脅威インテリジェンスサービスの利用とコンプライアンス(4)

脅威インテリジェンスサービスの利用とコンプライアンス(3)の続きです。

4の続きは、シナリオ2 脆弱性の購入です。

この部分は、ガイダンスをそのまま翻訳することにしましょう。

セキュリティの脆弱性とマルウェアはコンピューター犯罪を犯すために頻繁に使用されており、犯罪行為を支援するために販売される場合は連邦犯罪ですが、セキュリティの脆弱性またはマルウェアの単なる購入は単独で、犯罪目的なしの場合には、一般的に違法ではありません。

ただし、2つの例外があることは、言及する必要があります。

一に、電子通信をひそかに傍受するように設計されたソフトウェアの所有または販売は、盗聴法に違反する可能性があります。同法は、「主たる目的が、密かに、有線、口頭、電子的通信を傍受するために設計されたことを知って、もしくは知りうる場合に、電子、機械、またはその他のデバイスを意図的に所有すること」を禁止します。電子通信を傍受するように設計された特定のマルウェアは、この定義に該当するため、所有することは違法である可能性があります。購入した場合の法的リスクを最小限に抑える最良の方法は、2512条に該当する可能性のあるマルウェアは取引が発生する前に法執行機関に問い合わせ調整することです

2番目の例外は、売り手が指定された外国のテロ組織、またはIEEPAに基づく経済または貿易制裁の対象となる個人または団体であるため、購入が禁止されている場合です。 これらの懸念は、購入時に生じるものと同じです。盗まれたデータにおける IEEPAなどの当局の下での法的責任とその最善の対処方法を説明した上記の説明を参照してください。

あと、いままでに見たような具体的なガイダンス以外に

「常に守るべき二つのルール」

「オンラインフォーラムで適法にインテリジェンスを収集するためのティップス」

「ベストプラクティス」

などのアドバイスがなされています。

このベストプラクティスのところで、「法執行機関は、インテリジェンスを収集している無辜の人と犯罪者を区別できないので、調査の対象となりかねない。してがってFBIのフィールドオフィスやシークレットサービスと継続的な関係を締結しておくこと」と提唱されています。

日本だとこのようなガイダンスが出ることはなさそうだなあ、と思っていたりします。

 

 

 

脅威インテリジェンスサービスの利用とコンプライアンス(3)

脅威インテリジェンスサービスの利用とコンプライアンス(2)からの続きです。

4サイバーセキュリティを目的とした盗難データと脆弱性の購入がテーマになります。

ダークマーケットで、漏洩したデータが取引されていたり、また、脆弱性が売買されていたりします。それらを購入する場合の法的なリスクについて検討しています。

シナリオ1:盗まれたデータの購入

この点を検討するのに際して、以下の3点から検討することとしています。具体的には

・購入者がデータの正当な所有者であるかどうか:盗まれたデータは、データ所有者またはデータ所有者の認定エージェントによって購入されていますか?

・販売されているデータの種類:盗まれたデータは、連邦法によって転送または所有が禁止されている情報の種類(たとえば、盗まれたクレジットカード情報や企業秘密)ですか?

・売り手の身元:売り手は、連邦法によりデータ所有者がビジネスを取引することを禁止している人ですか?

です。

(1)データの保有権限

ダークマーケットで売買されているデータについては、自分(購入者)がそもそも保有することかできないデータが含まれていることが一般です。

そのようなデータを購入したとしても、それ自体としては、刑事訴追を受けることはありませんが、違法な方法でデータを使用する意図があるのではないか、という嫌疑を受けた場合には、そのようなリスクが出てくることになります。

許可や権限なしに他人の盗まれた情報を購入すると、購入者の動機を決定するための調査精査を促す購入者の意図に関する質問を引き起こす可能性があります。このリスクを管理するには、購入したデータに所有する権利を持たない情報の場合、購入者は速やかにそれを隔離し、さらにアクセス、レビュー、または使用しないでください。その後、購入者は直ちに法執行機関に連絡し、データを提供するか、データを所有していると判断できる範囲で実際のデータ所有者に通知する必要があります。これらの手順を踏むことで、刑事訴追に必要とされる意図を欠いていることを立証するのに役立ちます。

(2)データの性質

たとえば、パスワード、口座番号、およびその他の個人を特定できる情報などのダークマーケットで販売される傾向のある盗まれたデータのタイプに関連する連邦刑法の多くは、さらに別の犯罪の意図がある場合にのみ適用されます。たとえば、情報を詐取する目的で使用する場合です。このため、犯罪の動機を欠く盗まれたデータの購入者は、これらの法律の下で起訴される可能性は低い。

ただし、その人の許可なしに他人の盗まれたデータを故意に購入することは法的リスクをもたらす可能性があります。特に企業秘密が関係している場合、購入者の動機に関する質問を提起し、法執行機関と正当なデータ所有者から精査される可能性がはるかに高くなります。

販売者が購入者に属さない資料を作成しないようにすることは、別として、他者に属する盗まれたデータを意図せずに購入した場合に調査および起訴されるリスクを軽減する最良の手段は、そのような外部データに迅速に連絡し、法執行機関および/または正当なデータ所有者に引き渡すことです。そうすることにより、購入者が意図せずにそのようなデータを所有することが犯罪行為と誤解されたり、民事責任を発生させたりというリスクを最小限に抑えることができます。

(3)売り手の性質

米国では、国際緊急経済力法(IEEPA)2339B条の下で、米国政府によって指定された特定の個人または団体から盗まれたデータを購入することを禁じています。過去数年間で、米国政府はサイバー関連の違法行為を含む国家安全保障上の理由で、イラン、北朝鮮、ロシアの個人および団体を制裁する執行命令を発行しています。

また、同法は、民事責任をも定めており、米国財務省の外国資産管理局(OFAC)が、米国の経済および貿易制裁制度の民事執行を担当しています。  IEEPAの民事執行は「厳格責任」に基づいて課せられる場合があります。つまり、たとえ当事者が貿易または経済制裁の対象である個人または団体との取引に関与していることを知らなかったという場合でも、不正な取引規制により、民事罰が科せられる場合があります。

このようなリスクを抑えるには、

OFACは、経済的または貿易制裁の禁止の対象となる個人、地域、または国と取引するリスクを軽減するために、企業にリスクベースのコンプライアンスプログラムを実装することを推奨します。一般市民を支援するために、OFACは、リスクベースの制裁コンプライアンスプログラムの5つの必須コンポーネントのフレームワークを組織に提供することを意図して、そのウェブサイトで、ドキュメント「OFACコンプライアンスコミットメントのフレームワーク」を公開しました。

取引が行われている外国の当事者が経済的および貿易的制裁の対象となるかどうかをチェックする手段を含む合理的なコンプライアンスプログラム(または「エンゲージメントルール」)を実施することは、刑事責任を回避する賢明な方法ですし、IEEPAおよび民事責任の可能性も軽減する可能性があります。 OFACは、米国の対象となる特別指定国民およびブロックされた人物を特定するのに役立つツールも提供します。

一般の方は、OFAC Hotlineフリーダイヤル1(800)540-6322またはローカル(202)622-2490に電話するか、ofac_feedback @ treasury.govに電子メールを送信して、OFACに直接連絡できます。

さらに、特定のライセンスのリクエストは、OFACのWebサイトwww.treasury.gov/ofacからオンラインで送信できます。保留中のライセンスリクエストに関するお問い合わせは、(202)622-2480。

 

脅威インテリジェンスサービスの利用とコンプライアンス(2)

脅威インテリジェンスサービスの利用とコンプライアンス(1)からの続きになります

3 サイバー脅威インテリジェンス収集 は、CsU(司法省サイバーセキュリティユニット)のサイバー脅威インテリジェンスに対する認識から始まります。

CsUは、積極的な防御(アクティブディフェンス)について産業界へのアウトリーチ中に学んだように、多くのサイバーセキュリティ組織は、サイバー脅威の収集をサイバーセキュリティ活動の中で最も実り多いものとなる知性とかんがえています。

サイバー脅威インテリジェンスを収集する組織は、場合によっては複数のソースからそれを収集します。その中には、オンラインフォーラムやその他の通信チャネルが含まれ、そこでは、違法行為が計画され、違法行為のためにマルウェアが販売され、盗難データが販売されています。これらのソースから収集された情報は、過去、現在、または将来のサイバー攻撃または侵入に関するサイバー脅威インテリジェンスおよびネットワーク防御情報の豊富なソースになります。具体的には、マルウェアのサンプル、現在使用中または開発中の犯罪者の戦術、ツール、および手順、および攻撃および侵入に関与する個人のエイリアスとアイデンティティなどがあります。

このような認識を前提に、A シナリオ1 (サイバー脅威インテリジェンスを収集するフォーラムへの「潜入」)、B シナリオ 2(犯罪者フォーラムにおいて質問をなす)、C シナリオ 3 (フォーラムにおいて他人と情報を交換する)について検討しています。

具体的には、A シナリオ1 (サイバー脅威インテリジェンスを収集するフォーラムへの「潜入」)においては、フォーラムの投稿を読むのみである場合、また、仮名を作成して、なりすまして、情報を交換することも、それ自体としては、連邦刑法に違反することはありません。

B シナリオ 2(犯罪者フォーラムにおいて質問をなす)については、

実務家が違法行為に関する情報を求めるフォーラムに問い合わせを投稿することにより、より積極的に情報を収集することを決定した場合、実務家の行動は犯罪捜査の対象になるリスクを高めます。

とされています。

コンピューター犯罪の勧誘または勧誘は、実務家を刑事責任にさらす可能性があります。実務家がフォーラムで得られた情報を使用して連邦刑事違反を犯すつもりがない場合、フォーラムで質問をしたり、アドバイスを求めたりすることは犯罪を構成する可能性は低いです。しかし、法執行機関は、犯罪行為が行われているフォーラムや、犯罪行為に関する質問をしたり、犯罪行為に関する助言を求めることが犯罪が発生している可能性のあるフォーラムを調査しています。その結果、犯罪行為の議論に関係していると思われるフォーラムでの実務者の照会および他者とのやり取りが、実務者をフォーラムまたはそのメンバーの犯​​罪捜査に巻き込む可能性があります。

でもって、このような場合に、リスクが高いですよ、注意しましょうねで終わらないのが、アメリカのガイダンスの好きなところです。ガイダンスによると、

たとえば、サイバー脅威インテリジェンスの収集を実行するための運用計画を文書化し、オンライン活動と情報の収集および使用方法の記録を保持できます。犯罪捜査の場合、そのような記録は、彼らの行為が正当なサイバーセキュリティ活動であったことを立証するのに役立ち、従事する不正な従業員が、違法行為の行動をおこなったように見えるのとは対照的に、法執行機関が、会社の正当なサイバーセキュリティ操作を促進するために実行者の行動が実行されたと判断するのに役立ちます。

また、

また、組織は、フォーラム(およびその他の場所)で従業員および請負業者の活動を指導するために、責任ある弁護士と精査をなしたポリシーとプロトコルを確立する必要があります。

「エンゲージメントルール」または「コンプライアンスプログラム」を吟味することで、従業員が誤ってまたは意図せずに組織とその従業員を法的な危険にさらしたり、セキュリティを危険にさらすことを防ぐことができます。

これらのインテリジェンス収集活動に従事する前に、地元のFBI現地事務所またはサイバータスクフォースおよび現地の米国シークレットサービス現地事務所または電子犯罪タスクフォースとの継続的な関係を構築することにより、法執行機関に通知することも有益です。

法執行機関との早期の関与は、実務家の活動が、進行中または予想されることを意図せずに妨げないことを保証するのにも役立ちます。

法執行機関による調査。連絡先情報は、このドキュメントの最後に記載されています。

と記載されています。

会社での「サイバー犯罪に対する法執行のシステム的対応」というエントリでも触れたのですが、グレイゾーンでの活動を一線を超えないように、その線をはっきりとさせるためにシステムとして対応するというのがここにも出ています。その一方で、情報セキュリティに関する会社は、ちゃんとリーガルカウンセル(責任ある弁護士と訳しておきました)にお金を払って、エンゲージメントルールを完備するということが必要かと思います。

 ということでお仕事お待ちしています。

C シナリオ 3 (フォーラムにおいて他人と情報を交換する)

実務家がフォーラムのアクティブなメンバーになり、情報を交換し、他のフォーラムメンバーと直接通信すると、プラクティショナーは注意しないとすぐに違法行為に巻き込まれる可能性があります。覆面実務家は、実務家の「ペルソナ」を信頼することを学んだフォーラムの情報源から情報を抽出する方が簡単かもしれませんが、信頼を築き、仲間の犯罪者として善意を確立するには、犯罪を犯すのに、有用な情報、サービス、または使用可能なツールを提供する必要があるかもしうれません。このような活動に従事すると、連邦刑法に違反する可能性があります。

とされています。そして、

通常、犯罪が発生したかどうかは、個人の行動と意図にかかっています。実務家は、フォーラムで他人の犯罪目的を助長するような行為を避ける必要があります。実務家は犯罪を犯すつもりはないが、犯罪行為に従事している他の人を支援することは、連邦政府の教唆と幇助の犯罪となる可能性がある。それ自体で合法的な行為でさえ-犯罪を助長するものであり、犯罪の委任を促進する意図で行わる積極的行為をなした場合は、それ自体、連邦犯罪の教唆または幇助の責任を問われうる

とされています。また、共謀罪にも注意しなければならないとされています。

要するに、セキュリティ実務者は、犯罪の委員会で他の人を支援したり、犯罪が発生することに同意するような行動をとらないように注意する必要があります。この種の情報収集活動に従事する実務者は、犯罪行為を促進するために存在するオンラインサイトの文脈で、また犯罪を犯そうとしている個人とのコミュニケーションと行動が発生していることに留意する必要があります。実務家は、そのような犯罪を助長する可能性のある真実、正確、または有用な情報を提供することは避けてください。

実務家が連邦刑事捜査の標的になった場合、捜査官はおそらく、外因的および状況的証拠を使用して意図を決定しようとするでしょう。したがって、上記で提案したように、実務者とその雇用者は、フォーラムでの実務者の行動と実務者の活動に対する合法的なビジネス目的を記録した記録を維持し、合法的な動機を確立し、違法な活動を避けるための措置を講じる必要があります。

とされています。

 

 

 

脅威インテリジェンスサービスの利用とコンプライアンス(1)

私の情報セキュリティ上の法律相談で一番難問の一つに「ダーク市場で、会社のデータが流通しているようだが、それに金員を支払って購入していいのか」というものがあります。

この問題について検討した書類が、米国の司法省のサイバーセキュリティユニットから公表されています。

タイトルは、「オンラインサイバー脅威インテリジェンスを収集し、不法な情報源からデータを購入する際の法的考慮事項(Legal Considerations when Gathering Online Cyber Threat intelligence and Purchasing Data from Illicit Sources)」です。

この書類は、一種のガイダンスということになるかと思います。なので、脅威インテリ等ガイダンスとでもいえるかもしれません。

このガイダンスは、1 序 2 シナリオの前提 3 サイバー脅威インテリジェンス収集 4サイバーセキュリティを目的とした盗難データと脆弱性の購入 5 結論 からなりたっています。

1 序においては、このガイダンスが、司法省のサイバーセキュリティユニット(CsU)は、特定のサイバーセキュリティ対策の合法性について民間組織が提起した質問に応えて、この文書を作成したこと、その一方で、このガイダンスの事実関係については、小さな変更が法的変更をもたらすことがあるために、責任ある弁護士(リーガルカウンセル)と相談の上、このガイダンスを利用することが推奨されることが触れられています。

2 シナリオの前提においては、このガイダンスが、情報(つまり、サイバー脅威インテリジェンス、盗難データ、セキュリティ脆弱性、マルウェア)を取得する情報セキュリティ実務者対象としていること、ダークネットにおけるフォーラムにおいて上記の情報が取得されること、このフォーラムへのアクセス手法も問題とされることがありうることなどが議論されています。

次のエントリでは、3 以下について検討することにします。

 

 

「インターネット上の海賊版対策に関する検討会議」6回議事録

通信の秘密を検索して、自分に関する記事をみていたら、「インターネット上の海賊版対策に関す る検討会議」第6回の議事録が検索に上がってきました。

いわゆるブロッキング問題が議論された一連の会議で、最終的には、ブロッキング問題については、

知的財産戦略本部の全体の資料は、こちらです。

議事録としては、その19頁目で林委員から、「資料として「通信の秘密の数奇な運命(国際的な側面)」という高橋郁夫先生の 論文を提出させていただきました。この点について補足説明したいと思います。」という言葉がありました。

「通信の秘密の数奇な運命(国際的な側面)」というのは、「通信の秘密の数奇な運命」の3本目の論文になります。「憲法」「制定法」について、「国際的な側面」になります。
掲載されているのは、情報ネットワーク・ローレビュー 第15巻 情報ネットワーク法学会 編です。

この論文は、2016年の段階の論考で、構成としては、

1 問題の所在と分析の枠組み
2 通信主権の概念
2.1 用語としての通信主権
2.2 国家主権の概念と通信との関係
3 国外からの通信に関する問題
3.1  国外からの通信に対する国内の通信資産等の防衛の問題
3.2 ギャップの解消のアプローチ
3.3 具体的な解釈論への展開
4 国外への通信の問題点
4.1 国外への通信の分析の枠組みについて
4.2 対外的なサイバー作戦の諸問題
4.3 民間の行為の諸問題
5 結論
となっています。

ご紹介いただいた部分の記述ですが、
「現時点においては、「プロバイダ責任制限法 著作権関係ガイドライン」が明らかにされており 、特定電気通信による情報の流通によって自己の著作権等を侵害されたとする者は、関係するプロバイダ等に当該著作権等を保有することを明らかにして、それを侵害する情報の送信を防止すべきことを求めるという仕組みが準備されている。しかしながら、この関係するプロバイダ等が国外にある等の場合において、どのようにこのような権利者の立場を確保するかという点については、いまだ、仕組みが存在していない状態である。この場合に、著作権者等が、プロバイダ等に対して、その海外からの通信を我が国において、遮断すべきという裁判を求めるということが想定されうる。この場合には、海外における通信の秘密、プロバイダ等における通信の裁量などが比較考量されるものと考えられる。この比較考量の場合に、海外からの通信であることがひとつの要素として考慮され、我が国の法のもとにおいては、秘密として保護が保証されるものではないと考えられる。」
となっています。

そして、宍戸常寿先生から
「2点目は、林先生から提出いただきました高橋郁夫先生の御論文というのは大変有名な論文でございまして、通信の秘密について立ち入った議論をしている方というと高橋先生という感じで、私もよく勉強させていただいているのですが、ここで議論の前提になっているのは、やはり通信主権をどう確保するか。その観点から、国内通信と国際通信を分け
るか、分けないか、非常に大きな論点がここに潜んでいた上での高橋先生の御見解であり、利益衡量だと思っております。 」
とご評価いただきました。(議事録22頁)

通信の秘密の他の論文に比較すると国際的な側面というのは、マニア向けのもののような感じで書いていたのですが、「大変有名な論文」という評価をいただきまして、本当にありがたいことだなあと思っています。

ちなみに、「通信の秘密の数奇な運命」なんですが、ルーカスばりに、いろいろなエピソードでサーガにできるなあと考えています。
エピソード1 憲法制定前の日本における通信の秘密
同2 憲法編
同3 制定法(上)
同4 制定法(下)
同5 電波法編
同6 国際的な側面
同7 比較法編(イギリス編)
同8  同(アメリカ編)
同9 わが国における制定法とその解釈について
あたりでしょうか。現時点では、1、2、3、6については、発表済みですが、平成以降の発展をまとめる、エピソード4については、構想だけというのが悲しいところです。それこそ、総務省のしかるべきところが、調査するべきかと思うのですが、それも期待できないと思っていますので、なんとかしたいです。

実は、電波法編は、このシリーズに組み込めるのではないか、と今、考えていたりします。

ちなみに、著作権と通信の秘密との関係については、私の会社のほうで「諸外国におけるインターネット上の権利侵害情報対策に関する調査研究の請負」報告書としてまとめています。

私としては、著作権と通信の秘密との関係については、この総務省の報告書や沖縄ICTフォーラムでの発表(これについては、ここで)とかで、考えを整理したところがあります。

昨年の議論としては、「ブロッキング」という用語で、サーベイランス・モニタリングをいうものと定義して、その定義に伴う広さを攻撃したというところがあると考えています。むしろ、プロバイダの拡散停止の権利という整理をすれば、これは、なんら「通信の秘密」との関係が生じるものではないと考えています。

「企業におけるITシステム利用時の機関設計と内部統制」が弁護士ドットコムに掲載されました

「企業におけるITシステム利用時の機関設計と内部統制」が、弁護士ドットコムに掲載されました。アドレスは、こちらです(https://business.bengo4.com/practices/1044)。

自分の監査委員の経験をももとにまとめた小論です。お役にたてますと幸いです。

ちなみに、任期満了により社外取締役を終了しておりますので、もし、社外取締役の人材を求めているという会社さんがおられましたら、候補としてお考えいただけると幸いです。

「情報漏えいが疑われる場合の対応方法」が、弁護士ドットコムに掲載されました

タイトルのとおりですが、「情報漏えいが疑われる場合の対応方法」が、弁護士ドットコムに掲載されました。アドレスは、こちらです(https://business.bengo4.com/practices/1043)。

吉本の問題にしろ、クライシス・コミュニケーションの手法が議論されたりすることも多いですが、この原稿は、そのような論点も、エクササイズ (セキュリティ業界的にはTTXと呼んでいたりします)によって、上手に対応できるのではないか、という観点から、触れています。

デジタル法務の実務Q&A 11月上旬発売です

 

 

 

 

 

 

「デジタル証拠の法律実務Q&A」に次ぐ、デジタル法シリーズ第2弾である「デジタル法務の実務Q&A」が、11月上旬に発売になります。

情報ガバナンスをベースに不正調査・個人情報保護、GDPR、仮想通貨、AI、APIなど現代社会で問題になる論点できる限りカバーしています。

あと、刑法の部分がすごく充実しています。デジタル証拠本は、官公庁にも支持されたと聞いています。官公庁さん、この本もよろしくお願いします。

デジタル証拠の本が、これだけ支持されたというのは、社会のデジタル化が、ついに法曹界も無視できないレベルにいたったということなのだろうと思います。しかしながら、社会は、その間に数歩も進んでいます。その社会にキャッチアップするというのが、この本のミッションです。チャットボットの設計図まで公開して、なんちゃってAIの法律問題を検討していたりしています。

ご購入いただけると幸いです。

「データ戦略と法律 攻めのビジネスQ&A」献本いただきました。

「データ戦略と法律 攻めのビジネスQ&A」中崎先生より献本いただきました。ありがとうございます。

一弁 IT法部会の最初の企画の時から、この本については、知っておりまして、「データ戦略」という観点から、編集され、しかも、データというもっとも重要な経営資源を、積極的な機会(オポチュニティ)として捉えていくというのは、非常にいい企画であると思っておりました。がきわめてお忙しくしているのを横目でみながら、完成は、遠くなるのかなと思っておりましたところ、怒濤のラストスパートで、10月に公刊されたということで、非常に、すばらしいと思っています。

なんといっても、IT関係の書籍は、生鮮食料品ですので、企画から、公表まで、如何にタイムロスをなくせるのか、ということが重要ですし、特に「データ戦略」という、さすが日経さんの企画、という感じを与えるためには、適時であることがもっとも重要と思います。帯にも「日本企業よ、後れをとるな!」とあります。

内容についてですが、

  • 1章 総論
  • 2章 積極的なデータの利活用
  • 3章 経営管理等とデータの活用
  • 4章 セキリティ管理、有事対応
  • 5章 データ戦略と関連する法律

となっています。

データ戦略という用語の解説が、最初にないので、ちょっと、とっつきにくいかもしれませんが、データマネジメント(1-3)の説明は、理解を進めてくれるでしょう。「デジタル証拠の法律実務Q&A 」などを読んでいる人は、理解が進むかとおもいます。フレームワークの説明(1-5)、法務との関係(1-6)は、基本的な知識として重要ですし、また、データのライフサイクルに関連してのまとめのアプローチ(1-7)は、参考になります。個人的には、文書の電子化についてのまとめは参考になります(1-12、13)。

2章では、データのライセンス契約(2-3)、企業ポイントの利用(2-5)、DMP(2-7)などのテーマは、きわめてオリジナルなテーマ設定、解説といえるでしょう。

3章以降についても、きわめてタイムリーなテーマが選ばれており、購入を強くお薦めします。

私的には、日経さんに、むしろ、この本と対になるような「データ戦略」の実務として、

  • 企業におけるデータには、どのようなものがあるのか
  • それをどのような手法で取得できるのか
  • 分析の手法はどのような原理/プロセスか
  • それを経営にどのように役立てているのか

というのを説明する本を作ってもらいたいと思いました。

そのような実務の手ほどきを受けながら、それらの法的な裏付けを、この本で補充するというのが理想的な使い方になるのではないか、と考えたところです。