白書　目次】
1　概要：　無邪気なハッカー攻撃からドル箱市場を狙った犯罪へ
2　裏経済の構造
　2.1　犯罪者のたまり場とコミュニケーション手段
　2.2　盗難クレジットカード情報の販売
　2.3　スキャマー
3　取引される物品とサービス
　3.1　金になるデータ
　3.2　プロキシを利用したトラッキング回避
　3.3　コンピュータのボット化
　3.4　防弾ホスティング
　3.5　収入源となるスパムメール
　3.6　DDoS攻撃がサーバーをダウンさせるメカニズム
　3.7　偽装IDを使ったID隠蔽
　3.8　カーディング詐欺
　3.9　スキミング詐欺
　3.10 フィッシング詐欺
　3.11 ボットネットとその構成
4　現金化
5　結論：　サイバー犯罪は更なる増加へ
　付録１　裏市場における価格表
　付録２　用語集

「アンダーグラウンドエコノミー」（ＰＤＦ／日本語）

G Data Software

White Paper 2009

―アンダーグラウンドエコノミー―

G Dataセキュリティラボ
マークアウレル・エスター＆ラルフ・ベンツミュラー
（岸本眞輔・瀧本往人訳）

目次
1 概要：無邪気なハッカー攻撃からドル箱市場を狙った犯罪へ 3
2 地下経済の構造 4
2.1 犯罪者のたまり場とコミュニケーション手段 4
2.2 盗難クレジットカード情報の販売 6
2.3 スキャマー 9
3 取引される物品とサービス 11
3.1 金になるデータ 11
3.2 プロキシを利用したトラッキング回避 12
3.3 コンピュータのボット化 12
3.4 防弾ホスティング 13
3.5 収入源となるスパムメール 15
3.6 DDoS 攻撃がサーバーをダウンさせるメカニズム 15
3.7 偽装ID を使ったID 隠蔽 16
3.8 カーディング詐欺 16
3.9 スキミング詐欺 17
3.10 フィッシング詐欺 18
3.11 ボットネットとその構成 19
4 現金化 22
５結論：サイバー犯罪は更なる増加へ 24
付録１裏市場における価格表 25
付録２用語集 28

1 概要無邪気なハッカー攻撃からドル箱市場を狙った犯罪へ

ここ数年の地下経済（アンダーグラウンドエコノミー）の成長ぶりには、著しいものがあります。
一昔前までのハッカーといえば、自己の能力をひけらかしたり、多数の人々を困難に陥れて楽しんだりといった、愉快犯的な犯行を行う人物がほとんどでした。それが、今では、大量のコンピュータを不正プログラムに感染させて不正に操作し、スパムメールの送信、各種個人情報の窃取、様々な標的への攻撃を行う人物を指すようになりました。

何故ハッカーの性質は、これほどまでに変わったのでしょうか？

それは、巨大なビジネスチャンスが、そこにあるからです。

急速なインターネットの普及に伴い、そこにビジネスチャンスを見出した犯罪者は、ハッカーを巻き込み、次第に地下経済を形成してゆきました。地下経済の構造といっても、その構造は表社会のそれと全く変わりません。メーカー、リセラー、サービス業者、詐欺師、顧客によって構成され、あらゆる業種・サービスが存在・成立しています。地下経済での取引がこの短期間で急成長した理由の1 つとしては、実行現場が仮想上であり、リアルな人物との接触がほとんどないため（このため、多くが軽はずみで犯罪に手を染めはじめます）、犯罪者側にとってはもってこいのプラットフォームであったこと、インターネット普及・マーケット拡大による高収益性、あるいは、自国の政治情勢や景気悪化による就職難（高度なIT 専門知識をもつにもかかわらず、職に溢れた若者がやむなくこの業界に入っていくケース）などです。

また、地下経済で活動するのは、特定の少数グループではなく、無数の犯罪組織という点も理解しておく必要があります。

地下経済の実情や地下経済の構造については、以下に詳しく説明してゆきます。

専門用語については、本資料の巻末の用語集を参照してください。

2 地下経済の構造

2.1. 犯罪者のたまり場とコミュニケーション手段

犯罪者のコミュニケーションの場所として利用されるプラットフォームの1 つは、インターネットのフォーラムです。このフォーラムでは、犯罪ツールや犯罪手段ごとにカテゴリーが分類されています。また、このようなフォーラムには、ハッカーの真似事をするスクリプトキディ向けのビギナー用サイトから、個人情報やクレジットカード情報、盗難品を公然と取引する犯罪を助長するサイトまであり、サイトの特質や特長はそれぞれです。また、フォーラムで扱うコンテンツの違法性が高いほど、運営者は一般のインターネットユーザーや権限のない閲覧者のアクセスに対し制限を設けています。このような犯罪用フォーラムは、一見したところでは、普通のフォーラムとは大差はありません。しかし、同じ犯罪組織に所属するメンバー、もしくは組織に大きな利益を齎すものだけにアクセスを許可するエリアが存在します。この特殊領域に入れない者は、フォーラム内のオープンになっているエリアだけにアクセスすることになりますが、このエリアだけでも実効性の高いサイバー犯罪情報を見つけ出すことができます。

下の図はあるサイトのスクリーンショットです。このサイトでは、ボットネット、脆弱性に関する最新情報、RAT（Remote Administrations Tool）をインストールするための手引きなど、初心者用サービスが提供されています。閲覧には、管理者によるアクセス権の付与が必要なため、一般閲覧者はコンテンツを閲覧できません。

図1：ある裏フォーラムのスクリーンショット

このようなフォーラムでは、盗難クレジットカード情報、メールアドレスリスト、ボットネットの品から、サイバー犯罪の実行に必要となるボットネットのサービス（DDoS 攻撃やスパム送信を実行するために基礎となるサービス）が提供されているマーケットプレイスが存在します。

さらに、多くのフォーラムでは、不正にコピーされたソフトやツールなどのダウンロードサービスも提供されています。利用者は、様々な違法コピー品をここから簡単にダウンロード入手できます。

なお、フォーラムが運営されているバーチャル空間では、No.1 の座をめぐってのフォーラム間の争いも絶えません。同業者のサイト改ざん、ウェブサーバーへのDDoS 攻撃を仕掛けることもあります。

更に、競合のフォーラムのデータベースをコピーし、別のフォーラムで公表するなどして、自身の有能性を誇示しながら競合に深いダメージを与え、コミュニティ内の自身の地位を確固たるものへと築き上げることもあります。なお、ウェブサイトのハッキングに成功した際は、証拠としてサイトに視覚的エフェクトを残すのが一般的です。

このコミュニティ内では、購入・販売・交換などのやりとりは、MSN、ICQ、Yahoo メッセンジャー、 Jabber などのインターネットメッセンジャーで行われます。最初のコンタクトに、サイバー犯罪者が他のフォーラムでは頻繁に利用されるプライベートメッセージ機能を利用することはほとんどありません。フォーラムにおいては、2,3 の拡張機能だけを備えた通常のソフトが利用されます。

図2：裏フォーラムにおけるボットのオファー

この業界においては、顧客と接触する手段に、インスタントメッセンジャーが好んで使われます。入力フォームやメールアドレスに代わり、ICQ の番号を連絡先情報として公開します。そして、取引に興味のある顧客がこのICQ の番号にコンタクトして取引開始、というのが一般的な取引開始までの流れです。

ICQ に次いで、利用頻度の高いサービスツールは、インターネットリレーチャット（IRC）です。 IRC は、その機能の多様性から、混乱させることにより情報の錯綜が可能なツールとして地下業界で考えられ、好んで利用されるプラットフォームです。IRC では、一度に数千ものユーザーが１つのチャットルームに入室でき、リアルタイムでチャットできます。しかし、IRC 取引は、スキャマー（犯罪者を騙す犯罪者）による詐欺被害が発生しているため、多くのフォーラムでは、IRC 取引に対して十分注意を払うように促しています。

IRC は誰でもアクセスできるネットワークで利用されるケースもありますが、普通は、プライベートIRC サーバーで通信が行われます。プライベートIRC サーバーの運営には、地下経済のニーズにあうように、ポピュラーなIRC サーバーをカスタマイズしたバージョンが数多く存在しています。

図3：カスタマイズされたIRC サーバーのダウンロード先

2.2. 盗難クレジットカード情報の販売

盗品（クレジットカード情報、ネット送金サービスやインターネットオークションのアカウント情報など）販売の大部分は、犯罪フォーラムのマーケットプレイス経由で取引されています。盗品販売に特化したフォーラムもありますが、その数は多くはありません。

販売はフォーラム内の専用領域で行われ、既述のようにブラックマーケット、または単にマーケットと呼ばれています。このマーケットにおける取引は、次のようなステップで行われます。まずは、販売者が取引情報（インターネットオークションのアカウント情報などの取引物、取引物の販売価格、大量購入時の割引率、利用可能な支払方法、売り手の連絡先）をマーケットに書き込みます。次に、フォーラムには例に漏れず購入希望のレスポンスを連絡先情報と共に書き込んだり、購入希望者が直接売り手にコンタクトを取り、取引を開始します。

図4：多種多様な品が取引されるマーケットプレイス

なお、不正コードの取引は、オンラインショップ形式で運営されているケースもあります。

図5 は、盗難された各種情報をネット販売する業者のサイトです。このサイトでは、盗難された各種クレジットカード情報、ネット送金アカウント、無人小包受取り所（ドイツではパックステーション）の利用アカウント情報を販売しており、犯罪者が新たなクレジットカード情報を必要とする場合、または盗難したネット送金用アカウントの利用が停止された場合は、このようなサイトから必要な数だけ入手できます。

図5：盗難された各種アカウント情報をネット販売する違法ショップ

また、市場のニーズに対し、ショップ、ホスティングサービス、ドメインなどショップ運営に欠かせないサービスをセットにして提供する事業者まで出現してきています。この業者が提供するお任せパックにより、違法品の販売を目論む売り手は、販売準備の手間や時間の削減とスムーズな販売開始ができるようになっています。このサービスに関する価格は、図6 を参照してください。

下記は、上述のお任せパックを提供する、あるショップのウェブサイトに掲載されていたFAQ です。

ショップレンタル FAQ

*******.net のサービス概要

- サーバー費用の負担

- ドメイン取得

- サーバーおよびスクリプトの無料更新

- ビジネスモデルに関する無料相談

- サーバーの設定（DDoS 攻撃回避するための堅牢なセキュリティ）

- 有名フォーラムへの広告（費用負担込み）

- スクリプトの提供（スクリプトに関する詳細は、 ******.net/products を参照)など。

ショップをレンタルするための条件

- ポジティブな与信*
（ポジティブな与信とは、あなたの信頼性を確認でき、かつ私たちと面識がある人物がいること）

*ポジティブな与信は以外に条件がありますが、ショップレンタルにおける重要な要素です。
なお、ポジティブな与信情報を提示できない場合は、ショップは開設できません。

利用料金

オンラインショップ設立費用：
50 . - ヘッダー、フッター、ボタンの設置
100 . - 要望に応じたカスタムデザイン（カスタマイズされたヘッダー、フッター、ボタン)
200 . - カスタムデザイン・コンプリート（素材のアレンジや配置が auf *******.cc 、 ******.net 、 ******.net 、 *****.net などのように予め未定義で、デザインが完全に固有のもの。）

売上手数料

0～1,000 .（月あたり）： 33.33 %
1,000～3,000 .（月あたり）： 30 %
3,000 . ～（月あたり）： 20 %

売上手数料は、上記の率を基に計算され、毎月の売上高から差し引かれます。
レンタル契約者側から特段の要望がない場合を除き、支払いは3 日毎に行われます。
（最後の支払いから、24 時間後）

なお、顧客に対してショップがサービス機能を保証する点は、顧客にとっては非常に魅力的なポイントと思われます。購入したクレジットカードが利用できない場合は、購入額全額を顧客の銀行口座へ返金する仕組みになっています。この業者は、売り手が買い手側の心理を十分に考慮し、それをビジネスに反映された経営が図られている例の１つです。盗みを実行する側とそれを販売する側の関係もはっきりしています。質の劣った盗難品を提供すると、当然顧客からの評判は落ちて業者は信頼を失います。さらに、既存顧客は他の販売業者へ流れ、ビジネスに大きなダメージを被る可能性があります。

図6：クレジットカード情報、ネット送金アカウント情報を提供するオンラインショップ

2.3. スキャマー

サイバー犯罪業界におけるスキャマー（Scammer）は、今まで記述したようなサイバー犯罪を駆使して、犯罪を行う犯罪者です。言わば、彼らは詐欺者中の詐欺者です。スキャム（Scam）の定義は以下のとおりです（ウィキペディアからの引用）

スキャム: 大量のメール（以前はFax の送信）の送信を詐欺手口とする詐欺。受信者は、絶対にありえない話を信じ込まされ、無限連鎖講への参加もしくは送信者に対し仲介手数料を事前に支払わせることにより、送信者に利益を得る違法行為。受信者を騙す手口は多岐に渡る。犠牲者は通常膨大な利益を得ることができるように思い込ませ、その対価として送信者に事前に金品を徴収する仕組み。

スキャマーとは、提供を謳うサービスを実際には提供せずに、前払いで支払わせた金額を詐取する詐欺者です。購入者がスキャマーから本当にサービスを受けるケースはほとんどなく、サービス提供される場合も、ビジネス開始時期の信頼構築が必要な場合の初期の客2、3 名のみです。多くのフォーラムでは、アマゾンやインターネットオークション同様に、販売者・購買者の評価システムがあり、この評価は取引成立の重要な指標となっています。スキャマーはこのシステムと高評価によって安心する購入者の心理をつき、購入者を巧みにだますのです。

フォーラムでは、スキャマーに対する非難や警告を促すスレッドもよく見られます（図7 を参照）が、このネガティブなポスティングは、邪魔な同業者の営業妨害に利用されることもあります。そのため、現在は、フォーラム管理者が当該ユーザーへの対応する前に、スクリーンショットや確固たる証拠の提示を要求するフォーラムが増えてきています。

図7：フォーラムでのスキャマー（リッパーとも呼ばれている）に関するトピック

犯罪者は、さまざまな手法やツールを用いて商売を行ないます。犯罪者が利用するツールの中で最も重要なものは、ボットネットです。ボットネットは、ウイルスに感染したPC を攻撃者の支配下におき、思い通りに操作します。ボットネットを使えば、さまざまなサイバー犯罪関連の違法行為を行うことが可能となります。

3 取引される物品とサービス

3.1. 金になるデータ

地下経済で流通する物品は、多岐に渡ります。ニーズが高いのは、犯罪に使うアカウントを作成したり、ID を乗っ取るために必要な情報です。個人の氏名、住所、銀行口座、数百～数千個単位のユーザー情報が収められた「データベースダンプ」など、様々な品が取引されています。なお、データベースダンプとは、オンラインショップやフォーラムのユーザーデータが大量に保存されたデータベースの内容を丸ごと出力したものです（図8 を参照）。このようなデータは無料で公開されることもありますが、専ら他のフォーラムのデータベースの情報に限定されることがほとんどで、価値のあるオンラインショップに関するデータは、通常無料で公開されることはありません。

他に需要の高い情報としては、カーダブルショップ（Cardable Shops）と呼ばれるショップのリストです。カーダブルショップとは、チェックが甘い、盗難クレジットカード情報でオンラインショッピングが可能なショップです。このカーダブルショップのリストは、サイトでの支払い時に入力を要求されるクレジットカード情報の項目数が少なければ少ないほど、価値は上昇します。これは、クレジットカードでも同じことがあてはまり、情報の完全性が高ければ高いほど、情報の価値は上がります。

図8：アンダーグラウンドでデータベースを販売する業者
（1 万ユーザーの氏名、ユーザーID、メールアドレス、パスワードなどが含まれている）

3.2. プロキシを利用したトラッキング回避

地下経済の参加者は、自身の身元が割り出されるのを防ぐため、様々な手段を講じています。その 1 つがプロキシの利用です。簡単に説明すると、通常コンピュータをウェブサイトに接続させると、その接続ログがウェブサーバーに記録されます。しかし、プロキシを利用すると、プロキシの中継機能で、自身のIP アドレスが記録されるのを防ぐことができます。従って、犯罪者はウェブサイトやフォーラムを移動する際、プロキシ経由で接続し、自身の接続元の情報が記録されるのを防ぎます。ただし、司直による調査命令に基づいて、プロキシサーバー運営者やISP などに情報提供が求められる場合は、そこから足がつくことがあります。

東欧の犯罪者は、ドイツ、オランダ、スイス所在のプロキシサーバーを好んで利用します。逆にドイツの犯罪者は、ポーランド、ロシア、ウクライナにあるプロキシサーバーを犯罪に利用する傾向にあります。この業界では、様々なサイト上に無料プロキシサーバーのリストが見られます。しかし、無料プロキシサーバーは無料というだけあり、通信速度が遅いという問題があります。そのため、犯罪者は、より通信速度の速い有料プロキシサーバー業者のサービスを利用します。また、有料プロキシサーバー業者を利用するメリットとして、ログ未作成や悪質なメールの受信時の未対処があります。このような業者が提供するサービスは、SSH やOpenVPN を使い匿名でのインターネット利用が可能な簡易プロキシの提供です。OpenVPN やSSH ならば、一般的なプロキシでは不可能な、インスタントメッセンジャー、IRC、Skype などの普通のプログラムが利用できることがあるからです。

この地下業界では、支払いはネット送金サービスで行われるのが一般的で、このやりとりもインスタントメッセンジャーでよく行われています。

3.3. コンピュータのボット化

ボットネットは、感染させた大量のマシンで構成され、スパイウェアやアドウェアで商業的利益を得るために利用されます。コンピュータをマルウェアに感染させるには、様々な手法が使われています。常套手段は、ウェブサイトやメールを介した感染です。以前頻繁に利用され、現在は減少傾向にあるメールの添付ファイルも健在で、感染にはワンクリックで十分です。更にファイル交換経由でも同様のことが言え、有用なプログラムやゲームと見せかけたトロイの木馬系マルウェアも大量に流通しています。マルウェアの種類により振舞いは異なりますが、一度マルウェアに感染すると、マルウェアは、インターネットからボットをロードし、ついには、コンピュータはボットネットへと組み入れられます。なお、これらの感染手口からマシンを防御するには、ウイルス対策ソフトを導入はもちろんのこと、定期的なウイルス定義ファイルの更新やウイルススキャンの実行、OS やインストールされたプログラムの更新など、ユーザー側での適切な対応が非常に重要になります。

コンピュータを感染させるサービスを提供する専用業者も存在するので、犯罪者は大量のコンピュータを感染させる手間を省略することもできます。このような業者は、裏フォーラムでサービス提供の告知をしています。価格は、感染したコンピュータの所在国別で値段付けされています。人気が高いのは、西欧、北米、オーストラリアの感染コンピュータで、IT インフラ環境の整備と普及度の高い国々です。また、昨今では1000 台単位でボットネットを提供する業者も出てきました。この業者でも、感染コンピュータの所在国ごとに価格が設定されています。幸いなことにヨーロッパの裏市場では日本は、言語の違いがあるせいか、今のところ、あまり人気がありません。

購入希望者がサービス提供者を募集することも稀ではありません（図9 を参照）。

図9：ウイルス感染をサービスとして提供するウェブサイト
（イギリスが最も高く240 ドル、次いでカナダが220 ドル。アジアは最安値で32 ドル）

なお、コンピュータは感染すると、金銭価値のあるファイルがコンピュータからコピーされ、そのデータは売買の対象とされます。さらに、コンピュータ内の各種アカウントが盗みだされ、ブラックマーケットで売買されます。そして、金銭価値のあるデータを盗みだされたコンピュータは、ボットネットに組み込まれ、スパム送信やDDoS 攻撃に加担させられるのです。

3.4. 防弾ホスティング
防弾ホスティングの提供者とは、調査機関による追跡から逃れるため、匿名で利用できるサーバー所在地を提供する業者です。防弾ホスティングで最も有名な組織の１つとしては、ロシア最大のネット犯罪組織であるロシアン・ビジネス・ネットワーク（RBN、Russian Business Network）やアメリカのモッコロ（McColo 、2008 年にインターネット接続を遮断されています）などがあります。RBN が提供するホスティングで、ボットネットのファイル用ドロップゾーン（感染マシンにインストールされたスパイウェアが収集したデータを保管するサーバー）、違法ショップ、C & C (Command & Control)サーバーなどがみられます。提供されるサービスは、小さなウェブスペース、仮想サーバー、サーバークラスタにまで至り、提供するサービス群は、正規のサービス提供業者のサービスに劣りません。
図10：あるホスティング業者のレンタルサーバーによるサービス一覧表
（トルコのアンカラにあるVPS。ディスクスペースが10GB（月額39 ユーロ）から50GB(月額39 ユーロ)まで。）

このプロバイダーの利用規約では、とてもあいまいに記述がなされています。『禁止事項』という注意書きもありますが、全く意味なしていません。コミュニティ内では、どの提供者がどのサービスを容認しているのかは周知となっています。違法コピーに留まらず、法に触れる様々なデータをサーバーに置くことも許可するサービスもあります。この種のサービスは、様々な国で提供されていますが、ロシア、トルコ、パナマ所在のサーバーが多くなっています。

図11：ホストの許可するサービスの一覧表

通常のホスティング業者においてはドメイン登録すると、ドメインが所属するデータベースに保存されます。これは、犯罪者たちにとって大きな問題で、登録時に保存された名前、住所、電話番号、メールアドレスなどの情報が調査機関などによる情報の公開を求められた場合に漏れ、そこから足がつく可能性があります。これを回避するため、防弾ホスティング業者は、この情報にアジアやアフリカなどの適当なダミーの情報を割り当てるなどの細工を行います。そうすると、防弾ホスティングのユーザー情報から割り出されることを防ぐことができます。

防弾サービスはホスティングだけに収まらず、バルクメールというサービスも存在します。バルクメールとは、大量のメールをプロバイダーのサーバー経由で送信するサービスです。サービス提供者は、送信メールがスパムフィルタに引っ掛からないように高度なソーシャルエンジニアリングを使っています。また、業者によっては、メールアドレスのリストも（有償で）提供する業者もいます。

このようなサービスの運営者は有名な裏フォーラムに出没し、提供サービスやその価格をフォーラムに書き残してゆきます。

また、業界内での競合間闘争でDDoS 攻撃を仕掛け、競合のビジネスを麻痺させるケースも頻繁にあるため、顧客をDDoS 保護から保護するサービスなどもよく提供されています。

3.5. 収入源となるスパムメール

地下経済の活動で最も一般に知れわたっている活動は、スパムメールの送信です。コミュニティ内でもその収益性の高さから、非常に好んで利用されています。例えば100 万通のスパムメールを送信は、あるボットネット運営者では、250～700 ドルで提供されています。2 万台規模のボットネットの運営者では毎秒2 通のペースで、スパムメールが送信できるので、スパム100 万通を送信する依頼では、その仕事はたった25 秒で完了となります。

この例からもわかるように、ボット運営者にとって、スパム送信ビジネスは有益なビジネスであり、ボット運営者が自身のボットネット拡大に躍起になるのも当然と言えます。

なお、スパム送信を依頼する側は、スパムの送付先や国地域別で選択できます。またたり、オンラインゲームユーザーなど特定のターゲットに的を絞ったスパム送信を指定することも可能です。

メールアドレスのリストは、裏フォーラムのショップやバルクメールのサービスを提供するプロバイダーから購入できます。メールアドレスは様々なカテゴリーやソースなどに分類され、扱うメールアドレスはスパムメールの受信履歴のないものが通常です。ただし、これは売りに出されたことがないということで、他のスパマーがこのメールアドレスを使ったことがないということではありません。

3.6. DDoS 攻撃がサーバーをダウンさせるメカニズム

今日のインターネットのウェブサイト運営者の最大の悩みは、自身のウェブサイトへ降りかかる DDoS 攻撃です。DDoS 攻撃とは、分散型サービス拒否（ディストリビューション・デナイアル・オブ・サービス）の略で、ボットネットなど、複数のネットワークに分散する大量のコンピュータから一斉に特定のサーバーへパケットを送出し、通信路を溢れさせて機能停止にする攻撃です。DDoS 攻撃には様々の種類のものがありますが、ウェブサーバーに対し大量のパケットによって高負荷をかけて利用不能の状態にします。ウェブサーバーへの攻撃に次いで多いのが、ターゲットに対し大量の確立しない接続を試みるスィンフラッド（YN-Flood）です。接続は数秒から数分間、接続が完全に確立するのを待機する設定ですが、ターゲット側がこの大量の問い合わせを送信されると、すべての不完全な接続に対し、1 つのエントリが作成されます。攻撃されたサーバー側ではいずれメモリが不足の状態になりますが、その状態に達すると、サーバーへの接続や呼び出しができなくなります。

集中攻撃を受けてしまうと、攻撃されたウェブサイト運営者は攻撃が止むのを待つ以外にサイト復旧の手立てはありません。そのために、同業者間の攻撃合戦も頻繁に起こります。つまり、競合に対し攻撃を仕掛けて相手のビジネス基幹システムを麻痺させ、業務不能の状態に陥れます。システムをダウンさせられた競合のサービスを利用する顧客は、攻撃によりサービスを利用できなくなり、これはより強大な業者への乗り換えの動機となっています。

図.12：ウェブ上で表示されるDDoS 攻撃サービスのバナー広告
(英語、ロシア語、ドイツ語)

アンダーグランド業界でのDDoS 攻撃は、サービス提供業者間だけでは収まりません。また、特定のサイトやフォーラムをダウンさせるために、DDoS 攻撃が実行されることもあります。この攻撃は、商業的理由だけでなく、単純な嫉妬や憎しみを動機として行われることもあります。

3.7. 偽造ID を使ったID 隠蔽

盗難ID は、需要が非常に高い商品の1 つです。身分を詐称するための身分証明書、運転免許証、学生証などのID 情報が売買の対象となります。特にロシアのフォーラムで盛んに取引されています。

偽造もしくは盗難ID は、取引用の銀行口座開設やオンラインカジノやインターネットオークションなどの登録に利用されます。

3.8. カーディング詐欺

クレジットカード詐欺（またはカーディング）は、犯罪者がフィッシングやトロイの木馬を被害者のコンピュータに忍ばせたり、ウェブショップのデータベースに侵入して目的の情報にアクセスし、既述のカーダブルショップなどで正当な権限のない人物によって買い物に利用されます。一方、クレジットカード情報の盗難は、上で説明した仮想空間上での詐欺だけでなく、財布から盗んだり、郵便ポストから書類を取り出したり、実際に買い物をした時にカード所持者の気付かないように一瞬で用意した読み取り機でコピーするスキミングなどの昔ながらの手口も今尚報告されています。

例に漏れず、クレジットカード情報も様々なフォーラムやショップにおいて大量に売り買いされています。

図13：クレジットカード情報を販売するショップ

クレジットカード番号はある一定の法則に基づいて生成されますが、地下経済で流通するクレジットカード番号生成ソフトのクレジットカードジェネレータを使うと、所有する1 つの有効なクレジットカード番号から、様々な発行業者に発行された有効なクレジットカード番号を生成できます。何故このような不正が可能かというと、ほとんどのカードではカード発行会社で割り当てる内部番号や連番、チェックデジットと呼ばれるクレジットカード番号が正しいかチェックをする数字が公に知られているためです。

カーダー（Carder）と呼ばれる人物にとって重要なのはクレジットカードデータの完全性です。あまりデータの揃っていないクレジットカード番号単体から、有効期限・セキュリティ番号付きの完全性の高いクレジットカード情報など、データの完全性に基づいて販売価格が設定されています。

3.9. スキミング詐欺

スキミングとは、特殊なカード読み取り装置やカメラをATM に取り付け、カードの情報を不正に記録する犯罪行為です。スキミングは実社会で行う必要があるため、実行者にとっては高い危険性が伴い、犯罪行為の普及度はネット犯罪と比較すると、その数はそれほど多いとは言えません。また、スキミングで使われている専用機器も非常に高価で、フォーラムでは数十万円ほどの価格で取引されています。更に、購入後設置した装置はいつ発見・押収されてしまうかわかりませんし、ほとんどの ATM は通常ビデオ監視が行われていて、これもスキミングの絶対数が少ない理由の１つとなっていると考えられます。

図. 14：スキミング装置が掛けられたATM (出典：バイエルン州警察白書、2007 年8 月7 日)

ドイツおよびヨーロッパ諸国におけるスキミングの実行者は、東欧出身者が大半を占めています。スキミング装置取り付けの対象となる地域は、利用者数のポオ大都市で取り付けられる傾向にあります。

以前はスキミング機器の設置は、ATM 利用客が発見し、警官もしくは銀行に通報されることがほとんどでしたが、最近は一般人が見ただけでは気付かないほどの精巧なスキミング機器も作られるようになってきました。これはスキミング機器開発者がATM の寸法を設計段階から考慮にいれ、ATM 毎のスキミング機器を製作しているためだと考えられています。

3.10. フィッシング詐欺

フィッシングはまさに必要とされる任意のデータを抽出できる手段として、犯罪を行う側が非常に好んで行う犯罪手段です。詐欺者が銀行口座のデータが必要とする場合は、本物そっくりの偽銀行ウェブページを作成し、ボットネットで偽銀行サイトのリンクを含んだ大量のスパムメールを送信し、獲物を偽サイトへと誘導します。対象となるデータの種類は多岐に渡り、オンラインゲームアカウント、クレジットカード情報、オンラインバンキングのアカウントなど、アンダーグラウンドで換金出来得るあらゆる種類のデータやアカウント情報などです。同様に好まれるのがオンラインのギャンブルやカジノのアカウントです。このアカウントは詐欺によって得た資金の行き先の追跡を困難にするために利用されます。

地下経済で取引される品のラインナップには、リミットや制約がありません。フォーラムを見てみると、MySpace やTwitter のアカウントが売りだされていたり交換取引に出されています。犯罪者は人物のID 情報を可能な限り多く収集し、実際にその人物を名乗って犯罪を行うこともあります。オンラインバンキングやオンラインゲームを利用する方は、アカウント情報の入力時など、アカウント情報の入力を行うページが本当に正しいのかどうか、情報は暗号化されているのかどうかを確かめ、アカウント情報の取扱いに十分に気をつける必要があります。

よく利用するサイトは、ブラウザのブックマークに登録しておき、その登録先からログインしましょう。また、銀行やオンラインゲーム名義で送信されたメールでも、送信者名を偽装している可能性もあり、ワンクリックでマルウェアが仕掛けられたサイトや詐欺サイトへ誘導される可能性もあるので、無闇にメール内のURL をクリックすることは避けるのが得策です。

3.11. ボットネットとその構成

詐欺者はエクスプロイトを利用してトロイの木馬やワームを目的のマシンにインストールさせます。エクスプロイトとは、OS やプログラムに存在する脆弱性をついて攻撃する行為やその利用されるコードです。ウイルス対策ソフトからの検出を回避するため、トロイの木馬は暗号化ソフトで暗号化します。暗号化ソフトには様々なバージョンがありますが、表の世界で流通するパブリックバージョンを使って作成したものはだいたいのウイルス対策ソフトで検出されます。一方、検出できないマルウェアを生成するプライベートバージョンは、ウイルス対策製品に搭載されているウイルススキャナーに対応する定義ファイルがありません。そのため、裏フォーラムなどで取引されていて、プライベートバージョンの暗号化やパッカーの需要は非常に高いと考えられています。

ボットについても同様のことが当てはまります。ボットにはボットマスターが密かに侵入し、コンピュータを乗っ取るバックドア（裏口）が仕掛けられています。ボットがコンピュータに仕掛けられると、ユーザーに気付かれないように、バックグラウンドでDDoS 攻撃やキーロガーなど様々な命令の処理が行われ、犯罪行為の加害者となります。ボットの規模には色々ありますが、規模の大きなものほど一度に大量のメールを送付できパフォーマンスは高くなるので、アンダーグラウンドでの提供価格は相対的に高くなります。

ボットネットの管理は、C&C (Command & Control)サーバーを通して実行され、ボットマスターの支配下にあるボットのノードは、C&C サーバーからの命令を待ちます。なお、C&C サーバーのコンセプトは数種ありますが、通信手段には一般的にはIRC が用いられ、ノードは特殊なチャンネルに参加します。なお、犯罪者は自身の安全性確保にも抜かりなく、プライベートのIRC サーバーを利用しています（図15 を参照）。IRC に接続したボットネットのノードは、IRC チャンネルで指令を待ちます。

図. 15：ボットのIRC チャンネル

ボットネットは、ユーザー名とパスワードを入力すると利用できるウェブインターフェース経由でも利用され（図. 17 を参照）、ボットに指示、感染したノードの数、オンラインのノードの数、ノードのOS の種類などを統計表示、ノードにインストールされたボットの更新などを操作できます。

図.16：ボットネットのウェブインターフェース（ロシア語）

多くのケースでは、トロイの木馬がコンピュータに侵入すると、まずそのトロイの木馬は詐欺者が置いたボットをインターネット経由でロードします。ボットのロード先は防弾ホスターが利用されます。詐欺者が最新のボットネットが必要な場合は、プログラマーに接触してバイナリコードやソースコードで提供されるバージョンを購入します。なお、ソースコードでの購入は、バイナリコードより高価な価格で（約5～10 倍の値段）取引されます。売り手は、希望する購入者に対し、バックドアの有無をチェックさせるサービスを提供しています。

RAT を使うと、ノードと接続を確立でき、感染の成功やウイルス対策ソフトベンダーが運用するハニーポットに侵入したかなど、確認できます。

ボットがハニーポットに入ると、そのボットのバージョンがウイルススキャナーに検出されるのも時間の問題となるので、犯罪者はボットを改変します。また、インストール済みボットもウイルス対策ベンダーのウイルススキャナーが検出から逃げるために、インストール済みボット用のアップデートを提供します。

図 17：RAT クライアント

RAT は高度な手法ですが、完全自動インストールと比べると、費用負担が増大します。RAT の拡散する犯罪者の手法には、ドライブバイダウンロード、P2P ネットワーク、大量のメールなど、ありとあらゆる手法を用いて送信されます。

また、RAT やトロイの木馬と同じ手法で拡散されているスティーラー（アカウント情報盗難用のツール）もよく使われています。これらの脅威への対策としては、高度な検出力を持つウイルス対策製品（HTTP フィルタやメールスキャナ機能をもつ製品）をコンピュータにインストールすることです。

このグループには、キーロガーが含まれます。キーロガーは小さなプログラムですが、コンピュータにインストールされると、ユーザーのキー入力を記録し、ネットバンクの口座番号やログイン用パスワードを盗みだします。

4. 現金化

すでに紹介したように、サイバー犯罪には様々なツールや犯罪手口が使われていますが、犯罪者の目的はどのように利益を得るかです。ここでは、犯行完了後の現金化（キャッシュアウト）の方法について説明します。

図18：あるフォーラムにおけるドロップゾーンのオファー
（ドロップ、ドロッピング、ダンパー、シッピングという言葉が見出される）

現金化とは、金の出所など痕跡を残さずに仮想貨幣をリアルマネーに変換することです。多くのケースでは、盗まれたクレジットカード情報や仮想貨幣は、インターネットでの買い物にそのまま利用されます。ここで購入した品の受け取りには足がつかないようにドロップゾーン（予め用意した送付先）に配送されます。ドロップゾーンには、スパム経由で送信業者や運送業者として雇われた仲介者が存在し、配送された品を転送します。従って、犯罪者にとってドロップゾーンは非常に重要な意味を持ちます。更にこれはドロップゾーン業者増殖の連鎖を生みだします。フローは、品物を注文した後、用意したドロップゾーンの住所（ほとんどが外国）に発送されます。送付先に配達されると仲介者が引き取り、それを転送します。なお、仲介者への報酬額は、ドロップゾーンの所在国の生活レベルを考慮しても、同国ではかなり高報酬のレベルにあります。また、プラスアルファとして注文の際に、この仲介者用の品物も併せて注文することもあります。

過去にはハウスドロップという家主が不在の家やアパートなどが利用され、銀行からの重要な通知なども問題なく送達されていました。住所変更はオンラインで可能ですが、実際に銀行に足を運び変更手続きを行う犯罪者も存在します。銀行窓口で変更手続きをする際は、特定の書類が必要になりますが、この書類もアンダーグラウンドでの入手が可能です。

他にはオンラインカジノ経由で金を移動させる方法があります。盗みだしたネット送金サービスのアカウントを使って、盗み出したオンラインギャンブルサイトのアカウントに金を移動させます。犯罪者の情報交換に利用されるフォーラムでは、オンラインギャンブルサイトの犯罪への適正度に関する評価を確認でき、サイト毎のアカウント作成にどのようなデータが必要か、データの真正性、偽装 ID で通るか、などの情報もまとめられています。好まれるのは、認証済みのアカウントです。このアカウントを利用してバンクドロップといわれる口座に送金します。バンクドロップとは、他人名義で開設された銀行口座です。バンクドロップ用のアカウントの入手マニュアルは高値で取引され、その内容は、郵便局従業員の買収によるバンクドロップ口座開設方法から、不正ID による口座開設方法まで、多岐にわたります。

また、カーダブルショップで犯罪者が買い物し、盗み出した無人小包引取所のアカウント情報で無人小包引取所宛てに配達させます。引き取られた商品はオンラインオークションなどを通して換金し、犯罪者の口座へ振り込まれます。

5. 結論：
サイバー犯罪は更なる増加へ
自身の卓越した能力をひけらかす愉快犯、もしくはスクリプトキディなどのハッカーたちがシーンを主導していた時代は終わった今、このシーンで活動している者たちをハッカーという表現で一括化するのは、適切ではありません。技術的な専門知識を有し、犯罪に加担する彼らは、金庫破りやその他の犯罪行為を行う犯罪者と同線上に存在するグループに属するものと言えます。しかも今やこの犯罪市場は、全犯罪市場でも最大の市場規模を誇ります。犯罪を実行する人物はプロの犯罪組織に属し、その犯罪手法も組織化・効率化・分業化が進んでいます。

IT インフラの整備に伴うインターネットの普及で、私たちの生活は便利になりましたが、その一方で、インターネットの利用は、サイバー犯罪という新たな犯罪に巻き込まれる新たな要因となっています。インターネットを利用する一般のホームユーザーや企業ユーザーは、インターネット内に潜むマルウェアや様々な攻撃から自身のコンピュータやネットワークを迅速かつ適切な対処方法で保護していく必要があります。

続いて重要なテーマは、個人情報の取扱いです。多くのインターネットユーザーは、自身の個人情報が犯罪者の手に渡る危険性を考慮せずに、SNS、ブログ、ホームページなどに公開しています。とりとめもないように思われる生年月日が、犯罪者側にとってはクレジットカード情報の完全化に必要な情報である可能性もあります。

現在増加中で今後も増加すると推察されるのは、被害者のマシンからウェブサイトのログイン情報を盗み出し、そのサイトを犯罪に利用するというものです。運営するサイトのログイン情報が盗まれると、犯罪者はマルウェアをウェブサイトに自由に仕掛けるなどし、マルウェア配布に悪用します。更に、サイト運営者は、信用を問われるだけでなく、訪問者を感染させたとして損害賠償などの深刻な被害に発展する可能性も十分考えられます。インターネット利用において自身の安全性を保持するには、自身のコンピュータだけでなく、ネットワーク全体、更にプラスアルファ（この場合は、運営サイト）も入念にチェックするなど、徹底した対応を心がける必要があります。

付録１裏市場における価格表

この価格表は、2009 年6～7 月に裏サイトのフォーラムで実際に取引されていた商品やサービスの価格表です。価格は幅が広く、ボリュームディスカウントや交渉スキルによって変化します。

【略】

付録２用語集
＊カッコ内は英語での表記。略号はカタカナを併載しています。
【略】
2009年10月29日発行

10月 31, 2009 at 01:53 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2009.10.08

Winny無罪判決･要旨

共同通信ニュースより「【資料】　ウィニー裁判・判決要旨」

ウィニー開発者の著作権法違反ほう助事件で、大阪高裁が８日に言い渡した控訴審判決要旨は次の通り。

【ほう助の成否】

（１）ソフトについて検討

ウィニーはＰ２Ｐ技術を応用したファイル共有ソフトであり、利用者らは既存のセンターサーバーに依存することなく情報交換することができる。

その匿名性機能は、通信の秘密を守る技術として必要にして重要な技術で、ダウンロード枠増加機能などもファイルの検索や転送の効率化を図り、ネットワークへの負荷を低減させる機能で、違法視されるべき技術ではない。

したがってファイル共有機能は、匿名性と送受信の効率化などを図る技術の中核であり、著作権侵害を助長するような態様で設計されたものではなく、その技術は著作権侵害に特化したものではない。ウィニーは多様な情報交換の通信の秘密を保持しつつ、効率的に可能にする有用性があるとともに、著作権の侵害にも用い得るという価値中立のソフトである。

（２）ほう助が成立するか

ネット上のソフト提供で成立するほう助犯はこれまでにない新しい類型で、刑事罰を科するには慎重な検討を要する。

原判決は、ウィニーは価値中立的な技術であると認定した上で、ホームページ上に公開し不特定多数の者が入手できるようにしたことが認められるとして、ほう助犯が成立するとした。

しかし、２００２年５月に公開されてから何度も改良を重ね、０３年９月の本件に至るが、どの時点からどのバージョンの提供からほう助犯が成立するのか判然としない。

利用状況を把握することも困難で、どの程度の割合の利用状況によってほう助犯の成立に至るかや、主観的意図がネット上において明らかにされることが必要かどうかの基準も判然としない。したがって原判決の基準は相当でない。

被告は誰がウィニーをダウンロードしたか把握できず、その人が著作権法違反の行為をしようとしているかどうかも分からない。

価値中立のソフトをネット上で提供することが正犯の実行行為を容易にさせるためにはソフトの提供者が違法行為をする人が出ることを認識しているだけでは足りず、それ以上にソフトを違法行為のみに使用させるように勧めて提供する場合にはほう助犯が成立する。

被告はをネットで公開した際、著作権侵害をする者が出る可能性を認識し、「これらのソフトにより違法なファイルをやりとりしないようお願いします」と著作権侵害をしないよう注意喚起している。

また、被告は０２年１０月１４日には「コンテンツに課金可能なシステムに持ってゆく」などと著作権の課金システムについても発言しており、ウィニーを著作権侵害の用途のみに使用させるよう提供したとは認められない。

被告は価値中立のソフトであるウィニーをネットで公開した際、著作権侵害をする者が出る可能性は認識していたが、著作権侵害のみに提供したとは認められず、ほう助犯の成立は認められない。

【結論】

被告にはほう助犯の成立が認められないのに一審判決がほう助犯の成立を認めたのは刑法６２条の解釈適用を誤ったもので、検察官の所論は理由を欠き、いれることはできない。よって被告は無罪とする。

2009/10/08 12:52 【共同通信】

「Winny 著作権法違反幇助･二審は無罪判決」を書いた時点では、どういう論理で逆転無罪に持って行ったのか興味津々であったのですが、一審がソフトウェアとして価値中立であることを認めつつ、著作権侵害幇助としたのは筋が通っていないだろう、指摘して、「幇助というからには、積極的に違反を勧めているはずだ」というモノサシを持ってきて、検察側と一審判決に対して「何を言っているのだ」という感じの高裁判決ですね。

検察は一審の罰金１５０万円が軽すぎると控訴していました。それが、無罪判決ですから上告したいのでしょうが、高裁判決をひっくり返すには、

証拠は十分である
幇助を明確に証明する必要は無い
ソフトウェアは価値中立ではない

といったことを最高裁に認めさせる必要がありますが、どれもがちょっと以上に無理でしょう。

元々ウィニー事件がネットで話題になったのは「ソフトウェアを作ったら刑法の幇助になるものか？」という素朴な疑問でした。
今回の高裁判決は、一言で言えば「世間から疑問があると指摘されてはいけない」と言っているようなものでしょう。

そういう風に見ると、あまり法律的なテクニカルな論理ではなく、明快な判決ではありますね。

10月 8, 2009 at 08:08 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

Winny 著作権法違反幇助･二審は無罪判決

毎日新聞より「ウィニー：２審は逆転無罪　著作権法違反ほう助」

ファイル共有ソフト「Ｗｉｎｎｙ（ウィニー）」を開発・公開し、インターネット上で映画などの違法コピーを助長したとして、著作権法違反のほう助罪に問われた元東京大助手（３９）に対し、大阪高裁（小倉正三裁判長）は８日、罰金１５０万円（求刑・懲役１年）とした１審・京都地裁判決（０６年１２月）を破棄し、無罪を言い渡した。

１審に続き控訴審でも、違法コピーの拡散による著作権侵害を、被告が図していたのかが最大の争点となった。

１審判決は「不特定多数が入手できるようウィニーを公開した。悪用される認識はあったが、意図したわけではない」としてほう助罪を認定したが、確定的意図は否定した。

これに対し、検察側は「著作権侵害を助長した確信犯で、罰金刑は軽すぎて不当」と主張。
弁護側は「純粋な技術検証が目的。面識のない不特定多数に対するほう助は成立しない」と無罪を主張し、双方が控訴していた。

また、ウィニーの技術特性や利用実態についても争われた。１審判決は「応用可能で有意義な技術」として、技術自体の中立性を認めたが、検察側は「匿名性が高いなど、著作権侵害が目的の技術」と指摘。
弁護側は「さまざまな分野に応用可能な技術で、著作権者にとっても利益がある」と反論していた。

１審判決によると、被告は０２年５月から自身のホームページでウィニーを公開。群馬県の男性ら２人＝ともに有罪確定＝がゲームソフトなどを無断でネット上に公開した著作権法違反行為を手助けした。【日野行介】

【ことば】ウィニー

利用者が各自のパソコンに所有する映像や音楽などのファイルデータをインターネットを通じて共有、交換するソフト。送信者を特定しにくい「匿名性」と、不特定多数へのデータ拡散を可能にする「効率性」が大きな特徴で、著作物の違法流通を容易にし、暴露ウイルスの出現で警察や原発などの機密情報流出につながった。

今日から、湯沢で「ネットワーク・セキュリティ・ワークショップin越後湯沢」が始まっていますが、これは話題になっているでしょうね。
判決文がすぐに上がってくると思います。

10月 8, 2009 at 10:35 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2009.09.05

通販サイトがクレジットカード情報をハッキングされた？

読売新聞より「カード情報５万件流出、三菱商事系通販サイトで」

三菱商事の子会社「デジタルダイレクト」（東京）が運営するインターネット通販「サクワ　ネットショッピング」「ファン　スタイル　ショッピング」の両サイトから、商品購入客らのクレジットカード番号など個人情報が流出していたことが４日、わかった。

同社はクレジットカード番号５万２０００件、メールアドレス２万９０００件の流出を確認しており、同日、会員や商品購入客にメールで報告を始めた。

同社によると、６月下旬、提携するカード会社から「カードが勝手に使われたと訴えている会員が複数いる」との指摘を受けた。

外部に依頼して調査したところ、会員情報を管理するサーバーが不正アクセスを受けていた可能性が強まり、先月２０日に両サイトを一時閉鎖、経済産業省や日本通信販売協会に報告した。

その後の調査で、昨年７月以降、同じサーバーが中国や韓国などの計４９か所からサイバー攻撃を受けていたことが判明した。

こういう事件は、初めてのような気がします。

今までも、情報流出はたくさんありましたが、クレジットカード番号が流出し、それがネットワークを介しての流出、ハッキングの可能性があるというのは初めてではないでしょうか？

事件の詳細が明らかになるのかは、手口の拡大にもなるので何とも言えませんが、それにしても

６月下旬にカード会社から流出していると指摘される
外部に調査を依頼して、８月２０日にサイトを一時閉鎖
その後の調査で、１年前から攻撃を受けていたことが判明

というのは、ネット時代に必要な「速度」が全く無い、と言えるでしょう。

サクワ　ネットショッピングには現在こんな掲示が出ています。

いつも「saQwaネットショッピング」、「fun style shopping」をご利用頂き、誠にありがとうございます。

只今、ショップのご利用を中断しております。
お客様にはご迷惑をおかけいたしますが、何卒ご理解いただきますようお願い申し上げます。

尚、お電話でのご注文は通常通り承っておりますので、
お手数をお掛けいたしますが、下記電話番号より、ご注文下さい。

これは一体どういう意味なのだろう？

なんでインターネット通販がダメで、電話による通販だと大丈夫なのか？

インターネット通販側の、受付ページに情報をストックしたままで放置していたのか？
ずいぶんと怪しい様子に感じます。

9月 5, 2009 at 10:13 午前セキュリティと法学 | Permalink | コメント (2) | トラックバック (0)

2009.06.11

第１３回サイバー犯罪に関する白浜シンポジウム

先週の木曜日（４日）から第１３回サイバー犯罪に関する白浜シンポジウムに参加してきました。

元は｢コンピューター犯罪に関する白浜シンポジウム」と名乗っていて、わたしは１９９９年の第３回から、ずっと参加していましたが、ここ２回ばかりは行っていませんでした。

この間に、若干組織の変更などもあったようですが、今回は「ウイルスとマルウェアの脅威」～あなたの生活が狙われている～をテーマにして開催されたのですが、なかなか考えるところが多々ありました。

プログラムは以下のようになっています。

６月４日（木）
13:00～13:30	開会	オリエンテーション
13:30～15:00	講演	「セキュリティトレンドについて」
		株式会社ラック取締役西本逸郎氏
15:00～15:30	コーヒーブレイク
15:30～17:00	講演	「マルウェアと法的責任」
		大阪弁護士会弁護士岡村久道氏
17:00～19:00	ディナータイム
19:00～20:30	ＢＯＦ	分野別会合（ご興味のあるＢＯＦにご参加くださいませ）
		文教分野、行政分野、警察分野（※警察ＢＯＦは警察関係者のみに限ります）
６月５日（金）
9:20～9:30	開演	挨拶
9:30～10:30	講演	「お財布ケータイが狙われるかも」
		トレンドマイクロ㈱ＣＴＯレイモンド・ゲネス氏
10:30～11:30	講演	「シン・クライアント化によるセキュリティと利便性の両立」
		和歌山県企画部企画政策局情報政策課稲住孝富氏
11:30～13:00	講演	ランチタイム＆協賛企業ＰＲタイム
13:00～14:30	基調講演	「マルウェアに対する研究者達のチャレンジ」
		東京電機大学教授佐々木良一氏
14:30～15:30	警察講演	「マルウェアと脅威の傾向」
		警察庁情報通信局情報技術解析課理事官國浦淳氏
15:30～16:30	講演	「情報セキュリティってそもそも何だっけ？」
		総務省総合通信基盤局電気通信事業部事業政策課課長補佐高村信氏
16:30～18:30	ディナータイム
18:30～19:00	参加者交流会	ご挨拶白浜町長立谷誠一氏
19:00～20:30	ナイトセッション	「マルウェアに立ち向かおう」
		コーディネータ：日本経済新聞社坪田知己氏
		パネリスト：監査法人トーマツ丸山満彦氏
		大阪弁護士会岡村久道氏
		カーネギーメロン大学日本校教授武田圭史氏
21:00～23:00	ミッドナイトセッション
６月６日（土）
9:30～11:00	講演	「マルウェアの脅威に対する対策」
		ＩＰＡセキリティセンター小門寿明氏
11:00～11:40	「情報危機管理コンテスト」	結果発表審査委員長三輪信雄氏
	講評および表彰	講評和歌山大学泉（川橋）裕氏
		表彰状授与経済産業省商務情報政策局審議官木村雅昭氏
11:40～12:00	ご挨拶	和歌山県知事仁坂吉伸氏
12:00～12：10	閉会	閉会のご挨拶
		元防衛省官房長西川徹矢氏
６月６日（土）	同時開催	和歌山県立情報交流センターＢｉｇ・Ｕにて
9:30～17:00	セキュリティキャンプ	セキュリティ道場ｉｎ白浜（フォレンジックに関する研修）
		※参加資格は警察官を含む公務員です

今回は、６月５日（金曜日）のナイトセッションまで居て、２２時前に白浜を発ちました。

テーマであるマルウェアとは悪意あるソフトというほどの意味ですが、従来のウイルス対策とは何が違うのか？ということと、現状はどうなっているのか？が大きな話題でした。

マルウェアが表に出てきたのはボットネット問題からで、話がどんどんややこしくなってきて説明しがたくなってきた、というのは今回のシンポジウムに参加しても変わらず、参加者の一致した意見として｢怪しいモノに近づくな」といった技術的ではない対策の重視が必要で、それには主に若い人たちの教育が重要といった話になってしまいました。

非常に興味深かったのは基調講演である佐々木良一先生の「マルウェアに対する研究者達のチャレンジ」で、ウイルスの歴史を振り返ってその「進化」を概観し、「マルウェアに対する疫学的アプローチ」の説明でした。

一言で言うと、コンピュータウィルスも身体に病気をもたらす実際のウィルスと同様に扱える、という研究でもちろんコンピュータウイルスも弱毒化しつつ感染力は強くなる（発見しにくくなる）方向に｢進化している｣とのことでした。

このために、対策も決定的なものではなく、社会全体が病気を警戒し予防するように、コンピュータウイルスに対しても、社会としての情報の共有、多段階の追跡システムの必要性など、正に現実の病気と同様のアプローチが良いのではないか、という提案がありました。

他の分野でも非常に気になっているのですが、現在の日本では社会全体がデジタル指向といいますか、結果には原因がある、で終わりといった極めて単純化した｢対策｣ばかりがよいとされているところがあると感じています。

それが｢インフルエンザだからマスクをする」として電車から降りてくる人が全員マスク姿で外国メディアで報道されるなど、ある種の｢考え無しの決断｣のようなことが続いていますが、後になってからどれほど有効か？と議論するのは無視するようなところがあります。

そのために、各種の資格や認定の大ブームになっていますが、警察講演の「情報セキュリティってそもそも何だっけ？」では、

最大限の努力をしています｣と言わないと許してもらえない雰囲気。

プライバシーマーク、ISMS取得企業数はうなぎ登り

（ISMSを取得している企業数は実はほとんどが日本企業だけ）

なんて報告がありました。

これらをまとめますと、何年か前には「こんな事件」「こういう対策」「必要な法律｣といった具合に分かりやすく説明できたことが、現実社会で起きるわけの分からない事件と同様に複雑なことが起きていて「こうすれば大丈夫です」とはまるで言えない無くなってしまった、というのが極めて印象的でありました。

6月 11, 2009 at 05:56 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2009.04.30

民法大改正

サンケイ新聞より「民法１世紀ぶり改正へ　「市民のため」分かりやすく」

法務省が着手する民法・債権（契約関係）分野の大改正が注目されている。

１世紀以上にわたって手つかずで、契約ルールなどの現代化により実社会の要請に応えにくくなっていたものを再編成。

条文や項目数は大幅に増える可能性もあるが、目指すのは「市民のための民法」。
早ければ今秋にも法制審議会に諮問され、本格的な作業が始まる。

改正をめぐっては、学者や法務省担当者も参加する「民法（債権法）改正検討委員会」が改正の参考にもなる試案をまとめ、２９日、シンポジウムで公表した。

改正の対象は、第一編「総則」と第三編「債権」のうち、契約に関する約４００条。

民法については近年、変化する社会や経済に対応させ、「読んで分かる法律に近づけたい」として見直しが検討されていた。

試案では、現行法で条文に盛り込まれていない「契約の自由」などの基本原則や、条文にないが判例で一般に通用しているルールを明記する。
例えば、見込みのない契約交渉を継続する不誠実な対応で相手に損害を与えた際は賠償義務を負う－などを盛り込む。

また、民法関係の特別法である消費者契約法が定めている「不当な勧誘・契約条項」の不実告知、不利益事実の不告知は、民法の「契約の無効・取り消し」事由にも取り込むなどし、「民法を読めば同種のルールが一覧できる」ようにする。

試案を検討すると、最終的には６００条前後のボリュームになる可能性がある。
試案も参考に改正に着手する法務省では「市民社会の基本法」という趣旨を重視し、国民に分かりやすくなるよう臨む方針だ。

■民法　明治２９（１８９６）年に「総則」「物権」「債権」の財産法部分、３１年に「親族」「相続」の家族法部分が公布され、いずれも３１年に施行。
家族法は昭和２２年に新憲法制定に伴い全面的に見直し、平成１６年には片仮名文語体が現代語化された。
現在の全体の条文数は１０４４条で、欧州諸国の２０００～４０００条超に比べ少ない。

この話自体は、ちょっと前に法学者から直接聞いていて「へ～そうなんだ」と感じた事そのものが記事になった、というところです。

法学をちょっとかじると、なかなか面白い話にぶつかるもので、一番面白かったのが阿部泰隆先生の持論でした。阿部泰隆の研究の略歴と特色

行政法学の再生　　２００４年　神戸大学卒業生の同窓会への寄稿　他学部出身の社会人にもわかるように書いたつもり

凌霜の皆さんは、法律の基本というと、六法だと思っているでしょう。

経済・経営学部出身者ならもちろん、法学部出身者でも、それどころか、法学部教授のかなりも、「六法」を最重要科目と思いこんでいる。

筆者の専攻する行政法学は、「『六法』に入れて貰えぬ行政法」という川柳（高木光）があるほどで、辺境科目扱いである。

司法試験では、行政法は選択科目に甘んじていたが、その試験委員は、誰も勉強しない変わった問題を出して、受験生の行政法離れを招いた。
選択科目出題者は、受験生という顧客を集める営業も兼ねているのに、独占企業のつもりで、身勝手な問題を出していたのである。
そのため、行政法選択者が受験生の六％くらいに低下して、どうせ学ぶ者も少ないし、刑訴と民訴が選択では司法研修がやりにくいとかで、司法試験法改正により、二〇〇〇年度の司法試験から、両訴を必修にする代わりに、選択科目が廃止された。
かつての行政法試験委員は、行政法学界に対しては、「背任罪」を犯したに等しいといいたい。

しかし、これは行政法の重要性を知らない愚行である。

試みに、「六法」を見てください。小六法やポケット六法は、「基本六法」中心に編集しているから別であるが、有斐閣の大六法を見れば、憲法と民法の間の大部分、労働法の後のかなりは、行政法である。

分量的には、「六法の半分分捕る行政法」（阿部泰隆作）なのである。「犬も歩けば行政法に当たる」のである。

　これに対して、六法科目は、民法、刑法といった一つの法典があるのに、行政法には、行政法というまとまった法典がなく、雑多な法の集まりだから、「基本科目」を学んだら、あとはその関係の法律だけを見れば済むと思っている人が少なくない。

たとえば、不動産関係の業務にかかわっていて、都市計画法や建築基準法を必要とするなら、その注釈書を見ればよいというわけである。
そこで、公務員にも、行政法の講義は役立ちましたかと聞くと、昇進試験で役立ちましたという答えが返ってくる始末である。

しかし、法の体系は、憲法を頂点に、私人間の権利関係や紛争のルールである民事法と国家の刑罰権の発動ルールである刑事法のほか、国家と国民の関係のルールである行政法が基本である。

基本三科目というべきなのである。

労働法、独禁法、租税法、知的財産法、社会保障法など、先端科目はこれらの応用で、それには行政法的なしくみが組み込まれている。

行政法は、行政手続法、行政不服審査法、情報公開法、行政事件訴訟法などの一般法のほか、都市計画法、地方自治法、環境法、運輸法、教育法、社会保障法等々無数にある。
１８００以上といわれる現行法のおそらくは七、八割は行政法関連法律であろうと推測する。会社や官庁で活躍される凌霜出身者も、民法や商法関連科目のほか、実は密林のような行政法関連法規と役所の解釈、指導の中で喘いでいるはずである。

そして、行政法のルールは、法治国家など、共通のシステムで作られている。

行政法は、形式的に「行政法」という法典がないだけで、重要性がないわけではない。前記の都市計画法も、行政法の一般理論を理解しないと、正しく理解できない。

私は、行政法が司法試験から追放されたときに強い反対運動を行った。

その結果、その「改正（改悪？）」を阻止することはできなかったが、最高裁、法務省当局からは、行政法の重要性を認識し、司法研修所ではしっかり教えるという国会答弁を得た。

その後、法科大学院が設置され、新司法試験制度が立案されるに当たり、この阿部の主張の骨を拾う形で、小生よりも若い学界実力者が動いて、行政法は憲法と統合されて「公法」として必修科目になったのである。

そこで、新司法試験では、これまでの六法科目に行政法を入れた七科目が必修となり、公法系、民事法系、刑事法系という三つの法系が基幹科目となった。

したがって、法典化された六法科目だけが重要だという錯覚を起こしかねない「六法」という言葉は死語にすべきであり、基幹三法群というべきである。

そこで、一部の法科大学院では困ったことが起きている。

学生は、完全な未修者以外は、基本「六法」は沢山勉強してきているが、行政法は学んだことがない。

それなのに、学部では少なくとも八単位の勉強させる行政法に四単位くらいの時間しか与えられていない。
これで複雑な事例を解決させる論文式問題を解けるように教育するのは至難である。

こうした事情を理解しない学生は、行政法は難しい、やさしく教えろと要求するし、他の同僚も、なぜやさしく教えられないのだと非難しかねない。

行政法の重要性をやっと理解したが、依然中途半端であるという、制度設計のミスのつけが回ってきたのである。

行政法学者としては、基本科目に値するだけの研究を行い、すでに世間から見捨てられた感のある行政法学を再生しなければならない。
私は来春定年になるので、次世代の方には、しっかり研究してほしいと願うところである。

６、行政法学の再建

　行政法学は、これまで、六法に入れてもらえないことから、司法試験の選択科目でもなくなり、辺境科目扱いされたが、実は国家の法体系は、憲法を頂点に、私人間の法律関係を扱う民事法と、国家の刑罰権の行使に関する刑事法のほか、国家と国民などの法律関係に関する行政法の３つからなるので、行政法は基幹科目である。それ以外の知的所有権法、労働法、社会保障法、経済法、租税法、環境法などはこれらの応用科目である。

この阿部泰隆の年来の（しかし、行政法学者としても斬新な）主張は、今般の司法改革の中で取り入れられつつある。

法科大学院でも、基幹科目として、行政法を含む公法、民事法、刑事法の３科目を教える。したがって、「六法」という言葉は死語にすべきである。

　そうすると、行政法学者は、その責任の重大さを理解して、行政法学をもっと深く正確に研究しなければならない。
そこで、私は、行政法学再建のため「行政法研究フォーラム」を創設しようと努力した。２００２年７月６日にその第一回研究会が開催された。

これは来春から、研究会として恒久組織とするという合意がなされている。２００４年は７月２４日午後、後楽園にある中央大学で、今回の改正行訴法をテーマとして論議された。

なぜ、行政法に素人のわたしが関心を持ったのか？は、プロバイダ責任制限法の施行の時でした。ネットワーク管理者として｢どう考えれば良いのだ？｣というところで｢プロバイダ責任制限法は行政法なのだ」と聞いたことががある種の衝撃を持って入ってきました。

この時期から、法律の構造といったものに強く興味を持つようになりました。
法律の専門家は、弁護士など実務の方と、法学者として法律を作ったり教育したりする側の方に大きく分かれるのですが、わたしには両方に親しくおつき合いいただいている先生がいるので、なかなか楽しいです。

そのよう状況で、今回の｢民法の大改正」が出てきたわけですが、大きな流れとして阿部先生の主唱する「法典化された六法科目だけが重要だという錯覚を起こしかねない「六法」という言葉は死語にすべきであり、基幹三法群というべきである。」に近づくのではないか、と思うところです。

六法とは、憲法、民法、商法、刑法、刑事訴訟法、民事訴訟法とされていて、文字通りに解釈すると、社会生活上では、企業（法人）と個人とか大人と子供といった社会上の力（影響力）の差などは法律上は考慮しないとなります。

わたしは、ここらヘンの｢活用」が恫喝訴訟とか、モンスターペアレント、行政の門前払いなど｢社会の実情に照らしてヘンだろう」という法律的な行為が出てくる遠因ではないのか？と感じています。
｢法律には反していないかもしれないが、社会的にはマナー反しているだろう」と言いにくい社会はヘンだと思うのです。
そんな点からも、行政法から公法としてまとめた方が現実的だ、と阿倍先生はおっしゃっているは当然であるとも感じています。

法律が出来て１００年以上が経ち、何度も取り上げている名誉毀損の基本的な考え方は時代にそぐわないのではないか？とか、著作権法の元々の権利とは何なのか？といった事についても、今後は話題になっていく時代になってきた、と考えています。

4月 30, 2009 at 10:29 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2008.12.07

情報ネットワーク法学会・研究大会

昨日（2008/12/06）は情報ネットワーク法学会の研究大会に参加してきました。

情報ネットワーク法学会設立の趣旨からキーワード引っ張り出しますと。

情報ネットワーク社会の到来
「情報法」の必要性
情報ネットワーク社会における「表現の自由」
自動実行性
サイバーテロ・サイバー戦争
社会変革に対応した法システムの必要性
グローバル性
情報ネットワーク社会の特殊性を考慮した対応の重要性
学際的研究の必要性
情報ネットワーク法学会の設立

とあって、情報ネットワーク法学会の設立は

　このような認識を踏まえ，我々は，情報ネットワーク法学会を設立することを決意した。
我々はこれまで，情報ネットワーク法学会の設立に向け，長い時間をかけて準備を重ねてきた。
「学会」という枠組みは，既にその有用性に疑問をもたれるものになってしまっているかもしれない。

しかし，現実世界と情報ネットワーク環境とを架橋するための研究団体にとって合理的で有用な組織形態として，我々は議論と思慮を重ねた上で，あえて「学会」という古い革袋を選択することにした。
この革袋は，いずれ新たな容器へと取り替えられるべきものかもしれない。
だが，我々は，現時点においては，様々な分野の人々が安心して参加可能であり，かつ，真に社会貢献が可能な研究団体を構築するための形式として「学会」という手慣れた社会的方式を採用するのが妥当であると判断する。

我々は，ここに，情報ネットワーク法学会の設立準備を世に公表し，賛同者の参加を募ることとしたい。
２００２年５月

こんなわけで、「学会」ではありますが、どんどんと議論する範囲が広がっていて、飽きることがありません。

神田の電機大を会場としましたが、最大では同時に３会場を使っての一日であったので、全てを見ることは出来ませんが、わたしが見たのは以下のようなものです。

●「通信の秘密の数奇な運命」（制定法）	高橋郁夫（弁護士）
●「情報手段の拡大による学校の情報の学校外への侵出とそれに基づく　　侵襲性の高い介入情報の発信がなされた事例についての検討」	長谷川元洋（金城学院大学）
●「コンピュータによる論争スキルの教育支援の試み」	新田克己（東京工業大学大学院）
●基調講演　『著作物に関する包括契約と補償金制度の公正性　　または63％の法則について』	苗村憲司　情報ネットワーク法学会フェロー、駒澤大学
●招待講演　『現代における債権法改正の意義』	内田貴　法務省経済関係民刑基本法整備推進本部参与
●パネル・ディスカッション　『法学教育のＩＴ化　大学間連携を視野に入れて』

基本的に法学の勉強会であるわけですが、色々な企業の方も数多く参加していますし、ネット上の有名人も多数参加しています。
しかも、現在の法律について実務的な解釈といった話題はあまりなくて、現実の事件と法律のすり合わせや、法律の改正などについてはレクチャーが多く、上に挙げた講演のずれもが「こんな事があるのだ！」ということばかりで、非常にエキサイティングな一日でありました。

「通信の秘密の数奇な運命」は一年前に勉強会で聞いてびっくりしたもので、情報ネットワーク法学会の会報誌に報告がありますが、ネットワーク管理者にとって常識でありかつ重石のように常に圧力を感じざるを得ない「通信秘密が実はけっこう無茶苦茶だ」という研究報告です。

「情報手段の拡大による学校の情報の学校外への侵出とそれに基づく侵襲性の高い介入情報の発信がなされた事例についての検討」は、中学校でのプロフをめぐる炎上についての生徒・学校の対応などを分析したもので、現実の事件は３時間ぐらいだったので、リアルタイムでは学校は対応できないという現実の一方で、学校は別のところに何か無いかを半年ぐらい調べなかった、とのことでした

「コンピュータによる論争スキルの教育支援の試み」は、すごく面白い研究で、法律に基づく議論をコンピュータによってどこまで分析できるのか？というものでした。
ある条件（法律上の交渉ごと）といった前提では、非常に高度な分析が出来るようです。

12月 7, 2008 at 09:56 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2008.11.29

すでに情報戦に巻き込まれている

読売新聞より「偽装機能を持つ新手のボット」

高度な偽装機能を持った新手のボットが発見された。セキュリティー対策会社などに解析されないようにする「アンチフォレンジック機能」を持っていることが特徴だ。「アンチフォレンジック」とは、どんなものなのだろうか。（テクニカルライター・三上洋）

ＵＳＢやＣＤから忍び込み「ごみ箱」に偽装

企業向けセキュリティー大手のラック・サイバーリスク総合研究所が「アンチフォレンジック機能を持つボットの出現～攻撃者のターゲットは個人情報から機密情報へ」というリポートを発表した。

それによると、国内では初となる「アンチフォレンジック機能」を持つボットが発見されている。ボットはパソコンに侵入し、ロボットのようにパソコンを遠隔操作する不正ソフトウエアのこと。今回発見されたボットが持つ「アンチフォレンジック」機能とは、解析を阻む機能のことだ。

セキュリティー会社では、企業のパソコンやネットワークが不正ソフトウエアに感染した場合、過去の履歴をさかのぼって分析し、問題のある場所や侵入ルートなどを解析する。この解析を「フォレンジック」と呼んでいる。それに対抗するのが「アンチフォレンジック」で、ボットが解析されないように様々な偽装・対抗手段を取る。

例えば、今回発見されたボットではパソコンの時計を１９８０年１月１日に戻してしまう。強制的にシステム日時を変更することで、ファイルの最終更新時刻・アクセス時刻などがバラバラになる。このボットは定期的に時計を１９８０年１月１日に戻すため、どれが新しいファイルで、いつ操作されたのかという履歴を追いかけることが困難になる。解析を阻み、少しでも発見を遅らせるための機能だと言っていいだろう。

さらにこのボットは侵入方法が巧妙だ。従来のインターネット経由の侵入だけではなく、標的とする企業の取引先を経由して、ＵＳＢメモリーやＣＤを郵送している（画像１）。このＵＳＢメモリーやＣＤを開くと、自動実行ファイル（Ａｕｔｏｒｕｎ．ｉｎｆ）によりボットが入り込んでしまう（参考記事：「ＵＳＢメモリー経由のウイルス感染が拡大」）。またボット本体はデスクトップの「ごみ箱」のファイル名である「Ｒｅｃｙｃｌｅ．ｅｘｅ」に偽装されている。「Ｒｅｃｙｃｌｅ．ｅｘｅ」は隠しファイルとなっているため、一般のユーザーが気づくのは難しいだろう。

デスクトップ遠隔操作やカメラののぞき見まで可能

ラックによれば、今回発見されたボットには生成ツールが存在しているとのこと。左がその画像（画像２）で、中国語の生成ツールのようだ。ターゲットや欲しい機能をセットするだけで、オリジナルのボットができてしまうソフトウエアである。この生成ツールでは、ボットを作成するだけでなく、乗っ取ったパソコンをリモートデスクトップのように外部から遠隔操作する機能がある。

さらにこのツールでは、パソコンに接続されたカメラやマイクを乗っ取る機能まで持っている。カメラが接続されていると、画像４のように外部からカメラの映像を見られてしまう。ラックでは「カメラをチェックしてパソコンの利用者がいないことを確認したうえで操作できてしまう」と警告している。

このほか、このボットにはキーロガー機能があり、キーボード入力をすべて記録、送信できる。パスワードがすべて筒抜けになる怖い機能だ。

企業の機密情報などを狙っている

今回発見されたボットを分析したところ「侵入後に日本語で記載された重要資料を漁ったような操作記録があった（ラック）」とのこと。犯人は、個人情報の収集だけでなく、企業が持つ機密情報を狙っているようだ。より金になる情報を求めて、高度なボットを作成したと考えていいだろう。

対策としては、まずはウイルス対策ソフトの定義ファイル（パターンファイル）を最新のものにすること。複数台のパソコンを使っている場合は、すべてのパソコンでウイルス対策ソフトが有効になっているか確認したい。１台が感染した場合、ネットワーク経由でほかのパソコンの情報を盗みとられる可能性があるからだ。また企業ではネットワーク内や外向きの通信を監視することを推奨している。ボット感染後の二次被害を防ぐためだ。

今回のようなボットは、発見・解析が困難なため、侵入が長期間に渡る危険性がある。企業だけでなく、個人もしっかりと対策する必要があるだろう。

●参考サイト

ラック・サイバーリスク総合研究所レポートhttp://www.lac.co.jp/info/rrics_report/

（2008年11月28日読売新聞）

ボット問題は非常に深刻であることが報告されていますが、この記事のようにキーロガーを仕組んだものが、直撃の添付ファイル付きメールで来ていることを聞いて震え上がりました。

元もと、ハッキングはイタズラとして始まったと言えますが、それが銀行のサイトの偽装といった手法で金儲けの手口となりました。
しかし、情報を盗ること自体が目的になるのは容易に想像できるところで、そのためパスワードの管理を厳重にしろ、と言われます。

現在、直撃で来ているメールは重要な会議の参加者を狙っていたりしているので、誰かが引っかかればよいという、イタズラや詐欺といったものから情報戦になりつつあるとしか考えられない。

ボットであるから、感染すると住み着いてしまって手下を再送信する。
極論を言えば今や「ちゃんとやっていれば大丈夫」という時代ではなくなった、ということかもしれません。

11月 29, 2008 at 12:16 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2008.11.14

続・２００６年度神奈川県立高校全生徒の情報流出

読売新聞より「生徒情報流出、第三者が故意に公開か」

２００６年度に県立高校に在籍した生徒延べ約２０００人分の個人情報流出は、授業料口座振替用コンピューターシステムを開発した日本ＩＢＭの下請け業者が県教委との契約に違反して個人用パソコンに情報を保存していたために引き起こされた。
県教委とＩＢＭは１３日、下請け業者のパソコンから流出した情報を入手した第三者が、ファイル交換ソフト「シェア」を使って「意図的にネット上に公開した可能性がある」と指摘した。

発表によると、約２０００人分のうち、約１４００人分は、授業料の口座振替に使う名前や口座番号などの情報。約６００人分は住所や氏名、電話番号など。

ＩＢＭの下請け業者の社員は、０６年３月の契約期間を過ぎてもパソコンに約１１万人の個人情報を保存。そのまま使い、０８年６月に、ファイル交換ソフト「ウィニー」を介して情報を流出させるウイルスに感染させた。
社員は「作業後に個人情報を消去した」とＩＢＭに報告していたが、今回の調査には「データが残っていることを失念していた」と話したという。

ＩＢＭでは、ウィニーを介して流出した個人情報を、第三者が再びネット上でダウンロードできる状態にさせているのではないかとみている。個人情報はシェアにより拡散するおそれがあるが、ＩＢＭは「犯罪性がないと警察は動いてくれない」として、流出した個人情報をすべて削除するのは難しいとしている。

県教委が１２日に開設した相談窓口には、２日間で「どうして流出したのか」という保護者などから計９３件の問い合わせがあった。

県教委では、個人情報が流出した恐れがある０６年度に県立高校に在籍した約１１万人には書面で謝罪し、流出が確認された２０００人分の該当者には電話で連絡するという。
また、被害を防ぐため、県警と協議し口座変更を円滑にできるように金融機関に要請する。

神奈川新聞より「２０００人分の流出確認/口座番号など県立高生徒の個人情報」

二〇〇六年度に県立高校に在籍していた全生徒約十一万人の個人情報が流出した恐れのある問題で、県教育委員会は十三日、約二千人の口座番号などのデータがインターネット上に流出していた、と発表した。
県教委は流出した恐れのあるすべての生徒や保護者に文書で謝罪し、口座番号の変更を求めていく。

県教委によると十二日午後、授業料の徴収システム開発を委託した日本ＩＢＭが、生徒の氏名や住所、口座番号、電話番号を含む個人情報がファイル共有ソフト「シェア」を介して閲覧可能な状態になっているのを確認した。
流出情報が悪用された形跡はないという。

インターネット上では、既に数十人分のデータが大半を消した状態で流出しているのが確認されている。
シェア上のデータも同一人物が流出させた可能性が高いとＩＢＭはみている。

笠原達夫教育局長は「適切に管理する責任があったのに大変申し訳ない。流出が確認された約二千人に対してはできるだけ早く事実を伝え、対応をお願いしたい」と述べた。
ＩＢＭは「現状では他の流出はないと思う」と話している。

今回、流出したデータは、システム開発に携わった日本ＩＢＭの下請け業者の男性社員のパソコンに保存していたものと同一だった。ファイル共有ソフト「ウィニー」を介してウイルスに感染していた。

２００６年度神奈川県立高校全生徒の情報流出の続報であるが、なんだか意味不明ですね。

県教委とＩＢＭは１３日、下請け業者のパソコンから流出した情報を入手した第三者が、ファイル交換ソフト「シェア」を使って「意図的にネット上に公開した可能性がある」と指摘した。

ＩＢＭでは、ウィニーを介して流出した個人情報を、第三者が再びネット上でダウンロードできる状態にさせているのではないかとみている。

被害を防ぐため、県警と協議し口座変更を円滑にできるように金融機関に要請する。

流出情報が悪用された形跡はないという。

ＩＢＭは「現状では他の流出はないと思う」と話している。

教育委員会も、ＩＢＭも情報セキュリティという観点では珍しいほど完璧に失格だと思うのだが・・・・。

リスク評価を公表して比べるとかしないと、何をやったのか理解できないのだろう。

11月 14, 2008 at 12:38 午後セキュリティと法学, 事故と社会, 個人情報保護法, 教育問題各種 | Permalink | コメント (2) | トラックバック (1)

2008.11.12

２００６年度神奈川県立高校全生徒の情報流出

神奈川新聞より「最大１１万人の県立高生徒の個人情報流出か/ＰＣ感染で住所、氏名、口座番号も」

二〇〇六年度に県立高校に在籍していた生徒の個人情報がインターネット上に流出した可能性が高いことが十一日、分かった。コンピューターシステムの開発に携わった業者のパソコンから最大で全生徒約十一万人分のデータが流出したとみられ、県教育委員会は確認を急いでいるが、いまのところ個人情報が悪用された形跡はないという。

県教委によると、流出した可能性のあるデータは生徒の住所、氏名、授業料の振替口座番号、電話番号など。二〇〇五年度に県教委が授業料の徴収システムを開発する際、開発を担当した日本ＩＢＭの下請け業者の男性社員のパソコンにあったデータと同じ二十～三十人分の個人情報の画像がインターネット上に大半をぼかした状態で掲載されていた。

データは契約終了後に消去しなければならなかったが、男性社員は私物で使っていたコンピューター内にデータを残したままにしていた。ことし六月になってファイル共有ソフト「ウィニー」を介してウイルスに感染していたことが確認されている。

九月に県庁へ匿名の情報があったことを受け、県教委が委託先の日本ＩＢＭに調査を指示した。日本ＩＢＭの調査によると、今のところそれ以外の生徒の情報流出は確認できていないという。

県教委は発表が遅れたことについて「発表することで検索回数が増えて、仮に流出していた場合にデータが表面化し、二次被害の恐れがあったため」と説明している。ただ、「第三者がデータを持っている可能性が高い」と警戒している。

日本ＩＢＭは今後もデータが流出していないか二十四時間態勢で監視を継続。もし流出が確認された場合、県教委は口座番号を変更するなどの対応を生徒に要望するとしている。

日本ＩＢＭは「業務委託先で判明した不適切な情報管理について深くおわびする。今後、業務委託先での情報管理の徹底を一層強化し、再発防止に努める」とのコメントを出した。

ＦＮＮニュースより「2006年に神奈川の県立高校に通っていた全生徒の個人情報がネット上に流出のおそれ」

神奈川県の県立高校に2006年に通っていたすべての生徒の個人情報が、インターネット上に流出しているおそれがあることがわかった。

神奈川県教育委員会によると、情報流出のおそれがあるのは、2006年に神奈川県の県立高校に通っていたすべての生徒およそ11万人分で、名前や住所、それに授業料納付などに使用していた口座番号などが含まれるという。

県では、授業料徴収のシステムを日本IBMに委託していて、システムを作成した下請け会社の社員のパソコンが、ファイル交換ソフト「Winny(ウィニー)」を介してウイルスに感染し、2008年9月には、流出した情報の一部がウェブサイトの掲示板に掲載されていたという。

それ以降、個人情報の流出は確認できていないということだが、県やIBMでは引き続き情報流出がないか監視を続けている。

開発で生データを使うのは禁じ手であります。

なんで、県 → ＩＢＭ → 下請け → 担当者　と生データが渡ってしまったのかの方が重大問題でしょう。

県も、ＩＢＭも事件を矮小化しようとしているように見えますね。
情報管理の徹底をいっそう強化し、って生データを直接開発の末端まで回した時点で、落第であって強化以前の問題、早い話が「今後はこの種の開発業務を引きうけません」と言うぐらいしか対策がないと思うのだが。

11月 12, 2008 at 09:10 午前セキュリティと法学, 事故と社会, 個人情報保護法, 教育問題各種 | Permalink | コメント (0) | トラックバック (0)

2008.11.01

サイバー戦争

読売新聞より「ネットが「戦場」に…国境越えウイルス、大量データ攻撃」

「第６３回国連総会における麻生総理大臣一般討論演説（最終版）」。麻生内閣誕生直後の９月下旬、こう題したメールが防衛省の主だった幹部に一斉に送られてきた。送信元は「内閣広報室」。

「またか」。防衛省幹部は添付ファイルを開かないまま「ゴミ箱」へ捨てた。「これは内閣広報室を装った『なりすましメール』。ここ数年増えてるんです」

同省の職員に外部から届くメールの４割がウイルスつき迷惑メール。その数は１日１万通に達する時もあり、多くは
実在する組織や職員、ＯＢらの名前をかたる
。仕込まれているのは、開くと自動的に外部との通信を始め、情報を抜き取るウイルスだ。情報の行き先の多くは中国だった。同省幹部は「メールの発信者が省の部内情報を狙っているのは明白」と語る。

「情報化戦争が２１世紀の主要な戦争形態となる」。中国政府の公式サイトに２００６年２月、国営新華社通信のこんな記事が掲載され、日米の防衛関係者を震撼(しんかん)させた。「人民解放軍にサイバー戦の専門部隊があるのは有名」と防衛省幹部は話す。防衛白書も今年初めて「安全保障への影響を慎重に分析する必要がある」と言及した。

「中央省庁でもっとも多く攻撃を受ける」防衛省では、２４時間態勢で迷惑メールをチェックする地下部隊も存在する。だが、ファイル交換ソフトによる情報流出も記憶に新しく、危機管理能力が問われている。

◆ロシアＶＳ対立国「世界初のサイバー戦争」◆

北京五輪が開幕した今年８月８日、グルジアの南オセチア自治州を巡り、同国とロシアが交戦状態に入った。米露関係にもひびを入れたこの衝突のもう一つの「戦場」はネット上だった。

グルジアの外務省や国防省には、大量のパソコンを乗っ取り一斉にデータを送りつけるＤ―ＤＯＳ攻撃が仕掛けられた。データは２週間に１５億件にのぼり、基幹システムは断続的にダウン。同国の議会サイトが書き換えられ、サアカシビリ大統領の顔写真の横にヒトラーの顔が並べられた。

Ｄ―ＤＯＳ攻撃は昨年４月、ロシアと緊張関係にあるエストニアも受けた。同政府は「ロシア政府の関与は明らか」との声明を発表、「世界初のサイバー戦争」と注目された。ロシア政府は今も関与を認めていないが、攻撃の一つがロシア大統領府から発信されていたことがＮＡＴＯ（北大西洋条約機構）の調査で明らかになっている。

米国のウイルス対策会社マカフィーのアナリスト、グレグ・デイ氏（３５）はこう分析する。「ロシア政府の関与は分からない。ただ、エストニアに反発する一部のロシア人が攻撃に参加したのは間違いなさそうだ」

サイバー攻撃は国家が戦略的に使うばかりでなく、愛国心に支えられた「ゲリラ戦」もある。

米ラスベガスのホテルで開かれたハッカーの集まりで、３０歳前後の韓国系米国人に出会った。ハンドルネーム「マスターＳＥ」と名乗るこの男は０５年ごろ、教科書問題に取り組む日本の市民団体のサイトを「恥を知れ」と書き換えたと語る。「過去の侵略に対し、サイバー社会でお返しをしただけ」。ここにも愛国心にかられたサイバー戦の現実があった。

◆目当ては金、増殖し続けるハッカー◆

その集まりは今年８月、米国ラスベガスのホテルを３日間ほぼ借り切った形で開かれた。「ＤＥＦＣＯＮ（デフコン）」。米国の防衛準備態勢を示す言葉から命名されたそのイベントは、毎夏恒例のハッカーたちの祭典だ。１６回目を迎えた今年は、世界中から８０００人以上のハッカーが集まった。最先端のハッキング情報を仕入れようとセキュリティー会社や米連邦捜査局（ＦＢＩ）、時には日本からの捜査関係者も紛れ込む。

会場では、不用意に無線ＬＡＮを使うとすぐパスワードやＩＤをハッキングされ、壁に「ＷＡＬＬ　ＯＦ　ＳＨＥＥＰ（このおバカさんを見よ）」という文言とともに張り出されることもある。相手のサーバーを互いに攻撃し、ハッキングに成功した者が勝ち進むコンテストも名物だ。

ホテル内の講演会では犯罪に直結する情報も披露される。今年はボストンの地下鉄のＩＣカード乗車券を偽造し、ただ乗りに成功したハッカーが報告する予定だったが、米連邦地裁の命令で直前に中止された。

「かつてのハッカーは、自分の技術で社会を驚かすことを楽しむ『愉快犯』だったが、今は金もうけばかり」。米国のウイルス対策会社マカフィーのアナリスト、トラフ・ディロ氏（３７）はこう話す。

これまで５０００以上のウェブサイトを書き換えたという自称イラン人ハッカー「アリ」は、書き換えたサイトの画面に自分のメールアドレスを載せる。その理由をメールで尋ねると「サイトを見た人にウイルスを販売するため」と返信してきた。売っているのは、サイバー攻撃をするための「ボットネット」など自分で作った違法ツールだ。

ウイルス専門の販売サイトも増えている。

「ＸＡＫＥＰ」。ロシア語で「ハッカー」を意味するこのサイトにはウイルスの値段表がずらりと並ぶ。「トロイ＝１５ｗｍｚ」「Ｍパック＝２０ｗｍｚ」。ｗｍｚは仮想通貨の単位、「トロイ」はパソコンを外部から不正に操作できる「トロイの木馬」を指し、日本円にして約１８００円。２４００円の値がつけられた「Ｍパック」は簡単にサイバー攻撃ができるソフトで、ロシアを拠点に活動する犯罪組織「ＲＢＮ（ロシアン・ビジネス・ネットワーク）」が開発したといわれる。

ＲＢＮの活動を追うロシアのウイルス対策会社カスペルスキー研究所のセルゲイ・ゴロワノフ主任研究員によると、ＲＢＮは２００６年ごろから活動を開始。同研究所が確認しただけでも、ハッキング被害は１０億円に上る。２０人程度の中核的メンバーが、ウイルス開発、販売、使用などのチームを束ねるが、チームが違えば互いに名前も顔も知らないという。

ゴロワノフ氏は、「組織化と分業化が最近のハッカーの特徴。捜査の壁を厚くしている」と指摘する。

線香を持ったパンダが画面に現れると、パソコン内の情報が抜き取られてしまうウイルス「熊猫焼香」。日本では「お祈りパンダ」と呼ばれ、中国で１００万台以上が感染したこのウイルスを販売したとして中国当局に逮捕されたのは２３歳のコックで、システムの知識はほとんどなかった。

かつて高度な専門知識を持つ技術者ばかりだったハッカー。今は、金目当てだけの集団も取り込み、拡大し続けている。

（2008年11月1日03時04分読売新聞）

実はこの話は、ネットワーク・セキュリティー・ワークショップ in 越後湯沢で金曜日（１０月１０日）の車座会議で教えてもらっていました。

読売新聞の記事では、「情報を抜き取るウイルスだ」となっていますが、具体的にはキーボード入力を盗むキーロガーだとのことです。

新聞記事のように「議事録」といったワードなどの添付ファイル付きのメールにウイルスを仕込んであるわけで、手口としてはフィッシングサイトと同じようなものでしょう。

フィッシングサイトに誘導するＤＭといったものが、不特定多数にバラまかれるものだと思っていたわたしや、車座会議で聞いていたほかの十人程度も言葉を失いました。

現実に当日行われた会議の記事録として、議事録を出すであろう事務局名義などで、参加者にのみ送られてくる、ウイルス付きメールであって、発信者は別人。

こんなものをどうやって防御することができるのか？

車座会議の席でも「誰がやっているのだ？」という話はちょっとは出ましたが、ほぼ全員が専門家なので、やじ馬的な議論にはならず、また具体的に誰もが実行できる対策も今は無いので、事実の報告に止まりました。

わたし自身は、これはすでにサイバー戦争の一部なのだと思います。

ただし、おそらくは現状で盗んだ情報で何かをするのは、一つの会議の参加者が持っている情報から、その会議のメンバー全体に、その後はその方面全体にと、盗聴できる範囲を広げている段階ではないか？と考えます。
つまり、直接にネットバンクで金を盗み取るといったことは、今はやらない。

現実のサイバー戦争が発生すると、少しだけ盗みなどを実行して、ネット利用が危険であると喧伝し、ネット利用を大幅に減らす。
つまりは戦争で敵国ににせ札をバラまいて、経済の破たんを狙うといったことと同じく､国家の信頼を揺るがすことを狙うのだろうと予想しています。

先のことはとにかく、現時点でも「添付ファイル付きのメールを使わない方が良い」などと言い出したても､現実には情報交換の退化になるというべきであって、とてもできません。
最低限としてアンチウイルスソフトをキチンと働かせるぐらいしか誰にでもできる対応策は無いのですが、非常に怖いことになってきました。

11月 1, 2008 at 10:41 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2008.10.11

湯沢シンポジウム

ネットワーク・セキュリティ・ワークショップ in 越後湯沢に参加してきました。

１０月９日（木）～１１（土）で開催されているのですが、わたしは１０日だけの日帰りで参加です。

プログラムはこんな感じです。

１０日のプログラムはいずれも興味深いものでした。

白浜シンポジウムや情報ネットワーク法学会の勉強会でも感じるところですが、法律関係では原理的にグレーなところがあるのに対して、コンピュータ技術系統の話ではとりあえずシロクロをつけないと話が進まないところがあって、その微妙な感覚がこの種のシンポジウムに参加して色々な業界の方のお話を聞く楽しみになっています。

秋山先生の報告は、医療現場でのＩＴ利用の結果についての膨大な実証データの報告でしたが、医療サイドそれも大病院となると、人の命の問題でシロクロで情報を整理するのだ、気づきました。

町村先生の講演は基本がプログ炎上を題材にしてご自身のプログの例から始まりましたが、よく知っている内容なので、いささか笑いをこらえるのが大変でありました。

昼間の講演が終わると、夕食後に「車座会議」と名付けられた、分科会が複数開かれます。
わたしは、京都大学の上原先生が座長の「情報セキュリティ教育を語ろう」に参加しました。

そこで出たのが、マルウエアが増えているという話で、誠にビックリするような話でした。
一番の問題は、アンチウイルスソフトが検出しないということでしょう。

どちらかというと特殊な話だと捉えていましたが、かなりヤバイ状況になってきています。
個人レベルでの対策が必要になるかと思います。

10月 11, 2008 at 11:59 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2008.06.18

発信者情報開示手続の改善について

今話題の（^_^;）小倉秀夫弁護士のブログ la_causette にわたしの興味を強く惹く意見がアップされました。
「発信者情報開示の運用の見直しの必要性」

発信者情報開示の手続に関しては，そろそろ，開示請求者側の代理人として，主たるアクセスプロバイダやレンタルサーバ業者（商用ブログ事業者やレンタルサーバ事業者を含む。），巨大電子掲示板管理者等に，運用の改善を求めた方が良いかなという気にはなっています。壇先生や久保先生などもお誘いした方が良いかもしれません。

とりあえず，弁護士が代理人についているのに本人の写真付き身分証明書の写しの交付を要求するのはやめてもらいたいし（本人から委任を受けていないのに委任状を偽造してまで発信者情報の開示請求をするなんてリスク犯しませんよ），投稿者のメールアドレスとして捨てアドが登録されていて意見照会ができない場合や，意見照会の結果真実性の抗弁の存在を基礎づける資料の提出がなかった場合には，速やかに発信者情報の開示に応じていただきたいものです。意見照会の結果のコメントが「申し訳ありません。発信者情報だけは開示しないで下さい」なのに，「当該犯罪を犯していないとの公的な証明書が提出されない限り，権利侵害が明白とは言えないので，開示には応じられません」という回答はもう止めてもらいたいものです。

また，ＩＰアドレスと投稿時間しか把握できていないレンタルサーバ業者等について言えば，発信者情報の開示請求を受けたら，当該投稿に用いられたＩＰアドレスからアクセスプロバイダを探し出して，当該投稿にかかるアクセスログを消去せずに保管しておくようにアクセスプロバイダに連絡し，そのような連絡を受けたアクセスプロバイダは当該投稿のなされた時間帯に当該ＩＰアドレスの割り当てを受けていた人物を特定するのに必要な限度でアクセスログを切り分けて保管するようにしてもらいたいものです。

ブログ事業者等には，匿名プロキシサーバを経由してのコメント投稿を禁止するようなシステムを採用してもらいたいものです。ブログのコメント欄で名誉又は名誉感情を毀損されるのはブログ主だけとは限らず，むしろ第三者の名誉又は名誉感情がコメント欄で毀損される例も少なからずあるので，匿名プロキシサーバ経由のコメントの投稿を認めるか否かをブログ主の選択に委ねるのも如何なものかという気がしつつあります。

小倉弁護士の意見は良く言っても少数派ですから、話題になるというか敵も増えちゃうようですが、わたしはリアルな知り合いで色々と話もしている仲ですから、面白い意見を言う方と捉えています。
このエントリーもなかなか興味深いものです。

最初にわたしの基本的な考え方を述べますと、「発信者情報開示の運用が問題だ」というところはまったく同感で、見直しというかいわば洗練は不可欠であろうと思っています。
この部分については、小倉弁護士が「そろそろ見直し」との意見であるなら、わたしはもっと過激で「最初から分かっているダメなところ」であると思います。

いくつか引っかかったところをネットワーク管理者の立場から意見を述べます。

弁護士が代理人についているのに本人の写真付き身分証明書の写しの交付を要求するのはやめてもらいたい

わたしは実行することはしませんでしたが、同じ意見を出した事があります。
今は、わたしは絶対にそういう意見を出さないでしょう。

この部分は、弁護士さんにはご理解いただけないだろうと思います。
その現れが次の部分です。

本人から委任を受けていないのに委任状を偽造してまで発信者情報の開示請求をするなんてリスク犯しませんよ

この部分は、わたしは今では弁護士さんの仕事をかなり理解していますから、同意できるのですが以前はそう考えなかった。
要するに「本物の弁護士かどうか分からない」とか「弁護士がウソを言うのではないのか」といった、ある意味で当然の疑念が先に出るのです。
弁護士を名乗ってそういうことをするのは、弁護士にとってとんでもないリスクになる、ということ自体が知られていません。

だから「そんなリスクは犯しませんよ」ではまったく説得力がないのです。

【追記】

もう一つ、弁護士さんは当然のこととしているのに、庶民が理解していないことがありました。

弁護士は依頼人の立場で対応する

冷静に考えると、誰でも分かることですが庶民が誰でもきちんと理解してはいないでしょう。むしろ「弁護士は法律の専門家なのだから常に中立の立場だろう」と思っているところがあります。

このために、通知を受け取った側が「これは弁護士を自称したクレーマーではないのか?」と反射的に思ってしまう。
もちろん、クレーマーという表現がまずくても苦情をいうことに代わりはないわけですが、「弁護士は仲裁して当然だろう」とどこかで思うわけです。

このために、最初に「これは本当に弁護士のいうことか？」と反応してしまうわけで、その現れが「別途証明をよこせ」になるのでしょう。
こんな事だから「弁護士だからリスクを冒しません」はまったく世間には知られていないと考えるべきで、これを元に強調しても話は進まないでしょう。

むしろここは逆で、弁護士会からの保証書のようなものをセット出だすような方向で考えた方が現実的かもしれません。
一番困るというか途方に暮れるのが「弁護士本人以外のどこに相談すればよいのか?」分からない。なのです。

投稿者のメールアドレスとして捨てアドが登録されていて意見照会ができない場合や，意見照会の結果真実性の抗弁の存在を基礎づける資料の提出がなかった場合には，速やかに発信者情報の開示に応じていただきたいものです。

この二つを一つにされてしまうと、困ってしまうのですが

「意見照会ができない場合」に発信者情報開示をするというのは、発信者情報をプロパイダが持っているけど、意見照会したら返事がない。という場合ですよね？
これは、プロバイダがどうこうできることではないのだから、プロバイダはさっさと発信者情報を開示するべきでしょう。
正直な話が、こういう対応をするプロバイダには「何を考えているのだ?」と聞いてみたいところです。

「意見照会の結果真実性の抗弁の存在を基礎づける資料の提出がなかった場合には，速やかに発信者情報の開示に応じていただきたい」

これをプロバイダに求めるのは、無理でしょう。
確かに実務的には難しい問題で、例えば全くの白紙を内容証明郵便で送りつけてきた，なんて極端なケースにプロバイダが対応できるものか?と想像してみると、頭を抱えるだけですよ。

だからと言って「じゃ、発信者情報開示にするぞ」と言えるのか?というと、プロバイダが発信者にペナルティーを課したことになるわけで、それは出来るものなのだろうか?
むしろ、実務的にはプロバイダの会員規約に違反していると判定する方が、プロパイダの立場としては優先するだろう。
その結果として、問題の発言をプロバイダが削除する、というのは実例があります。

プロバイダに取っては、プロバイダ責任制限法と会員規約の二つが大きな柱で、その背景に著作権法などがあるといった理解をしているのでしょう。
このために、プロバイダに取っては、このレベル（？）の問題に対して、プロバイダ責任制限法で行くか、会員規約で行くか、を決めるのは、大きな判断の分かれ目です。。

ＩＰアドレスと投稿時間しか把握できていないレンタルサーバ業者等について言えば，発信者情報の開示請求を受けたら，当該投稿に用いられたＩＰアドレスからアクセスプロバイダを探し出して，当該投稿にかかるアクセスログを消去せずに保管しておくようにアクセスプロバイダに連絡し，そのような連絡を受けたアクセスプロバイダは当該投稿のなされた時間帯に当該ＩＰアドレスの割り当てを受けていた人物を特定するのに必要な限度でアクセスログを切り分けて保管するようにしてもらいたいものです。

この追跡不可能問題は、一番最初からありましたよ。
わたしは最初はプロバイダの説明を聞いても「なぜ追跡できないのか」理解できませんでした。

プロバイダ責任制限法の最初の説明の時に「追跡できます」と素直に聞いていたから、現実にぶつかってビックリしましたが、考えてみると要するに一種の名簿のようなものですから、データを押さえないわけです。
割と「分からなくする」「データを持たない方が良い」になっているのですね。
実際に、発信者情報開示請求が起きた頃には、データの整合性が分からなくなっている。

こういった傾向は、個人情報保護法などとの関係で、今後もどういう方向に向かうのかなんとも言いがたいですね。

少なくともプロバイダが「分かりました。データを保存します」と言っても実効性はないでしょう。

ブログ事業者等には，匿名プロキシサーバを経由してのコメント投稿を禁止するようなシステムを採用してもらいたいものです。ブログのコメント欄で名誉又は名誉感情を毀損されるのはブログ主だけとは限らず，むしろ第三者の名誉又は名誉感情がコメント欄で毀損される例も少なからずあるので，匿名プロキシサーバ経由のコメントの投稿を認めるか否かをブログ主の選択に委ねるのも如何なものかという気がしつつあります。

この部分は、実務的にはよく分かるし「そうやった方が良いのかもね」と思わないでもないですが、一律規制のような考え方では実行しがたいですね。
もし、実施しようとした場合は、匿名プロキシーお断りなわけで、これ自体はあっちこっちであることだから、問題ないでしょうが、それをブログ事業者が実施するというのはやはり無理じゃないかな？

じゃあ当初の「発信者情報開示手続の実務の改善」はどういう方向で進めるべきなのか?と言うと、ネットワーク管理者がプロバイダ責任制限法について勉強をすること、それに合わせて弁護士さんや総務省などもネットワーク管理者に実務についての指導をすること、が必要だと思います。

現実には、ネットワークに強い法務社員がいるような会社ぐらいしか、まともに対応できないのです。

プロバイダ責任制限法は元々、法律判断の一部をプロバイダ等に任せるという側面があるわけですが、その判断基準の実務教育なんてのは、上記のような「元々出来る会社」ぐらいしかやっていないわけです。
それ以外の最終的には個人までのネットワーク管理者は蚊帳の外のまま、現在に至っているのですから運用面がいつまで経っても改善されなくて当たり前、と言えます。

いわば法律の運用という観点で見れば、超根本的とも言えるところですが、それができていないのは現実です。

6月 18, 2008 at 09:51 午後セキュリティと法学 | Permalink | コメント (1) | トラックバック (0)

2008.02.18

歌手のための著作権延長論・ＥＵ

日経新聞より「音楽著作権の保護期間、ＥＵが大幅延長を検討」

歌手や演奏家らの音楽著作権をめぐって、欧州連合（ＥＵ）の欧州委員会は保護期間を大幅に延長する方向で検討に入った。
今夏をメドに現行の50年から95年への延長をＥＵ加盟国などに提案する。

平均寿命が延びるなか、若年から活動を始める歌手らが高齢になって著作権収入を失う恐れがあるためだ。

ＥＵ域内では歌手らが著作権収入を得られるのは音楽の録音後50年まで。
一方、作曲家の著作権の保護期間は約70年で、マクリービー委員（サービス担当）は「歌手らの著作権の保護期間を50年に限る理由はない」と指摘した。

著作権法の実務には詳しくありませんが、作曲家の著作権は死後何年かになっているのでしょう。それに対して歌手が録音した時点から50年というのは、映画が公開されてから何十年、といった規定があったと思いますがそれと同様かな？

歌手は直感的に分かりやすいですが演奏家はどうなのだろう？特定の演奏家を区別できない場合も多いですよね。

さらに著作権料という意味ではどういう配分になっていてそれは円滑に処理されているのか？

保護期間の延長だけで問題の多くが解消するとはちょっと思えないのですが・・・・・。

著作権法が現実に合わなくなってきていて、今となっては乱暴すぎる法律という印象が強いです。
全体的な見直しをするべきでありましょう。

2月 18, 2008 at 10:45 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2008.01.06

ネットバンキングの弱点は公表するべし

サンケイ新聞より「ネットバンキングであわや被害　海外サーバー経由で追跡に限界」

京都市内の男性が昨年、ネットバンキングで預金を引き出されそうになる事件があり、京都府警が捜査したところ、海外のサーバーを経由して何者かが男性になりすまして別口座に預金を送金、現金引き出し役を不特定多数に送ったメールでスカウトするなど、巧妙な偽装工作が行われていたことが分かった。

国境の壁にも阻まれて犯人の正体はつかめないままで、府警幹部は「ネットバンキングは利便さの裏側で国際的な犯罪集団の標的にされている」と警鐘を鳴らしている。

調べでは、被害者は京都市在住の会社社長の男性。昨年３月に預金口座の残高が数百万円も減っていることに気づき、府警に相談。何者かが男性のＩＤとパスワードでネットバンキングにログインし、預金を別口座に振り込む手続きをしていたことが分かった。

振込先の口座の捜査から、東京都内に住む外国人留学生らが現金を引き出そうとしていたことが判明。
留学生らは海外の見知らぬアドレスから引き出し役を募集するメールが送りつけられたといい、任意の事情聴取に対し、「依頼者の正体は知らないが、報酬を約束されて引き受けた」と話した。犯罪の認識がなく逮捕は見送られた。

一方男性のパソコンは、保存された情報を勝手に外部に送る「トロイの木馬」系ウイルスに感染しており、ネットバンキングのＩＤが海外サーバーに送信されていた。

犯人は、ネット接続中の他人のパソコンに侵入して一時的に乗っ取っては次のパソコンに侵入することを繰り返し、最終的に盗んだ男性のＩＤでネットバンキングにログインしたとみられる。経由されたパソコン所有者は「犯罪に悪用されたことに全く気づかなかった」と話したという。

府警は外国人の関与を疑っているが、複数のパソコンを経由して犯人までたどるのは極めて困難。
犯人がどの国に拠点を置くか、グループか単独犯かも不明という。ネット上の解析で引き出し役の勧誘メールは膨大な数が発信されたことを確認しており、今回は氷山の一角とみられる。
男性は実際に振り込みが行われる銀行の営業日までに気づき、現金被害はなかったという。

京都府警幹部は「関係国に捜査員を派遣したいが、捜査権がない海外では限界がある」とし、「通信を記録したログの保存期間はプロバイダー任せになっていて、短いことが多い。内偵に数カ月かかる場合、ログが消去され犯人を追跡できないことがよくある」と、現状での捜査そのものの限界も指摘している。

恐ろしいですね。リモートアクセス状態になっていたのかな？

サンケイ新聞は続けて「ネットバンキング犯罪、倍々ペースで増加」を書いています。

ネットバンキングを狙った犯罪はここ数年、倍々ペースで急増しており、銀行はセキュリティー強化を図る一方、政府は国境を越えた通信ログの証拠保全などが可能になるサイバー犯罪条約の締結を目指すなど、対策を急いでいる。

ネットバンキング犯罪をめぐり、金融庁が金融機関から被害報告をまとめた結果によると、年度統計を取り始めた

平成１７年度 ４９件

１８年度 １０３件

１９年度は上半期だけで １３７件

に達しており、前年度から２倍以上にのぼることはほぼ確実となっている。

サイバー犯罪条約は加盟国の間で国境をまたいだ通信ログの保全や差し押さえ、通信傍受などが可能になるため、増え続けるネット犯罪を取り締まるハイテク捜査の大きな武器になると期待される。一方、通信の秘密やプライバシーが侵害される懸念もあるが、国内では締結に必要な国内法の整備が進んでいない。

こうした状況に対し、都銀などの金融機関は利用者に個別の乱数表を渡し、振り込みなどの際にパスワードとは別に乱数表に基づく数けたの数字を入力させたり、ログインする度にパスワードが変化する方法を導入したりするなど、セキュリティー強化を進めている。

サイバー犯罪に詳しい甲南大学法科大学院の園田寿教授（刑法、情報法）は「ネットバンキングは今後さらに普及するだろうが、銀行のセキュリティーが強固になっても、利用者側がＩＤやパスワードを盗まれては元も子もない。パスワードなど重要な情報を保存したファイルはロックをかけるなど、利用者の意識向上も重要」と指摘する。

本当に倍々で増えてますね。

サイバー犯罪条約は国内法の整備にどうしても躓きますから、現実的に有効に機能するためには「国際警察」のようなものが必要になるのじゃないでしょうか？
冗談抜きでＥＥスミスの「銀河パトロール隊」になってしまいますが・・・・・。

銀行も「自宅で簡単に」としか言わないのは問題だと思いますね。
現実に「ＰＣが壊れた」「不調だ」という相談が来たり見たりしているわけで、そういう危なっかしい機械にお金の管理を任せること自体が問題だし、銀行が言う「自宅で簡単」は「自宅に銀行並みに管理されている機械を用意しろ」だからちっとも簡単じゃないと思うんですがねぇ。

やはり、どうしてハッキングされたのかは、警告の意味も含めて「どの銀行のどういうシステムの、どの弱点を突かれた」と公表するべきだと考えます。
それによってその銀行の評価は一時的には下がるでしょうが、対策が進歩するし、ユーザも進歩する。
結果的によりセキュアーになると思いますから、やはり公表するべきです。

1月 6, 2008 at 12:52 午前セキュリティと法学, 事件と裁判 | Permalink | コメント (2) | トラックバック (0)

2008.01.04

民主党・プロバイダに削除義務の法案

日経新聞より「有害サイト削除、民主が独自法案・プロバイダーに義務化」

民主党は18歳未満の若年者が犯罪に巻き込まれるのを防ぐため、インターネット上の違法・有害サイトの削除をプロバイダーなどに義務付ける法案の国会提出に向け、党内調整を始めた。

自殺勧誘や、児童買春の温床とされる出会い系や児童ポルノなどに簡単にアクセスできないようにする狙い。
与党との共同提出も視野に入れており、今月召集の通常国会での成立を目指す。

検討中の法案では、サイト開設者やプロバイダーは違法情報を発見し次第、削除しなくてはならないと規定。
違法かどうか明確でなくとも、有害な恐れがある場合は児童が閲覧できなくなるような措置を講じるよう義務付ける。
罰則を設けることも視野に入れる。(09:19)

法的根拠が明確でなくても義務

なんてことを、大政党が言い出して良いというのか？

このニュースは「弁護士落合洋司　（東京弁護士会）　の「日々是好日」」の記事「有害サイト削除、民主が独自法案・プロバイダーに義務化」で知りました。落合弁護士は

「違法情報」と一口に言いますが、違法性が明らかなものから、非常に微妙なものまで、様々であり、それらを一切合財、「発見し次第削除しなければならない」と義務付けて本当に良いのか、プロバイダ等に過度な負担をかけることにならないのか、ということは検討すべきでしょう。こういった法律ができれば、削除してほしい側は、法律を盾にとってかなり厳しくプロバイダ等に削除を迫ることになると予想されますが、微妙な案件に関し、削除すべきかどうかの狭間で苦悩する人々が増えることが予想されます。

罰則まで設けるのであれば、特にこの点については十分な考慮、配慮が必要でしょう。

とコメントされています。

実際に発言削除などをやっていた側からすると「基準を事前に決めることすら難しい」と思いますし、単語や言い回しなどに注目してもその発言が出る場所によって評価も変わります。

いったいどうやって、こんな事を義務→罰則することが出来るのでしょうか？
もう、この民主党案は実行しようすると、想像を絶する問題点が続出することが目に見えてます。どうやって法律にするというのでしょう？

1月 4, 2008 at 11:09 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (1)

2007.12.03

地方新聞だけが名誉毀損とされた事件の控訴審

毎日新聞より「東京女子医大・手術事故：配信記事掲載で名誉棄損　責任の所在、どこに！？」

１１日から控訴審－－１審は地方紙のみに賠償命令

共同通信社が配信した記事について、掲載した地方紙のみに名誉棄損での賠償を命じる判決が９月に東京地裁であった。
定評ある通信社の配信記事を掲載した場合、新聞社は免責されるとの主張を判決は退けた。
これに対し、共同や地方紙は、多様な言論を封じ、国民の知る権利を阻むものだとして猛反発している。
１１日に東京高裁で控訴審が始まり、改めて「配信記事の責任」の所在が問われる。
【本橋由紀、北村和巳】

地方紙「知る権利大きく損なう」／共同通信「報道の萎縮につながる」／識者「配信制度に理解がない」

裁判は東京女子医大病院で心臓手術を受けた女児の死亡事故をめぐり、業務上過失致死罪に問われ、１審無罪（検察側控訴）となった医師が起こした。
判決は、医師の基本動作ミスが事故を招いたとする配信記事（０２年７月）について「警視庁の記者会見に基づくなどしており、報道内容を真実と信じる相当の理由がある」として、共同の賠償責任を否定した。

その一方で、

定評ある通信社からの配信を受けたことだけを理由に、記事が真実と信じる相当の理由があったとはいえない

共同通信の定款施行細則で、配信記事には配信元の表示（クレジット）を付けると規定されているのに、そのクレジットを付けずに自社が執筆した記事のような形で掲載している

として、掲載した上毛新聞社（前橋市）▽静岡新聞社（静岡市）▽秋田魁新報社（秋田市）の３紙に計３８５万円の賠償を命じた。共同によると、この記事をクレジットを付けて掲載した新聞はなかった。
実情無視と批判

堀部政男一橋大名誉教授（情報法）は「今回のような形で地方紙が責任を負わされるのであれば萎縮（いしゅく）して、読者の知る権利に応えられなくなる」と話すが、地方紙側はどう受け止めているか。

当事者の上毛新聞は「通信社とその加盟社の実情を無視した判決。認められれば配信制度や地方紙の根本にかかわる」と主張する。

他の加盟社も「覆ると思うが、仮に確定すれば知る権利、言論の多様性への悪影響は計り知れない」（河北新報）▽「加盟社は多くの読者を抱え、世界で起きるニュースを提供する責務があり、仮に確定すれば、表現の自由を大きく侵害する」（信濃毎日新聞）▽「通信社制度の存在意義を否定し、国民の知る権利を大きく損なう」（北海道新聞）▽「報道の自由を制限し容認しがたい」（西日本新聞）など、民主社会の根幹にかかわる問題だと指摘する。

背景にあるのが、通信社と地方紙など加盟社との密接な関係だ。

共同は社団法人で、ＮＨＫやブロック紙も含め加盟する計５７の報道機関は「社員」となっている。運営方針などを決めるのは最高の意思決定機関「社員総会」や社員から選ばれた理事による理事会だ。通信社とは単なる契約関係ではなく、同じ共同体ということになる。

共同の配信記事に誤りや名誉棄損の部分があった場合の責任について、共同通信の安斉敏明・総務局総務は「配信した共同にある」と明言。加盟社も「責任は配信側にあり、地方紙は免責される」との意見でほぼ一致する。地方紙が中心の米国では、この「配信サービスの抗弁」の法理は一般的だという。

この考え方に沿い、加盟社は地域の独自ニュースと世界規模、全国規模のニュースを紙面に掲載できる。新聞社間の無用な競争を避け通信のコストを下げながら、多様な言論が保たれ、国民の知る権利にも応えられることになるという。

判決は判例踏襲

最高裁は「ロス疑惑」をめぐる名誉棄損訴訟で０２年１月、「社会の関心を引く私人の犯罪やスキャンダル」報道に関し、「配信サービスの抗弁」を否定した。報道合戦が過熱し、慎重さを欠いた記事があると指摘し、「一定の信頼性を持つとされる通信社の配信記事でも、真実性について高い信頼性が確立しているとは言えない」と結論づけた。今回は、公的な使命を帯びる医師が医療ミスの刑事責任を問われたケースだったが、東京地裁は「社会の関心と興味を引く分野の報道」として、判例を踏襲した。

さらに今回の判決は、３紙が「配信元の表示（クレジット）」を付けなかった点を重視し、「新聞社自ら執筆した記事と体裁が変わらず、読者は配信記事かどうか判別できない」と指摘。共同と３紙は一定の関係があっても別の責任主体で、共同の「（免責とされる）相当の理由」を３紙は援用できないとした。

クレジットについてはロス疑惑をめぐる別の訴訟の最高裁判決（０２年３月）で意見が分かれた。２人の裁判官は「報道の自由は、どの社の責任で記事が作成されたか認識できて初めて十分に発揮される」として、クレジットを付さない場合は配信を理由にした抗弁は一切主張できないと述べた。だが、別の３人の裁判官は「クレジットの付いていない記事でも、その内容や記事を掲載した加盟社の規模などから、通信社からの配信記事と推認できる可能性があれば、加盟社と通信社が実質的に同一性を持つと考えて差し支えない」「クレジットがないからといって、配信サービスの抗弁を認めないという意見には賛同できない」と意見を述べている。

「クレジット」は必要か

今回の判決も指摘しているように共同の定款施行細則は配信記事の掲載時にクレジットを付けなければならないと規定。だが、現実には国内のニュースには付けないのが長年の慣行で、共同も問題にしてこなかった。原告医師の代理人の喜田村洋一弁護士は「クレジットがなく自分の記事の形で掲載した以上、責任を問われるのは当然。取材を尽くしたかで個別に名誉棄損を判断するのは妥当だ」と話す。

これに対し、上毛新聞は「すべての記事にクレジットを付けると読者の混乱を招く懸念もある。記事の内容ではなく、クレジットの有無を問うのは本質的ではない」と主張。「クレジットを付けたからといって加盟社が免責になる保証はない」（中日新聞）との疑問の声も消えない。

そのような中、北海道新聞は１０月から、話題の人を紹介する囲み記事「ひと２００７」について、自社原稿の署名だけでなく、配信記事にも原則としてクレジットを入れることにした。「原稿の出自を明らかにする観点から」と、見直した理由を説明する。

控訴審では何を訴えるのか。共同は「直接の取材手段を持たない加盟社に配信記事の真実性を証明させようとし、報道を萎縮させる判決の不当性を主張したい。クレジットなど個別の主張については訴訟で明らかにしたい」と話す。

通信社の歴史に詳しい秀明大総合経営学部の里見脩教授（メディア史）は「メディアがすみ分けることで成り立ってきた配信制度にとってゆゆしき判決だ。最高裁判例の一部を一方的に解釈しているという印象を受けざるを得ない。『赤福』がチョンボしたからといって、みやげ物屋が責任を負いますか？　メーカー責任の原則からもはずれている。クレジットの点もおかしい。共同は社団法人で地方紙は社員。地方紙は社説まで共同から配信を受けるような関係だ。配信記事にクレジットを付ければ地方紙は共同のクレジットで埋まってしまう。すべての記事にクレジットを、という実態を理解しない考え方で、民主社会にとって大切なものを犠牲にすべきではない」と断じる。

共同通信社が配信したニュースをそのまま載せた地方紙が名誉毀損に当たるとされた事件で、控訴審が始まるという解説記事です。

素人考えとして非常に不思議なのは、ニュースを配信した共同通信社に対しては「信ずるに足る情報を伝えたから、賠償責任は無い」としておきながら、そのニュースを掲載した新聞が名誉毀損に当たる、という理屈が成立するのか？です。

地裁判決では「共同通信社が配信したニュースなのか独自取材の記事なのか区別が付かないから、名誉毀損」としているようですが、共同通信については「警察発表など」を根拠に「信じて当然」との情報を「共同通信が配信したから信じてはいけない」と読めるわけで、それでは情報の伝達ということを自体に無理難題を吹っかけた判決となりませんかね？

また、地方新聞社が共同通信と同列で警察を直接取材して書いた記事であれば、やはり名誉毀損に当たらないのでしょうね。だとすると「共同通信のクレジットを表示しない」ことにどういう意味があるのか？
さっぱり分からない判決だと感じます。

12月 3, 2007 at 12:21 午後セキュリティと法学, 事件と裁判, 国内の政治・行政・司法 | Permalink | コメント (6) | トラックバック (0)

2007.12.01

オリコン訴訟・最終局面

昨日（2007/11/29）「恫喝訴訟で口封じ？！　表現の自由を考える１１・２９シンポジウム」に参加してきました。

パンフレット（ＰＤＦ）から引用します。

パネルディスカッション

烏賀陽弘道雑誌の取材に答えたらオリコンから訴訟を起こされた

西岡研介週刊現代に書いた記事でＪＲの労組から５０件の訴訟を起こされた

山田厚史テレビ出演で日興コーディアル証券の問題にコメントして、安倍前総理の秘書から訴訟を起こされた

斉藤貴男週刊現代に書いた日本経団連会長の御手洗氏についての記事で訴訟を起こされた

釜井英法烏賀陽氏の弁護士

田島泰彦上智大学・文学部・新聞学科

コーディネータを田島泰彦教授が務めました。

弁護士とコーディネータを除いた４人のパネラーはいずれも記者で事件についてもわたしはだいたいは承知しておりました。
西岡記者・斉藤記者はいずれも新聞記者からフリーライターに転じて、週刊現代で重い記事を書いている方です。

烏賀陽記者は「オリコン訴訟」をネットで知ったときに初めてお名前を聞いたし、それ以前の記事についても知らなかったので「どんな方なのだろう？」という野次馬根性が先行して見にいったというのが実情です。
しかし、結論としては４人の記者は似たような雰囲気の方でした。
朝日新聞記者でテレビにも出ている山田記者についても、意外とフリーのライターに近い感覚を感じました。

今回のシンポジウムのきっかけとなった「オリコン訴訟」を私が知ったのは2006年12月の新聞記事などだと思います。

烏賀陽氏のページの説明によると

ヒットチャートで有名な株式会社「オリコン」が、烏賀陽弘道個人を被告に、月刊誌サイゾー06年4月号の電話取材に応じた20行ほどのコメントに対して5000万円の損害賠償を求める訴訟を東京地裁に起こしました（061213）。

確かにまとめるとこういう話なのだけど、もっと詳しい説明をアップしてほしい・・・・
月刊誌サイゾーの記事は、烏賀陽氏が記者の質問にコメントしていました。つまり一般常識として、出版社→編集者（責任者）→記者までが記事の内容が名誉毀損であるような場合の責任追及の対象だと考えていました。
それが「記者に取材された人だけが責任追及された」というのが特異ではあります。

シンポジウムで烏賀陽氏も強調していましたが

「わたしは取材対象です」
「取材対象を名誉毀損で訴えて、
出版社などの責任は追及しない」
「訴訟目的は裁判に勝つことではない」

なんてのがキーワードになっています。

結局は、反対者を黙らせる（抹殺する）ために形として裁判を利用したとも言えるわけですが、このような裁判を利用するのは濫訴だとして「環境ホルモン濫訴事件」では、わたしは2005年7月から apj さんが始めた「中西応援団」を手伝っていました。

当時は「こんな裁判はアリか？」ということで「濫訴というのだろう」などと、たしか喫茶店で呼び方を決めたりしました。
似たようなことを「先進国アメリカでは「SLAPP（Strategic Legal Against Public Participation）」と呼んで対策の法律まで出来ているのだそうです。栗原　潔氏によるSLAPP の解説記事

資力のある大企業等が巨額の賠償請求訴訟をすることで資力のない個人や小企業をびびらせて、結果的に言論を封じる手法です。意訳すれば「恫喝訴訟」ということですね。

米国では、カリフォルニア州をはじめとして多くの州でSLAPPが州法により禁止されているようです（SLAPPと認定されれば、被告と原告のどちらの言い分が正しいかの議論以前に提訴自体が却下になるということのようです）。

日本では、SLAPPが全然OKということになってしまうと、個人が実名ブログ等で正当な理由に基づいて企業を批判することが困難になる可能性があります。そうなると、結局、批判は匿名掲示板でということになってしまいます。ネット言論の適正化のためにも何らかの形でSLAPPには歯止めをかけてもらいたいものです。

訴訟を提起したオリコン株式会社の主張がオリコン社のサイトに掲示されています。
「事実誤認に基づく弊社への名誉毀損について」　( 2006年12月19日 12時00分)

本日、一部報道にありました「ライター烏賀陽弘道氏への提訴」について弊社の見解を述べさせていただきます。直接的な原因は、烏賀陽氏の（株）インフォバーン発行の「サイゾー」4月号における明らかな事実誤認に基づく以下の2つの発言にあります。また、烏賀陽氏は、長年に亘り、明らかな事実誤認に基づき、弊社のランキングの信用性が低いかのごとき発言を続けたことが背景にあります。

①「オリコンは調査方法をほとんど明らかにしていない」（烏賀陽氏発言）

弊社は、調査方法について昭和43年のランキング開始時以来明示しています。またその調査店についても平成15年7月以降、弊社の WEBサイト、雑誌等のメディアにおいて開示しています（3,020店）。さらに、調査方法については、他社メディアの取材にも応じています。

②「オリコンは予約枚数をもカウントに入れている」（烏賀陽氏発言）

昭和43年のランキングの開始時から今まで予約枚数をカウントしたことはありません。

以上2つの発言につきまして、明らかな事実誤認に基づき弊社の名誉を毀損していることに対して提訴しています。

申し上げるまでもなく、弊社が発表するランキングは、弊社事業の中核を担うものであり、明らかな事実誤認に基づいた報道によって、その信用性が低いとの印象が社会的に浸透するならば、弊社の事業に多大な影響を与えることにもなりかねません。

烏賀陽氏は、弊社からの平成18年6月23日付け内容証明郵便の中での「サイゾーの記事のとおり発言ないし指摘をされているのでしょうか」という問いに対し、平成18年6月30日付けのFAXにて「自分が電話でサイゾー編集者の質問に答え、編集者が発言を文章にまとめました。まとめたコメントはメールで自分に打ち返され、修正・編集を加え、若干の意見交換ののち掲載の形にまとめられました」（同氏からのFAX原文）と回答してきています。このように、烏賀陽氏は、発言は自分が責任をもって行ったものと明言されています。

烏賀陽氏は、同様の発言を他のメディアでも行っており、同氏の発言の社会的影響力は決して小さいものではありません。

社会的信用とは長年の不断の努力によって成されるものと確信しています。ジャーナリズムの名の下に、基本的な事実確認も行わず、弊社の長年の努力によって蓄積された信用・名誉が傷つけ、損なわれることを看過することはできないことからやむを得ず提訴に及んだ次第です。この度の提訴はあくまで烏賀陽氏によって毀損された弊社の名誉を回復するための措置であることをご理解ください。

( 2006年12月19日 12時00分)

わたしがオリコン社の主張を読んだ印象は「将来の損害の抑止」に重点があるように感じます。
賠償請求では「将来の損害」はなかなか認められないし、では将来の損害になるような現在の被害の大きさはどうなのか？ということなると、1/100とか1/1000なのでしょうね。
逆に言えば「現在の損害の1000倍の請求」をした事になりそうです。

これがどんどん拡大するとアメリカのような「対策」も必要になるのでしょう。
まぁ、SLAPP 禁止を法的に定めるのは極めて難しいだろうし、そもそも反対意見に対抗する形として損害賠償は認めない、という社会も困るわけです。

実際問題として、記事を載せた月刊サイゾーと編集者、烏賀陽氏の三者を提訴したのであれば、問題にはならなかったでしょう。
そういう事例は珍しくありません。

しかし、裁判では裁判外のことについては言及しませんから「三者が提訴すれば・・・」なんてことは法的判断としては出てきませんね。
社会の動きとして注目しておくべき裁判です。

このオリコン裁判は次回が人証で烏賀陽氏も証言するそうで、民事裁判の流れとしては、人証の後は最終弁論を経て判決となりますから、次回が事実上最後の法廷の論争です。

オリコン訴訟第６回口頭弁論
１２月１１日　１３時３０分～
東京地裁７０９号法廷（傍聴券配付）

だそうです。

12月 1, 2007 at 11:02 午前セキュリティと法学, 事件と裁判 | Permalink | コメント (0) | トラックバック (0)

2007.10.22

情報ネットワーク法学会

情報ネットワーク法学会・第７回研究大会のご案内。

第７回研究大会の個別報告の内容について

●個別報告の内容

第１会場 10:10

｜

10:40
砂金伸一（山本秀策特許事務所）
田中規久雄（大阪大学）
「匿名ファイル交換ソフトで違法複製物をダウンロードした者の法的責任」

10:45

|

11:15
奥村徹（大阪弁護士会）
「プロバイダの刑事責任～名古屋高裁平成19年7月6日と東京高裁平成16年6月23日」

11:20

|

11:50
石井夏生利（情報セキュリティ大学院大学）
「情報セキュリティと専門家の責任」

第２会場 10:10

｜

10:40 李　丹丹（神戸大学）
「中国電子署名法の成立および中国電子政府の現状」

10:45

|

11:15 淺井達雄（長岡技術科学大学）
王　悦（日本ＩＢＭ）
「中国における営業秘密の法的保護の現状と課題」

第３会場 10:10

｜

10:40 中村有利子・石丸湖美（龍谷大学）
加藤晶子・高橋香名・平谷明子・吉田妃穂子（キャリアパワー）
「大学図書館からの法情報発信
―Ｒ－ＬＩＮＥの開発・運営と課題、今後の展開について」

10:45

|

11:15 長谷川元洋（金城学院大学）
大嶽達哉（愛知県弁護士会）
大谷　尚（名古屋大学）
「インターネットの電子掲示板上での児童・生徒間の誹謗中傷トラブルに対して教師が直面している問題についての検討」

スケジュールがこんな事になっていて、９時に新潟ですね・・・・・・

09：00	受付開始
09：30	開会挨拶
09：35～10：00	総会
10：10	個別研究報告（第1～第3会場）
11：50	昼食
12：50～13：50	基調講演「情報ネットワーク社会と刑法」
	山口厚・東京大学大学院法学政治学研究科教授
14：00～17：35	パネル・ディスカッション
	第1分科会テーマ「違法・有害情報と匿名性」
	第2分科会テーマ「法学教育のIT化～ロースクール完成年度を契機として」
17：40	閉会挨拶
18：00～20：00	懇親会（ホテル日航新潟）

10月 22, 2007 at 11:22 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2007.10.19

行政が削除請求

東京新聞より「ブログに『公園で犬放し飼い禁止、違法』都など『削除を』接続業者側は拒否」

東京都内在住とみられる愛犬家が、インターネットのブログ（日記）に「公園での犬の放し飼いの禁止は違法」との主張を書き込み、東京都と西東京市が「違法行為をあおり、公園でのマナー低下を招く」として「プロバイダ責任制限法」に基づき、サイトを提供するプロバイダー（接続業者）に削除を求めていたことが分かった。
接続業者側は「内容の正否を判断できない」として請求を拒否している。（中沢誠）

ブログの掲示板には三年前の開設当初から「しつけのいい犬は放し飼いでもいい」「リードは動物虐待」「狂犬病予防法は時代遅れの悪法」などの主張が展開され、都や市には「放置していいのか」との苦情が寄せられていた。
公園で放し飼いを注意した市職員が、飼い主から「ブログには問題ないと書いてある」と反論されたケースもあるという。

プロバイダ責任制限法は、ネット上で中傷されたり、プライバシーを侵害されたりした場合については被害者が接続業者に書き込みの削除を求めることができると規定。
都福祉保健局と同市みどり公園課は、同法に基づき二月、違法行為を招くとしてサイト提供者の「楽天」と「ヤフー」に書き込みの削除を求めた。

しかし、両社とも自治体の請求を拒否。同市があらためて六月、楽天に発信者の身元情報の開示を求めたが、楽天はやはり拒否した。

接続業者らの「テレコムサービス協会」（本部・東京）の桑子博行サービス倫理委員長は「自治体からの削除請求は聞いたことがない」とした上で、「安易に削除に応じれば、表現の自由を定めた憲法二一条や、電気通信事業法に抵触する恐れがある」としている。

これに対し都環境衛生課は、公園での動物の放し飼いを禁じている都条例や予防注射を義務づけている狂犬病予防法を挙げ「ブログは明らかに法律を否定する内容。誤った考えを先導するブログを放置するのは好ましくない」と反論する。

公園での犬の放し飼いをめぐっては、トラブルが後を絶たない。環境省によると、二〇〇五年度に犬にかみつかれた被害は約五千三百件。愛知県では大型犬が主婦を襲い、七月に飼い主が逮捕された。東京都檜原村では先月、四十四匹の犬を放し飼いにしていた飼い主が狂犬病予防法違反容疑で摘発された。

「ブログは明らかに法律を否定する内容。誤った考えを先導するブログを放置するのは好ましくない」

法律に反論する権利は当然あるわけで「法律を否定する考えだから削除するべき」というのではちょっと無理だろう。

このような場合は「対抗言論するべし」との判決が出ているくらいで、行政が堂々と反論するべきだと思う。

仮にここで削除できても、次々と同じようなサイトが出てくることも十分に予想できる。
どのような考え方で削除請求する事にしたのか？検証するべきだと思う。
削除すればＯＫという事ではない。

10月 19, 2007 at 09:22 午前セキュリティと法学 | Permalink | コメント (5) | トラックバック (1)

2007.10.15

著作権延長についての議論

IT media News より「著作権保護期間の延長、経済学的には「損」　「毒入りのケーキ」が再創造を阻む」

大変に長い解説記事なので本文を読んでいただくとして、わたしが注目したのは次のところです。

著作権保護期間を今より20年延長すると「損」なのか「得」なのか――。
長すぎる著作権保護期間が書籍の“死”をむしろ早める
著作者の死後は、売れるものだけが生き残る極端な弱肉強食
絶版書は、以前はただ忘れ去られていくしかなかったが、ネットが状況を変えている。
欧米で著作権保護期間が70年に延長されたのは、ネット時代以前
保護期間の延長によって著作者が得る収入の増加は、1～2％程度
保護期間延長が創作者の意欲を高めて映画制作本数が増加する――という根拠は、まだ得られていない
自由にパロディを作れるまで、さらに20年待たなくてはならなくなる
2次創作が行われる可能性が減り、権利者には「権利が有効活用されない

といった著作権保護期間の延長によるデメリットが数々紹介されて

「経済学的に不合理」な延長、なぜ欧州では行われたのか

これらの研究から「インセンティブが見えないのにデメリットは確実にある」（成蹊大学法務研究科の安念潤司教授）とほぼ証明された著作権保護期間の延長。そもそも欧米ではなぜ、70年に延長したのだろうか。

東京大学大学院情報学環・学際情報学府の酒井麻千子さんの研究「EUの保護期間延長の事情」によると、EUが保護期間を70年に統一したのは「EC（当時）域内の単一市場形成を達成するための手段だったとしか考えられない」という。

ECは1993年までに域内で単一市場を形成しようと急いでいた。その動きの中で、著作権保護期間の不統一――著作者の死後50年の国と70年の国の混在――が問題になっており、長いほうに合わせることで、どの国の著作者も不満なく統一できるよう図った、というわけだ。

「（50年という短いほうに統一せず、50年から70年に延ばした）EUの政治家は『バカじゃん』と思うかもしれないが、政治家は、政治的影響力の強い文化的エリートの反感を買うわけにはいかなかったのだろう。保護期間延長問題は、経済学的には大差で判定負けだが、政治の世界ではそうはならない」（安念教授）

というわけで「欧米の著作権法に合わせないで根本的に考え直そう」となって

「著作権登録制」の現実味
著作権はどうあるべきか

弁護士でクリエイティブ・コモンズ・ジャパン事務局長の野口祐子さんは「延長で著作者のやる気が高まり、文化が豊かになると主張するなら、過去の作品の延長は不要なはず。
過去の著作物と将来生まれる著作物とはきちんと区別して議論すべき」と指摘する。

野口祐子インタビュー02に著作権法のあり方について幅広い考え方を述べています。
これはお勧めです。

ようやく、著作権がどうあるべきかが記事になったという感じですが、今後どうなるのでしょうか？

10月 15, 2007 at 12:09 午後セキュリティと法学 | Permalink | コメント (2) | トラックバック (0)

2007.07.01

高校の個人情報流出事件

読売新聞より「愛知で県立高生徒情報流出、教諭ＰＣから…空自基地資料も」

愛知県教委は３０日、同県立高校の男性教諭のパソコンから、県立高校２校の個人情報がインターネット上に流出したと発表した。

教諭の自宅パソコンに入っていたファイル交換ソフト「シェア」のウイルスを介して流出したとみられ、情報が流出した生徒数は延べ１万４５９８人に上るという。

航空自衛隊岐阜基地の個人情報なども、この教諭のパソコンから流出していた。

県教委によると、流出したのは教諭が勤務する一宮工業高と前任校での１９９４年度以降の内部資料。
生徒の氏名、進路希望、成績表や大学、専門学校などの受験の合否結果、指導要録を作成するための性格検査の結果などが流出した。

教諭は、進路指導資料作成のため、無断で持ち帰り、自宅のパソコンで作業をしていた。

空自岐阜基地の情報は、教諭の親族が同基地に以前勤めていた関係で、同じパソコンに資料を保存していた。
流出したのは退職者名簿や行事内容などで、機密資料などはないという。

教諭は県教委の調査に対し「ファイル交換ソフトが入っているパソコンでデータを扱ってはいけないと知っていたが、毎日ウイルスチェックをしており、大丈夫だと過信していた。個人的な目的には使用していない」と話している。

同県教委高等学校教育課の高須勝行課長は、「仕事熱心な教諭で、極めて残念。教員一人ひとりに徹底されるよう、指導のあり方を考えたい」と話した。

結構詳細な情報なので色々と検討することができます。

一万５千人以上のデータ
現在と前任地、家族の勤務先のデータ
進路指導資料の作成
シェアをインストールしていたが、ウィルスチェックで大丈夫と判断
教育委員会は「教員一人ひとりに徹底」とコメント

業務用のＰＣでシェアーを使う神経が分かりませんが、それ以上に分からないのが「１万５千人以上の個人情報」そんなものを個人で抱えてどうするつもりだったのでしょうか？
ましてや、前任地の学校のデータは何に使うつもりだったのか？

要するに「情報を捨てられない人」なのだろうと思いますし、言い分としては「進路指導の基礎データを集めていた」というのはあるでしょう。
しかし、なんで個人のＰＣでやるのか？となります。

最悪なのが、教育委員会のコメント

ですね。
今回の事件は早い話がアクシデントの一種で、防止策は何重にも掛けなければならない。
個人の責任に負わしてもまた同じような事件が出てくるだろう。

個人のＰＣで仕事をするな、と教育委員会は主張できる程のものではあるまい。
わたしが見ている範囲でも、教員のＩＴスキルが十分に世間に通用する人はかなり少ない。
もちろん「これはやってはいけない」と言われたことを忠実に守ればアクシデントにはならないが、そういうレベルでは個人ＰＣを使ってまで仕事をする必要もないＩＴ利用が現実だ。

ウイルス感染、ハードウェアの破損、データの流出、不正アクセスなどは誰にでも起きる可能性があるのであって「こうすれば絶対」なんてあり得ない。
一番確実な安全策はコンピュータを利用しないことだ。

わたしが見るところ、教員のＰＣ利用スキルを大幅に引き上げることが必須で、その結果として「個人ＰＣの使用禁止・教育委員会がＰＣをすべて供給する」というのようなことになるだろう。

だいたい、学校には１０００人以上もの人がいるわけで、扱っている個人情報の数は莫大だ。
それらを安全に運用するために、それなりの体制や設備が不可欠だが、現実にはネットワーク・プリンターもまともに運用出来ない。メールは個人に届かない。情報管理者が居ないという仕事場がかけ声を掛ければなんとかなるものなのか？

「個人の責任」で全部まとめてしまうようでは、対策にはならない。

7月 1, 2007 at 11:57 午前セキュリティと法学, 個人情報保護法, 教育問題各種 | Permalink | コメント (8) | トラックバック (0)

2007.06.16

捜査情報流出を考えると

朝日新聞より「警視庁情報流出、わいせつ画像コピーがきっかけ」

警視庁北沢署の巡査長の自宅パソコンから警察書類を含む計１万件の文書がネット上に流出した問題で、この巡査長が同僚所有の外付けハードディスクから、わいせつ画像をコピーしたのが流出のきっかけだったことが１３日、わかった。

調べによると、巡査長は自宅に私用パソコンを２台所有。
ファイル変換ソフト「ウィニー」が入った１台にデータをコピーしたため、同僚のハードディスクの情報がほぼ丸ごと、遅くとも今年４月までに流出していた。

１万件のうち１０００件は画像で、逮捕前の被疑者を隠し撮りしたと見られる写真もある。
９０００件の文書の中には、強姦（ごうかん）や強制わいせつ、恐喝事件に関する捜査書類や被疑者の携帯電話の解析記録もあった。
暴力団関係者の使用車両などを示した捜査資料もあり、ほとんどが実名入りだった。

警視庁は今年３月、私用の全パソコン約４万１０００台に、ウィニー導入の有無を調べるソフトを走らせる一斉点検を実施。
この際、巡査長はウィニーを入れたのが発覚するのを恐れ、流出元になった１台には点検ソフトを使わなかったらしい。

なんで winny を入れたＰＣに捜査資料のデータを繋いだのか、この巡査長は自分のやっていることが分かってなかったのでしょうか？
しかしこういう詳細が伝わってくると、「winny を使わなければ」といったことでは防げないのではないか？と思うところです。

今回の捜査情報流出は社会システムに影響を与えたことは確実で、ＤＭの名簿が流出したのとはレベルが違うと考えても良いでしょう。
原理的には情報流出で政府が潰れるとか、核戦争が起きるなどといった空想的な可能性も皆無ではないのですが、法的にそういう「社会の安定を壊す可能性がある」として規定されているものに、偽造通貨の扱いがあるな、と思い出しました。

刑法　第十六章　通貨偽造の罪

第百四十八条　通貨偽造及び行使等

行使の目的で、通用する貨幣、紙幣又は銀行券を偽造し、又は変造した者は、無期又は三年以上の懲役に処する。
２　偽造又は変造の貨幣、紙幣又は銀行券を行使し、又は行使の目的で人に交付し、若しくは輸入した者も、前項と同様とする。

第百四十九条　外国通貨偽造及び行使等

行使の目的で、日本国内に流通している外国の貨幣、紙幣又は銀行券を偽造し、又は変造した者は、二年以上の有期懲役に処する。
２　偽造又は変造の外国の貨幣、紙幣又は銀行券を行使し、又は行使の目的で人に交付し、若しくは輸入した者も、前項と同様とする。

第百五十条　偽造通貨等収得

行使の目的で、偽造又は変造の貨幣、紙幣又は銀行券を収得した者は、三年以下の懲役に処する。

第百五十一条　未遂罪

前三条の罪の未遂は、罰する。

第百五十二条　収得後知情行使等

貨幣、紙幣又は銀行券を収得した後に、それが偽造又は変造のものであることを知って、これを行使し、又は行使の目的で人に交付した者は、その額面価格の三倍以下の罰金又は科料に処する。ただし、二千円以下にすることはできない。

第百五十三条　通貨偽造等準備

貨幣、紙幣又は銀行券の偽造又は変造の用に供する目的で、器械又は原料を準備した者は、三月以上五年以下の懲役に処する。

こうして調べてみると、通貨偽造や行使の罪が思いっきり重罰であることが分かります。
そこで、今回の捜査資料流出を通貨偽造や行使に比べて社会的な被害はどのようなものだろうか？と考えてみます。

世界中で偽札事件は続いていて、そのために通貨の変更で対策するのが普通です。
米ドルは世界中で流通することあって、頻繁に変更しているという印象があります。
日本でも過去何回も緊急事態扱いで通貨を更新したことがあります。

こういうことがあるから、通貨偽造は世界的に重罪になっているのでしょう。それに比べて、捜査情報流出といっことの被害はどうか？と考えると、現時点で法的にはなんの処罰も無いというのはかなり問題ではないだろうか？
別に捜査情報でなくても、銀行や税金といった情報が流出した場合に、国家としての信用が毀損されて、国際取引に問題が出てきたら偽装通貨問題を上回る被害となりうるでしょう。

それで、片方は無期懲役で片方は全く罪がない、というのはいつまでも通用するものではない、という印象が強くします。

明らかに、Ｐ２Ｐ技術や winny そのものを規制してもダメで、例えば「電磁的公文書流出罪」とでもいった法律を作って、結果を積極的に処罰するというぐらいしか抑止効果が無いと思うのです。

こんな「対策」にでもしないと、今回のように

他人のＨＤＤを

個人的管理下のＰＣの内

winnny を使用中の機械に接続した

なんていう組合せを事前に回避できるわけがない。
そりゃ元をたどれば、データの入ったＨＤＤを他人に渡すのが論外だ、とは言えますがだからと言って無くなるとは思えない。
結局は、結果に対して処罰するしか無いのかな？と思うところです。

6月 16, 2007 at 11:15 午前セキュリティと法学, 個人情報保護法, 国内の政治・行政・司法 | Permalink | コメント (0) | トラックバック (1)

2007.06.06

中学校で事務管理情報がハッキングされる

信濃毎日新聞より「テスト成績データなど生徒が見て持ち出す　小諸東中」

小諸市加増の小諸東中学校で、生徒が校内のパソコン教室の端末から、学校のサーバー内にある教員用データを集めた「フォルダー」を閲覧し、勝手にテストの成績や生徒の住所録などのデータをコピーして自宅に持ち帰っていたことが５日、分かった。
同校は管理ミスがあったとして同日の朝会で生徒に報告し謝罪、夜に保護者説明会を開く。
市教育委員会も同日、市議会全員協議会で報告した。

市教委や同校によると、持ち出されたデータは、１学年分個人ごとの中間・期末テスト得点をまとめた成績表と名簿、住所録、学級編成資料。男子生徒２人がパソコン教室で昨年１０月ごろから放課後の部活動の時間に閲覧していたとみられ、４月以降に何回かに分けてＵＳＢメモリーなどの記憶媒体にコピーして自宅に持ち帰った。
さらに別の２人の男子生徒にデータをコピーして渡したという。

５月２５日に「情報が漏れている」と別の生徒が教員に訴え発覚。

業者が調べたところ、本来なら教師用パスワードを入力しないとアクセスできないフォルダーが、生徒用パスワードで開ける状態になっていた。
システムは一昨年９月に更新。
教員側が何らかの設定変更をした際にアクセスが可能になったとみられる。学校はデータの入った記憶媒体や自宅のパソコンの提出を受けてデータを消去した。

校長は５日、取材に対し「学校の管理ミスで生徒に申し訳ないことをした」と述べた。
データを持ち出した生徒には厳重注意したという。
同市教委は「生徒が閲覧できる環境をつくってしまい、ミスを発見できなかったのは学校や教育委員会の責任。
生徒のケアに努めるとともに、教職員を対象にした研修会を開いて再発を防止する」としている。

学校（校長）や教育委員会が「再発を防止する」と言っても、調査段階で業者が調べたらパスワードの設定が混乱していた、と言うのですから技術的には当事者能力が無いですね。

高校では情報の授業が必修になっていて、一クラス４０人が同時にコンピュータ実習が出来るようにコンピュータ実習室があって、ちょっと昔のことを考えると隔世の感というよりもウソみたいといった印象です。

当然のことながら、学校自体でもネットワーク利用環境の整備は進んでいますし、教育委員会は教員１人ずつにメールアドレスを配付することも多いのですが、実情はかなりお寒いところもあります。

学校での事務合理化を考えると、何十人かの教員・職員がいる職場ですから複数の端末を置いて、サーバに情報を集中して、ネットワーク構築をしなければならない。となりますが、学校でネットワーク管理を任せるのが適任の方、となると情報の先生が当てられてしまうことがあります。

情報の授業をする先生が、ハードウェアの故障診断から工事に至るまで担当しているのが現実で、ネットワーク環境を活かすことが出来る可能性はあるとは言えますが実際には「担当者が多忙で」とかなっても不思議ではありません。

こんな実情なので、教員が学校でメールを使う（メールアドレスを取得する）のも個々の事情によるとされていて、必ずしもメールが機能していない学校も少なくありません。
また、中途半端にネットワークが機能しているので、メールを受信する専門の担当者が印刷して宛先の先生に配付する、なんてこともありネットワーク活用とは言い難い状況もあります。

問題の中学校で事務管理と授業用の情報が同一ネットワークに流れていたこと方が問題じゃないかと思います。
学校・教育委員会の認識は「間違えないようにする」なのだと思いますが、人間は間違えるものだ、間違えても重大事故にならない、という対応こそが大事でどうも基本的なところを理解していないのではないか？と感じます。

6月 6, 2007 at 10:44 午前セキュリティと法学, ネットワーク一般論, 教育問題各種 | Permalink | コメント (4) | トラックバック (0)

2007.03.29

大塚商会から情報流出・Winny

INTERNET Watch より「大塚商会、有力見込先5,488社の情報がWinnyで流出」

大塚商会は28日、5,488社分の企業情報がファイル交換ソフト「Winny」を通じて流出したことを明らかにした。
同社社員の私物PCが、Winnyを通じてウイルスに感染したことが原因だという。

流出したのは、2001年度における兵庫県の企業5,488社分の情報で、同社が有力見込先として市販の企業データなどから収集していたもの。
社名、住所、電話番号、代表者名などが含まれていた。該当する企業に対しては、個別に連絡するほか、専用窓口を設けて問い合わせに対応する。

今回の流出を受け、セキュリティや関連法規に精通した学識経験者、技術専門家で構成する諮問委員会を4月中旬までに設置し、管理体制や情報システムの総点検を実施する。
また、社員が所有する私物PCについても、専用ツールを用いて定期的にデータの監査するとしている。
今回の流出に関係した社員とその上位役職者に対しては、社内規程に基づき懲戒処分を行なうという。

大塚商会では、業務関連情報の社外持ち出しや私物PCの業務利用のほか、Winnyの利用についても禁止していた。
なお、同社はWinnyがインストールされたPCを検知するなどの情報漏洩対策サービスを提供しており、Webサイトでは「P2P型ファイル共有ソフトによる情報漏洩対策は『使わない、使わせない』が一番」などと記載していた。

大塚商会は「情報流出についてのお詫びとお知らせ」を発表していて、全体としては最善の対応のように見えます。
しかし、大塚商会に管理を任せているところも多いことを考えると企業イメージには相応のダメージがあるかもしれません。

それ以上に問題なのは「大塚商会をもってしても社員の行動までは規制しきれなかった」でしょうか？

大塚商会の発表によると

データを自宅に持ち帰り
個人パソコンに読み込んだ
パソコンウイルスに感染した

この事実に対して、大塚商会は

データの持ち帰りを禁止していた
個人所有のＰＣに業務データをコピーすることを禁止していた
Winny なんかインスートルしないのが一番とアドバイスしていた

というのですから、会社の方針を個人に徹底することの難しさを改めて知らせる事件といえるでしょう。

もう１０年ぐらいこの種の問題については勉強しているわけですが、わたし自身も管理者・責任者としての見方しかしていなかったような気がします。
今回の大塚商会の「P2P ソフトなどインストールするな」という説明も「流出したら大変ですよ」という説明とセットになっていたはずですが、考えてみると「大変なのは責任者」であって、実行した社員の方はそんなことを考えないからやっちゃうのでしょう。

なにしろ、「データ持ち出し禁止を破って」→「個人のＰＣにコピーした」というのですから、もし情報窃盗罪があれば犯罪ですよ。
責任ある立場あれば、普通は業務データと P2P を同居させることはしないでしょう。
なぜこの社員はそういうことをしてしまったのか？今やこの部分に着目して対応策を考えるべきでしょう。

3月 29, 2007 at 10:08 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (1)

2007.01.25

欧州委員会の制裁金決定に関連して

朝日新聞より「三菱・東芝など重電１０社に制裁金１２００億円　ＥＵ」

欧州委員会は２４日、変電所設備の納入を巡る国際カルテルで三菱電機、東芝など日本の５社を含む日欧の重電企業１０社に総額７億５０７１万２５００ユーロ（約１２００億円）の制裁金を科すと発表した。
単独のカルテルに対する制裁金としてはＥＵで過去最高という。

日本企業の制裁金は、

三菱電機　　１億１８５７万５０００ユーロ（約１９０億円）、

東芝　　　　　　　９０９０万ユーロ（約１４０億円）、

日立製作所　　　５１７５万ユーロ（約８０億円）

富士電機（現富士電機ホールディングス〈ＨＤ〉）

日本ＡＥパワーシステムズ（富士、日立、明電舎の合弁企業）も対象になった。

最高額は独シーメンスの３億９６５６万２５００ユーロ（約６２０億円）でほかにアルストムなど仏３社とオーストリアの１社が含まれている。

欧州委によると、１９８８～２００４年に、変電所のガス絶縁開閉装置の価格を事前に話し合ったり、入札地域を決めたりしていたという。
日本企業は欧州での入札を見合わせ、欧州企業は日本市場に参入しなかった。
欧州委は「日本企業は参入見合わせで欧州市場での競争を阻害した」と判断。制裁金は主導性や企業規模、カルテルに加わっていた時期などで決めたという。シーメンスは欧州司法裁判所に提訴するとしている。

カルテルにはスイスの重電大手ＡＢＢも加わっていたが、欧州委に情報を提供したため、制裁金は免除された。

東芝は「欧州委の調査に協力してきたが、当社の調査では欧州競争法に違反する行為を行っておらず、今後、欧州裁判所で争っていく方針」とのコメントを発表。
三菱や日立も「内容を精査した上で、提訴も含めて対応を検討していく」との考えを示した。

一方、富士電機ＨＤは「内容を精査した上で公正に対応していきたい。決定内容や社内調査の結果を踏まえて、社内処分、再発防止の徹底を行う所存」とした。

読売新聞より「絶縁装置でカルテル、ＥＵが日欧１０社に巨額制裁金」

制裁対象の日本企業は、三菱電機、東芝、日立製作所、富士電機ホールディングス、日本ＡＥパワーシステムズ。
欧州委は、１０社が１９８８年から２００４年にかけ、ＧＩＳの入札過程で情報を共有したうえで落札価格を事前に相談したほか、落札企業の順番を決めた合意を交わしていた、としている。

合意には、日本企業が欧州市場に参入せず、欧州企業が日本市場に参入しないことを互いに約した文言も含まれていたという。

ＮＨＫニュースより「ＥＵ日欧企業に巨額制裁金」

ヨーロッパ側の企業と日本側の企業が、それぞれ相手の市場で販売活動を行わないことも申し合わせていたということです。
ヨーロッパ委員会は、情報を提供したスイスの１社を除く１０社に対して、総額７億５０００万ユーロ余り、日本円にしておよそ１２００億円の制裁金を科すことを決めました。
これは、ヨーロッパ委員会が単独のカルテルに科す制裁金としては史上最高額だということです。

これに対し、１０社の中で最も高額の制裁金を科されたドイツのシーメンスは「事実認定に誤りがあり、制裁金額が高すぎる」として、処分の見直しを求めてヨーロッパ司法裁判所に提訴する方針を発表しました。

けっこう話が混乱気味ですが、問題になった「ガス絶縁開閉装置」とはこのページの写真が代表的なものです。タンクの中にガスを入れて大電力に対応するスイッチを作る、という技術です。
重電機の代表ですが、大きな物を鋳造するので東芝や日立が先に出てくるのでしょう。

さて、その上で今回の日本企業に幅広く制裁金を科する決定はどんなのものか？と思います。
朝日新聞は、どちらか言うと「日本企業が悪い」といったトーンの記事と読めますが、読売新聞の記事では「日本企業はヨーロッパでは売っていないが・・・・」となっていて、さらにＮＨＫニュースでは「シーメンスが事実認定が違い、制裁金が高すぎる」となっています。

現実問題として、変電所の設備ですから日本企業がヨーロッパで商売するのはほとんど無いのは確実でしょう。特に「ガス絶縁開閉装置」だけのビジネスというのは考えにくい。
一方で、欧州委員会の主張は「市場参入しないことを申し合わせていた」とのことですが、法律的に「○○をしない」という文章が違法の証明になるのでしょうかね？

法的判断では「無いことの証明」は「悪魔の証明」と呼ばれ不可能であるから採用しないとなっています。
無いことを証明するのはあまりに広範囲になるので不可能だが、あることの証明なら一つだけだから簡単だ。との原理です。
今回の「市場参入しない」という文章や文言はこれにちょっと近いかと思います。
つまり、問題の文章がなければ日本企業は参入したのだろうか？ですが、上記に書いたようにかなり難しいのではないか？と思うところがあります。
さらに実際には参入しなかったことが参入の可能性があるすべての企業に制裁金を課するとなったので、東芝・日立から始まって、すべての企業に課徴金となっています。
これは「やっていないことに処罰」となるとこうならざるを得ない証明でしょう。

この問題は、日本では安倍首相が他のほとんどすべてが反対しているのに成立を指示したことでまたまた有名になった共謀罪の適用にかなり近いでしょう。
共謀罪は「やっていなくても話したら処罰」ですから、欧州委員会の制裁と原理的にはかなり近い。

近年、法の厳しい適用が求められる傾向がありますが、痴漢えん罪などでもこの手の「やっていないことを証明せよ」的な法的判断が多くなってきた、と感じます。

今回の欧州委員会の決定は色々なことを考えさせてくれました。

1月 25, 2007 at 09:42 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (1)

2007.01.10

通信の秘密は未定義なのか？

昨日の夜は情報ネットワーク法学会の勉強会でした。

内容はミスターＩＴこと高橋郁夫弁護士のプレゼンテーションでタイトルが「通信の秘密の数奇な運命」というものでした。

高橋弁護士とはずいぶん前からの知り合いで、あちこちでお目にかかっている間柄です。
タイトルだけでは内容はさっぱり想像がつかないのですが、高橋弁護士のお話なら面白くないはずもない。ということで出かけました。

実は情報ネットワーク法学会の総会以外の会議に参加したのは今回が初めてです。
ざっと２０人ほどの勉強会でしたが、目からうろこと言うかものすごいお話を伺いました。

ネットワーク管理者として何かと考えなくてはならないことも一つに「通信の秘密」があります。
高橋弁護士のプレゼンテーションは、この「通信の秘密」というものが法律的にどういうことなのかを憲法の成立時点にまでさかのぼって解き明かしてみるというものでした。

一般的な理解として通信の秘密は憲法２１条によるとされています。

第二十一条

集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。

検閲は、これをしてはならない。

通信の秘密は、これを侵してはならない。

これを素直に読むと、通信の秘密は表現の自由の中に含まれていると、なってしまいます。
つまりあまりよくわからない。

帝国憲法では現憲法の通信の秘密に相当するのは

第26条

日本臣民ハ法律ニ定メタル場合ヲ除ク外信書ノ秘密ヲ侵サルヽコトナシ

となっていて、いわゆる信書の秘密にあたります。

そこで、通信の秘密とは「通信の本文＝コンテンツ」と「通信をしていることの情報」のどちらなのか、あるいは両方なのか、が問題だとされます。

通信の秘密を守る側の立場から言うと、通信をしているかしていないか自体を明らかにしないとされますが、DDoS攻撃対策やWinny対策は、通信をしているという事実をもとに、通信を遮断するといったことをプロバイダーが行う、とされています。
ここで通信をしている事実（高橋弁護士によると「トラフィック」）は通信の秘密に当たらないとすることで初めて対策できるとなります。

ネットワーク管理といった実務の観点からいうと、法律の専門家あるいは国がここら辺について明確な説明をしていないことが気になっているわけですが、高橋弁護士のプレゼンテーションによるとなんと憲法制定時にまでさかのぼっても、実は議論がされていなくて「通信の秘密とは何か」は憲法にはないも同然となるそうです。

この憲法で通信の秘密を明確に定義していないことが、刑法や通信に関する法律が、通信の秘密を明確に定義していない、当然通信の秘密を侵すことが何かわからない。というヘンテコな事態を引き起こしています。

確かに通信の秘密というものがはっきりしなかったことはよく承知していますが、なんとこれら憲法にまともに転院されていないし。元をさかのぼっても、まともに議論していなかったらしい。ということが、分かってきました。大変に興味深くも、びっくりするプレゼンテーションでした。

1月 10, 2007 at 09:04 午前セキュリティと法学 | Permalink | コメント (1) | トラックバック (1)

2006.12.26

発信者情報開示のための新たな手続き？

毎日新聞より「発信者情報：同意なしで開示へ　ネット被害で業界が新指針」

インターネット上のプライバシー侵害や名誉棄損について総務省と業界団体は、情報を書き込んだ発信者の同意がなくても被害者に発信者の氏名や住所などを開示する方針を固めた。

業界は総務省とも協力し、同法に基づく自主的な発信者情報開示のためのガイドラインを策定することを決めた。
原案によると、他人の氏名や住所、電話番号など個人を特定する情報を掲示板などに勝手に書き込む行為を幅広く「プライバシー侵害」と認定。
個人を名指しして病歴や前科を公開することも含まれる。

こうした場合にプロバイダーが被害者からの要請を受け、発信者の同意がなくても、その氏名や住所、電話番号、電子メールアドレスなどを開示できるようにする。

一方、名誉棄損については、プロバイダーによる任意の発信者情報開示をあまり広く認めると「政治家や企業経営者らの不正や問題点の内部告発までネット上からしめ出す懸念もある」（業界団体幹部）と判断。
これまでの名誉棄損裁判の判例も踏まえ、公共性や公益性、真実性などが認められない個人への誹謗（ひぼう）や中傷に限って自主的な開示の対象とする。

被害者は裁判で発信者情報の開示を求めることが多かったが、悪質な書き込みをした発信者を早急に特定し、損害賠償請求できる可能性も高くなるとみられる。

業界と総務省は一般からの意見も募集したうえで、早ければ来年２月にも導入する方針。

直観的にはすごくわかりにくいニュースで、プロバイダー責任制限法では「発言削除」と「発信者情報開示」の二つに大きく分かれていました。
実務的には、「発言削除」と「発信者情報開示」では「発信者情報開示」の方が重大視されていて、発信者情報を開示してしまうと取り消すことができないために手続きを厳重にするべきだ、となっていました。

上記のニュースでは一見発信者情報開示を簡単にしているように見えて、ちょっと違和感があったのですがよくよく読むと発信者情報開示のための手続きとして「プライバシー侵害」を新たにつくるということのようです。

プロバイダー責任制限法はプロバイダーなどに法律的な判断をさせるという意味で、実務的には極めて難しくまた法的な根拠もあいまいでかなり問題があると思っています。

その上にさらに難しい手続きを決めるというのでは、現場はちょっとやっていられないでしょう。
どうもうまくいくとは思えません。

12月 26, 2006 at 09:00 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (1)

2006.12.14

Winny 判決

昨日（2006/12/13）は Winny 裁判の判決が京都地裁であった。
求刑が著作権法違反幇助で懲役１年に対して判決は罰金１５０万円であった。
金子被告は即日控訴した。

新聞の社説を集めてみた。

日経新聞社説　　　「技術も配慮したウィニー判決」
読売新聞社説　　　「技術者のモラルが裁かれた」
朝日新聞社説　　　「ウィニー有罪　開発者が萎縮する」
サンケイ新聞社説　「ウィニー判決　開発意欲そがない議論を」
毎日新聞社説　　　「ウィニー有罪判決　実態は変わらないむなしさ」
東京新聞社説　　　「ウィニー判決　ソフト開発にも良識を」

タイトルだけでも色々な社説があり、この裁判の影響が多岐に渡る複雑なものであることが分かります。
現時点では判決文の全文を見ていないのでわたし自身の判断は後にしますが、社説の中から注目するところをピックアップすると。

日経新聞社説より

ウィニーを巡っては防衛庁の機密情報が流出する事件も起きており、元助手の責任は免れないだろう。

２年前に京都府警が元助手をほう助の疑いで逮捕した際、技術開発を萎縮させるという批判の声が上がったが、判決は「技術を提供すること一般が犯罪行為になりかねない無限定な範囲拡大は妥当でない」と枠をはめた。

そのうえで、元助手が「著作権を侵害する状態で利用されるのを十分認識しながらソフトの公開を続けた」ことに違法性があると判断した。
技術開発の有用性を評価しつつ、技術を悪用した違法行為を抑止する点で、妥当な判決だといえる。

読売新聞社説より

技術者のモラルを重く見た判断と言えるだろう。

技術開発に当たって技術者は「暗」の側面を自覚する必要がある、というメッセージだろう。
ウィニーに限らない。科学技術の研究開発に携わる者にとって共通に求められるモラルだ。

今回の判決で技術者が委縮するという指摘もある。だが、同種ソフトの開発は止まっていない。心配は無用だろう。

朝日新聞社説より

運転手が速度違反をしたら、速く走れる車をつくった開発者も罰しなければならない。

そんな理屈が通らないのは常識だと思っていたが、ソフトウエアの開発をめぐってはそうではなかった。

新しい技術を生み出した者は、それを悪用した者の責任まで負わされる。
こんな司法判断では、開発者が萎縮（いしゅく）してしまわないか。納得しがたい判決である。

ファイル交換ソフトの開発者が刑事責任を問われたのは韓国と台湾で計３件あり、それぞれで１件ずつ無罪判決が出ている。
問題のソフトでは著作権を侵害しないよう警告しており、合法的な情報も流れている。
それが無罪の理由だが、こうした事情はウィニーも同じだ。

サンケイ新聞社説より

ソフトが悪用された場合、その開発者も刑事責任を問われるのか－。

弁護側は、「刃物を作った人が、その刃物が使われた事件の責めを負うのと同じ」と主張、終始無罪を求めてきた。
これに対し判決は、被告側に違法行為が行われるとの「十分な認識、認容」があれば、たとえ技術自体は中立的価値があるにせよ罪を問われるとの判断基準を示した。

その上で、ネット掲示板への書き込みなどから、被告が違法コピーに利用されると知りつつウィニーの改良を繰り返していたと認定しており、有罪の判断は妥当な流れといえよう。

ただ判決は同時に、ウィニーを「多方面に応用可能な有意義なもの」と認め、「技術の提供一般が犯罪行為となりかねないような無限定な幇助犯の成立範囲の拡大は妥当ではない」との判断も示している。
取り締まり当局にも一定の枠をはめ、健全なソフト開発の意欲まで阻害することがないよう慎重な対応を求めたものであり、バランスのとれた判断として評価したい。

しかし、今回のように被告の発言などから違法行為への認識を証拠立てられる場合はむしろ例外といえる。
匿名性が特性の一つでもあるネット社会では、たとえそれが明確な意図で行われた違法行為であれ、実行者の特定は極めて難しいのが実情だ。著作権問題にしても激しい変化に法整備が後手に回っている観は否めない。

毎日新聞社説より

判決は「利用者の多くが著作権を侵害することを明確に認識、認容しながら公開を継続した」と述べ、著作権法違反のほう助にあたると認定した。

著作権侵害は、映画などコンテンツ産業に大きな被害を与えている。断じて容認するわけにいかないし、ソフトウエアの開発者の倫理も問われている。

判決はネット社会のひどい現状に警鐘を鳴らしたとも言える。しかし、これによってネットでの著作権侵害の実態が大きく改善するかというと、そうならないだけにむなしさが残る。

新技術が後に及ぼす影響について、開発者が事前にすべてを予測することはできない。
元助手が逮捕され、さらに有罪と認定されたことによって、ソフト開発にマイナスの影響を及ぼすなら残念だ。

技術が先に進み、法制度が想定していない世界が誕生してしまったというのが、ネットの実態だろう。
元助手は即日控訴したが、著作権管理のあり方も含め、ネット社会に対応した仕組みを築くことが必要だ。

東京新聞社説より

判決は、「ウィニーの技術自体は有意義で、価値は中立的」と述べ、著作権侵害に悪用されなければ、社会に貢献するソフトとなる可能性を秘めていたと積極的に評価した。

しかし、元東大助手の金子勇被告が開発したウィニーが流通した結果は、あまりに破壊的だった。

何者かがウィニーに取り付くウイルスを開発してネット上に流したため、ウィニーを組み込んだパソコンから、個人情報や企業秘密が流出する事件が続き、情報流出の被害は警察、陸海空自衛隊、原子力発電所、学校など広範囲に広がった。

判決は、「被告はウィニーをホームページ上に公開し、悪用者の著作権法違反を容易にし、犯行をほう助した」と認定。
被告弁護団の主張も考慮したうえで、ソフト開発の自由と社会秩序のバランスを視野に入れ、社会秩序の方を重視する立場を取った判決といえる。

だが、デジタル技術が急速に進歩する中で、現状の著作権保護のあり方に再検討の必要性を訴える被告の主張には十分耳を傾ける価値があるのではないか。

控訴審では、検察・弁護双方の主張を通し、デジタル時代にふさわしいソフト開発のあり方を示す結論が得られることを期待したい。

いくつかの社説がウイルスによる情報流出を問題にしているが、これはちょっとひどいだろう。
現象面としてもセキュリティーホールによる情報流出が沢山あるわけで、別に Winny だからということではない。
むしろ社会に一般に誤解を生じさせるミスリードの可能性も高い。

それにしても、これらの社説は刑事裁判に対する評価と言えるのだろうか？大いに疑問がある。

12月 14, 2006 at 09:52 午前セキュリティと法学, 事件と裁判 | Permalink | コメント (4) | トラックバック (2)

2006.12.02

一日中法律

今日（１２月２日）は情報ネットワーク法学会の年次総会 & 研究大会で筑波大学に行ってきました。
例によって、岡村先生、町村先生、丸山さん、小倉弁護士、高橋弁護士、鈴木先生、須賀先生といった顔なじみの方々と「どもども」とかやってきました。

つくばエクスプレスで行きましたが、最初はどう乗り替えるのがよいのか良く分からない。
見慣れているのは秋葉原ですが、そもそも秋葉原は田園都市線からは行きやすい場所ではない。
田園都市線は半蔵門線になって押上から東武線になって北千住に行くから、そのつもりだったのだけど乗換案内では大手町で日比谷線に乗り替えろ、と出たからそれに従いました。

まぁつくばエクスプレスの速いこと、あっと言う間につくば駅。
７時に自宅を出て９時にはつくば駅だから、ラッシュは強烈かもしれないが通学可能範囲だね。

情報ネットワーク法学会は５年になるそうで、わたしは最初から入会していますが、今回は事務合理化をしたそうで、かなり立派に安定した運営になりそうです。
ちょっと興味のある方は入会すると面白いですよ。

午前中のセッションはコーディネターがニフティ社の丸橋氏
「拡大するカラオケ法理とその限界ついての一考察」　神奈川大学　奥邨広司

「Aninymity Provider の法的責任」　小倉秀夫

「プロバイダ責任制限法における発信者情報開示における実務的な問題」　壇俊光

でした。わたしには大変に興味深いテーマで面白かった。
とは言え、現状は色々な方面に発散中でまだまだ混乱は続くといった感じですね。

その後、高橋弁護士、小倉弁護士などと六人でラーメン屋に。
小倉弁護士とネット上には出せないような話をして、司法修習生を煙に巻いてしまった。（^_^）

パネルディスカッションはαブロガーがメディアを語るといったものでしたが、パネラーが以前は新聞社という人ばかりでなかなか面白かったのですが、１６時半に中座して霞ヶ関に戻ってきました。

町村先生「つくば」、落合弁護士「情報ネットワーク法学会・研究大会（筑波大学）」、といった記事が早くも上がっています。

霞ヶ関まで一時間ちょうどぐらいで着いて「近未来通信に関する被害者説明会」を覗いてきました。

消費者被害問題の集会は何度か見たことがありますから、ある程度集まる人の数とかはザッと予想するのですが、報道にありますが７００人越えとかでマスコミもものすごい数がいてビックリでした。

わたしの興味は、この事件のニュースがあまり細かい事情が分からないと思っていて、説明会なのだからもっと細かい情報が出てくるのかな？と思っていましたが基本的には報道の範囲でした。

色々な情報からわたしも確信的な詐欺であると考えています。
弁護団は「詐欺と考えて刑事告訴と破産申し立てをする」と述べていました。

そんなわけで、今日一日でものすごい数の弁護士という人を見たことになります。（^_^）

12月 2, 2006 at 11:50 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2006.12.01

住基ネット離脱容認・高裁判決

読売新聞より「大阪高裁、住基ネット離脱を容認　情報保護に欠陥」

住民基本台帳ネットワークシステム（住基ネット）はプライバシー権を侵害し違憲だとして、大阪府箕面（みのお）市など府内５市の住民１６人が、住民票コードの削除や損害賠償などを求めた訴訟の控訴審判決が３０日、大阪高裁であった。

竹中省吾裁判長は「住基ネット制度は、個人情報保護対策の点で無視できない欠陥があり、プライバシー権を侵害している」と述べ、住民側の請求を棄却した１審・大阪地裁判決を変更、箕面、吹田、守口の３市に、住民４人のコードを削除し、住基ネットからの離脱を認める判決を言い渡した。

住基ネットからの「個人離脱」は昨年５月、金沢地裁が初めて認定。高裁レベルでは初めて。

判決はまず、「住基ネットが、情報漏えいや目的外利用によって、本人が情報の提供や利用の可否を決める自己情報コントロール権（プライバシー権の一つ）を侵害される具体的な危険があれば、憲法１３条に反する」との基準を示した。

竹中裁判長は「住基ネットは厳重なセキュリティー対策が講じられ、情報漏えいの危険性はない」と評価。一方で、行政機関が保有する本人確認情報を利用できる国の事務が拡大され、行政機関自ら法律や条例で将来、無制限に拡大できる点を指摘した。

さらに、防衛庁が自衛官の適齢者情報を収集した自治体のうち、３分の１以上が住民基本台帳法で閲覧が認められていない情報を提供していた実例も挙げ、「個人情報が際限なく、目的外利用される危険性が具体的に存在することをうかがわせる」と認定した。

これらの点から、竹中裁判長は「集積された個人情報が、住民票コードによる検索でデータ照合や名寄せが行われ、本人の予期しない時に予期しない範囲で行政機関に保存・利用される危険がある」とした。

そのうえで「目的外利用を監視する第三者機関はなく、住基ネットの運用は、自己情報コントロール権を著しく侵害するものと言わざるを得ない」と結論付けた。

南山大学の町村先生が

自己情報コントロール権の
強い差止権能を正面から認めた
高裁レベルの判断として、注目に値する。

とコメントされています。
全く同感で、注目しています。

この判決では「住基ネットの運用は、自己情報コントロール権を著しく侵害するものと言わざるを得ない」となっていますが、自己情報コントロール権に完全な差し止め、つまり他人に自分の自己情報を渡さない権利というのものがあるという観点のように読めます。

個人情報保護法の説明をしていたときに、個人情報とは社会に知られて始めて意味が出てくるのであって、社会と絶縁しているのなら個人情報という概念が元々無い世界になってしまう。と説明していました。

わたしは現実的には個人情報を保護するべき情報と公開して良い情報に分けて考えるべきだろうと思っています。

まず個人を特定するとは社会で他人と自分を分けるというのが基本だから、完全に姿を消すというのはあり得ないと考えます。
その中で、一般的に言えば住基ネットが扱う個人情報の４情報（氏名、生年月日、性別、住所）をことさら保護しなければならないというのはかなり特殊な場合でしょう。
実際問題として、氏名・生年月日・性別・住所を隠したらほとんどの契約が出来ません。だから「住基ネットだけには知らせない」という論理が必要になって、これ自体がかなり無理ですね。

しかし、その逆にわざわざ住基ネットを作っていったいどういう意味があるのか？とは強く思います。

それやこれやで、色々な議論が展開できますが、今回の大阪高裁の判決が住基ネットからの離脱の条件に自己情報コントール権を持ってきているのはどうか？という気もします。

なぜなら、自己情報コントロール権は絶対的なものではない。かなり相対性が強いものだと考えています。
こういう観点からは、自己情報コントール権は認めるが、住基ネットは４情報限定だから、コントール権の範囲外だという展開はありそうです。
むしろ、個別の事情によって離脱できる、とした方が実際的だったのではないだろうか？

それにしても住基ネットの一番の問題は「使い道がない」だと思う。
確か、北陸だったと思うが高齢者ドライバーの免許証返納運動として住基ネットカードと引き替えサービスをやったところ返納が大変に増えた、という記事がありました。
公的身分証明書になるという意味です。
その程度のモノですからねぇ。こんな仕組みを維持することに意味があるのでしょうか？

12月 1, 2006 at 11:02 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (1)

2006.10.27

２月２日は情報セキュリティの日なんだって

サンケイ新聞が始めた iZa（イザ）にはまっております。
基本的にはニュースサイトなので ZAKZAK と同じようなものですが、ブログ機能があって記事に直接コメントできます。
さらに面白いのは、記者プログがあって新聞記事にはならないような取材メモを元にしたブログが沢山あってこれが面白い。

最近になってチョコマカ見るようになったのですが、ヘンなのを見つけた。

夜討ち朝寝坊日記より「情報セキュリティの日」

本日開催の第８回情報セキュリティ政策会議（議長・塩崎恭久官房長官）で、２月２日を「情報セキュリティの日」と定めることが決定されました。

この「情報セキュリティの日」を記念し、情報セキュリティの重要性への認識を広めるため、この分野で貢献のあった団体・個人へを表彰するほか、シンポジウム、セミナー、フォーラムなどなど全国で関連イベントを行いたいとのこと。しかし、主催者やスポンサーを募集中で概要はどうも未定のようで、メディアにぜひエントリー願いたいという話なのです。

きちんと知りたい方は内閣官房情報セキュリティセンター（ＮＩＳＣ）のホームページへ。

（°Д°)ﾊｧ？　なわけです。

それで「内閣官房情報セキュリティセンター（ＮＩＳＣ）」を見に行きましたよ。
（リンクを貼ってない、佐々木記者にも？？？ではありますが、検索すればすぐ出てくる）
さらに「第８回会合（平成１８年１０月２５日） NEW」という見たらＰＤＦで報道発表資料が並んでいた。

第８回会合（平成１８年１０月２５日）会議終了後の報道発表資料

議事次第

資料１－１「セキュア・ジャパン２００６」の進捗状況について
資料１－２「セキュア・ジャパン２００６」に盛り込まれた施策の実施状況
資料２－１「情報セキュリティの日」の概要
資料２－２「情報セキュリティの日」について（案）
資料２－３情報セキュリティの日功労者表彰要綱（案）
資料２－４情報セキュリティ政策会議の後援等名義の使用について（案）
資料３江畑構成員意見
資料４小野寺構成員意見
資料５金杉構成員意見
資料６野原構成員意見
資料７前田構成員意見
資料８村井構成員意見

これが全部ＰＤＦだから、全部を見る気にはならないわけで、とりあえず「資料２－１「情報セキュリティの日」の概要」を見てみた。

表彰ねぇ？そりゃまぁ一生懸命やってきた人たちは何人も存じ上げているけど、インターネットに限って言えば広義のセキュリティは大勢のボランティア管理者によってブラッシュアップされてきたのであって、誰かが旗を振ったというのとは違うだろう。
かなり多くの人が「あなたを表彰します」と言われたら断るのではないかな？

10月 27, 2006 at 08:05 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2006.09.10

面白い法律対談

「壇弁護士の事務室」に紹介があった「【談話室たけくま】日本の著作権は「鹿鳴館」である」

これは、著作権法というわけの分からない法律のできあがりの過程などを説明した竹熊健太郎氏と白田秀彰氏の対談記事です。

第一回が掲載で現在は（第２回に続く）となっていて期待が持てます。面白いところは。

フランスの国立視聴覚研究所が、過去制作された10万本のテレビ・ラジオ番組を、ほとんど無料で公開

日本（の著作権法)はドイツ（ベルヌ条約）ですね。

江戸時代の書籍商組合である「本屋仲間」というものがありまして、そこで版木に関する権利を検閲と引き換えに認めてきた、ということがあったみたいですね。版権という言葉は無かったと思います。「権利」という概念も西洋法からの借り物ですから。ただ、確実に言えることは、「株」という言葉があったということですね。個別の作品に対する版元の権利よりも、もっと広いイメージです。

9世紀ころに各種法典をつくるときに、いったんそれまで国に存在していた、各種の実行されている法律を分析して、どんどん抽象化していった結果、それぞれの国に固有の法概念とか、法のベースになるものを発見した、と19世紀の学者さんたちは考えた。当時は観念的な法律学がはやっていたんです。そこでどうなったかというと、網羅しているはずだから、それから漏れるものは論理的にあり得ない、どんな新たな事件が発生してきても、既存の法律の推論で説明がつくんだという言い方をしたわけですよ。

「今の法律はおかしいから、もう壊してつくり直しちゃえ」なんていうことは、法律学の負けを認めることになる。現行法がおかしいからといって、まるっきり作り直すということであれば、じゃあ、改正前の法律に基づいて裁かれた人たちへの正義はどうなるか、という疑問も生まれてくる。

結局は田舎の温泉旅館みたいになっていくわけですよね。

めちゃくちゃな話なんですけど、独自の言語体系として存在することに法律学の価値があるんですね。

といったところですね。
「法典」の意味がそういうことだったのか、とは初めて知りました。
まぁ確かに「今までの法律は、概念として無かったことにする」とか突然変更になっても困りますよね。
だからどっちかという解釈を拡大しつつ、綿密になっていって、結果として専門家じゃないと分からない、という展開になっているのでしょうか？

9月 10, 2006 at 03:33 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2006.06.13

４００万人情報漏れ

読売新聞より「ＫＤＤＩで４００万人分情報漏れ、恐喝未遂の２人逮捕」

「ＤＩＯＮ」に加入する顧客情報のうち約４００万人分が外部に漏えいし、これを入手して同社から現金を脅し取ろうとしたとして、警視庁捜査１課と麹町署は１３日、職業不詳の男２人を恐喝未遂容疑で逮捕した。

２００３年１２月時点の全顧客情報で、システムルーム内のパソコンからデータが抜き取られた可能性が高い。
このパソコンを使うには専用のパスワードが必要なことなどから、同課は、内部関係者が犯行に関与した疑いが強いとみて、流出ルートの解明を急いでいる。

流出したのは顧客の名前、住所、電話番号など。
クレジットカードや銀行口座の番号などは漏れてはいないという。

これまでに明るみに出た個人情報流出としては、０４年２月に発覚したインターネット接続サービス「ヤフーＢＢ」の顧客情報約４５２万人分の流出に続き、過去２番目の規模となる。

２人は５月３０日、ＫＤＤＩ本社に電話を入れ、同社の携帯電話サービス「ａｕ」の顧客データ４４０万～４５０万件を入手したとして、「ＫＤＤＩから流出したと思われる」などと通告。その後、同社を計３回にわたって訪れ、データ入りの書き込み可能ＣＤ（ＣＤ―Ｒ）などを持ち込んだ。

要するに脅迫されたから流出が発覚した、ということなんでしょうかね？
確かに、２００３年１２月ころとなると、個人情報保護法対応で監視カメラを配備するとかというブームの前ですから盗難が記録されていなかったかもしれませんね。
それにしても、これだけの時間が掛かっているとなると、情報としてはすでに出回っている可能性が大きいでしょうね。
ＫＤＤＩが全く気づかなかったというのはちょっと思えないんですがねぇ。

しかし、この脅迫犯はババ抜きの負けなんじゃないでしょうかね？それにしても、４００万人分とは驚いた。Yahoo!BB 事件の時には後になったら結局のところまるでガードしていなかったと分かって「なんだ？これは！！」といったところでしたが、今回はパスワードが掛かっていたとのことですが、また「変更していなかった」じゃないでしょうね。
情報管理という点では２００４年後半ぐらいにならないと、証拠保全などといった配慮をしていなかったということですかね。情報待ちですね。

6月 13, 2006 at 10:29 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (1)

2006.05.09

ウイルス対策ソフトの押し売り？

IT+PLUS より「「ウイルス対策ソフト」の押し売りに注意・ＩＰＡが警告」

情報処理推進機構（ＩＰＡ）は２日、「セキュリティー対策ソフト」と称するソフトを押し売りしようとする行為がインターネット上で発生していることについて警告を出した。
サイトを閲覧している際に、パソコンに勝手にプログラムがダウンロードされ、そのプログラムがウイルスに感染しているという偽のメッセージを出して、対策ソフトの購入を迫るという。
ウイルス対策ソフトという名目で売りつけようとするソフトの金額は5000-6000円程度で、クレジットカードによる購入をしつこく迫る。

いやはや、なんともすごい話だと感心してしまう。
自分でも絶対に大丈夫とは言えないと自覚していますが、それなりに勉強というか情報収集をした上でそれでも「絶対とは言えない」と考えているわけで、ちょっときわどい時代になってきたな、と思いますね。
情報交換できる立場に居ればなんとなく分かるものだと思いますが、多くの方にそういうチャンスは無いわけで、そうなると危険だと煽るばかりで不安をかき立ててもインターネットを使わないという非現実的な選択しか解決策がないとなります。
どうしたものでしょうかねぇ？

5月 9, 2006 at 01:29 午前セキュリティと法学 | Permalink | コメント (1) | トラックバック (1)

2006.05.02

バーコード印刷ミス・山梨県自動車税

山梨日日新聞より「自動車税通知書、３９万通にバーコード誤記　県が陳謝、コンビニでの納付できず」

山梨県は一日、自動車税納税通知書約三十九万通のバーコードに誤記載があり、コンビニエンスストアでの支払いができなくなっている、と発表した。
本来は取扱期限を「二○○七年三月十五日」とすべきところ、「二○○六年三月十五日」と記載した。通知書上は取扱期限が既に過ぎているため、バーコードの読み取りができない。
県は各コンビニに対し、誤記した通知書でも納付できるようシステム修正を依頼しているが、当面の間、コンビニ収納はできない見通し。

なるほど「取扱期限を過ぎているから受け付けられない」とシステムが判定したのは、正しい処理でシステムが健全であることを証明したことになりますね。
これに対して「誤記した通知書でも納付できるようシステム修正を依頼」って、そりゃある種のセキュリティホールを作れというのと同じじゃないですか。
誤印刷をチェックしないところから始まって、チェックを外せというのに至るまで何が目的で何をするべきか分かってないですな。
これ意外と対応がやっかいな問題だと思いますがねぇ。

5月 2, 2006 at 08:29 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2006.04.24

掲示板管理者は共謀罪のリスクを負うのか？

「アイコラ・名誉毀損裁判判決」に奥村弁護士からトラックバックとコメントをいただきました。

判決書が待ち遠しいですね。
裁判例を眺めていると、管理者の刑事責任については
１　掲示板管理者の削除義務違反の不作為犯（正犯・幇助）
２　掲示板設置管理を実行行為とする作為犯（正犯・幇助）
３　投稿者との掲示板を介した共謀共同正犯
~~４　設置管理を幇助とする~~
（注記）奥村弁護士から「２とダブっている」とのことで取消線を入れました。
などの切り口があるようです。本件はそのどれないのか？
また名誉毀損罪の保護法益に関連して、いかなる事実を摘示したことになるのかという問題もあります。

わたしも「どういう理屈で、掲示板管理者が名誉毀損の正犯になったのか？」が一番知りたいところです。
奥村弁護士も同じご意見のようですが、法律家は全体として国会で審議が始まる「共謀罪」との絡みで特に最近のインターネットを巡る裁判での判決について危惧を感じているようです。

落合弁護士のブログより「暴走する（？）「共謀」概念」

http://d.hatena.ne.jp/yjochi/20060417#1145282716 の中の「共謀共同正犯の意義と認定（出田孝一）」や、奥村ブログに接したりして感じましたが、共謀概念の主観化が、「希薄化」「形骸化」へと進んでいるようで、強く憂慮されます

落合弁護士のご意見は非常に濃密に書かれていて、是非とも本文をお読みいただきたいと思いますが、ポイントは以下のようです。

実務上、「黙示の共謀」も共謀の中に含まれるものと考えられている
謀議「行為」の存在ということに、あまりにも重きを置きすぎると、共謀共同正犯の本質を見誤ることになりかねない
しかし、「共謀」を主観面のものと捉えると
主観面というものは、目に見えないものであり
慎重な認定が行われないと、「共謀共同正犯として処罰したいと検察庁、裁判所が考えるもの」が共謀認定される
共謀概念の希薄化、形骸化へ向けて暴走しかねない
ここにこそ、現在、反対論が巻き起こっている「共謀罪」の危険性が存在している
非常に安易な共謀認定が行われるようになれば
国家権力なり捜査機関が、特定の人間を共謀罪で葬ろうとすれば
いくつかの共謀の証拠らしきものをそろえることで
簡単に逮捕、起訴し、有罪にする、ということができてしまいます。
インターネットの掲示板運営者と投稿者が、相互に何の人間関係もなく、
単に、掲示板の運営と投稿、という点でしか接点がなくても、
「合意」が認められ共謀認定がなされるという
共謀がそこまで希薄化してしまった世界では
何らかの接点があれば共謀が認定されるという、考えてみれば恐ろしい事態が頻発しかねないでしょう。

直感的には「裁判所はそこまで無茶なことをするか？」と思いたいところで、落合弁護士は現役裁判官の論文にその危惧は十分にある、と論じています。

上記の論文は、現役裁判官によるものですが、共謀概念のそういった危険性に思いを致した形跡は皆無で、
感じられるのは、職業裁判官による共謀認定への絶大な自信であり、上記のような最高裁判例の出現に、よく「強気の刑裁」などと司法修習生に揶揄されるような、
裁判所による一種の独善的な事実認定が今後もその傾向を強め、そこに共謀罪が法制化されるようなことになれば、
確かに、恐ろしくて言いたいことをやりたいこともできない、という治安国家化、警察国家化、ということも、単なる杞憂では終わらないかもしれません。

かつては、こういった危険な流れに対し、いろいろな歯止めとなる勢力があり、国民の支持もそれなりにあって、バランスがとれていた側面もあったように思いますが、
最近は、世の中の流れも変わってきて、必ずしも危険性等に思いが致されることなく、スローガン的な部分に目を奪われてある方向に一気に流れてしまう、という傾向が出てきているような気がします。

かつて捜査機関に身を置いていたものとして、犯罪を的確に処罰し国民の平和な生活を守る必要性は強く認識していますが、「まず処罰ありき」といった傾向には、強く疑問を感じますし、「共謀」の問題（共謀罪の問題を含め）についても、問題意識を持って今後とも検討して行く必要性を感じます。

確かにこういう考察を見ると「さすがに専門家」と思いますし、わたしが素人ながら「この判決はなんだ？」と感じるのもまんざら根拠のないことではない、と分かってきてありがたいことです。

ところで、別の視点からちょっと気になることがあります。
いわば換骨奪胎とでも言うのでしょうが、鈴木正朝新潟大学教授が「法律を実態だけに合わせると、理論的なつじつまが合わなくなる」といった事を述べられていて「なるほど、それが個人情報保護法の混乱の元か」と思ったのですが、共謀罪については元々はアメリカ同時多発テロ（９．１１）以来の、アフガニスタン・イラク侵攻の引き金になった「テロ対策」のいわば超法規的・超文化的（グローバリズム）にアメリカが世界に押しつけたものだと理解しています。

アメリカの超法規的な無理は、グアンタナモ基地への強制収容が国際的に破綻しつつあることなどからも明らかで、全体として法的秩序の再構成といったところに向かっていると感じます。
だからこそ

「今ごろになって共謀罪を推し進めるとはなぜだ？」
と感じますが、これも誰が「都合良く利用してしまおう」としているのではないか？それもインターネット規制の方向で考えているのではない？と強く思います。そしてインターネット規制を是としているのは、主にマスコミではないか？と思うのです。
ＥＦＦ（Electronic Frontier Foundation）を作らねばなりますまい。

4月 24, 2006 at 10:30 午前セキュリティと法学 | Permalink | コメント (1) | トラックバック (3)

2006.04.17

Winny・政府が対策ソフトを作るのだそうだ

日経新聞より「政府、「ウィニー」で総合対策・産官学でソフト」

ファイル共有ソフト「Ｗｉｎｎｙ（ウィニー）」やウイルスによる機密情報流出を防ぐために政府が4月にまとめる総合対策の概要が17日、明らかになった。
新しい対策ソフトを産官学で開発し2007年度から順次、全政府機関に配布する。
個人用パソコンの業務使用制限など対策マニュアルの順守状況を検査する制度を新設する。
情報流出を未然に防ぐ体制の構築を急ぎ、民間企業にも取り組みを促していく。

本質的にソフトウェアとして Winny とは無関係で、Winny 向けの対策というのはあり得ないと思うんですがね。
対策を主唱している人たちが何が問題・どこが問題ということを分かってないんでしょうねぇ。
分かっていないで対策するのは全くのムダだろう。
ちょっと待てとしか言いようがない。

4月 17, 2006 at 04:49 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2006.04.12

金沢市教育委員会教師のＰＣを調査

北國新聞より「全教職員２千人、自宅パソコン「捜査」　金沢市教委　ウィニー被害撲滅へ　退職者も追跡」

金沢市教委は七十九の小中学校、金市工高の全教職員の自宅パソコンに、ウィニーや成績、評価などの個人情報が取り込まれていないか”徹底捜査”する。
データを持ち帰り自宅パソコンで作業するケースもあったが、今後は持ち出しを禁止し、ウィニーが見つかれば削除して漏洩（ろうえい）を防ぐ。
しかし、結果は自己申告制で、新手のウイルスが台頭する心配もあり、ネット全盛期に１００％阻止するのは困難との見方もある。

調査対象は、約二千人の教職員の自宅パソコンと、児童生徒が授業で使う約二千台のパソコンで、十九日までに結果報告を求める。

自宅パソコンの調査は、学級担任はもちろん、英語特区で独自採用した英語インストラクター、校務士、調理士、カウンセラーにまで。本人にウィニー使用の覚えがなくとも、供用する家族が取り込んでいる可能性もあるという。

調査の網は、今春の退職者や市外異動者にまで及ぶ。市教委の監督権限が及ばないためウィニー削除まで指導できないが、教え子の個人情報が残っていないかを照会し、見つかれば抹消してもらう。

授業で使う児童生徒用のパソコンには、「ウィニーや個人情報が入っていることはあり得ない」（市教委）としながらも、念には念を入れて点検する。

校内で使用する公用パソコン約千四百台について、市教委はすでにウィニーが使われていないことを確認済みだ。

学校パソコン持ち出しも一切禁止する。記録などでどうしてもパソコンが必要な場合は、市教委が持ち出し用パソコンを貸し出す。一方で持ち出し禁止による業務上の支障も調べる。

まあ大変だと思いますが、こんなの無理でしょう。

今までだって、警察などは何度も指示を出していたがやるヤツはやってました。ＰＣの所有権が個人にあるからコントロール出来ないのは明らかで、社用のＰＣであれば単にエロ画像を見ていたとして処分される場合にも異議は出ません。

「こんな面倒なことならＰＣを使わない」とかになるに決まっています。全体として極めてバランスが悪いです。

わたしの従姉妹が教員だから何年か前にインターネットに接続すると言い出したときに、インターネット用のＰＣを用意させました。
やる人はちゃんとやっているし、教員に学校がメールアドレスを与えないとか、１０００人ぐらいの人が居る学校という場所にネットワーク管理者を置けない（タテマエだけだったりする）といった根本的な問題に手を付けないわけにはいかない。

市教育委員会がやるのなら、教育訓練に先生を送り出すために予算を使う方が有効ではないだろうか？

4月 12, 2006 at 08:56 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2006.03.21

Winny対策・問題の本質を考える

「愛媛県警事件・どれほどの情報溜めていた？」にコンメントをいただきました。

手に入る限りの情報を溜め込むというのは、適切な検索手段さえあれば非常に便利なんですよ。Google が便利だと言うのと似ているかもしれません。ですから、この例が特殊な性癖をもつ人間の特殊事例というわけでなく、利便性を追求すれば誰でもやってしまうようなことだ思うんです。結局、利便性とセキュリティの間でどこに線を引くかと言う、ごく一般的な問題に帰着するのではないかと... ただ、Winny が動いている PC で作業するのは、公開 Web サーバや匿名 FTP サーバ上で作業すると同じか、もっと危険なわけで、そんなところに機密情報を溜め込むのは、どんな基準でも許されないのですけどね。

意見交換に発展するほどのコメントいただけるのは大変にありがたいことです。

kei-2さんのこのご意見はそれほど突飛ではないというよりも新聞社の意見などとあまり変わりがないと感じます。新聞社の記事には出てこないわたしの意見の方が異端の色彩は強いと思います。

注目したいのは「Winny が動いている PC・・・・・・そんなところに機密情報を溜め込むのは、どんな基準でも許されない」の部分で、対策を考えると「Winny を作業用のＰＣに入れるな」にするのか「Winny の入っているＰＣで作業するな」の二つの選択肢があることになります。

この二つの選択は実際には「Winny を入れるな」という方向しか働かないと考えます。事実、首相も官房長官も「Winny を入れるな」と記者会見までして言っています。
しかし元々私物のＰＣがあって、それを業務に提供しているのですから、全て人が「自分から進んで勝手に業務用に私物のＰＣを持ち込んできた」わけではないでしょう。警察などが組織として「私物のＰＣを持ってこい」と命令したことはさすがに無いとは思いますが、隣の席の同僚が持ち込んできた時にいつまでも「わたしは持ち込まない」と主張するのは難しくて、「アンタは家でバリバリにＰＣを使っているのだから持って来いよ」といった軽い圧力も含めれば、私物のＰＣを持ち込む方向に圧力があったと想像がつきます。

そして私物のＰＣを持ってきた人の中には Winny を入れているような人物も居た。これは事実だし、さらには家族が知らない間に Winny を入れたという例もあります。
私物ＰＣであるのですから、業務用ＰＣではあり得ないようなことも考えられます。
Winny 以外でも、ウイルスのチェックを全くしていないとか、業務上は考えられないサイトへのアクセス、業務上はあり得ないようデータの蓄積・・・・、「業務上はあり得ない」をキーワードにして幾らでも考えられます。

これは同じＰＣの中も「私物」と「業務上のデータ」を混在させたら当然起きることで、別に不法でなくても「そんなことを業務用のＰＣでやるものか！」となるのです。。
しかも「業務用ＰＣでそんな私的なことをするか」と「私物のＰＣでそんな業務をするか」の両方向があります。
Winny については「映画をタダで見るのだから、そもそも著作権法違反」という意見は大きくは正しい指摘だろうと思いますが、エロ画像のストックなんてものを業務用ＰＣにやったら職場は「いい加減にしろ」と言うには決まっているでしょう。個人の年賀状の宛名のデータとか住宅ローンの計算、家計簿といった具合に「業務に関係ないデータ」はいくらでも思いつきます。

会社が業務に使用するために設置した「会社のＰＣ」にこんな「個人的な情報」を書き込んだら内容に応じて、色々な注意が飛んできて当然です。
それは「会社のＰＣ。業務用」ですから、内容も含めて会社が管理して当然だし使用する個人も業務用と私物ではやることを分けますよ。
業務用のＰＣで会社の仕事をすることと同様に私物のＰＣで個人が必要とする作業をするのは当然で、

いったい私物ＰＣの業務利用とはどうあるべきか？
ということの答えは出せるのでしょうか？わたしはムリだと思いますよ。
実際、首相・官房長官が「Winny を入れるな」という話も「Wiiny 自体は悪くない」とか何が何だか分からない話しになってしまいました。

そこまで不明瞭なことを続けるコストは業務用のＰＣを揃えるよりも遙かに高くなるでしょう。つまりこの問題の根っこは

「私物ＰＣを業務に使うと管理できない」ということになって
「管理しないからから、不法に近いことも起きる」が実態となってしまって
「トラブルになってしまった」という構造であると思うのです。

予防という観点では

「業務用ＰＣだけで作業すれば、ほぼ完璧に防げる」
なのですから、Winny を入れるのは良くないなんてことを言うまでもないです。なんで「業務用ＰＣにするべき」という声が少数派なのかな？

3月 21, 2006 at 10:41 午前セキュリティと法学 | Permalink | コメント (1) | トラックバック (0)

2006.03.20

愛媛県警事件・どれほどの情報溜めていた？

読売新聞より「個人情報延べ４４００人、供述調書も…愛媛県警流出」

愛媛県警の捜査資料がファイル交換ソフト「Ｗｉｎｎｙ（ウィニー）」を介してインターネット上に流出した問題で、県警は１９日、捜査１課の警部（４２）のパソコンから流出した被疑者や被害者、捜査協力者などの個人情報は延べ約４４００人分に上り、窃盗事件などの供述調書も含まれていたと発表した。

県警が具体的な流出規模を明らかにしたのは初めて。ウィニーによる警察の個人情報流出としては、今回が最大規模になるとみられる。

「愛媛県警・Ｎシステム情報流出」を書いたのは「こんな情報まで取り込んでいたのか！」という驚きであったのですが、今回の報道で「やっぱりね」と思うところですが弁護士落合洋司　（東京弁護士会）　の「日々是好日」さんが「何でもかんでも自分のＰＣに取り込んで、ため込む人だったのだろうと推測します」とスッパリと書いていらっしゃいます。

こうなると、どんな情報が流出したのか？という興味が出てきますが、これについては県警は

具体的な内容は「情報の拡散を招き、関係者の保護の支障につながる」として公表しなかった。

と当然だろうなという反応でした。
しかしながら、問題の警察官が一人でどれ程の情報を溜め込んでいたのか？はやはり問題でしょう。

これを明らかにするのには溜め込んでいたファイルや元の文書の数、さらには取り上げていた事件数（一人の警察官が関与する事件数を遙かに超えるだろと予想します）といったものが明らかになると分かると思います。

ネットワークを利用してメールのやり取りをしているだけですぐに何万という情報がＰＣに蓄積してしまいます。それをどう管理するかは非常に深刻な問題で「ＨＤＤを捨てるな」なんて話になるのも当然です。
問題の警察官はそういう危機意識が無かったのでしょうが、個人にとって強力過ぎるパソコンの情報蓄積力といったものは「情報を溜め込むとそれ自体が暴走（管理のしようがない情報の蓄積）」になってしまうと思いますから、ここを明らかになると良いですね。

3月 20, 2006 at 10:29 午前セキュリティと法学 | Permalink | コメント (1) | トラックバック (0)

Winny対策・朝日と産経の社説

今日の新聞社社説で朝日新聞と産経新聞がウィニー問題を取り上げています。

朝日新聞社説より「情報流出　ウィニーだけではない」

ウィニーだけを悪者にして、使わなければすむという話ではない。情報を勝手に流すウイルスはほかにもあるからだ。これからも新手のウイルスが出てくると考えた方がいい。ここは、ネット時代の情報の扱い方について根本的に考え直すときだ。

何十万人分もの情報でも、膨大な捜査資料でも、今は小さなハードディスクに入れて持ち運ぶことができる。紙しかない時代だったら、持ち出すことさえ考えなかったはずだ。持ち運びの容易さが、取り扱いの安易さにつながっている。

厳重な取り扱いが必要な情報は、私有のパソコンには入れないのが鉄則だ。漏れてはいけない情報を扱う部門では、きちんと予算の手当てをして、業務用のパソコンをそろえるべきだ。

個人でパソコンを使っている人も、ひとごとではない。知らないうちに手元から大切な情報が流れ出ているかもしれない。ウイルス対策用のソフトをいつも最新の状態にしておかなければいけない。

ネット時代はこれまでの常識が通用しない。そのことを一人ひとりが心に留めておきたい。

この朝日新聞の社説の大部分は今後の対策として有力な手法に新聞報道としてようやく言及したと思います。
しかし、最後の一文はそれを割り引いてしまう危険があるのではないか？現実は個人の意識の問題というよりは警察や企業が業務用ＰＣに投資するかという問題であり、警察だけでも数十万台のＰＣを用意しなければならないということだろう。そっちの方がよほど「個人の意識が」という指摘よりも重要なのではないか？

同時に出た産経新聞社説「ウィニー　このままではＩＴ途上国」は朝日新聞社説と比べるとずっとひどいと思う。

ウィニーを介した情報流出は三年前から起きている。個人情報や機密を扱う官民の組織では、すでに予防策が講じられていて当然だ。にもかかわらず、どうしてこれほど事故が頻発するのだろうか。

結論から言えば、情報を扱う職員や社員の意識の甘さに第一の原因が求められる。仕事で使うパソコンに、決してウィニーを入れてはならない。これは常識だ。各組織は責任を持ってウィニーチェックを行うべきである。

海外にもウィニーと似たファイル交換ソフトはあるが、日本のような情報流出騒ぎはあまり聞かない。欧米では業務データの自宅持ち帰りなどが厳しく制限されているためらしい。

日本では、そのけじめがついていないのに加え、忙しくて自宅に戻って仕事を続けることも少なくない。職場で支給されるパソコンの数が足りず、やむなく私物を使う例もある。こうした労働のあり方も情報流出を起きやすくしている。

話の順序がおかしく無いか？
労働環境が悪ければ役所から情報流出が起きても仕方ないような国なのか？
なんで予防策が「社員の意識」とか「「仕事で使う私物のパソコンの仕事以外に使ってはいけない」といった論旨になってしまうのだろう。極めて論理展開に無理があるというべきではないか？
両社の社説ともに「私有のパソコンの業務利用」が問題であると指摘したのは正しいのだが、その上で業務用パソコンを緊急で配備する防衛庁の対策に全く言及しないのはどういうことよ？
これには暗黙の内に新聞社などがネットワーク利用の拡大に反発している現れではないのかね？

3月 20, 2006 at 10:01 午前セキュリティと法学 | Permalink | コメント (2) | トラックバック (0)

2006.03.19

Winny対策・教育は決め手じゃない

日経新聞社説より「ウィニー対策へ安全管理教育の徹底を」

ファイル交換ソフトの「Ｗｉｎｎｙ（ウィニー）」による情報流出事件が拡大している。原子力発電所の保守情報や自衛隊の内部情報に加え、岡山県警や愛媛県警の捜査資料がネット上に流出、首相官邸も問題にし始めた。
その多くは業務用と私用のパソコンの使い分けがきちんとなされていない点に起因する。
問題解決へ企業や国を挙げて本格的な防衛策を導入する必要が出てきた。

まず業務用パソコンと私用パソコンとは明確に区別する必要がある。経費はかかっても、各人に業務用パソコンを配布してファイル交換ソフトの使用を禁じ、個人のパソコンは仕事には使わせないことだ。

パソコンの使い方は多くの組織で指導しているが、セキュリティー教育まで実施しているところは少ない。特にネットで流出した情報は回収が不可能なため、安全管理教育を徹底し、従業員個人の自覚を高めなければならない。

対策を「業務用パソコンと私用パソコンとは明確に区別する必要がある」としているのだが、結論が「従業員個人の自覚を高めなければならない」になるって意味不明に近いではないか。

最近は業務に私用パソコンを使うことを従業員が進んでやる場合はほとんど無いだろう。職場が私用パソコンの持ち込みを認めていて、かつ業務用ＰＣを配付しない場合に限られると言って良いでしょう。
ＳＯＨＯ事業者などでは、業務と私用の区別がついていない場合もあるだろうが、問題になるのは「お役所の私物ＰＣ利用の実態」で紹介したように、組織として私用パソコンの使用を認めているところから情報流出が起きているのは事実であって、日経新聞社説も「業務用パソコンと私用パソコンとは明確に区別する必要がある」としているのだから、もし「従業員個人の自覚が高くなれば」、従業員は私用パソコンを職場から引き上げてしまって業務に差し支えが出るのが当然だということになる。

確かに従業員が自覚を高めて私用パソコンを業務にしか使わなくなるというのは可能性としてはあるだろうが、そさでは私物を職場に提供するということになってしまうではないか。
なんで日経新聞社説はこんな分かり切ったことをスッパリと切ることが出来ないのだろうか？
逆に言えば日経新聞ですら言えないから「業務に私用パソコンを使わせない」という当たり前ことが防衛庁でした対策されず、これだけ問題を起こしても対策を進めることが出来ない最大の理由ではないのか？

わたしはネットワーク利用が社会をネットワーク的に機能するようにすると、既存のカスケード構造の社会と衝突すると考えているのだが、このために既存のカスケード構造の社会に無理矢理ネットワーク利用を押し込めようと意識・無意識のうちに考えているからこんな社説になってしまうのではないだろうか？

ネットワーク利用は情報交換のコストを事実上タダにしてしまうから、カスケード構造社会とネットワーク利用社会が競争しないでうまく利用して並存しようとしても、個々の場面で確実に負けてしまう。
おそらくネットワーク構造の社会はビジネスでは過半数を超えるようなことになるのではないだろうか？
しかし、法律の支配といった点は上位構造を認めないわけにはいかないから、すべてがネットワーク構造社会になるというのはイメージ出来ません。
この社説にはこんなところの「闘争」が見えているのかもしれません。

3月 19, 2006 at 08:34 午前セキュリティと法学 | Permalink | コメント (3) | トラックバック (1)

2006.03.18

お役所の私物ＰＣ利用の実態

毎日新聞より「ウィニー問題：防衛庁の公務ＰＣ、私物が半数、警察は４割」

ファイル交換ソフト「Ｗｉｎｎｙ（ウィニー）」を介し捜査情報などの重要データがネット上に流出した問題で、毎日新聞は府省庁や地方自治体、警視庁、道府県警など計１２３機関から聞き取り調査を行った。
防衛庁を除く府省庁や自治体では公用パソコンの配備が進み、業務で使われるパソコン（ＰＣ）のうち、私物ＰＣはわずか０．１％だったのに対し、防衛庁では約半数、警察では約４割が職員の私物を使っていた。

調査対象は、内閣府、総務省など１５府省庁と４７都道府県、１４政令指定都市、警視庁など４７都道府県の警察。

１５府省庁では計約３７万４０００台のＰＣを公務に使用していた。うち約７万台が職員らの私物で、そのほとんどは防衛庁で稼働していた。
なかでも陸上自衛隊では公用が約２万台なのに対し、私物は３倍を超える約６万３０００台にのぼった。

内閣府、総務省、農林水産省、文部科学省　　　私物はないと回答。
都道府県や政令指定都市、で私物ＰＣが公務使用されていたのは、奈良、岡山の２県のみ
都道府県警察で私物ＰＣを公務使用していないのは、公用ＰＣを３万５０００台導入している警視庁のみ
４７のうち４割近い１８府県警が公用ＰＣ台数よりも私物の方が多かった

「Winny 問題・話が違うだろう」は官房長官が記者会見で「Winny をインストールしなければ問題は無い」と取れる発言をして、マスコミも「とにかく Winny が良くない」といったトーンで統一されているのを批判し、私物のＰＣで仕事をするのが問題だ、と主張したものです。

毎日新聞の記事は「防衛庁と各県県警が飛び抜けて私物ＰＣを使っている」と明らかにしたのだが、仕事に私物のＰＣを使用すると現実の情報流出に直結というかほとんど正比例の関係になっているではないか？

予算が足りないとか言っているようだが、自動車一台でＰＣは１０台から３０台ぐらいは買えるし、３年ぐらいは使えるだろうから、３０～１００台のＰＣを自動車一台で買える。早い話がどうにでもなることで、個人が買える私物ＰＣがあるのに、組織が予算がないから買えないなんて話が通用するわけがない。

ＰＣなんて私物で良いと考えた
に決まっているだろう。Winny 以外の情報流出ウイルスである山田オルタナティブについてもようやく新聞に記事が出た。これだけでも「Winny を入れないのが一番」というわざわざ官房長官が記者会見で発表した内容が吹っ飛んでしまった。

情報流出の定義を考える必要があるだろう。今回の一連の Winny 騒動で、何年も前に業務用のＰＣの不具合があったので、一時的に私物ＰＣにデータを移して作業し、業務用ＰＣが使えるようになったので私物ＰＣをそのまま私用していてい、だいぶ経ってから Winny を入れたらＨＤＤに残っていた情報が流出した。という事件があった。

この場合、情報が流出したとは「何時だとすれば良いのか？」個人であるからいずれは退職するだろうし、退職しなくても他部署に移動することはあるだろう。その時に私物のＰＣ内の情報はどうするのだ？
個人情報保護法を守ると称して、営業社員が退職するときに営業手帳を取り上げる＝営業ノウハウの取り上げ、といったことが問題になっているが、ＰＣ内の情報はノウハウといったアイマイなものではなく、名簿とか記録といったもっとずっと危うい（クリティカルな）情報であろう。

事件の実態を見れば私物ＰＣで仕事をさせた場合、その中の情報を管理することが極めて大変でこんなことなら業務用ＰＣを使わせる方が簡単だ、ということになる。
予算がないから私物ＰＣを業務に使ったから後で何倍ものコストが発生する、ということが問題でもある。対応は早ければ早いほど良い、少なくとも防衛庁が一気にＰＣを導入するのは現時点で取り得る最善の対策でありましょう。

3月 18, 2006 at 08:51 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (2)

2006.03.16

愛媛県警・Ｎシステム情報流出

毎日新聞より「愛媛県警：Ｎシステム情報流出か　車１０万台ナンバー」

「各種事件のＮ資料」と名付けられたフォルダー内のファイルは、いずれも９９年の日付で、ほとんどが１日単位で区分されていた。この装置を設置した愛媛県や香川県、徳島県の国道、高速道路を通過した車のナンバー、通過日時が保存され、記録は約１０日分、延べ約１０万台に上った。

警察庁はこれまで国会での質問に対し「重要事件で使用された車や盗難車など手配車両のナンバーと照合するために使っている。アクセスする者を制限し、一定期間保存した後に消去される」などと強調したうえで、ナンバーは公開された情報で収集に問題はないと説明してきた。

一捜査員が１０日分・１０万台の通過車輌のナンバーのデータを持っていて何とかなるとは到底思えないのだが、どうするつもりだったのだ？

問題の捜査員が個人的にＮシステムのデータを無理矢理盗み出したということであれば、愛媛県警の情報管理の問題だし、愛媛県警が捜査員の私物のＰＣに持ち出すことを了解しているのだとすると「１０万台のナンバーのデータを個人がどう扱うと考えたのだ？」にしかならない。

警察をことさら貶めるつもりはない（知人もいるし）が、それにしても「どうするつもりだったのだ？」にしかならないぞ。

１０万のデータをたのデータと突き合わせをするのには、例えば陸運局のデータと突きあわせないと役に立たないのは自明でしょう。
横浜市青葉区は横浜市長選挙と横浜市議会議員補欠選挙が同時に行われるのですが、わたしは選挙で名簿の整理をしたことがあります。ざっと２万人のデータを点検して重複の無い名簿を作りましたが、その手間は莫大なもので個人の作業としては限界でしょう。
その経験からすると１０万台のナンバーのデータを個人が他の支援無く見てもなんの役にも立たないでしょう。
どういうつもりでこんなことをしたのでしょうか？信用低下を推し進めることになりますよ。

3月 16, 2006 at 05:36 午後セキュリティと法学 | Permalink | コメント (4) | トラックバック (0)

Winny 問題・話が違うだろう

産経新聞より「危機意識低く深刻「ウィニー」情報流出、底なし」

なぜ流出被害が止まらないのか。その背景を探ると、国民の危機管理意識の希薄さも浮き彫りとなってくる。

出被害の大半が、ウィニーを介してウイルスに感染した私用パソコンを職場に持ち込んだり、業務データを家に持ち帰り、私用パソコンに取り込んだりしたことが原因となっている。

「私用パソコンでは使用の自粛を求めている」という官公庁が多い。法務省の幹部は「基本的には職員個人のモラルの問題だ。しかし、流出に対する危機意識を一人一人に持たせることは必要」と話す。

特に理由があって産経新聞の記事を取り上げたのではなくむしろ平均値だと思う。
第一安倍官房長官が「Winny を使わないのが一番」と発表している、これについては Matimulog さんが「winny使用自粛呼びかけ」で

あまりにプリミティブでナイーブな認識と対策で、開いた口が塞がらない。

とストレートな感想を述べていらっしゃる。
その後さすがに乱暴すぎると考えたのか内閣官房はより細かい情報、「Winnyを介して感染するコンピュータウイルスによる情報流出対策について」を発表した

この記事を読んでいるほとんどの方はよくお分かりのはずで「本質は違うだろう」で、マスコミがここらで納得されても困ります。

そもそも情報流出とは以前からファックスの誤送信とか、郵便の誤配といったことも含めて社会的に「この程度は仕方ない」というものから宇治市の住民基本台帳をＭＯにコピーして４０万人分持ち出したといった極めて意図的なものまであります。

内容については先頃の海上自衛隊の暗号情報が流出に代表される「どう考えても公開するべきでない情報」もあるし、大量に流出したとは言え住民基本台帳の情報は公開されている情報である、といったこともあります。

今、事件になっているのは「業務上の情報」が「個人所有のＰＣ」にある時に「ウイルスに感染」したら「Winnyをインストールしてると」流出することがある。
ということでしょう。そして「業務上の情報が流出」したときに社会的事件になって問題だ。ということです。

情報流出で言えば「Winny・不倫を会社にメールしたのは・・」で紹介した事件など個人的には人生の致命傷といった事件も起きていますが、社会的には個人の問題でとどまります。

しかし業務上の情報となると社会的に非常に困るわけで、これはなんとか止めるべきです。
そこで「元を絶てばよい」ということなら

「私有のパソコンで仕事をするな」

でほとんど解決でしょう。
官房長官が言うべきことは「Winny を使わないように」じゃないですよ。業務（オフィシャル）とプライベートが入り交じっている環境で問題が出ない方が不思議というべきです。

私物のＰＣで会社の業務を実行していると、Winny だけでなく、著作権法違反、インターネット上の名誉毀損、児童ポルノ所持など個人的犯罪でパソコンを押収された場合に業務が止まってしまうような可能性がある、ということです。
こんな危険を避けるという意味でも、さらには公私混同を避けるという当たり前のことからも、プライベート用のコンピュータで仕事をしてはいけません。というだけのことで「Winny が問題」とか言うよりよほど簡単だと思うのですが。

3月 16, 2006 at 01:14 午後セキュリティと法学 | Permalink | コメント (9) | トラックバック (2)

2006.03.15

政府が「ＰＣの情報管理」を呼びかける

読売新聞より「ウィニー問題、パソコン情報管理の徹底呼びかけへ」

政府は１４日、ファイル交換ソフト「Ｗｉｎｎｙ（ウィニー）」を介した情報流出が相次いでいるのを受け、国民に直接、パソコン情報の管理の徹底を呼びかけることを決めた。

安倍官房長官の定例記者会見などを通じ、ウィニーを使用することの危険性や注意事項などを説明する考えだ。

情報管理→ＰＣの管理→ウイルス対策
といった段階になっているんじゃないでしょうか？
例えば電車の中で仕事をするなんてのは、情報管理という点から失格です。
ウイルスなんか入っていないし、ネットワークにも接続していないけど情報流出の危険は極めて大きい。

ビジネスの常識として電車の中でクライアントの名前を出さないなんてのは常識だし、多くの場合はクライアントを訪問した直後にクライアントの構内ではビジネスの話そのものをしないのも普通です。

こういった情報管理について意識している人は、絶対数としては少ないわけで、多くの人たちは今まで情報管理の必要性があるなんてことを知らなかった。
今でこそ、ＰＣにはアンチウイルスを入れるのが常識として知られるようになりましたが、ちょっと前までは「危ないと思ったら線を抜けば・・・」なんて話が真面目な顔で語られていたことを思い出せば「パソコンの情報管理」なんて話が世の中の常識になるためには、ものすごい強力なキャンペーンが必要だしはっきり言えば「Winnyで懲戒免職１００人」ぐらいのことをやらないとダメではないだろうか？はっきり言えば

「Winnyで懲戒免職１００人」ぐらいことをやらないとダメ
ではないだろうか？

3月 15, 2006 at 09:07 午前セキュリティと法学 | Permalink | コメント (4) | トラックバック (0)

情報流出・読売新聞社説がようやく・・

読売新聞社説より「［情報流出続発］「『ウィニー』だけが問題なのか」」

ようやくまともな社説が出てきたという感じですが、この社説が目立つことが問題だし、社説だから一般論でとどまっていて、今後は報道機関が役所などの個々の対応についての評価を示すかが注目点でしょう。

ウィニーのせいだけにしていては問題の本質を見失う。むしろ一連の情報流出騒ぎで露呈したのは、流出が起きた組織の情報管理のお粗末さだ。

どうして私物パソコンに、重要な情報やデータが簡単にコピーされ、持ち出されてしまうのか。機密を扱う職場なら当然あるべき対策がない。

大量流出したのがパソコンのデータではなく、紙の文書と考えてみれば、事態の異常さが浮き彫りになる。

流出が起きた職場では、重要な文書を職員が勝手にコピーして外部に持ち出せるのか。自宅に持ち帰れるのか。国や自治体には、機密情報、個人情報が大量にあるが、これで管理は大丈夫か。

政府や関係機関は、情報管理体制を根底から見直さなくてはならない。

以前からなんとなくネットワークを社会が利用することが出来ないのではないか？という疑問がありました。
８９年にＦＡフォーラムを作った時にわたしは必ずしもネットワーク万歳と積極的に工業界に売り込むということはしなかったと言えます。
個人間の情報交換にはとても便利だったから、設計事務所の業務などには大いに有効であったしなんと言っても人脈の構築が出来ました。

しかし会社や業界といった組織にネットワーク（インターネット）が影響を及ぼしたのか？というと、本質的には変わっていないでしょう。
コンピュータ犯罪に関する白浜シンポジウムの案内をアップしましたが、わたしが初めて参加した９９年には大学のネットワーク管理をしている教員の方が「わたしはネットワーク管理をしているが、本業ではない。にも関わらず責任だけ持たされてはたまらない。責任が無いということにならないものか」と発言されていました。
今では、プロバイダ責任制限法は管理者には管理者としての責務がある、としています。

近代社会は軍隊式の組織が基本であって、責任者（指揮官）・中間管理者（士官・下士官）・一般社員（兵士）といったカスケード構造（枝分かれ構造）で動いています。
ネットワークはネットワーク構造の問題であってインターネットやＰＣの事ではない。社会に異なる構造がうまく納まるのか？という問題なのだろう。

会社でも同期会とか県人会といった会社組織にとって横串に相当する構造があることが多く、縦のカスケード構造（指揮命令系統）と人的繋がり（同期会など）といった横のカスケード構造が重なるのと、結果的にネットワークのようものが出来ていたのでしょう。
しかしこれはネットワークの形をしていてもネットワークではありません。

形のとしてのネットワークのようなものを持っていた日本の社会構造は最終的には強いカスケード構造で動く、というルールでうまくやってきました。
横からの情報に基づいて一旦情報を縦の構造に通すために「元に戻して」といった手続きが示されることがしばしばありました。

ネットワークがネットワークとして機能するのは、検索するような場合に典型的に現れます。手元に無い誰かの情報を見ることで結果ＯＫとしているのですが、昔は本を所有する必要があったことです。
このようにノードが機能してこそのネットワークですが、カスケード構造とは相容れないのは当然で、これをどうするか？という問題がようやく顕わになってきた、ということでしょう。

3月 15, 2006 at 07:54 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (1)

2006.03.12

情報流出・特効薬は無いのでは？

北國新聞社説より「情報のネット流出　「公私混同」体質が危ない」

システムの構築には熱心でも、パソコンを取り扱う社員への教育や、情報を扱う際のルールづくりなどがおろそかになっていた。こうしたケースはまだまだ多いのではないか。

自民党は、業務上知り得た個人情報を漏らした民間企業の従業員に懲役や罰金を科す個人情報保護法改正案の今国会成立を目指している。
個人情報の保護は、法的な措置やシステムの整備より先に、個人情報に接する社員教育がまず重要である。業務で取り扱う情報を私用のパソコンに保存するなどの行為については、例外を設けずに禁じるべきだろう。

なんかなぁ、いささか乱暴な意見だと感じますねぇ。

情報流出と個人情報保護法改正案の従業員が金銭目的で故意に情報を持ち出した例はほとんど無いことは分かっているので、わたしが社説を書いたとすると個人情報保護法改正案はスジが違う、と書くでしょう。

しかし、この社説の意見などが世間の中心的な見解かな？と思うと、そりゃ「社員教育」なのか？と強く思います。
お役所を批判している見方は「管理がどうしようもない」であって、社員じゃなくて管理者・経営者教育でしょう。
最近でこそコンプライアンスなどと「法令遵守」を言いますが、ちょっと前まで大企業の経営者が法的知識が無いことを当然とし「我が社の法律は」などと都合良くやっていくのが当然としていたのですから、かなりの力を注がないと正常な状態にはならないでしょう。
その点で社説のような「これで、解決」的な表現は間違えを拡大する心配があると思います。

3月 12, 2006 at 10:38 午前セキュリティと法学 | Permalink | コメント (2) | トラックバック (1)

Winny・不倫を会社にメールしたのは・・

たぶん本当なんだろうな、という事件です。

「不倫妻なおみwinnyで証拠流出！まとめサイト」

２ちゃんねる情報で知ったのですが、

「浮気は絶対バレない！」宣言の不倫妻(34歳・元ミス鹿島)が
winnyで違法ダウソし「仁義なきキンタマ」ウイルスに感染
↓
OEの2000年以降の受信、送信済みメール全て(含：不倫メール数千通)
特定できる個人情報・会社資料・本人や身内、ご近所さん画像等が流出
↓
VIPPERが不倫妻と浮気相手のブログへ凸
↓
鬼女板住人　会社にメール→エリート旦那の出世コース終了
↓
3/9、23:30頃、両者のブログが同時に閉鎖→連絡を取り合ったようだ
↓
3/10、過去のものも含めると不倫相手は4～5名はいると判明
↓
不倫妻、友人ブログに被害者ヅラで書き込みし友人を巻き込む
今ここ。　証拠隠滅にやっきな不倫人たちと不幸な旦那。

なにがすごいって「２ちゃんねる住人が会社にメール」というところでしょう。
会社も社員（夫）もあずかり知らないところで情報が増幅（？）されるし、自らのミスでもないからコントロールのしようがない。

情報化社会とは社会なのだから自分に有利な面も不利な面もある、という当たり前の話が極端な形で出てきているのだ、と解釈するべきなのでしょうか？
個人レベルで情報化が大きく有利になったのはデイトレーダーでしょうか。
逆が情報流出ですかね。

これらはコンピュータが高くて企業でなければ使えない時代には個人ではあり得なかった事件で、プライバシーというか個人的な秘密流出と言えば、イギリス国防相のプロヒューモ事件、ウォーターゲート事件といった国際政治級の事件しか無かったように思います。

政治家、芸能人の不倫の話題なんてのは昔からあるわけで、それでも本人の情報がネット上に流出するなんてことは全く無かった。
それが一気に庶民レベルですからね。これを旧来の状態にコントロールしようとするとインターネットの管理を中国のようにするしかないでしょうから、トータルでは良いことかもしれませんね。

3月 12, 2006 at 07:38 午前セキュリティと法学 | Permalink | コメント (2) | トラックバック (1)

2006.03.11

Winny作者も情報流出対策は問題と言う

弁護士落合洋司　（東京弁護士会）　の「日々是好日」さんの記事「[P2P]ウィニー開発者：「流出は想定外で残念」講演会で主張」経由、毎日新聞より「ウィニー開発者：「流出は想定外で残念」講演会で主張」

保釈中の金子被告は、「技術的検証のため作ったウィニーと（情報）漏えいは本質的には無関係。
ウィニーを入れさえしなければ防げると考えると対策を誤る」と強調。
本質的な対策として、内部情報を家に持ち帰らない
▽持ち帰ったデータを保存したパソコンを家族らと共有しない
▽ウィニーがよく分からない人は使わない－－
などを挙げた。

作者本人もこう言っているし、全く同感です。
もっとも、

相次ぐウイルス感染による情報流出について、「予想外で残念。ウィニーは技術の高い人を利用者として想定していた」

これは楽観的に過ぎるだろう。人間というのは出来ること必ずやるわけで、予防という観点からの企画も大事な問題だ。

3月 11, 2006 at 11:47 午後セキュリティと法学 | Permalink | コメント (3) | トラックバック (3)

Winny 各中央省庁の対応

読売新聞より「私物パソコン使用禁止…各省庁、情報流出対策急ぐ」

ファイル交換ソフト「Ｗｉｎｎｙ（ウィニー）」を介した情報流出が相次いでいる事態に対し、外務、総務両省などが職員による私物パソコンの業務使用を原則禁止する措置を打ち出すなど、政府は再発防止策の強化を急いでいる。

記事から整理すると

外務省　個人が所有する私物パソコンの庁内や在外公館での　　　　業務使用の原則禁止総務省　プライバシーに触れるなど　　　　「秘密文書に相当する機密性を要する情報」は、　　　　私物パソコンでの処理を禁止。　　　　これ以外の情報でも公表しないものは　　　　「流出する可能性があることを前提に、　　　　（使用）許可の可否を判断する」と明記経産省　自宅などで作業するために省内から持ち出すことを　　　　禁止する情報の範囲を、機密性が高い情報だけでなく、　　　　「公開を前提としない一般情報」にまで拡大内閣府　近く重要情報の外部持ち出しを厳禁とする管理基準を策定警察庁　全国の都道府県警察本部に対し、公用だけではなく、　　　　自宅で使う私物パソコンについても、　　　　Ｗｉｎｎｙの有無を点検するよう指示

となりますが、内閣府が一覧を発表するべきでしょう。
偽札問題が重罪とされるのは通貨の信用を無くすことを問題にしているからで、偽札で稼いだ利得が不当だといったことよりも重大だとされているからです。
ＰＣを使うことが必須である現在、お役所の仕事が信用できないというのは大事件で、Winny を入れるなんてのは通貨偽装行使なみに処罰して良いくらいです。
なんか、秘密の紙を一枚持ち出したのよりも軽く考えているのかな？
防衛庁は私物ＰＣを無くすために７万台のＰＣを購入することになりました。
先に挙げた愛媛県警のように誓約書を書かせるなどといったトンチンカン（トンデモだ）な対応をするお役所もあることを考えれば、この程度でも仕方ないというべきでしょうがなんというかお役所という組織が先を読む力がないことの証明なのかもしれません。

3月 11, 2006 at 10:13 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (2)

愛媛県警事件・対策でない対策

産経新聞より「「ウィニー使いません」　愛媛県警、全職員に誓約書」

愛媛県警警部（４２）の私用のパソコンから捜査資料がインターネットに流出した問題で、県警は１０日、全職員約２７００人にウィニーなどのファイル交換ソフトを使わないなどとする誓約書を書かせると発表した。

この対応は

絶対に間違っている！
セキュリティは精神主義でなんとかなるのものではない。
こんなのは「誓約書を出して、ウィニーをインストールしなけば、後は何も考えないでよい」と誘導するに決まっている。

実際に過去の流出事件で、親のＰＣに息子が Winny をインスートルしたから流出になったという実例がある。
こんな問題を「誓約書でどうやって排除できるのか？」
この種の、目的であるセキュリティを精神主義に置き換えた大間違え事件に、太平洋戦争の開戦時の駐ワシントン日本大使館の外交暗号がアメリカに破られていた、という事件で報告されている。
この事件は、その後のアメリカは日本の開戦を知っていた＝陰謀説に繋がる大問題となっている。

当時、日本の外務省は「アメリカに暗号を破られている可能性がある」と暗号電報でワシントン大使館に通知した。暗号を解読しているアメリカ側は「もはやこれまで」と覚悟したが、その後も暗号はなんら対処することなく使われた。
実際にワシントン大使館がやった「暗号破り対策」は取扱注意の赤札を暗号機に貼っただけ。

今回の愛媛県警の誓約書と何が違うのか？
もっと言えば、こんなバカな発想しか出来ない県警上層部が今回の事態を生み出したと、セキュリティ専門家は一致して評価するだろう。
この決定をした人物は５月に白浜に来い！！
いわば、手錠を掛けて、そばに鍵を置いて「鍵を使ってはいけない」と誓約書を書かせるようなものだぞ。
誓約書を書かせても手錠を鍵で開けるヤツは開けるし、開けないヤツは開けない。手錠を掛けなくても大丈夫。
何を考えるとこんな事が出来るんだ？せめて専門家に相談してから発表したらどうなんだ？

3月 11, 2006 at 09:53 午前セキュリティと法学 | Permalink | コメント (4) | トラックバック (0)

2006.03.10

Winny 問題あれこれ

神奈川新聞より「ウィニーで個人情報流出／アルプス技研」

技術者派遣のアルプス技研（相模原市）は九日、元社員の私物パソコンから、同社社員の個人情報や取引先情報が流出したと発表した。

この社員は二〇〇二年八月に同社を退職。在職中に業務で必要なデータを私物パソコンに保存して利用し、退職後もデータを削除せずにいたため、ウイルスに感染してデータが流出したとみられるという。

３年半も経ってから流出事件が解明されたというのは、この会社はよく調査したというべきでしょう。
これほどやっかいな問題ということを考えている人はほとんど居ないではないだろうか？

問題になっている Winny はファイル交換ソフトで、作者が著作権法違反幇助で裁判中です。

朝日新聞より「「逮捕されなければ対処できた」　公判でウィニー開発者」

ファイル交換ソフト「ウィニー」の開発者で、著作権法違反幇助（ほうじょ）の罪に問われている元東大大学院助手のプログラマー、金子勇被告（３５）の第２０回公判が９日、京都地裁（氷室真裁判長）であった。弁護側の被告人質問で金子被告は、全国でウイルスに感染したウィニーを介して情報流出が相次いでいる問題について「私が逮捕されていなければ対処ができ、初めから問題は起きなかった」と述べた。

金子被告は「問題を防ぐように改良することは比較的容易にできるし、積極的に対処したいが、改良を問題視されて、罪に問われた。今改良すれば、また幇助に問われることになる」と述べた。

この点について、実際にこの公判を傍聴した弁護士落合洋司　（東京弁護士会）　の「日々是好日」さんで落合弁護士が意見を述べています。

昨日のエントリーで言及した警察庁長官の言動を見ても、ウイニーの技術そのものや開発行為自体を違法視していることが明らかですから、確かに、改良したくても怖くて手は加えられないでしょうね。「保釈中の再犯」などということになったら大変です。改良などの開発を今後はしない、という誓約書をとった人や組織が、責任を持って自ら改良するのが筋でしょう。

この「技術開発を問題にしている」のが著作権違反幇助で刑事事件という珍しい裁判で当初からネットワークで盛り上がった点です。
ソフトウェアの開発が問題なら、マイクロソフトは大犯罪者といった議論ですね。

しかし、社会的な事件がここまで大きなことになると、開発の意図などは別にしても社会的に無視できない損失が起きたというべきで、法的に正しい判断かは分かりませんが使用が社会的に制約されている他の技術と同等に扱うべき事かと思います。

技術の歴史の上では、銃器や薬品の扱いなどは生産や配付自体が免許制度などで制約されていますから、ソフトウェアについても開発・研究と配付の間にハードルを設けるといったことは考慮するべき時代なのかもしれません。
わたしが始めて参加した１９９９年のコンピュータ犯罪に関する白浜シンポジウムで「従業員の監視のめたにインストールを推奨するソフトウェア」としてＦＢＩ関係者が推奨していたのは、ネットワーク上のクライアントの動作をすっかりコピーしてしまうスパイウェアでした。
こういうソフトウェア技術の必要性自体はありますから、今後も開発されるでしょう。

つまりは Winny による情報流出は Winny だからの問題ではなく、通称「キンタマウイルス」と呼ばれるものが Winny 利用者のＰＣに感染し Winny で中身が公開されてしまうところに問題があるのです。スパイし放送（公開）するウイルス、という極めてやっかいな性質のものです。

以上の説明でお察しの方は多い思いますが別に Winny だけがこんな機能を持つわけではない、と思われていましたがどうも出てきたようです。

IT + Plus より「「ウィニー」無しでも情報暴露、新型ウイルス登場」

2月下旬に発見された新型ウイルス「山田オルタナティブ」がネット利用者の間で話題になっている。
同ウイルスに感染すると、パソコン

内部に保存した情報すべてがインターネット上に流出する
おそれがある。
ウイルス対策のトレンドマイクロによると「3月8日まで同ウイルスに感染したとの報告はない」が、今後も被害ゼロで済む可能性は低い。

２ちゃんねるの解説よるに、このウイルスはエロ画像などに付いてくるのだそうで、蔓延の危険性は Winny よりも桁外れに多いと考えるべきでしょう。
こうなると対症療法的な対策では無理だと言うべきで、流出してはまずい情報の仕事・名簿の扱いなどのＰＣとインターネットで情報を取るあるいは見るＰＣを分けるのが良いかもしれません。
また情報は流出するものとして、流出後に読めないように暗号化して保存する、といったことがアンチウイルスソフトの導入が義務同然になっているのと同列で考えるべきなのでしょう。
やれやれ、大変な時代になってきました。

3月 10, 2006 at 05:36 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2006.03.08

岡山県警事件・担当者が内規違反では

元検弁護士のつぶやきさんの記事「あきれた話」経由、毎日新聞より「岡山県警情報流出：巡査長はセキュリティー担当者」

巡査長が署内でパソコンの情報管理などを担当するセキュリティー指導員だったことが８日、分かった。
県警監察課は、巡査長がファイル交換ソフト「ウィニー」の情報流出の危険性を熟知しながら、通達に違反して再三使用していたことを重視、巡査長から連日、事情聴取をしている。

県警では昨年６月以降、再三にわたりファイル交換ソフトのインストールや使用を禁ずる通達を出し、巡査長も一時使用をやめていたが、今年１月から再開していた。この結果、２月末ごろ、暴露ウイルスに感染し、犯罪被害者の実名や国会議員の後援会名簿など大量の捜査資料がネット上に流出した。

これでは確信犯とでも言うのかね？
危険を知っていたわけでしょう。そして一時的には止めたのに再開した。
まるで薬物問題のようじゃないですか。

少なくもと、警察勤務はもちろん機密情報を扱うような分野ではお断りという人ですね。
それが見抜けない岡山県警の責任は大きいですよ。やっちゃってから取り締まったってダメなんだから、損害の回復は出来ないのだから、ネットワーク管理者の自覚としては「やったらネット界では死ぬな」とやってますよ。
現代社会でネット上の死は社会的な死であるし、それは肉体の死となんら変わらないでしょう。県警は分かっているのかね？

3月 8, 2006 at 06:49 午後セキュリティと法学 | Permalink | コメント (3) | トラックバック (1)

愛媛県警事件・管理していなかった

毎日新聞より「愛媛県警情報流出：パソコンにウイルス対策ソフトなし」

県警は捜査資料を取り扱うパソコンがウイルスに無防備だったことを深刻に受け止め、職員の使うすべてのパソコンについて緊急点検を始めた。

県警は職員に対し、公用にパソコンを使う場合、ウイルス対策ソフトを自己負担で購入、インストールしたうえで、「（頻繁に）最新版に更新するように」という指示をしていた。ソフトの種類や更新の頻度などは事実上、職員任せだった。

愛媛県警の亊案は「捜査資料流出・愛媛事件、詳細」に書いたように、２年ぐらい前に県警が管理する以前に私物として利用し、その後は公用には使っていなかったＰＣから流出したとされています。

しかしですよ「ウイルス対策ソフトを自己負担で購入」ってその程度のPCを登録して公用に使用するというのでは「管理していません。勝手にやって」ということではないですか。

こうなると、県警はＰＣを使う資格がないとしか言いようがないでしょう。
パソコン通信の管理者ですらスタッフのためにアンチウイルソフトを供給するぐらいのことはやっていましたよ。
どこをどうやれば「自己負担で購入」なんて危ないことが出来るのでしょうか？それではそれぞれの借り上げＰＣの中身を調べるなんてしていませんね。ひどすぎる。

3月 8, 2006 at 05:24 午後セキュリティと法学 | Permalink | コメント (3) | トラックバック (1)

2006.03.07

捜査資料流出・愛媛事件、詳細

読売新聞より「愛媛県警も捜査資料などがウィニーで流出」

県警によると、流出したのは、２００４年２月以前に作成された文書ファイル。県警の書式に沿って作成され、県警内部でしか知り得ない情報もある。複数の警察署管内で発生した捜査１課が担当する殺人事件などの文書が含まれ、被害者名などが記載されているという。

県警は、文書の内容から業務で使わなくなった捜査１課員の私物パソコンに、消去されずに残っていた文書が、ウイルスに感染して流出したとみて調べている。

県警は２００４年３月、パソコンに関する管理制度を設け、業務に使う私物パソコンは登録制にし、ウィニーなどのソフトのインストールと庁舎外への持ち出しを禁止した。今回流出したデータは、管理制度のない当時のものだった。

以前、流出事件で息子とＰＣを共用していたら、息子が親の知らない内に Winny をインストールしたのか原因で流出した。という事件がありました。
さらには秋葉原で買った中古ＨＤＤの中から個人情報が出てきた事件もありました。

ＰＣの管理のやっかいなとこの一つが、廃棄や使用停止したＰＣの管理です。
ここまで来ると、個人が自由にＰＣを使うということと、個人情報などを含めた秘密情報を業務で扱う（仕事に使うことですね）を分けないといけないかもしれませんね。
「業務上ＰＣ使用免許証」とか(^^ゞ

3月 7, 2006 at 12:13 午後セキュリティと法学 | Permalink | コメント (2) | トラックバック (0)

捜査資料流出・こんどは愛媛県警？

毎日新聞より「捜査資料：愛媛県警もネット上に流出か」

愛媛県警の捜査資料がインターネット上に流出している疑いが出てきた。同県警も情報を把握しており、調査を始めた。

捜査資料を巡っては、岡山県警でウイルスに感染した捜査員のパソコンから約１５００人分の個人情報を含む大量の資料がファイル交換ソフト「Ｗｉｎｎｙ（ウィニー）」のネットワークに流出したことが明らかになったばかりだ。

本当なのでしょうか？
連日、警察から捜査資料が流出しているというのは、シャレになりません。
社会の安定になによりも必要なのは信頼であって、警察の捜査資料の管理や銀行の口座管理といったものは、一番信頼を要求されるものですから、これは大きな問題ですよ。

3月 7, 2006 at 09:44 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2006.03.06

捜査資料流出・借り上げＰＣ全廃に

読売新聞より「捜査資料流出の岡山県警、私物パソコンを全廃へ」

県警は、職員が公用に使うパソコンのうち「公用借り上げ」の私物パソコンを７月までに全廃することを決めた。

県の新年度予算案に新規購入を計上、順次公用パソコンを購入する。県警では、約２５００台の公用パソコンのうち、「公用借り上げ」の私物パソコンが約２００台を占めている。

２５００台のうち~~２０００台（８０％）が借り上げとは何なの？~~
コメントで指摘されました。２００台だから８％でしたm(_ _)m

これが実情なのかもしれないが、情報管理という点から根本的にまずいでしょう。
退職者とか仕事が変わるといった情報の環境が変化する場合にどうするのでしょう？
常識的には管理外になったつまりは流出した情報は沢山あるでしょうね。Winny でネット上に流出したから事件になっていますが、情報の管理という視点からはみると管理外のところに情報が蓄積されること自体がまずいワケで、８０％のＰＣの管理に問題があるというのでは、長期的にも何か起きても不思議ではない。

ＰＣの値段だけを見て借り上げという仕組みにしたのだろうと思いますが、情報管理のコスト総額という計算をするべきです。

なんか根本的にどうするのかを考えた方が良いですよ。

【追記】
Winnny で流出するためには、Winny をインストールして、運用して、さらにウイルスに感染する。といった段階が必要で私物のＰＣだから流出したということではありません。しかし実際に流出すると大騒動になります。
情報には大きさとか重さがほとんど無いので、小さな穴から大量の情報が流出することなります。
その意味では、借り上げＰＣがあるということ自体がリスクですね。しかし多くの会社でも同じ事になっているわけです。

3月 6, 2006 at 08:12 午前セキュリティと法学 | Permalink | コメント (4) | トラックバック (0)

2006.03.04

捜査資料流出・岡山県警

毎日新聞より「岡山県警：捜査資料が大量に流出　１５００人分、ネットに」

県警倉敷署の巡査長の私有パソコンがウイルスに感染し、ファイル交換ソフト「Ｗｉｎｎｙ（ウィニー）」のネットワークに流れた。警察の内部情報流出としては、過去最大規模。

資料は同署刑事１課勤務の４０代の巡査長が９９年９月～０２年１０月ごろ、県警が公用の使用を認めた自分のパソコンで作成。０２年１０月ごろ、このパソコンが故障したため、署長の許可を得てパソコンを自宅に持ち帰り、家にある別の私有パソコンに一時的にデータを移した。巡査長は県警に「移したデータは消去した」と説明したが、同課の調べで、普段は使わないフォルダーに全データが残されていたことが分かった。

県警は昨年６月、公用使用を認めたパソコンにファイル交換ソフトを入れていた場合、削除を全職員に指導。私有パソコンでも同ソフトの使用を禁じた。

巡査長は今年１月からウィニーを使用。パソコンの記録から流出は今年２月下旬ごろだったらしい。

これは非常に大問題というべきでしょう。
話を整理してみると、結果は情報流出で取り返しがつかないのですが、では事前にもっと何かできたのか？を考えてみると実行されたのであれば、これ以上はちょっと対策が無いのでは？と思います。

事実関係を整理してみます。

私物のＰＣで作業することを認めていなかった。
故障したので自宅のＰＣで作業した。
データを削除したつもりになっていた。
本人が知らないところに保存されていた。
Winny の削除は昨年６月に指示した。
しかし本年１月に Winny を入れたら、２月に流出したらしい。

これでは対策するといっても個人にＰＣを使わせない（シンクライアントなどで監視する）ぐらいしか対策が無いでしょう。
どうやれば個人にＰＣを使わせないようにできるのか？を考えると明らかに無理です。
その一方で、Winny は確かに情報流出で有名ですが、スパイウェアの技術は多くのアプリケーションが使いたいことの一つで無くすことはできない。
両方とも無くならないのですから、重要情報の流出を防ぐことはできない、となります。

また「重要情報の流出」と書きましたが「何が重要情報か？」という問題もあります。いやはやどうしたものでしょうかねぇ？

3月 4, 2006 at 11:46 午前セキュリティと法学 | Permalink | コメント (2) | トラックバック (2)

2006.02.27

情報流出・因果関係を整理しないのか？

海上自衛隊の艦艇の情報を持ち出したあげく私物ＰＣの Winny がウイルス感染していて機密情報をバラ撒いてしまったという事件に、産経新聞、東京新聞、北海道新聞が社説を出しています。
キーワードがモラル（産経新聞）、緊張感（東京新聞）、緩んでいる（北海道新聞）でキーワードだけからは「人的な問題、しかも個人的な問題」と読めます。

産経新聞社説より「海自情報流出　モラルの低下が露呈した」

問題は安全保障に関する情報管理のずさんさだ。通信業務を担当し、「極秘」情報まで扱うことが認められている海曹長は、職場のパソコン内にあった秘密情報を無断でＣＤ－Ｒに落とし、自宅に持ち帰っていた。防衛秘密を外部に持ち出すことは防衛庁の訓令で禁じられているのにである。

防衛庁は情報管理の徹底を指示したばかりだ。それだけに今回の流出は隊員個人や組織の情報管理の甘さにとどまらず、背後にはモラルの低下という大きな問題が内包されている。

東京新聞社説より「海自情報流出　緊張感が不足している」

ウイルスの危険は、コンピューターの初心者でも知っている。私物のパソコンに秘密情報を保存すれば、流出の危険が高まることも常識だ。隊員が部隊のデータベースから、容易に秘密情報を取り出していた実態も不可解だ。

さらに、情報管理をおろそかにした隊員個人だけでなく、隊員の危険な行動を抑制できなかった自衛隊組織の問題点を徹底的に洗い出し、事件の再発を防止する必要がある。

自衛隊の組織には閉鎖的な体質があり、情報管理をめぐる新しい知識に疎い面があるのかもしれない。秘密情報を扱う隊員については、教育課程も再点検すべきだ。

北海道新聞社説より「情報流出＊どこか緩んでいないか」

同じ過ちが繰り返されるのは綱紀に緩みがあるからといわざるを得ない。小泉純一郎首相が直接、防衛庁に防止策を指示したのは、そうした危機感の表れだろう。

ただ、インターネットへの情報流出が一部の組織や個人の問題ではなくなっているのも事実だ。

それでも、ファイルの持ち出しを防ぐ方策など官民それぞれの組織でできることはある。情報の万全な管理は、情報を預かる組織の責務だということを忘れないでほしい。

なんでこうなるのか？まるで情報流出させた人は「流出する可能性があるのを承知しているのに、危険を犯すようなモラルの低下」といった論理に読めます。

ウイルスの危険は、コンピューターの初心者でも知っている。

本気で「初心者でも知っている」＝「対処できる」と思っているのか？
多少ともＰＣの相談に乗った人にはこんなことは絶対に言えないだろう。

ＰＣは社会的には極めて強力な道具で、ネットワークをＰＣで利用出来るようになったのは人類史上で自動車の実用化以上の大変化ではないかと思っています。
確かに昔のMS-DOSマシンに比べると「誰でも使えるようになった」のは事実ですが、社会常識が時間の経過に対して水平線であるとすると、時間が経つにつれて簡単になるのは下り勾配の線なのでしょう。
一方、ＰＣ（の及ぼす影響）はどんどん大きくなっているのですからこれを上り勾配だとすると、常識の水平線が使いやすさを上回った時点で「誰にも使える」になったわけですが、同時に能力も増えているので全体が把握できなくなっています。

「初心者でも知っている」のか「誰にも分からない」のかどっちなのだ？

いずれにしろ「人だけを何とかすれば対処できる」のは間違えだろう。
どうも日本の「結果だけを重視する」という姿勢が最近強くなってきたように思う。情報流出問題への対処は決して簡単ではないし、場合によってはかなりの対策費が必要になる。公務員の多くが私物ＰＣを仕事に使うところにかなりの問題があると思ってます。

2月 27, 2006 at 09:46 午前セキュリティと法学 | Permalink | コメント (4) | トラックバック (0)

2006.02.25

メールの証拠能力の扱いは？

今回の民主党・永田議員の「メールを印刷したモノのコピーを証拠として告発」したというのが「証拠になるかよ？」となっているわけです。
「証拠はあるのか？」とは誰もが問題にするところですが、実はちゃんとした手法は研究されていて、日本でも提案されています。まだ一般的に通用しているとは言い難いのですが「デジタルフォレンジック」と言います。

証拠とは刑事・民事で評価が違うのですが法律の世界では「絶対的証拠」というのはありません。その意味では「これは怪しい」というのは十分にそれだけで証拠であります。
よって「証拠Ａというが、事実Ｂと反するのだが？」ということになると「証拠Ａは確かなのか？」になってその事件は「怪しいとは言えない」＝「怪しくない」となります。

特にデジタル技術ではコピーによる劣化がありませんから「証拠Ａは後から書き加えたから、インクの色が違う」なんてことがありません。「後から」かどうかは「時間の記録」を見るしかないです。

この話の怖いのは「このメールには３年前の・・・」なんてことを主張しても、実は昨日作ったものかもしれない。
ということです。ただ、絶対的証拠や証拠能力よりも特に民事では「総合して判断する」ですから、裁判の実務や社会常識の範囲では使い物になるのです。

ちょっと挙げた「メールを作った時刻を証明する」という話になると、メールの内容などを印刷物で判定するなんてのはまるで無理で別の技術が必要なってきます。そうしないと「証拠を示す」ことすら出来ません。それを「デジタルフォレンジック」と呼びます。

「特定非営利活動法人デジタル・フォレンジック研究会」の役員構成を見ると、２２人中の５人が顔なじみというのはわたし個人としては問題があるような気がします(^^ゞ（世間がドンドン狭くなる）

デジタル・フォレンジックとは？
インジデント・レスポンス（コンピューターやネットワーク等の資源及び環境の不正使用、サービス妨害行為、データの破壊、意図しない情報の開示等、並びにそれらへ至るための行為（事象）等への対応等を言う。）や法的紛争・訴訟に対し、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術を言います。

デジタル証拠の確保が図られることによって、コンピュータセキュリティを積極的に維持することができます。具体的には、以下のような分野に展開されます。
１.ハイテク犯罪や情報漏えい事件などの不正行為発生後にデジタル機器等を調査し、
いつどこで誰が何をなぜ行ったか等の情報を適切に取得し、
問題を解決するインシデント・レスポンスとして。

２.定期的にフォレンジックを用いた監査を行う事により、
不正行為の発生を抑止するとともに発生後の対応を迅速に行えるようにする、
広義の意味でのインシデント・レスポンスとして。

３.デジタル・データの保全、解析、保管等の取り扱い手法に関して適切に行われているかを議論する事により、
相互の法的権利を正しく守る活動として。

大変にややこしい説明で、白浜シンポジウム・湯沢シンポジウムなどでも繰り返して説明されている内容です。
しかしこのややこしい問題が本質的には「証拠という万人が了解できる情報を確定する」ことなのですが、この種の配慮や措置をしないで出てきた「永田（紙）コピー」のようなものは信用しろという方が無理、というべきです。

こんなことを総合して考えると、永田議員のやったことは「自動車を運転しているから、自動車メーカの技術に通じている誤解した」といったレベルの話ですが、インターネットやメールというものについてあまり詳しく知らずに使っている・使えるといったことを忘れていたのか知らなかったのでしょうね。

PS 前原代表は、メールは証拠にならないが真相追求をする、記者会見しましたがその根拠は示してないですね。なんなんだ？

2月 25, 2006 at 11:58 午前セキュリティと法学 | Permalink | コメント (2) | トラックバック (1)

2006.02.23

Winny・海上自衛隊の機密情報が漏洩

毎日新聞より「海自機密データ：「極秘」暗号書類などネット上に流出」

海上自衛隊の「極秘」と書かれた暗号関係の書類や、戦闘訓練の計画表とその評価書など、多数の機密データがネット上に流出していることが、２２日分かった。流出した海自情報はフロッピーディスク約２９０枚分に相当する膨大なもの。約１３０の自衛艦船舶電話番号や顔写真付きの隊員名簿、非常時連絡網なども含まれており、防衛庁は事実関係について調査を始めた。

情報は、ファイル交換ソフト「Ｗｉｎｎｙ（ウィニー）」のネットワークに今月中旬に流出した。ファイルの内容などから、護衛艦「あさゆき」の関係者のパソコンが「暴露ウイルス」に感染したことが原因とみられる。

また、Winny ですか！ですな。
どうも Winny による情報流出について、報道は基本的に分かってないのではないか？と強く思います。

情報漏洩の危険を防ぐために何が必要か？という問題と、情報を扱いやすくするにはどうするか？というのは、基本的にほぼ相反する命題です。
情報で一番扱いやすいのは「誰でもアクセスできるもの」で例えばＮＴＴの電話帳なんてのは扱いやすい方の代表格でしょう。「電話帳を見ると住所が出てるよ」と電話で言うだけで情報の共有が出来ます。

情報を段々と秘密にしていくと、基本的には「アクセスしにくくする」になっていきます。
パスワードを付ける、暗号化する、なんてのはすべてアクセスしにくくするから情報が漏洩しない、という原理で簡単に言えば「情報を金庫に閉まって、カギを掛ける」といったイメージです。

Winny はＰ２Ｐソフトの代表格で、ネットワーク上のＰＣがお互いの情報を直接通信するもので、特別な設備投資などをせずにインターネットを利用できる、と考えると非常に有望な技術です。
しかし、これは上記の「情報を金庫にしまって、カギを掛ける」というのとは正反対に近いことです。

Ｐ２Ｐは自分のＰＣが情報を外部から取り出せるようにする、つまりサーバー機能を持たせることと同義語です。それだけでかなり高度な注意が必要だと言えます。サーバーを設置して安全に運用することは誰もが簡単にできる、と言ってはまだダメでしょう。

しかし、もっと重要だとわたしが思うのは「基本的にセキュリティをどう考える？」が整理されていないのではないか？と強く思うのです。
このところ行政（自衛隊も含む)からの情報流出に「Winny で」というのが連続しています。その多くが、個人用所有のＰＣを自宅で使っていた。という例ばかりです。
ごく普通に考えても「個人の用のＰＣに行政の情報を入れさせるものか？」ですし、まして「自宅でネットを接続して作業する」とはどういうことだ？となります。

言うまでも無く、お役所を初め企業などはネットワークにファイヤーウォールを入れるなどで、ネットワーク全体を管理しているのですから「自宅で同じＰＣを使う」では何のための設備投資か？となってしまって「意味無いだろう！！」なのです。

問題は

職場外に情報を持ち出すことの問題
個人ＰＣで仕事をすることの問題
情報の機密度に応じて、ＰＣなどを使い分ける必要性

があると考えていますが、これをすべて無視した上に「情報流出の可能性が極めて高い Winny を使った」なのです。
何段階もあるフィルターをすり抜けて最後が Winny だとするのなら、行政などが「なんで情報を持ち出させたのか」や「個人ＰＣで仕事をすること是認して良いのか」という組織の情報セキュリティ・レベルの甘さの問題、だと言えます。

セキュリティの問題はハードウェア・ソフトウェアにお金を掛ければどうにかなる、という問題ではなくて教育・訓練などにこそお金を掛けるべきです。結局は最初に書いた現場が「利便性」＝「コストダウン」の追求に傾き過ぎている、ということでしょう。

2月 23, 2006 at 08:10 午前セキュリティと法学 | Permalink | コメント (1) | トラックバック (2)

2006.02.01

山梨県・インターネット監視ボランティア

山梨日日新聞より「ネット犯罪防げ　サイバーパトに市民〝出動〟」

県警がボランティア２８人を委嘱　監視サポート

ヘッドラインしか無いのでこれだけです。どうなっているのか分かりません。

そこで山梨県警のＨＰを見てみるとこんなページを見つけました。「山梨県警察本部　山梨県インターネットプロバイダ連絡協議会」中には

宣言文
事業計画
会員名簿
サイバー犯罪の防犯対策
インターネット事件簿
山梨県警察本部ホームページへ

と並んでいますが、どれかをクリックすると

事務局
山梨県警察本部刑事部
生活安全企画課サイバー犯罪対策
０５５－２３５－２１２１

と出てきます。
うーむ県警が事務局のプロバイダー連絡協議会ですか・・・。
「宣言文」を読むとこの「協議会」の事業目的がはっきり書いてあります。

私たちは、山梨県において、ネットワークサービス提供に関わる業務を行う者として、自ら及び業界に課せられた社会的責任を自覚し、ネットワーク環境の浄化と健全な発展を目指すとともに、県民の健全で安心できる日常生活や経済活動を確保するため、会員が一致協力して次の事項を推進します。
○コンピュータ・ネットワークを利用した犯罪の被害防止
○自主防犯体制の強化、適正事業の推進
○青少年健全育成対策の推進
○会員相互による連携の強化と情報交換体制の確立
○インターネット利用者等に対する自主防犯意識の啓蒙
事務局
山梨県警察本部刑事部生活安全企画課ハイテク犯罪対策室
０５５－２３５－２１２１

なんかすごいものを見つけてしまったような気がしています。

2月 1, 2006 at 07:55 午前セキュリティと法学 | Permalink | コメント (1) | トラックバック (1)

2005.12.23

忘年会

昨日は「リンク総合法律事務所・懇親会」なるものに参加してきました。
紀藤弁護士の事務所の忘年会ということですが、立食パーティー型式で３時間もやってました。
参加者は１００人ぐらいかと思いますが、小宮山衆議院議員、経済評論家の荻原博子氏、ＴＢＳ、テレビ朝日といったところが挨拶したりとなかなか幅広いところからの参加者でした。

大きく分けて、リンク総合法律事務所の全職員＋所属弁護士全員、関係のある弁護士、放送局、出版社、新聞社などマスコミ、宗教問題被害者、我々ネットワーカーなどといった思い切り幅広いメンバーでした。

二次会でも２０人ぐらいいたのではないでしょうか？わたしは二次会までだったのでかろうじて終電で帰って来ました。

今回は毎日新聞社の教育取材班の方とコンタクトが付いたのがわたしには一番の収穫でした。

ホームオブハート事件や平和神軍事件、奥平事件などは当事者を良く知っていますし、裁判も傍聴していて、今年になって関わった中西 vs 松井裁判では応援サイトの運営などを手伝っています。
９７年ぐらいからネットの法律問題は現代思想フォーラム裁判で身近になってきましたが、裁判の実際は新聞報道と同等でごくマレに当事者から報告がある、いった情況が続いていて、ネット上で裁判あること知っていても傍聴するといった方は極めて少ないのが実情でした。

わたしが裁判に関わったのはホームオブハート事件となりますが、この裁判からわたしは傍聴記を公開するようなしたのですが、この次期からブログが普及したこともあって傍聴記などがネットに出始めました。
中西 vs 松井裁判では関係者が学者ばかりなので元々ＨＰで「この裁判は問題だ」と取り上げている方が複数いらっしゃったことなどもあって、意識して「ネットで情報を拡大しよう」と企画してみました。

掲示板の参加者にも多方面の意見をいただくようにして、個々の見解についてＨＰやブログで公開といったように、なるべく多くのサイトに出していただくようにお願いしました。
これは基本的には「ネット上で盛り上げる」という感じだったのですが、驚くべき事には傍聴者が増加してしまいました。

傍聴記をＨＰや掲示板に書く→コメントする人が居る→次は傍聴する、といった展開になっています。
実際に裁判を傍聴すると「次回も見よう」と思うものですが、ネット上でもこのような感想が出てきたわけで、いわば裁判のネット公開になったわけです。
これは予想外でしたが、ここまでの動きは全部で２年間なのです。
実に急速に動いたわけで、リンク総合法律事務所の懇親会も弁護士事務所がやるパーティとしてもちょっと異例でしょう。つまり法律・裁判といった業界も急速に変わりつつあることがハッキリした一年でありました。

12月 23, 2005 at 08:59 午前セキュリティと法学 | Permalink | コメント (1) | トラックバック (0)

2005.11.02

裁判員裁判の実施要領

朝日新聞より「裁判員制、量刑検索が可能に　証拠は減量　最高裁試案」

導入まで３年半に迫った裁判員制度をめぐり、裁判をどうわかりやすく進めるかについて最高裁がつくった試案の全容がわかった。

これまで実施してきた模擬裁判では、裁判員と裁判官の間で量刑判断に差が出るケースが目立った。
過去の似たような事件でどんな判決が出たかを裁判所の「量刑検索システム」を使いやすく改良し、裁判員はもちろん、検察官と弁護人にも開示するとした。

証拠を大幅に減らすことにも力点を置く。そのため、検察官と弁護人が争いのない点については公判前に「合意文書」をつくり、簡潔な証拠として示す制度の活用を提唱している。

裁判員制度のイメージが固まって来てシミュレーションドラマが放送されるようになった時に一番感じたのが「裁判員が裁判に関わるので拘束されるのは２～３日だ」という点で「そんなに簡単に進むものか？」と思ってました。

朝日新聞の記事のように「量刑の決定で混乱する」のはもちろんとして前例やいわば相場というか常識といった点の議論になるだろうから、２～３日で結論が出せるモノか？と思っていたわけです。

また、膨大な証拠を読むというのはやったことが無いですが、法廷に出される証拠の山を見るとこれを読むこと自体がとても大変そうで法曹界の人たちは常識としてやっていることが経験が無い人がすぐに出来るモノか？という思いもあります。
だからといって簡易にすればよいということでも無いでしょうから、やってみないと分からないということなるでしょうか？

まぁそれでも裁判所（最高裁）が一生懸命やっているという印象は受けますね。
実際に地裁の裁判を見ていると、傍聴人をかなり意識している裁判官を増えてきたようで、裁判員制度の実施に向けて裁判所はオープンに市民は裁判に関心を持つ、というのは大事なことだと思います。

11月 2, 2005 at 04:07 午後セキュリティと法学 | Permalink | コメント (2) | トラックバック (3)

2005.10.16

鳥取県の人権条例・その２

１０月１４日書いた鳥取県の人権条例にはコメント・トラックバックをいただいたが、毎日新聞社説も非常に厳しい批判をしている。

そもそも一つの県に固有の人権侵害が存在するのかどうか。基本的人権は、全国どこでも等しく保障されるべきだ。必要なら法律で一律に保護するものではないのか。

条例では、人種差別や虐待、セクハラ、差別につながる興信所による身元調査など８項目を禁止すべき人権侵害と規定した。この中で「私生活に関する事実、肖像その他の情報を公然と摘示する行為」を禁止すべき行為に挙げた。プライバシーが保護されるのは当然だが、憲法で保障された「表現の自由」を制約しかねない条項を見過ごすわけにはいかない。

委員５人は知事が任命し、事務局員は県職員が担当する。さながら知事直轄の監視機関である。知事や県幹部の「人権擁護」はさぞかし盤石になるだろう。

その一方で行政機関の人権侵害の追及には「抜け穴」を作っている。条例には「公共の安全と秩序の維持に支障を及ぼすおそれがある時は、人権侵害の事実の有無を明らかにせずに協力を拒否できる」との項目を挿入した。実態として刑務所や拘置所などを調査の対象から外しているのだ。

法律や条例に違反すると裁判に掛けられて処罰される、と理解されています。
ところが個人情報保護法を勉強していて行政法ではまず行政処分があって、行政処分に反すると初めて裁判となり懲役刑もある、という構造であることを知りました。

このことをだいぶ前に「行政法を適用されると一般に厳しく処罰される傾向がある」と聞きました。

要するに三権分立の抜け道的な側面があるということですね。
さて鳥取県の人権条例はどうか？と見てみると、基本的に人権委員がまず呼び出すわけですが、場合によっては反論できる機会すらありません。つまり事実関係を争うことが出来ない。
そして処分があって、不満であれば行政処分不服審判にでもするのでしょうかね？

基本的に行政法の考え方は手続きが正しいのかを行政が監視しているというものであって、結果について評価するのはヘンじゃないかと思うのです。それは国の司法の問題です。
そういう点からもかなり憲法違反の条例である疑いが強いと思います。

10月 16, 2005 at 09:51 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2005.10.14

鳥取県の人権条例

読売新聞社説より「［鳥取人権条例］「拙速な制定に追従すべきでない」」

鳥取県が全国に先駆けて「人権救済条例」を制定した。差別的言動や虐待など、人権侵害の被害救済を目的とし、来年６月に施行される。

救済機関となる人権侵害救済推進委員会は、知事が任命する男女５人の委員で構成される。被害救済の申し立てを受けて調査を開始し、加害者側に是正勧告などを行う。従わないと氏名、住所などが「公表」される。

委員会の調査権限は絶大だ。条文上は事情聴取や資料提供などの「協力」を求めることができる、とされているが、拒めば５万円以下の過料が課される。実質的な処罰規定で、調査に応じることを強制しているに等しい。

ずいぶん強力な条例を制定したものだと思う。
「人権」と名付けるとなんか特別のものがあるように感じるが名誉毀損と重なるのではないか？と直感的に思う実際にこのようなことらしい。

「名誉又は社会的信用を低下させる目的」で、「私生活に関する事実を公然と摘示する行為」に当たる、と判断されれば、是正勧告の対象となる。

読売新聞社説などは報道機関が適用除外になっていないことを問題にしている。

「人権侵害」の定義があいまいな上、報道機関が適用対象とされていることも大きな懸念材料だ。
報道の公共性や公益目的の有無などは勘案されず、政治家の不正疑惑を追及する記事なども一律に規制対象になる恐れがある。
その一方で、行政機関の長が、調査への協力は「捜査」や「刑の執行」、「公共の安全と秩序の維持」などに支障を来す、と判断すれば、協力要請を拒めるという規定もある。

警察や刑務所での強圧的取り調べや、職員による暴行事件がしばしば問題になる。救済申し立てがあっても、県警本部長や刑務所長が「ノー」と言えば、調査はそこでストップしてしまう。

私人には罰則を課しながら、公権力機関には“抜け穴”を用意するなど、条例は著しく均衡を欠いている。委員会が実質的に県の付属機関となっている点も、独立性の点で問題がある。

しかし、わたしには名誉毀損罪として刑法・民法で定義されていて手続き的も長年の実績がありる法律問題について条例を定めてはどちらで判定するのか？という問題になってしまうし、そもそも反論のしようない条例のように見えるから鳥取県弁護士会が会長声明で「憲法違反の恐れがある」と述べたのは当然ことと言える。
この条例については引き続き検証する必要がある。

10月 14, 2005 at 08:37 午前セキュリティと法学 | Permalink | コメント (8) | トラックバック (3)

2005.08.22

会社から通帳と印鑑を持ち出したドロボー？

「オンライン操作で２億５千万円の詐取？」を書いたのは８月１０日で、事件は８月１日に起きていた。
オンラインで銀行から詐取というのもすごいと思ったが、塾業界にお金があるのねという事も感心した。オンラインで出し入れ出来る預貯金が億円というのがすごいと思っていたらこんな事件があった。
読売新聞より「「Ｚ会」子会社、通帳盗まれ７億５千万円引き出される」

犯人は、社内の金庫に保管されていた預金通帳を持って都市銀行の窓口に現れ、堂々と大金をせしめていた。警視庁神田署は窃盗や業務上横領の疑いで捜査を進めているが、「社内の事情を知る者の関与が濃厚」という指摘に、会社関係者は戸惑いを隠せない。

いやはや驚いた。
通帳と印鑑を盗まれて、って個人の家でも「通帳と印鑑は一緒に置くな」と言われるし、最近は通帳に印鑑を捺さないのも、通帳を盗まれても印鑑が分からないようにして安全を高めるためだ。
さらに、会社の金庫に保管してあるのが盗難されたのなら「開けた手口」が分かるだろう。

警察じゃなくても「社内の事情を知る者が関与」としか思わないだろうが、それを「会社関係者は戸惑っている」というのはどういうことなのだろうか？
偏見だとは思うが「塾業界は大金の管理が甘いのか？」と思ってしまう。

8月 22, 2005 at 06:22 午後セキュリティと法学 | Permalink | コメント (2) | トラックバック (0)

2005.08.19

通信傍受法の活用と言われても

北國新聞社説より「サイバー犯罪　通信傍受法生かすべき」

インターネットなどの情報技術を悪用した「サイバー犯罪」が急増し、かつ凶悪化している現状は、法制面の整備も含めて新たな対応を迫っているといえる。

いきなりこう始まりますか・・・・・。

通信傍受法は組織犯罪対策三法の一つで、薬物・銃器・集団密航・組織的殺人の四分野に限り、捜査機関が裁判官の令状に基づき電話やファクスのほか電子メールを傍受することが認められている。
同法の適用につては、「通信の秘密を侵してはならない」とする憲法二十一条に抵触するとして反対意見が根強く、適用を拡大するとなると抵抗もあろうが、凶悪犯罪を防ぐため、野放図に流れるネット上の有害情報を監視し、規制する方策を考えるべきときにきている。

だから「どうやってやるのだ？」と考えると、使えない法律だろうという見解が出ているのだが・・・・・。

政府が先にまとめたネット上の違法・有害情報対策は

有害サイトの閲覧を制限できるソフトの普及
接続業者による有害情報の自主規制支援
違法・有害情報に関する専門相談窓口の設置

などで、これら対策の具体化も急がねばならない。

だから、それをどうやってやるのさ？
今、ネットワークを規制する（ある種の規制は必要だと思うが）のが難しいという議論をしているつもりなのだが、ここまで単純化した「ねばならない」とか社説で言われても「だからどうした？」と投げ返すしか無いと思う。ネット問題についての既存マスコミの記事は相変わらずかなり偏っていると思わざるを得ない。

8月 19, 2005 at 09:06 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (1)

2005.08.10

オンライン操作で２億５千万円の詐取？

IT Pro より「ネット・バンキングで無関係口座に2億5500万円振り込み被害、学習塾の修学社」

学習塾「シドウ会」を経営する修学社は8月8日、何者かがネット・バンキングで同社の口座から2億5500万円を無関係の口座に振り込み、現金で引き出したと発表した。
利用していたのはみずほ銀行のネット・バンキング。パソコンは社内に設置した1台に限定しており、操作する社員も二人に限っていた。同社は「社員二人は振り込み予約が実施された時刻には、すでに社内にはいなかったので、内部犯行の可能性は低い」としており、スパイウエアなどを利用した犯行の可能性もある。

要するに、インターネットバンキングで、操作担当者と利用端末が確定してい、それを使っていないことがはっきりしている、ということなのだろうけどこれでは「インターネットバンキングは使えない」となってしまうので注目していました。そうしたら続報が「【続報】2億5500万円の不正振り込みは専用端末によるものと判明」ときました。

ネット・バンキングではなく、ホストと電話回線でつながった専用端末であることが分かった。これにより、ネット経由での不正アクセスの可能性は低くなった。
同社が利用していたサービスでは、特定のパソコンを使った上でID/パスワードによる認証に成功しなければ、振り込み操作はできない。犯人は8月1日の 22時30分に、同社が持つみずほ銀行の口座から、翌日に2億5500万円をほかの口座に振り込むよう予約手続きをしていたことが分かっている。
ネット経由での不正アクセスによるものでないとすると、内部犯行や、同社内に侵入して直接端末を操作した可能性などが考えられる。

どうも今ひとつ理解出来ないのだが、この会社は銀行とインターネットバンキングではないオンラインサービスの回線を持っていたということなのだろうか？
だとすると、それを監視記録する装置はあったのかね？実際には何があったのだろうか？

8月 10, 2005 at 01:47 午前セキュリティと法学 | Permalink | コメント (9) | トラックバック (1)

2005.08.08

ひどい青森県の条例

Respose より「個人情報保護法を理由に処分者の実名公表を見送り…青森」

青森県教育委員会は3日、酒気帯び運転で事故を起こした46歳の中学校教諭と27歳の高校教諭を同日付けで懲戒免職処分とすることを決定した。これまで実施されていた氏名公表については、県の個人情報保護法を理由に公開が見送られることとなった。
この条例には「本人、または第三者の権利利益を不当に侵害させる恐れがあるときは保有する個人情報を提出できない」という規定があり、これまでどおり実名を公表した場合には「第三者である学校や生徒の名誉を傷つける」と判断されたようだ。

こんな条例は許されないだろう。
「第三者の名誉を不当に侵害させる恐れのある場合」では「全部」にしかならないだろう。
明らかに個人情報保護法の解釈間違いであって、この条例は個人情報保護法とは無関係の「情報隠し条例」以外の何物でもないと思う。

8月 8, 2005 at 10:55 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2005.07.06

価格.COMハッキング犯が逮捕された？

サンケイ新聞より「２４万人分の顧客情報入手か　中国人留学生を逮捕」

今年３月、旅行会社クラブツーリズムのサーバーから大量の顧客情報が外部流出した事件で、警視庁ハイテク犯罪対策総合センターは６日までに、不正アクセス禁止法違反などの疑いで、私立大学に通う中国人留学生の男を逮捕した。
警視庁によると、このほか、カカクコムやアデコ、静岡新聞社がそれぞれ運営するサイトから不正入手したとみられる計約１３万人分の個人情報も残されていた。

あらら大物逮捕かと思ったらどうもそれほどのことではないらしい。

男は「（個人情報をネット上で売却して）学費を稼ぐために１人でやった」と供述しているという。調べでは、男は３月１５日から１７日にかけ、自宅のパソコンから、クラブツーリズムが管理するサーバーに断続的に侵入。同社の会員の氏名や住所、電話番号、ＩＤやパスワードなどを入手した疑い。

ええ？である。この供述だと素人の小遣い稼ぎと読めるが、そんなことで価格.COM が停まってしまうようでは、大問題だろう。
組織的にやっているグループの末端とか、犯行（犯罪だから）マニアの情報ネットワークとかあるのでしょうかね？

いずれにしても、この手の犯罪抑止は「引き合わない」ようにさせるのが最も良い手段であって「完全・絶対防御」とか言っても「ズボッと抜かれる」というのが一番困ります。
ソフトバンクＢＢの事件は、インターネットカフェでダウンロードできたという事例です。
インターネットカフェからアクセスできるというのもひどいが、名簿などがダウンロード出来るというのは怖い。
顧客対応のために個人情報に触れる業務があるのは当然であるが、個々の顧客対応のためにダウンロードする必要なんて無い。
つまり、ソフトバンクＢＢは二重に危険を犯していて、結果的に大量流出となった。これでペナルティが無いのはヘンではないか？
ある程度の規模で個人情報を扱っているところは、強制的に保険に入れてしまって、アクシデント・インシデントに応じて保険料を変えてペナルティを課すとかするべきでしょう。
確かにドロボーは罰するべきだが、消費者が期待する鍵を掛けていないことがペナルティにならないのでは改善されないだろう。

7月 6, 2005 at 11:56 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (2)

2005.06.18

全日空のＰＣ盗難・内部犯行だったが

北海道新聞より「全日空子会社の社員逮捕　パソコン３台盗む」

この事件はこういうことです。

読売新聞１７日２３時の記事「パソコン盗まれ５３００人分情報流出…全日空本社ビル」
全日空は１７日、東京都港区の同社本社ビルで約５３００人分の個人情報が入ったパソコンが盗まれたと発表した。
パソコンが置いてあった部屋は施錠されていたが、１５日夜から１６日朝にかけて何者かがマスターキーを使って侵入した可能性が高いという。

誰が考えても中で仕事していた人物が犯人だろう。

パソコン３台が東京都港区の全日空本社ビルから盗まれた事件で、警視庁愛宕署は１８日、窃盗の疑いで埼玉県入間市に住む同社子会社社員の男（３２）を逮捕した。

厨房ですか？
全く何を考えているのやら？いや、全く考えてないのか？

しかし全日空は大被害です。今頃、何人もの管理職が総動員態勢でしょう。個人情報保護法対応策を国土交通省に提出することになります。もちろん、文章だけでなく実際の対応策を実行しなければならない。
法律は行政からの是正命令などがペナルティとして働くから個人情報取扱事業者は個人情報の管理をキチンとするだろう、という想定なので今回の時点で全日空に実質的なペナルティが課せられるのは法律の運用として全く正しいです。

しかしですね、こんな厨房か？というような人物が引き起こした事件のようなものは極めて小さな確率ではあっても防げないですからね、全日空の担当者としては「冗談じゃない」でありましょう。

6月 18, 2005 at 10:48 午前セキュリティと法学 | Permalink | コメント (1) | トラックバック (0)

2005.06.17

個人情報保護法に刑事罰というが

読売新聞社説より「過剰規制にならぬ配慮が必要だ」
民間企業の社員に個人情報流出事件に刑事罰を科す、個人情報保護法の改正案を自民党が検討していることについての社説です。

現行の個人情報保護法は、大量の個人データを扱う事業者を規制する法律で、情報を漏洩させた実行行為者を直接処罰する規定はない。
法の制定後も、社員らが大量の個人情報をコピーして持ち出す事件は後を絶たないが、警察は捜査に動けず、抑止効果も期待できないのが実情だ。
流出した情報は、振り込め詐欺や架空請求などにも悪用されている。大量流出の場合、企業が情報の被害者に配る謝罪の金券なども巨額にのぼる。
法律に「隙間（すきま）」があることは以前から指摘されていた。犯罪の“張本人”を罰する規定は、やはり必要だろう。相次ぐ事件に歯止めをかけるためにも、早めに対処すべきだ。
ただ、処罰規定を設ける際には、構成要件などに慎重な配慮がほしい。

ようするに刑事罰は必要だという社説なのだが、現時点では個人情報流出事件のかなり多くが事故です。

コンピュータ犯罪の白浜シンポジウムでの報告では３割が盗難、置き引き、車上荒らし、置き忘れなどとのことですからこれらに刑事罰を科して流出事件が減るものでしょうかね？
この数字は報道のデータによるものですから、子細に調べると犯罪的に個人情報が流出した事例はもっと減るかもしれない。

確かに法的には問題かもしれないが、その多くは個人情報保護法が個人情報に重要度などを全く評価しないから、という面も多く流出事件の報道で「クレジットカード情報は出ません」とかになっているのは、実態としては情報の重要度が問題だとしていることの反映でしょう。

個人情報保護法の「個人情報とは」が現状のままで刑事罰を科すとなると「名刺を落としたから警察に来い」ということになるわけで、これはどう考えても無理です。
つまり、個人情報保護法の「個人情報の定義」を変更しないと刑事罰を科すことは無理だろうと思うのですが、読売新聞の社説はそこまで検討している形跡を感じさせませんね。

6月 17, 2005 at 09:44 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2005.06.07

弁護事務所がファックス誤送信

北海道新聞より「破産受理票を誤送信　旭川の弁護士事務所」

同事務所によると、四月四日、担当弁護士が女性職員に受理票を債権者六人にそれぞれファクスするよう指示。職員が送信後、担当弁護士がファクスの送信記録を確認したところ、六人のうち一人分だけが別人に送付されていたことが分かった。

ファックスの誤送信は良くある話で最近ではファックスからメールに連絡手段が変わったら誤送信とＣＣでメールアドレスを公開してしまう、という別の問題も発生しています。

これらは個人情報保護法上の情報流出に当たりますから、なんかもっとうまくやる、事故が起きないようにする、といった対策が必要ですが、有効な対策があるか？となると難しいです。

わたしの住んでいる地域のケアプラザ（福祉法人）から、同報メールを安全に出す方法などを含めた相談を受けていますが、同報メールで事故を起こさないようにとなると、送信専用のメーラを使うしか無いようですね。
調べてみたら「メールマジック」というソフトウェアに当たりましたが、SPAM 発信にも使えるわけで（^_^;）悩ましいものですね。

一宮の小学校の先生の流出事件でも、今回の弁護士事務所からの流出事件でも、記事を読んで「注意しよう」ではいつかは流出すると考えて良いのではないか、と思います。
つまり具体的に「こう対策したから、安全性は高まった」と誰もが判断出来るような対策が良いのかな、と思っています。

6月 7, 2005 at 09:28 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2005.06.04

一宮の小学校から情報流出は面倒な事件だ

Tetsu=TaLowの雑記さんの記事「[セキュリティ] バカ？」も見解を述べていますが

北陸中日新聞より「全児童名簿がネット流出　愛知・一宮の市立小」
ちょっと前の事件だが、整理された記事がなくてちょっと書くのを控えてきました。

一宮市教委によると、これらの個人情報は小学校で作成、管理されたもので、二〇〇四年三月末ごろ、同小学校の当時の校務主任の男性教諭（４７）が、ＰＴＡへの案内状作成や成績処理作業を行うため、持ち運びできる外部メモリーに保存して自宅へ持ち出した。この教諭は息子のパソコンで作業し、データを消去しなかったため、個人情報がそのまま息子のパソコンに残った。
息子はこのパソコンでファイル交換ソフト「ウィニー」を使っていたが、今年三月五日から三十日までの間、ウィニーが自動的にデータを外に流すウイルスに感染、パソコンは常時インターネットにつないだ状態だったため、そこから情報が漏れたとみられる。

２００４年３月つまり１年以上前に、自宅の息子つまり他人のＰＣにコピーして作業し、そのまま削除しなかった。
その後、Winy でウイルスに感染しデータが流出した

この問題は、
　　　１　データを持ち出した
　　　２　他人のＰＣで作業し、消さなかった
　　　３　Winy を使用していて
　　　４　ウイルス感染していたので、流出した

と言えるでしょうが、実は流出したデータを見てみるともっとやっかいな話しのようです。

名簿には児童の氏名や電話番号、保護者名、住所のほか、一緒に登校するグループの通学班、兄弟姉妹の名前と学年クラスが記載されていた。教職員名簿には、住所、年齢、教員免許の種類、出身大学と卒業年月が書かれていた。
さらに、運動会で児童がグループで走っている写真など複数の児童写真も流出していることが確認され、同教諭が〇三年度に担当した三年生の体育と四年生の図工の個人成績表も流出していた。

この流出データを見るとどう考えても一つのファイルではない。つまり、フォルダーか最悪の場合ドライブの内容をコピーして持ち出したことになるでしょう。
なまじメモリーにコピーして持ち出せる技量があったことが被害を拡大したと言って良いでしょう。

こういう事件に対して「管理を強化する」でなんとかなるものなのでしょうか？
廃棄ＨＤＤから情報が流出した場合に、なんでＨＤＤを破壊しておかないのか、という非難のようなものかもしれません。とてもじゃないが、当事者にそのような先の先の問題を理解しろというのが無理なような気がします。
じゃあ「とにかく持ち出すな」で済むのかと言えば「持ち出せないからコピーする」になるに決まってます。社会全体としてコンピュータデータをやり取りしているという現実があるのですから、持ち出すな・ネットに接続するななんてのは全くの無理です。

この先生がやるべきことは
　　　１　持ち出すデータは必要なファイルだけに限定する
　　　２　作業するＰＣにはファイルをコピーしない
　　　３　作業中はネットワークを切断しておく
　　　４　作業終了後に TEMP ファイルを削除
といったところでしょうか？
そもそも他人のＰＣで作業するというのが論外で、他人のＰＣでやるなら仕事場（学校）の同僚に委託するべきだったでしょう。

後から見ると「そんなの常識だ」と思えるし「よくよく間の悪い組合せで流出した」とも思えますが、その「滅多にない組合せ」で事件は起きるのですね。

6月 4, 2005 at 10:00 午後セキュリティと法学 | Permalink | コメント (3) | トラックバック (1)

2005.05.30

ACCS裁判の余波？

弁護士五右衛門さんの「IT技術者のためのデジタル犯罪論」にあった記事です。
東京地裁判決の具体的不当性について

あるWeBlog に下記のような記載があった。
このWeBlog主は自分のWeBlogへのアクセス解析を見ていて、たまたまＵＲＬをクリックしたら、某大学のメールボックスに入ってしまい、当該大学のメールが見放題という状態となったらしい。
東京地方裁判所のＡＣＣＳ事件についての平成１６年３月２５日判決の論理で考えると、彼の二回目のメールボックス閲覧はどのような評価を受けるのだろうか。
東京地裁判決の論理を敷衍すると、不正アクセス行為に該当し、不正アクセス禁止法違反で有罪となるように思える。

そもそも ACCS 事件とはコンピュータソフトウェア著作権協会（ACCS）のセキュリティが甘いことをプレゼンテーションで実演してしまったことを不正アクセス禁止法にひっかかるのかという裁判があって、東京地裁の判決は「通常パスワードで保護されているはずのところにアクセスしたのだから不正アクセスだ」という内容でありました。

そこで上記の記事になるわけですが、引用先の記事を読むとさすがに驚く。少なくとも東京地裁は「通常パスワードで保護されている」ということの検証はしていないだろう。もし逆に「通常隠すべきところが保護されているとは言えないのだから」だったらどうするだろう？

どうも法律と世間の向いている方向が違うような気がする。
位置が同じでも方向が違うという感じかな？

5月 30, 2005 at 11:28 午前セキュリティと法学 | Permalink | コメント (2) | トラックバック (0)

2005.05.28

退職挨拶→個人情報保護法違反？

朝日新聞より「岐阜病院の元医師が患者情報持ち出す　院長らを処分」
タイトルだけ見るといかにも病院と対立した医師が前の職場からカルテ情報でも持ち出したかのように読んでしまったが、まるで違います。もっと見出しを慎重に付けるべきだよ＞朝日新聞社

県立病院での９８１人分の患者の個人データを持ち出し、これをもとに６３２通の「退職あいさつ状」を送っていたと、同県が２７日発表した。
県の確認に対し、医師は事実を認め「持ち出したデータや患者から届いた礼状、年賀状をもとに『退職あいさつ状』を患者に送った」などとする謝罪文を提出したという。

これは個人情報保護法の実務を検討している時にどうしたものか？ということで話題になっていたことの典型例で、新聞記事になるとは予想していませんでしたが、ここを読んでいらっしゃる方に紹介するのには良い例と言えます。

わたし自身は現在の個人情報保護法は実務レベルでは判断に困るというか、現実的でないところが多々あると思っています。その代表が「名刺一枚落としても役所に届け出る」なんてのですが、もっと根本的な問題があり、かつ全く検討されていないに等しい問題があります。

個人情報保護法は、個人情報を管理することを義務づける法律ですが「誰が何処を管理するのかを調整すること」については全く規定されていません。個人情報を収集する人に管理義務があるのか、収集した情報を集積したところにあるのか、といったところさえ分かりません。というより、個人情報を集めるところ管理するところを分けるなんてことが出来ません。純粋に集めるだけで全く集積も整理もしないということはあり得ないでしょう。その一方で集めているが、その結果を整理して提供する業務というものあるわけですが、提供を受けた側が管理を提供された側の言う通りにするのでは下請けになってしまって、これも現実的ではない。

いささか抽象的に書きましたが、世の中には個人で営業している営業マンという人たちが居ます。この人たちは基本的に自力で顧客を見つけているわけですから、転職時にその名簿持って行くことは少なくとも今までは当然でした。これは退職された企業から見ると顧客を失うのですが、顧客が「○○さんと取引しているのだから」と会社との取引を二番目以下に置いている例は珍しくありません。
また、新製品や新サービスを顧客が受ける当然の権利としても、顧客情報が廃棄されることが望ましいとも言えません。営業マンが個人情報を管理するのであれば、個人情報保護法上は勤務している会社の個人情報管理状態に責任を持つことになります。会社としてはその他の個人情報を保有しているので、営業マンを管理することになります。

こんなことは現実的ではないので、現時点では営業マンの保有する個人情報は会社のモノだということになるような方向ですが、その結果として営業マンは退職時に手帳を置いていくといったことなります。これでは、個人の営業マンは絶滅するしかないわけで、どう考えても社会の活力を失わせる方向にしかなりません。

朝日新聞の記事に戻ってみると、県（病院）側は「個人データを持ち出して」と言っていますが、医師側は「礼状、年賀状のデータだ」と言っています。
個人情報保護法の大問題は情報を区別していないことで、遺伝子情報も氏名も全く同一に扱います。つまり常識的には「年賀状は個人向けだろう」という話しが成立しません。その上に個人向けに礼状が来たとしても病院が受け取って管理するものだ、ということなっているからこんな展開になったのでしょう。法的には病院（県）が正しいのですが、常識としては医師の主張の方が正しいように感じます。こんなことが事件になるのか？というその原因は割とはっきりしています。

あいさつ状には、医師が４月から勤務している県内の民間病院の名前や診察時間なども書かれていた。医師は「患者に何かあったら連絡してくれればと思った」と話しているというが、岐阜病院は「事実上の民間病院の営業案内というとらえ方も不可能ではない」としている。

つまり挨拶状が営業案内に見えるモノだから問題になった、ということでしょう。

それにしてもこういうバカバカしい展開になる法律は問題だと思います。

5月 28, 2005 at 12:01 午後セキュリティと法学 | Permalink | コメント (2) | トラックバック (0)

2005.04.21

自殺サイトや殺人予告掲示に情報開示というが

朝日新聞より「ネット自殺予告に即応、プロバイダーが契約者情報開示へ」

インターネット上に書き込まれた自殺や殺害予告に即応するため、プロバイダー（接続業者）が警察からの契約者情報の照会に応じるシステムが今夏にも動き出す。通信の秘密を理由に照会が拒否されるケースもあったが、情報通信ネットワークのあり方を検討する「総合セキュリティ対策会議」（委員長・前田雅英首都大学東京教授）が２１日、「人命保護に努めるべきだ」とする提言をしている

分からないではないが「どうやってやるのだ？」という大問題が抜けているのではないか？

そもそもインターネットの管理者とはインターネット全体（の部分）を見張っていることが管理なのか？
ネットワーク管理者が見張っているのではないとして、契約者の情報を持っているのかどうかをどうやって、問題の記事を見つけた警察などが知るのだ？
正直に言って「なんでこんな生煮えの提言を出したのだ？」「総合セキュリティ対策会議のメンバーはどんなヤツだ？」と思って検索したら見つかった。
警察庁　サイバー犯罪対策　総合セキュリティ対策会議　各委員の紹介
誰がとは言いませんがね「？？」な人が複数居ますね。
このメンバーでは現場知らずというか現実離れした意見が出てくるの無理ない、と思いますわ。
インターネットというか社会の変化の速度が速いことについて行くことが出来ない人たちが、あらゆる業界に出てきているということでしょう。

4月 21, 2005 at 12:45 午後セキュリティと法学 | Permalink | コメント (2) | トラックバック (0)

2005.04.13

ワンクリック詐欺で社長指名手配

サンケイ新聞より「ワンクリック詐欺団摘発　架空請求で上納金、社長を指名手配」

インターネットのアダルト画像などを一度クリックしただけで架空料金を請求される「ワンクリック詐欺」を行う組織を率いて部下から「上納金」を得ていたとして、大阪府警捜査二課は十二日、組織犯罪処罰法（犯罪収益等隠匿）違反容疑でアダルトサイト運営会社社長、中西俊昭容疑者を指名手配。

悪徳商法?マニアックスや紀藤正樹の消費者問題総合掲示板などで毎日のように相談があります。
オレオレ詐欺（振り込め詐欺）と同じでお金を取れば詐欺罪になると言って良い、根拠のない請求です。
そこで実際には難しいことではありますが詐欺未遂罪が適用にならないかな、と思っていたのですがなんと組織犯罪処罰法ですか！

確かに「上納金を得ていた」で実行犯ではなく社長を指名手配に出来たわけではありますが、なんかちょっと違和感がありますね。
インターネットのサイト自体が犯罪を実行している場合の、実行犯となる人物は誰か？というのが問題になるのでしょうね。プログラムを書いた人間を実行犯にしたら、Winny 事件どころではない大騒動になるでしょう。そうなると、実行犯が居ない犯罪なのでしょうか？大体、犯罪性のあるプログラムつまり凶器に相当するプログラムといった概念があるのかな？Winny 事件の本質はココなんでしょうかね？

4月 13, 2005 at 09:45 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (2)

2005.04.09

キャッシュカード盗難対応と言うが

日経新聞より「カード被害、盗難は補償対象外・全銀協ルール案」

銀行側に有利な現行規定を抜本的に改め、預金者に重大な過失があったと銀行側が立証できない限り、原則補償に応じることを明記した。ただ、カード盗難による被害は対象外としたほか、補償に応じないケースとして「他人に暗証番号を知らせた場合」など5項目を列挙した。

なんでこんなことを今さら決めねばならないのか？としか思えないのだが、そもそもの原因がカード盗難などで不法に引き出された預金が銀行のモノだから銀行が被害届を出さない限り事件ではない、という法律の規定に原因があるのだろう。それを考慮すると、

これはものすごい話しで、不法に預金が引き出されたという事実と、銀行が警察に被害届けを出す、ということが連動していない上に、被害が無いにも関わらず預金は消えたまま。ということを許容しているワケだ。
つまり預金は理由もなく蒸発しても仕方ない、ということだろう。

銀行が被害がないのなら、預金は理由のいかんを問わず口座に残っていて当然だろう。
口座のお金が消えて、銀行に被害がないというのは、正式に引き出された時だけで、例えばＡＴＭを操作した人間が不当であるということなら、銀行のやることは被害届を出すか、口座のお金を元に戻すか、のどちらかしか無いだろう。

全銀協のルールと言っても、盗難の証明はどうするのだ？警察の届け出以後に有効とかじゃ意味がない。もっと明確なルールが必要なのだが、どう考えても逃げ道を沢山作るためにルールにしたようにしか見えない。カードが無かった時代やハンコがＰＣで偽造できる時代に比べると銀行の責任は遙かに重くなっていることを理解しているのだろうか？

4月 9, 2005 at 09:59 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2005.04.01

個人情報保護法完全施行日です

個人情報保護法完全施行日に合わせて日経新聞と産経新聞が社説を出した。
日経新聞の社説は「個人情報保護対策へ内部管理の徹底を」と題し、産経新聞の社説は「個人情報保護法　適切なルールとマナーを」となっている。
３月３１日付けで朝日新聞の社説は「私の情報　大切に扱われたい」となっている。法律的な事実関係の解説は変わりようがないのだから、いわば社説のトーンの問題になるのだか、そういう細かいところを比べてみると。

日経新聞

今後は民事上の賠償責任だけでなく、刑事責任も問われるようになる。欧州などに比べ、日本は個人情報保護に関する法制化が遅れてきただけに、法律の順守を国を挙げて徹底する必要がある。外部からの不正アクセスもあるが、個人情報保護対策でまず重要なことは従業員の人事・労務管理にあるといえる。問題を起こした企業の多くは必要以上に従業員にアクセス権を与えていた。

産経新聞

パソコンやインターネットの普及で大量の情報を瞬時にやりとりできるようになったことから、個人の氏名や住所、ｅメールアドレスなどの「個人情報」が悪用される被害が相次いでいる。だが、大量の個人情報が勝手に集められ、取引され、改竄（かいざん）までされる事態はこれまで想定されていなかっただけに、ルールもマナーもきちんと整備されているとはいえない。一方で、データベース化された個人情報は生活に大きな利便性をもたらすツールでもある。その便利さを放棄することも現実には不可能だ。

朝日新聞

自分のどんなデータを持っているのか、業者に情報の開示を求めることができる。本人の了解を取らずに集めたような違法な情報であれば、消させることもできる。とくに注意が必要なのは思想信条や宗教、本籍地、犯罪歴、病気など個人のプライバシーと深くかかわったり、社会的な差別につながったりするような微妙な情報の取り扱いだ。こうした情報について法律には明記されていない。自分や家族の情報が名簿のような形で売られている。知らない間にインターネットで流されている。大切な情報が不当に使われているのではないかと不安になる出来事が少なくない。

まぁ社説といえども総花的な表現になっているのは残念な印象であるが、それでもこれだけ方向の違う見解が公表されるというのは個人情報保護法に対する共通した見解が社会的にまとまっていないことの証拠であろう。
３新聞社の社説が間違っているということは無く、タイトル通りに個人情報取扱事業者として「内部管理が重要」だし、名刺一枚の紛失でも届け出るのか？に代表されるような「適切なルールが社会的に合意されていない」のも事実だ、その一方でシュレッダーがムチャクチャに売れているといったこと代表される「個人が個人情報を管理することが大事」という傾向もある。
はっきり言えば朝日新聞の社説はいささか個人情報保護法を誤解させる方向ではないか？という疑問も感じるが、世の中の一般的な理解として多数なのであろう。それくらい理解しにくい法律であるし、当初の立法予定から大幅にずれてしまったのは間違えない（当初通りの方が良いという意味では無い）。とりまとめると非常に中途半端で社会的な合意を高めることが一番重要なのだろう。「

4月 1, 2005 at 09:45 午前セキュリティと法学 | Permalink | コメント (1) | トラックバック (2)

2005.03.25

ACCS不正アクセス事件・有罪

ITmedia News より「元研究員に有罪判決　ACCS不正アクセス事件」

コンピュータソフトウェア著作権協会（ACCS）の個人情報流出事件で、不正アクセス禁止法違反で起訴された元京都大学研究員の判決公判が3月25日、東京地裁であった。青柳勤裁判長は懲役8カ月、執行猶予3年（求刑・懲役8カ月）の判決を言い渡した。

この事件のいきさつについてはここ。
ACCS の「著作権・プライバシー相談室」というサイトに質問を寄せたユーザの情報が外から丸見えであることを指摘した研究員を不正アクセス禁止法で逮捕したというのである。

調べでは、研究員は2003年11月、ACCSが著作権やネット上のプライバシー問題について一般ユーザーからの相談を受け付けるために設けた「ASK ACCS」のサーバに侵入、相談を寄せた個人の情報を不正に入手した疑い。研究員は同月に開かれたセキュリティ関連イベントで、使用されていたCGIの欠陥を指摘するとともに、4人分の個人情報を含んだプレゼンテーション資料を公開していた。

検察側は「機密情報にアクセスしたのだから不正アクセスだ」といった程度の判断のように感じるが、弁護側の主張は「不正アクセス禁止法では、非合法にパスワードを入手してアクセスする場合に適用するべき」といった主張であった。しかし、個人情報をイベントでプレゼンすることに正当性があるのか？という意見は当初からあった。今回の判決はこの点について

青柳裁判長は「問題のファイルには、FTPサーバからIDとパスワードを入力してアクセスするのが通常。CGI経由のアクセスは、FTP上のアクセス制御を回避した不正アクセス行為にあたる」と認定した。

いささか乱暴というか安定性つまり説得力に欠ける判決であるように感じます。確かにセキュリティを確保する側がありとあらゆる穴を塞いでおくべきである、とするのはセキュリティを確保するために過大な負担を負わせると感じるが、「不正アクセスが無いと思うから」ということで全くの無防備である場合にはサイトの方に責任があるのも異存の無いところだろう。つまり、ここのバランスについて判定するべきなのだが、それを「CGI経由は・・・」というのでは、ちょっとサイト側に甘すぎるのでないだろうか？第一ほぼ同じ事件があった時に同じ判決になるものだろうか？ＴＢＣ事件に代表される「全くの公開状態の場所にデータを置いた」といった場合と何が違うのだろうか？「CGIを操作できるのは少数の者だ」とでも言うのだろうか？なんか判決としては評価できないと感じる。

3月 25, 2005 at 10:24 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2005.03.23

少額訴訟詐欺に鉄槌

読売新聞より「架空請求の少額訴訟、「極めて悪質詐欺」と賠償命令」
これは架空請求詐欺で敗訴・支払になるケースで紹介した裁判の判決が出た、という内容です。

訴えられた場合に放置していると、ただちに敗訴してしまう少額訴訟を起こされ、身に覚えのない約１４万円の支払いを請求された男性会社員が、サイト運営業者（大阪市）に対し、「架空請求の訴訟で精神的な苦痛を受けた」として１１０万円の損害賠償を求めた訴訟の判決が２２日、東京地裁であった。

少額訴訟の通常の手続きは、呼び出された裁判所に出頭して争うことになります。この事件の場合は東京から大阪に出頭ですから、費用も時間も大変です。

これに対して「架空請求の訴訟で精神的な苦痛を受けた」として反訴（になるのかな？）したというのは「すごい方法を取ったな」とちょっとびっくりしましたが、その判決が出ました。

清水克久裁判官は「裁判制度を悪用した、極めて悪質な訴訟詐欺だ」と認定し、４０万円の賠償を命じた。
同時に、問題となった少額訴訟の判決も言い渡され、清水裁判官は運営業者の請求は架空だったと判断し、請求を棄却した。

きわめて明快な判決になったようですが、これは裁判所として最大級の怒りの表明でしょうね。もうちょっと詳しい判決文を見たいところですが、まだ速報には出ていません。

3月 23, 2005 at 03:16 午後セキュリティと法学 | Permalink | コメント (1) | トラックバック (0)

2005.03.09

個人情報ＤＢの廃棄方法

月曜日（３月７日）にアップル・ジャパンで開催された個人情報保護セミナーに参加してきました。
講演者のお一人が藤原静雄・筑波大学教授で、非常に面白いというかキーになるお話しを聞いて来ました。

個人情報データ（デーベース）の廃棄の実務です。

わたしは個人情報データの廃棄はどうするのだ？とかなり考えていましたし、実務関係者の中では「捨てられないよな」といった理解で居る方が回りに居るので、わたしも「捨てられないものをどうやって廃棄するのだ？」と思っていました。

藤原先生の説明で「データの廃棄とは個人情報を書き換えてしまえば良い」というのです。
ついついて廃棄というとデータそのものを物理的に廃棄するにはどうするか？と考えてしまう自分が情けないですが、考えてみれば情報が消えれば良いわけで、それも個人情報なのですから、例えば個人が特定出来ないように氏名を書き換えてしまうことは個人情報の廃棄になるのですね。

これをさらに拡大してみると、例えばＤＭを出すといった業務においては最終的な個人情報を扱って、法律にも要求（義務ではない）されている通りなるべく最新の正しいデータにアップデートすることになりますが、顧客動向調査といった業務であれば氏名などを直接扱う必要が無い場合も多いでしょう。
その場合、先に氏名などを書き換えてしまえば個人情報データベースではない、となる可能性も視野に入ってきます。

さらに考えてみると、個人情報データベースを扱うのは個人情報取扱事業者ですから、少なくともその個人情報データベースに記載されている個人情報の本来の持ち主である、個人では無いのがほとんどです。
個人情報データベースを作った人が自分の情報を記載しても５０００人分の１人以下です。

つまり、個人情報データベースと本来の個人は記載されいる個人情報を共有しているといって良いのだと思います。
共有するために個人情報データがある。
こうなると、それを断ち切ってしまう。例えば氏名ではなく番号にするといった方法は個人が特定出来なくなる、と考えますが総務省はＩＤは個人情報に当たると言っています。

結局、個人が特定できる情報を社会が共有している状態が問題なのでしょう。
クレジットカードの番号などは社会と個人が共有しているから社会的な意味での個人情報である、ということですね。

先に挙げた、氏名は番号に変えてしまう、というのは個人情報保護法上の個人情報データベースから、単なるデータベースにするのには社会と共有しない、つまりそのシステムオリジナルの番号などにする、といったことなりますね。
これは一種の暗号化であって、社会と共有しないデータであれば持って扱っても良い、と言えるでしょう。

もちろん、暗号化ルールなども含めて流出することで、復号されてしまっては意味ないわけで、慎重に取り扱うことに代わりはないですが、廃棄が出来るというのが明確になったのは良かったです。

3月 9, 2005 at 09:26 午前セキュリティと法学 | Permalink | コメント (2) | トラックバック (1)

2005.03.07

個人情報漏洩罪の検討だって

読売新聞より「個人情報漏えい、社員の罰則検討…自民が作業チーム」

自民党は５日、個人情報を漏えいした民間企業の社員に対する罰則の法制化を目指し、政調審議会の中に作業チームを設置する方針を決めた。

個人情報漏洩罰則を議員立法しようというのですが、もともと個人情報保護法で罰則などが全く考慮されていなかったのか？というとそうではなく、いろいろないきさつを経て今の形になりました。

そもそも情報窃盗罪が無くて良いのか？という問題が議論されます。

基本的に窃盗は複製ではないから、元の所有者の手元から無くなるということが窃盗の根本原理でしょう。ところが情報は盗んでも元の所有者の手から無くなることは無いのですから、窃盗というより複製です。
さらに、窃盗したと事件化した場合に被害者と犯人が同じ情報を所有していた場合に、どちらが正当な所有者かといった争いになった場合には、なかなか決めがたい。特に両者に同じ情報が現実にあるのですから決定しにくい。
これを利用すると、言論の自由に直接影響してしまうわけで、特許のように情報を登録制にでもしないと難しいでしょうね。

個人情報保護法について情報を流出させた社員に責任を追求する途が無く、経営者や会社には責任があることが不当だという考え方なのでしょうが、現行の個人情報保護法では名刺も遺伝子情報も同列で重要度を定義するという考え方自体がないので、名刺を紛失したことを理由に遺伝子情報の流出と同じ責任を負わせられるという可能性もあるでしょうから、こんなことになったらたまりません。

だからといって、個人情報保護法と全く無関係に法律とその中身を定義するというのもちょっと無理があるのではないか？と思うわけです。
マクロには良いかもしれないが、今まで出来なかったことには理由がある、というような立場で考えると法律制定は無理なんじゃないでしょうか？

3月 7, 2005 at 11:27 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2005.03.01

個人情報保護法・お勧めの解説本

今日「個人情報保護法とコンプライアンス・プログラム」鈴木正朝著・堀部政男監修、商事法務刊３８００円を買ってきました。

個人情報保護法は４月１日に施行が迫っていますが、日を追うごとに「大丈夫なのか？」的な話題が出てきています。

弁護士が大勢参加しているＭＬで１０日ほど前に「弁護士は本当に個人情報取扱事業者なのか？」という質問が弁護士さんから出ました（^_^;）

どういうことかと言うと

弁護士は弁護士名簿を使って業務をしている。弁護士名簿は個人情報データベースであるから弁護士は個人情報取扱事業者だと言うのだが、弁護士名簿と電話帳で何が違うのだ？
ということから発生しました。
もちろん、弁護士名簿も電話帳と同じ扱いにすれば弁護士は個人情報取扱事業者ではなくなる、という方向の考え方があるですが、これについて法律上は弁護士は弁護士名簿を使っているから、個人情報取扱事業者になるということなって、その解説をした著者の鈴木さんはさらに踏み込んだ考え方をこの本に書いていると、ご自身が紹介したので買ってきました。

結局のところ、個人情報保護法制によって真に守るべきものは何かを見極めることが重要である。たとえば、世代をまたがって個人情報が管理され、親の犯罪歴、病歴、職歴、納税額などの個人情報によって子の就学、就職、結婚、経済活動などに影響が及ぶ社会は、まさに憲法の定める「個人の尊厳」の否定にほかならない。

と個人情報保護法の厳格に過ぎる適用は問題外であると論じています。

一方では個人情報の厳格な管理を要求する声があり、他方では個人情報の厳格な管理は社会経済活動そのものを圧殺する、といった意見もあります。
なんでこんなことになったかについて、鈴木さんは

個人情報保護分野において一般法を制定することは、立法論的にはやや乱暴なアプローチであることは否めない。たとえば、名刺情報から遺伝子情報までの多種多様な個人情報をわずか十数条からなるルールで規律することを意味しており、名刺情報のような個人情報を念頭に置いた場合は過剰規制と評価され、遺伝子情報のような個人情報を念頭に置く場合はいわゆるザル法と批判されることになる。

と問題点が、ここにあると指摘しています。
この点からは実務者としては法律改正に期待することになってしまいます。

法律の素人にとって、法律が成り立っている原理や考え方を知ることは条文を暗記したり、他の法律の詳細を知らないでも関係性を推測できるといった意味で必要なことだと思いますが、個人情報保護法はあまりに多面的なことを含んでいるので、意見交換ですらそのシーンでの議論の立場によって毎回結論が違ってしまうというほど、難しい法律です。
その上、解説本で問題点を指摘した本は今まで見たことがないのですが、この本が問題点を指摘しているのは、実務的に何を重視するべきか、将来あるかもしれない法改正がどんな形になるのかを推測するための教材、といった意味で是非ともお読みになることをお勧めします。

3月 1, 2005 at 01:00 午前セキュリティと法学 | Permalink | コメント (6) | トラックバック (1)

2005.02.16

個人情報保護法・現実化の問題

昨日、個人情報保護法についての小さな勉強会がありました。
講師は本を出されているニフティ社の鈴木正朝さんです。

わたしはけっこう積極的に勉強しているつもりですが、どうも「一歩前進三歩後退」のような印象ですね。

昨日話題になって興味深かったのは、元になる個人情報データベースがどこかで流出したとされた場合に、管理監督するべき個人情報取扱事業者はどの段階まで責任があるのか？です。

これ、法律上も規定は無いですし、下請け・代理店・業務委託といった契約上の実務や業者間の力関係を無視して管理監督をすることなっていますが、例えばＮＴＴを例にとれば量販店などでフレッツを売っているわけです。

どちらがどちらでも良いのですが、お互いに「我が社の管理手法はこれだから、やってくれ」というのでは、ＮＴＴだって量販店だって手間になるだけです。
現実にＮＴＴは力がありますが、量販店にとっては「ＮＴＴ以外にもソフトバンクもあるしアッカもＫＤＤＩもあるよ、全部別々にするわけにいかない」となるでしょう。

こうなると、管理も監督も鑑査も出来ないわけで、責任の取りようがないという現実が見えてきます。
個人情報データベースを持っているところは、その情報がどの段階で出ても責任を追求されるという考え方で来たわけですが「それじゃやってられん」という話しが公然と出てきました。

個人情報データベースを持っている個人情報取扱事業者から情報は少しずつ使われるはずで、元の個人情報取扱事業者を親とする子ども・孫と続いていく構造です。
そして、何代目かの孫で流出した。
そこから、親までさかのぼってきて「親が監督していないからだ」というのは法律の構造ですが、そんな何代も下まで管理出来るワケがない。というのが見えてきました。

当面の間「あれもダメこれもダメ」とビジネス的に萎縮するでしょうが「そんなのやってられるか」というところで、もうちょっと現実的なところ着地することになるでしょう。

2月 16, 2005 at 11:02 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2005.02.14

個人情報保護法・読売新聞社説

読売新聞社説より「［個人情報保護］「流出防止へ法の抜け穴をふさげ」

問題は、情報流出があった場合の処罰に関する法体系に不備があることだ。従業員が自分のＣＤに情報をコピーして持ち出し、対価を得たり、業務を妨害したりすれば、何らかの処罰ができるよう、法整備を急ぎたい。

この意見はわからないではないが、これも一局面であるし、そんな明快なものばかりではないのは、今対応のための作業をしている企業から見れば「もっとずっとやっかいだ」という声が上がるだろう。

報道は個人情報保護法の適用除外だから、こんな突っ込みの甘い社説が書けるのではないか？と疑ってしまう。

2月 14, 2005 at 11:19 午前セキュリティと法学 | Permalink | コメント (1) | トラックバック (0)

2005.02.08

個人情報保護法の運用は大丈夫なのか？

個人情報保護法を調べているうちに非常に根本的なところに疑問符が付きました。
この法律は個人情報管理手順法とでも言うべきもので、主題を企業が集めた個人情報の管理について定めているのですが、管理の範囲から外れた場合に管理下から流出するだろう、とか情報収集の手順は明確になっていて当然だ、といった範囲で考えているようです。

この範囲だけだと、個人情報を収集することについて法的な規準があるよ、というのは良いのですが、持っている個人情報や新たに入ってくる個人情報を元にやり取りをする時の範囲などについてどうも法的な判定基準が無いように見えます。

個人Ａさんが、企業（個人情報取扱事業者）Ｘとやり取りをするのは
Ａ←→Ｘ　の二者関係になります。

法律は「第三者提供」という概念を書いていますが、どうもこれが第三者ではあっても企業側に立つ第三者を想定しているように見えます。別の企業Ｙの出現です。
Ａ←→Ｘ→Ｙ
このＸからＹへのＡの個人情報提供を想定して「第三者提供」と言っているようです。
しかし、個人にして個人情報の本人であるＡの第三者はあります。Ｂです。
Ｂ←Ａ←→Ｘ
これは、ＡとＢは家族であるという場合が典型です。

確かに、ＸからＹへの情報提供については法律が問題視するでしょうが、家族間の情報の共有は当然のことです。そこで業者ＸからＡ家に電話があった時にＢが電話に出てＡに変わって個人情報に基づく例えば契約などを進めるのは、どうなのか？というと常識的に考えて「その場で適切に対処」ぐらいしか無いと思うのですが、法律でこの種のことについて言及したところが見つかりません。

銀行の対応なども「本人！」と強化されていてとてもやっかいになってきています。
なんかここらへんの法律運用の全体像が不明確になってきました。
今、調べているところです。

2月 8, 2005 at 11:33 午後セキュリティと法学 | Permalink | コメント (2) | トラックバック (0)

2005.02.01

個人情報保護法・実務上の検討１

弁護士　鶴巻　暁　lawblogさんの記事「同窓会における個人情報の取扱い」

にわたしにはとても刺激的で興奮する論が出ていました。

同窓会が個人情報取扱事業者に該当する場合、その同窓会の業務として、同窓会が保有する個人データを会員（年度幹事）に提供する行為は、事業者内部での個人データのやりとりなので、そもそも個人データの第三者提供に該当しないのではないでしょうか。その会員は同窓会の従業者として、同窓会の監督を受けることになりますが。同窓会の業務としてではなく、会員自身が利用する目的を有する場合に、その会員に対して同窓会が保有する個人データを提供する場合には、第三者提供に該当すると思います。

実は、わたしはこういう面を強く意識していたのですが、うまい例を思いつきませんでした。
もうちょっと実務的にあり得るケースを挙げてみます。

親会社と下請け関係にある会社、例えば販売会社が親会社から個人情報を第三者提供を受けて事業を行っていたとします。
下請け先の会社がその親会社の委託先になっている場合、親会社と一体化して個人情報の取扱をする、とわたしは考えています。

下請け会社が、親会社の下請け業務ではないオリジナルな例えばサービスなどを開始する時に、親会社と共有している（で良いかと思いますが）個人情報を使うのは経営上は常識でしょう。
さて、個人情報保護法上は本来は親会社から第三者提供を受けると同時に、委託先でもあるような場合、このような展開はどう扱うのか？

元々は、親会社が集めた個人情報は事前通知で下請けの会社も使うことで法的にはクリアーされているとして、下請け会社が独自に始めたサービスなどが親会社の事前通知の範囲に入っているのかどうか、で決まることなのでしょうか？

もし、下請け業者が独自サービスをするために、親会社の事前通知の範囲に入っているのかを確認する必要があるのだとすると、今度は営業の自由や秘密などに触れそうです。

かなりきわどいことになるのではないでしょうか？

2月 1, 2005 at 10:52 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2005.01.19

個人情報保護法を考えてみる　４

わたしは @nifty のフォーラム・マネジャーです。
フォーラムというのは、ニフティ社と契約しているマネジャーがフォーラムを管理運営しているので、本的な責任はニフティ社・マネジャー双方にあることは、確認されています。

そんなことをもあって個人情報保護法を勉強しているわけですが、どこまでも行ってもフォーラムというのは @nifty の１部門です。そこで気づいたのが「会社（組織）の中の部門ごとに個人情報保護法の実務は変わる方が合理的ではないか？」です。

例えば、通販部門と現金販売部門がある販売会社を考えてみますと、通販部門には明らかに個人情報のデータベースが整備されているでしょう。しかし、現金販売部門には氏名・住所といったデータは無いのでデータベースとしても整備されていない。
といった会社を仮定します。

現金売買部門は対面販売でしょうから、顧客に対面するわけで防犯カメラが作動して顧客を撮影していると、その画像は個人情報に当たります。
しかし、通販部門で社員の行動監視のためにカメラが作動している場合、少なくとも顧客の個人情報は撮影されません。

どちらの画像が重要か？という問題を別にして、かつ「顧客の個人情報管理」という観点からは、対面販売している現金販売部門で撮影された画像は管理する必要があります。

画像と顧客名簿という二つの個人情報があるとして、これを最大公約数的につまり全社的に管理しましょうとやると、両部門と大変な手間が掛かることになります。
つまり、二つの部門が業務として顧客の個人情報保護を行うために焦点を当てるところは違う、ということです。

こういうことで、部門ごとの個人情報保護法対応についての記事を Google で検索してみたところ、ほとんどありません。
つまり、まだ社内の個々の部門ごとの検討というところまで、個人情報保護法対応はこなれていない、と言うことでしょう。
まだまだ、途は遠いようです。

1月 19, 2005 at 03:01 午後セキュリティと法学 | Permalink | コメント (1) | トラックバック (0)

2005.01.16

個人情報保護法を考えてみる　３-３

個人情報保護法を考えてみる　３-２にyuu2さんからコメントをいただきました。

ビジネスで面談する名刺はお互いに保有しあう内容と、自分を覚えてねとあなたを覚えたいとの双方の合意が成立しています。展示会の名刺では、カタログを渡して後で商談したいとか新製品情報メールを送るとかの用途に限定した旨の表示がいるとのあるコンサルの先生のお話でした。

少なくとも勉強している、yuu2さんを初めとする方々は名刺の扱いについて、上のような見解を問題なく理解していると思います。

わたしは、積極的に勉強してはいない一般の方々に誤解させるよう内容が飛び交っていることに心配しています。

去年の５月ごろからフォーラム管理者向けに個人情報保護法の説明をわたしが（素人にも関わらず）するということなって、説明するいうことなりました。
そこで、実際に説明を作る前に何人かに「どんなことを知りたいか？」とヒアリングしてみたところ、全員が「何をすればよいのか／何をしてはいけないのか」を知りたいとのことでした。

「個人情報保護法」を買ったに書いたように厚さ３センチのハードカバー本が出てくるような内容を「一言で言えば」なんて説明は出来るわけがない（^_^;）です。
結果として「一言で説明できるものではありません」なんていう話から始まることになりました。

手元に「これだけは知っておきたい　個人情報保護」岡村久道＋鈴木正朝著、日本経済新聞社刊があります。最後に個人情報保護心得10ヶ条というページがあって１番目に

名刺１枚、社員情報でも個人情報である

とあります。
どういう風に扱うのか？については、この本の中では具体的に書かれてはいません。
このような「○○のデータはどう扱うように考えるのか」というのは、それぞれの企業やさらには企業の中の部門ごとにも違うでしょうから、本来は現場で考えるべきことでありますが、実際には「何をすればよいのか／何をしてはいけないのか」とはっきりと外部から指図された方が気楽だというのも真実でしょう。

そういう背景があるから「名刺は個人情報」「名刺を個人情報として保護する」「鍵の掛かる机に保管する」「そんな面倒なこと、名刺交換しない方が良いので」などと議論の暴走になるようです。

昨日買ってきた「個人情報保護法」の立ち読みした部分は「メールアドレス」ですが、これが諸説が並んでいます。
この項の結論は「今後議論される必要がある」となっています。

こういう話の連続というべきで、個人情報＝保護するべきという感覚が先走り過ぎている、という感じは変わりません。

非常に難しいと思うのが「個人情報はプライバシー情報ではない」にあると思います。
どうも「プライバシー感覚の対象になるものは、個人情報であり、保護されるべきだ」といったことに展開しているような気がします。

1月 16, 2005 at 03:18 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

「個人情報保護法」を買った

以前からどうしたものか？と悩んでいた「個人情報保護法」岡村久道著・商事法務刊　を買いました。
なんで悩むのか？というとなんと税込み５０４０円！！

個人情報保護法の本は以前に岡村氏の著書である「個人情報保護法入門」を買って以来、講習会の資料として配付されたモノなど、複数持っているので、その焼き直しでは単なるムダになるがそれが５０００円越えでは、そりゃ悩む。

商事法務という出版社は法律の本の専門出版社であるから近所の書店などに無く、以前もセブン & ワイ（eS-BookS）で取り寄せたりしていた。
要するに内容を見ないで買うかどうか？であって、これで悩んでしまう。

昨日、新宿東口で新年会があったので、高島屋の先の紀伊國屋書店にあるだろうと狙って行ってみた、さすがに個人情報保護法本だけで何種類も平積みになっていて「個人情報保護法」も厚さ３センチ５５０ページのハードカバーという堂々たるものが平積みになっていた。

時間も無いので、ちょっだけ立ち読みして、やはり学説を並べて解説してあるところなどは、他の本ではなかなか得られないものであり、買うことにした。
まだ読んではいないのだが、他にも良い本があればご紹介くださいな。

1月 16, 2005 at 11:04 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (1)

2005.01.12

個人情報保護法を考えてみる　３-２

個人情報保護法を考えてみる　２にyuu2さんからもコメントをいただきました。

この法律では「個人情報データベース」。それを構成する「個人データ」＆「保有個人データ」を対象としているのではないでしょうか？

個人情報保護法は行政法ですから、お役所に管理監督させることが基本の法律で、各業界ごとに担当のお役所がガイドラインを出してきますから、そのガイドラインを遵守することになります。
総務省のガイドライン「電気通信事業における個人情報保護に関するガイドライン（平成１６年８月３１日総務省告示第６９５号）」といった形で示されます。
このガイドラインは旧版を改訂したもので、直前の版では「料金徴収のためのデータの管理の仕方」を定めていました、それが第５条などに現れています。

（利用目的の特定）第５条電気通信事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定するものとする。

つまりガイドラインも「個人データ」＆「保有個人データ」の全部について説明してはいません。
どうもこのガイドラインによると第７条・第８条が示していることは、利用目的を明示して取得したものが個人情報である、と解釈できそうです。つまり利用料金の徴収など目的がはっきりしているものに対応する個人情報の取得ということです。
そうなると、一般営業活動用に各種名簿を使用するのは電気通信事業者にとって個人情報収集のためのガイドラインがあるのか？という話しになります。
つまりガイドラインでは考えようによっては個人情報データベースの範囲を狭く捉えることが出来ます。
しかし総務省のガイドラインも第４条で

「個人情報を取得しないものとする。ただし、
自己又は第三者の権利を保護するために必要な場合その他社会的に相当と認められる場合はこの限りでない。」

としているので、利用目的外の個人情報の収集も当然のように認めています。
こうなると、それこそ「名刺も個人情報」とも言えるわけで。個人データベースとはナンなのか？という問題に拡大してしまうかもしれません。

yuu2さんのご意見

情報漏洩は、悪意のある場合完全には防げない。どれだけ漏洩の防御策をしていたかで法として罪を問うとの主旨の法律と、勝手な理解をしています。

法的な対応はその通りだと思います。
そのための実務的な対応をどうするか？で会社や業界でやり過ぎとなる例があるのではないか？と思っています。具体的には「名刺は個人情報」といった考え方です。名刺が個人情報であることに異存はないですが、保護管理するべき個人情報か？という視点が抜けているから「すべての名刺は」と話が拡大して「個人情報保護法の観点から名刺交換しない方がよい」といったことになりかねないでしょう。それでは本末転倒というべきです。

yuu2さんのご意見

展示会などで収集した名刺などからなるデータベース程度しか無い場合は、ホームページなどに収集したデータを公開しないことや、収集する場合に目的を明示するといった数行のポリシィを書いておけば良いとコンサルに指導されたとの話も聞きます...？

「書いておけば何が良い」のでしょうかね？個人情報保護法は行政指導に反した時に会社（の代表など）に刑罰が適用されるという法律ですから、会社（団体）にとっては「個人情報保護法でお役所に通報、立ち入り検査などがされないように備える」のが一番の対応策でしょう。
通報する側は勝手ですからね、通報されないようにすることを全ての目的とするとありとあらゆる個人情報を社内に出入りしないようにすることなって、これでは会社なんてやってられません。
その意味では個人情報保護法に抵触するリスクは多少なりともあることを前提とすることになるのでしょう。
その一環として「ＨＰに個人情報保護法対応」を掲示しておくのはありだと思いますが、掲示した内容を社内で実施するのはそれなりに大変でしょうね。
結局はどうも「対応の実務はどうやるんだよ？」という話しになりそうです。

1月 12, 2005 at 10:24 午前セキュリティと法学 | Permalink | コメント (2) | トラックバック (2)

2005.01.11

個人情報保護法を考えてみる　３

個人情報保護法を考えてみる　２にmasterさんからコメントをいただきました。

はじめまして、
名刺って広告手段で、自分を知ってもらう道具のはずが、他の人に知られないようにしなければいけないというような変な感じがしますが、いかがなものなのでしょう？

はいその通りです。
ところが一般的によく出てくる解説で「名刺も個人情報で注意して扱いましょう」といったことが出てきます。

個人情報保護法の総則には、

第一条　この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

とあります。「注意して扱えよ」と言っているように読めます。
しかし、なぜ注意して扱う必要があるのか？つまり個人情報保護法を定める理由はどこにあるのか？と言えば「個人情報の取扱が不適切であるために、被害が出たケースがある」からでしょう。

実際に被害があった事件としては、三洋信販事件があります。

朝日新聞より（２００４年５月２０日の記事）「三洋信販の顧客データ流出、信用情報含む１１６万人分」
【前略】
顧客らから同社に寄せられた問い合わせや苦情は１月から４月までに約３万９０００件。うち７割が架空請求の相談という。

架空請求が来てしまうのですから、問答無用で個人情報の流出による被害発生と言えるように思います。

クレジット会社から情報が流出して架空請求が発生したのに「被害発生と言えるように思う」などという、言い方をするのは架空請求をするだけなら被害者の住所氏名などが分かれば可能だからです。実際に起こった架空請求がクレジット会社から出た情報によるものなのかどうかは、確定出来ないでしょう。
そうなると、名刺でも架空請求が起きるかもしれない。ということになります。

なんかヘンですね。「風が吹けば桶屋が儲かる」のような論理のように感じます。
わたしの考えでは、クレジット会社の名簿と他の名簿は同列に名簿であるから同じ管理をするべきだ、といった考え方がおかしいのだと思います。
名刺の例に戻すと、名刺交換の場がどういう場なのかによって名刺の情報を保護する程度は変わるのでしょう。
例えば、第三者にその会合の存在が知られては困るような場で交換された名刺は保護するべき情報と言えるかもしれません。
逆に展示会で来場者が業者に渡した名刺でＤＭが来るのは当然でしょう。

このように、個々の情報を扱う時にどうするのか、という話しをほとんどしていない、ように思えるのです。

1月 11, 2005 at 03:49 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2005.01.08

個人情報保護法を考えてみる　２

その２です。

個人情報保護法自体は割と明快なように見えるからやっかいなものだ、という側面があるのかもしれません。

１月４日のニュースで「個人情報流出：ＴＤＬ年間パスなど14万人分　恐喝未遂も」というのがあります。
この事件は外部から「個人情報リストを持っている。買わなければマスコミにばらす」と恐喝されたことで始まりました。
ＴＤＬの説明によると１６人分の個人情報が流出したとのことで、１４万人にお詫び状を出しています。わたしの知人も受け取ったとの報告をくれました。言うまでもなく莫大なコストであったでしょう。

この問題について法律の専門家とお話ししましたが、ＴＤＬが１４万人にお詫び状を出したということは、流出した情報がそれなりに問題のあるものであったろう、ということになりました。
というのは、１６人分ですから極端なことを言えばＴＤＬのバスポートを持っている人の名簿を集めて「ほれ個人情報流出だ」とやれる可能性もある、ということです。
しかし実際にこんなことであれば、どこの会社でも１４万人にお詫び状を出すなんて手間は掛けないのではないか？と思います。
つまり、もっとクリティカルな情報が流出していたのではないか？ということです。

そこで、個人情報の流出として問題になる個人情報とはナンなのか？に舞い戻ります。
これは「個人情報」が流出と考えるのが問題なのではないでしょうか？
「問題になる個人情報」の流出であるべきでしょう。
問題になる情報が流出したから問題になった、なら理解できますが個人情報が流出しただけでは問題になるかどうか分からない、という当たり前のことです。

ところが新聞報道をチェックしてみると読売新聞の記事に「個人情報２万９５００件流出、札幌市の保健所から」とあります。

個人情報を入力したノート型パソコン２台が盗まれたとして、市は７日、札幌中央署に盗難届を出した。人口動態統計のうち、死亡情報約１万９０００件、離婚約５０００件、出生約３０００件、婚姻約２５００件が登録されていて、氏名、生年月日、住所、職業などが入力されているが、人数は数万人単位になるものの「不明」という。

記事の中身には「個人情報が盗まれた」とは書かれていません、ノートＰＣが盗まれたと書いています。しかし、記事のタイトルは「個人情報流出」です。ごく普通に「個人情報が盗まれた」と読めると思います。

その何が問題なのか？というと、個人情報は財物ではありません。
盗むとか詐取するというのは財物に対して出来ることであってこれは最古の法律で「汝盗むなかれ」と書かれているくらいです。
氏名（姓名）は個人情報の代表的なものでしょう。問題は名前の所有者は誰なのか？です。
一見、個人の姓名はその個人のモノのように思えますが、よくよく考えると自分の名前を自分だけで独占していると全く名前として機能しません。他の人はその人の名前を知らないのですから。
つまり、名前（姓名）はその個人の社会的な位置を確定するために社会が共有しているものである。
といった定義の方が実際的なものではないでしょうか？

個人情報保護法に関わってから違和感があったのが「名刺も個人情報です」と言われることです。
ネット用の名刺としてハンドルとメールアドレスしか書いていない名刺を使うことは特に女性には珍しいことではありませんが、ビジネス用途に限っても名刺を出したらそれがＤＭに使われるのは覚悟の上でしょう。
それを個人情報として管理しなさいという話しになると、説明として出てくるのは「机の中に名刺の束を放り出しておいて、誰かがそれをＤＭ業者に渡したら文句が来ます」なんて説明になっています。
これは、名刺が個人情報だとしてもその取り扱いの一局面の話しであって、名刺そのものや名刺を交換することについて特段の注意をしろという意味では無いでしょう。
ところ「名刺は個人情報」「鍵の掛かるところにしまうべき」といった議論がなんの疑問もなく語られますが、普通はオフィスは鍵が掛かるでしょう。野天でオフィスを開業しているなんて例はほとんどありません。

というわけで「個人情報」という言葉だけが走りすぎていて、その問題点をかえって考えていないのではないか？さらには「個人情報の使い方の問題」を「個人情報の問題」にしてしまっているのではないか？と思うようになりました。

1月 8, 2005 at 05:25 午後セキュリティと法学 | Permalink | コメント (4) | トラックバック (1)

2005.01.07

個人情報保護法を考えてみる　１

個人情報保護法を考えてみます。
４月から個人情報保護法が施行されます。
この法律は行政法というもので、行政から主に企業や団体などの個人情報の取扱について管理監督があるという趣旨の法律です。
だからある特定個人の個人情報を悪用したといったことが直接個人情報保護法違反にはなりません。
実際には、
個人情報が悪用された→個人情報が流出したのだろう→流出させた企業の情報管理に落ち度があったのだろう→監督官庁が企業を調査する→監督官庁は企業に情報管理について是正を指示する→命令を受けた企業が命令に反した→個人情報保護法違反で管理者が処罰される。

なんてことになります。

こんなことなので、企業は個人情報保護法対応のために莫大な投資をしているのが現状です。
一例が日立製作所の発表した「社内のＰＣ全廃」です。ＰＣに代わってターミナルを配付するのでしょうが莫大な投資額になるでしょう。

ところで個人情報保護法が定義している個人情報は次のようなものです。

第二条　この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。

これではナンのことか分かるような分からないような・・・です。
ところで、個人情報保護と境目があいまいなものに「プライバシー保護」があります。
プライバシーは個人にとってはかなり明確ではありますが、それが他人にとっては「それくらいいじゃないの」というところで、摩擦になるから「個人が勝手にされている権利」といった概念プライバシーである、とも言われています。
もっとも法律上はプライバシーを権利として確定していませんし、そもそも法律で決めることなのか？という議論もありますが、同時にプライバシーが全く存在しないということもあり得ないので、かなり自然なことでしょう。

これに個人情報がくっつくとヘンなことになります。
例えば「公職」という言葉があって、多くの場合は議員などの職務や上級公務員の職務を指すようです。じゃあ「私職」という言葉があるのか？というとあるわけ無い。「公職」だけですね。
そこで「代議士の○○が愛人を・・・」なんて週刊誌などが書くと愛人なんてのは職とはあまり関係ないわけで、公職であろうがプータローであろうが人類公平の原則によるでしょう。
しかし実際には公職の人の愛人問題を週刊誌に書いても多くの場合は名誉棄損にならない。一方、市井の人の愛人問題を電柱に貼ったりすると、名誉棄損で逮捕される可能性は高いです。この違いはどこから出てくるのか？

簡単に言えば「個人として違う人だから裁判の結果も違う」ということになります。
つまり「個人」とは「社会の中での個人」であるということを改めて認識にする必要があります。
私たちは自分の氏名を自分で変更することは許されません。裁判所の判決を必要とします。同様に住所のデータは住民票のデータでありますから、自分で管理していないことは確実です。
ところが個人情報保護法の個人情報の定義に「氏名、生年月日その他の記述等により特定の個人を識別することができるもの」となっているのですから、氏名や住所は個人情報の一部であることになります。

さて、ここで後戻りになりますが「保護するべき個人情報とは何なのだ？」という問題が浮かび上がって来ますが、それは法律にも書いていない。
ちょっと大変なことになってきました。
個人情報保護法には保護するべき個人情報の定義が無いようです。

1月 7, 2005 at 02:42 午後セキュリティと法学 | Permalink | コメント (4) | トラックバック (2)

2004.11.19

ノートンインターネットセキュリティ

ずーとノートンインターネットセキュリティを使っています。毎年買い換えて（アップデート）していますが、年ごとにややこしくなってきていて、今回の２００５は一般向けとしては限界なのじゃなかろうか？という印象でした。

Getting Started Guide なる紙があって、１ページ目（表）が「ユーザー登録をする」として説明がありますがそれによると「パッケージの底にある番号」でユーザー登録が出来るとなっています。つまり箱を捨ててしまうとユーザー登録が出来なくなります。

２ページ目は「ソフトウェアをインストールする」とあって「ＣＤ－ＲＯＭをドライブに入れると自動的にインストーラーの最初の画面が表示されます」としか書いてありません。実際のインストールの注意書きは別の冊子である「テクニカルサポート」に書かれていて、「インストールの際にはプロダクトキーをお手元にご用意下さい」とあります。プロダクトキーはＣＤ－ＲＯＭを収容している紙の袋に貼ってあるラベルに印刷してあります。つまりこのラベルを捨ててしまうとインストール出来ません。ノートンインターネットセキュリティ２００５を使う限りはこのラベルを捨てることはできません。

さらに、ウイルスパターンのアップデートを受け取るためには、シマンテックのサイトに登録する必要がありますがこの時に「アクティベイト」を要求されます、アクティベイトキーはプロダクトキーが書いてある袋に貼ってあったラベルに印刷されていますが、実際にインストールする時にはＰＣ上に表示されます。

いずれにしろ、プロダクトキー、アクティベイトキー、ユーザー登録のための番号の３つを意識している必要があります。アクティベイトキーが増えたわけですが、実質的には入力はしません。

さて、インストールの実際も以前と違ってると感じます。やはり時間が掛かるようになったと思います。２００４で保護者機能といったものが付いたと記憶していますが、保護者機能や SPAM フィルター、広告フィルターの扱いが違ったようです。第一アイコンが緑から黄色になった。

実際の使用感では個人的には一番困っていた ITmedia 系列の写真が全滅で見られないというのが改善されたのはありがたいです。先に書いたように以前と微妙に違うので設定などを見直しているところで、SPAM メールフィルターは機能が強化されたというウワサがありますが、フィルタリングではじいたメールがどこに行ってしまうのがよくわかりません。そんなこんなで、進化したのでしょうが難しくなったと感じます。しかし、ウィルスチェックなどはネットワーク利用者の義務ですから、面倒でもやるしか無いですね。

11月 19, 2004 at 01:17 午後セキュリティと法学 | Permalink | コメント (2) | トラックバック (0)

2004.11.03

携帯電話ハンズフリーでも危険？

朝日新聞より「運転中の携帯、ハンズフリーでも危険　工業大助教授実証」

運転者の注意力が散漫になることは避けられず、事故の危険性は電話機を直接手にした時と同じく高いという実験結果を、大同工業大（名古屋市南区）の鈴木桂輔助教授（制御工学）がまとめた。

実験は、運転シミュレーターを操作しながら、前方のライトが点灯したらハンドルのボタンを押すという内容。ライトは運転者の前方１８０度に十数個が等間隔で置かれ、無作為に点灯する。（１）携帯電話を直接持って通話（２）ハンズフリー器具を使って通話（３）通話しない場合の３通りについて、それぞれボタンを押す反応の速さを比べ、２０～５０代の男女２４人の平均時間を割り出した。

細かくは記事を読んでもらうとして、この先生はどんな人だろうと検索したら日本機械学会，計測自動制御学会，自動車技術会所属だった・・・・。

なんか新聞記事がおかしいのではないか？と思ってしまうが、ハンズフリーの運転に対する影響を考える時に容易に考えられる要素は、運転歴、会話の内容、ハンズフリーか否か、道路環境などがある。
会話の内容というのは話し手にとっての内容だから、どうでも良い会話からとても重大な会話まであるだろう、こんなものを実験で再現できるものなのか？
非常に有名な実験で、作業能率に環境が及ぼす実験というのがホーソンの実験として知られている。

ホーソンの実験とは、照明を暗くするなど明らかに作業能率を下げると思われる環境に変化させても、実際の作業能率は上がってしまった、というものでこの実験で人間にはモチベーションが大きく影響すると分かった。

ハンズフリーの実験など人間の行動や能力を調査するのには、この人間の動機を項目に入れることは必須で、新聞に紹介してあるような機械的な調査では正反対の結果も出ることを考慮に入れると、明らかに自動車を止めて電話する例も考えに入れると、およそ無意味とは言わないにしても、現実離れした分析だと言われても仕方あるまい。

PS 13Hzで稼働中さんにトラックバックしました。　　「助手席の人と話した場合との比較はどうなるのでしょう？」　　これも多くみられる意見ですね。この記事はなんなんだろう？

11月 3, 2004 at 04:13 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2004.10.20

プリペイド携帯電話の禁止法案だと

朝日新聞より「プリペイド携帯の販売禁止法案、与党が議員立法で検討」

法と常識の狭間で考えようさんの記事「プリペイド携帯電話の販売禁止は妥当か？」で問題提起されていたことである。

与党は２０日、プリペイド（料金先払い）式携帯電話の販売を禁じる法案と、インターネットなどでの預金口座の売買を禁じる法案を今国会にも議員立法で提出する方針を決めた。携帯電話各社は、プリペイド式携帯の販売時の本人確認を強化しているが、一部店頭では不十分だったり、転売が絶えなかったりしているという。与党は新法で、一定の告知期間を置いたうえで、プリペイド式携帯の販売を規制することを盛り込む考えだ。警察庁も携帯各社に対し、携帯の第三者への譲渡を禁止するよう求めている。

こんなことを法律にするとはバカじゃないか？としか言いようがない。

要するに匿名携帯電話が犯罪に使われ場合に追跡出来ない場合があるから、その一つの原因であるプリペイド携帯電話を禁止するという原理だろうが、どこをどう繋ぐとそういう話しを理論立てることが出来るのだ？

この手の何かを禁止するというのは「他の用途はほぼあり得ないから禁止出来る」という理屈はある。代表が拳銃などの所持規制である。だから刃物については刃の長さや用途で規制している。

そこでプリペイド携帯電話であるが、携帯電話の利用者が追跡出来ないということなら幾らでも可能性はあるだろう。会社支給の電話の横流しといったことも想定できる。

つまり先に書いた「他の用途はほぼあり得ないから規制出来る」という原理になるのか？という問題になる。
それに第一、携帯電話の料金支払いの方法を法律で規制出来るものなのか？この話は「携帯電話の使用者以外が契約してはいけない」ということになってしまうのではないか？

こんな法律が成立するようなら国会議員のバカさ加減を世間に知らせることになる。

一方、日弁連が「プリペイド携帯：契約時の本人確認　日弁連が総務省に要請」を出した。毎日新聞より。

プリペイド（料金前払い）式携帯電話について、日本弁護士連合会は２０日、本人確認の徹底などを求める意見書をまとめた。近く事業者を監督する総務省に郵送する。（１）新規契約時だけでなく、既存の契約についても本人確認し、確認できない場合は契約を解除する（２）犯罪に使用された場合、利用を停止する－－などの行政指導を求めている。

こちらの意見の方がよほど妥当だろう。

10月 20, 2004 at 11:32 午後セキュリティと法学 | Permalink | コメント (5) | トラックバック (1)

2004.10.17

ロースクール志願者激減？

ロースクール問題で取り上げた、法科大学院卒業者が司法試験に合格する可能性が当初の予定の７～８割から３０％台に落ちるという予想が出たことで、朝日新聞に次の記事が出た「法科大学院の志願者激減　新司法試験の合格率懸念？」
ビートニクスさんがコメントした通りになったと言える。

ただ、仕事を辞めて新司法試験を目指そうという人たちにとっては、厳しい現実を知らせることなった訳で、「賢い」社会人は、来年以降ロースクールには行かなくなるように思いますね。

朝日新聞の記事でのこの現象への説明は

・「課題や合格率の厳しさが漏れ伝わり、社会人は様子見をしているのではないか」
・「当初、新司法試験には法科大学院出身者の７、８割が合格するとされたが、今では２、３割とまで言われている。仕事を犠牲にして法曹を目指すにはリスクが大き過ぎる」
・都内の女性会社員（２５）は悩んだ末、法科大学院の受験をやめ、働きながら現行の司法試験を目指そうと予備校の講座を申し込んだ。「法科大学院を修了しても、必ず弁護士になれるとは限らないなら、最短距離の現行試験にかけてみようと思って」
・「法科大学院の３年は長いし、授業料も高い」などとして、現行試験を目指す人は多い
・文科省専門教育課の専門職大学院室は「初年度は、それまで待っていた人が一気に受けたと考えられる。数年すれば志願者数も落ち着いてくるのでは」

となっていて、総じて常識的な判断をしていると言えよう。このような敏感な判断をする人たちが法曹界に入ることは良いことだと思う。

一方で、司法修習生の生活費を給与から貸与にするという法案が提出されるが、期間が１年半であるから、年間３００万円として４５０万円である。これを給与から貸与では、相対的には９００万円差となってしまってあまりに格差がひどすぎるというべきだろう。
半分とか１／３を貸与にするといったところが妥当ではないかと思う。
一方で、ロースクールにお金が掛かるから・・・という論もこれまた乱暴に過ぎている。ロースクールにはお金が掛かるから国が出すべきだ、とも取れる。

国民つまり司法従事者のサービスを買う消費者にとっては、適度にバランスが取れたところで優秀な人材が法曹界に競争して入る形であることが一番望ましい。そのためには、競争意欲を失わせるような過度な競争も、誰でもなれるといった競争の事実上の撤廃もどちらもダメで、あえて言えば非常に厳しい競争になるべく多くの参加者があるような形が一番良いだろう。

次回の志望者の動向によって、ロースクールが有効なのかどうかが確認できるだろう。

10月 17, 2004 at 10:54 午後セキュリティと法学 | Permalink | コメント (4) | トラックバック (0)

2004.10.09

ロースクール問題

「法と常識の狭間で考えよう」さんの「ロースクールは生き残れるか？」を代表にしますが★J憲法＆少年Ａ★さん、弁護士落合洋司　（東京弁護士会）　の「日々是好日」さんらが一斉に取り上げたのが朝日新聞の「法科大学院生にも狭き門　新司法試験、一発合格は３４％」という記事です。

この情報がなんでこんな大げさな記事になったのかを法曹関係者の皆さんは取り上げているわけで、基本は「法と常識の狭間で考えよう」さんの記事

元々、ロースクールは、現行の司法試験の合格率が低く、予備校に行くなどしないと合格しないことから、大学の法学部とは別に、２年制（法学既習者向け）と３年生制（法学未習者向け）で、実務も射程に入れた余裕のあるカリキュラムを実施して、「その卒業生の７、８割は合格できる」という制度として設計されていた。
しかしながら、J憲法さんが指摘するように、昨年秋の時点で、約70校以上ものロースクールを認可した時点で、その定員数から、既に、その卒業生の７、８割は合格できることはありえないということは明らかなことであり、どうして、今頃になって、このようなことが１面のトップ記事になるのか、理解に苦しむところではある。

に集約されているでしょう。

法曹界の実務に携わっている現役の方々からはロースクールについて、BENLIさんは以前からかなり強烈に批判していましたが、その通りになりつつあるとも言えるでしょう。
確かに「７～８割に法曹資格を与える（弁護士になれる）」というふれこみで出発したロースクールですが、元々の定員が少ないのですから学校を増やしたら弁護士になれない学生が大勢出るのは当たり前です。この事について上記の実務家の皆さんは当然のこととして「だから出発点から間違っているのだ」とおっしゃっています。
代表的な意見は★J憲法＆少年Ａ★さんの

仕事を辞めてロースクールに未修者として入学した人が一番大変だ。幸いにしてまだ辞めていない人は、勤めを続けながら05年ないし06年の現行試験を目指し、それでダメなら諦めるのが現実的だろう。

がふさわしいと思いますが、わたしはちょっと違う印象を受けます。
ロースクールに入学し法曹人を目指す学生は大変な情況は分かっていて当然だと思う。
「聞いてない、教えられてない」と言える立場の学生では無いはずだ。
教えられないと情況が理解できないような法曹人は、はっきり言うがいらない。
単純に言えば非常識な人物という範疇に入る。

もちろん、BENLIさん（小倉弁護士）が以前から指摘しているように「法曹人になるのは金持ちだけになる」という危険はあるが、お金の問題は解決可能であろうと思う。
それよりも、判断力が弱い人間がお金を掛けて法曹人になる方が恐ろしい。

バンバン競争して、したたかに生き残るような逞しい社会をよく知っている法曹人を求めているという事実は変わらないのだから、法曹を目指す人たちには大いに苦労して欲しい。その苦労もお金が勝負を決めるということを心配するのは当然ではあるが、お金なのだからなんとかなると言えないでも無いでしょう。

紹介した実務に携わっている方々の半数は存じ上げてるし、決して甘やかせと言っているのではないことは理解していますが、記事の読み方としては仕組みを変えて甘やかせとも読める、と感じました。

10月 9, 2004 at 04:22 午後セキュリティと法学 | Permalink | コメント (4) | トラックバック (1)

2004.10.06

ＩＴ事故対策だって

日経新聞より「ＩＴ事故対策を５段階格付け・経産省が検討」

経済産業省は情報技術（ＩＴ）事故への対策を促すための企業格付け制度の検討に入った。来年中にも導入する。顧客情報流出の防止策やシステム停止の復旧策の充実度などが評価対象。企業に対策をまとめた報告書の公表を呼びかけ、その報告書を5段階程度に格付けする。結果を公的機関による調達の基準とすることも検討する。

う～～ん・・・・・・・・。

やらないよりはマシだとは思うが、誰が格付けするんだ？そしてその格付けの精度はどんな時に確認されるのだろうか？

だいたい多くの場合、格付けとはかなり偏った結果になります。ＩＴ事故については考えてみると、事故後の対策が優れているかなんて評価は実際に事故にならないとちょっと評価出来ないのではないでしょうか、そうなると事故を起こしてから良い対策をした企業と、事故を全く起こさない企業を同列では評価できません。

これは分類が一様ではない団体にありがちなことで、健康保険組合にはよく見られる現象です。健康封建組合の財政は歳の割に高い収入の組合員が多いところは健全経営になります。しかし、日本全体でみると高齢化によって健保財政は全体として悪くなっています。つまり健保組合の財政をそのまま比較してもそれぞれの業界事情とかを意味する以上ではないから、あまり意味がないとなります。

これを悪用するのが、悪徳商法で「○○社の評価・・・」なんてのウリにしますが、会社の財務の評価なんて消費者には無関係です。

ＩＴ関係について役所の取り組みは、縦割り行政を良いことに切り取り勝手というのが現状だと見ています。次々と出来る法律も役所の意向を反映しているために、どうにも統一性に欠けています。今夏の経産省の案は、経産省の得意な業界団体作りなのであろうと思われます。

10月 6, 2004 at 10:58 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2004.09.28

個人情報の確保

cococoさんの記事「びっくりです。」は実際に出くわせば確かに「ビックリ」ですが

聞けば、暗証番号が「生年月日」だったそうです。
これはうまくないですね。しかもすべてのカードの暗証番号が一緒だったらしいので、
こうした犯罪のプロ（？）にしてみれば、スキマーもいらない、ちょろさでしょう。

これは、パソコン通信が始まったころには実際に起きていた問題です。だいたい、最近ではＡＴＭに「暗証番号は誕生日ではダメです」とか書いてある時代です。最近では認証のあるサイトなどにアクセスするために実にたくさんのパスワードを管理するひつようがあって、それをポストイットに書いてディスプレーに貼ってあるなんてのは少なからぬ実例であり、かつ「それはダメだ」と強く指摘されています。ところが、代替案というかお勧めが示されない。セキュリティの専門学会などではパスワードをコンピュータのどこかに記憶させて、その上でそのファイルをセキュアーにして、セキュアーを解除して読むことができる状態にするパスワードだけを記憶するようにした方が良い。と指導されます。わたしが最近使っている手法はパスワードを時計のデータにしています。040928001534 とかなります。作った当人だって覚えていない。その他、例えば誕生月と誕生日を計算してしまう。９月２８日であれば、９＋２８、９＊２８、９÷２８、といった計算結果を使う方法です。もちろん誕生日以外でも、電話番号の局番と番号で計算するとか電話番号と住所で計算するなんてこともありです。元の数字まではなんとかなっても、計算ルールは勝手ですからまず破れないでしょう。

9月 28, 2004 at 12:20 午前セキュリティと法学 | Permalink | コメント (1) | トラックバック (0)

2004.09.27

千葉地検で法律の適用誤りなどがあった

朝日新聞より「千葉地検の検察官５人に厳重注意　法超す刑期、罰金忘れ」

千葉地検で００年度以降、法律の適用を誤り、法の規定を上回って求刑したり、罰金の求刑を忘れたりするミスが相次ぎ、検察官５人が厳重注意を受けていたことが分かった。検察事務官１０人も、別人の過去の犯罪歴をもとに刑事処分手続きをしていたなどとして厳重注意などになっていた。いずれも国家公務員法にもとづく懲戒処分ではなく、未公表だった。裁判所も違法な求刑を受けて違法判決を出していた。

朝日新聞記者の情報公開請求に基づいて開示請求された内容によるのだそうだが、司法の信頼という面から検察は積極的に発表するべきだと思う。さらには、やはり責任はあるだろう。それも部内の問題ではなく公式に責任を追求するべきだと思う。知られなければ良いというのでは司法の信頼は一気に無くなってしまう。

9月 27, 2004 at 10:48 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2004.09.17

架空請求詐欺で敗訴・支払になるケース

産経新聞より「新手の架空請求　少額訴訟など悪用　「無視」続けると敗訴に」

ちょっと前に悪徳商法?マニアックスでも話題になった事例です。

架空請求は警察・消費者センター・ネット上の消費者被害相談などでも「無視して下さい」とアドバイスしています。業者が少額訴訟を裁判所に申し立てます。裁判所から被害者＝被告に少額訴訟の呼び出し状が来ますが、これも「架空請求だから」と無視してしまうと、少額訴訟のルールで敗訴確定となってしまいます。つまり架空だった請求が裁判所というもっとも権威があるところに保証された確定した請求になってしまうのです。

一般には「敗訴したら控訴して上級審で争えば良いでは無いか」と考えますが、少額訴訟では一審（原則一回）で確定であり、控訴は出来ません。つまり最初の呼び出しに応じないとそれだけで敗訴です。産経新聞の記事では

架空の訴訟を起こされて精神的被害を受けたとして損害賠償請求を起こすのは都内在住の二十代の男性会社員。大阪市内を本拠とする出会い系サイト運営者が提訴した訴状が、大阪簡裁から届いた段階で「身に覚えがない」と弁護士に相談した。業者側が起こした訴訟は、東京簡裁に移された後、さらに東京地裁に移され、二十七日に審理が始まるという。

となっていて細かい事情が分かりませんが、日本司法書士連合会のサイトの少額訴訟の解説に

少額訴訟手続により訴えを提起しても、被告が通常の訴訟として審理することを求めた場合には、少額訴訟手続による審理は行なわれません。

とある通り、少額訴訟で勝ち負けを決しないと判断した場合に、少額訴訟ではなく通常訴訟で争うことにするしか手がありません。産経新聞の紹介している事例がこのケースなのか、少額訴訟で敗訴したので一般民事事件で再度訴訟を起こしたのかが分かりませんが、どちらにしてもやっかいなことです。

一方「架空請求が裁判所にバレる可能性があるだろう」と誰もが思うところですが、アングラ情報ですが少額訴訟を起こす原告＝架空請求が裁判所にバレする可能性がある人物には本人が借金などで首が回らず、なんでも引き受ける人間を使う。という話しもあるようです。これは、Spam メールを送りつけるのに弱みのある人間を使うという話があるのと同様で、少額訴訟の規定にある「同一の裁判所に年間10回を超えて申立てることはできません」も人を取り替えることで逃れているとも言えるでしょう。

9月 17, 2004 at 10:29 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (1)

2004.09.15

二次詐欺被害

朝日新聞より「マルチ商法被害弁済装い、郵貯だまし取る　１３人が被害」

健康食品販売会社「全国八葉物流」による巨額詐欺事件の被害者に電話で「被害弁済を代行する業者」を名乗り、郵便貯金の振り替えをインターネットや電話でできるサービスに加入するよう指示。操作に必要な暗証番号やパスワードを事前に指定したり、聞き出したりして、８都府県で１３人の被害が確認された。一家４人で計３１２万円だまし取られた例もあった。

なんというか、被害者には失礼だがなんで同じ話しに二回引っかかれるのだろう？

もちろん全国八葉物流事件の被害者が再度被害者になっているのなら、まさに個人情報流出であるわけだが、これもしょせんは犯罪組織に名前を知られた＝カモリストに載った、ということなのだが、向こうから来る電話などというのは１００％疑って当然なのだが、そういう知識が無いのだろうか？

それにしても、初期からのパソコン通信ユーザとしてはそれなりにひどい話を見たり経験したりしているからネットワークという顔が見えない世界では基本的に信用が無いということが身体に染みついているだが、ネットワークの世界とは別に「会社だから」「役所だから」といった既存の権威があって「ネットでは信用出来ないが、会社（役所）に聞けば確認出来る」と長年やってきた。

それが最近では会社も役所もネットを利用し始めた。その結果がニセサイトの登場でありフィッシングの横行、架空請求メールの氾濫である。

にも関わらず、会社はとにかく役所や周辺のボランティアグループなどが安直にインターネットで「私たちは○○（の認可を受けているの）だから信頼出来る」とやっている。そもそもニセサイトで無いことは証明出来ないということ知ってとは思えない。ネット外の権威を出せばネット内でも信用できると思っているところが恐ろしい。役所を代表として信用を常に維持するために莫大に費用を掛けていることを知らない人が多すぎる。

インターネットは社会そのもの反映であるから「いかがわしいインターネット」などというのがヘンなのだ。社会にはいかがわしい部分は間違えなくある。だからインターネットにもいかがわしい部分があって当たり前なのだ。そういう方向議論はあまり聞かない。

9月 15, 2004 at 11:51 午後セキュリティと法学 | Permalink | コメント (1) | トラックバック (0)

2004.09.05

架空請求の進歩か？

人工事実さんに「驚異の新技術「個人識別コード」」という記事が出ていた。

http://www.cat-e.be/member/index.php
　ここより。

個人識別コードはPC個別に割り当てられている個人情報を特定可能な次世代コードです
　いつの間にそんな技術ができたんだか（笑）。IPアドレスからプロバイダーを表示して、知らない人を怖がらせる方法は一応取ってますが、架空請求業者の方々の考えるネタは面白過ぎます。あー、でも、IPv6が普及したら、信じる人が意外と増えてしまいそうかも…。
　念のため、書いておきますが、そんな技術はありませんのでご安心を。

ナンダなんだとクリックしてみました、そうしたらこんなことになった（^_^;）

人工事実さんが紹介しているリンクをたどっていくと大評判！（爆）、まぁ良くも考えたものだと思うが、ここまで来るとネットワーク犯罪であると言って良いでしょう。
架空請求とオレオレ詐欺について現時点で警察の平均的な対応は「無視して下さい」らしいが、弁護士さんとの対話では「詐欺未遂という立派な犯罪」となっています。つまり本来は警察は「無視して下さい」ではなくて「詐欺未遂の疑いで告発して下さい」ということも出来る立場なのだが、そこまでは話しを広げないらしい。
でもこれは、かなり立派に多くの人を脅しているぞ。２ちゃんねるで「爆破します」とか書いて逮捕されたバカが居るが、それとさほど差がないだろう、実際にこの口座を調べるぐらいのことはやって良いだろうと思う。

9月 5, 2004 at 02:19 午後セキュリティと法学 | Permalink | コメント (2) | トラックバック (1)

2004.09.02

記憶するべき日なのかも９月１日

まだ９月２日だから９月１日のことを書いても良いだろう。わたしが興味を持っている法律的側面では２００４年９月１日は記憶するべき日なのかもしれない。一番目、京都地裁で winny 裁判第一回公判があった。つまり裁判の始まりである。正確に言うともうちょっとマニアックな見方も出来る。通称 winny 裁判とは winny の作者である金子氏をめぐる「著作権法違反幇助」の裁判である。幇助という従犯なので別に正犯がいる。これが、群馬県の人でこの人も京都地裁で裁判が進行中である。これが８月３１日に懲役１年の求刑があった。その翌日の９月１日が金子氏の裁判の始まりであった。二番目が違憲判決をめぐってすごいことかもに書いた、確定した判決の後に根拠となった法律が無効となった場合、再審請求できるという大阪高裁の決定である。これについては町村先生はじめ何人かがコメントしているが、いずれの意見も「大混乱になるだろう」という話しである。法律の新たな適用を昔に遡る（遡及）というのはもし一般化すると非常にまずい結果になると思う、さっさと最高裁で結論を出すべきだろう。三番目が、三菱ふそう（自動車）のリコールの虚偽報告で、宇佐見元会長らへの刑事裁判の始まりである。この裁判は虚偽報告があったということにしないと国土交通省にとった多分非常に都合の悪いことになるのだと思う。その意味ではもともと虚偽報告というのが無理があって、それを被告側が突いたのだろう。わたしの印象であるが、ハブもクラッチハウジングも基本的な設計でミスしているのだと思う。設計と言ってもその部品の設計が間違っている場合（ハブ）と設計の前提となる公差の設定が違っていた場合（クラッチハウジング）があるのだろうが、いずれにしても本職であれはヂェックするべき部分を見逃したのだろ。見逃したと書いたが見逃していけないのがプロの設計であるし、万一どこかを見逃して致命傷にならないように安全を確保しておくがプロであるから、見逃しはそれだけで重罪なのだが・・・・。自動車には車検制度があって、最低基準ではあるが国が安全を保証してるのである。ハブの設計はわたしだけでなく機械工学の知識のある人は「なんだこれは？」といった印象を受ける設計である。三菱は「摩耗が０.８ミリで壊れる」と言ったのだが、ほとんど１０ミリはある部品である、それが一割の摩耗で破断することあり得ない。一割の摩耗で破断するほど強度に余裕がない場合、破断する以前に曲がってしまう。これは機械工学の専門家でなくても中学生ぐらいでも直感的に分かることだ。そこで「人身事故になるほど致命的な設計ミスでした」となると、国土交通省の車検を通した責任という問題が出てくるのだろう。そこで元会長の個人的な責任に話しをまとめてしまうために、設計ミスは無かったが、リコールの届け出がウソだった、とやっているのだろう。隠さない方が良いと思うのだが。

9月 2, 2004 at 08:15 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2004.08.31

実録オレオレ詐欺とは！！

これぞネットの醍醐味というのでしょうか、Filtration（純水）さんが「実体験！オレオレ詐欺の手口」というのを公開されています。

まぁかなり強烈で、これはダマされる可能性は高いですね。
当初「オレオレ詐欺」という話しがあった時に「そんなものにダマされるものなのか？詐欺としての効率はかなり悪くてすぐに廃るだろう」と思っていたらその後、成功率１割とかいう話が出てきて「それじゃやるわ」と驚いたものです。
しかし、具体的な手口を詳細に説明されるとこれも当然という印象ですね。

被害者が警察官がなどというのは割と伝わっている情報ですが、Filtrationさんの場合は事故を起こしたとされる父上の携帯電話が伝わらなかった、その手口がすごいです。
ここは是非読んで欲しい、というか携帯電話を止めることが出来ないのならその後のオレオレ詐欺にたどり着けないわけです。
携帯電話を止めてしまったの一番の問題点であるわけで、これについてFiltrationさんはauの対応を疑問視しています。

是非ともご覧下さい。

8月 31, 2004 at 05:51 午後セキュリティと法学 | Permalink | コメント (3) | トラックバック (1)

2004.08.23

日能研から情報流出

朝日新聞より「日能研で個人情報流出　模試受験の小学生ら１００人分」

地元であります。横浜は進学塾の激戦地なのではないかな？駅前のビルにノボリが掛かっていたりする。

今回は情報管理会社の内部から流出した可能性が高いということだが、

エヌ・ティ・エスの従業員は８７人で、個人情報にアクセスできるのは１２人。同社の三十数台のパソコンからパスワードを使って個人情報にアクセスできるが、履歴には残らないという。

ダメじゃん。１２人が三十数台のＰＣでアクセス可能で、かつ名簿のダウンロードが可能だった。もうこれがダメ。毎日新聞には

日能研によると、流出した個人情報は、模試を過去に受験した現在小学３年から中学１年の児童・生徒の氏名、性別、学年、生年月日、保護者の氏名、住所、電話番号の７項目。模試の成績は含まれていない。流出した一部の約１００人分の個人情報リストを、日能研が模試受験者のデータベースと照合したところ、ほぼ一致した。流出したのは首都圏や関西圏を中心に、児童・生徒約１８万人分に上るとの情報もあるという。

と書いてある。ソフトバンクの個人情報流出事件の時に問題になったが数百万人分のデータがダウンロードできる方がおかしい。そもそも名簿のデータをダウンロードする必要はない。検索に必要なのは特定なデータを見ることが出来れば良いのであって、ダウロード機能があること自体が失格というべきだ。

ソフトバンクの場合は実行犯は恐喝目的に使った、三洋信販の場合は架空詐欺などがある模様、つまり名簿を持ち出した後に使うのは誰か？という問題が出てくる。る。進学塾の名簿を持ち出したら、そりゃ同業者である進学塾や家庭教師派遣などでしょうね。実際に家庭教師の電話セールスが頻繁にかかってくるといった報告もある。

個人情報保護法ではなくて、刑法に情報窃盗罪を作るべきだと強く思う。

8月 23, 2004 at 11:10 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2004.08.20

アメリカでファイル共有ソフトの作成は著作権法に抵触しないとの高裁判決

産経新聞より「ソフト提供者に責任なし　ネット上の著作権侵害で」

サンフランシスコの米連邦高裁は１９日、インターネット上で情報を交換できるファイル共有ソフトの提供者に音楽や映画の著作権侵害の責任を問えないとの判決を下した。高裁判決は、ソフト会社は著作権の有無にかかわらず、情報を共有しようとする個人にソフトを提供しているだけで、著作権侵害行為に深く関与してはいないと認定した。一審に続く控訴審での敗訴は業界にとって大きな衝撃とみられる。

ちょうどWinny事件と同じと考えて良いのだろう。

まだ詳細は分からないのだが、一般常識として考えると妥当な判決と見える。Winny事件ではソフトウェアのWinnyを利用した者が「著作権侵害になると承知して使用した」と述べている（主犯）ようなので、「そんなことをさせるソフトウェアを提供したから共犯だ」という論理らしい。素人考えとしては、共犯となるかならないかを争うのはソフトウェア開発やそれこそ車の製造は交通事故の共犯だという展開になりかねないように思うので、出来れば「共犯にはあたらない」という門前払いの結論が欲しいところである。

何が共犯なのか？は程度問題になりそうな気がする。どうもこういう論理展開を程度問題にして良いものか？という疑問がある。どうも検察側の主張はこの共犯の程度問題とかにしないというこのようだけど、それじゃもっと分かりにくいし新しい手段が出てきたのに権利者が新しい手段の存在を無視して権利を主張するから話が折り合わないという印象が強い、どういうことになるのか？

8月 20, 2004 at 11:37 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2004.07.30

プロバイダ責任制限法のガイドライン改定案・意見募集中

プロバイダ責任制限法ガイドライン等検討協議会が「法務省人権擁護機関からの情報削除要請対応プロセスの明確化」について意見募集しています。

プロバイダ責任制限法はネットワークで権利を侵害された被害者が、裁判など手続きをしないでも、プロバイダ等に被害の元となった誹謗中傷発言などの削除を求めることが出来るという法律です。

　
問題は、被害者（申立人）が身分を証明しないと実際に発言を削除するプロバイダ等にとっても申し立てが真実であるかどうかが分からないことで、推奨する書式には身分の証明の欄があります。

これは、成人で社会的に身分証明しやすい人や企業にとっては容易ですが、小学生など身分証明そのものが本人にふさわしくない場合には、プロバイダ責任制限法による削除請求自体が出来ないという問題がありました。

そこで、法務省人権擁護局が削除請求した場合にプロバイダ責任制限法上の申立人に相当しないのでどうしようかという問題を解決するために手続きを決めようというものです。

もっとも、不当な記事かどうかという問題を判断出来ないプロバイダというのが許されるのかという根本的な疑問も出てきますが、それだけネットワークも社会的に重要になったということです。

意見のある方はガイドライン改定案（ＰＤＦ）をご覧の上でこのメールアドレスにどうぞ。

7月 30, 2004 at 10:49 午前セキュリティと法学 | Permalink | コメント (1) | トラックバック (1)

2004.06.06

SUICA や ICOCA の捨て方は？

吉井怜さん（^_^;）（そこの君たち、勝手に言ってなさい）の無くなった SUICA が出てきたそうです。

それで「ありゃ？」と思ったのが「SUICA の捨て方は？」です！！
ＪＲ東日本のサイトには説明無いですね～（オイ！！）

クレジットカードも番号を取られるとおしまいなので、事実上捨てられませんし、もし捨てるのであれば番号の部分を切って、別の日に捨てるといった対処をするべきです。

ところが、SUICA や ICOCA は RFID ですから、カードを切っても（切れるモノなのか？）無線機能が生きていれば、切ったことにならない。

電子レンジでチンするとか、ガス火であぶってみるとかでしょうかね？
まぁ携帯電話についても専門店では「データを消去して処分します」と書いている位ですから、SUICA とか携帯電話という記憶型の情報機器のように見えないものをどうやって捨てるのか？というのは、これからの大きな課題ですね。

6月 6, 2004 at 04:31 午後セキュリティと法学 | Permalink | コメント (5) | トラックバック (0)

2004.06.05

吉井怜さんが、SUICA と ICOCA を気にしてますが

吉井怜さんが「ICOCAが気になる」と言ってます（^_^）

>そういえば、友達にSuicaを買った自慢をしたら、
>その友達は定期券付きSuicaを持っていたのだーー！
>う、うらやましい（☆▽☆）
>この間、滋賀に行った時、「ikoca」
>（行こうか、ikoca！っていうキャッチフレーズ）を発見！
>これって、もしやSuicaみたいにタッチandゴーってことかしら？
>気になる～（＞▽＜）

だそうですが・・・・（^_^;）

どうも良いことばかりを強調するので、吉井怜さんも気になるわけでしょう。
問題は誰が「良いことばかりを強調するのか？」ですが、これはあからさまに言えば、お国であります。
SUICA も ICOCA も非接触型ＩＣカードの代表的な使い方で、たまたまカードの形をした RFID という分類になります。
仕組みとしては、米粒ぐらいの無線送信機を内蔵しているカードで、この無線送信機を使用して非接触＝無線でその品物を特定しようという仕組みです。

確かに非常に高度な技術であって、偽造が困難なことと無線を使うので非接触であることで、処理速度を上げることができるのはメリットです。
現実に、SUICA では改札口の通過速度が明らかに上がってきています。
このために、関東地区で使われている私鉄のパスネット（プリペードカード）を SUICA（ＩＣカード）に統合する方針のようです。

無線で情報をやり取りするのならば、携帯電話の方がずっと先行しているので、携帯電話に SUICA の機能を持たせる製品はすでに試作品が発表されています。
世界的な携帯電話メーカのノキアの本社があるフィンランドでは、自動販売機に携帯電話を近づけて買い物が出来るそうです。実験は日本ではすでに行われています。

まぁここまで来ると「面倒だから、携帯電話に統一するか？」というのもアリなのですが、それが一部現実と化しています。
電話の主力が、今までの固定電話が主で携帯電話が從という関係から、携帯電話が主で、ＩＰ電話が從という構図が出来てきました。つまり、携帯電話の重要度はますます高くなりますが・・・・。

もし携帯電話を落としたらどうなるんでしょう？
拾った（盗んだ）人物が持ってるだけで、SUICA として使われてしまいます。
さらに、電波を出しているということは、内容が分からなくても「通信していることは分かる」のは確実で、自宅で携帯電話で話す習慣のある人は、電話の習慣を外部から察知されることになります。

なんでこんな心配をしなければならないのか？
便利さと安全は両立しない、ということですね。
コンピュータ犯罪の白浜シンポジウムでは参加者のお一人が「家の娘が」という話で「席取り携帯電話を置いておくから、人に取られたらメールアドレスを盗まれるだろう」と注意したところ「構わない」と言うので「アドレス帳に載っている人に迷惑を掛けるんだぞ」と注意したとのことでした。
難しいハイテク社会というべきですね。

6月 5, 2004 at 02:06 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2004.05.31

続・ヤフーＢＢ事件の持ち出し犯人逮捕

産経新聞によれば、パスワードは通常のサーバーが異常な時などに遠隔操作で修復に使われる「メンテナンスサーバー」に入るためのものだった。
入手したパスワードなどは元契約社員が出社しなくなってからの約１年間、１度も変更されておらず、外部侵入が容易なまま放置されていた。

ところが、ソフトバンクは「外部から侵入して盗み出された可能性は低い」という見解を出していた。だから社内からの物理的な持ち出しをモニターで監視するとも発表したわけだ。

そもそも、セキュリティのイロハとして、担当者が職責を離れたら即座にパスワードを無効にする義務が会社にあるだろう。
いったいどういう会社なのだ？
問題を一つ一つ上げれば、個人情報を収容しているサーバーにインターネットからアクセス出来たこと。
担当者のパスワードを全く管理していなかったこと。
機密情報を一気にダウンロード出来るような仕組みになっていたこと。

これはセキュリティ・ポリシーがどうのこうのという種類の話しではない、個人事業者ですら、仕事用のＰＣをインターネットに常時接続しないような配慮ぐらいはしている。トンでもない話しだ。

5月 31, 2004 at 01:34 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (1)

2004.05.30

ヤフーＢＢ事件の持ち出し犯人逮捕

ヤフーＢＢ情報流出事件で、恐喝グループにデータを渡していた容疑者が捕まった。
読売新聞によれば、ソフトバンク・グループのサーバにアクセス出来る元派遣社員からパスワードを聞き、インターネットカフェからデーターベースに侵入したとのこと。

どうすればこういうレベルのセキュリティ対策になるのだろう？
これでは監査に通らない。
そもそも、数百万人のデータがネットカフェに流れていることをチェック出来ないシステムとはどういうものなんだ？
電子社会ではリアルタイムでコンピュータが警告しないと話しにならないようなことが幾つもあるが、代表はオンライン・ショッピングのクレジットカード決済である。
クレジットカードには多くの場合、買い物の限度額が決まっている。それは店舗でチェック出来ないと意味がない。
クレジットカード端末（ＣＡＴ）で「与信が一杯です」という話は「ショッピングの女王」で中村うさぎ氏が書いている通りである。

これをオンラインショッピングでやるとなると大変だ、まとめた金額が与信限度越えであれば話は簡単だが、次々に買い物を繰り返して与信限度額で停めるのはショップのサーバの仕事になる。
つまり、正にリアルタイムで見張っていることはサーバの仕事である例と言える。
では、その目の前を数百万人分の機密データが通過するのを関知出来ないとはどういう設計なのか？
はっきり言うが、全く信用できない、としか言いようがない

5月 30, 2004 at 11:57 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (3)

2004.05.29

白浜シンポジウムの写真

第８回コンピュータ犯罪に関する白浜シンポジウムの点描です。
一参加者ですから、写真を撮るのも、空き時間だけに限られますので、シンポジウム本番の写真はほとんどありませんし、ちょっと公開出来ないものも多いのでこんなものばかりです。

５月２０日～２２日の２泊３日で開かれたのですが、ご承知の通り２１日の深夜に台風が最接近したようですが、ホテル内では窓に雨粒が付いてることが「あ、台風」という程度で強風とかもありませんでしたが、２０日の午前中から漁船が多数避難していたのが印象的です。

白浜シンポジウムの参加定員は３００名です。会費１万円の清算と一袋の資料や名札など渡す受付業務のスタッフは主に和歌山大学の若い人たちの仕事になっています。

主催は「実行委員会」ですが、その中に白浜町が入っているので、初日の夜に行われるウェルカムパーティーでの恒例の町長挨拶です。当日は、台風が近づいていたので町長としてはなかなか忙しい晩だったのではないかと思います。

ウェルカムパーティでの恒例の「円月太鼓」の演舞です。紀州水軍以来の伝統だそうで、とても迫力があって見事なものです。毎年見るのが楽しみなものの一つです。

２１日の朝には台風が通過して、穏やかな朝でした。いつもはプレジャーボートなどが停泊しているポンツーンに漁船が繋がれている珍しい風景です。

会場のコガノイベイホテルは、白浜町の外れで古くからの温泉街とはだいぶ離れています。ホテルからの遠景ですが、入り組んだ海岸の小さな半島の風景は見事なものです。

ホテルからタクシーで１０００程のところに、いただき亭というレストランがあるのですが、ここが安くてうまい。その安い証拠１（^_^）

こんな調子ですが、ビールをしこたま呑んで、魚料理（馬刺しもあるけど）をたらふく食って、結果はご飯類を食べずに満腹になって出てきましたが、一人あたり３０００円ぐらいです(^_^)v

これが有名な「ナイトセッション」です。
一応ご覧の通りパネラーが並びますが、聞いている方は酒を呑みつつですから、言いたい放題で、その結果「実はですね・・・・」となって、「全部、オフレコ」であります（^_^;）

5月 29, 2004 at 12:55 午前セキュリティと法学 | Permalink | コメント (1) | トラックバック (0)

2004.05.27

ＲＦＩＤ（無線タグ）論

第８回コンピュータ犯罪に関する白浜シンポジウムのテーマは「ユビキタス時代の個人情報保護」でした。

ユビキタスとはなんだ？ということでシンポジウムである方が「わたしの話しに限っては」ということでユビキタス・ネットワークという考え方を提示されて、いつでも・どこでも・誰でも・何でも、ネットワークにアクセスできること。ということでした。

この条件「いつでも、どこでも、何でも」を満たす一般解としてＲＦＩＤ（無線タグ）を使用するのが良いということで、電機各社や経産省などが９兆円～３０兆円産業になるということで、盛り上がっているわけですが、これを使用した場合の個人情報保護としてどんな問題があるのか？というのがシンポジウムのテーマでした。

無線ということが非接触であるために、品物の特定のために向きを揃えたりする必要がないといった面があるのですが、小なりと言っても無線で情報を流せば盗聴できるのが当然で、それで何が起きるのか？を考えないわけにはいきません。

現在、広く使われている無線タグとしては東西ＪＲの非接触カード型の乗車券です。ＪＲ東日本の SUICA などですが、ご承知の通り定期券型とプリペイド型の二種類があります。このカードには明らかに乗車駅・下車駅・利用日時の記録はあるので、それだけを盗聴しても特定の人物の足取りが分かってしまいます。

人の行動のどこからどこまでが個人情報なのか？は議論があるところですが、いくら群衆の中を無名の通行人として過ごしていても、人に知られたくない情報はあるでしょう。つまり、SUICA の情報が盗聴できることがそれなりに問題であると言えます。

しかし、現在ＲＦＩＤの利用範囲の拡大をリードしている経産省などは、食品から自動車の部品にもＲＦＩＤを付けることのメリットを強調しています。つまりあらゆる物にＲＦＩＤを付けるということです。

工業製品などでは個人情報が問題になることは少ないとは思いますが、消費財として普通のスーパーやコンビニをはじめとすると商店で販売される商品にＲＦＩＤを付けるとなると、すぐに厄介な問題に気づきます。

商品管理の観点からは、衣類を例に考えてみると、価格、製品の種類、ブランド、サイズ、素材、色、柄、製法、メーカー名、製造国、素材生産地といった情報が記録されるでしょう。
このように細かい情報は現在の、値札やブランドタグなどあっちこっちを見ることを不要にしますし、また対外的に秘密の情報を入れれば偽物との区別も出来ます。これらだけを考えるとＲＦＩＤを衣料に付けるのは結構なことに見えます。
しかし、問題はこの情報を衣類のどこに付けるのか？です。
明らかに、現在の値札のように着脱可能なタグとして、偽物とか使い回しが発生するでしょう。従って、衣類の場合は縫いつけてしまうとか、繊維の中に入れておいて外部から情報を書き込むことになります。そうして外せないようにするわけです。

さて、自分が着ている衣類の値段やサイズを放送しながら街を歩くという風景は想像しがたいのですが、これが起きることになります。
当然、お店から衣類が自分の物になった時に、ＲＦＩＤの機能停止をさせたいという消費者は多いでしょう。
ところが、今度は自分が持っている衣類を売ること考えた場合、ＲＦＩＤで本物であると確認されたものは高く売れる、ということも大いにあるでしょう。

正に人の思惑で機能が必要だったり不要だったりすることが見えて来たわけですが、同じ一人の人間にとって必要だったり不要だったりするものを、外せないところに組み込むというのは大いに疑問があります。

少なくもと消費者がＲＦＩＤの機能停止を選択できる権利は必要でしょう。
デパート全体で万引き防止などということをすると、「あの人は３００万円も買い物した」とか盗聴されることもあり得るのですから、個々の買い物の段階でＲＦＩＤを機能停止に出来る機能も必要だと思います。そうすると、全体での万引き防止には役に立たないなんてことも出てきます。

いったいどうなるんでしょう？

5月 27, 2004 at 12:55 午前セキュリティと法学 | Permalink | コメント (2) | トラックバック (1)

2004.05.26

吉井怜ちゃんSUICAを買う

吉井怜オフィシャルココログというのがあります。
まぁ若いタレントさんについてさほど興味は無いのですが、この方は急性白血病から骨髄移植で復帰したという方で、ココログの文章を読んでいてもとても頭の良い方なんだな、と感じています。

それが「ついに「suica」を買っちゃいましたー！ドキドキしながら（でも初suica・・・」ってとても好感が持てますが・・・・。

SUICA というのは個人情報セキュリティー上は十分に注意して扱う必要があります。
ほとんど改札口の機械に触れないで通過できるのはなぜか？というと、SUICA と改札機が無線で話しをしているからです。
つまりカードの情報を無線でやり取りしているのですから、仕掛けさえ用意すれば SUICA の内容は読み取れます。

単なるプリペード型でもデータが読めれば、いつも使う駅と通過する時間帯が分かるわけで、十分にストーカー登場の原因になり得ます。

「そんな SUICA を読み取る装置なんて、簡単には無いでしょ？」と思いたいところですが、一部のクリエ（ソニー製）では何もしないで読み取れます。

これから身を守るには、SUICA が反応しないつまり改札口を通れないケースにカードをしまっておいて、通過する時だけ出すというのが良いですね。
女性ならバッグを持っているでしょうから、金属性（アルミホイルでもＯＫでしょう）内張をしたポケットの中にパス入れに入れたカードをしまっておく。
というのが一番合理的でしょう。

クリエをバッグに押し当ててくるのが居たら、それは手鏡と同じです。

5月 26, 2004 at 01:07 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

東京地裁に行ってみた

今日は、朝１０時からの東京地裁の民事裁判を傍聴してきました。
紀藤正樹弁護士が原告になっている名誉毀損事件の損害賠償請求訴訟の第一回口頭弁論です。

名誉毀損つまり誹謗中傷されたという原因は、紀藤弁護士が追求しているホームオブハートとToshi問題で、詳しくはホームオブハートとＴｏｓｈｉ問題を考える会ＨＰをお読み下さい。

テレビや全国紙でも何度も取り上げられていますから、事件（児童虐待）などがあったというのはご存じの方も多いと思いますが、児童虐待をしたとされるホームオブハート（主催者がMASAYA）と協力関係にあるとされる元 X-Japan の Toshi の事務所が紀藤弁護士他を名誉毀損したとして、紀藤弁護士自身が原告であり弁護人として刑事・民事で告訴・告発したというものです。

紀藤正樹弁護士とはつき合いが長いこともあって、東京地裁の法廷とはどんなもんじゃい？という野次馬根性丸出しで行ってきました（^_^;）
東京地裁というのは高等裁判所も併設されているはずですが、実に沢山の法廷があることを初めて知りました。

小さな法廷で、傍聴人席は４列だったかな？３０人ぐらいが定員でしょう。
それでも、正面の高いところに法衣の裁判官が３人、傍聴人・弁護人らと同じ高さところに、これも法衣の判事が１名（見習いとかかな？）、傍聴人席から見て左手が原告の紀藤弁護士他、反対の右側に被告である Toshi office の代理人が１名。
当然ですが、まるで映画のよう（^_^）

日本の裁判では、主に書類のやり取りで裁判が進んで行きます。
また今回は第一回口頭弁論なので主目的が裁判所が原告・被告に「裁判を始めるのか？」という確認をすることで、次が次回以後の裁判のスケジュールを決めるのが裁判の内容と言えます。
今回は、原告が口頭で意見陳述をしたので、これがちょっと珍しいのかもしれません。

傍聴人の総数は１０人強でしたが、関係者の１名を別にするとわたし以外は全員記者で、テレビも一社来ていたようで、開廷した後の３分間ぐらいの撮影をしていました。

しかし、なかなか面白かったというのが率直な印象で、裁判員制度も始まることだし、法廷は公開されているですから傍聴に行くのは良いことで、お勧めですよ。

5月 26, 2004 at 12:20 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2004.05.23

そういうことなのか

２２日は２３時半に帰宅後に、ボーとテレビをみていたら、堺屋太一氏がなかなかトンでもないことを言っていて、妙に納得してしまったので、朝になってから番組を調べてみました。

NHK教育 5月22日、２３時３０分～「土曜フォーラム「日米交流150周年記念シンポジウム」
出演は、江崎玲於奈、堺屋太一、五百旗頭真、遠藤泰生、マイケル・オースリン、司会は国谷裕子という面々でした。

問題の堺屋太一氏の発言は、日本での庶民レベルの法律の実務のイメージについての説明です。
氏はアメリカと日本の法律・裁判ものの映画など構成を論じました。

アメリカでは、市民が法律や役所と闘って、勝ち取るというストーリーがほとんどであるのに対して
水戸黄門では「中央省庁の高級官僚が、自治体官僚と民間企業を、法的根拠なくいじめる」という内容だという説明で、会場は大爆笑でした。

確かに水戸黄門で「印籠である」だけでやってしまうですから、世界的に通用するわけがない。これは、法律手続きの世界的に合わせるしかないわけで（法律の内容は別の話し）、手っ取り早く言えば行政指導といった世界的に理解を得られる保障が無いことやれないな、ということではありますね。
水戸黄門にはさすがに感心しましたし、そうではなくかつ日本でもすんなり評価されるような、説明の方法について研究する必要があると痛感した次第です。

5月 23, 2004 at 11:55 午前セキュリティと法学 | Permalink | コメント (1) | トラックバック (0)

ただいま

なんとか、２２日の内にもどりました（２３時３０分着）
今年は、高速道路が御坊から白浜方向に伸びて、田辺のすぐそばまで高速道路が使えます。
１時間から１時間半ぐらいの時間節約で、距離も往復だと海岸をグルグル回る道が山の中を淡々と走る道に変わって短くなったようです。
後ほど詳しく書きたいと思いますが、どうも法的な問題を知らない技術者は勘弁してくれといった時代が来る様子です。
こんな時代が来るとは予想していませんでした。何もかもが変化しているので「以前は・・・」といった話しは通用しない時代になってきたと思います。

5月 23, 2004 at 12:12 午前セキュリティと法学 | Permalink | コメント (2) | トラックバック (0)

2004.05.19

行ってきます

これから、第８回コンピュータ犯罪に関する白浜シンポジウムに出かけます。
場所がこんな所なので、宿代が高いのが頭痛の種で３人で車で行くことで少しでもコストダウンを図るのでありますが、台風なんだよねぇ～～～。

そもそもコンピュータ犯罪に関する白浜シンポジウムというだけでも随分と怪しげな会合ですが、主催者である実行委員会のメンツにこちらが居るんで、参加者３００人の内の１２０人がその方面の方々という（^_^;）

プログラムも毎回なかなかの旬な話題を取り上げていますが、今年は「ユビキタス時代の個人情報保護」だもんね・・。
けっこうきわどい話が出てきそうであります。

5月 19, 2004 at 07:34 午後セキュリティと法学 | Permalink | コメント (1) | トラックバック (1)

2004.04.19

ウェディング問題を考える会

INTERNET Watch より「ウェディング問題に見る「インターネット上の表現の自由と名誉毀損」」

4月17日、悪徳商法についての情報を掲載するWebサイト「悪徳商法？マニアックス」の管理人Beyond（吉本敏洋）氏らが中心となって組織された「ウェディング問題を考える会」の総会が都内で開催された。

本誌では、個人でも簡単に作れるホームページにおいて書かれたことでも企業から訴えられかねない、という現状の問題点についてのヒントが得られるのではないかという視点から取材した。従って、ウェディング問題の経緯そのものについては本稿では詳しく触れない。興味がある方は「ウェディング問題を考える会」のホームページを参照していただきたい。

● 「名誉毀損のルールはもはや実態にかみ合っていない」
紀藤弁護士は公演後に行なわれた質疑応答において、今回の問題について「そもそも名誉毀損のルールがインターネットというメディアが登場する以前の社会状況に合わせたものであり、実態とかみ合っていない部分がある」と指摘。
個人による情報発信については、「たとえ個人サイトの上での発言でも、今の法律で名誉毀損で訴えられたら、裁判に勝つにはその見解が公益性を持っていることを証明しなければならない。個人レベルでそれを立証するのは到底無理だ。

● 匿名性の限界
Beyond氏がこの件について返信したメールに対してウェディング社からはなんの返答もなかったことについても、「匿名の個人からのメールを企業が相手にしないのは理解できる」として、社会通念上、匿名個人による文書などが正式な文書と受け止められない面がある

● 会の運営は当面継続
総会にはウェディング関係者も出席、ウェディング側から見た経緯説明を行なうと同時に、「刑事もできる限り速やかに取り下げる」と明言。実行されればウェディングは民事・刑事双方の訴訟を取り下げることになる。提訴をきっかけに結成された「ウェディング問題を考える会」の今後の活動については、ウェディング社の刑事訴訟の取り下げが確定したわけではないこと、「悪徳商法？マニアックス」で扱う情報の性質から今後も同様のことが起こる可能性があることなどから、当面会の運営は継続するという。

■URL
ウェディング問題を考える会
 悪徳商法？マニアックス

ウェディング問題を考える会の会長はわたし山本なので、ちょっと書きにくい面もあるが（^_^;）
このINTERNET Watchの記事は、当日の議論の内容をよく押さえています。
一番の問題は、以前はネットワーカー自身もまたネットワーカーを外から見ている人たちも「ネットワークのことだから」ということで、いわば壁とか掘りで隔てられていることを前提に議論し行動して来た面がある。
それゆえ、実名・匿名問題などいうのが真剣に議論されたわけだが、ネットワーク以外の社会で実名・匿名論争などというのもは、一般的な議論にはならない。
誹謗中傷などというのは、普通の社会生活でも学校や会社などでも珍しいことではない。その場合、全くの匿名で連絡が付かないようにして喧嘩するから、実名つまり実際に姿を現して喧嘩するかのどちらかであって、通称はなのるなどといのうのはヤクザ映画の世界の話しであろう。
ところがネットワーク内ではこれで世界が成立していたのだ。
しかし知らない間にはネット社会は実社会に重なってしまったのか溶け合ってしまったのかわからないが一体化していた。
ルールの違う世界が違うとは言っていられない状態になった、ということである。
匿名性はネット界でも維持困難というの現実に目を背けてはいけない。

4月 19, 2004 at 11:28 午後セキュリティと法学 | Permalink | コメント (1) | トラックバック (1)

2004.04.14

Windows 脆弱性対策

INTERNET Watch より「ネットワークに接続しているだけで任意のコードを実行可能な脆弱性」

マイクロソフトは14日、Windowsがネットワークに接続しているだけで任意のコードを実行可能な脆弱性などを含む、18種類の脆弱性をまとめた「MS04-011」と「MS04-012」を公開した。Windows XP/2000/NT 4.0においては、深刻度は最大の“緊急”として警告されている。この脆弱性を修正できるセキュリティ修正プログラムも公開されており、現在同社Webサイト上やWindows Updateよりダウンロードできる。
これら18種類の脆弱性の中にはネットワークに接続しただけで、任意のコードを実行されてしまう可能性のある“最大級”に危険な脆弱性も含まれているため、深刻度もWindows XP/2000/NT 4.0では“緊急”と評価されている。ネットワークに接続しただけで任意のコードを実行される可能性のある脆弱性とは、WebサイトやHTMLメールを閲覧しなくても、インターネットに接続しただけで攻撃される可能性があることを指す。

Windows Update は今朝から極めて混雑していますが、可能なかぎり早くアップデートすることを強くお勧めします。
接続しただけで、乗っ取られるというのはここ久しく無かったもので、極めて危険です。
また、特に必要がある場合以外は、パソコンに自分のプロファイルを登録しない方が良いでしょう。

4月 14, 2004 at 08:30 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2004.04.13

携帯がSuicaになると言うのだが

産経新聞より「携帯で自動改札通れます　ＪＲ東が「モバイルＳｕｉｃａ」」

「ケータイだけで、自動改札すいすい通過」－。ＪＲ東日本は１３日、携帯電話を読み取り機に軽くタッチするだけで自動改札を通ることができる「モバイルＳｕｉｃａ（スイカ）」の運用を、２００５年度後半に始めると発表した。

自動改札の出入り以外にも、これまでの「スイカ」カードと同じように、駅の売店での買い物もできる。画面には、定期券の情報や残額などを表示。将来は、新幹線の指定席券購入での利用も目指す。

先日、大阪駅の裏方というか駅員の仕事ぶりを特集した番組があったが、忘れ物のトップが傘で二番目が携帯電話だったような話しであった。
忘れ物の１～２位を争う品物に決済機能を持たせるのは健全な思考とは言えないと思うがね。

4月 13, 2004 at 09:45 午後セキュリティと法学 | Permalink | コメント (1) | トラックバック (0)

2004.03.25

アッカから名簿流出

IT Proより「アッカが会見、最大110万人分が漏洩、経路はまたも不明」

アッカ・ネットワークスは３月２５日午前１１時から記者会見を開き、顧客情報漏洩の事実を改めて認め、陳謝した。同社の坂田好男代表取締役社長は、「すでに２０１人分の情報が同社の顧客リストと合致することを確認した。
現時点ではどれほどのお客様の情報が漏れたかは確認できない。一部報道にあった３０万人分というのが妥当な線だが、最悪１１０万人のお客様すべての情報が外部に不正に持ち出された恐れもある」としている。氏名、申し込み住所、電話番号、申し込み時の電子メール・アドレスの４情報が漏洩した。クレジットカード番号などは含まれていない。

今回の情報漏洩が発覚したのは、外部からの通報がきっかけ。アッカは情報が漏洩した経路を現段階で確認できていない。過去に解約した顧客の情報が含まれていることから、「流出時期は２００３年３月末から５月上旬の可能性が高い」（湯崎英彦代表取締役副社長）と答えるにとどまった。

アッカの顧客データベースへのアクセス権限を持つのは、協力会社の社員を含めて約４６６人。今回の事件を受けて、同社はこれを６２人に限定する措置をすでにとった。

またか。としか言いようがない。
わたしが１９８７年にNIFTY-Serveに入会した時に、８５年から先行していたパソコン通信会社ではなくNIFTY-Serveを待っていたのは、情報流出などの危険性を考えていたからであった。当時はクレジットカードの問題として捉えていたが、その後実際にトラブルに遭った方の相談に乗ったこともある。
一言で言えば「安全が欲しければ金で買え」ということになる。

3月 25, 2004 at 04:10 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2004.03.17

hi-hoがウイルスに感染

INTERNET Watch より「hi-hoがウイルスに感染～一部ユーザーに警告メールを誤送信」

hi-hoは３月１３日１３時ごろに業務用PCがウイルスに感染、一部のユーザーに対して差出人や受取人を詐称して「ウイルス感染警告メール」を総数は２,８０３件送信した。hi-hoのSMTPサーバーで添付されたウイルスを削除したため、ユーザーに対してはウイルス本体の送信はなかった。hi-hoでは同日１６時ごろに感染を確認。１６時１０分に感染したPCをネットワークから切り離し、ウイルスを削除したとしている。

hi-hoによれば、業務用PCが感染したウイルスは「Netsky.D」。Netsky.Dは、メールに添付されるタイプのウイルスで、添付ファイルをクリックしない限りは感染しない。
hi-hoでは、「ウイルス感染は人為的な問題。また、ウイルス対策ソフトの設定も『自動更新』になっていなかった」とコメント。「ウイルス対策ソフトについては自動更新にした上で、手動で確認するなど管理を徹底する」としてい

１ユーザですら非難囂々になりかねない時代なのである。通信事業者がこの体制で良いとは到底思えない。１３時に送信を開始した段階で SMTP サーバーから警告があったはずである。
それにも関わらず、切り離しが１６時１０分。すなわち３時間を感染したＰＣ探しに費やしたということだろう。感染する可能性のある機械の数が増えれば加速度的に調査の時間が増える。企業内ネットワークでは、このリカバリーの時間を中心に対ウイルス対策を組み立てるべきである。

3月 17, 2004 at 11:05 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2004.03.15

スパム・メール・キラーのお薦め

最近は、日々ウイルスだのスパムに悩まされている方は多いと思います。
また、常時接続が当たり前になってきて、メールチェックも定期的に自動で行うという方も多いでしょう。
その結果、後からウイルスやスパムメールを捨てるという作業をわたしも強制されていましたが、ひょっとすると「これは画期的かも？」という方法を見つけたので、ご紹介します。

まず、Spam Mail Killer を入手します。
Spam Mail Killer は土肥英明（eimei）氏が提供して下さるフリーソフトで、通常のメーラーと同じように POP サーバにメールを定期的に読みに行きます。
そして、設定によってスパムやウイルスメールだと、サーバーから削除してしてリポートを残します。

わたしも以前はごく普通の使い方をしていました。
アンチウイルスはいれておく、メーラーは定期的に読みに行く。そこにSpam Mail Killer をインストールしました。
確かに、削除はするのですが、これではメーラが二つあるわけで、Spam Mail Killer を５分ごとに読ませて、メーラーを１０分ごとに読ませる。といった設定にしたところ、タイミング次第でメーラでスパムを読むことになりました。

この状態をかなり長く続けたのですが、あまりにウイルスが増えたことなどでメーラーが自動で受信（ダウン）することが良い事なのか？と思うようになり、今日のことですがメーラの定期チェックを切ってしまいました。
その代わり、Spam Mail Killer が定期チェックしています。

Spam Mail Killer の最新版では、ウィルスメールもチェックして削除します。Spam Mail Killer の報告は「削除」「新着」「通知」の３種類のメールに分けて報告します。もし削除メールから外れた場合には新着メールとなります。
こうして、Spam Mail Killer の結果が問題なければ、メーラーを手動で受信させれば良いことになります。

Spam Mail Killer を常時それも頻繁に動かしておくと、他のＰＣでメーラを起動しても、すでにサーバから削除済みなのでスパムなどを読まないで良いことです。

ウイルスについても有効になったので、ほとんどメールについて気にしないでよいという素晴らしいことになりました。
ぜひお試し下さい。

3月 15, 2004 at 01:13 午前セキュリティと法学 | Permalink | コメント (2) | トラックバック (0)

2004.03.03

鳥インフルエンザ・問題は拡大

日経新聞より「(3/2)京都府、府警に機動隊の応援要請」

京都府警は鶏の処分や袋詰めなどの防疫作業に機動隊員を充てることを決、３日から１日４０人態勢で派遣する。また陸上自衛隊に対しても、鶏舎や敷地などの消毒作業を依頼する。

「(3/2)京都の養鶏場、鶏肉・卵は２３府県に流通」

浅田農産船井農場から出荷された鶏肉や卵などはこれまでに全国の２３府県に流通していることがわかった。

「(3/3)京都府警、浅田農産を家畜伝染病予防法違反の疑いで立件へ」

京都府警は３日までに、府の告発があれば、感染が確認された養鶏場を経営する浅田農産（兵庫県姫路市）側を家畜伝染病予防法違反の疑いで立件する方針を固めた。
京都府も同日までに、鶏の大量死について行政への速やかな通報を怠ったとして同法違反の疑いで、刑事告発する検討を始めた。
府は同法の届け出義務違反に該当する可能性があるとみており、既に農林水産省とも協議を開始。今後、弁護士らをメンバーに設置した専門家会議で通報が遅れた経緯などの検証を進める。
府は感染拡大防止を最優先させ、鶏の殺処分を急ぐため、多くの職員を派遣している。府幹部は「多大な支出を強いられ、通常業務にも支障がある。早期に法的責任の所在を明らかにする必要がある」としている。

「(3/3)鶏の穴埋め作業で20万羽処分へ」

京都府は３日午前浅田農産船井農場の北側山林で、処分した鶏を埋めるための穴を掘る作業を始めた。処分予定地は３５００平方メートル以上になる見込みで、同農場で飼育されていた約２０万羽もの大量処分となるため穴を二つ掘るという。

「獣医師の診断受けず」

浅田農産船井農場は鶏が大量死した際に獣医師の診断を受けていなかったことが３日、農水省の調べで分かった。
農場には獣医師の資格を持った人間はおらず、外部の医師に診断を頼んだ形跡もなかった。農場側も京都府の調査に対し「獣医師の関与はなかった」と答えているという。

「(3/3)鶏の死亡羽数、主要農場に罰則付き報告義務」

農林水産省は３日夕、緊急の対策として、一定規模の農場に鶏の死亡羽数を定期的に報告させる罰則付き報告徴求命令を出すよう都道府県に通知することを決めた

「(3/3京都府丹波町、別の養鶏場でも陽性反応」

京都府は３日、府丹波町の別の養鶏農家でブロイラー11羽が死に、簡易検査した死んだ５羽のうち３羽から鳥インフルエンザウイルス陽性反応が出た、と発表した。
府によると、養鶏農家は約２万羽を飼育しているという。

東京新聞より「鳥インフルエンザ防止策、罰則付きで報告義務づけ」

農水省は３日夕、全国の主要養鶏業者に対して罰則付きの報告義務を命ずる方針を決めた。家畜伝染病予防法５２条に基づく命令だが、同条項の発動は始めて。違反者には３０万円以下の罰金が科せられる。
飼育規模が一定以上の養鶏業者に対して、一定期間（例えば１週間）ごとに死んだ鶏の数や死亡状況を報告させる。
家畜伝染病予防法５２条は、罰則を伴う強力な条項で「伝家の宝刀」として実際に運用されなかったが、同省は「法改正によらなくても罰則付きで命令できる」（消費・安全局）即効性のある政策と判断、適用に踏み切る。

家畜伝染病予防法第５２条
（報告）
第五十二条　農林水産大臣又は都道府県知事は、家畜の伝染性疾病を予防するため必要があるときは、農林水産省令で定める手続に従い、動物の所有者、獣医師、家畜の伝染性疾病の病原体の所有者、飼料の製造、輸入若しくは販売の事業を行う者、競馬、家畜市場、家畜共進会等家畜を集合させる催物の開催者又は化製場若しくは死亡獣畜取扱場若しくはと畜場の所有者に対し、必要な事項についての報告を求めることができる。

であるから、浅田農産船井農場が第５２条に違反しているかどうかは争いの余地があると思います。
法の流れから言うと、

　１　農林水産大臣又は都道府県知事が必要と認めたら
２　報告を求める命令を関係者に通知
３　命令に反して報告しなかった者を処罰できる。

ですから、浅田農産船井農場には報告の命令は出ていなかった。
従って５２条違反にはならない。という気がします。

一方、２０万羽の埋設処分には３５００平方メートルが必要とのことで、以前に８００平方メートルは必要であろうと論じたが、その計算を大幅に上回ることになった、３５００平方メートルとは１０００坪である。小さな団地が出来る程の土地を必要とする。ということになる。

3月 3, 2004 at 11:44 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2004.02.25

ヤフーＢＢの顧客情報流出

産経新聞より「「心からおわび」と副社長、ヤフーＢＢの顧客情報流出」

「ヤフーＢＢ」の顧客情報流出を受け、サービスを運営するソフトバンクグループは２４日夜、東京都内で記者会見。しかし「詳細な情報開示をしたい」として、深夜になって副社長が出席して会見をやり直す異例の事態に。
「深夜になって会見をやりなおし」と書かれたのは、

「「ヤフーＢＢ」顧客情報４６０万人分入手　恐喝未遂で６７歳男ら逮捕」として、

「データベースへの不正アクセスは見当たらず、流出経路は不明」としている。

と発表した、この時点で犯人がＤＶＤに４６０万人の加入者データを持っていたと警察から発表に対して、会社側は「確認したのは、紙で見た数百人」として発表していた。それを修正するする形で夜１０時すぎに会見を開いた。
その後、内部からデータが持ち出された可能性が高いとなっています。

流出したとみられるデータは約４６０万人分。宮内副社長は苦悩の表情で「加入者数と申込者数を加えるとほぼ一致する」。同社の全顧客情報が外部に漏れた可能性があるとの認識を示した。

ソフトバンクグーループにとって、Yahoo!BB の顧客獲得ビジネスモデルは、非常に多数の顧客を集めることで、始めて成り立つ宣伝広告、ＩＰ電話、オンラインゲームといった、インターネットの付加価値を高める方針であったのだと思います。そこが、集客速度の問題や集客コスト（無料入会など）について「ビジネスモデルとして大丈夫なのか？」といった声がありました。しかし、肝心の顧客データ管理が「全顧客データの流出」となると、最も基盤とするところが壊れたと言えます。
２５日前場の株価も大幅に下落しました。

2月 25, 2004 at 11:55 午前セキュリティと法学 | Permalink | コメント (0) | トラックバック (1)

三洋信販・顧客データ流出・続報

西日本新聞より「三洋信販顧客情報流出、不正請求１万件超す」

三洋信販は顧客情報流出問題で、同社は２４日に２００３年から２２日までに顧客から寄せられた不正請求の届け出件数が一万件を超えたことを明らかにした

不正請求が一万件をこえたというのもものすごいですが、それによる具体的な被害は

実際の被害件数はうち１６０件で、被害額は計約５２００万円に上っている。

という大規模なものです。
しかし、このニュースは２４日に三洋信販が発表したわけですが、確かＮＨＫでちょっと報道された他は、西日本新聞だけの報道のようです。
三洋信販の最大２２０万人分の顧客情報流出の報道は２１日には全国各紙で報道されましたが、その後このような展開になっています。

三洋信販では、フリーダイヤル（０１２０）２４００３４を設けて相談に応じています。

2月 25, 2004 at 11:20 午前セキュリティと法学 | Permalink | コメント (1) | トラックバック (0)

2004.02.21

三洋信販・顧客データ流出

毎日新聞より「三洋信販から顧客情報３２万人分？流出の可能性も」

消費者金融大手、三洋信販は２１日、新たに３２２人分のデータ流出があったと発表した。
これを含む多数の顧客データが入ったＣＤ―ＲＯＭが出回っているとみられ、同社によると、外部からＣＤ―ＲＯＭの一部として持ち込まれた３２２人分のデータを分析したところ、昨年７月に流出した分と同じ顧客データと判明した。ＣＤ―ＲＯＭには約３２万人分のデータが入っているとされるが、同社は「提供をお願いしたが、見せてもらえず、確認できない」という。
１月１６日、ある人物が持ち込んだ１７３人分のデータリストが同社の顧客情報だったとして流出情報を公表。その後、別の３人から相次いで情報提供があり、今月１７日に計４４７人分の情報流出があったと発表した。
情報は内部の者が引き出した可能性が高く、２００万人分の全顧客情報の引き出しも可能だったことを明らかにして、不正請求などに対する注意を呼びかけていた。

新聞報道だけだと、諸費者金融会社から２００万人分の個人情報が流出した可能性があるとしか読めませんが、そもそも２００万人分の個人情報ってのが集まるものなのか？という単純な疑問で調べてみました。

毎日新聞の解説によれば「三洋信販　東証１部上場の大手消費者金融会社で、５９年の創業。主に「ポケットバンク」の名称で個人向け無担保ローンを展開し、貸付金残高は昨年末で４１５６億円と、国内で業界６位。」とあるのでポケットカードで検索、会社情報に沿革があるで見てみると、株式会社ニチイ・クレジット・サービス設立、マイカルマスターカード発行開始、三洋信販株式会社がTOBにより三洋信販株式会社に異動、ポケットカード株式会社に社名変更とあり、さらに兄弟会社としてアットローン株式会社があったので、そちらも会社案内を見てみると、株主構成が、三井住友銀行５２％、三洋信販株式会社３４％、日本生命保険相互会社１０％、株式会　エーエム・ピーエム・ジャパン４％とありました。さらに伊藤忠グループと提携してエキサイト・マスターカードを発行しています。このような提携拡大による会員獲得で３７０万人の会員に達したと営業報告にあります。現在ではこんなにたくさんのカードを発行しています。

三洋信販株式会社のサイトには現在「お詫びと違法請求行為への注意のお願い」が掲示されています。これによると、「弊社の２つのサーバーシステムから流出している可能性が高いことは判明致しましたが、実際に流出したデータ件数は特定できませんでした。」とあり、これが２００万人のデータが流出した可能性があるという話の根拠でしょう。さらに、元データが非常に広範囲から集められていることを考えると、違法請求などには十分に注意する必要があります。

2月 21, 2004 at 07:56 午後セキュリティと法学 | Permalink | コメント (2) | トラックバック (3)

2004.02.11

Suicaが進化

MYCOM PC WEB より「Suicaで買い物も可能に、JR東日本が3月22日から64駅196店舗で開始へ」

JR東日本は「Suica」で首都圏主要部と仙台地域の64駅196店舗で買い物ができるようにするサービスを3月22日から開始する。店舗のレジに設置された端末に金額が表示され、自動改札機と同様に、Suicaでその端末に触れるだけで支払いが完了する。
2003年8月以降に発行されたSuicaにはすでに買い物ができる機能を搭載しており、特別な手続きは不要でそのまま使える。
この機能に対応していないものは、3月20日以降、主な駅の自動券売機や定期券発売機、みどりの窓口で、同機能付きSuicaと無料交換する。
クレジットカードとSuicaを統合した「VIEW Suicaカード」とは別のサービスである。

釣り銭のやり取りが無くなるのは実用的に結構なことですね。
それ以前に、私鉄の（関東では）パスネットとの統合をして欲しい・・・。
さらに、クレジットカードとの合同は勘弁して欲しい、多くの人はスイカは定期券入れに入れているだろう。クレジットカードは財布かカードケースで別のところに入れている。つまり、分けて持ち歩くことで、安全性が高まっているわけで、クレジットカード・免許証・住基カード・保険証・現金なんてものを一つの財布や、バッグに入れたまま、紛失したり盗まれたら、何が起こるか分からない。
ご注意あれ。

2月 11, 2004 at 12:33 午前セキュリティと法学 | Permalink | コメント (3) | トラックバック (0)

2004.02.08

住基カード問題

朝日新聞に

へんなニュースで紹介した住基カード交付問題について朝日新聞が調査した結果の記事が出ました。

交付、照会書持参者の本人確認しない自治体も

全国の道府県庁所在地４６市と東京２３区のうち４０市区が窓口で照会書以外の本人確認をせずに交付していることが、朝日新聞社の調べで分かった。交付時に健康保険証など身分証の提示を求める自治体は２２市区だけ。４０市区が照会書を持参した人物を本人とみなし、他の方法で確認しないまま交付していた。「照会書を他人が入手して持参することは想定しない」というのが主な理由だ。

というのだが、これではムチャクチャではないか。

静岡市は、照会書の持参者に本籍や家族構成などの聞き取りを実施。カード交付後も確認通知を郵送している。

これが当然だと思うぞ。
住基カードを不法に入手できるということは、以前紹介した「身分を盗むのを容易にする」という以上の意味は無いということを関係者は理解しているのだろうか？
住基カードの取得時だけでなく、役所で使われた場合には郵送で通知する位のことは安全のためには必要ではないだろうか？「それではコストが掛かりすぎる」という意見はあるだろうが、住基データは「氏名、性別、生年月日、住所」の４データであるから、個人データそのものとしては世間に公開しているようなものばかりである。ただ、住基データを使用することで便利になるといっている内容はパスポートの取得などがあり、いわば住基データの使用すなわち具体的には住基カードの使用はちょうど鍵を渡すことに当たるだろ。

どこの世の中に、鍵を渡す相手を確認しないで良いという話しがあるものか？

鍵を無くした時の鍵開け業者だって、本人確認をして記録を残している。何を考えているんだ。

2月 8, 2004 at 12:05 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2004.02.04

京大研究員逮捕問題

朝日新聞より
警視庁はACCSのサイトに不正アクセスしたとして、京都大学の研究員を不正アクセス禁止法違反と威力業務妨害の疑いで逮捕した。

京都新聞によれば。
この研究員が所属していた京都大国際融合創造センターの松重和美センター長が記者会見で、「現時点では不正アクセスだったとは認識していない」と述べ、「個人情報の公開は倫理上問題があり、逮捕容疑が事実であれば遺憾だ」とも述べている。
確かに現時点では個人情報の公開が刑法犯には当たらないとの考えは正しいかもしれない。しかし、個人情報保護法が年内に施行が始まるという時期なのであるから「かろうじてセーフ」というべきじゃないだろうか？
不正アクセスでは無い、と言えるのか？確かにセキュリティーホールを指摘することは専門家には必要なことであるが、そこの情報を外部に取り出す必要は全く無いだろう。
世間に疎い学者の発言と見るべきなのか？

2月 4, 2004 at 11:27 午後セキュリティと法学 | Permalink | コメント (0) | トラックバック (0)

2003.12.09

床屋で考えた

ＴＢＣ名簿流出事件というのがありました。
エステつまり美容に関する個人情報の流出なんですから、話しを聞いただけで「シャレにならんな」と思っていました。
その後、個人情報保護法が半分施行されるなどがあって、個人情報保護法に関する解説本を読んでみると、個人情報を巡る問題は実に難しいことだと理解しました。
そもそも個人情報とは何か？ですが、これは究極にはその個人の遺伝子情報だろう、ということのようです。
じゃ病歴はどうか？となると、伝染病などは法律で医師が届け出る義務がありますから、半分だけ重要な個人情報とでも言うのでしょうか。
一方、プライバシーの権利という考え方がありますが、これは具体的には何なんだ？となると、どうも「無視される自由」という表現が一番近いようです。
さらに、名誉棄損まで話しを広げると、名誉を棄損されたことによって、例えば契約がダメになったといった経済的な損失については、逸失利益の賠償ということになりますが、一番問題になる名誉感の侵害については回復のしようがないわけです。（個人で全部違うでしょうから）
最初に書いたＴＢＣ名簿流出事件というのは、この名誉感の侵害に近いのでしょう。
（現在、民事祖訴訟進行中で、中には経済的な損失がある原告も居るようです）

インターネットでは「酔うぞ」で検索すると、私の記事がゾロゾロと出てきますが、これはほとんど自分で発表している内容付いて検索エンジンが引っかけているわけですから、私自身は別に気にしないわけです。
床屋で考えたというのは、床屋でもカルテを作っているわけで、ひょっとするとその情報が流出するかもしれない。ということからです。
床屋とＴＢＣだと同じような内容とも言えるでしょう。特別に内証にするわけじゃないが、公開するつもりはない、情報と言えるでしょう。

わたしが床屋から情報が出たとしても、大したことで無いのですが、多分そうとう不愉快に感じるでしょうね。
これは、自分が公開する意図無く情報が公開されたことそのものが不快、ということでしょう。
つまり、実害よりも感情の問題、名誉感の侵害に近いでしょうし、内容は大したことなくても、それがどれくらいイヤかは人によって違うでしょうね。

というわけで、これからは「心の時代」であり、ココログの時代であります。チャンチャン

酔うぞ拝

12月 9, 2003 at 10:12 午後セキュリティと法学 | Permalink | コメント (2) | トラックバック (0)

2003.12.08

消費者（の）問題相談

紀藤正樹弁護士が開設している消費者問題総合掲示板では回答者になっているのですが、最近増えている債権回収詐欺の相談に「一番良いのはどうすれば」というパターンが増えています。
まるっきりのオレオレ詐欺のようなのはさすがにないのですが、携帯電話でエロサイトにアクセスしたとか、インターネットでアクセスしてしまったかもしれない、といったことが相談のベースになっています。
一番わからないのが「請求書が来たから払うべきか？」という相談だということです。
繰り返し説明していますが、商取引なんだから双方が合意しないければ、請求と支払は成立しないわけです。それを本人がよく分からないのに、請求が来たが払うべきか？になるのだろうか？まったく分からない。

12月 8, 2003 at 12:47 午前セキュリティと法学 | Permalink | コメント (1) | トラックバック (339)

第１会場	10:10 ｜ 10:40	砂金伸一（山本秀策特許事務所）田中規久雄（大阪大学）「匿名ファイル交換ソフトで違法複製物をダウンロードした者の法的責任」
	10:45 \| 11:15	奥村徹（大阪弁護士会）「プロバイダの刑事責任～名古屋高裁平成19年7月6日と東京高裁平成16年6月23日」
	11:20 \| 11:50	石井夏生利（情報セキュリティ大学院大学）「情報セキュリティと専門家の責任」
第２会場	10:10 ｜ 10:40	李　丹丹（神戸大学）「中国電子署名法の成立および中国電子政府の現状」
第２会場	10:45 \| 11:15	淺井達雄（長岡技術科学大学）王　悦（日本ＩＢＭ）「中国における営業秘密の法的保護の現状と課題」
第３会場	10:10 ｜ 10:40	中村有利子・石丸湖美（龍谷大学）加藤晶子・高橋香名・平谷明子・吉田妃穂子（キャリアパワー）「大学図書館からの法情報発信 ―Ｒ－ＬＩＮＥの開発・運営と課題、今後の展開について」
第３会場	10:45 \| 11:15	長谷川元洋（金城学院大学）大嶽達哉（愛知県弁護士会）大谷　尚（名古屋大学）「インターネットの電子掲示板上での児童・生徒間の誹謗中傷トラブルに対して教師が直面している問題についての検討」

平成１７年度	４９件
１８年度	１０３件
１９年度は上半期だけで	１３７件

烏賀陽弘道	雑誌の取材に答えたらオリコンから訴訟を起こされた
西岡研介	週刊現代に書いた記事でＪＲの労組から５０件の訴訟を起こされた
山田厚史	テレビ出演で日興コーディアル証券の問題にコメントして、安倍前総理の秘書から訴訟を起こされた
斉藤貴男	週刊現代に書いた日本経団連会長の御手洗氏についての記事で訴訟を起こされた
釜井英法	烏賀陽氏の弁護士
田島泰彦	上智大学・文学部・新聞学科

酔うぞの遠めがね

興味次第でつれづれなるままに。コメント歓迎します。

掲示板 & メモ

お勧めリンク集

カテゴリー

2009.10.31

ネット犯罪に関する白書

スパムメール送信が手っ取り早い収益源

ネット犯罪フォーラム同士の抗争も

犯罪ツール・身元隠しサービスで儲ける

●コンピューターのボット化

●カーダブルショップ（Cardable Shop）のデータ

●身元隠しのためのプロシキサーバー

●防弾ホスティング

●ドロップゾーン

日本でも同様のことが進行中？

ネット犯罪「裏経済白書」を公開 2009.10.29

【ネット犯罪「裏経済」白書 目次】

G Data Software

White Paper 2009

―アンダーグラウンドエコノミー―

目次

1 概要 無邪気なハッカー攻撃から ドル箱市場を狙った犯罪へ

2 地下経済の構造

2.1. 犯罪者のたまり場とコミュニケーション手段

図1： ある裏フォーラムのスクリーンショット

図2： 裏フォーラムにおけるボットのオファー

図3： カスタマイズされたIRC サーバーのダウンロード先

2.2. 盗難クレジットカード情報の販売

図4：多種多様な品が取引されるマーケットプレイス

図5：盗難された各種アカウント情報をネット販売する違法ショップ

利用料金

売上手数料

図6： クレジットカード情報、ネット送金アカウント情報を提供するオンラインショップ

2.3. スキャマー

図7： フォーラムでのスキャマー（リッパーとも呼ばれている）に関するトピック

3 取引される物品とサービス

3.1. 金になるデータ

図8： アンダーグラウンドでデータベースを販売する業者 （1 万ユーザーの氏名、ユーザーID、メールアドレス、パスワードなどが含まれている）

3.2. プロキシを利用したトラッキング回避

3.3. コンピュータのボット化

図9： ウイルス感染をサービスとして提供するウェブサイト （イギリスが最も高く240 ドル、次いでカナダが220 ドル。アジアは最安値で32 ドル）

3.4. 防弾ホスティング

図10：あるホスティング業者のレンタルサーバーによるサービス一覧表 （トルコのアンカラにあるVPS。ディスクスペースが10GB（月額39 ユーロ）から50GB(月額39 ユーロ)まで。）

図11：ホストの許可するサービスの一覧表

3.5. 収入源となるスパムメール

3.6. DDoS 攻撃がサーバーをダウンさせるメカニズム

図.12：ウェブ上で表示されるDDoS 攻撃サービスのバナー広告 (英語、ロシア語、ドイツ語)

3.7. 偽造ID を使ったID 隠蔽

3.8. カーディング詐欺

図13：クレジットカード情報を販売するショップ

3.9. スキミング詐欺

図. 14：スキミング装置が掛けられたATM (出典：バイエルン州警察白書、2007 年8 月7 日)

3.10. フィッシング詐欺

3.11. ボットネットとその構成

図. 15：ボットのIRC チャンネル

図.16：ボットネットのウェブインターフェース（ロシア語）

図 17：RAT クライアント

4. 現金化

図18：あるフォーラムにおけるドロップゾーンのオファー （ドロップ、ドロッピング、ダンパー、シッピングという言葉が見出される）

5. 結論：

付録１ 裏市場における価格表

付録２ 用語集

2009.10.08

Winny無罪判決･要旨

【ほう助の成否】

（１）ソフトについて検討

（２）ほう助が成立するか

【結論】

Winny 著作権法違反幇助･二審は無罪判決

【ことば】ウィニー

2009.09.05

通販サイトがクレジットカード情報をハッキングされた？

2009.06.11

第１３回サイバー犯罪に関する白浜シンポジウム

2009.04.30

民法大改正

行政法学の再生 ２００４年 神戸大学卒業生の同窓会への寄稿 他学部出身の社会人にもわかるように書いたつもり

６、行政法学の再建

2008.12.07

ネット犯罪「裏経済白書」を公開　2009.10.29

【ネット犯罪「裏経済」白書　目次】

1 概要無邪気なハッカー攻撃からドル箱市場を狙った犯罪へ

図1：ある裏フォーラムのスクリーンショット

図2：裏フォーラムにおけるボットのオファー

図3：カスタマイズされたIRC サーバーのダウンロード先

図6：クレジットカード情報、ネット送金アカウント情報を提供するオンラインショップ

図7：フォーラムでのスキャマー（リッパーとも呼ばれている）に関するトピック

図8：アンダーグラウンドでデータベースを販売する業者
（1 万ユーザーの氏名、ユーザーID、メールアドレス、パスワードなどが含まれている）

図9：ウイルス感染をサービスとして提供するウェブサイト
（イギリスが最も高く240 ドル、次いでカナダが220 ドル。アジアは最安値で32 ドル）

図10：あるホスティング業者のレンタルサーバーによるサービス一覧表
（トルコのアンカラにあるVPS。ディスクスペースが10GB（月額39 ユーロ）から50GB(月額39 ユーロ)まで。）

図.12：ウェブ上で表示されるDDoS 攻撃サービスのバナー広告
(英語、ロシア語、ドイツ語)

図18：あるフォーラムにおけるドロップゾーンのオファー
（ドロップ、ドロッピング、ダンパー、シッピングという言葉が見出される）

付録１裏市場における価格表

付録２用語集

行政法学の再生　　２００４年　神戸大学卒業生の同窓会への寄稿　他学部出身の社会人にもわかるように書いたつもり

刑法　第十六章　通貨偽造の罪

第百四十八条　通貨偽造及び行使等

第百四十九条　外国通貨偽造及び行使等

第百五十条　偽造通貨等収得

第百五十一条　未遂罪

第百五十二条　収得後知情行使等

第百五十三条　通貨偽造等準備