コロナウイルス(Covid-19)とGDPR (4)-欧州データ保護委員会

まずは、ロンドンを訪問するときは、いつもインタビューとかをしてお世話になっているCordery事務所も、コロナウイルスとデータ保護についてのクライアント・アラートを公表しています。具体的な内容については、個々の論点のときにみていくことににしますが、最後に、40国(人も入っています)のデータ保護当局のコロナウイルス対応についてのガイダンスの一覧がついています。

このエントリでは、欧州データ保護委員会の動きをみます。

同委員会は、3月16日に、「Covid-19の感染爆発の文脈における個人データの取扱いに関する欧州データ保護委員会議長のステートメント」を出しています。

このステートメントは、最初に欧州データ保護委員会(EDPB)のアンドレア・イェリネク委員長は次のように述べています、として

データ保護規則(GDPRなど)は、コロナウイルスのパンデミック対策を妨げるものではありません。しかし、このような例外的な時期であっても、データ管理者はデータ主体の個人データの保護を確保しなければならないことを強調しておきたい。したがって、個人データの合法的な処理を保証するために、多くの考慮事項を考慮する必要があります。

と述べています。このステートメントの以下の部分は、3月19日のフォローアップでも論じられているので、以下で検討しましょう。

3月19日に、さらに追加の宣言を出しています。タイトルは、「Covid-19の感染爆発の文脈における個人データの取扱いに関するステートメント(Statement on the processing of personal data in the context of the COVID-19 outbreak. )」です。 https://edpb.europa.eu/sites/edpb/files/files/news/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf)。

このステートメントは、1 取扱いの適法性、2 個人テータの取扱いにおける中心原則、3 モバイル移動データの利用、4 雇用、に分けて論じられています。

このうち、3と4については、各論でふれることにして、1と2についてふれると以下のようになります。

1 取扱いの適法性

GDPRは幅広い法規制であり、COVID-19に関連するもののような文脈での個人データの取扱いについて提供しうるルールを規定しています。GDPRは、権限のある公的保健当局や雇用主が、疫病抑止の文脈において、国内法に準拠し、そこに定められた条件の範囲内で個人データを取り扱うことを許容している。例えば、公衆衛生の分野における実質的な公共の利益のために処理を行うことが必要とされる場合、それらの下で状況によっては、個人の同意に頼る必要はありません。(略)

2 個人データの処理に関する基本原則
利用目的の達成に必要な個人情報は、特定され明示的な目的の達成に必要な範囲内で取り扱うものとします。

さらに、データ主体は、実施中のデータの取扱いと(収集したデータの保存期間/処理の目的を含む)主な特徴に関する透明性の高い情報を受け取るべきである。提供される情報は、容易にアクセス可能であり、明確に提供されなければならない と平易な言葉を使うことが大切である。

データが不正に開示されないことを確かにするために適切なセキュリティ対策と機密保持ポリシーを採用することが重要です。現状の緊急時を管理するために実施している対策とその基礎となる意思決定プロセスは、適切に文書化されるべきである。

むしろ、これらの総合的な見方が、具体的な論点でどのように展開されるのか、また、我が国での議論等の動向は、どのように展開するのか、というのは、次のエントリで検討していくことになります。

コロナウイルス(Covid-19)とGDPR (3)

コロナウイルス対応とGDPRの具体的な内容について、まずは、総論的なものからみていきます。(GDPRというよりも個人データ保護ですが)

バード・アンド・バート法律事務所のレポートは、「正式なデータ保護当局のガイダンス」から分析しています。いくつか拾ってみましょう。

オーストラリアのガイダンス

個人情報は、「知る必要」ベースで使用または開示する必要があります
COVID-19を防止または管理するために合理的必要なかぎりで、最小限の個人情報のみが、収集、使用、または開示されえます
職場において、COVID-19の感染が確認済み(もしくは、その疑いがある)場合において対応する際には、個人情報がどのように取り扱われるかをスタッフに通知するための措置を検討してください
従業員がリモートで作業している場所を含めて、個人情報を安全に保つための合理的な手順が整っていることを確認してください

ベルギーのガイダンス

これは、適法性、予防措置と一般原則についての解説、そして、FAQについてのコメントがなされています。

中国のガイダンス(中国語のみ)

興味深いので機会翻訳ですが、訳出してみます。ちなみにこれは、2月10日にだされています(早い)。中央ネットワークセキュリティ情報委員会です

コロナウイルス感染症肺炎の新たな流行状況の共同予防・管理における個人情報保護のため、個人情報を含むビッグデータを積極的に活用し、共同予防・管理業務を支援しています。中央ネットワークセキュリティおよび情報技術委員会の承認を得て、以下のような関連事項が通知される。

1.「中華人民共和国のネットワークセキュリティ法」、「中華人民共和国感染症の予防と管理に関する法」および「公衆衛生上の緊急事態に関する緊急規制」に基づき国務院の保健局により認可された機関を除き、すべての地方自治体および部門は個人情報の保護を重視する必要があります。他の組織または個人は、流行防止および疾病の予防と管理を理由に収集される人物の同意なしに個人情報を収集または使用してはなりません。法律および行政規制に他の規定がある場合、それらはそれらの規定に従って実施されるものとする。

2.共同防衛および共同管理に必要な個人情報の収集は、国家標準「個人情報セキュリティ基準」を参照し、最小範囲の原則を遵守する必要があります。原則として、収集される主体は、感染診断人物、感染が疑わしい人物、濃厚接触などの主要なグループに限定され、特定の領域を一般的に対象とされない。特定の地域の人々に対する事実上の差別の形成を防ぐ必要があります。

3.疫病の予防および疾病の予防と管理のために収集された個人情報は、他の目的には使用されません。共同防衛および共同統制作業の必要性を除き、収集された人物の同意なしに、ユニット、個人が名前、年齢、ID番号、電話番号、自宅住所などの個人情報を開示することは許可されません。

4.個人情報を収集または管理する組織は、個人情報のセキュリティ保護に責任を持ち、厳重な管理と技術的保護措置を講じて盗難や漏洩を防止します。

5.有能な企業に、関連部門の指導の下でビッグデータを積極的に使用して、感染診断者、感染疑い者、および濃厚接触者などの主要人物の流れを分析および予測し、共同の予防と制御のためのビッグデータサポートを提供するように奨励します。

6.個人情報を収集、使用、開示する法令違反を発見した組織または個人は、ネットワークおよび公共セキュリティ部門に適時に報告することができます。ネットワーク情報部門は、個人情報の違反、違法な収集、使用、開示、および中華人民共和国のサイバーセキュリティ法および関連する規制に従って大量の個人情報が漏洩する原因となるインシデントに迅速に対処するものとします。民国。犯罪に関与する公安機関は、法律に従って厳しく取り締まるものとする。

フランスのガイダンス

 してはいけないこと、できることを簡単に解説しています。

ドイツのガイダンス

 現在の状況が、政治家や社会は、データ保護が制限されるべきであるとしているが、それは、理解しうるとしても、基本権の保護は、基本的なものであるとしています。そして、感染とデータ保護が正反対にあるわけではないとしています。(が、このガイダンス自体は、抽象論でとまっています)

イタリアのガイダンス

 これは、感染予防のために、保健省の提供する指示に従って、訪問者や利用者に対して、健康状態や訪問先を聞くようににというガイダンス(3月2日)。ただし、3月14日には、手順についての改正のガイダンスがでています。 

プロトコル自体は、こちら。

シンガポールのガイダンス

「COVID-19接触追跡のための個人データの収集に関する勧告」です。

組織は、2019年のコロナウイルス病(COVID-19)の発生時などの緊急事態が発生した場合に、連絡先の追跡やその他の対応策を目的として、施設への訪問者の個人データを収集する場合があります。

として、

組織はCOVID-19ケースの場合に個人を正確に識別するために国民識別番号を必要とする場合があるため、組織はこの目的で訪問者のNRIC、FIN、またはパスポート番号を収集する場合があります。

というところが特徴的です。また、収集のひな型が準備されています。

英国の情報ハブ

いろいろな情報が集約されています。個別の論点で、見ていったほうがいいかもしれません。

情報主体の観点からと、取扱事業者の観点からとで分析されています。

 

コロナウイルス(Covid-19)とGDPR (2)

では、コロナウイルス対応とGDPRとの関係でどのような問題が起きるのか。この点については、いろいろな分析が公表されています。

例えば、お友達関係では、

コーデリー法律事務所「Life With GDPR: GDPR and Coronavirus」(podcast)

バード・アンド・バート法律事務所「COVID-19 Data Protection guidance」

BHO Legal法律事務所「Datenschutz vs. Corona-Virus」(Linkedinでの同名の考察は、こちら。

とかが、公表されています。

ただ、リンクを発表しているだけではなんなので、具体的な内容についてみていきたいとおもいます。

具体的な内容をどのように見ていこうかということでは、バード・アンド・バートは、ガイダンス、被傭者・労働者、モバイル/ギグエコノミー/自営業、訪問者、一般に分けています。

一方、データ保護コミッショナーについてみると、例えば、アイルランドのデータ保護委員会の3月20日のまとめは、適法性、透明性、機密性、データの最小限化、説明責任を果たすこと(Accountability)などをあげて論じています。

ちなみに英国の情報コミッショナーのまとめは、こんな感じです。

欧州データ保護委員会は、3月19日に宣言を出しています

https://edpb.europa.eu/sites/edpb/files/files/news/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf)。

 

アイルランドのまとめは,

政府、ならびに公的、私的、および任意の組織は、広がりを抑制し、「コロナウイルス」と広く呼ばれているCOVID-19の影響を軽減するために必要な措置を講じています。これらのステップの多くには、個人の個人データ(名前、住所、職場、旅行の詳細など)の処理が含まれます。これには、多くの場合、機密の「特別なカテゴリ」の個人データ(健康に関するデータなど)が含まれます。

として、それらのデータを取り扱う際に、考慮すべき重要な事項があるとしています。

健康データを含む個人データの使用を含むコロナウイルスに対応して取られた措置は、必要かつ均衡のとれたもの( necessary and proportionate)である必要があります。これに関する決定は、公衆衛生当局または他の関連当局のガイダンスおよび/または指示によって通知されるべきです。

組織は、次の義務も考慮する必要があります。

として、上述の適法性以下の論点を検討しています。

さらに、追加の情報として、健康保護観察センタのサイト、その他の個人データ保護の情報リンクも公表されています。

次のエントリで、個々の点についてみていくことにします。

 

 

 

 

コロナウイルス(Covid-19)とGDPR (1)

コロナウイルス(Covid-19)とGDPRについて、昨年のCODEBLUEで、プレゼンターを努めたMatthias Lachenmann博士が、ちょっとした論考を公表したので、そのご紹介をしてみましょう。

論考は、「データ保護対コロナウイルス(Data protection vs. corona virus – What companies must consider)」です。

1は、「コロナウイルスへの感染から防護するために健康データを取り扱う例」として、会社が従業員がコロナウイルスの症状を示しているという情報を保存している場合、従業員が会社の入り口で体温を記録した場合、または従業員が感染した可能性のある人の名前を会社に伝えた場合、これらが、すでに健康に関するデータとなること、などがふれられています。

II。 GDPRの法的根拠

この場合、健康に関するデータとなると、GDPR9条の特別な種類の個人データの取扱いの規定が適用されることになります。なので、取扱いが原則禁止され、具体的には、明確な同意等のパラグラフ2の個別の規定によって取扱いが許容されるという枠組になります。

(ちなみにGDPRの翻訳は、個人情報保護委員会のによります

GDPRは、もととも パンデミックの脅威が発生した場合に保護を提供することを目的としており、「健康と健康の警告を監視する」ためのデータ取扱いが許可とれています( GDPR前文52)。

公共の利益において行われる場合であり、特に、労働法の分野、年金及び医療保険を含む社会保護法の分野における個人データの取扱い、伝染病及びその他の健康に対する重大な脅威の防止又は管理のための監視及び警戒の目的の場合において、個人データ及びその他の基本的な権利を保護するために、EU 法又は加盟国の国内法の中に定められており、かつ、適切な保護措置に従うものであれば、特別な種類の個人データの取扱いの禁止の例外も認められる。

これが、定められているのが、同9条パラ2の(h)や(i)の規定です。

(h) EU 法又は加盟国の国内法に基づき、又は、医療専門家との契約により、かつ、第3 項に定める条件及び保護措置に従い、予防医学若しくは産業医学の目的のために、労働者の業務遂行能力の評価、医療上の診断、医療若しくは社会福祉又は治療の提供、又は、医療制度若しくは社会福祉制度及びそのサービス提供の管理のために取扱いが必要となる場合

(i) データ主体の権利及び自由、特に、職務上の秘密を保護するための適切かつ個別の措置に関して定めるEU 法又は加盟国の国内法に基づき、健康に対する国境を越える重大な脅威から保護すること、又は、医療及び医薬品若しくは医療機器の高い水準の品質及び安全性を確保することのような、公衆衛生の分野において、公共の利益を理由とする取扱いが必要となる場合。

このような適法な取扱いの論点に関しては、アイルランドのデータ保護コミッショナーのリリースを引用しましょう。

合法性

GDPR第6条に基づく個人データの処理には多くの法的根拠があり、この文脈で適用可能な第9条に基づく健康データなどの個人データの特別なカテゴリの処理を許可する条件があります。これらのうち、以下が関連する場合があります。

組織が公衆衛生当局またはその他の関連当局のガイダンスまたは指示に従って行動している状況では、適切なセーフガードが実装されているかぎり、GDPR第9条(2)(i)および2018年(アイルランド)データ保護法の53条が、健康データを含む個人データの処理を許可する可能性が高い。このような保護手段には、データへのアクセスの制限、消去の厳密な時間制限、および個人のデータ保護権を保護するための適切なスタッフトレーニングなどの他の手段が含まれます。

雇用主はまた、2005年の労働安全衛生法(改正)の下で従業員を保護する法的義務があります。この義務は、GDPR第9条(2)(b)とともに、健康データを含む個人データを処理する法的根拠を提供します。取り扱われるすべてのデータは機密に扱われる必要があります。つまり、職場でのコロナウイルスの存在に関するスタッフへの連絡は、一般に個々の従業員を特定するものではありません。

次は、個別の行為についてみていくことにしましょう。(続く)

イギリスのICOの個人データ保護とコロナウイルスのページは、こちら

脅威インテリジェンスサービスの利用とコンプライアンス(4)

脅威インテリジェンスサービスの利用とコンプライアンス(3)の続きです。

4の続きは、シナリオ2 脆弱性の購入です。

この部分は、ガイダンスをそのまま翻訳することにしましょう。

セキュリティの脆弱性とマルウェアはコンピューター犯罪を犯すために頻繁に使用されており、犯罪行為を支援するために販売される場合は連邦犯罪ですが、セキュリティの脆弱性またはマルウェアの単なる購入は単独で、犯罪目的なしの場合には、一般的に違法ではありません。

ただし、2つの例外があることは、言及する必要があります。

一に、電子通信をひそかに傍受するように設計されたソフトウェアの所有または販売は、盗聴法に違反する可能性があります。同法は、「主たる目的が、密かに、有線、口頭、電子的通信を傍受するために設計されたことを知って、もしくは知りうる場合に、電子、機械、またはその他のデバイスを意図的に所有すること」を禁止します。電子通信を傍受するように設計された特定のマルウェアは、この定義に該当するため、所有することは違法である可能性があります。購入した場合の法的リスクを最小限に抑える最良の方法は、2512条に該当する可能性のあるマルウェアは取引が発生する前に法執行機関に問い合わせ調整することです

2番目の例外は、売り手が指定された外国のテロ組織、またはIEEPAに基づく経済または貿易制裁の対象となる個人または団体であるため、購入が禁止されている場合です。 これらの懸念は、購入時に生じるものと同じです。盗まれたデータにおける IEEPAなどの当局の下での法的責任とその最善の対処方法を説明した上記の説明を参照してください。

あと、いままでに見たような具体的なガイダンス以外に

「常に守るべき二つのルール」

「オンラインフォーラムで適法にインテリジェンスを収集するためのティップス」

「ベストプラクティス」

などのアドバイスがなされています。

このベストプラクティスのところで、「法執行機関は、インテリジェンスを収集している無辜の人と犯罪者を区別できないので、調査の対象となりかねない。してがってFBIのフィールドオフィスやシークレットサービスと継続的な関係を締結しておくこと」と提唱されています。

日本だとこのようなガイダンスが出ることはなさそうだなあ、と思っていたりします。

 

 

 

脅威インテリジェンスサービスの利用とコンプライアンス(3)

脅威インテリジェンスサービスの利用とコンプライアンス(2)からの続きです。

4サイバーセキュリティを目的とした盗難データと脆弱性の購入がテーマになります。

ダークマーケットで、漏洩したデータが取引されていたり、また、脆弱性が売買されていたりします。それらを購入する場合の法的なリスクについて検討しています。

シナリオ1:盗まれたデータの購入

この点を検討するのに際して、以下の3点から検討することとしています。具体的には

・購入者がデータの正当な所有者であるかどうか:盗まれたデータは、データ所有者またはデータ所有者の認定エージェントによって購入されていますか?

・販売されているデータの種類:盗まれたデータは、連邦法によって転送または所有が禁止されている情報の種類(たとえば、盗まれたクレジットカード情報や企業秘密)ですか?

・売り手の身元:売り手は、連邦法によりデータ所有者がビジネスを取引することを禁止している人ですか?

です。

(1)データの保有権限

ダークマーケットで売買されているデータについては、自分(購入者)がそもそも保有することかできないデータが含まれていることが一般です。

そのようなデータを購入したとしても、それ自体としては、刑事訴追を受けることはありませんが、違法な方法でデータを使用する意図があるのではないか、という嫌疑を受けた場合には、そのようなリスクが出てくることになります。

許可や権限なしに他人の盗まれた情報を購入すると、購入者の動機を決定するための調査精査を促す購入者の意図に関する質問を引き起こす可能性があります。このリスクを管理するには、購入したデータに所有する権利を持たない情報の場合、購入者は速やかにそれを隔離し、さらにアクセス、レビュー、または使用しないでください。その後、購入者は直ちに法執行機関に連絡し、データを提供するか、データを所有していると判断できる範囲で実際のデータ所有者に通知する必要があります。これらの手順を踏むことで、刑事訴追に必要とされる意図を欠いていることを立証するのに役立ちます。

(2)データの性質

たとえば、パスワード、口座番号、およびその他の個人を特定できる情報などのダークマーケットで販売される傾向のある盗まれたデータのタイプに関連する連邦刑法の多くは、さらに別の犯罪の意図がある場合にのみ適用されます。たとえば、情報を詐取する目的で使用する場合です。このため、犯罪の動機を欠く盗まれたデータの購入者は、これらの法律の下で起訴される可能性は低い。

ただし、その人の許可なしに他人の盗まれたデータを故意に購入することは法的リスクをもたらす可能性があります。特に企業秘密が関係している場合、購入者の動機に関する質問を提起し、法執行機関と正当なデータ所有者から精査される可能性がはるかに高くなります。

販売者が購入者に属さない資料を作成しないようにすることは、別として、他者に属する盗まれたデータを意図せずに購入した場合に調査および起訴されるリスクを軽減する最良の手段は、そのような外部データに迅速に連絡し、法執行機関および/または正当なデータ所有者に引き渡すことです。そうすることにより、購入者が意図せずにそのようなデータを所有することが犯罪行為と誤解されたり、民事責任を発生させたりというリスクを最小限に抑えることができます。

(3)売り手の性質

米国では、国際緊急経済力法(IEEPA)2339B条の下で、米国政府によって指定された特定の個人または団体から盗まれたデータを購入することを禁じています。過去数年間で、米国政府はサイバー関連の違法行為を含む国家安全保障上の理由で、イラン、北朝鮮、ロシアの個人および団体を制裁する執行命令を発行しています。

また、同法は、民事責任をも定めており、米国財務省の外国資産管理局(OFAC)が、米国の経済および貿易制裁制度の民事執行を担当しています。  IEEPAの民事執行は「厳格責任」に基づいて課せられる場合があります。つまり、たとえ当事者が貿易または経済制裁の対象である個人または団体との取引に関与していることを知らなかったという場合でも、不正な取引規制により、民事罰が科せられる場合があります。

このようなリスクを抑えるには、

OFACは、経済的または貿易制裁の禁止の対象となる個人、地域、または国と取引するリスクを軽減するために、企業にリスクベースのコンプライアンスプログラムを実装することを推奨します。一般市民を支援するために、OFACは、リスクベースの制裁コンプライアンスプログラムの5つの必須コンポーネントのフレームワークを組織に提供することを意図して、そのウェブサイトで、ドキュメント「OFACコンプライアンスコミットメントのフレームワーク」を公開しました。

取引が行われている外国の当事者が経済的および貿易的制裁の対象となるかどうかをチェックする手段を含む合理的なコンプライアンスプログラム(または「エンゲージメントルール」)を実施することは、刑事責任を回避する賢明な方法ですし、IEEPAおよび民事責任の可能性も軽減する可能性があります。 OFACは、米国の対象となる特別指定国民およびブロックされた人物を特定するのに役立つツールも提供します。

一般の方は、OFAC Hotlineフリーダイヤル1(800)540-6322またはローカル(202)622-2490に電話するか、ofac_feedback @ treasury.govに電子メールを送信して、OFACに直接連絡できます。

さらに、特定のライセンスのリクエストは、OFACのWebサイトwww.treasury.gov/ofacからオンラインで送信できます。保留中のライセンスリクエストに関するお問い合わせは、(202)622-2480。

 

脅威インテリジェンスサービスの利用とコンプライアンス(2)

脅威インテリジェンスサービスの利用とコンプライアンス(1)からの続きになります

3 サイバー脅威インテリジェンス収集 は、CsU(司法省サイバーセキュリティユニット)のサイバー脅威インテリジェンスに対する認識から始まります。

CsUは、積極的な防御(アクティブディフェンス)について産業界へのアウトリーチ中に学んだように、多くのサイバーセキュリティ組織は、サイバー脅威の収集をサイバーセキュリティ活動の中で最も実り多いものとなる知性とかんがえています。

サイバー脅威インテリジェンスを収集する組織は、場合によっては複数のソースからそれを収集します。その中には、オンラインフォーラムやその他の通信チャネルが含まれ、そこでは、違法行為が計画され、違法行為のためにマルウェアが販売され、盗難データが販売されています。これらのソースから収集された情報は、過去、現在、または将来のサイバー攻撃または侵入に関するサイバー脅威インテリジェンスおよびネットワーク防御情報の豊富なソースになります。具体的には、マルウェアのサンプル、現在使用中または開発中の犯罪者の戦術、ツール、および手順、および攻撃および侵入に関与する個人のエイリアスとアイデンティティなどがあります。

このような認識を前提に、A シナリオ1 (サイバー脅威インテリジェンスを収集するフォーラムへの「潜入」)、B シナリオ 2(犯罪者フォーラムにおいて質問をなす)、C シナリオ 3 (フォーラムにおいて他人と情報を交換する)について検討しています。

具体的には、A シナリオ1 (サイバー脅威インテリジェンスを収集するフォーラムへの「潜入」)においては、フォーラムの投稿を読むのみである場合、また、仮名を作成して、なりすまして、情報を交換することも、それ自体としては、連邦刑法に違反することはありません。

B シナリオ 2(犯罪者フォーラムにおいて質問をなす)については、

実務家が違法行為に関する情報を求めるフォーラムに問い合わせを投稿することにより、より積極的に情報を収集することを決定した場合、実務家の行動は犯罪捜査の対象になるリスクを高めます。

とされています。

コンピューター犯罪の勧誘または勧誘は、実務家を刑事責任にさらす可能性があります。実務家がフォーラムで得られた情報を使用して連邦刑事違反を犯すつもりがない場合、フォーラムで質問をしたり、アドバイスを求めたりすることは犯罪を構成する可能性は低いです。しかし、法執行機関は、犯罪行為が行われているフォーラムや、犯罪行為に関する質問をしたり、犯罪行為に関する助言を求めることが犯罪が発生している可能性のあるフォーラムを調査しています。その結果、犯罪行為の議論に関係していると思われるフォーラムでの実務者の照会および他者とのやり取りが、実務者をフォーラムまたはそのメンバーの犯​​罪捜査に巻き込む可能性があります。

でもって、このような場合に、リスクが高いですよ、注意しましょうねで終わらないのが、アメリカのガイダンスの好きなところです。ガイダンスによると、

たとえば、サイバー脅威インテリジェンスの収集を実行するための運用計画を文書化し、オンライン活動と情報の収集および使用方法の記録を保持できます。犯罪捜査の場合、そのような記録は、彼らの行為が正当なサイバーセキュリティ活動であったことを立証するのに役立ち、従事する不正な従業員が、違法行為の行動をおこなったように見えるのとは対照的に、法執行機関が、会社の正当なサイバーセキュリティ操作を促進するために実行者の行動が実行されたと判断するのに役立ちます。

また、

また、組織は、フォーラム(およびその他の場所)で従業員および請負業者の活動を指導するために、責任ある弁護士と精査をなしたポリシーとプロトコルを確立する必要があります。

「エンゲージメントルール」または「コンプライアンスプログラム」を吟味することで、従業員が誤ってまたは意図せずに組織とその従業員を法的な危険にさらしたり、セキュリティを危険にさらすことを防ぐことができます。

これらのインテリジェンス収集活動に従事する前に、地元のFBI現地事務所またはサイバータスクフォースおよび現地の米国シークレットサービス現地事務所または電子犯罪タスクフォースとの継続的な関係を構築することにより、法執行機関に通知することも有益です。

法執行機関との早期の関与は、実務家の活動が、進行中または予想されることを意図せずに妨げないことを保証するのにも役立ちます。

法執行機関による調査。連絡先情報は、このドキュメントの最後に記載されています。

と記載されています。

会社での「サイバー犯罪に対する法執行のシステム的対応」というエントリでも触れたのですが、グレイゾーンでの活動を一線を超えないように、その線をはっきりとさせるためにシステムとして対応するというのがここにも出ています。その一方で、情報セキュリティに関する会社は、ちゃんとリーガルカウンセル(責任ある弁護士と訳しておきました)にお金を払って、エンゲージメントルールを完備するということが必要かと思います。

 ということでお仕事お待ちしています。

C シナリオ 3 (フォーラムにおいて他人と情報を交換する)

実務家がフォーラムのアクティブなメンバーになり、情報を交換し、他のフォーラムメンバーと直接通信すると、プラクティショナーは注意しないとすぐに違法行為に巻き込まれる可能性があります。覆面実務家は、実務家の「ペルソナ」を信頼することを学んだフォーラムの情報源から情報を抽出する方が簡単かもしれませんが、信頼を築き、仲間の犯罪者として善意を確立するには、犯罪を犯すのに、有用な情報、サービス、または使用可能なツールを提供する必要があるかもしうれません。このような活動に従事すると、連邦刑法に違反する可能性があります。

とされています。そして、

通常、犯罪が発生したかどうかは、個人の行動と意図にかかっています。実務家は、フォーラムで他人の犯罪目的を助長するような行為を避ける必要があります。実務家は犯罪を犯すつもりはないが、犯罪行為に従事している他の人を支援することは、連邦政府の教唆と幇助の犯罪となる可能性がある。それ自体で合法的な行為でさえ-犯罪を助長するものであり、犯罪の委任を促進する意図で行わる積極的行為をなした場合は、それ自体、連邦犯罪の教唆または幇助の責任を問われうる

とされています。また、共謀罪にも注意しなければならないとされています。

要するに、セキュリティ実務者は、犯罪の委員会で他の人を支援したり、犯罪が発生することに同意するような行動をとらないように注意する必要があります。この種の情報収集活動に従事する実務者は、犯罪行為を促進するために存在するオンラインサイトの文脈で、また犯罪を犯そうとしている個人とのコミュニケーションと行動が発生していることに留意する必要があります。実務家は、そのような犯罪を助長する可能性のある真実、正確、または有用な情報を提供することは避けてください。

実務家が連邦刑事捜査の標的になった場合、捜査官はおそらく、外因的および状況的証拠を使用して意図を決定しようとするでしょう。したがって、上記で提案したように、実務者とその雇用者は、フォーラムでの実務者の行動と実務者の活動に対する合法的なビジネス目的を記録した記録を維持し、合法的な動機を確立し、違法な活動を避けるための措置を講じる必要があります。

とされています。

 

 

 

脅威インテリジェンスサービスの利用とコンプライアンス(1)

私の情報セキュリティ上の法律相談で一番難問の一つに「ダーク市場で、会社のデータが流通しているようだが、それに金員を支払って購入していいのか」というものがあります。

この問題について検討した書類が、米国の司法省のサイバーセキュリティユニットから公表されています。

タイトルは、「オンラインサイバー脅威インテリジェンスを収集し、不法な情報源からデータを購入する際の法的考慮事項(Legal Considerations when Gathering Online Cyber Threat intelligence and Purchasing Data from Illicit Sources)」です。

この書類は、一種のガイダンスということになるかと思います。なので、脅威インテリ等ガイダンスとでもいえるかもしれません。

このガイダンスは、1 序 2 シナリオの前提 3 サイバー脅威インテリジェンス収集 4サイバーセキュリティを目的とした盗難データと脆弱性の購入 5 結論 からなりたっています。

1 序においては、このガイダンスが、司法省のサイバーセキュリティユニット(CsU)は、特定のサイバーセキュリティ対策の合法性について民間組織が提起した質問に応えて、この文書を作成したこと、その一方で、このガイダンスの事実関係については、小さな変更が法的変更をもたらすことがあるために、責任ある弁護士(リーガルカウンセル)と相談の上、このガイダンスを利用することが推奨されることが触れられています。

2 シナリオの前提においては、このガイダンスが、情報(つまり、サイバー脅威インテリジェンス、盗難データ、セキュリティ脆弱性、マルウェア)を取得する情報セキュリティ実務者対象としていること、ダークネットにおけるフォーラムにおいて上記の情報が取得されること、このフォーラムへのアクセス手法も問題とされることがありうることなどが議論されています。

次のエントリでは、3 以下について検討することにします。

 

 

自己主権アイデンティティとケンブリッジアナリティカ事件

前のエントリで紹介したスライドは、もともとは、山崎重一郎先生の「自己主権アイデンティティ」というスライドに対応して、ケンブリッジアナリティカ事件を法的な見地からみてみましょう、というものでした。

ここで、「自己主権アイデンティティ」という用語がでてきます。概念としては、「自己主権型アイデンティティとは何か~ブロックチェーンがもたらす新たな可能性」によると、「特定の中央集権的な管理者を置くことなく各分散ノード(≒ユーザー)自身が各種データの管理を行うことができるということ」を意味するのだそうです。

この概念のモデルとしては、自己が中心となって、情報をコントロールできるということになるそうで、ブロックチェーンを利用しての属性証明などが応用例とされているようです。

用語としては、「主権」というのは、誤解を招きかねないなあ、というのが一番の懸念ですね。主権というのは、通常では、ほかからの独立と、非拘束を意味するとされるわけです。パルマス島事件では、「国家主権とは、国家間における独立を意味するものである。地球の部分における、それらを行使して、他国やその機能を排除する権能を意味する」とされているわけです。

ユーザにリンクされうるデータは、いろいろいな主体によって取り扱われるわけで、そのデータに対して主権を有するといわれても、取り扱う主体は、困ってしまいます。しかも、そのデータというのは、ユーザの人格中心に直結するものから、おサイフとしてのデータ(例、たとえば、価格にきわめて敏感であるとか)までいろいろいな種類があります。(こんなエントリを書いたこともあります。あと、IPAの調査報告書は、こちら)それらに主権があるというのは、本人たちは、イケてると思っているのかもしれませんが、逆に、大雑把な分析になるような気がします。

確かに、特定の分野で、あたかも主権を有しているような取扱を、技術をもって、おこなうことができるというような外観を可能にする、というのは事実だと思います。それを自己主権型アイデンティティというのは可能だと思います。

が、大きな流れであるとか、今後の方向性であるとかいうのは、注意すべきものであろうと考えています。言葉としては、スローガンにすぎないように思えています。

あと、山崎先生は、そこで、ケンブリッジアナリティカ事件を警鐘として、紹介するわけです。「高精度の心理誘導」を可能にするツールが、現代社会では発展しているということになります。発表では理解しにくかったのですが、多分、自己アイデンティティとして「主権」たりうるべき、最大のものである(政治的な)意思決定が簡単に第三者から誘導されますよという警鐘として紹介されたのかと思います。

ケンブリッジアナリティカ事件を、心理誘導ツールの発展をわかりやすくみせてくれた事件として把握するというのは、私としては大賛成ということになります。ただし、法的な話としては、そもそも、そのような「独立した」自我とでもいうべきものは、フィクションだったのではないの、とか、そのフィクションを前提に、どこまで、そのようなツールの利用は許されるのか、という論点の展開になるのかなあというのが、研究会での私の感想でした。

リモートで研究会をしましたけど、意外にできたなあ、という感想です。その地方のおいしいものをいただくというのが困難ですが、まあ、このようなご時世なので、それは、終息後のお楽しみにというにとにしておきましょう。

ケンブリッジアナリティカ事件のスライド

金曜日に近畿大学の山崎重一郎先生の「福岡ブロックチェーンエコノミー勉強会(SSI)」で、テレ勉強会にて、オンライン参加して、報告した私の資料を、Slideshareにあげてあります。

題して、「ケンブリッジアナリティカ事件とは何か?」です。

このスライドは、英国・情報コミッショナー報告書(Investigation into the use of data analytics in political campaigns A report to Parliament 6 November 2018)の要点をまとめたものになります。

いろいろな見方がありますが、法的な問題としては、データ保護の問題です、と捕らえることが一般になります。表面的には、同意の限界ということになります。Facebookのゲームで収集されるデータが友人のものまで含むということは、ほとんど現実には意識されていなかったということすね。

ただ、いろいろなとらえ方ができて、むしろ、このインパクトは、政治的な活動に利用することができて、あたかも、人の心を自由自在に操ることができる技術だ、ということにあるのではないか、という感じがします。

そして、この事件を契機にして、フェークニュースをもとに、政治的な意思決定を操ることは許されるのか、とか、外国の政府が、このような技術をもとに外国の政治的な意思決定を左右することは許されるのか、ということが議論されるようになっている、というのが私の認識です。そして、この問題意識こそが、現代社会で、重要性をもつものとなっていると考えています。

なので、この事件を、わが国の、「個人情報と同意」の問題だけで把握すると、インパクトを正確に理解できないのではないか、というのが私の認識になります。