7月2日の「規制改革推進に関する答申」と電子署名

規制改革推進会議が、7月2日に「規制改革推進に関する答申」を公表しています。170頁の対策ですが、世間としては、今年は、やはり、書面規制、押印、対面規制の見直しに注目が集まっています。NHKさんも、「行政手続きの押印 “真の必要除き廃止”答申 規制改革推進会議」として、

新型コロナウイルスの感染拡大を受けて、社会全体のデジタル化を進めるため、行政手続きの際の押印について、真に必要な場合を除いて廃止することなどを盛り込んだ答申を決定

としています。

そこで、この答申と電子署名との関係を見てみましょうということになります。具体的には、この部分は、Ⅱ 各分野における規制改革の推進 1 成長戦略分野(5)書面規制、押印、対面規制の見直しになります(16頁以降)。

「基本的考え方」としては、

押印の代替手段としては、メール等含め様々な電磁的手法が考えられるが、電子署名の活用も有効な一手段である。電子署名や認証サービスとして、現在、様々な形態のサービスが生まれ利用が広がっているが、それぞれのサービスについて、電子署名及び認証業務に関する法律(平成 12 年法律第 102 号。以下「電子署名法」という。)における取扱いが不明確である。コロナ危機への対応やデジタル技術の活用の観点も踏まえ、クラウド技術を活用した電子認証サービスの電子署名法上の取扱いを速やかに示すとともに、今後抜本的な制度改正も視野に入れた見直しが必要である。

とされています。ここで、「クラウド技術を活用した電子認証サービス」とありますが、技術的には、リモート署名と立会人型の双方を含むものと考えます。

リモート署名は、秘密鍵の保管場所なので、署名する対象のドキュメントがローカルでも、確かに使えますし、金融機関では、そのようなモデルがあるわけですが、それでも、クラウド技術の活用ということにはなるかと思います。

「電子署名法上の取扱い」というのは、同法2条の電子署名概念に含まれるのか、また、3条の推定効はどうか、ということです。

これらが、実施事項に分けて論じられます。

総務省、法務省及び経済産業省は、サービスの利用者が作成した電子文書について、サービス提供事業者自身の署名鍵による暗号化を行うこと等によって当該文書の成立の真正性及びその後の非改変性を担保しようとするサービスであっても、当該サービスの利用者の意思に基づきサービス提供事業者の判断を交えず機械的に行われることが技術的・機能的に担保されたものがあり得るところであり、このようなサービスに関して、電子署名法第2条第1項第1号の「当該措置を行った者」の解釈において、当該サービスの対象となる電子文書に付された情報の全体を1つの措置として捉え直してみれば、当該サービスの利用者が当該措置を行ったと評価できることについて、その考え方をQ&A等で明らかにし、広く周知を図る。

としています。この論点は、2条の電子署名の概念で、「立会人」型について「サービス提供事業者が利用者の指示を受けて電子署名を行うサービス」と定義していたあまり、当事者の関与をみすごして、電子署名の概念には該当しないとしたのを一週間後に、そのようなサービスでも、「当該サービスの利用者の意思に基づきサービス提供事業者の判断を交えず機械的に行われることが技術的・機能的に担保されたものがあり得る」として、議事録の作成について、立会人型でもいいとした通知についてのものです。

3条推定効については

総務省、法務省及び経済産業省は、電子署名に対し、民事訴訟において署名・押印同様の推定効を定める電子署名法第3条の在り方に関して、サービス提供事業者が利用者の指示を受けて電子署名を行うサービスなどについても一定の要件を満たせば対象となり得ることに関して、その考え方を明らかにする

とされています。同条は、

同条は、電子署名を行ったのが本人であること自体を推定するものでなく、電子署名を行ったのが本人であると裁判所により認定されることを要件として、電磁的記録の成立の真正を推定するものである。

ことになります( 成長戦略ワーキンググループ 第10回 の資料 1-2)。ということは3条の推定効が問題としている論点は、電子署名(広義)をなした者が誰かを確定したのちの者になります。その措置が付されているドキュメントについて、措置をなした者が、ドキュメントのすべてを確認して、措置をなして、改ざんされていないことについて技術的に検証されるか(インテグリティ確保の論点です)、ということに対応します。

  • 用語の説明を入れておくと、電子署名は真正性 (authenticity)と認証(authentication)に関するリスクを低減するサービスを提供しているとされます(例えば、EUにおける解説)。真正性とは、行為者識別をなし、その者/者の行為であると認証する行為で、また、認証(インテグリティ確保)とは、意思表示の外観的な表示と当事者の真意を確認することによって、表示されている意思表示が、当事者の真意を表していることを確認し表示から判別されるドキュメントの内容で署名等がなされたとことを確認する行為をいいます 。この用語法による限り3条推定効は、印鑑とは異なり、authenticationにしか対応していないと、私は理解しています(この部分は、明確に記載している文献がないと認識しています)。

立会人型は、「誰が電子署名をしたか」という点について、一般的には、電子メールアドレス保有者からのアクセスであるということで、担保するのみなので、電子メールアドレスの窃用のリスク/可能性を考えると、それのみで、裁判所が、その行為者が、アドレス保有者であるということを認定するのは、困難なように思えます。しかしながら、行為者が、そのアドレス保有者である、ということを認定したあとであれば、その後、上記のインテグリティ確保の論点は、デジタル署名の技術的効力で、それのみで、推定されるものと考えられます。

このように考えると、3条推定効について厳密に分析をすれば、立会人型においても3条推定効は、(インテグリティ確保の部分に限ってのことなので、デジタル署名の技術的効力として)認められるというのが私の説になります。

さて、総務省、法務省及び経済産業省さんが今後示す見解の周波数と一致しますでしょうか。

 

 

 

 

イスラエル情報機関の「位置情報追跡」対「通信傍受」

NHKさんのニュースで、「イスラエル 過激派の追跡技術をコロナ感染対策に再活用へ」と報道されています。

同じ技術に関して、「イスラエル、感染者らの通信データを傍受へ」という報道もあります(これは、3月の記事)。

新型コロナウイルス対策で位置情報をどこまで取得・利用できるか、という論点があるわけですが、その際に海外の議論を日本語で読むときに陥りやすい落とし穴について考えてみましょう。

海外の法制度においては、通信については、その「通信内容」と「通信の外形的データ」についての保護で、保護のレベルが違うという立ち付けになっている法域が多数です。

これに対する法的な制度も、いろいろな制度が準備されています。

例えば、保存通信の場合には、通信内容について法執行機関が、公共のプロバイダに対して取得する場合には、裁判所の発行する捜索令状で取得するとか、一方、外形的な事実(いつ、誰とだれが通信していたとか、IPアドレスとか)については、提出命令のようなより、発行の閾値が低い手段で提出されるとかになっています。

また、取得がリアルタイムかどうかで、区別されたりします。リアルタイムでの取得を一般的にいう用語は、観測(サーベイランス)で、通信内容についての取得は、傍受(インターセプト)、外形的な事実(通信データ)については、追跡(トレース)ということができるかと思います。

これらの用語の使い分けは一般論です。米国については、更に細かく分けられています。詳しくは、社会安全研究財団「「アメリカにおけるハイテク犯罪に対する捜査手段の法的側面」報告書「犯罪捜査におけるコンピュータ捜索・差押および電子的証拠の獲得」(司法省マニュアル)の翻訳とその解説」をご覧ください(分類と表については、52頁です、情報の格付けについては、57頁)。

ところがわが国では、この二つは一緒くたにされています。なので、通信データの取得についても「傍受」という用語をつかったりすることがありうるかもしれません。そのような場合は、誤解を招きかねません。いわゆる「ロスト・イン・トランスレーション」が発生します。注意しましょう。

----

(追加)

イスラエルの動向については、「Bill Authorizing the Israeli Security Agency to Track Israelis to Combat Coronavirus Passes First Reading」が詳しいです。

ある人がコロナウイルスに感染したことが確認された場合、イスラエル保健省(MoH)は、過去14日間にその人の近くにいた人のデータをシャバックに提供するよう指示します。接触者はウイルスに感染した人と接触したことが特定され、通知されます。シャバックは、MoHに開示された情報を14日間のみ保持し、その後に作成された情報は直ちに削除することが求められている。

という仕組みだそうです。これは、上の区別でいえば、通信内容でもないので、「傍受」というのは、法律の用語としては、間違いです。ということで、NHKさんの今の見出しが正解ということになります。

これは、緊急事態権限でこれを政府が命じていたのですが、国会が法律で権限を認めようということになったのが、この法律(新型コロナウイルスの拡散を減少させるための国家的努力支援のための一般安全サービス認証法-機械翻訳です)です。

 

金融業界における書面・押印・対面手続の見直しに向けた検討会(第2回)の資料

第2回「金融業界における書面・押印・対面手続の見直しに向けた検討会」議事次第です。

この回は、電子契約プラットフォームのそれぞれのご説明ということかと思います。

電子契約プラットフォームについては、どのようにモデルを分類するのかという問題があります。

当事者が、デジタル署名を使うかどうか、また、ドキュメントがローカルかどうか、クラウドに保存するかどうか、また、クラウドでも個人の真正性担保のためにどの程度の確認労力を使うかで、分かれるかと思います。モデルとして、実際に行われるのは、ローカルのデジタル署名、立会人型、リモート署名型かなと考えています。

でもって、この検討会は、それぞれ、ドキュメントがローカルな型(帝国データバンク)、リモート署名型(セコムトラストシステムズ)、立会人型(弁護士ドットコム)となっていて、勉強になります。

「⾦融業界の手続における電子化について  押印不要化に貢献する電⼦署名」の資料です。

個人的には、法人代表者として、TypeAを従来、保有しておりました。いろいろと必要書類を送って、個人が受け取るので、受領した記憶があります。

あと、DigiCertで、Class2の電子認証サービスがあるんですね。知りませんでした。classについては、このページがいいですね。電子メールアドレスの認証で、どうのと若い先生からいわれたときに電子メールアドレスの認証ってしょせんは、そのアドレスから認証されるだけですよといったのですが、通じなかったという苦い思い出があるのですが、このページを次には紹介することにします。

法的な効力としては、行政機関への電子申請に使えますね。入札の申請に使おうとして保有しました。

また、実際の利用状況としては、ローカル署名とリモート署名の双方に対応するということが紹介されています。

ローカルだと、関係先が多くない組織間において利用回数が少数の場合に適して、一方、リモート署名は、利用回数が多大である場合、関係先が多い場合に適するとされています。

なお、電子署名法の改正についての意見も記載されています。「物件」の解釈問題について、物件は、批判が誤解しているといっています。この点は、私も同意見です。

立会人型を「クラウド署名」の「第三者による署名タイプ」という表現をしていますね。ここら辺は、現場の人たちが用語にもっと、注意を払ってもらいたかったりするところですが、マーケ的な要素がはいって、自分たちのこそが「電子署名」といいたいのだろうと見えます。ただ、それが「数奇な運命」を引き起こしたものなのですが。

法的なものについての要請については、電子署名法に認証用途を追加すべきという表現があります。個人的には、これは、今後、考えてみます。

次は、「リモート署名サービスについて」です。

J2TAの定義でもって、リモート署名の定義がなされていすま。

リモート署名事業者のサーバに署名者の署名鍵を設置・保管し、署名者の指示に基づきリモート署名サーバ上で自ら(署名者)の署名鍵で電子署名を行うサービス

特色として

・リモート署名サービス(「セコムあんしんエコ文書サービス」など)に利用申請するだけでワンストップで利用可
・別途本人確認が不要。金融機関の口座開設や融資契約審査時の本人確認に基づき、高い信頼レベルの電子証明書と秘密鍵を自動発行(金融機関へ登録された印鑑と同レベルの信頼性)
・メールアドレス認証ではなく、2要素認証(ID/パスワード+ワンタイムパスワード)により本人が電子署名
を行うため、書面への記名・押印と同レベルの証拠力を持つ(※1)
・会社のPCやメールアドレスからのアクセスに限定されないため、リモートワークが可能

とされています。典型的なモデル図は、3ページですね。金融機関と利用者がいて、ともに、リモート署名型電子契約サービスで電子契約サービスのプラットフォームの上で合意をしています。

また、アレンジとして、クラウド上ではなく、金融機関のローカルで、リモート署名をする、利用者からは(ネットの向こう側ではありますが)、金融機関にとっては、ローカルな場合もありますすね。この場合の署名については、クラウドが使われることになります(4ページ)。

この部分は、いままで、リモート署名は、当然にクラウド上のドキュメントに署名するよねといっていたのですが、訂正します。

また、リモート署名ガイドラインで、レベル1からレベル3までが紹介されています。それぞれ、「最低限必要なレベル」「認定認証業務と同等の信頼性レベル」「eIDASの適格電子署名と同等レベル」に対応するそうです。

この資料によると適格電子署名について、欧州の適格電子署名と同等性を確保するためのプロジェクトが進んでいるそうです。興味深いです。あと、相互運用の実証実験が開始されています(10ページ)。

まとめは、11ページです。結局は、電子契約サービスは、サービス利用の文脈(コンテキスト)に応じて、利用者にとって最適なものをお選びください、ということになります。きわめて当たり前のメッセージなのですか、「電子署名」という用語の混乱とも相まって、うまく伝わっていないというのが私の感想ですね。

業務の重要度に応じて、電子証明書の審査レベル(松、竹、梅)や組織証明書を選択することで簡易的な利用から重要業務への利用へ応用可能
(簡易利用例:eシールによる証書配信、重要利用例:融資契約の電子締結)

JT2Aの「リモート署名ガイドライン」では3つのレベルが示されており、適用する業務の重要度に応じて、適切なレベルのサービスを選択することが重要。ただし、(上位レベルのサービスで下位レベルの業務への利用は可能)(簡易利用:Level 1、重要利用:Level 2、国際利用:Level 3)

個人的には、上の帝国データバンクさんとも合わせて考えると、業務の重要性がキモになって、利用者同士の取引関係、利用回数、公的機関への利用の可否、その他を考えましょうということになるかと思います。

次は、弁護士ドットコム「電子契約「クラウドサイン」のご紹介」です。

クラウドサインは、自分たちのサービスを

 受信者がメール認証を経て同意すると、弁護士ドットコムが、書類に電子署名と認定タイムスタンプを付与する

仕組みと定義しています。当事者は、弁護士ドットコムの行為に対する同意でしかないと考えています。個人的には、このプラットフォーム上で、契約の相手方と同意しているようにおもえるのですが、これは、あまり意味がないと考えているようです。理由は、よくわかりません。

認証については、二段階認証(具体的な手法は、調べてません)やIP制限も可能だといっています。個人的には、アドレス保持者がssl通信をするあたりは、私たちの世代だとインパクトがあるのですがスルーされています。

あとは、タイムスタンプ・デジタル署名によって、非改ざん性を担保することが書かれています。「署名日以降、改ざんされていないことを公開鍵暗号技術によって、技術的な担保します」と説明されています。まさにそのとおりですね。

あと、興味深いのは、28ページ、2条電子署名を署名者表示機能と改ざん検知機能にわけて説明するところでしょうか。これは、私も大賛成です。

「署名者表示機能」について、表示していればいい、というか、私の解釈の立場は、ある程度のリンクがあればいい、意図があればいいという立場です。2条電子署名ですよ、といってます。クラウドサインさんは、前は、自分たちの立場を「電子サイン」で「電子署名じゃない」といっていたのを、豹変したように思います。個人的には、いいと思います。

30頁で、「印鑑ならタダなのに」というのがなかなか秀逸かなあと思ってみてました。

Q4の「認定認証業者」でないのは、なぜかというのを時代のせいにするのは、誤導の可能性がありますね。

高度な電子署名(セキュアな電子署名)の代表例を認定認証業者にして、3条電子署名の代表例とするという建て付けなので、高度な電子署名の一つの要件である「表示者の署名」であることの技術的担保を欠いているので、ここの建て付けが変わらない限り、認定認証業者にはならないでしょう。

ただし、3条の推定効が、実は、技術による改ざん防止効果のみにかかっているようにおもえて、それだけあれば、認定認証事業たりうるということはありうるので、今後の議論動向によっては、特定認証業務となりうることはありえます。

このところなのですか、「電子署名に関して「第10回 成長戦略ワーキング・グループ 議事概要」を読んでみた(関係省庁ヒアリング部分)」でもふれたのですが、

同条は、電子署名を行ったのが本人であること自体を推定するものでなく、電子署名を行ったのが本人であると裁判所により認定されることを要件として、電磁的記録の成立の真正を推定するものである。

という認識が明らかにされていて(第10回 の資料 1-2)、これは、誰々が、電子署名の操作をなした、ということを立証したのであれば、裁判所は、その電子署名からなされたのを、操作者のなした意思表示(すなわち、改ざんされていないし、全部について認容した)と推定しましょうということにおもえます。(既に本人が操作したということを認定しているので、だれが操作したか、というのは、関係ない)

この推定というのは、(電子署名業界関係者)皆が思っているよにも実は狭いようにおもえます。一方、このクラウド上の合意書面に付したデジタル署名で、技術的にこの推定部分は、100パーセント担保されるようにおもえます。そこで、3条の効果について、上のように何が推定されるのかをきちんとはっきりさせれば、上のような立会人型のモデルについて、推定されるということも可能におもえます。

 

アップデートしました「新型コロナウイルス対プライバシー-コンタクトトレーシングと法」

好評発売中の「新型コロナウイルス対プライバシー-コンタクトトレーシングと法」(アマゾン・キンドル出版)ですが、5月26日発表の仕様書、プライバシー等評価・留意事項をも検討対象にした版にアップデートしました(6月2日)。

わが国で接触確認アプリとして提案されており、それとコンタクトトレーシングとの関係はどうなのか、また、具体的なクラウドの活用が提案されているが、それとの具体的な個人情報保護との関係はどうなるのとかの点に興味をお持ちの方にも、お役にたてるかと思います。

過去にダウンロードいただいた方は、最新版をダウンロードいただけると幸いです。

第1章  コンタクトトレーシングの基礎

1 概念と必要性

1.1 コンタクトトレーシングとは
1.2 コンタクトトレーシングの実際
1.3 COVID-19とコンタクトトレーシング
1.4 実際の作業の課題
1.5 コンタクトトレース機能拡大のために
1.6 出口戦略との関係

2  基本的な仕組み
2.1 コンタクトトレーシングのアプローチ
2.2 シンガポールのTraceTogether
2.3 英国NHSXのNHS COVID-19 App
2.4  COVIDSafe
2.5 PEPP-PT
2.6 DP-3T
2.7  グーグルとアップルの枠組

2章 世界におけるコンタクトトレーシング

はじめに

1 コンタクトトレーシングに関する欧州の動向
1.1 欧州における実体法的枠組
1.2コンタクトトレーシングと法についての分析について

2 イギリス

2.1 イギリスにおけるプライバシーに関する実定法的な枠組み
2.2 イギリスにおけるコンタクトトレーシングの議論

3 オーストラリア

3.1 オーストラリアのプライバシーに関する実定法
3.2 COVIDSafeの開発
3.3  アプリに関する法的整備

4 アメリカ

4.1 アメリカにおける個人情報保護法制について
4.2 米国におけるデジタル・コンタクト・トレーシングのプロジェクト
4.3 法的問題点について

第3章 わが国における検討

1 検討されるべき法
1.1 感染症関係の法律
1.2 プライバシー関係の法律
1.3 ヘルスソフトウェアについての問題

2 わが国における選択
2.1 具体的な判断にいたるまで
2.2  第3回 新型コロナウイルス感染症対策 テックチーム会議と有識者委員会

2.3  接触確認アプリ及び関連関連システム仕様書

3 わが国のコンタクトトレーシングシステムに対して求められる要求事項
3.1 要求事項についての考察
3.2  異論がない諸原則
3.3 プライバシー尊重の原則について
3.4 その他

4 プライバシー問題解決のために
4.1 プライバシー問題についての基本的なスタンス
4.2 最適なバランスを探すための考え方
4.3 プライバシーに関するナッジ
4.4 データ保護の最優越的地位?

5 透明性原則と影響評価
5.1 設計と運営における透明性の確保
5.2 プライバシー影響評価の意義
5.3 プライバシー影響評価のプロセス (COVIDSafeを例に)
5.4 プライバシーアセスメントの実際
5.5 法的に特に注目のなされるべき事項

6 わが国におけるコンタクトトレーシングシステムについて検討するべき事項
6.1 わが国において検討するべき事項について
6.2 検討すべき趣旨

6.3 プライバシー等評価・留意事項

6.4 わが国の接触確認アプリについて

最後に
筆者紹介

ということでよろしくお願いします。

コンタクトトレーシングについてのNHK BS1 キャッチのインタビュー内容公開

当社社長  高橋郁夫が、NHK BS1 キャッチに5月18日に、出演しましたときのやりとりが公開されました。

プライバシーというのは、文脈によっても、国によっても、とらえ方かそれぞれであること、また、生命や行動の自由という尊重されるべき法益との衝突は、初めてであろうこと、そのもとで、各人が、どのような判断をするかが問われているかを、をまとめて伝えることができたかと思います。

やりとりは、こちらです。

なお、このやりとりのうち、プライバシーについてのとらえ方については、会社のブログで深堀をしております。そちらは、「コンタクトトレーシングアプリのプライバシー設計についての基本的な考え方」以降のブログになります。

サイバーセキュリティ人材確保についての英国の考え方

英国のサイバーセキュリティと法の関係を調べていたところ、国家犯罪対策庁が、「サイバー犯罪、若者が巻き込まれるのを防止する」というサイトを作っているのを見つけました。そこでは、サイバー犯罪の概念とともに、ダークサイドに落ちてしまったらどうなるのかというビデオが公表されています。

そして、「サイバースキルを前向きに利用する方法」という項目では、サイバーセキュリティの専門家は、需要が高くて、いろいろなキャリアがあってチャンスがあるとしています。

ここで、興味深かったのが、「デジタル・ディフェンダー」になることといって、CREST(https://www.crest-approved.org/index.html)のリーフレットが公表されていることです。

リーフレットのリンクは、こちらです

最初のページは、「学校からデジタルディフェンダーへ 」という項目で、

コンピューターゲーム、問題解決、テクノロジーが好きな人、または単に変化をもたらしたい人は、サイバーセキュリティがあなたの夢のキャリアになるかもしれません…

–あなたは、世界で最も刺激的でダイナミックな産業の一員になります。

–あなたは、本当の差別化ができ、いい給料を得ることになるでしょう。

–すべてのセクターに機会があり、国際旅行の可能性があります。

と誘っています。

でもって、次のページは、「金が世界を回している」です

世界はサイバーセキュリティに目覚め、ほぼ毎週ニュースで新しいサイバー攻撃の話があります オンライン攻撃に直面している企業と政府は、サイバー犯罪者からシステムを保護できる専門家を探しています。彼らは高い給料を支払い、トレーニングと開発を提供する用意があります。 サイバーセキュリティのキャリアを始める人には、素晴らしい機会があります。

–サイバーセキュリティの給与は英国で最も急成長しているものの1つで、年間平均14%の増加

–上級セキュリティプロフェッショナルの場合、収益は年間100,000ポンドを超えることがあります

–収入は、性別、年齢、民族性ではなく、功績に基づいています。 もちろん、サイバーセキュリティのキャリアはお金だけではありませんが、役立ちます。

まさに、現実的なところを表現しています。お金の話がででこない日本の人材育成論との違いは大きいという感じです。

次は、「偉大なる善のために働く(Working for the greater good)」ですね

 企業や人々の安全に対するオンラインの脅威は巨大で成長しています。英国全土で、国家犯罪対策庁National AgencyCrime Agency、警察、会社のセキュリティチーム、Action Fraud、Cyber​​ Streetwise、GetSafeOnlineなどの特別なイニシアチブがすべてこの脅威にたいして戦っています。を助長しています。彼らにはあなたのような人が必要です。 やりがいのある仕事をすることの満足を望み、真の違いを生み出したい場合は、デジタルディフェンダーになり、サイバーセキュリティで働くためにご参加ください

これは、わが国でも、いわれることですね。でもって、最後の口説き文句は、「世界は、あなたのオイスターだ(The world is your oyster)」ですね。

英国のセキュリティスキルに対する評判は、海外の購入者が、私たちの扉への道を破っているということを意味しています。 英国のサイバー製品およびサービスの輸出は年間15%以上増加しています 。 つまり、英国のサイバー専門家が海外で働く機会がたくさんあるということです。 したがって、常に世界を旅して他の国での生活を体験したいと考えているなら、サイバーセキュリティのキャリアは成功へのパスポートです

わが国だと若い人には、このような国際的な可能性というのは、もはや訴えかけないのかもしれません。でも、私たちのようなバブル世代だと、やっぱりこういう世界への架け橋的なのは、すごく惹かれるものがあったりします。

昔から、わが国でのサイバーセキュリティ人材育成の話がなされてきているのですが、そこでは、収入の話と大学のカリキュラムの話がなぜか、されてなかったわけで、それを正面から、「金が世界を回している」といってくれると、すごくすっきりするような気がします。

 

松原実穂子著「サイバーセキュリティ」組織を脅威から守る戦略・人材・インテリジェンス

松原実穂子さんより、「サイバーセキュリティ」-組織を脅威から守る戦略・人材・インテリジェンスの献呈をいただきました。

松原さんは、現在は、NTTのチーフ・サイバーセキュリティ・ストラテジストです。このごろ、国際的なサイバーセキュリティの会議などでよくお会いします。わが国で、国際関係論からサイバーセキュリティを語れる人がほとんどいないので貴重な人材ではないかと思います。

内容ですが、第1章は、サイバー攻撃の実例、第2章は、攻撃者の正体、第3章は、防御側のチーム、第4章は、サイバー脅威インテリジェンス、第5章は、一般的な防御のストラテジというところです。

レベルとしては、一般のビジネスパーソン向けに、サイバーセキュリティの現状を、平易に説明しているというところだと思います。技術的な説明というよりも、攻撃者は、誰か、どのような特徴を有しているのか、世界的に、どのような実例があるのか、一般的に防御をどのように考えてするべきか、ということについて、現在の最先端の知識がはいるかと思います。

特に私の個人的な関心からは、第2章、具体的に、北朝鮮、ロシア、中国、ダークネットの攻撃者の実際は、非常に勉強になりました。ここまで、整理された論述は、なかなかないかと思います。この点の知識をまとめて得たいということでしたら、この本が唯一なのではないでしょうか。

一方、国際関係論、サイバー規範、国際法的な分析は、ありません。ということは、私が出版する余地は残してくれているということかと思います。(頑張ります)

ということで、サイバーセキュリティをめぐる国際的な状況、脅威のインテリジェンスなどについて、基礎的な知識をもとに、すこし踏み込んだ知識を得たいという人におすすめします。

GCSCスタビリティ報告書 分析9

GCSCスタビリティ報告書の分析も最後まできました。

攻撃的サイバー作戦の規範についての検討のあとは、推奨事項についてみていくことにします

具体的な推奨事項は、エグゼクティブサマリで触れておきました。

注目すべき点としては、まず、以下の1ないし5は、主語が、国家および非国家主体となっていることかと思います。

国家間の規範と非国家主体に対する規範(これは、国際法の問題とは、直接には、かかわらない)とが、同一の面で記載されているのがひとつの特徴といえることになるかと思います。

1 推奨事項1は、行動の抑止の促進と行動の勇気づけです。

2推奨事項2は、行為の責任(responsibility)と限界(Limitations)とへの対応、規範違反への適切な対応、規範違反者への予測可能で意味のある結果などがうたわれています。

3 推奨事項3は、スタッフの訓練、能力と能力の構築、サイバースペースの安定性の重要性の共有の理解の促進をうたっています。

4 推奨事項4は、規範違反等の活動の及ぼす影響に関する情報の収集、共有、レビュー、および公開です。

5 推奨事項5は、関心のあるコミュニティの設立および支援です

6 推奨事項6は、常設のマルチステークホルダーエンゲージメントメカニズムの確立です

ということで、10回にわたって分析してきました。が、法の世界からは、このような努力が、どのように評価されるべきものか、ということは、明らかとはいえないと考えています。

具体的な問題に関していえば、国際法や国内法の理論は、精緻に構築されており、それと比較したときに、スタビリティのための規範、という表現が、大雑把に思えるところでもあります。

その一方で、国際法と国内法がクロスオーバーしたところが、一番の問題点なのではないか、という問題提起は、きわめて重要なものであるようにも思えます。自分の考察をこのような観点から深めていきたいと思います。

 

GCSCスタビリティ報告書 分析8

8つの規範について個別に検討をしてきました。

そのあとで、報告書は、規範の採用、実装、責任(Accountability)、利害コミュニティ、といった項目について、検討します。

法といった場合には、一般には、その法規範の内容を意味することが多いですが、むしろ、規範については、それが、正当であるという確信に支えられて、行動を一定のものと規制するものと動的に捕らえていて、そのことが、規範のないようのみならず、それを支える社会、文化、組織、能力構築、信頼醸成にフォーカスしているということがいえるかと思います。

このなかで、法律家として興味深いのは、責任(Accountability)の記述なので、そこを見ていきます。

規範が採用され、実施されると、規範に違反する者に対する説明責任がなければなりません。これにより、属性(attribution)と応答(response)の複雑な問題が発生します。これらは、サイバー攻撃への対処において困難であることが判明しているものです

報告書では、証拠の取得の話がなされています。技術的なものであるとともに、それ以外の手法による証拠も活用されるのは、いうまでもないことでしょう。

個人的には、責任帰属の決定の際には、それが、法的な文脈なのか、政治的な文脈なのかを明らかにしないと意味がないと考えています。

私のブログの立場は、Codeblueでも来日したVihuul先生の立場なので、そのところを参照してください。ところで報告書では、

非国家主体によるサイバー攻撃に対する説明責任は比較的単純であり、主に関係国の国内法の下で民事責任または刑事責任を課すことによって達成されます。

とされていますが、非国家主体のサイバー作戦を、国際法の次元でみたときに、何が論点になるのかというのは、結構、問題ではないか、と考えています。そのような作戦を、直接に停止することはできないのか、それは、誰が、どのように行うのか、それは、国際法的に、正当化されるのか、インターネット媒介者が、何らかの重要な役割をしている、もしくはすべきではないのか、という問題提起がなされてしかるべきかと思います。

私のスタンスからいえば、この上の記述は、パラレルワールドから、現実社会にエイリアンがきているのに、そのエイリアンは、パラレルワールドの秩序維持の責任でしょ、といっているように思えます。国内法の観点からみたときに、被害者や被害国の法執行機関からの強制力行使による制裁・抑止の問題も、この観点で考えるべきだろうと思います。

 

 

 

GCSCスタビリティ報告書 分析7

脆弱に関する規範、サイバー衛生に関する規範のあとは、「攻撃的サイバー作戦」の規範です。

非国家主体は、攻撃的なサイバー作戦に従事するべきではなく、国家主体はそのような活動を防止すべきであり、また、発生した場合には対応すべきである。

では、「攻撃的サイバー作戦」とは何でしょうか。残念ですが、報告書には、その定義はありません。民間企業によるアクティブ・サイバー防御がここで議論されています。私は、アクティブ・サイバー防御を論じたことがありますが、結局は、何を論じるか、具体的な構成要件レベルでなす行為を特定しないと、議論がほとんど意味がないということがもっとも大切なことでした。

報告書は、

これらの非国家主体の攻撃的なサイバー作戦は、防御目的のために行われるため、婉曲的に「アクティブ・サイバー・ディフェンス」といわれる

としています。そして、注で

アクティブサイバー防御は、被害者のネットワークでの自己防衛から攻撃者のネットワークでの破壊的な活動に至る一連の手段として理解される必要があります。 攻撃的なサイバー作戦は、一連のものであるので、防御者が彼らの意図(攻撃または防御)や法的資格とは無関係に自身のネットワークの外で行動することを意味します。 攻撃的なサイバー作戦と積極的なサイバー防御の定義に関して、さらなる作業を実施する必要があります。

として、さらなる分析がひつようであることが示唆されています。

報告書は、このような行為が国によって、きわめて、規制が、ばらついていることを指摘しています。このような行為を、適法だとする立法化をした国家があることを指摘しています。

GCSCは、これらの行いがサイバースペースの安定性を損なうと考えています。深刻な混乱と損害をもたらし、それは、第三者を含むこともあるため、複雑な法的紛争を引き起こし、紛争を拡大させる可能性があります。国家は、非国家主体に、自分自身または第三者の目的のために、攻撃作戦を行う許可を明示的に付与または故意に許可した場合には、危険な実行を設定し、国際法に違反するリスクをおかすことになります。委員会は、攻撃的措置は国家のみに独占されていると信じており、国際法が確立している敵対行為に対する国家の対応の厳格かつ排他的な枠組みが、サイバー作戦にも適用されることを想起します。同様に、国際法の下では、国家に代わって行動する非国家主体は彼らの代理人とみなされなければならず、したがって国家の延長とみなされます。

注で、追加的注釈が引用されています。

個人的には、アクティブ・サイバー防御の定義をさけて、これを許容することはできないといってみても、きわめて議論としては、大雑把だと考えているのですが、どうでしょうか。強制的な効果を攻撃者に対してもたらす行為ということになりますが、国際法としては、一定の要件のもとで、部分的自衛権として、もしくは、対抗措置として許容されるので、そのような緻密な議論と比較した場合に、どれだけ、この規範が、規範として支持されるべきなのか、非常に疑問だと思います。