プライバシーはなぜ難しいか

IPAの報告書を書いたときに「プライバシーはなぜ難しいか」という論文を書きだしたことがあります。

基本的に認知が不可能であること、プライバシ情報は、主たる財の取引についての従たるものであること、取引をめぐる公正の概念が明確でないこと、などを書いたのですが、議論が煮詰まっていないとしてダメ出しを受けたのでお蔵入りしてしまいました。

そしたら、「プライバシーの自主管理と同意パラドックス
Privacy Self-Management and The Consent Paradox
Daniel J. Solove という議論が出ていることに気がつきました。

 

「当該モデルは余りに多くの障害に直面している。(1)人々はプライバシーポリシーを読まない。(2)たとえプライバシーポリシーを読んだとしても、彼らはそれを理解しない。(3)たとえ、それを読み、理解したとしても、十分情報を与えられた選択を行うに十分なバックグラウンドの知識をしばしば欠いている。(4)もし、人々がそれを読み、理解し、十分情報を与えられた選択をしえたとしても、彼らの選好を反映する選択をしばしば提供されえない。」
というのは、本当にそのとおりですね。
 

実証的考察という観点から、大変いい論文であると評価しています。

今書いたら、二番煎じといわれかねないですが、やっぱり、きちんと論じておくべきですね。

プライバシー パラドックス

当社は、従前から、プライバシの実証的な分析に注力してきています。

IPA 「eID に対するセキュリティとプライバシに関するリスク認知と受容の調査報告」

岡田仁志・高橋郁夫「コンジョイント方式によるプライバシー分析 -携帯電話電子マネーの位置情報の認知の実証的検証を例に-」

このような見地から、実証的なプライバシ論を提示するサマリがあります。

EMCのプライバシーインデックス エグゼクティブサマリは、

1 すべてが欲しいパラドックス

2 何もしないパラドックス

3 ソーシャル環境というパラドックス

の三つがあると分析しています。

この調査の発表は、2014年7月だそうです

学術的には、質問紙法での調査であり、トレードオフの実際を出すものとはいえないと考えていますが、問題点をきちんと分析している点は、評価すべきサマリかと思います。

ブログで触れられている時もありますね。「プライバシー・パラドックスとSNS利用」というブログで、アカデミックな文脈が、簡単に紹介されています。

一方、異なった意味で、「プライバシのパラドックス」という用語が使われることがあります。
「プライバシーのパラドックス: 尊重するほど多くの情報が手に入る」では、主体のプライバシを守れば、信頼が生まれ、たくさん利用してくれますよという意味で、このパラドックスという言葉を利用しています。EUのデータ保護論は、このようなスタンスを明確にすることも多いです。

ただし、実証的な分析からは、このようなデータは、得られない、具体的には、個人のプライバシが重要だと思う割合と、コンジョイント方式によって、得られる個人別のプライバシ要素に対する重要度は、相関関係にない、ということがいえます。学術的には、反証可能な論ということができるかもしれません。

 

証券監視委「デジタル鑑識」へ新設部署

NHKのニュースで、「デジタル鑑識」という用語がピンとこないというコメントを聞きます。これは、デジタル・フォレンジックスの翻訳だと思いましょう。私なりの定義は、概念のページにおいてあります。

ちょうど、フォレンジックスまわりは、日本では、2002年後半くらいから、関係者で議論されてきました。アメリカでは、2000年くらいに、Computer forensicsの本がたくさん出版されるということがありました。

私は、そのころから、お手伝いしていて、社会安全研究財団さんをお手伝いして、「アメリカにおけるハイテク犯罪に対する捜査手段の法的側面」報告書をまとめたのが、2003年のことです。公開は、2004年3月です。

その成果の報告をかねて2004年4月5日にJSMS分科会で、講演したのですが、そのときの資料では、
•警察庁-「 (略)2004年度までに、司法手続きのための電子的記録の解析技術に関する系統的な調査研究等を行い、『コンピュータ法科学』分野の確立を目指す。(警察庁-「e-Japan重点計画-2002」の「5 高度情報通信ネットワークの安全性及び信頼性の確保」の「具体的施策」)
が、このようなプロジェクトを考えていたことを紹介しています。

あと、佐々木良一先生が、 (http://www.cyberpolice.go.jp/column/explanation03.html)で解説していました(これは、2003年の末くらいでしょうか)。(今は、リンクぎれです)

2004年の年末飲み会(コミュニティ)やろうね、といって、イベントを始めましょうということになりました。その年は、情報漏えいの当たり年だったので、フォレンジックスへの注目を集めるために、新聞記事あたりで、「デジタル鑑識」として、取り上げてもらうように動いたような気がします。

 

 

Not act of war

戦争の状態には、いたっていない、というオバマ大統領のコメントが紹介されています。 比例的な対抗措置という用語であったり、戦争状態ではない、というコメントといい、大統領の用語というのは、きちんとした法的なもとに読まれるべきものであることを痛感します。

ちなみのいつ戦争レベル(武力攻撃)になるかについては、このページを参照ください。

北朝鮮で大規模なネット障害か

北朝鮮で大規模なネット障害か  という報道がなされています。以前のポストで、対抗措置に触れましたが、真実のところは、法的には、対抗措置としてインテリジェンス(准軍事的手法)が選択されたと考えることも可能かと思われます。 国際法的には、適法ですが、非公然なうちになされるので、対抗措置かどうかさえもわからない、という形になるものと考えられます。

オバマ大統領 対抗措置を明言

Obama Says Sony ‘Made a Mistake’ Canceling Film との記事がでています。法的な観点からは、このなかのThey caused a lot of damage and we will respond. We will respond proportionately and we will respond in a place and time and manner we choose,” the president said.というコメントに注目しています。

レインボーウォーリア号事件依頼の非公然行為が公然になった事件になりました。私としては、対抗措置として、准軍事的行為まで可能性があると分析しています。(北の通信インフラが特定できれば、特殊工作までありかと)

対抗措置とは「被害を被っている国家が違法な行為の中止を求め、あるいは救済を確保するために、武力行使にいたらない範囲で相手国に対してとりうる措置」とされています。具体的には、「外交、インテリジェンス、軍事、政策、法、経済」制裁がありえます。「proportionately」ということで、比例原則のかきりでなくてはなりませんが、被害が大きいといっているので、それにつりあう工作がなされると考えています。

記事には、対抗措置の分析のもあります。「Try to run the North Korean government off of the internet.」によると、
most North Korean websites are hosted on servers in Japan and Thailand; the only internet service provider inside North Korea is a Thai joint venture ということなので、タイ政府とご相談するというのも合理的な選択と思われます。

サイバー攻撃は「北朝鮮関与」と米当局断定

サイバー攻撃は「北朝鮮関与」と米当局断定 という記事がでています。これは、国家責任の発生する行為とし認定されたものということになります。

これを専門家の見地から見るとき、インテリジェンス行為としての准軍事的行為という位置づけになりうるものとかんがえます。国家によるテロ関与としてとらえると「国際テロが、テロを支援した国家の実質的な指示、指揮あるいは命令に基づいて行われた場合、当該テロに関する国際法上の責任は、テロを支援した国家が負うことになる。」ということになります。

先例としては、レインボーウォーリア号事件になると思われます(1985年)。
フランスの諜報機関(DGSE)グリーン・ピース所属のレインボー・ウオーリア号を爆発・沈没させた事件ですが、フランスの関与の証拠が残っていて、否定できなかった事案です。結局、損害賠償等をしなければならなくなったわけです。北にたいして、どのような対抗措置をとりうるのか、米国の対応が法的に興味深いところです。

法的には、このような位置づけになるものと考えられます。このような分析をするところは、ないかと思いますが、理論的には、このような分析がなされてるはずです。

映画会社とアクティブ防衛

ソニー・ピクチャーズが盗まれたデータの流出サイトをDDoSで反撃(追記あり)という記事がでています。ちょうど、今度の水曜日に、Securitydaysでアクティブ・サイバー防衛まで話をしようかと思っていたので、参考になりました。
アクティブ・サイバー防衛というのは、米国国防総省の「脅威および脆弱性についての発見、探知、分析、対応のための同調された、リアルタイムの作戦」という考え方およびそれにともなう活動をサイバー防衛に適用しようというものです。概念としては、(1)リアルタイム(損害が発生する以前)における探知および対応(2)積極的な対抗措置(被害ネットワーク以外に対する積極的妨害・加害行為)の二つを含みます。

わが国では、(1)で通信の秘密との関係が問題になります。また、(2)については、世界的に、法的に許容されるのか、ということが問題になります。流出しているサイトに対する業務妨害(サボタージュ)の構成要件には、該当するような気がします。ただし、そのサイトを国外から攻撃するのが構成要件該当性を有するのか、違法性阻却事由を有するのではないか、という論点をクリアする必要があります。

非公然活動みたいなもので、ばれないようにやる、ということはありうるのでしょうが、法律家としては、コメントできない話になりますね。

ロボットとコンピュータセキュリティ

イーロン・マスクは5年以内にロボットが人間を殺し始める危険性があると考えているhttp://www.lifehacker.jp/2014/11/141127elon_musk.html

という記事ですが、コンピュータセキュリティも同じ話になっているかもしれません。

アクティブサイバー防御の論点では、「ホワイトワーム」が論じられています。要は、マルウエアを見つけて、攻撃の被害が出る前に、その攻撃元をたたいてしまおうという話です。この攻撃元が、「武力行使」レベルを準備していると分析されると、その抑止のために、武力で応じることができることになります。その判断にミスがあった場合には、どうなるのでしょうか。83年の映画「ウォーゲーム」でも問題になりました。

法的には、正当防衛・緊急避難の要件を満たすホワイトワームの行使(厳密に論じるとたくさんの論点があります)が必要なのでしょうが、自動的にその要件を満たすように設計できるのでしょうか。
そんなことも考えさせられる記事です。

RSAが4月に!

RSA conference2015は、4月になりました。いままで、調査とかをかねて、2月にいって、ABAの弁護士さんたちと会うのが楽しみだったのですが、調査のタイミングでというのは、難しいそうですね。

むしろ、研究資金的なものをゲットすると、訪問するのには、いいのかもしれません。