デジタル証拠実務のための技術と法

ビジネス法務(中央経済社)の「デジタル証拠実務のための技術と法」の抜き刷りです(2016年8月から11月号)。デジタル証拠とビジネス法務の関係について、簡潔かつ実務的な観点からまとめたつもりです。

技術的な面からは、コンシリオさんにご協力いただいています。
不正調査、独禁法調査対応、情報漏えい対応、訴訟対応などの観点から、ドキュメントレビューは、必須ですので、それに関する知識の総まとめにおすすめします。

あと、レビュー関係のお仕事に携わっている方には、あった機会にお配りします。レビューチームもあります。専門家の証拠の見方から、サンプリングの技術を利用するとか、レビュープロトコルとかを作るとかもしますので、お仕事お待ちしています。

企業のためのサイバーセキュリティの法律実務

大井哲也先生から「企業のためのサイバーセキュリティの法律実務」の献呈を受けました。年末には、受けていたのですが、レビューが遅れてすみません。やっと読めます。

TMI総合法律事務所とPwCコンサルティング合同会社との編による書物です。

1章は、「ITと法律の融合」という観点から、日本における政策と戦略の概観をしています。また、国際的な情報セキュリティ戦略についての記述をもなされています。

2章は、「情報流出とインシデント対応」の章です。もっとも、前半は、種々のセキュリティ侵害事例が網羅されています。その後、後半で、情報流出事件の危機対応の記載がなされています。コンピュータ・フォレンジックスに関しての記述にも重点がおかれています。

3章は、「情報漏えい関与者の法的責任」です。攻撃者への責任追及、内部流出の責任追及、SNS上の不適切書込者への責任追及にわけて検討されています。

4章は、「再発防止策」です。情報セキュリティ体制構築の重要性、内部統制、運用面のセキュリティ対策、クラウドの利用と情報セキュリティ、認証において分析がなされています。この章では、技術や体制のコンサルティングという観点からの記述がなされています。

5章は、「インターネット上の表現行為・コンテンツに対する規制と実務対応」です。不適切表現への法的対応として名誉棄損対応、SEO逆SEOに対する対応、口コミサイト上の表現行為に対する法的対応など、これらの論点に対する法的な問題点が記載されています。

6章は、「ビッグデータ」を活用した新サービスの展開と実務対応です。ビッグデータ化の進展、個人データの種類、企業における個人データ活用の目的、物と物との通信、物と人との通信によって生成されるデータ、オープンガバメントなどの論点が、技術的・コンサルティングの観点から分析されています。その後、法的留意点として、個人情報保護法の改正についての詳細な検討がなされています。また、その後、IoTの考察については、技術的・コンサルティングの観点への分析となります。

7章は、「ビジネスのグローバルかに伴うITの諸問題と実務対応」です。日本企業の実態、国外または域外移転規制、具体的な法的な問題についての検討がなされています。最後の部分は、法的な分析が強いところです。

「企業のためのサイバーセキュリティの法律実務」というと、私としては、いろいろと研究を進めているところもあって、通常の読者の観点からはどう評価されるのだろうという点については、なかなかわからないところがあります。

この本については、法と政策・具体的な問題、技術的なトレンド、法解釈の問題などについて、非常に広い観点から、また、最新の情報が満遍なくふれられているということがいえるかと思います。その意味で、「サイバーセキュリティの法律実務」について、この分野に興味のある企業の人が、まず最初に読むべき本として、おすすめできるのではないかと思います。

自分としては、このような書籍の企画とかも考えるので、作るほうの身になってしまうのですが、「企業のためのサイバーセキュリティの法律実務」というタイトルで、企業の担当者にどのように情報を届けたらいいのだろうか、というのは、本当に難問なのだろうなと思います。

情報流出対応、コンピュータ・フォレンジックス、名誉棄損対応、EUとのデータ・トランスファ問題、匿名加工情報の問題などは、企業の担当者のための必須知識でしょう。それを、このような形でまとめたというのは、重要なことかと思います。

PwCのコンサルティングの人々と共同で本を作成するというのは、一つのチャレンジということだったかと思います。その一方で、焦点が、分散してしまうというのもリスクだったかと思います。そのリスクをおさえつつ、形にしたといえると思います。

自分だったら、そのようなチャレンジをうまくこなせるのか、その場合に、どのように記述をコントロールするかと考えたりしました。一つのアイディアとして、情報ガバナンスという観点から、論点を位置づけるという方法もあるかと思いますし、自分だと、セキュリティという観点よりも、そっちのアプローチでいったでしょう。ただし、言葉的には、セキュリティのほうが受けるのかもしれませんが。

「サイバーセキュリティの法律」という観点からみるときには、国際法的な視点や、攻撃者の属性(アトリビューション)による国家との関係がはいってくるのですが、企業担当者の人のための本という性格から、省略されています。私が書く場合には、これがないと、現代社会においてのサイバーセキュリティは語れないとは思うのですが、それは、編集の過程での判断なのかもしれません。

いい加減に、単著で、「ネットワークセキュリティの法律」あたりを書かないとはいけないとは思っているのですが、なかなかできません。決断しなきゃとは思っているんですけどね。

 

 

情報法のリーガルマインド

林紘一郎教授より「情報法のリーガル・マインド」の献呈を受けました。ありがとうございます。

すべての論述を精査したわけではありませんが、興味深い論点、記述をたくさん見つけることができるかと思います。

フェア・ユース論(P65-)

Confidentiality論(p93-)

個人データ保護とプライバシ保護の峻別(p107-)

表示と、その責任(p147-)

電磁的証拠(p279-)

などは、私の観点からも興味深いテーマだと思います。

Confidentiality論(p93-)については、はるか25年前に、私も「英国における民事訴訟法上のコンフィデンス保護手続 」とかを書いていたりします。

個人データ保護とプライバシ保護の峻別については、私と吉田先生の論文を引用されていたりします。

ただ、これらの論点が、「リーガル・マインド」という観点から、分析されているのかというのは、今、一つよく分かりませんでした。また、「法と経済学」の分析という観点を唱えている林先生の観点からは、むしろ、高崎さんの論文のところでふれたように「プライバシ」の認知のアプローチについて深めた方がはるかに現代社会においては、有意義なように思えます。

ただし、これらは今後の研究者等の方々への宿題となっているのかもしれません。現代社会との関連から、ネットワーク化の進む社会と法律のギャップを埋める作業に柔軟に取り込むべきである、それには、従来の各制定法ごとの枠組みを飛び出てみようというのであれば、それが現代社会でのリーガルマインドそのものなのかもしれません。

 

パーソナライズド・サービスに対する消費者選好に関する研究

プライバシーの実証分析に関して、わが国で、きわめて先端的な分析をされている高崎さんから、新しい論文のご紹介を受けました。
パーソナライズド・サービスに対する消費者選好に関する研究-プライバシー懸念の多様性に着目した実証分析」です。

米国における調査と比較したときにて、わが国では、全くといっていいほど注目されていない(無視されているといっていいほどの)「プライバシの実証的分析」という分野ですが、この分野に関するきわめて注目すべき論考です。

特徴としては、

(1)手法として、アンケート設問方式を採用していること、具体的なサービスの利用に関するおすすめにどのような要因が関連しているかを調査していること、いわゆるSEM(Structural Equation Modeling 構造方程式モデリング-共分散構造分析)によること

(2)結論として、

ア)過去の経験やリテラシー、利用者の個人属性が、プ ライバシー懸念3要因(潜在的不安、情報開示抵抗感、二次利用侵害懸念)に影響を及ぼしている。

イ)利用者のプライバシー懸念が利用者のサービス利 用意向に影響を与えている。その際、サービス利用 意向への影響度合いは利用するサービスの種別ご とに異なる。

という仮説が検証されています。

「プライバシーポ リシーの認知度は懸念の強さに影響を与えないこと」という興味深い説が、検証されているのも注目です。では、今の法規制はなんなの(ファンタジーだよね-「本研究はプライバシ ーポリシーが逆作用的に機能する場合」もあることを明らかにしています。EUは、プライバシ保護が、EC利用を推進させるとかいっているけど、証拠は反対だよね)というつっこみもできたりします。

(3)感想として

非常に興味深い論文です。これだけ刺激を与えてくれる論文はなかなかないのではないでしょうか。わが国でも、プライバシーの実証研究が盛んになるといいと思います。

ただし、自分としては、いわゆる質問紙法は、プライバシの研究に関して、限界が露呈するという立場です。高崎論文でも「プライバシ ーを巡る消費者選好は、サービス提供されているコン テキスト(場所、時間、利用シーン、制度環境等々) に大きく依存」といってますが、この利用された質問自体が、プライバシー懸念のサービスの受容に与える結論を先取りして、実際の行動/心理と離れる可能性があるのではないかと批判される可能性があるかと思います。

なので、さらに、コンジョイント法などで新たな枠組みを明らかにする余地が大きく残されているといえるかと思います。私も頑張りたいです。

実験手法に関していうと、むしろ、質問紙法としては、各サービスのおすすめ度を個人的には、被説明変数として、TAM的なモデルを作って、それにプライバシー懸念の与える影響を見ていくほうがしっくり来たりします。IPAでやった 「eID に対するセキュリティとプライバシ に関するリスク認知と受容の調査報告」の 方法になりますが。

(4)ちなみに

ちっと検索したら、 「パーソナルデータ利活用の個人の諾否に影響を与える要因に関する分析」は、プライバシーの分析にコンジョイントを利用する意向を表明していますし、私と岡田先生の論文とかを引用してくれたりします。興味深いです。実際の実験には、いたっていないようですが、成り行きが大注目です(ただし、このような実験の重要性は、なかなか理解されないのが悲しいですが)。

タリンマニュアル2.0

タリンマニュアル 2.0が、発売になりました。

CCDCoEのプレスリリースは、こちらです。

このリリースでもわかるように、「国家が日常に直面する武力行使・武力紛争の閾値に値しないより一般のサイバーインシデントに対する法的分析を追加している(Tallinn Manual 2.0 adds a legal analysis of the more common cyber incidents that states encounter on a day-to-day basis and that fall below the thresholds of the use of force or armed conflict)」ということになります。

法的には、「武力行使・武力紛争の閾値」は、シュミットアナリシスによって一定のレベルを超えない場合に、主権とデューデリジェンスの問題が起きてくるので、その点についての解釈が追加されていると思われます。この点については、情報ネットワーク法学会にだいぶまえに原稿を送っているのですが、いつ出版されるのか、よくわかりません。

また、シュミット先生ほかのパネルが、2月8日 1530からライブウエブキャストもなされるみたいです。(日本時間 9日 午前5時30分)
早起きしてみましょう。

アマゾンジャパンだとペーパーバック版は、品切れです。キンドルにするか、どうしようかな。

でもって、上のwebの予告編をみると、イルベス大統領は、明日は、ワシントンでライブ講演に出るのかもです!!(The Seventh Annual Christopher J. Makins Lecture featuring Toomas Hendrik Ilves) 日本から直行か。

高橋郁夫

なぜ、経営者にとってサイバーセキュリティのマネジメントは難しいのか

まるちゃんこと丸山(DT-ARLCS)社長の「なぜ、経営者にとってサイバーセキュリティのマネジメントは難しいのか」というレベルの高い、かつ、わかりやすい解説がでています。

(1)リスク(狭義)とオポチュニティとのバランスから解きあかしている点
(2)リスクマネジメントの全体像をあきらかにしている点
(3)プロセスの構築を説いている点
(4)セキュリティマネジメントの困難性を説いている点
で、きわめてポイントをついており、非常によい論考です。

私だと(4)で、心理的な認知の困難さをさらに追加するかと思いますが、それは、個性というところかと思います。

私のこの点についての考察は、ビジネス法務(2016年8月号)で考察しています。抜き刷りできてますので、いろいろいなところで配る予定です。

リーガルマルウエアの法律問題(続)

「リーガルマルウエアの法律問題」という論考を公にしたことがありました

通常、英国の議論を参照にして、日本への示唆を求めるというのが、私の検討のスタイルなのですが、この論考ですと、アメリカに議論を求めました。ただし、よく考えてみると、このようなスパイな手法は、英国に議論を求めるとよかったなあと思っています。

インテリジェンス機関によるハッキング、フィッシング等を含むequipment interference (機器からの情報取得)については、英国において、実務規範が公表されています。

適用に関しては、英国域内に関する機器か、それ以外かで、適用規範も異なるみたいです。あと、RIPA2000については、2016年末にIPA2016となり、ちょっと、というか、かなり変更があったようですし、細かく適用関係をフォローするのもつらいところです。

時間があったら、(というか、予算があったらに近いですが)きちんと、全体像を調査して、「リーガルマルウエアの法律問題」(続)を執筆したいところです。(CSIサイバーからの調査手法ネタを仕込みたいですし)

 

JVNVU#95089754 Animas OneTouch Ping に複数の脆弱性

Animas OneTouch Ping インスリンポンプには、遠隔の第三者によって、患者の治療情報や機器のデータを取得されたり、機器を操作されたりする脆弱性が存在します。

特に、IoTが無線との関係で脆弱性がつかれると、結果として、身体・生命・財産の被害が発生してしまうということは、スケートボード脆弱性でもふれました。

このレベルになると、電波法や医薬品医療機器等法(薬機法)という個別法の対応準備ができているのだろうか、という疑問がでてきますね。

電波法は、混信を防ぐ仕組みはありますが、その定めといっても、電波法施行規則6条の2・3号は、「同一の構内において使用される無線局の無線設備であつて、識別符号を自動的に送信し、又は受信するもの」というものです。その意味で、重要な情報に対する仕組みには、なっていません。暗号通信は、それが、解読されない程度に安全に設計されているか、というのは、電波法の技術基準とは、趣旨が異なるということでしょう。(なんといっても電波法は、傍受のみでは、秘密侵害にならないという仕組みをもとにできてますし)

では、薬機法では、どうかというと、「医療機器におけるサイバーセキュリティの確保について」という通達がなされて、検討がなされていることはなされています。基本的な考え方として「サイバーリスクについても既知又は予見し得る危害としてこれを識別し、意図された使用方法及び予測し得る誤使用に起因する危険性を評価し、合理的に実行可能な限り除去する」「医療機器の開発に当たっては、リスクマネジメントとして必要な対策を実施し、サイバーセキュリティを確保すること、また、既に製造販売を行っている医療機器に関しても、同様にサイバーセキュリティを確保すること」が必要であるとしています。そうはいっても接続環境における脆弱性が、そのもともとの「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第 41 条第3項の規定により厚生労働大臣が定める医療機器の基準」(平成 17 年厚生労働省告示第 122号。以下「医療機器の新基本要件基準」という。)との関係で、どのように考えられるかという整理は、まだされていません。能動型医療機器に対する配慮(12条)の規定があって、「電子プログラムシステムを内蔵した医療機器は、ソフトウェアを含めて、その使用目的に照らし、これらのシステムの再現性、信頼性及び性能が確保されるよう設計されていなければならない。」とされていくのですが、この場合に、具体的な適用があるのか、という点もかんがえてみないといけないかもしれません。このポンプは、この規定が該当しそうですが、そうだとすると、機器を操作されるというのが、基準との関係で、信頼性が確保される設計といえるのか、もしかすると、設計として不十分であるおそれが生じた場合といえるのではないか、という分析もできるかと思います。(そのおそれを利用の方法、注意の方法で対処するというのであれば、それもそれかと思いますが、そのリスク評価は、この制度のなかで、どの仕組みがなすべきなのか、難しい問題であるといえるでしょう)

さらに、IPAの報告書(「医療機器における情報セキュリティに関する調査」報告書)をみると、セキュリティパッチが、改造に該当すると解釈されて、それを当てることができないという話になっています。このあたりは、どうにか、具体的な対応ができるようになるといいです。

責任分界点

電気通信業界・プロバイダー業界の人たちと話していて、戸惑う言葉の一つに「責任分界点」ということばがあります。

そもそも「責任」という言葉自体は、(1)行為をなすべき義務を負う、という場合と、(2)一定の問題が起きたときに、誰が責任を負うか(liable)か、という場合の二つの場合があります。

クラウドで、情報漏洩が起きたときに、その責任分界点は、どこなのか、とか、業界の人から聞かれて法律家としては「?」となるわけです。どうも、近頃では、ロボットや自動運転自動車にまで、このような用法が広がっているようです。Liablityを考えるときには、各行為者が、どのような予見可能性があって、具体的な回避可能性は、どうなのという具体的な事案に応じて、Liablityが決まっていくので、どこかの一点を基準に、行為者の責任が100対ゼロということにはなりません。なので、このような問題を検討する時には、「責任分界」という用語は、使うべきではないと思っています。(どうも、素人談義に聞こえてしまいます)

でもって、「責任分界」という概念は、法的な言葉ではない、というのか、というとそうでもないのです。特に通信とかの世界では、 設備についての技術基準適合義務を負うという意味では、よく使われる用語です。電気通信事業についてみていくと

電気通信事業法だと「第四十一条  電気通信回線設備を設置する電気通信事業者は、その電気通信事業の用に供する電気通信設備(略)を総務省令で定める技術基準に適合するように維持しなければならない。」という義務が定められているのですが、この5項で
「5  第一項、第二項及び前項の技術基準は、これにより次の事項が確保されるものとして定められなければならない。
 (略)  
 五  他の電気通信事業者の接続する電気通信設備との責任の分界が明確であるようにすること。」
と責任分界点を明確にしないとしているのです。

具体的に
事業用電気通信設備規則
(昭和六十年四月一日郵政省令第三十号)
では、
(分界点)
第二十三条  事業用電気通信設備は、他の電気通信事業者の接続する電気通信設備との責任の分界を明確にするため、他の電気通信事業者の電気通信設備との間に分界点(以下この条及び次条において「分界点」という。)を有しなければならない。
2  事業用電気通信設備は、分界点において他の電気通信事業者が接続する電気通信設備から切り離せるものでなければならない。
と定められています。逐条解説によると「電気通信設備の故障等の場合にどこに原因があるのか明らかにし、かつ電気通信設備の保守等の範囲の切り分けをはっきりさせておくことをいう」だそうです(電気通信振興会のやつ 230ページ)

また、電気事業法関係も責任分界というのは、基本的な概念となっているようです。

安全なIoTシステムのためのセキュリティに関する一般的枠組

安全なIoTシステムのためのセキュリティに関する一般的枠組 が、NISCから公表されています(平成28年8月26日)
内容的にも、経緯的にも注目すべき政策かと思います。
内容的には、というのは、
「従来の情報セキュリティの確保に加え、新たに安全確保が重要となる」と明言している点
「早急にすべてのIoTシステムに係る設計、構築、運用に求められる事項を一般要求事項として明確化し、その上で、々の分野の特性を踏まえた分野固有の要求事項を追装する2段階のアプローチが適切である」としている点
ですね。少なくてもわが国における議論において、これだけ、セキュリティとセーフティの交錯を意識し、それを前提に議論を立論したものとしては、最初の重要な議論ではないでしょうか。
法律家的には、「接続されるモノ及び使用するネットワークに求められる安全確保水準(法令要求、慣習要求)を明確化する」という分析がなされており、従来の安全基準が、ネットワーク化によるリスクにたいして、どの程度対応しうるかを洗い出さないといけないという主張をしてきた身としては、鋭い分析をしているなあという感じです。
経緯的には、というのは、実は、この政策は、従来は「IoTセキュリティのための一般的枠組(案)」といっていたものを、正式決定に際して、タイトルまで変更して、IoTにおいては、安全を検討しないとだめだよというのを強調してきたという点で注目すべきという意味です。非常に興味深いです。
ITリサーチ・アートとしては、IoTという用語よりCyber Physical Systemsといったほうが、「安全」の問題を検討するのに、有意義でしょう、といいつづけてきたのですが、NISCにも支持してもらったようで、ちょっとうれしいです。