「データ戦略と法律 攻めのビジネスQ&A」献本いただきました。

「データ戦略と法律 攻めのビジネスQ&A」中崎先生より献本いただきました。ありがとうございます。

一弁 IT法部会の最初の企画の時から、この本については、知っておりまして、「データ戦略」という観点から、編集され、しかも、データというもっとも重要な経営資源を、積極的な機会(オポチュニティ)として捉えていくというのは、非常にいい企画であると思っておりました。がきわめてお忙しくしているのを横目でみながら、完成は、遠くなるのかなと思っておりましたところ、怒濤のラストスパートで、10月に公刊されたということで、非常に、すばらしいと思っています。

なんといっても、IT関係の書籍は、生鮮食料品ですので、企画から、公表まで、如何にタイムロスをなくせるのか、ということが重要ですし、特に「データ戦略」という、さすが日経さんの企画、という感じを与えるためには、適時であることがもっとも重要と思います。帯にも「日本企業よ、後れをとるな!」とあります。

内容についてですが、

  • 1章 総論
  • 2章 積極的なデータの利活用
  • 3章 経営管理等とデータの活用
  • 4章 セキリティ管理、有事対応
  • 5章 データ戦略と関連する法律

となっています。

データ戦略という用語の解説が、最初にないので、ちょっと、とっつきにくいかもしれませんが、データマネジメント(1-3)の説明は、理解を進めてくれるでしょう。「デジタル証拠の法律実務Q&A 」などを読んでいる人は、理解が進むかとおもいます。フレームワークの説明(1-5)、法務との関係(1-6)は、基本的な知識として重要ですし、また、データのライフサイクルに関連してのまとめのアプローチ(1-7)は、参考になります。個人的には、文書の電子化についてのまとめは参考になります(1-12、13)。

2章では、データのライセンス契約(2-3)、企業ポイントの利用(2-5)、DMP(2-7)などのテーマは、きわめてオリジナルなテーマ設定、解説といえるでしょう。

3章以降についても、きわめてタイムリーなテーマが選ばれており、購入を強くお薦めします。

私的には、日経さんに、むしろ、この本と対になるような「データ戦略」の実務として、

  • 企業におけるデータには、どのようなものがあるのか
  • それをどのような手法で取得できるのか
  • 分析の手法はどのような原理/プロセスか
  • それを経営にどのように役立てているのか

というのを説明する本を作ってもらいたいと思いました。

そのような実務の手ほどきを受けながら、それらの法的な裏付けを、この本で補充するというのが理想的な使い方になるのではないか、と考えたところです。

 

 

 

「アメリカプライバシー法 連邦取引委員会の法と政策」献本いただきました。

昨年度の総務省の調査でお世話になりました宮下先生、板倉先生が翻訳に参加しております「アメリカプライバシー法 連邦取引委員会の法と政策」を献本いただきました。

米国のプライバシーについて、ある程度分かっているつもりでも、おおよその枠組とFTC5条に基づいた権限行使がなされることくらいしか、了解していなかった私にとって、このような形で、体系的に詳細な知識をまとめて手にいれることができることは非常に助かります。

我が国でも、マーケティング対策活動に対する取り組み(4章)は、なじみがあることかもしれませんが、子供のプライバシー(2章)、情報セキュリティ(3章)、金融プライバシー(5章)における叙述は、きわめて新鮮なのではないでしょうか。

個人的にも、COPPAや公正債務取立法(FDCPA)までは、さすがに調査・研究する機会がなかったので、役に立ちます。また、情報セキュリティ問題についてのFTCの活躍は、非常に興味深いです。特に、情報セキュリティに関する考察は、法と経済などの知識を背景に、深く読み進めると、さらに、理解が進むような気がします。日本において、その分野の研究がほとんどない(というか、どうせ、理解されることはないだろうとあきらめているように思えます)点から、非常に重要な分析です。

世界的には、EUのデータ保護指令から始まって、GDPRのインパクトが非常に強く、ある意味、(データ保護という)理念的なアプローチが強いわけですが、世界的に、みてみると、全く別個のアプローチというのは、興味深いと思います。

なので、プライバシーやセキュリティを語る人は、ぜひとも購入をお薦めします。

 

 

電気通信事業分野における競争ルール等の 包括的検証の検討体制(案)について

総務省 総合通信基盤局から「電気通信事業分野における競争ルール等の 包括的検証の検討体制」案が公表されています

そこでは、「ネットワーク中立性」「プラットフォーム(トラストサービス含む)」 「モバイル市場の競争」のための研究会が新設されることが明らかにされています。

ネットワーク中立性の在り方に関する研究会とプラットフォームサービスに関する研究会とは、それぞれ、具体的に分析しておくことにしましょう。

イタリアのGDPRと国内法の統合

イタリアの個人データ保護に関する法が、2003年個人データ保護法典(Codice in Materia di Protezione dei Dati Personal)(Legislative Decree no. 196 of 30 June 2003、2003年政令196号)であること、全体が、1部(一般規定)、2部(特定セクター)、3部(救済及び制裁)と附則A及びBに分かれていることは、ITリサーチ・アートの総務省GDPR報告書に記載されています(100頁)。

統合に関する法は、政令2018年101号になります。名称は、「GDPRの国内法制への適用(l’adeguamento)に関する規定」(DECRETO LEGISLATIVO 10 agosto 2018, n. 101.Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). (18G00129)です。

適用法は、
1 章 個人データ保護法典の名称変更

1条 2003 年個人データ保護法のタイトルと規定の変更
1条は、2003年法の「個人データ」のあとに、「国内法をGDPRに適合させるための規定を含む」という用語がはいることなどを論じています。

2章 個人データ保護法のパート1への変更

2条 パート1、タイトル1の改正

2条は、2003年法の「1部 一般規定  タイトル1 一般原則(1条-6条)」に関する規定になります。
タイトル1が、「原則および一般規定(Principi e disposizioni generali)」に変わり、1条の前に、1章(対象、目的、監督機関(Oggetto, finalità e Autorità di controllo))が挿入されます。
そして、1条が、個人データの取扱は、GDPRによってなされること、2条は、目的として国内法を規則に適合される規定を含むこと、が論じられています。
2条2項以降は、国内法的な観点からの規定が述べられています。
具体的には
2条2項(監督機関)
このあとに
2章(原則)という用語が追加されます。そして、それに該当する規定は、2条3項からになります
同3項(公的利益または、公権力の行使に関する個人データの取扱に関する法的根拠)
同4項(専門職規範)
同5項(情報社会サービスに関する未成年者の同意) これは、14歳以下について、保護者の責任ということが明らかされています。
同6項(公的利益を理由とする特別カテゴリの取扱)
同7項(遺伝・生体・健康データ取扱についての保障手段) これは、GDPR9条4項で追加できるというのに基づくものであって2年ごとに保障する手段がとられるものとされています
同8項(刑事判決および犯罪に関するデータの取扱に関する原則)
同9項(大統領、下院、上院および憲法裁判所における取扱)
同10項(利用し得ないデータ)
このあとに、

2003年法典における
3章(利害関係人の重要な権利の規定-Disposizioni in materia di diritti dell’interessato)

2条11項(利害関係者の権利の制限)
同12項(司法の理由による制限)
同13項(死亡した人の権利)

さらに2003年法典における
4章(取扱権限者および取扱責任者の規定 Disposizioni relative al titolare del trattamento e al responsabile del trattamento)

2条14項(目的のための機能およびタスク)
同15項(公益業務遂行たのめの高リスクの取扱)
同16項(司法権における機能遂行のためのデータ取扱の責任者)
同17項(国家的認証機関)
の規定が定められています。

3章 個人データ保護法典 パート2の改正

2003年法典のパート2は、特定セクターに適用される規定です。これが、上記政令2018年101号によって改正されることが、同政令3条によって明らかにされています。
同条は、「規則9章の取扱規定に含まれない公益の実行における法的義務に必要な/公権力の行使に関連する取扱の特別の規定」とパート1のタイトルを変更することになります。
また、同条によってタイトル1の前にタイトル0.1として司法における規定が挿入さるとともに、法典45条2項(法的根拠) 具体的なき規定は、規則の6条パラ2によることが述べられています。
4条 法典58条のタイトル変更
5条 法典59条の読み替え等
6条 法典75条(情報の特別の条件)の改正
7条 法典96条(教育データの取扱)の改正
8条 法典97条、99条、100条等の改正
9条-12条まで 省略

4章 個人データ保護法のパート3への変更

2003年法典のパート3は、救済および制裁の規定です。これが、上記政令2018年101号によって改正されることが、同政令13条によって明らかにされています。
同条によってタイトル1の前にタイトル0.1として保護のためのその余の形態が挿入さるとともに、法典の141条から144条までが、修正されています。
同14条 法典パート3 タイトル2の修正
これは、独立の監督機関(153条以下156条)の修正規定を定めるものです。
同15条パート3 タイトル3の修正
これは、罰則の規定(法典166条ないし171条)を修正するものです。
同16条 法典附属文書Aの名称の変更

5章 手続的規定
6章 経過規定等

となっています。

イタリアにおけるGDPRの国内への統合の概要

イタリアのGDPR施行法が明らかになりました。法案の官報は、こちらからみれます

この点についての記事(「イタリアは、GDPRを国内プライバシー法制に統合」)は、こちらです。

具体的な内容の概要について、簡単に紹介しておきます。

趣旨は、GDPRを国内法に統合するためのものです。

条文は、27条から成り立ちます。

章ごとにみると

1章 2003年データ保護法典の題および規定の変更( 1条 )

2章 2003年データ保護法典の1部に対する変更(2条(1)-(17))

3章 2003年データ保護法典の2部に対する変更(3条-12条)

4章 2003年データ保護法典の3部に対する変更(13条-16条)

5章 手続的規定(17条)

6章 経過、最終および財政的規定(18条-27条)

となっています。

具体的な内容については、次にみていきましょう。

 

 

 

日本IT団体連盟 政策委員会「知的財産戦略本部・インターネット上の海賊版対策に関する検討会議への提案」について

「インターネット上の海賊版対策に関する勉強会」(平成30年8月10日開催)の資料 のその他の「日本IT団体連盟 政策委員会「知的財産戦略本部・インターネット上の海賊版対策に関する検討会議への提案」」をみていきましょう。

これは、「アクセス集中方式 」と名付けられているもので、要は、海賊版サイトにDOS攻撃をしかけてアクセスできないようしましょう、という提言です。
これは、アメリカであれば、SOPA法で議論されたところです。この点については、ITリサーチ・アート「諸外国におけるインターネット上の権利侵害情報対策に関する調査研究の請負-報告書-」報告書の 193頁をごらんください。手続保障やその効果の問題点などから、法的にも、採用し得ないものとして解決されたものと考えたのですが、よみがえってきました。特にサイトが国外のstuffですと、制度設計にもよりますが、その国のポリシによって、武力攻撃と認識されたり、国際的違法行為と認識されうるという問題もでてくるところです。

個人的には、サイバーセキュリティ的な問題に対して、このような手法は、効果的なコントロールのもとで行う方法は適法性を議論してもいいかとは、考え始めてはいるのですが、著作権の侵害については、急迫不正の侵害なのか、という点から、この提案については、非常に疑問を有しています。

あと、これについては、JAIPAが「当協会は全く賛同するものではありません。」というアナウンスをだしていたりします

インターネット上の海賊版対策に関する勉強会 資料(下)

好き続いて「インターネット上の海賊版対策に関する勉強会」(平成30年8月10日開催)の資料をみていきます。

資料9 これは、「アクセス制限に関する請求権の考え方について(森田教授ヒアリングメモ)」になります。

論点1 イギリス等と同様に、アクセスプロバイダ自らが著作権侵害を行っていないにもかかわらず、海賊版サイトへのアクセスをブロックする義務を負うと法律上位置付けることは、日本の民事法上可能か。

「海賊版サイトへのアクセスをブロックする義務を負うと法律上位置付ける」という問題の設定自体が妥当なのか、という気がしますね。そもそも、EUの著作権指令については、プロバイダのモニタリング義務を否定しており、そのなかで、ブロッキングを基本権の衝突のなかで位置づけてます。事務局自体が、モニタリング義務の問題と裁判所の判決にもとずくブロッキングをわけているのか、微妙だったりします。

あと、「日本法の中に類似の権利義務が存在しない」としていますが、私個人的には、ISPのデューデリジェンスの責任が現実の悪意によって生じるという解釈論をとっていて(私のエントリだとここらへん)、この理は、わが国の法理のなかでも、微妙ではあるものの民法717条の土地の工作物等の占有者及び所有者の責任にその意図をみることができる、と考えています。デューデリジェンスの責任についての考え方が、現在、一般的になりつつあることは、ふれるまでもないことかと思います。

論点2 「サイトブロッキング請求権について、実体法上の権利として存在するが訴訟上でのみ行使できる権利、または裁判によって初めて形成される権利とするような制度設計は、どのような場合に採用されることが適当か。著作権侵害についてそのような制度設計を行うことは許容されるか。また、妥当か。」

これも、実体法上の請求権があるけど、他の権利との衝突があるので、裁判所の判断を待ってね、というのは、総務省消費者行政課さんお得意の立て付けですね(eg 発信者情報開示に関する逐条解説をみよ)。
なので、論点の設計が微妙ですね。

資料10-1 「海外事業者を相手方とした発信者情報開示・差止請求について(神田弁護士ヒアリングメモ) 」になります。

これは、現在の法および運用を前提として、CDNに対するケーススタディということですね。解釈論的なものとしての示唆というよりも、実際の実務ということから、非常に参考になります。いま、ひとつは、今回の動きが、このような努力がなされた上の話ではないことを物語っているような感じですね。

資料10-2「Cloudflareに対する差止請求・発信者情報開示請求」になります。

これは、差止請求と発信者情報開示請求に関する個別の論点についての簡単なメモになります。

資料10-3 「ブロッキング問題に関する意見書」です。
これは、「インターネット上の権利侵害に対する被害救済に取り組んでいる弁護士」による意見書になります。
「違法行為を行っている者に対する法的アクション、つまり、海賊版サイト運営者を特定して、海賊版サイトに対する差止め・損害賠償等がなされることが本来的な方法であります。」として、「Whois等から容易にサイト運営者を特定出来る場合もあり、また、プロバイダ責任制限法に基づく発信者情報開示請求等を用いて、サイト運営者を特定することも可能ですので、まずはこれらの措置による方法をコンテンツ事業者が実施すべきだと思います。」としています。
また、「CDN事業者に対する送信防止措置請求や発信者情報開示請求の実効性があるのですから、コンテンツ事業者が送信防止措置や発信者情報開示について十分なスキルを持つ弁護士に依頼をした上で、裁判手続きを行い、実際的な問題点を顕在化させた上で、海賊版サイト対策の在り方の検討していただきたいと考えています」等としています。

この点は、全くそのとおりなので、法的手法があって、それが有効であるかの調査もしないで、政治問題化しようという文化そのものが問われているのかもしれません。

資料11は、次のエントリで。

インターネット上の海賊版対策に関する勉強会 資料(上)

「インターネット上の海賊版対策に関する勉強会」(平成30年8月10日開催)においていろいろな資料があげられています。

1.これまでの海賊版対策の取組

資料1 : Google提出参考資料
これは、Google社が、DMCAなどに基づく法的要請に基づいて、通知を送付していること、法的要請をなす場合の要件、継続的リクエストのためのプログラム、ランキングへの反映、「資金源を追え」への活用などが紹介されています。また、透明性の重視についての説明もなされています。

資料2 : 上沼弁護士ヒアリング結果(事務局資料)
これは、Appleの場合のフィルタリングの話、EMA解散後のモニタリング体制などが紹介されています。なお、EMAのコスト負担について「大手携帯ISP事業者にコスト負担を依頼したが、調整が合意に至らなかった」という記載もあり、興味深いです。
その一方で、違法なサイトをみたいという人がいて、それに見せないというブロッキングのモデルと、親などのみせたくない人がいて、フィルタリングするという場合とでは、インセンティブが全く異なるわけなので、それは、参考になるのかな、というところもありそうです。

2.ブロッキングの手法及び効果

資料3 : 前村委員提出資料
ISOC Board of Trustees 江崎 浩先生の「Internet Society Perspectives on Internet Content Blocking: An Overview」に関してのペーパーです。JPNICの訳も追加されています。
コンテンツ遮断技術は 2 つの主要な欠点を持つ傾向にある:として「1. 問題を解決しない」「2. 副次的被害を引き起こす」ということになります。

3.法制度・運用に関する基礎的情報
資料4 : 総務省提出資料
これは、「電気通信事業法及び通信(信書等を含む)の秘密」という資料です。
法律家が書くのなら「日本国憲法第21条第2項の規定を受け」とか書くな、と突っ込みたいのですが、まあ、世界観が違うのでしょうがないですね。
あとは、内容的にはお約束のものなので、コメントは、省略。

資料5-1 : 総務省提出資料
これは、「プロバイダ責任制限法の運用」という資料です。プロバイダ責任制限法の素人むけ解説なので、解釈論の参考にはならずですね。
個人的には、「具体的な悪意」の場合における導管プロバイダの削除権限というのが、プロバイダ責任制限法との関係でどうなるの?というのを問題提起しているのですが、その点については、コメントはないですね。(当然か)
「送信を防止する措置を講じた場合」というのは、導管プロバイダに適用があるのでしょうかね。EU指令もみて作成されているはずなのでしょうが、用語法において情報社会サービス一般なのか、導管プロバイダへの適用が想定されていたのか、とか個人的には興味をもっていたりします。

資料5-2 : 総務省提出資料
これは、プロバイダ責任制限法の条文。

資料6 : 文化庁提出資料
「著作権等の侵害行為及び「侵害とみなす行為」について」という資料です。ただ、条文の解説ですね。

資料7 : 文化庁提出資料
「違法配信からの私的使用目的の録音録画の違法化について」という資料です。これは、平成21年の著作権法改正についての簡単なコメントです。
個人的には、もともと違法な複製であった(私的複製にはあたらない)のを明らかにしたと位置づけているのですが、その意味では、漫画の複製物とそのダウンロードについての私的複製についての権利制限は、未解決であるということになりますね。

資料8 : 法務省提出資料
「我が国における国際裁判管轄及び準拠法に関する一般的な規律について」という資料です。
余りに一般的すぎて、あまり役にたたないような感じですね。特に著作権法については、どうなるかというところのあてはめは、おもしろいところかもしれません。結果発生地ってどこなか、サーバの存在地のもっている意味は?CDNの所在地は、とかあたりの影響とかも、当てはめてみたいところかもしれません。ただ、基本的には、日本市場においての損害なので、日本でできるだろうし、また、実効性あるところの裁判所に求めればいいのだろうし、その場合に日本国法である日本の低触法の規定を語っても?だったりします。

資料9以下については、次のエントリです。

「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第三次取りまとめ」(3)

(4)マルウェアに感染し得る脆弱性を有する端末の利用者に対する注意喚起です。

ここで問題となっているのは、
「近年、IPアドレスを広範にスキャンしてパスワード設定の不備等の脆弱性を有する端末を即座に感染させるマルウェアも出てきており、インターネットに接続されるカメラやセンサーなどの機器が爆発的に増加」している
という認識を前提にして、

信頼できる第三者機関からの情報提供を受けること

により

ISPが脆弱性を有する端末を認識した場合において、当該端末のIPアドレス及びタイムスタンプと当該IPアドレスの割当て状況を確認して当該端末の利用者を割り出し

電子メールの送付等の方法で個別に注意喚起を図ることが考えられる

という手法です(同8頁)。

この問題について、結局、契約約款等に基づく事前の包括同意であっても、当該注意喚起を行うための通信の秘密に属する事項の利用等について有効な同意があるといえるものと考えられる、としています。また、正当業務行為として許容されるものとされています。

私の立場からするときに、第三者機関からの情報提供をうけることが積極的な取得に該当するのか、という問題についていえば、これ自体が、伝達に必要な取得ということではないので、積極的な取得行為ということになるのかと思います。その意味では、とりまとめと同様の理によって違法性がないという形で整理されることになります。

このとりまとめをみていくときに、もともとの「通信の秘密」が肥大化しているために、正当業務行為の法理にかなりの部分を頼らなくてはならなくなっている、ということができるかと思います。その意味で、正当業務行為自体も肥大化しているわけです。いま一つ、特に取得行為レベルの正当化が考えられているために、注意喚起なのか、遮断なのか、という終局的な行為への注目が弱まっているということもいえるかと思います。

結果としては、正当な結論が導かれており、ISPや総務省の担当課の努力は、甚大なものがあると認識されるわけですが、もともとの枠組がもたらしているセキュリティ維持行為に対する萎縮の効果というのは、否定できないだろうという感を強くします。

「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第三次取りまとめ」(2)

「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第三次取りまとめ」のうち、このエントリの(1)では、マルウェアに感染している可能性が高い端末の利用者に対する注意喚起についてについてみました。

このエントリでは、

(2) マルウェアに感染している可能性が高い端末の検知
(3) C&C サーバである可能性が高い機器の検知
についてみていきます。

(2) マルウェアに感染している可能性が高い端末の検知
これは、手法としては

  • C&Cサーバに関する情報等に基づいてC&Cサーバである可能性が高い機器を把握した上
  • DNSサーバ又はルータ等(以下「DNSサーバ等」という。)において、C&Cサーバである可能性が高い機器のFQDN又はIPアドレス、ポート番号及びタイムスタンプと、DNSサーバ等において把握される通信のFQDN又はIPアドレス、ポート番号及びタイムスタンプとを照合する
  • C&Cサーバである可能性が高い機器と通信している端末を割り出し、当該端末に係るIPアドレス、ポート番号及びタイムスタンプを記録
  • IPアドレス及びポート番号の割当て状況を確認して当該端末の利用者を割り出す

という手法が紹介されています(6頁)。

分かりやすくいえば、ダークなサーバを自らの調査や情報提供機関から得た情報でもって、チェックして、ダークとしてマーク、そして、そのサーバと通信している端末を確認、その端末利用者を割り出す、ということです。

割り出してどうするか、問えば、「利用者の通信を識別してC&Cサーバである可能性が高い機器と通信している端末を把握し、当該端末を注意喚起の対象とすることが考えられる」ということになります。

とりまとめでは、16頁以降において、「原則として個別具体的かつ明確な同意を取得することが必要となる」として、その例外である「契約約款等による包括同意を行った当時において予測し得なかった事情が生じた場合についても、随時、利用者が同意内容を変更することができるといえることから、将来、利用者が不測の不利益を被る危険を回避できる」から、包括的同意として、これらの行為が行えるとしています。

また、16頁以下では、緊急避難または、正当防衛としては、整理されることはないとし、また、自主的な取り組みだから、法令に基づく行為には該当しないこと、また、「役務提供に支障が生じるおそれがあるか否かが不明確な段階で、利用者全体を対象として行う取組であるから、行為の必要性、手段の相当性が肯定し難」いとして正当業務行為として整理することは困難としています。

通信データでもって、他の利用者に迷惑を受けている相当の嫌疑があることを判断しているにすぎないわけですし、そして、利用者にあなたの端末が、ネットワーク秩序を乱しているかもしれませんよ、注意してね、という注意喚起をしていることになるわけで、はたして、とりまとめのような整理が妥当なのか、というのは、きわめて疑問に思います。

セキュリティ目的のために、通常のネットワーク管理のためになす通信データの取得の行為は、「積極的な取得」という概念に該当しないといえば、いいような気がします。また、そして、利用者において、ネットワーク秩序違反についての相当な嫌疑があるのであれば、それについて、その通信データを利用して、利用者への周知をすることは、「窃用」(自己または他人の利益のために利用すること)とはいえないように思えます。

そもそも、プロバイダのようなインターネット媒介者の役割を正当なものとして、それを認めて、場合によっては、支援していくべきと認識することが必要かと思います。それこそ、利用者は、そのような行為を支持すると思われます。インターネット媒介者の行為を、基本的に、「通信の秘密」侵害として、正当化事由を、それこそ、総務省担当課が認めた場合でないとできませんよ、というのは、現代社会において健全なインターネットに対してプロバイダがはたすべき役割を過少評価しているように思えます。

(3) C&C サーバである可能性が高い機器の検知

これは、具体的には、

  • マルウェアに感染している可能性が高い端末の通信を割り出し、当該通信の相手方のFQDN又はIPアドレス、ポート番号及びタイムスタンプを記録
  • 記録を対象として、マルウェアに感染している可能性が高い端末が集中的にアクセスしているかといった相関関係の分析等を行う
  • C&Cサーバの可能性が高い機器を割出
  • 当該機器宛ての通信を遮断する方法

いった手法が紹介されています(同7頁)。

C&Cサーバのテイクダウンといわれる手法の一つということになります。

この手法について、とりまとめでは、有効な同意があるといえると整理し、その一方で、違法性阻却事由があると整理するのは、困難であるとしています。

私の立場からはどうなるのか、ということになると、(2)と、比較すると、最後の「当該機器宛ての通信を遮断する」という点での違いが発生することに気がつきます。

積極的な取得に該当しないとしても、このような場合が、「窃用」に該当しないのか、というのは、利用者への連絡というのではなく、通信の遮断という点から検討されるべきことになります。

「利用する」といっても、通信データをもとに、契約条項にもとづいて、通信を遮断するということになるのでしょうから、そのような遮断が許されるのか、厳密に評価されることになるのかと思います。(注意喚起とは、レベルが違う用に思えます)

この場合は、まさに、プロバイダの行為規範が準備されて、それに基づいて遮断がなされるのか、ということになるのだろうと思います。そのような行為規範に基づいた場合が、「窃用」であり、行為規範について一顧だにせずになした場合には、通信の秘密に対する侵害という整理がなされてしかるべきなのであろうと考えます。

「(4) マルウェアに感染し得る脆弱性を有する端末の利用者に対する注意喚起」については、次のエントリで。