ここが変だよ日本のセキュリティ 第14回「逃げちゃダメだ!標的型メール対応訓練」

というタイトルの写真に、愛しき高嶺愛花さん(あと、二次元殺法さん)と一緒に写っています。

標的型メール対応訓練については、なかなか、評価しにくいところがあります。法律家としては、誰が、どのような目的でやっているのか、これは、属性(attribution)の問題と呼ばれますが、これの確定ができないでは、有効な対応策も考えにくいなあということをいっています。

基本的なセキュリティ・マネジメント体制の構築とその実施が一番有効でしょうね、というスタンスをとっています。

日本国憲法と国連憲章との関係

サイバー作戦の法的なあり方を考えるにあたって、憲法や内閣法制局の解釈との整合性を考えなくてはならないのですが、いままで、不戦条約・国連憲章の子供・兄弟なのに、なんで、このように解釈が異なるのかな、と疑問に思っていました。

前の投稿でも紹介した西先生の国会での発言からはっきりしたように、

(1)日本国憲法は、国連憲章と同じことをいっている。

私の結論からいうならば、ケーディスによっていわゆる不戦条約――不戦条約につきましてはお手元の十二ページにあります。戦争放棄に関する不戦条約でありますけれども、これと結局同じだったんだ、だから自衛のためであれば戦力は持ち得るんだ、こういう解釈」(西発言)

ちなみに、当然に国連憲章との整合性が意識されていたのは、エラマンメモにあるHussey発言(政治的モラルと主権の関係に関してふれる条項は、国連の成立から、合理的ではないという)からもはっきりしています。

(2)政府の解釈がタコだった

「今の政府解釈は、文民条項を全然別にしまして、芦田修正も全く無関係。だから、自衛のためであるとも戦力は持ち得ないんだ。では、自衛隊は何か。戦力ではない、自衛力である。では、自衛力と戦力とどう違うのか。それもかなり、自衛隊ができる前とできた後が変わっております。非常にあいまいな解釈に終始してきている。」(西発言)

要は、自衛のための「戦力」(武力)は、保持しうると解します。そして、この武力は、国連憲章の枠組みと国際法の枠組みに従うということになると考えています。

(3)憲法の学者の99パーセント以上は、?

「政府解釈といわゆる学界の多数説なるものをみると、いかに制定経緯を無視してきたか、一目瞭然であろう」(憲法9条の制定過程)
憲法の先生方は、マルクス経済学で、資本主義社会を分析してるみたいなものだったのかもしれませんね。

ということなので、個人的には、解釈面では、すっきりと結論がでました。まあ、例によって、「コミュニケーションって内容のことしかいわないのになあ?」と同じで、独自色の強いものとなりました。

1パーセント以下は、偏った立場?

2004年ころに「通信の秘密」を研究しだしたときに、(ITまわりで有名な)ある弁護士さんに、通信の秘密って、肥大化しているよね、といったのですが、全く理解されなかったですね。

このインタビュー(「集団的自衛権丸ごと違憲 長谷部・早大教授にインタビュー」という記事)を読んで感じたことですが、自分の立場と異なる人の考えを「偏った立場」といってしまうほうが、学問の自由とかの観点から、きちんとした理解があるのか、と思ってしまいます。

たとえば、労働法学会でも「リボン闘争」は、違法ではないという考え方が多数かと思いますが、最高裁は、違いますね。大成観光事件は、橋本武人先生が、かかわった事件の中でも、先生が、アメリカ法などをも参考にして、許容されない行為であると信念をもって、判決を作ったと聞いたのは、30年前ですね。新進気鋭の先生が、違憲と解されるべきという理由をあげていますが、学会のバイアスというのは、ないのか、という議論はでてくるような気がします。

西教授が、ケーディス大佐等にたいしてインタビューをして、日本国憲法(とくに9条)の成立の歴史を事実として保存するというきわめて貴重な仕事をされたというのは、きちんと評価されるべきではないかと思います。
この西先生の研究成果については、「西先生の書斎」の中の論考(憲法9条の成立経緯)で読むことができます。

あと、国会での意見陳述もここで見ることができます。

法律は理念でできているのではなくて、事実が積み重なっているし、その多くは歴史的な事実であって、時間とともに風化するものです。(西先生の発言では、「ファクツ・アー・モア・パワフル・ザン・ワーズ、事実は言葉よりも強力である、力が強い。」と英国の法諺が引かれています)どれだけマニアックといわれても、理解されなくても、法の世界にいるものは、地道にしなくてはならないものと考えます。

自分の立場と異なるからといって、事実をも見つめようとしなくなるとするとか、偏っているとかいうのは、強く異議を唱えるべきだと思っています。

長谷部由起子先生には、「法廷衣装こぼれ話」は、ほめてもらったんですけどね。

(リンク修正 2017年6月4日)

 

長谷部 「憲法」(新世社)

事務所にあった昔の長谷部先生の「憲法」(新世社、1996)を引っ張りだして読んでみました。(6版まででているそうですが、新しいのを買う気もないのでご容赦)

68ページに「固有の「自衛権」なるものがあるといわれている」とか(国家に)「固有の自衛権があるという議論はさほど説得力のあるものではない」という表現があります。

国連憲章の話は、ここでしていますけど、国連憲章の立場は説得力がないといわれているようで、全く周波数があいません。(日本国憲法は、パリ不戦条約を参照していることからいっても、上の長谷部説は、事実誤認のような気もするしね)

学者先生は、新訴訟物理論を唱えていて、政府は、国際社会と折り合いをつけていくので、旧訴訟物理論でやっています、という感じに思えます。裁判所の出す書類の議論をしているのに、新訴訟物理論で語られたという感じかなあと思いました。

サイバー攻撃にも集団的自衛権 政府「武力行使しうる」

サイバー攻撃にも集団的自衛権 政府「武力行使しうる」という記事がでています。(朝日は、こちら。ハフィントンポストは、こちら。)

この記事は、きちんと前提を読まないと引っかかります。

「米国がサイバー攻撃を受けた場合、我が国の存立が脅かされる明白な危険があるなどの「武力行使の新3要件」を満たせば」ということなので、これは、米国に対して、「武力の行使」があったこと(国連憲章51条)が前提の場合になります。でもって、サイバー攻撃が、そのレベルにたっした上で、国内法的にも要件を満たしたならば、武力行使(敵対行為-hostilities)が可能ということでしょう。これは、武力攻撃があったならば、国連の集団安全保障体制が発動されるまでは、固有の権利としての自衛権を発動するねということで国際法的には当然の話に思えます。

サイバー攻撃のみ(たとえば、エストニア2007)の場合に、武力攻撃レベル(NATO5条)を越すかというのは、越さないね、ということになっているので、新聞レベルでの「サイバー攻撃」では、武力攻撃にはなりません。しかも、国際法の通説では、武力(Force)の行使(国連憲章2(4))のレベルの中でも特に熾烈なレベルを武力攻撃(同51)というので、このレベルを超えることは容易ではないと思います。

タリンマニュアル31条は、人の生命・傷害・物の損壊を及ぼす場合のみを「サイバー攻撃」というべきだと提唱しています(ユス・イン・ベロの場合)。

悪意をもって考えると、一般人の広範な「サイバー攻撃」というイメージを逆手にとって、集団的自衛権に対しての「やりすぎ」イメージをあおる意図があるのではないかと勘繰ってしまう書き方ということはいえるかと思います。

国際社会は、これらの要件をきちんと議論して、敵対行為の発生を予防しようと試みています。それらを無視して、わが国では、机上の空論レベルのデマの拡散がなされているように思えます。

The 7th Annual Sedona Conference International Programme

The 7th Annual Sedona Conference International Programme
On Cross-Border Discovery and Data Protection Laws という会議があるので、香港にいきませんか、とお誘いをコンシリオさんより受けたので、6月8、9日と香港で出てきました。
コンシリオさんには、いろいろな方を紹介いただきまして、会議をよりいっそう楽しむことができました。ありがとうございます。

6日には、香港について、ちょっと観光もしてきたのですが、その観光の写真は、事務所のページにあげておきました。

会議は、シェラトン香港で97年にも泊まったことがあるホテルでしたが、便利で、景色も大変美しかったのは、相変わらずです。

ホテルの部屋からもこんな感じです。

Jpeg
Jpeg

会議の内容は、

Day1
The APEC Privacy Framework and the Cross-Border Privacy Rules (CBPR): A Practical Solution to Data Protection and Cross-Border Data Transfer Issues in the Asia Pacific Region?

Cross-Border Data Transfer & Data Protection Laws: Key Issues & Concerns for Data Protection Authorities in the Asia Pacific Region

]Cross-Border Data Transfer & Data Protection Laws: Key Issues & Concerns for Organizations and Legal Counsel in the Asia Pacific Region

How do The Sedona Conference International Principles Work in Practice in the Asia Pacific Region?
A Dialogue on Cross-Border Information Transfers in Government & Internal Investigations

Day2
A Dialogue on Practical In-House Approaches to Cross-Border Discovery & Data Protection

Information Governance Considerations in the Asia Pacific Region

Balancing Disclosure Requirements with The Law of the People’s Republic of China on Guarding State Secrets
という感じです。

会議場は、こんな感じ。

Jpeg
Jpeg

パネリストからの簡単な説明と、会議との意見交換でセッションが進んでいきます。正直セドナの動きは、フォローが弱かったのでついていくので精一杯で発言はできませんでした。

私は、自分の日程の関係で、2日目の二つ目のセッションの終わりころに早めに空港に向かうということになりました。

備忘録・復習もかねて、それぞれの会議の内容について、資料をもとに確認しましょう。

 

「仮想通貨」発売

virtualcurrency

岡田仁志先生、山崎重一郎先生とともに、「仮想通貨」という本を著しました。

東洋経済より発売になります。

(http://store.toyokeizai.net/books/9784492681381/)

電子マネーの時は、いろいろな法律分析もなされて、興味深かったところですが、仮想通貨は、わが国では、特に法律家には、その分析は、スルーされているように思えています。

自分としては、電子商取引(特にサイバーペイメント)は、研究領域の一つなのですが、いままでに業績を残してなかったので、今回は、きちんと、残せたように思えます。ご購入等いただけると幸いです。

医療機器・ヘルスソフトウエアの前提知識

医療機器を考える時に、ヘルスソフトウエアの概念をみておくといいです。
ヘルスソフトウエアというのは、「パソコン、タブレット端末、モバイル端末等の汎用(非医療用)コンピューティングプラットフォームで実行可能な健康・医療等の目的で使用するソフトウェアのうち医薬品・医療機器等法の規制対象とならないソフトウェア」をいいます。

で、医薬品・医療機器等法の規制対象って何となります。

「医療機器プログラム( 医療機器のうちプログラムであるもの)」(同法2条13項)という概念があります。これに関して「プログラムの医療機器への該当性に関する基本的な考え方について」(薬食監麻発 1114 第5号)があって、
(1)プログラム医療機器により得られた結果の重要性に鑑みて疾病の治療、診断等にどの程度寄与するのか。
(2)プログラム医療機器の機能の障害等が生じた場合において人の生命及び健康に影響を与えるおそれ(不具合があった場合のリスク)を含めた総合的なリスクの蓋然性がどの程度あるか
というので、医療機器という認識がされます。なので、機器といっても有体物である必要はないのです。deviceの訳なのでしょうか。

そして、医療機器は、機器の種別ごとに分けられています。これは、国際医療機器名称GMDN (Global Medical Device Nomenclature) を積極的に取り入れたもので、日本医療機器名称JMDN (Japan Medical Device Nomenclature)とされています。

一般医療機器(クラスⅠ)
「(略)人の生命及び健康に影響を与えるおそれがない」(医薬品医療機器等法第二条第7項)
管理医療機器(クラスⅡ)
「人の生命及び健康に影響を与えるおそれがあることからその適切な管理が必要なもの」(同第二条第6項)
高度管理医療機器(クラスⅢ、Ⅳ)
副作用又は機能の障害が生じた場合(適切な使用目的に従い適正に使用された場合に限る。次項及び第七項において同じ。)において、人の生命及び健康に重大な影響を与えるおそれがあることからその適切な管理が必要なもの(同第二条第5項)
ということですね。そして、その種別ごとに、生命・健康に影響を与える恐れに対する対応が区別されています。

医療機器におけるサイバーセキュリティの確保について

「医療機器におけるサイバーセキュリティの確保について」という文書がでています。

(https://www.pmda.go.jp/files/000204891.pdf)

スケートボードの脆弱性分析が好評だったようですが、この文書も実は同じ意味をもっているように思います。

ここで、この文章の「サイバーセキュリティ」への論じ方だけをみて、記述として関心のレベルが、まだ、本格的なものになっていないよねという見方も一つの見方だとは思います。

ただし、これは、発行しているのが、PMDA(医薬品医療機器総合機構)というところである、というところに重点をおいてみることができます。PMDAの役割を見ると、自動車の安全性における(独)交通安全環境研究所リコール技術検証部かなと思います。

医薬品医療機器等法は、「危害の防止」(同法68条の9)で医療機器又は再生医療等製品の使用によつて保健衛生上の危害が発生し、又は拡大するおそれがあることを知つたときは、これを防止するために廃棄、回収、販売の停止、情報の提供その他必要な措置を講じなければならない。そして、その危害防止のために回収を行った場合には回収に着手した旨及び回収の状況を厚生労働大臣に報告しなければならない(「回収の報告」(同68条の11)という立て付けになっています。
ソフトウエアとの関わりと医療機器との関係は、こんな感じになります。

ソフトウエアの活用されている 医療機器 許認可 審査機関
クラスⅢ(高度管理医療機器) 手術用ロボット 承認 PMDA((独)医薬品医療機器総合機構)
放射線治療シミュレータ
クラスⅡ(高度管理医療機器) MRI装置 承認または、認証 PMDAまたはRCB(第三者登録認証機関)
CT装置
X線診断装置
超音波画像診断装置 など
クラスⅠ(一般医療機器) 画像診断用イメージャ(CRなどのデジタル画像を取り込んでフィルム上で再生) 届出 自己認証
血球計数装置
血液検査機器
その他(非医療機器) Personal Health record システム
電子カルテ
医事会計システム

でもって、このような枠組みのなかで、「サイバーリスクについても既知又は予見し得る危害としてこれを識別」する(上の書類の「基本的な考え方」の表現で、脆弱性が、PMDAの心配する管轄にはいるよ)という宣言と読んでいます。すると、スケートボードで、人がけがしても、脆弱性は、うちらが、やりますよ、というJVNのアナウンスのカウンターパートだよね、という見方もできます。
このように考えると「保健衛生上の危害が発生し、又は拡大するおそれ」となるのは、いつ、どのように評価するべきなの、というのが、これからの問題になりますね。このような分析を、IoTのTごとにみていかないといけない、ということになるかと思います。

金融・電力などサイバー攻撃報告義務…政府素案

「金融・電力などサイバー攻撃報告義務…政府素案」という報道がでています。(http://www.yomiuri.co.jp/it/20150501-OYT1T50144.html)
サイバー攻撃についての情報共有については、乗り越えるべきたくさんの問題があります。

(1)仕組みのインセンティブ設計
仕組みのインセンティブを考慮しないと「サイバー攻撃」をなかったことにする誘因になること
(2)サイバー攻撃の定義
そもそも、「サイバー攻撃」について、物理的被害を基準としたタリンマニュアルの定義にそろえるべきではないかということ
なお、
タリンマニュアル ルール30
サイバー攻撃は、サイバー作戦であって、攻撃であれ、防御であれ、人の傷害または生命の喪失、または、対象物の損壊または破壊を引き起こすと合理的に予期されうるものをいう。
といってます。

(3)企業の守秘義務免除
企業の営業秘密・個人情報漏洩責任からの免責をさだめないといけないこと
(4)分析
情報の分析官を政府のサイバー諜報機能に統合すること
(5)インテリジェンスの共有
分析されたインテリジェンスを企業と共有する際に、クリアランスを設定すること

などでしょうか。
詳しい分析は、そのような機会を待つことにしましょう。