サイバー攻撃にも集団的自衛権 政府「武力行使しうる」

サイバー攻撃にも集団的自衛権 政府「武力行使しうる」という記事がでています。(朝日は、こちら。ハフィントンポストは、こちら。)

この記事は、きちんと前提を読まないと引っかかります。

「米国がサイバー攻撃を受けた場合、我が国の存立が脅かされる明白な危険があるなどの「武力行使の新3要件」を満たせば」ということなので、これは、米国に対して、「武力の行使」があったこと(国連憲章51条)が前提の場合になります。でもって、サイバー攻撃が、そのレベルにたっした上で、国内法的にも要件を満たしたならば、武力行使(敵対行為-hostilities)が可能ということでしょう。これは、武力攻撃があったならば、国連の集団安全保障体制が発動されるまでは、固有の権利としての自衛権を発動するねということで国際法的には当然の話に思えます。

サイバー攻撃のみ(たとえば、エストニア2007)の場合に、武力攻撃レベル(NATO5条)を越すかというのは、越さないね、ということになっているので、新聞レベルでの「サイバー攻撃」では、武力攻撃にはなりません。しかも、国際法の通説では、武力(Force)の行使(国連憲章2(4))のレベルの中でも特に熾烈なレベルを武力攻撃(同51)というので、このレベルを超えることは容易ではないと思います。

タリンマニュアル31条は、人の生命・傷害・物の損壊を及ぼす場合のみを「サイバー攻撃」というべきだと提唱しています(ユス・イン・ベロの場合)。

悪意をもって考えると、一般人の広範な「サイバー攻撃」というイメージを逆手にとって、集団的自衛権に対しての「やりすぎ」イメージをあおる意図があるのではないかと勘繰ってしまう書き方ということはいえるかと思います。

国際社会は、これらの要件をきちんと議論して、敵対行為の発生を予防しようと試みています。それらを無視して、わが国では、机上の空論レベルのデマの拡散がなされているように思えます。

The 7th Annual Sedona Conference International Programme

The 7th Annual Sedona Conference International Programme
On Cross-Border Discovery and Data Protection Laws という会議があるので、香港にいきませんか、とお誘いをコンシリオさんより受けたので、6月8、9日と香港で出てきました。
コンシリオさんには、いろいろな方を紹介いただきまして、会議をよりいっそう楽しむことができました。ありがとうございます。

6日には、香港について、ちょっと観光もしてきたのですが、その観光の写真は、事務所のページにあげておきました。

会議は、シェラトン香港で97年にも泊まったことがあるホテルでしたが、便利で、景色も大変美しかったのは、相変わらずです。

ホテルの部屋からもこんな感じです。

Jpeg
Jpeg

会議の内容は、

Day1
The APEC Privacy Framework and the Cross-Border Privacy Rules (CBPR): A Practical Solution to Data Protection and Cross-Border Data Transfer Issues in the Asia Pacific Region?

Cross-Border Data Transfer & Data Protection Laws: Key Issues & Concerns for Data Protection Authorities in the Asia Pacific Region

]Cross-Border Data Transfer & Data Protection Laws: Key Issues & Concerns for Organizations and Legal Counsel in the Asia Pacific Region

How do The Sedona Conference International Principles Work in Practice in the Asia Pacific Region?
A Dialogue on Cross-Border Information Transfers in Government & Internal Investigations

Day2
A Dialogue on Practical In-House Approaches to Cross-Border Discovery & Data Protection

Information Governance Considerations in the Asia Pacific Region

Balancing Disclosure Requirements with The Law of the People’s Republic of China on Guarding State Secrets
という感じです。

会議場は、こんな感じ。

Jpeg
Jpeg

パネリストからの簡単な説明と、会議との意見交換でセッションが進んでいきます。正直セドナの動きは、フォローが弱かったのでついていくので精一杯で発言はできませんでした。

私は、自分の日程の関係で、2日目の二つ目のセッションの終わりころに早めに空港に向かうということになりました。

備忘録・復習もかねて、それぞれの会議の内容について、資料をもとに確認しましょう。

 

「仮想通貨」発売

virtualcurrency

岡田仁志先生、山崎重一郎先生とともに、「仮想通貨」という本を著しました。

東洋経済より発売になります。

(http://store.toyokeizai.net/books/9784492681381/)

電子マネーの時は、いろいろな法律分析もなされて、興味深かったところですが、仮想通貨は、わが国では、特に法律家には、その分析は、スルーされているように思えています。

自分としては、電子商取引(特にサイバーペイメント)は、研究領域の一つなのですが、いままでに業績を残してなかったので、今回は、きちんと、残せたように思えます。ご購入等いただけると幸いです。

医療機器・ヘルスソフトウエアの前提知識

医療機器を考える時に、ヘルスソフトウエアの概念をみておくといいです。
ヘルスソフトウエアというのは、「パソコン、タブレット端末、モバイル端末等の汎用(非医療用)コンピューティングプラットフォームで実行可能な健康・医療等の目的で使用するソフトウェアのうち医薬品・医療機器等法の規制対象とならないソフトウェア」をいいます。

で、医薬品・医療機器等法の規制対象って何となります。

「医療機器プログラム( 医療機器のうちプログラムであるもの)」(同法2条13項)という概念があります。これに関して「プログラムの医療機器への該当性に関する基本的な考え方について」(薬食監麻発 1114 第5号)があって、
(1)プログラム医療機器により得られた結果の重要性に鑑みて疾病の治療、診断等にどの程度寄与するのか。
(2)プログラム医療機器の機能の障害等が生じた場合において人の生命及び健康に影響を与えるおそれ(不具合があった場合のリスク)を含めた総合的なリスクの蓋然性がどの程度あるか
というので、医療機器という認識がされます。なので、機器といっても有体物である必要はないのです。deviceの訳なのでしょうか。

そして、医療機器は、機器の種別ごとに分けられています。これは、国際医療機器名称GMDN (Global Medical Device Nomenclature) を積極的に取り入れたもので、日本医療機器名称JMDN (Japan Medical Device Nomenclature)とされています。

一般医療機器(クラスⅠ)
「(略)人の生命及び健康に影響を与えるおそれがない」(医薬品医療機器等法第二条第7項)
管理医療機器(クラスⅡ)
「人の生命及び健康に影響を与えるおそれがあることからその適切な管理が必要なもの」(同第二条第6項)
高度管理医療機器(クラスⅢ、Ⅳ)
副作用又は機能の障害が生じた場合(適切な使用目的に従い適正に使用された場合に限る。次項及び第七項において同じ。)において、人の生命及び健康に重大な影響を与えるおそれがあることからその適切な管理が必要なもの(同第二条第5項)
ということですね。そして、その種別ごとに、生命・健康に影響を与える恐れに対する対応が区別されています。

医療機器におけるサイバーセキュリティの確保について

「医療機器におけるサイバーセキュリティの確保について」という文書がでています。

(https://www.pmda.go.jp/files/000204891.pdf)

スケートボードの脆弱性分析が好評だったようですが、この文書も実は同じ意味をもっているように思います。

ここで、この文章の「サイバーセキュリティ」への論じ方だけをみて、記述として関心のレベルが、まだ、本格的なものになっていないよねという見方も一つの見方だとは思います。

ただし、これは、発行しているのが、PMDA(医薬品医療機器総合機構)というところである、というところに重点をおいてみることができます。PMDAの役割を見ると、自動車の安全性における(独)交通安全環境研究所リコール技術検証部かなと思います。

医薬品医療機器等法は、「危害の防止」(同法68条の9)で医療機器又は再生医療等製品の使用によつて保健衛生上の危害が発生し、又は拡大するおそれがあることを知つたときは、これを防止するために廃棄、回収、販売の停止、情報の提供その他必要な措置を講じなければならない。そして、その危害防止のために回収を行った場合には回収に着手した旨及び回収の状況を厚生労働大臣に報告しなければならない(「回収の報告」(同68条の11)という立て付けになっています。
ソフトウエアとの関わりと医療機器との関係は、こんな感じになります。

ソフトウエアの活用されている 医療機器 許認可 審査機関
クラスⅢ(高度管理医療機器) 手術用ロボット 承認 PMDA((独)医薬品医療機器総合機構)
放射線治療シミュレータ
クラスⅡ(高度管理医療機器) MRI装置 承認または、認証 PMDAまたはRCB(第三者登録認証機関)
CT装置
X線診断装置
超音波画像診断装置 など
クラスⅠ(一般医療機器) 画像診断用イメージャ(CRなどのデジタル画像を取り込んでフィルム上で再生) 届出 自己認証
血球計数装置
血液検査機器
その他(非医療機器) Personal Health record システム
電子カルテ
医事会計システム

でもって、このような枠組みのなかで、「サイバーリスクについても既知又は予見し得る危害としてこれを識別」する(上の書類の「基本的な考え方」の表現で、脆弱性が、PMDAの心配する管轄にはいるよ)という宣言と読んでいます。すると、スケートボードで、人がけがしても、脆弱性は、うちらが、やりますよ、というJVNのアナウンスのカウンターパートだよね、という見方もできます。
このように考えると「保健衛生上の危害が発生し、又は拡大するおそれ」となるのは、いつ、どのように評価するべきなの、というのが、これからの問題になりますね。このような分析を、IoTのTごとにみていかないといけない、ということになるかと思います。

金融・電力などサイバー攻撃報告義務…政府素案

「金融・電力などサイバー攻撃報告義務…政府素案」という報道がでています。(http://www.yomiuri.co.jp/it/20150501-OYT1T50144.html)
サイバー攻撃についての情報共有については、乗り越えるべきたくさんの問題があります。

(1)仕組みのインセンティブ設計
仕組みのインセンティブを考慮しないと「サイバー攻撃」をなかったことにする誘因になること
(2)サイバー攻撃の定義
そもそも、「サイバー攻撃」について、物理的被害を基準としたタリンマニュアルの定義にそろえるべきではないかということ
なお、
タリンマニュアル ルール30
サイバー攻撃は、サイバー作戦であって、攻撃であれ、防御であれ、人の傷害または生命の喪失、または、対象物の損壊または破壊を引き起こすと合理的に予期されうるものをいう。
といってます。

(3)企業の守秘義務免除
企業の営業秘密・個人情報漏洩責任からの免責をさだめないといけないこと
(4)分析
情報の分析官を政府のサイバー諜報機能に統合すること
(5)インテリジェンスの共有
分析されたインテリジェンスを企業と共有する際に、クリアランスを設定すること

などでしょうか。
詳しい分析は、そのような機会を待つことにしましょう。

 

スケートボードの脆弱性

スケートボードの脆弱性が公表されています。
http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-002216.html

「IoTの時代には、このような問題も起きますね。」というのがコメントかと思います。が、よく見ると脆弱性早期警戒パートナーシップの枠組みを超える問題が提起されていることを指摘すべきかと思います。

そもそも、脆弱性というのは、「安全性上の問題箇所」いうわけ(ソフトウエア等脆弱性関連情報取扱基準)ですが、一般には、情報セキュリティ上の問題点と解されてきています。だとすれば、脆弱性によって発生する影響も、情報処理関係のCIA(機密・インテグリティ・可用性侵害)に対する評価がなされるべきものと解するのが素直なわけです。

ところが、この公表では、「身体的損害の原因となる、または物理的損傷の原因となる」という点が全面にでています。確かに、CIAの侵害の程度も大きいのかもしれませんが、むしろ、身体傷害を引き起こすというのが重視されているのでしょう。

この問題は、セキュリティと安全との交錯というべきものかと思います。安全(許容できないハザードから免れる状態)を脅かすセキュリティの脅威がある場合に、IPA の仕組みは、どのように対処すべきか、自動車、飛行機、手術用ロボからはやりのドローンまで、どのような枠組みをつくるべきか、というのが次の問題になるかと思います。

 

Facebook、「Messenger」に手数料無料の送金機能を追加

Facebook、「Messenger」に手数料無料の送金機能を追加という記事がでています。 BitCoinをめぐる法的な問題を研究したときに、米国においての各州法などで、電子的送金に関しての規定の問題があることを検討しました。

こちらの記事によると、デビットカードのアカウントを利用しているようです。

(追加します)

米国法で関連する法としては、連邦の電子送金法(Electronic Fund Transfer Act (EFTA))、クレジットカード説明責任・責任開示法2009、各州の資金サービスに関する法律、銀行秘密法などがあります。

連邦の電子送金法に関しては、これを具体化した連邦規則E(Regulation E)が適用になります。連邦規則E[1]は、ATMでの送金電話請求書による支払い、POS端末での資金移転、事前のアカウントでの認証による支払いなどにおける利用者の権利・責任についての基本的な枠組を定めており、電子送金という用語は、電子端末、電話機、コンピュータ、磁気テープなどによって金融機関に対して、クレジットもしくはデビットの指示によって開始する取引をいいます。

この規定によれば、金融機関は、利用者に対して初期の開示(定期的な請求内容の開示、利用の注意、解決方法の開示)、誤請求に対する解決方法の開示、無権限利用からの責任の限定の開示などを負います。この取引については、アクセス機器による場合もあるし、それによらない場合も可能です。この場合、アクセス機器による場合においては、無権限利用に対しては、責任が限定されますが、その一方で、アクセス機器によらない場合には、そのレベルでの責任限定のメリットはえられません。

また、ギフトカード、価値保存、ショッピングモールカード、オープンループ・プリベイドカード、インセンティブ・報奨・販促の仮想通貨などについては、クレジットカード説明責任・責任開示法2009(Credit Card Accountability, Responsibility Disclosure Act of 2009 (CARD Act))が適用される(同法401条)。同法は、手数料、有効期間に制限を課しており、また、開示が強制されている(同法201条以下)。

また、各州の資金サービスに関する法律については、統一資金サービス法(Uniform Money Services Act (UMSA)以下、UMSAという))が参考になります。資金サービスに関する法律は、資金送金に関する組織の健全性と安全性を確保し、資金を送金する消費者を保護しようというものです。資金サービス業(money services businesses (“MSBs”))という概念でもって、種々の事業を総括して、資金洗浄等の予防のために一定の対応を図る枠組みを提供するのが、UMSAの目的です。

資金サービス業は、送金業、決済方法販売、両替商などを含む広汎な概念である。これらは、金融機関ではないという特徴を有しており、消費者に対して、消費者金融サービス、旅行業などの広汎な分野においてワンストップサービスを提供しているといえます。これらの組織は、資金洗浄に対して脆弱なものということができ、その一方で、経営的な基盤は、他の業務によっている。このような組織に対しての規制の枠組みを提供しています。

金融犯罪執行ネットワーク(FinCEN、以下、FinCENという)は、その「銀行秘密法の改正規則-プリペイド・アクセスに関する定義およびその他の規則」[2](Financial Crimes Enforcement Network; Amendment to the Bank Secrecy Act Regulations – Definitions and Other Regulations Relating to Prepaid Access、(プリイド・アクセスルール))において、前払いがなされた資金ないしは、ファンド価値については、FinCEN に対して、MSBとして登録しなければならないと定めています。プリイド・アクセスというのは、前払いしていた資金に対して、将来、電子的機器等をもちいて利用もしくは移転させるべくアクセスすることになります。これは、銀行秘密法の規定(反資金洗浄のためのプログラムの実施)をプリイド・アクセスの提供者および販売者に拡張するものです。もっとも、これについては、利用場所が限定された場合の一日の上限2000ドル/制限なしの上限1000ドルの場合の例外等があります。

また、国際送金については、別途の規則(New International Remittance Rules)があります。これは、2013年1月から効力を有しているものであって、外国のアカウントに対する送金に対して適用されるものです($15未満は、例外)。これは、送金前の開示および、受領者を開示しなければならないとするものです。

[1] http://www.federalreserve.gov/bankinforeg/regecg.htmを参考にした。

[2] http://www.gpo.gov/fdsys/pkg/FR-2011-07-29/pdf/2011-19116.pdf

制定理由等については、http://www.fincen.gov/statutes_regs/frn/pdf/Prepaid%20Access%20NPRM.pdf

 

——

国境をまたぐ取引については、米国には、これを制限する規定(New International Remittance Rules)が存在します。今後、どのようにして国境をまたぐ少額送金を可能にするのかという論点がでてくるものと思われます。 なお、わが国では、LinPayがアカウント間での送金を資金決済法との関係をクリアすることで実現しています。これも細かくみていくといろいろと問題は考えうるかもしれませんし、また、特に国境をまたぐ取引との関係は、今後の課題ですね。

IoTの法律問題

IoTは、今年のテーマとしてバズるのは、間違いないでしょうね。

ただ、具体的には、個別の話(飛行機、自動車、ドローン、スマホ、医療ロボットとか)でないと、議論しにくいところもあります。

その一方で、一般的な理論展開という観点からみていくと、Thing自体の問題(安全性とかね)、Thingの自律性の問題(ロボットってそういうものだし)、Thingと外界との関係(データ保護や他市場の乱用)当たりにわけられるのかと思います。

Medical × Security Hackathon 2015での「医療ロボット」もそういった切り口で話してみました。いかがだったでしょうか。

プライバシの値段

「プライバシー保護は別料金で – AT&Tが低額な光ファイバーサービスを提供」という記事が出ています。

プライバシが、他の契約条件とも比較考慮されるトレードオフの対象であることは、いうまでもありません。IPAの報告書岡田先生との論文は、その点をテーマにしています。

むしろ、契約(これならば、インターネット接続サービス)に付随する条件ということができるので、従たる条件として、通常は議論されないのに、プライバシの選択として独立にされているだけで、プライバシの重要性を示していると見ることができます。

あとは、この料金の設定の妥当性(そして、これは、その市場における競争によって是正される)、あと、デフォルト値をどうするのか(センシティブに対しては、オプトインにするべき)ということについての議論がなされることになるでしょう。それで、調整が図られることになるかと思います。

Contextといったときに、市場の競争状態までが影響するということが上の例でも見えてくるかと思います。するとプライバシ侵害感を緩和するのに、競争を活発にするのが有効という理屈になってきます。プライバシというのが、きちんと定義されていない証拠かもしれません。