2021年10月18日 (月曜日)

EU: 2030 Digital Compass

EUの今後約十年間のデジタル政策の指針を示す「2030 Digital Compass」が公表されている。

 COM/2021/118 final
 https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A52021DC0118

| | コメント (0)

2021年10月15日 (金曜日)

オプトアウトできない約款

個人情報保護法は,あまりできのよくない法律とはいえ,個人情報の本人に対して幾つかの権利を与えている。

第三者に対する提供停止を含め,利用停止の請求ができることもそのような権利の1つだ。

以前は権利ではなかったが,何回かの一部改正を経て,現在では権利となった。

さて,世間には,第三者提供に同意しないと利用できないというような約款をもつサービスがいくらでもある。

(法律上の義務として個人情報または個人データを提供しなければならない場合は,そもそも適用除外なので問題とならないのだが,それ以外の場合において第三者提供の同意を義務づけることは)それ自体明らかに違法と言える。なぜならば,法定の権利の行使を事前に禁止しているのと同じだからだ。

その点に一応目をつぶるとしても,後になって(アカウントの削除を含め)自動的な利用停止を求めようとしても全く何もできないような仕様になっているサイトが山ほどある。

明らかに個人情報保護法違反の仕様だと言える。

関係官庁は,しっかり世間を見渡し,一所懸命働くべきだ。

単なる凡人の1人であり,かつ,高齢者である。この私でさえ,毎月大量の仕事をこなしている。凡人ではない秀才であれば,当然のことながら,私の何倍もの仕事をこなせるはずだと思う。

ちなみに,天才の場合は,普通の評価基準では評価できないので,仕事量が多いか少ないかは関係がない。一生に1つしか作成しなくても「明らかに天才の作品である」として後世の人々によって大事にされるようなとんでもなく超越的な作品を生み出せる者は,やはり天才の一員なのだ。

***

ダメサイトを見分ける方法は幾つかある。

専門家ではない素人でも見分けることのできる方法の1つは,個人情報保護方針,セキュリティ基本方針,財務状況,役員構成等の基本情報が完全に明示されているサイトかどうかだ。

無論,虚偽の情報であることもあるだろう。しかし,多くの場合はまともな会社だし,情報が開示されていれば検証可能なので,透明性が高い企業は比較的まともだと言える。

そして,明示された個人情報保護方針とセキュリティ基本方針を読めば,どのような考えの経営者なのかを理解することもできる。

それによって,オプトアウトではなく,事前に完全に拒否することが可能となるのだ。

逆にそれらの情報を(容易にみつけられるような状態で)開示していない企業は,何かうしろめたいところのある企業,または,法令順守の能力のない企業であるかもしれない。

 

| | コメント (0)

2021年10月 8日 (金曜日)

コンビニのセルフレジにおける年齢確認

下記の記事が出ている。

 ローソン 酒やたばこセルフレジ販売へ 人手不足で作業省力化
 NHK News:2021年10月7日
 https://www3.nhk.or.jp/news/html/20211007/k10013296441000.html

ニュース報道なので,ローソンが実際にはどのようにして法令遵守しようとしているのかの詳細はわからない。もし法令遵守を考慮していない疑いがあるときは,例えば,個人情報保護委員会は,直ちに報告徴収の権限を行使すべきだ。

以下は,ローソンとは関係のない,あくまででも一般論。

人間により年齢確認をする場合でも,免許証等の提示により店員が視認で確認することは普通だ。しかし,セルフレジとは根本的に異なる。

人間による視認の場合,(人間の能力は普通言われているよりもはるかに高いので)かなりの精度で分別できる。しかも,視認の場合,正確なデータがデジタルで残されることはないという保証がある。あるとしても店員の記憶だけだ。

これに対し,セルフレジの場合,当該免許証等が真正なものであるかどうかを自動判別する仕組みが必要となるので,当該コンビニの支配権の外にある認証機関や関連官庁のデータベース中のデータとの照合が必要となる。それが適法に行われるための統一的な法令は,現行法の中には存在しない。それゆえ,常に違法行為となるリスクが存在する。日本国の場合,異なる組織間で整合性のとれたデータ照合を安全に実行するためのデータ,データセット及びメタデータの統一仕様が存在せず,そのような分野を規律するための(EUのeIDASのような)統一的な法令が存在しないので,情報セキュリティの観点からも,安全性の検証に手間取ることが予想され,かなり大きな問題が顕在化しつつあることに全ての関係者が明確に気づくべきである。

セルフレジの場合,明示または黙示で,年齢確認の目的のために免許証等の提示が求められる。このことは,逆に,目的外利用が許されないということを意味している。

ところが,セルフレジの場合,提示された免許証のデータをデジタルで自動的に記録し,関連データベースに自動転送することは,極めて容易なことだ。それが目的外利用に該当することは明らかだ。

無論,マーケティング等を含め,様々な目的のために二次利用すること及びデータを第三者提供することを明示し,本人が同意するのであれば,違法行為ではない。しかし,この場合,免許証の提示を求める時点でそのことを顧客が十分に理解できる仕組みを構築することが必要だ。しかも,顧客が了解しない場合,年齢確認のための処理以外の処理を全て機能させないようなキルスイッチの設置が必須となる。そのようなキルスイッチが正常に機能しているかどうか,当該事業者は毎日点検し,定期的に個人情報保護委員会に報告すべきだろう。また,個人情報保護委員会は,「事業者は善人ではない」という前提で,常に猜疑心をもち,定期的にソースコードレベル及びデバイスレベルでの徹底的な検証を実施し,もしごまかしが発見されたときは,関連事業者全部を1年~3年程度業務停止とするくらいの強い覚悟で監督を実施すべきだと考える。問題の発生に備えて,1事業者あたり1兆円程度または相当な額(1億人×推定平均損害額)の担保を事前に積ませるような法制の確立も望まれる。

更に,データを第三者提供する場合,後に,当該顧客が利用停止または削除を求めた場合,当該コンビニのセルフレジから,当該第三者に既にわたっているデータを含め,ワンクリックで全て自動的に消去するような仕組みの構築も必須と考える。当該第三者が外国政府または外国企業であり,当該セルフレジシステムの運営者の支配権が全く及ばないときは,当該運営者に関し,いかなる不可抗力の主張も許さず,無条件で全ての法的責任を負わせるような法制整備も必須だろう。

更に,画像データが保存される場合,運転免許証の形状・画像の複製や模倣と関係する関連法令との整合性が検討されなければならない。

当該事業者内にそのような検討をする能力のある法務部等が存在しない場合,公安当局及び警察当局は,最大限の猜疑心をもって警戒すべきである。

画像データの中に含まれる写真データ等の漏洩があった場合,当該事業者が,いかなる不可抗力の主張も許されず,無条件で全ての法的責任を負うような法制整備も必須である。

セルフレジによって一方的に大量の情報(データ)の提供を要求するのである以上,そのこととのバランスをとるため,事業者側には(一切の責任免除を認めない)無過失責任を原則とするような基本的な法理の確立が望まれる。

このことは,将来の人工知能技術の応用の前段階における「試金石」のようなものであり,もし政府が鈍感なままであるとすれば,(国防の問題も含め)日本国民に未来はない。

そもそも,人出不足の解消が目的と説明されているようなのだが,人出不足であれば総店舗数を削減すべきであり,自動化に投資するのは本末転倒と言える。

小売店の需要のある地域では,小型トラックによる巡回販売事業者や旧来の小売店の復活を推進するような政策が(国家レベルのフェイルセーフの観点からも回復力の観点からも)望ましい。コンビニチェーン等による独占的な支配の時代は「終わり」にしなければならない。

 

[追記:2021年10月9日]

セルフレジにおいて免許証等(外国人の場合,登録証・パスポート等)による自動的な年齢確認の仕組みを導入する場合,偽造・変造の証明書(カード)の使用があり得ること,そして,顧客が誤って別のカード等を使用した場合の対処も考えておかなければならない。

このような場合に検討すべき側面は多方面にわたる。

基本方針の設計の段階では,偽造・変造のカード等が使用されている疑いが自動判別される場合,警察や入管当局等に自動通報する仕組みを予め組み込むかどうか,その自動判別が誤判定だった場合にどのように対処すべきか(怒った顧客に対する個別対応を含む。),自動判定のために記録されえるデータの取扱いをどのようにすべきか,誤判定の場合でもデータを保存するか等を決定しなければならない。それらの基本方針は,当然のことながら,事前に公表されるべき性質のものなので,それを公表することによる結果も全ての範囲にわたって想定し,対処する必要性がある。

顧客が誤って(機密性の高い)勤務先の入退室用カードを使用してしまったというような場合を想定し,かつ,もしそのカードに含まれている電磁的記録が自動的にセルフレジまたはそれと連携するサーバ等の中に記録保存されるような場合を想定すると,そのような記録を残すことは,結果的に,不正アクセス禁止法違反となるような行為または建造物侵入行為またはテロ行為等の原因を発生させ得るリスクがある。そのようなリスクの発生を自動的に排除するような仕組みが設計・実装・運用されなければならない。リスクの存在が容易に想到可能であるにも拘らず何も対処しないことは,不作為による共同正犯または幇助犯の成立を是認し得る要素の1つとなり得る。この点に関して,問題となり得る犯罪類型の中には,共犯的行為または周辺的行為が独立罪として定められていることが多いということを明確に認識する必要性がある。

それらのことと自動的に連動することとして,捜査機関からデータの提供を求められた場合にどうすべきかに関しても,基本方針の設計の段階で明確に定められている必要性がある。データがセルフレジそれ自体ではなく,別のサーバや第三者のデータベース内に記録保存される場合,捜査機関等からの依頼または裁判所が発する記録命令付き差し押さえ命令の執行の場合,それらのデータ転送の経路を順たどり,迅速に対処する必要が生ずることがあり得る。Computer Forensicsの観点からすると,それらの転送の経路が正確であることを証明することが可能なレベルのログの一部を(保証を付して)提供できるような自動的な仕組みを設計・実装・運用することも予め定められる必要性がある。

それらの仕組みは,全て個人情報保護法に定める要件を完全に充足するものでなければならないので,本人から情報提供,利用停止または削除,第三者提供の停止等が求められた場合にも自動的かつ完全に対処できるような仕組みが設計・実装・運用されていなければならないことになる。捜査機関等からの求めによる第三者開示は,法定のものであるので,(理論的には)個々の事業者が利用目的として事前に明らかにしておく必要性のないものではあるが,(顧客対応という観点からは)そのようにして記録されたデータが捜査機関や入管当局等の手にわたる可能性があるということを自動的に明示するような仕組みを導入すべきだろう。

加えて,システムの仕組みが複雑になり過ぎること(または,収益を圧迫するレベルで高コストとなること)を避けるため,使用可能なカード等の種類を限定した場合,必然的に,「差別」の問題が発生することを覚悟しなければならない。特に,視覚等に障害のある者,手指等の触覚または動作に障害のある者や高齢者等を消費者取引行為から自動的に排除してしまうような仕組みは,差別行為そのものとなり得る。日本国民しか所持できない証明書またはカードのみを使用可能とした場合にも同様の差別の問題が発生し得る。

そのような差別の発生を回避するための相対的に合理的かつ有用な方法は,機械装置であるセルフレジではなく人間の店員による顧客対応である。機械装置は,機械装置として設計・実装されている以外の機能を発揮することはできないが,人間であれば臨機の対応が可能である。

現時点におけるEUの人工知能政策の骨格部分,その中でも特に「人間中心主義」の思想から学ぶべきことは多い。

| | コメント (0)

2021年9月25日 (土曜日)

EU:e-CODEX規則案

e-CODEX規則(COM/2020/712 final)が提案され,審議されている(2020/0345/COD)。

| | コメント (0)

2021年8月26日 (木曜日)

Pegasus Spyware

下記の記事が出ている。

 Pegasus Spyware Uses iPhone Zero-Click iMessage Zero-Day
 Threat Post: August 24, 2021
 https://threatpost.com/pegasus-spyware-uses-iphone-zero-click-imessage-zero-day/168899/

| | コメント (0)

Spamhaus

あるプロバイダ経由で普通に電子メールを送信しようとしたら,そのプロバイダが導入しているSpamhausのシステムにより自動的にブロックされしまった。

特定の国にとって不都合な内容を含む電子メールを自動的にブロックするようになっていると考えられる。

日本国のプロバイダは,Spamhausの実際の経営陣及び主要株主等を徹底的に調べ,その調査結果により,もし日本国の国益と反するようであれば,直ちに利用を停止すべきだと考える。

無論,Spamhausそれ自体には何らの問題がなくても,その機能を利用しているプロバイダ等の従業者の中に背信的な者が含まれていることはあり得る。そのような場合,身辺調査(クリアランス)を徹底する必要がある。

調査の結果次第ではあるけれども,もし最悪の結果が判明した場合,当該プロバイダと関連する企業が,例えば,EUのHorizon Europeのような基金による大規模調達のコンソーシアムに参加しようとしても,関連規則に定める保安条項を満たさない企業として排除されてしまう危険性がある。

 

| | コメント (0)

2021年8月24日 (火曜日)

Microsoft Power Apps

下記の記事が出ている。

 Microsoft Spills 38 Million Sensitive Data Records Via Careless Power App Configs
 Threat Post: August 23, 2021
 https://threatpost.com/microsoft-38-million-sensitive-records-power-app/168885/

| | コメント (0)

2021年8月23日 (月曜日)

中国:新個人情報保護法令

下記の記事が出ている。

 China pushes through data protection law that applies cross-border
 ZDNet: August 21: 2021
 https://www.zdnet.com/article/china-pushes-through-data-protection-law-that-applies-cross-border/

私が理解しているところによれば,中国は,EUの全分野の法令を丁寧に研究しており,その手法を緻密に模倣している。かつての大日本帝国と同様,欧州に習う模範的な生徒だと言える。

ただし,中国の法制において基礎としている価値観は,「中国共産党による統治」であるのに対し,EU法は,憲章及び基本条約に定める基本的な価値の尊重を基礎としている点が全く異なる。

中国にはもともと「法家」の思想と思考方法が存在するので,(根本的な価値の相違判断基準を全く別として)道具としてのEUの手法には馴染みやすいのではないかと想像する。

***

あまり勉強していない人には理解しにくいかもしれないが,あくまでも一般論として,そもそも法律とは,(平野龍一氏が既に述べているとおり)道具(tool)の一種に過ぎない。その道具を何に使うかは,全く異なる問題となる。

一般に,交響楽団として演奏に従事し,スコアをすらすらと読んで理解できるレベルの人,あるいは,(最も表層部にあるアプリではなく)簡易OSのカーネル部分や基本部分のプログラムを書き,実装できるレベルの能力をもつエンジニアであれば,たぶん,1年~2年程度の勉強(独学)で司法試験に合格できるだろうと思う。要するに全体も部分もその相互関係(全体としての機能メカニズム)を理解できる人であれば,法制度全体の構造と理解の把握が早い。

そのように思えないレベルの人は,司法試験合格まで相当に時間がかかると自覚したほうが良い。

それくらい相似性のある社会現象なのだ。

***

EUの基本条約を起草した人々は,とても頭の良い人々だったと思われる。

政治哲学として「社会契約」を叫ぶことは誰にでもできることだが,その社会契約を実装するための精密な構造分析と機能分析を踏まえた基本仕様書としての条約案を書くことは誰にでもできることではない。

EUの「Treaty on the Functioning of the European Union」は,そのような仕様書の一種として理解すると最も合理的に理解することができる。

この条約を「欧州連合の機能に関する条約」として理解し,そのように訳せるかどうかは,その人の構造論的思考及び機能論的思考の能力のレベルに直接に依存している。

| | コメント (0)

2021年8月17日 (火曜日)

T-Mobileの顧客個人データ大規模流出事件

下記の記事が出ている。

 T-Mobile Investigating Claims of Massive Data Breach
 Krebs on Security: August 16, 2021
 https://krebsonsecurity.com/2021/08/t-mobile-investigating-claims-of-massive-data-breach/

 100m T-Mobile Customer Records Purportedly Up for Sale
 Threat Post: August 16, 2021
 https://threatpost.com/t-mobile-investigates-100m-records/168689/

[追記:2012年8月21日]

関連記事を追加する。

 What’s Next for T-Mobile and Its Customers? – Podcast
 Threat Post: August 19, 2021
 https://threatpost.com/whats-next-for-t-mobile-and-its-customers-podcast/168813/

| | コメント (0)

2021年8月10日 (火曜日)

FlyTrap

下記の記事が出ている。

 Android Malware ‘FlyTrap’ Hijacks Facebook Accounts
 Threat post: August 9, 2021
 https://threatpost.com/android-malware-flytrap-facebook/168463/

| | コメント (0)

より以前の記事一覧