「サイバー攻撃の国際法」(タリン・マニュアル2.0の解説)を読む前に

「サイバー攻撃の国際法(タリン・マニュアル2.0の解説)」という本があります。今年の5月くらいに販売になって、結構、情報セキュリティのまわりの人たちでも購入した人が多いと思います。

帯は、「国際社会が抱える深刻な問題にいかに対応するかを分かりやすく解説」というフレーズです。ちなみに、左が、タリン・マニュアル2.0で、厚いです。

膨大なタリンマニュアルをコンパクトにまとめた本として、非常に役に立ちます。特に、タリンマニュアル本体の規則の何番だったか、と思い出せないときに、規則をほとんど一覧できるのは、すごく役にたちます。

その一方で、情報セキュリティの関係者で法律の素養をあまり有していない人には、非常に、理解が困難なのではないか、と心配しています。

2015年5月にタリンのCCDCoEで受けた授業のメモをもとにタリンマニュアルが何か、について、簡単に触れておくことにしましょう。

(1)国際法のルールを記載するもの

上の帯に「サイバー攻撃に関する国際法のルール」と記されていますが、これが、理解を困難にしているのではないか、と思ったりします。

国際法というのは、Laws of Nationsであって、国と国との間の関係について述べるものです。たとえば、他の国のテロリストから攻撃をうけるけど、そのテロリストの攻撃の証拠を取得して、処罰しましょう、というのは、刑法の国際的な適用の問題になるので、(刑法という)国内法の問題になります。

テロリストというような「国」とは認められないものは、「直接には、」国際法の舞台にはでてこないことになります。(ここで、直接には、といったのは、そのようなテロリストの活動を野放しにしている国家のデューデリジェンスの問題やら、テロリストに対する武力攻撃についての国連の対応の問題などで、テロリストも国際法の舞台にでてくることがあるということです)

あと、人権・プライバシというのも、「直接には」国際法の舞台にはでてきません。また、ここで、「直接」という但書がでているのですが、これは、各国家は、構成員のプライバシを重視する義務を負っているので、その義務との関係で、プライバシの問題が国際法の問題としてでてくることがあり得るということです。いま一つは、特に欧州でのプライバシ問題を考えると、欧州人権条約は、条約でありながら、欧州各国の国内法のなかで、欧州人権裁判所で判断がなされるということです(この適用関係については、「国際人権法の有効性についての一考察 ―欧州人権条約とイギリス国内法秩序の関係を中心に―」という論文があります )。

(2)Black letter と解説からなるもの

法律の世界で、Black Le tter Lawという用語があります。

これは、広く認められていて議論の必要がないものとして考えられている規範を精確に記述したものです。中谷本のはしがきでblack letter ruleとコメンタリーの双方について一言一句検討し、という用語がありますが、その意味です。コメンタリーについては、シュミット先生のいうところによると、合理的な解釈を記載しているということになります。

このための重要な役割を果たしているのが、IGE(International Group of Experts-国際専門家グループ)になります。これで、どのように進行していくかは、中谷本のはしがきに詳しいので、参照するといいと思います。

(3)タリン・マニュアルは、以下とは違う

タリン・マニュアルは、発表された当時、NATOの戦略的な文書と新聞報道がなされたことかありますが、このような新聞報道は、「おろかもの(Idiot)」だといわれています。

NATOのドクトリンでもありません。

また、ありうるべき法(lex ferenda)でもありません。

現在、ある法(lex lata)の姿をできるかぎり客観的に映し出そうとした国際法の本ということになります。国際法については、それ自体、拘束力のある法であると拘束力のない法であるとをとわず記述されていることになります。

(4)タリン・マニュアルのカバー範囲

タリン・マニュアルが何かカバーするのか、という点については、タリン・マニュアルが、武力紛争というスレッシュホールド(閾値)を越えた紛争の論点(ユス・アド・ベルム、ユス・イン・ベロ、主権、管轄、国家責任)を論じているのに対して、タリン・マニュアル2.0が、武力紛争というスレッシュホールド(閾値)以下の活動についても重視をしている点で異なっています。特に、主権・国家責任・デューデリジェンスについては、叙述が非常に詳細になっているところは、注目されるところだろうと思われます。

しかしながら、上述のように国際法の記述であることから、人権論・国内の電気通信法についてふれることはありません。また、ハックバックやいかにして、会社の活動をコントロールするか、というのもこの範囲ではありません。

(5)高橋の視点

まずは、武力紛争法を英語の教科書で勉強したりすると、日本語の訳語の何を当てているのかとかを、このような簡潔な本を読むことで理解できるのは、きわめて有意義です。

それはさておき、国際的なサイバー攻撃に対して、国際法の世界でどのような議論がなされているのか、特に米国においてどのような議論がなされているのか、また、外交の世界でどのような認識がなされて、どのような対応がなされているか、というのを知るためには、タリン・マニュアル2.0のエッセンスが、凝縮されている本は、きわめて役にたつということができると思います。

その一方で、民間企業が、どのように対処すべきかという問題については、国際法の知識というより国内法の刑法や電気通信法の知識が重要になってくるということができると思います。しかも、それらが、国際法の種々の原則と微妙な緊張関係のなかでバランスをとらないといけないとなっているのが現代の課題だということができるでしょう。

そのためには、タリン・マニュアル2.0は、基礎的な情報を与えてくれますが、国内法については、みずからの視点で、国内法を展開させなければいけないということになるかと思います。

 

 

 

 

日航偽メール3億8000万被害-メールは、ハガキですよ

「日航偽メール3億8000万被害」というニュースがでています。これは、BEC(Business E-mail Compromised)という手法で、語られているものとおもわれます。

ニュースを見ていくと、「ことし9月、実在する海外の取引先を装った電子メールで、航空機のリース代として3億6000万円を請求され、財務担当の部署の社員が指定された香港の銀行口座に送金した」「送信者が取引先の担当者の名前になっていた上、添付された請求書も実物そっくりでサインもあった」とのことです。

BECについては、一般的なセキュリティのお話をするときに近時の傾向として話させていただいています。そこで使っているスライドは、こんな感じです。

上のスライドだと、お分かりのように、銀行名が、真っ黒銀行に書き換えられています。多分、請求書は、pdfあたりで送っているのでしょうから、そのpdf の銀行名を書き換えるのは、簡単であるということは、担当者は、知っておいてもらいたいことです。

Tcyssの講演でお話ししたときには

「電子メールというのは、封筒の絵がかいてあるから、みんな誤解するんですよ。原理的には、ハガキです。だれもハガキに請求書を書かないでしょ」

といったら、みなさん納得してくれました。電子メールのアイコンに封筒を使うのを禁止すべきだ、というのが、私の主張です。デザインの重要性(Legal Design Labo v. リーガル・デザイン・ラボ)という話をしましたが、この注意喚起だけで、何億もの損害が防げるのでしたら、安い対策費だとおもうのですが、いかがでしょうか。

(ちなみに、講演の案内でも、「暗号化しないpdfで、請求書を送っていたりしませんか、パスワードを次のメールで送っていませんか、」と注意していますよ)

それはさておき、お世話になっていますIPAさんでは、ちゃんと、「ビジネスメール詐欺「BEC」に関する事例と注意喚起~ サイバー情報共有イニシアティブ(J-CSIP)の活動より ~」という非常に良い報告書を公表しています。

しかも、対象者として、

「企業の経理・財務部門といった金銭管理を取り扱う部門の方
 取引先と請求書などを通して金銭的なやりとりを行う方」

としています。ただ、結局、個人のリテラシーに頼るのは、無理かとおもいます。そうだとすると、口座の変更があった場合には、きちんと確認の仕組みを作るのが必要でしょうし、それを作っていなかったのは、どうなのか、という問題が起きてきそうです。というか、そもそも、限られた取引先については、クローズトな仕組みで請求を完結させるとかもありそうです。

 

 

サイバーセキュリティ経営ガイドライン v20をどう考えるか

サイバーセキュリティ経営ガイドライン v2.0が出ています。

構成は、3原則(リスク認識・リーダーシップの原則、サプライチェーン原則、開示原則)と10項目について、それぞれ、説明しているというものです。あと、チェックシートがついていて、参考情報付きですね。

原則と個別のブレークダウンというのは、きわめて適切な手法かとおもいます。

あと、付録Cで、インシデント発生時に組織内で整理しておくべき事項も公開されています。このテーマの選択も非常にいいですね。

とGood Newsは、ここまでで、あとは、感想。

原則ってもう少しわかりやすくしないとね

個人的な趣味でいえば、原則については、覚えやすい名称をつけるべきだとおもいます。(っていうか、普通、原則には、名前ついているでしょ)

リスク認識は、原則ではないとおもいますね。むしろ、経営というミッションを有するものにとっての当然の手法だとおもいます。(オポチュニティとリスクを考えて、リスクについては、一定のコントロール・受忍・転嫁というお約束です)

そのような基本を行うために、リーダーシップ原則(個人的には、あと、チームワークなんだけどね)、透明性原則ですかね。私だったら、備えあれば憂いなしの原則をいれるかな。

サプライチェーンは、適用範囲なので、原則というのは、ちょっと微妙ですね。

ここら辺の言葉の感覚は、人それぞれかもしれないけど、私の美学とは違いますね。

IPAの10年前のアウトプットがあります

付録Cなのですが、私としては、講演の際には、インシデント発生の際に参考にするものとしては、

情報処理推進機構「情報漏えいインシデント対応方策に関する調査報告書」( 委託先カーネギーメロン大学日本校)
私が調査委員会 座長をしました(平成19年8月発表)

を常に推薦させてもらっています。

項目Cが、この業績を超えることを目指してもらえればよかったと思いますね。

そもそもの話

バージョン1のときから思っていたのですが根本的なものとして

情報セキュリティ経営

という言葉は成り立ちうるのか、というのが常に念頭にあります。

会社自体が季節労働者

であるITリサーチ・アート(無事、祝10周年)の経営者として考えるときも、まずは、社会と技術のギャップというのをうまくつかんで、そこに分析のメスをいれることで社会に貢献し、しかるべき対価をいただく

という大原則があって、そこにおいて、この分野に投資すれば、とか、タリンの会議にいってネタを仕入れて、ということをしているので、その中で、適切なセキュリティリスクを認識し、評価するということはあったとしても、

セキュリティ自体を目標として認識するというのは、ありえないはずです

リスクの適切な評価とコントロールの設定・受忍等の対応策の決定が経営なのでしょう。

結局、原則と乖離した

掛け声

としての意味はあるとしても、経営者にとっては、

経営がわかっていないんじゃないの

とみられそうです。

では、適切な情報セキュリティに対する評価を行ってもらうためにどうするか、となってくると、

インセンティブ設計

のほうがはるかに重要になるよね、ということかもしれません。

 

 

 

総務省 「IoTセキュリティ総合対策」の公表 (その1)

総務省は、サイバーセキュリティタスクフォースにおいて取りまとめられた「IoTセキュリティ総合対策」を公表しています

構成は、

Ⅰ 基本的考え方

として、「安全な IoT システムのためのセキュリティに関する一般的枠組」を踏まえつつ、総合的な視点 に立って対策を講じていくことが述べられています。

そして、各レイヤーごとにわけて分析するということになっています。

法律家だと、安全のためのセキュリティなので、検討の対象の法的性質(物か、それ以外か、とか)にわけて検討するところですが、それは、セキュリティのアプローチなので、これも一つの方法でしょう。

Ⅱ 具体的施策
においては、
(1)脆弱性対策に係る体制の整備、
(2)研究開発の推進
(3)民間企業等におけるセキュリティ対策の促進
(4)人材育成の強化、
(5)国際連携の推進の5つの項目
にわけて検討される
ということが明らかにされています。

(1)脆弱性対策に係る体制の整備
①セキュリティ・バイ・デザイン等の意識啓発・支援の実施から、⑤ 簡易な脆弱性チェックソフトの開発等 までの話。

では、セキュリティ・バイ・デザインの考え方に準拠の認証マークを考えているみたいです。セキュリティの考え方は、プロセスからいくので、むしろ、結果からいく安全基準のほうがよさそうな気もするのですが、どうでしょうか。要は、コントロールする物が、生命・身体に影響を及ぼしかねない場合には、このような要件を求めるとかしたほうがいいような気がします。

今、一つ気になるのは、根拠法令に何をするのかな。電波法なのでしょうか。でも、無線通信機器の責任分界がわからないと何法に基準を決めるのかもよくわからなかったりします。この枠組み自体、リーガルチェックという発想はなかったようですね。

電気通信事業法でもいけないことはないということは前のエントリで検討したのですが、 ファームウエアの問題に突っ込んでくるのですか>MIC

従来、脆弱性研究会がいろいろと考えてきたんですけど、みたいな話もありそうです。(問題を整理しましょ、という話)

あと、きちんと意味を読む必要があるのが
「重要インフラで利用される IoT 機器のように、国民生活や社会経済活動に直接影響を与える可能性がある重要 IoT 機器と、家電製品などの IoT 機器を含むサイバー攻撃の踏み台となってネットワークに悪影響を及ぼすおそれのある機器の双方について、所要の脆弱性調査と当該調査結果に基づく対策を講じる必要がある。併せて、脆弱性調査の効果を高める観点から所要の法制度の整備についても併せて検討する必要がある。」(5頁)という表現でしょうか。

前者については、あたかも、押しかけ脆弱性調査を認めるべきだという風に読めてしまいます。そのような趣旨はないと信じています。
というか、その前に、ネットワークに悪影響を及ぼすとかと、人の生命・身体に影響を及ぼしかねない場合とをわけるべきだろうとおもいますね。そして、後者に関係しうるIoT機器として、何が、重要インフラの管理下で存在しているのか、その洗い出しをすべきでしょう。(7の「重要 IoT 機器に係る脆弱性調査」を読む限り、現在、実行中のようですが)
洗い出しをする前に、調査を認める法制化とかいってもしょうがないとおもいます。

「脆弱性調査の効果を高める観点から所要の法制度の整備」については、調査をされるほうの身にもなりましょう、ということですね。英国コンピュータ不正使用法の成立の際のときの議論は、きちんと論文でふれているところですが、それを変える必要があるとは思っていなかったりします。

ただし、当社としては、豊富な比較法的検討に基づいた豊かな議論というのは、大賛成ですので、総務省さんで、「脆弱性調査の効果を高める観点から所要の法制度の整備についても併せて検討」についての入札待っています。(その場合、評価指標を途中で、変更したりしないでね)

⑧の「所有者・運用者・利用者に対して脆弱な機器の注意喚起を行い、各者による対策を促進。また、製造業者に対して情報提供を行い、今後製造する機器への対策を促進」は、IoTサイバークリーンセンターでしょうか。おもしろそうです。

⑨「被害拡大を防止するための取組の推進」では、通信の遮断が議論されています。「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドラインの改定について」が、さらに発展するものとおもわれます。その意味では、通信の秘密のドグマについて柔軟な対応が、当然に考えられるようになっているというのは、いいだしっペとしては、うれしいところです。

⑩「 IoT 機器に関する脆弱性対策に関する実施体制の整備」では、IoTセキュリティセンターが提案されています。これも、この根拠法令は、何なの、と突っ込みたくなりますね。通信に関する責任分界点の範囲についての技術基準は、作る権限があるとおもいます。でも、実際の問題は、その分界点の先の有体物の誤動作だったりするわけでしょう。難しい問題ですね。

(2)以降についても、ゆっくり分析したい事項がならびます。続きは、別のエントリで。

サイバーセキュリティ大統領令

トランプ大統領が、サイバーセキュリティに関する大統領令(STRENGTHENING THE CYBERSECURITY OF FEDERAL NETWORKS AND CRITICAL INFRASTRUCTURE)に署名しました

1条(連邦ネットワークのサイバーセキュリティ)

  ポリシ

各責任者が、説明責任を果たせるようにすること、行政部門の運営としてのリスクマネジメントを行うこと

事実関係( Findings)

リスクマネジメントの構成要素、リスクマネジメントの困難さ、効果的なマネジメントの要素は、防御のみでなく維持・改良・現代化を伴うこと、既知ながら対応されていない脆弱性が最大のリスクであること、行政当局の長のリーダーシップによる効果的なマネジメントが述べられています。

リスクマネジメント

NISTのフレームワークを利用すること、DHSの評価などが述べられています。

2条(重要インフラのサイバーセキュリティ)

更新予定

3条(国家のためのサイバーセキュリティ)

ポリシ

効率性、イノベーション、通信経済的反映を育む、オープンな、相互利用可能な、信頼しえ、安全なインターネットを推進することが基本的なポリシであること

(コメント)世界的に、C国やR国のスタンスに明確に反対しているわけで、実務的な感じを読み込む(要は、トランプ大統領は、サイバーには、コメントできないんじゃないの)のは、どうでしょうか。

抑止・防御

関係長官(国務長官、財務長官、など)は、敵(adversaries)を抑止し、アメリカ国民をサイバー脅威より防御する国家的戦略に関する選択肢を大統領に提出すること

国際協力

このポリシを維持するのに向けて、同盟国および他のパートナーと協力しなければならないこと。国際的サイバーセキュリティの優先事項について報告書を提出し、それには、捜査、行為者特定(attribution)、サイバー脅威情報共有、対応、能力向上および協力が含まれていること。さらに、その後、戦略が記載されている報告書を提出すること。

人材発展

(省略)

 

 

 

 

 

企業のためのサイバーセキュリティの法律実務

大井哲也先生から「企業のためのサイバーセキュリティの法律実務」の献呈を受けました。年末には、受けていたのですが、レビューが遅れてすみません。やっと読めます。

TMI総合法律事務所とPwCコンサルティング合同会社との編による書物です。

1章は、「ITと法律の融合」という観点から、日本における政策と戦略の概観をしています。また、国際的な情報セキュリティ戦略についての記述をもなされています。

2章は、「情報流出とインシデント対応」の章です。もっとも、前半は、種々のセキュリティ侵害事例が網羅されています。その後、後半で、情報流出事件の危機対応の記載がなされています。コンピュータ・フォレンジックスに関しての記述にも重点がおかれています。

3章は、「情報漏えい関与者の法的責任」です。攻撃者への責任追及、内部流出の責任追及、SNS上の不適切書込者への責任追及にわけて検討されています。

4章は、「再発防止策」です。情報セキュリティ体制構築の重要性、内部統制、運用面のセキュリティ対策、クラウドの利用と情報セキュリティ、認証において分析がなされています。この章では、技術や体制のコンサルティングという観点からの記述がなされています。

5章は、「インターネット上の表現行為・コンテンツに対する規制と実務対応」です。不適切表現への法的対応として名誉棄損対応、SEO逆SEOに対する対応、口コミサイト上の表現行為に対する法的対応など、これらの論点に対する法的な問題点が記載されています。

6章は、「ビッグデータ」を活用した新サービスの展開と実務対応です。ビッグデータ化の進展、個人データの種類、企業における個人データ活用の目的、物と物との通信、物と人との通信によって生成されるデータ、オープンガバメントなどの論点が、技術的・コンサルティングの観点から分析されています。その後、法的留意点として、個人情報保護法の改正についての詳細な検討がなされています。また、その後、IoTの考察については、技術的・コンサルティングの観点への分析となります。

7章は、「ビジネスのグローバルかに伴うITの諸問題と実務対応」です。日本企業の実態、国外または域外移転規制、具体的な法的な問題についての検討がなされています。最後の部分は、法的な分析が強いところです。

「企業のためのサイバーセキュリティの法律実務」というと、私としては、いろいろと研究を進めているところもあって、通常の読者の観点からはどう評価されるのだろうという点については、なかなかわからないところがあります。

この本については、法と政策・具体的な問題、技術的なトレンド、法解釈の問題などについて、非常に広い観点から、また、最新の情報が満遍なくふれられているということがいえるかと思います。その意味で、「サイバーセキュリティの法律実務」について、この分野に興味のある企業の人が、まず最初に読むべき本として、おすすめできるのではないかと思います。

自分としては、このような書籍の企画とかも考えるので、作るほうの身になってしまうのですが、「企業のためのサイバーセキュリティの法律実務」というタイトルで、企業の担当者にどのように情報を届けたらいいのだろうか、というのは、本当に難問なのだろうなと思います。

情報流出対応、コンピュータ・フォレンジックス、名誉棄損対応、EUとのデータ・トランスファ問題、匿名加工情報の問題などは、企業の担当者のための必須知識でしょう。それを、このような形でまとめたというのは、重要なことかと思います。

PwCのコンサルティングの人々と共同で本を作成するというのは、一つのチャレンジということだったかと思います。その一方で、焦点が、分散してしまうというのもリスクだったかと思います。そのリスクをおさえつつ、形にしたといえると思います。

自分だったら、そのようなチャレンジをうまくこなせるのか、その場合に、どのように記述をコントロールするかと考えたりしました。一つのアイディアとして、情報ガバナンスという観点から、論点を位置づけるという方法もあるかと思いますし、自分だと、セキュリティという観点よりも、そっちのアプローチでいったでしょう。ただし、言葉的には、セキュリティのほうが受けるのかもしれませんが。

「サイバーセキュリティの法律」という観点からみるときには、国際法的な視点や、攻撃者の属性(アトリビューション)による国家との関係がはいってくるのですが、企業担当者の人のための本という性格から、省略されています。私が書く場合には、これがないと、現代社会においてのサイバーセキュリティは語れないとは思うのですが、それは、編集の過程での判断なのかもしれません。

いい加減に、単著で、「ネットワークセキュリティの法律」あたりを書かないとはいけないとは思っているのですが、なかなかできません。決断しなきゃとは思っているんですけどね。

 

 

なぜ、経営者にとってサイバーセキュリティのマネジメントは難しいのか

まるちゃんこと丸山(DT-ARLCS)社長の「なぜ、経営者にとってサイバーセキュリティのマネジメントは難しいのか」というレベルの高い、かつ、わかりやすい解説がでています。

(1)リスク(狭義)とオポチュニティとのバランスから解きあかしている点
(2)リスクマネジメントの全体像をあきらかにしている点
(3)プロセスの構築を説いている点
(4)セキュリティマネジメントの困難性を説いている点
で、きわめてポイントをついており、非常によい論考です。

私だと(4)で、心理的な認知の困難さをさらに追加するかと思いますが、それは、個性というところかと思います。

私のこの点についての考察は、ビジネス法務(2016年8月号)で考察しています。抜き刷りできてますので、いろいろいなところで配る予定です。

CSI:サイバーで学ぶ情報セキュリティ・ シーズン1 

CSI サイバーで気になったエピソードを分析してみます。

エピソードは、こちらで。

#ep2 コマンド・クラッシュ

テーマは、ブラック・ハッカー

ジェット・コースターのPLCの制御システムを乗っ取るのが技術的なエピソードです。

犯人がブルートゥースでコントロールした制御板を物理的に追加したというのがポイントです。ブルートゥースなので20メートル以内であること、12ケタのアドレスが識別されていること、スキャナーで、同じIDをもっているものを探索しうること、あたりがポイントでしょうか。

#ep3  悪意の同乗者
テーマは、Phising です

配車サービス・アプリのZoGOというあたりが、面白いポイントです。FBIから、ドライバー情報を提出するようにいわれたところ、アプリ提供会社であって、社内の行為については、責任を負いませんと答えたり、犯罪歴をきちんと調査しているのかと凸合わせがあったりと、Uberあたりをめぐる法的な問題が議論されているのもおもしろいところです。

トロイの木馬のやり方として、USBの置き忘れを装う(ランチで一緒に紛れ込む)、ピザにWiFiルーター(Evil Twinsルーター)をいれて会社に届ける、とかが紹介されています。
あと、犯人を追跡するのに、「セルキャッチを使って」と、犯人のスマホを特定しているのもあります。これは、”cell site simulators” や “IMSI catchers,”といわれる一斉の追跡装置をいっているんでしょう。代表的なものとしては、Stingrayでしょうか。

SCADAシステムをハックして、信号機をコントロールするのもお楽しみ(?)です。

#9 ロミスの攻撃

 

この回のポイントとなる攻撃技術は、Juice Jackingです。充電ポートを利用してマルウエアを仕込んだり、情報をぬきとったりする技術的手法です。

いま一つ、ダニエル捜査官が、「ロミス」のコンピュータに「リモート・アクセス・トロージャン」を仕掛けて、ロミスの部屋の写真をとったことが犯人特定の役にたったというところがあります。
いわゆる「リーガル・マル・ウエア」の問題になります。写真をとった段階で、違法な捜査をしたことになるというセリフがありました。これが、アメリカでも一般的な解釈なのか、いつの日が調査してみたいです。

ロボット法って何

ロボット法学会設立準備会に出席してきました。報道は、こちら

非常に熱意のある参加者・事務局で、いろいろと面白かったです。

ただ、ロボットとして、何をテーマに論じるの、土俵は何にするの、という議論が、あまりされなかったのは、残念でした。法律家が議論するのであれば、アルファなり、オメガとしての、「定義」は、きちんと意識して論じるのが、当たり前の礼儀ではないでしょうか。(まあ、自分が、あまりにも古い流儀にこだわりすぎるのかもしれませんが)

そんなことをいっても仕方がないので、体系について、考えていることを以下にメモします。たぶん、ロボット法としての論点は、IoTの問題と人工知能による制御の問題で、「ほぼ」足りるのだろうと思います。(何が足りないかは、考えていません)

すると、問題となる各論点は、「自律性」「物理的存在」「存在と社会との関わり」の分野で論じられるはずです。

(1)自律性

人工知能による制御の問題で、人間の具体的な指示によらないで事前の抽象的な指示によって制御されることでしょうね。すると、人間との役割分担、特に緊急時の人間の具体的な指示によるコントロールの可能性を残さないといけないのか、というのが重大な問題になるはずですね。これは、準備会で指摘されていなかった問題と認識します。

(2)物理的存在

これは、ロボットが、実際に駆動系をそなえたりして、実際に社会のなかで、物理的な作用をなす(その意味で、データのみに作用する金融系の自律システムは、とりあえず、考えない)ということでしょう。これによって、この駆動によって現実の問題が惹起されることになります。

この場合にかんがえるべきことは、安心感などというものではなく、「安全」です。ここでいう安全は、テクニカルタームで、「安全とは、受容できないリスクから免れている状態」(JIS Z 8051:2004 の定義 3.1)をいいます。また、安全とは、「安全、死、傷害、職業病、備品・財産に対する損傷・消失、または、環境に対する損傷を惹起しうる状況から免れていること」(MILSTD882E)ということができるでしょう。
IoTを論じるときに、「安全」を論じないで、情報セキュリティの観点だけを論じるのは、研究不足というのが、私の説なのですが、昨日も、この意味での安全の定義がでなかったのは、残念です。

この安全を守るための仕組みが、監督官庁による安全基準の策定とその基準の執行体制ということになります。この基準が守られない場合には、リコールにもなりうるので、その場合のレベル感(特にロボットシステムとしてみた場合のネットワークからの攻撃が想定される場合)・仕組みがポイントです。昨日は、製造物責任ばっかり議論されていました。個人的には、どうかな、というのが感想です。

(3)存在と社会との関わり

ロボットシステムは、その対象の情報取得・駆動に関する情報など、すべてが、データとして存在します。このデータが、まさに、動作の原動力になるわけです。これが特定の個人を識別しうると、personal dataとなって規制の対象になります。この場合に、現在、世界的にもっとも「進んでいる」(?)とされるPersonal Data Protectionの仕組みが、対応できるのか、有効利用という観点を考えたときに、identifiableかどうかのみで考える仕組みでいいのか、というのは、論点でしょうね。

また、ロボットが一定のとじた仕組みで、ある分野を独占してしまうと、このようなデータについても、独占が発生してしまいます。二面市場の制覇の問題点も将来でてきそうです。

というのが、私的にみたロボット法の体系というところです。これらの問題は、今の枠組みでも検討できるのは、当然です。ただ、新しい名前でお祭りは楽しいですし、新しい見方も提供してくれます。活動が盛んになって刺激をもらえるといいかもしれません。

ただ、シンギュラリティの時代に何がおきるのか、元気に、頭もボケずに、キャッチアップできるのを第一目標にするべきかもです。

 

TTX(テーブル・トップ・エクササイズ)のすすめ

「近時の情報セキュリティ事件の法的意味付けとTTX(テーブル・トップ・エクササイズ)のすすめ」と題する講演を、9月7日におこないます。

リンクは、こちらです。

企業のコンプライアンス関係・情報セキュリティ関係の方への近時の事件の解説と、そのような人たちに対するトレーニングの手法を解説します。

TTXというのは、セキュリティ関係者に注目されている手法で、私も、リーガルに関する手法を経験してきました。また、大学で、ソクラテス方式を用いた講義としておこなっている経験も生かせると思っています。

ぜひともご参加ください。