Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

セキュリティ・個人情報保護に関する法整備の遅れと問題点


 日本PKIフォーラムは17日、都内において第1回セミナーを開催した。セミナーの内容はPKIに限定されたものというよりは、昨今のコンピュータを巡る法律全般の話題となり、中でもセキュリティホールや情報の盗難に関する諸外国の法制度の状況、個人情報保護法や内部告発に関わる話題などが中心となった。


セキュリティホールに関しては諸外国も法制度の整備が遅れる

清和大学の吉田一雄助教授
 セミナー前半では、清和大学の吉田一雄助教授が「セキュリティホールに関する法的責任及び情報窃盗罪の必要性」と題して、ソフトにセキュリティホールが見つかった場合にソフト開発者やシステム管理者に求められる責任や、企業などから電子データが盗まれた場合の取り扱いに関する諸外国の法制度の現状について解説を行なった。

 吉田氏は冒頭で、経済産業省のプロジェクトで英・米・独・仏・カナダ・韓国の6カ国7地域について調査を行なった際の結果として、「セキュリティホールや脆弱性(Vulnerability)、不具合(Defect)といった点については調査した各国において明確な法律上の定義規定がない」「そもそもソフトウェアについて定義を持つのも韓国程度」と述べ、海外においてもこれらの問題を処理するに当たって、そもそもの法的定義があいまいなままになっていること、また「どの国も民事責任に関する新規立法について積極的ではない」ことを明らかにした。

 その上で「大陸法系の法律を持つ国々(日本も含む)では、民法上の瑕疵担保責任に関する一般条項を利用して問題を処理する傾向が強く、一方英米法系の国々では契約関係の有無により契約責任もしくは不法行為責任で処理しようとする傾向が強い」という原則を述べた上で、個別のケースに議論を移した。

 システム管理者がセキュリティホール修正のためのパッチの適用を怠った場合については、「契約責任を問うべきか、それとも不法行為責任を問うべきか」「不法行為責任の場合は管理者の注意義務の範囲をいかに画するか」といった点が問題として挙げられ、特に注意義務の範囲については「今後の議論の課題」として、まだ範囲が明確化されていない様子を示した。また、パッチによってシステムに新たな不具合が出るなどの理由で、あえてパッチの適用を見送ったようなケースの場合については、「現場では専門家であるシステム管理者の判断基準が優先されるのが普通だろうが、裁判になった場合必ずしも同じような判断が下されるとは限らない」と語り、法的責任を回避するためには、不具合が出ることを承知で、あえてパッチを当てなければいけない局面が出てくる可能性を示唆した。


 また、システム管理者がセキュリティ情報の収集を怠った場合に責任を問えるかという問題については、「そもそもどのレベルの情報まで収集する必要があるかという基準が不明確」と指摘したが、一定の業界慣行やガイドラインに従って情報収集をしているような場合は、「ガイドライン自体がお手盛りだとして批判する意見もあるが、基本的には一般人よりも重い注意義務を課しているとして評価するべきではないか」と述べ、ガイドライン等に一定の法的評価を与えてもよいという見解を示した。

 何らかのセキュリティポリシーを遵守することが抗弁として認められるか、という意見については、「基本的には認められないが、セキュリティポリシーをあらかじめユーザーに提示していれば、契約責任に関しては抗弁することが可能」と述べた上で、「自社独自のポリシーよりは、業界標準的なポリシーを利用する方が(法的責任という面では)安全かもしれない」と述べた。同様に、セキュリティ監査でセキュリティホールが探知されなかった場合についても、「監査制度や基準が業界標準になっているようなケースでは一定の説得力があるし、国のお墨付きがつくようなケースでは抗弁として認められ免責される可能性が高い」として「従って、このような分野に関わる人にとっては、監査制度等の早期法定が望まれるのではないか」との希望を述べた。

 最後に、セキュリティホールを報告された場合に開発元として対応義務があるかどうかについては、「パッケージソフトを想定するか、受託開発を想定するかでは意識が異なるのか、国によって判断が分かれているのが現状」と述べつつも、「製品のライフサイクルなどの問題はあるが、基本的には製品の瑕疵に対する対応義務があるのではないか」と語っていた。


日本も情報の窃盗自体に関して何らかの罰則を設けるべき

電子データの窃盗の類型。「コピー」となっているところは犯罪にならない
 続いて吉田氏は、電子データなどの情報が盗まれた場合に情報そのものの窃盗に対する罰則が諸外国でどうなっているかどうかという点に話を移した。

 ご存知の方も多いと思うが、現在の日本の刑法においては窃盗罪の客体となりうる「財物」は「有体物」に限られるため、例えば会社にある営業データ等が記録されたCD-ROMを自分の持つCD-Rなどにコピーする行為は、それ自体は窃盗罪とはならない(他の法律で罰せられる可能性はあるが)。また、不正アクセス禁止法はあくまで「電気通信回線を通じた」不正アクセスのみを禁止しているため、例えばネットワークにつながったサーバーにローカルのコンソールからアクセスして不正にデータを取得するようなケースでは、同法の対象とはならない。

 このような現状に対し、吉田氏が米国50州において情報そのものの窃盗について何らかの罰則が設けられているのかどうか調査したところ、大きく分けて「窃盗罪の範囲で対処している州」「窃盗罪とは別にコンピュータ関連犯罪として規定している州」「ローカルからの侵入も含めた形で不正アクセス禁止法で対処している州」「その他」という4つの形態に分かれるものの、とにかく何らかの形で情報そのものの窃盗を犯罪として規定しているという。

 この他、最近では携帯カメラなどによるいわゆる「デジタル万引き」と呼ばれる行為などが増加して問題になっていることにも言及した上で、「日本では軍事機密・国家機密に関しても、それらの窃盗自体に関する処罰規定がない」として、「そろそろ何らかの対策を考えるべきではないか」と述べて話を締めくくった。


「内部告発法」成立も、施行は2006年から

弁護士の六川浩明氏
 セミナーの後半は、弁護士の六川浩明氏が、個人情報保護法や不正競争防止法など企業の秘密保護に関わる法律全般に関する解説を行なった。

 注目は、14日に参議院で可決され成立したばかりの「公益通報者保護法」。通称「内部告発法」とも言われるこの法律は、企業などの組織における内部告発に関して、従来は労働基準法違反の事例でしか告発者の保護が行なわれてこなかったのに対し、その保護の範囲を拡大して、刑法や食品衛生法・証券取引法・個人情報保護法などに違反する行為に関する内部告発に関しても告発者を保護しようとするものだ。

 この法律では、法令違反が行なわれた(あるいは行なわれようとしている)場合に、当該事業者内部の告発受付窓口、あるいは労働基準監督署などの行政機関に告発を行なったとしても、解雇や派遣契約の解除、降格や減給などの不利益処分を行なうことを禁止している。また、そのような不利益を受けた告発者は、裁判により救済措置を受けられることなどが定められている。

 ただ、1つ注意したいのは、告発の通報先は基本的に事業者内部か行政機関に限られ、それ以外の場所(マスコミ、ネットの掲示板など)への通報に関しては、相当切迫した理由(証拠隠滅の可能性がある、生命や身体に危険が及ぶ)が無ければ、告発者は保護を受けられないという点だ。つまり、この法律ができたからといって、手当たり次第に企業の内部事情を暴露していたのでは、解雇等の処分を受けても文句は言えないということになる。

 同法の施行は今のところ2006年4月の予定ということで、実際に同法の保護を受けられるようになるにはまだ2年近く時間がかかるという問題もある。法律ができたからといって、すぐに内部告発を行なおうと考えるのはちょっと待ったほうがよさそうだ。


関連情報

URL
  日本PKIフォーラム
  http://www.japanpkiforum.jp/


( 松林庵洋風 )
2004/06/17 20:59

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.