エンジニアも知っておきたい情報セキュリティの関連法制度

<Insert Picture Here>
エンジニアも知っておきたい情報セキュリティの
関連法制度
日本オラクル株式会社
製品戦略統括本部担当ディレクター
北野晴人 ,CISSP-ISSJP
この資料では時間の都合その他で政策的なお話（例・日本政府の情報セキュリティ
基本戦略など）はあえて省略してある部分があります。しかし情報セキュリティは法
制度や政府の政策に大きく影響される分野なので、折を見て勉強することをお勧め
します。わからないことがあれば随時質問して頂いて結構です。
なお本セッションにおける内容は私見であり日本オラクルの公式見解等ではありま
せん。
Copyright© 2009, Oracle. All rights reserved.
2
本日のアジェンダ
①今さら聞けない？個人情報保護法をちょっと復習
②情報は盗んでも窃盗ではない
③不正アクセスとは何か
④ログと証拠について考える
⑤著作権について知っておこう
Copyright© 2009, Oracle. All rights reserved.
3
<Insert Picture Here>
① 今さら聞けない？
個人情報保護法をちょっと復習
Copyright© 2009, Oracle. All rights reserved.
4
個人情報保護法とは
z個人情報の保護に関する法律および関連の
計５つの法律（平成15年5月30日法律第57号～61号
z企業・組織に対して個人情報の
安全な管理を義務づけた初めての
法律（第２０条～）
z個人情報取扱事業者
z個人情報とはなにか？
z個人情報データベース等とは？
z個人データとは？
出典：内閣官房「個人情報保護関連５法案の概要」
Copyright© 2009, Oracle. All rights reserved.
5
やらなければいけないこと
• 利用目的の明示・通知
• 本人に情報の利用目的を明示し許可を得ること
• 開示
• 保有している個人データを本人の求めに応じて開示すること
• 訂正等
• 保有している個人データの内容が事実でないときは訂正等を行う
• 利用停止等
• 利用目的、適正な取得、第三者への提供の制限等に違反している
ことが判明した場合利用停止等を行う
業界ごとのガイドラインは各監督省庁が決めている
参考：http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou.html
Copyright© 2009, Oracle. All rights reserved.
6
やってはいけないこと
• 情報漏洩
• 個人情報が不正に第三者に漏洩すること。（安全管理措置）
• 従業員の監督ができていない（従業者の監督）
• 委託先からの情報漏洩（委託先の監督）
• 不正取得
• 本人の合意を得ず不正な方法で個人情報を取得すること
• 不正利用
• 個人情報を不正な行為に利用すること。
• 目的外利用
• 情報取得時に本人が合意した以外の目的に利用すること
• 第三者への無断提供
• 本人の合意なく個人情報を第三者に提供すること
Copyright© 2009, Oracle. All rights reserved.
7
苦情対応と罰則について
• 「認定個人情報保護団体」
• 個人情報保護法第40条で規定され、国から認定を受けた団体
• 企業・業界団体などと共に苦情処理・対応にあたる
• 主務大臣の関与
• 民間の努力で解消できなかった場合業界を所管する省庁等の主
務大臣が収拾を図る。
• 「報告の徴収」（双方の主張を聞く）
• 「勧告」（企業に問題がある場合）
• 「命令」（事態収拾が急務である場合強制解決を図る）
• 罰則
• 主務大臣の命令に企業が従わなかった場合
• 6ヶ月以下の懲役か30万円以下の罰金
Copyright© 2009, Oracle. All rights reserved.
8
＜参考＞
個人情報保護とEU指令
• EU指令（Directive 95/46/EC）
• http://ec.europa.eu/justice_home/fsj/privacy/law/index_en.htm
（英語サイト）
• http://www.isc.meiji.ac.jp/~sumwel_h/doc/intnl/Direct-1995EU.htm （ECOMプライバシー問題検討ＷＧ訳）
• 個人情報の移送について
• 第25条で個人情報の安全な保管や運用ができると認められてい
ない第3国にはEUから個人情報を移送してはならないと規定して
います。
• 現在国単位で移送が認められているのは米国、カナダ、スイス、
アルゼンチンの4カ国だけです。（ご参考：
http://ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_en.htm#countries ）
• 移送が認められるかどうかは、当該国の個人情報保護レベルを
検討し、EU委員会が決めることになっています。
Copyright© 2009, Oracle. All rights reserved.
9
＜参考＞
EU指令と日本の個人情報保護
• 日本はEUから認められていないので現状の制度下では個人情報の
移送ができません。
• 検討が可能な対応方法
• Directive 95/46/ECでは26条で例外事項が決められており、一定の条件
を満たす場合は25条の適用を免除できることになっています。
• 企業単位でのID管理システムに適用したい場合26条第一項にある
「本人が明確に同意した場合」という条項を利用することが考えられ
ます。
• EU域内で対象となる従業員の人数や国民性などを勘案して、現在の
従業員の方からは契約書などで個別にOKをもらい、かつ今後入社す
る人については雇用契約時にこの条項を盛り込んでおいて明示的に
合意をもらうような仕組みを取り入れることが可能であれば対応でき
る可能性があります。
• 技術的にEU域内については物理的にデータの移送を行わず、別の技術
的方法で一元的な管理を実現する設計手法を検討する必要があるかも
しれません。
Copyright© 2009, Oracle. All rights reserved.
10
個人情報保護規定と暗号
• 米国：カリフォルニア州法 SB1386
• データの盗難によって影響を受ける個人に通知するために適切
な努力を払うことを組織に義務付けています。
• 侵害された可能性のある個人情報が暗号化してある場合は開示
を免除されています。
• 日本：個人情報保護法ガイドライン（経産省）
• http://www.meti.go.jp/policy/it_policy/privacy/08022
9kaisei-guideline.pdf （経産省・平成20年改訂）
• 高度な暗号化で秘匿されていた場合等は本人への通知を省略
することが認められています。
Copyright© 2009, Oracle. All rights reserved.
11
<Insert Picture Here>
② 情報は盗んでも窃盗ではない
Copyright© 2009, Oracle. All rights reserved.
12
情報漏洩＝犯罪か？
• 窃盗罪の対象は「財物（＝有体物）」である。
• 形のない「情報」は窃盗罪の構成要件※を満たさない（「財物」と
みなされない）
• 唯一「電気」だけが例外的に明文化されて認められている
刑法の窃盗に関する条文：
第二百三十五条他人の財物を窃取した者は、窃盗の罪とし、十年以
下の懲役又は五十万円以下の罰金に処する。
第二百四十五条この章の罪については、電気は、財物とみなす。
※構成要件：平易に言うと「この条件が整ってはじめて罪に問う
ことができる」という要件。
１．実行行為
２．結果
このように条文で明示的に「みなす」
と書いてあるもの以外は「みなされ
ない」というのが法律的な解釈なの
です。
３．因果関係
４．故意または過失
が必要です。
Copyright© 2009, Oracle. All rights reserved.
13
だったらどうする？ ①
他の法律を適用
• 窃盗罪の対象を「情報が格納された財物」とする。
• 盗んだ情報を会社の所有物であるCD-ROMにコピーして持ち出し
たら「会社の資産であるCDという“財物”を盗んだ」という窃盗罪
の構成要件が満たされる。（でも多分刑罰は軽い）
• 窃盗以外の法律で検挙する。
• 威力業務妨害罪・偽計業務妨害罪：情報漏洩によって、その会社
の正常な企業活動、営業活動などを妨げた、ということで適用。
• 某携帯電話会社の例：
複数の法律が適用
http://internet.watch.impress.co.jp/cda/news/2005/04/21/7381.html
刑法の業務妨害に関する条文：
可能な場合、普通
警察は刑罰が重い
ほうの罪で検挙しよ
うとします。
偽計業務妨害：
（信用毀損及び業務妨害）第二百三十三条虚偽の風説を流布し、又は偽計を用いて、人の
信用を毀損し、又はその業務を妨害した者は、三年以下の懲役又は五十万円以下の罰金に処
する。
威力業務妨害：
（威力業務妨害）第二百三十四条威力を用いて人の業務を妨害した者も、前条の例による
Copyright© 2009, Oracle. All rights reserved.
14
だったらどうする？ ②
不正競争防止法
• 2004年から罰則ができたため個人情報漏洩事件では
窃盗の代わりに適用できるのでは、と期待された（？）が
実は適用事例がみあたらない。
• しかし今後条件によっては情報漏洩事件でも適用が可能
かも知れない。
• 頻繁に改正が行われている。
• 厳罰化の方向
• 懲役5年以下→10年以下
• 罰金500万円以下→1000万円以下
• 規制対象範囲を拡大
• 国外での開示等も対象に
• 「不正の競争の目的」→「不正の利益を得る目的」または「保有
者に損害を与える目的
• 「使用・開示」が処罰の対象→「媒体を横領、無断で複製」も対
象になるよう拡大された
Copyright© 2009, Oracle. All rights reserved.
15
【参考】平成21年不正競争防止法の改正案の概要
（平成21年4月21日可決・成立）
出所：経済産業省「不正競争防止法の一部を改正する法律案」平成21年（平成21年4月21日可決成立）
Copyright© 2009, Oracle. All rights reserved.
16
不正競争防止法における営業秘密
一連の事件をうけて不正競争防止法が改正される予定（平成21年2月・経済産業省
「不正競争防止法の一部を改正する法律案の概要」）
（１）営業秘密侵害罪における現行の目的要件である「不正の競争の目的」を改め、
「不正の利益を得る目的」又は「保有者に損害を与える目的」とする。
（２）原則として「使用・開示」行為を処罰の対象としている営業秘密侵害罪の行為態様
を改め、営業秘密の管理に係る任務を負う者がその任務に背いて営業秘密を記録した
媒体等を横領する行為、無断で複製する行為等について、処罰の対象とする。
ポイント：営業秘密の３要件！
①「秘密として管理されている」こと（秘密管理性）
②「有用な」情報であること（有用性）
③「公然と知られていない」こと（非公知性）
簡単に言うと、「盗んだ
だけでも罪になる」という
ふうに改正される
の3点をすべてみなしておかなければ営業秘密とはされない。
法改正は進んでいるが、「きちんと秘密として守られている」情報でないと保護されない
17
Copyright© 2009, Oracle. All rights reserved.
17
<Insert Picture Here>
③ 不正アクセスとは何か
Copyright© 2009, Oracle. All rights reserved.
18
不正アクセス禁止法
• 不正アクセス行為の禁止等に関する法律
• http://www.ipa.go.jp/security/ciadr/law199908.html
• 1999年にできた法律・2001年2月13日施行
• わりと簡潔な説明：
http://www.atmarkit.co.jp/aig/02security/unlawfulaccess.html
• 何か問題でも？
•
•
•
•
•
•
「電気通信回線を経由して」と書いてある
もともとインターネット上のWeb改ざん、クラッキングなどを想定
コンソールの前に座って個人情報をCDにコピーしたら？
「識別符号」って何だ？＝パスワードなどの認証システムのこと
認証で保護されていない設定ミスなどは対象外
適用が多少微妙な場合が出てきている
• 「当該特定電子計算機を作動させその制限されている特定利用をし
得る状態にさせる行為」の解釈について
Copyright© 2009, Oracle. All rights reserved.
19
その他にどんなものがあるか
• 電子計算機使用詐欺罪（刑法第246条の2）
• 説明：http://www.asahi-net.or.jp/~zi3h-kwrz/kedenji-3.html
• もともとは金融機関のオンラインにおける詐欺などがきっかけ
• 電子計算機損壊等業務妨害罪（刑法第234条の2）
• 説明：http://itpro.nikkeibp.co.jp/word/page/10006054/
• DoS攻撃などには有効
Copyright© 2009, Oracle. All rights reserved.
20
<Insert Picture Here>
④ ログと証拠について考える
Copyright© 2009, Oracle. All rights reserved.
21
「証拠」とは何か？ ①
• 「電子手がかり」と「電子証拠」は別のものである
• 「何がおきたのか」「誰に責任があるのか」を追跡し、
にするための材料になる情報が「手がかり」である
•
•
•
•
明らか
いつ、誰が、どの情報に、どんな操作をしたのか？
どこから、どの端末から操作したのか？
どんなアプリケーションを使って操作したのか？
「そのとき」の情報はどんな状態だったのか？（更新前・後など）
• ログは「手がかり」と「証拠」の両方として利用できるが・・・
• 「法的に証拠としての能力（証拠能力）がある」ことと「証明するた
めに十分な情報である」（高い証明力がある）ことは別のことであ
る
Copyright© 2009, Oracle. All rights reserved.
22
「証拠」とは何か？ ②
• 刑事訴訟法における「証拠」とは、法が証拠としての許容
性につき制限を設け（319条１項等）、証拠調の手続きに
ついても規制をしていることから（292条）証拠能力があ
り適法な証拠調を経た証拠をいう
• 証拠調
①冒頭陳述
⑥証拠調に対する異議の申立
②証拠調の請求
⑦証拠の証明力を争う機会
③証拠決定
⑧被告人質問
④証拠調の範囲・順序・方法の決定
⑤証拠調の実施
Copyright© 2009, Oracle. All rights reserved.
23
証拠能力とは？
• 「証拠能力」とは？
• 証拠の許容性、すなわち厳格な証明の資料として用いることが
できる法律上の資格をいう
• したがって証拠能力のない証拠は事実の証明に使えないだけで
なく、法廷で取り調べてはならない。その場合裁判所は証拠調
の請求を却下しなければならない
• 証拠能力の二つの要件
• ①自然的関連性
• 必要最低限度の証明力がある
• ②法律的関連性
• 類型的にみて事実認定を誤らせるおそれがないことをいう
• 法律的関連性がない場合
• ①伝聞証拠 ②類似事実による立証 ③証拠禁止（任意性の
ない自白や違法収集証拠）
Copyright© 2009, Oracle. All rights reserved.
24
電子的な証拠の役割を考える ①
犯罪事実の証明には「厳格な証明」が必要である
y直接証拠
y間接証拠
y実質証拠である場合（要証事実の存否の証
明に向けられる）
y補助証拠（実質証拠の証明力の強弱に影響
を及ぼす証拠）
y弾劾証拠
y増強証拠（実質証拠の証明力を高める）
y回復証拠
電子的な証拠は供述証拠である目撃者の証言、被告人の自白など電子的でない
直接証拠を実質証拠として扱う場合、それを補助・増強する役割を果たすことが多い
と考えられるが、厳密なログで要証事実の存否を証明できることもあり得る
Copyright© 2009, Oracle. All rights reserved.
25
電子的な証拠の役割を考える ②
• 電子的な証拠だけで裁判が行われるわけではない。
• あくまで多数ある証拠の一部である。
• 他の証拠と合わせて複合的に「裁判官に確かであるという心証
を与える」ことが目的。←自由心証主義
• どのように他の証拠と相互補完関係を持つことができるかが重
要。
• 保全によって「証拠の連鎖」（Chain of Custody）を保持
する必要がある。
• 警察が強制捜査する場合などは指示通りやれば大丈夫
• 企業内のポリシーで「告訴・刑事訴訟も視野に入れて証拠能力
のあるログを保持したい」と考えるなら、それなりに高度なログの
保全・運用とインシデント・レスポンスの手順を構築しておくほう
が良い。
• 認証強度が低いを証明力を著しく損なうかも知れない。
Copyright© 2009, Oracle. All rights reserved.
26
<Insert Picture Here>
④ 著作権について知っておこう
Copyright© 2009, Oracle. All rights reserved.
27
著作権について知ろう
• 著作権とは何か？
• 著作権法で保護された個人の権利
• 割とわかりやすい説明：
http://www.cric.or.jp/qa/hajime/hajime.html
• 財産権（一般的によくいう著作権）
• 著作物を使ってお金を儲ける権利など
• 著作者人格権
• 勝手に改変されない権利（同一性保持権）など
• 有名SNSで騒ぎになったもののひとつ
肖像権についても
知っておいたほうが
• 著作隣接権
便利。
• 適用が除外される場合が決めれられている
• 教育目的の場合
有名学習塾のHP上で「センタ
• 報道目的の場合
など
ー試験の問題と解答」はどの
ように掲載されていますか？
Copyright© 2009, Oracle. All rights reserved.
28
CISSPに「法、規則、コンプライアンス、捜査」というドメインがあるように情報セキュ
リティと法律は密接な関係があります。技術系の方が多いセキュリティ分野（業界）
ではとっつきにくく難解なイメージがありますが、特に日本でお仕事をされる方々は
日本の法制度についても是非見識を深めて頂ければと考えています。
ご静聴ありがとうございました。
Copyright© 2009, Oracle. All rights reserved.
29

Download Report