2017年11月16日 (木曜日)

Accentureも自社の情報セキュリティの確保に失敗?

下記の記事が出ている。

 Accenture latest firm caught with lax cybersecurity
 Consultancy: 7 November, 2017
 https://www.consultancy.uk/news/14433/accenture-latest-firm-caught-with-lax-cybersecurity

| | コメント (0)

データ駆動社会の旅行産業における側面

下記の記事が出ている。

 Today, big data is permeating every sector, and nowhere is its ramifications being felt more perceptibly than the travel industry
 information age: November 15, 2017
 http://www.information-age.com/big-data-revolutionising-way-people-travel-123469563/

| | コメント (0)

2017年11月15日 (水曜日)

Deloitteに対するサイバー攻撃による実際の被害はどれくらいなのか?

下記の記事が出ている。

 Are the aftereffects of a cyberattack as damaging as the initial impact?
 Computing UK: 14 November, 2017
 https://www.computing.co.uk/ctg/analysis/3020643/are-the-aftereffects-of-a-cyberattack-as-damaging-as-the-initial-impact

| | コメント (0)

米国:ミズーリ州政府が,Googleにおける顧客個人データの取扱いの適正性に疑いがあるとして調査開始

下記の記事が出ている。

 Missouri launches investigation into Google’s handling of consumer data
 Washington Post: November 13, 2017
 https://www.washingtonpost.com/news/the-switch/wp/2017/11/13/missouri-launches-investigation-into-googles-handling-of-consumer-data/

 Missouri Attorney General Launches Probe Into Google’s Business Practices
 Wall Street Journal: November 13, 2017
 https://www.wsj.com/articles/missouri-attorney-general-launches-probe-into-googles-business-practices-1510592964

| | コメント (0)

2017年11月13日 (月曜日)

丸橋透「カナダ=欧州連合PNR協定案関連資料集」

名古屋大学で開催された情報ネットワーク法学会の個別報告において,丸橋先生によるPNR関連の研究報告があり,「カナダ=欧州連合PNR協定案関連資料集」という冊子が配布された。

これは,法と情報雑誌に掲載された翻訳を集めたもので,誤記訂正等が施された版だ。

PNR関連の邦文の研究資料の中で,現時点において,この丸橋先生の資料よりも優れたものは存在しないので,非常に高い価値があると思う。

その価値を直観的に認識できるか否かは,その認識者の知能の程度またはまじめに法学研究に従事しているか否かを計測するための明確な尺度になり得ると思った。

研究報告の内容は,素材としてEUのデータ保持指令もとりあげ,その対比の中でデータ保護(個人情報保護)のための最もコアな部分についての検討結果が示された。比較法研究の成果としても比類のないもので,秀逸だと思う。

ただ,憲法学者や行政法学者等を含め,日本の法律家の中で著しく不勉強な者には,丸橋先生の研究がいかに優れており日本国にとっても重要なものであるかを理解することができない。その価値がわからないのであれば,あるいは,その価値を理解した上で悔しいと思うのであれば,無我夢中で勉強すれば良いだけだと思うのだが,そのような法律家の中にはそもそも勉強する気力または能力が欠けていることもある。もし勉強する能力がないのであれば,潔く大学を去るべきだと思う。

| | コメント (0)

シンガポール:国営のMyInfoデータベースに登録された個人番号,氏名,パスポート番号等の個人プロファイルデータを本人確認の目的で企業に提供

下記の記事が出ている。

 Singapore opens up access to citizen data to facilitate business transactions
 ZDNet: November 11, 2007
 http://www.zdnet.com/article/singapore-opens-up-access-to-citizen-data-to-facilitate-business-transactions/

これは,電子政府サービスに関する法令に基づくものとのことだ。

 Singapore adds 2FA security to e-government services
 ZDNet: July 2, 2015
 http://www.zdnet.com/article/singapore-adds-2fa-security-to-e-government-services/

法令に基づく提供でない場合,当然のことながら,本人から同意を得なければ当該個人データの利用が適法行為とならず,そのコストが国際的な競争力を削ぐという考えに基づくものであろう。ただし,根拠法令それ自体が人権侵害となるか否かは各国の憲法によることになる。とはいえ,大概の一般的な裁判官は,情報セキュリティの素養に乏しいので,「国が運営するデータベースだから安全だろう」と考えるくらいの能力しかないという点は,多くの国々に共通した問題点であること,つまり,違憲と判断される可能性は最初から皆無に等しいこと,そして,後に情報セキュリティ上の重大事故が発生しても当該裁判官が自己の非を認めて判例変更等をする余地もほぼ皆無であることにも留意すべきだろう。

また,問題点は,超大規模ななりすましが(少なくとも理論的には)成立し得るという点にもある。

MyInfoのデータは暗号化されているかもしれないが,例えば,MyInfoから大量のデータを取得し,本人確認のために利用している大企業のサイトがハックされた場合,少なくとも実際に照合して利用した後の平文状態のデータとの自動的な突き合せの蓄積により,平文状態の大量のプロファイルデータの山を構築することができる。

つまり,「企業活動に実際に利用することができる」という点が最大の脆弱性要素となっている。

ハックされる場合だけではなく,優良企業のように見える企業が本当は当該国の仮想敵国のエージェントであるような場合も想定しなければならない。

現在の電子政府や電子ビジネスの思想は,「平時」のみを想定しているという致命的な欠陥を抱えている。間抜けであると言える。

正しくは,「戦時と平時が常に共存する状況」を想定しなければならない。

このように意見を述べても目先の利益に走るのが経済界というものなので,事態に変化はないだろう。

超大規模なハッキングやなりすましによって本人確認が不可能になり,世界的に電子的な企業活動が崩壊し,電子的な国家運営が不可能となるまでは,その状況は変わらない。問題は,そのような破綻的な状況が(少なくとも理論的には)いつでも発生し得るという点に尽きる。

世界の主要各国政府及び産業界をまるごと全部を人質にとるランサム攻撃は(少なくとも理論的には)あり得る。そこまでいかなくても,暗号処理の弱い特定の国を狙った攻撃は(現実に)十分にあり得る。

トップレベルの認証事業者がハックされた事例は現実にある。

国家による本人確認サービスの提供もモデルとしては同じなので,同じことが発生し得ると考えるかどうかが意見の分かれ目になるだろう。

国営のサーバを運営しているのも同じ普通の人間だ。国が認証業務を特定の企業に事務委託している場合,その国営サーバなるものは民間の認証サーバと何も変わらない。

一般論として,攻撃は,常に,最も弱いところを狙う。そこが突破されれば,そこと連携している別のサイトを,順次,連鎖的に攻撃することが可能となる。

| | コメント (0)

2017年11月12日 (日曜日)

高木浩光「宇賀克也「個人情報保護法の逐条解説」第5版を読む・中編(保護法改正はどうなった その9)」

名古屋で開催中の情報ネットワーク法学会の会場で高木浩光氏と会い,話題となったので,早速読んでみた。

 高木浩光
 宇賀克也「個人情報保護法の逐条解説」第5版を読む・中編(保護法改正はどうなった その9)
 https://takagi-hiromitsu.jp/diary/20171022.html

個人情報保護法と関連する仕事または研究をしている人は,必読だと思う。

(余談)

あくまでも一般論だが,単に資料を並べ替えただけで,特に新たな学術的思想が加えられたわけではないのものは,資料の編集物に過ぎないので,全体として,論説ではなく資料になる。

その編集物の編集方法が特に創作性をもつ場合には,場合によっては,データベースの著作物としての性質をもつことがあり得る。

しかし,そのいずれの場合でも,学術上の論説の範疇にあるものとは到底認め難い。

ちなみに,これもあくまでも一般論であるが,資料に過ぎないものについて,新たな知見を含むものとして有償で頒布した場合,景品表示法違反になるか否かについては,これまで論じられたことがないのではないかと思う。

(余談2)

資料の出典が明示されていない場合,様々な問題が生ずる。

当該資料集のような書籍を引用しても,公正な引用が行われているとは認められないからだ。

正しくは,当該資料集のような書籍が依拠した原資料を調査・確定し,原資料を原資料として引用しなければならない。

また,当該資料集のような書籍は,学説または学術上の創作性のある思想を示すものではないので,「通説」等として引用することが許されない。

| | コメント (0)

2017年11月 8日 (水曜日)

電子投票システムの安全性に関する基本的な考え方は時代遅れ?

下記の記事が出ている。

 Hacking the vote: Threats keep changing, but election IT sadly stays the same
 ars technica: November 8, 2017
 https://arstechnica.com/information-technology/2017/11/hacking-the-vote-threats-keep-changing-but-election-it-sadly-stays-the-same/

| | コメント (0)

2017年11月 3日 (金曜日)

オーストラリア:サイバーセキュリティ法案の動き

下記の記事が出ている。

 Australia likely to get its own GDPR
 ZDNet: November 3, 2017
 http://www.zdnet.com/article/australia-likely-to-get-its-own-gdpr/

(余談)

EUのGDPRでも明確に定めていることなのだが,個人データの保護法益であるプライバシーの利益は,法令に基づく規制や制裁によっても保護されるが,それと同時に,情報セキュリティに関連する技術的手段によっても保護されなければならない。

つまり,法規制と情報セキュリティとは常に一体として存在している。

仄聞するところによれば,「プライバシー法は情報セキュリティとは関係がない」と豪語する研究者がいるとかいないとか。電子情報と全く無関係な古典的な対象のみを研究する者である場合を除き,法学研究の世界を去るべき者だと思う。少なくとも,現代の情報社会におけるプライバシー法を研究する能力の重要部分に決定的な欠如がある。

以上を踏まえて考えてみると,オーストラリアにおける立法の動きは,ごく自然のことであると思われる。

| | コメント (0)

2017年11月 2日 (木曜日)

銀行に対するサイバー攻撃が更に巧妙化?

下記の記事が出ている。

 Hacking group targets banks with stealthy trojan malware campaign
 ZDNet: November 1, 2017
 http://www.zdnet.com/article/hacking-group-targets-banks-with-stealthy-trojan-malware-campaign/

| | コメント (0)

より以前の記事一覧