LINE Transparency Report(2016年下半期)

LINE Transparency Report(2016年下半期)が公表されています。

また、この解説編も準備されています。

ともに分析すると参考になります。
サーバの所在が、日本であって、日本法で運用されていることが明確にされています。

あと、個人的には「海外からの要請の場合は「国際捜査共助等に関する法律」や、特定国家との刑事共助条約(MLAT)等、国際捜査協力の枠組み等に基づき対応を実施します。これには、国際刑事警察機構(ICPO)を経由して日本の警察が要請を受領するケースや、大使館を通じて日本の外務省が要請を受領するケース等が含まれます。」というのがいいですね。

国別では、日本はさておき、韓国からは、43件の請求があって、応じていないです。令状的なしくみを用いていないということになるのかもしれせん。台湾は、168件で、68件令状をとっています。対象回線数といっているので、「識別しうる個別通信」に関連しない対象回線についての請求であり、捜査関係事項照会書でいけるという立て付けと推理しています。

 

NHK種々のメディアで報道されています。

法律的な観点からは、

  •  令状(刑事訴訟法):裁判所から発行される、差押えや捜索等の許可または命令する旨を記した書面。
  •  捜査関係事項照会(刑事訴訟法):捜査機関が捜査に必要な情報の提供を事業者等に求める行為。
  •  緊急避難(刑法):生命や権利が脅かされる場合にやむを得ず行う対応。当社においては爆破予告や自殺予告が書き込まれた場合に、その当事者を特定する行為等。

のそれぞれの根拠があります。

では、
「犯罪への関与が疑われる人物や、被害者の電話番号やメールアドレスなどを提供したということです。」のなかで、捜査関係事項照会書で開示しうる情報はどれでしょうか。
いい、ロースクール生への質問かな?

(なお、解説編についてのコメントは、追加しています)

不正送金「ネット潜入捜査」 わざとウイルス感染、犯人監視

「不正送金「ネット潜入捜査」 わざとウイルス感染、犯人監視 」という記事がでています

この記事においては、意図的にボットネットにウイルス感染させた端末を紛れ込ませ、犯人の動きを監視するという行為が紹介されています。

ボットネットに端末が感染するので、それ自体、他のメール感染の土台になるのか、D-Dosのツールになったりするのか、それだとすると、それを意図的になすとすると、法体系としては、刑法の各規範との衝突というのもありうるかな(前者であれば、不正指令電磁的記録供与(168条の2第2項)、後者ならば、業務妨害罪)という点も指摘しうるかもしれません。

もっとも、私は、法執行機関が、犯罪者の動向を把握するために、なす行為が、わが国の法体系上、違法行為に該当しうる場合においても、正当な業務行為として整理される場合があるのではないか、という問題提起を、「リーガルマルウエアの法律問題」でしています。この論文との関係でいえば、正当な業務行為として整理される一つの場合ということがいえるような気がします。

デジタル証拠関係の記載を駒澤綜合法律事務所に移転しました

実際にレビューチーム構築・マネジメントを法律実務として行っているので、むしろ、デジタル証拠関係については、代表取締役高橋郁夫が同じく代表を務める駒澤綜合法律事務所のコンテンツとして整理したほうがいいかと思います。

そこで、デジタル証拠関係・リーガルテクノロジー・ドキュメントレビュー関係のコンテンツを駒澤綜合法律事務所に移転しました。ご了解ください。

アクティブ防衛 再考

このブログだとSPEの時に、アクティブ防衛というのを検討してみました。(映画会社とアクティブ防衛

久しぶりにすこし調べてみると、また、興味深い報告書が出ています。

特に興味深いのは、ジョージワシントン大学のThe Center for Cyber and Homeland Security (CCHS)の”Into the Gray Zone: Active Defense by the Private Sector against Cyber Threats”という報告書になるかと思います。

私が興味深いといったのは、アクティブ防衛という用語が、きわめて多義的に使われるということを意識して、その用語の範囲を明確にした上で、それに対する法的な考察にチャレンジしているように思えるからです。

具体的には、「アクティブ防衛は、プロアクティブな防衛手段であって伝統的な受動的な防衛から攻撃までの、変移を把握する用語である」と述べた上で、具体的な技術として、情報共有、タールピット・サンドボックス・ハニーポット、妨害および欺術、ハンティング、ビーコン、ディープウエブ/ダークネットのインテリジェンス収集、ボットネットテイクダウン、協調された制裁、ホワイトハット・ランサムウエア、財産回復のためのレスキューミッションをあげています(11頁)。

この報告書は、パッシブ防衛と攻撃的サイバー(OFFENSIVE CYBER ハッキングバック)との間の行為をアクティブ防衛としています。そして、まさに、その部分がグレーゾーンであるといっています。また、法的な考察(あまり明確になっているとはいえない気もしますが)がなされているのも興味深いです(17頁以下)。

私自身としては、この概念は、(1)リアルタイム(損害が発生する以前)における探知および対応(2)積極的な対抗措置(攻撃者側における積極的法益侵害行為)の二つの局面を含む用語と考えています。問題となっている概念ごとにばらして、個別に検討すべき問題に思えます。

法的に、積極的に、攻撃者側の新たな法益侵害しても、防衛のためならば、許容されるという領域がないのか、という問題提起は、興味深くおもえます(犯罪者追求のためのカラーボールが器物損壊に問われないごとし)。さらに、準拠法の問題、正当防衛/緊急避難/自救行為の概念の国際比較、法執行機関以外の民間の証拠収集・保全行為の法的位置づけ(ISPが法執行機関の色を帯びるなんてことも考えないといけない)、という問題も含んでいるように思えます。

ちなみにこの報告書だと、45頁以下で、各国の政策の動向にふれています。一般的な動向は、わかるとしても、上記の法的な問題にたいして、どのような整理がなされているのか、興味深いものがあります。何かの機会に、これらを国際的な調査をしたいです。>予算をお持ちの方、よろしくお願いします。このような問題だと、Tallinnに企画書ださないと、その意味は、理解されないような気がしますけど。

ちなみに、EYは、”Enhancing your security operations with Active Defense”という報告書を公表しています。この報告書では、「アクティブ防衛は、熟慮された計画に基づき/継続的に実行される一連の報告であって、隠れた攻撃者を識別し、根絶し、重要な資産を狙う脅威シナリオを打ち負かすものである」と定義されています。ただし、そこで議論される内容は、インテリジェントな分析に基づく防衛という意味のようにおもえます。あまり、法的には、新しい問題提起を含んでいないようにおもえます。

NECは「プロアクティブサイバーセキュリティ」を実現するソリューションを訴えているのですが、法的には、新しいものではないようです。(法的に新しいものがありましたら、専門家の意見書をとるべきものになるでしょう。)

IPA「重要インフラ事業者優先提供や脆弱性情報の取扱い判断基準などの検討結果を公開」

IPAから「情報システム等の脆弱性情報の取扱いに関する研究会」における2016年度の活動成果としてとりまとめた報告書や、情報セキュリティ早期警戒パートナーシップガイドラインの改訂案などが公開されました。

当社代表取締役高橋郁夫は、この研究会のメンバとして、これらの報告書に関わっております。

特に、報告書においては、
「 IoTの脆弱性を巡る法制度の整理に関する調査
7.1. 調査の概要
7.2. 調査結果」
にたいして、強く関与しているところです。

「電力事業者への優先情報提供の実現に向けた調査報告書」においては、WGのメンバーとして
「脆弱性情報の取扱い判断基準と取扱ルールに関する調査報告書」においては、主査として
それぞれの報告に関わっています。

詳しくは、それぞれの報告書を参照いただきたいとところですが、特に高橋の関与した部分について、これらの報告書のポイントを述べると、以下のようになるかと思います。

(1) IoTの脆弱性を巡る法制度の整理に関する調査

IoTについては、セキュリティに関する関心と安全に関する関心が交錯する点が注目に値すること、そして、従来の安全基準(保安基準)等に、情報セキュリティの要素が、どのように影響をきたすのか、その物について個別に検討する必要があること、というのが重要になります。生命・身体・財産の損害(環境も含みうる)に対するハザードから免れている状態(安全)という見地から、IoTを考えることが重要です。
「(1)電気通信手段によって(2)接続されている(3)モノの(4)安全/セキュリティに関する(5)規範的側面」について考察しています。法律としては、あくまでも「物」が考察の対象になっていること、それが、電気通信手段によって接続されることによって、従来の安全に対する基準がどう変更するのか、変更されるべきか、というのを考察しています。

報告書としては、適用可能性のある法律、その安全に関する基準をあげているにとどまっており、しかも、基準の適用についても外観的なものにとどまっていますが、広範囲な分野にわたった考察している点に特徴があります。また、電力、医療関係については、近時、具体的な考察がなされていることもあり、特に参考になるのではないかと考えます。

(2)電力事業者への優先情報提供の実現に向けた調査報告書
電力事業の安全に影響を及ぼす脆弱性情報というのについても、いろいろなものがありますが、電気設備にせよ、事業者の一般的な義務にせよ、優先的に提供しうる場合を設けて、まずは、動かしていきましょうというアプローチをとったという点が特徴的なものです。

(3)脆弱性情報の取扱い判断基準と取扱ルールに関する調査報告書

これについては、早期警戒パートナーシップの制定された2003年時点においては、脆弱性という用語それ自体になじみがなかったし、それとソフトウエアの欠陥との違いというのも意識して議論されていることがありませんでした。また、開発者において、脆弱性をできるかぎり解消した製品を社会に提供するのが望ましいものであるという認識も非常に乏しかったといえます。
発見者から、脆弱性の報告を受けたからといって、むしろ、製品に対して何かクレームをつけられているかのような対応をとる開発者もいたと思われます。

しかしながら、現在においては、脆弱性のもたらすセキュリティ上の脅威が社会においても許容しうるものではないと認識されるようになってきました。開発者が、積極的に、脆弱性の届出受け付けの窓口をもうけるようになってきています 。また、脆弱性を見つけてもらうこと対して報奨金が提供されることも見受けられます。

そもそもから考えるときに、ソフトウエアが脆弱性なく安心して使えることは、現代社会においては、本来であれば、他の性能などと総合的に正当に評価されるべきひとつの要素です。ソフトウエアの利用者が、その開発者のセキュリティに対する積極的な対応姿勢などをも踏まえた総合的な判断をベースにソフトウエアを選択し、すぐれたものが社会に受け入れられるようになり、その一方で、脆弱性対応などに劣ったソフトウエアは、利用者の評価で劣ったものとして支持をうしなうものとなって、社会で利用されなくなり淘汰されるというのが望ましい姿でしょう。

このようなあるべき姿にむけて、社会においてプログラムにおいて脆弱性を減らしていこうという意識が高まっているというのは、きわめて重要な動きであるということができます。このような現状を前提に、早期警戒パートナーシップは、どうあるべきか、脆弱性と社会的なインパクトを合わせて、「影響度」ととらえて、その影響度から、調整活動を臨機応変に対応するということでいいのではないか、そのような方向性が変えていくべきではないか、という提案です。