(株)MTGOX~破産から一転、民事再生開始決定~

(株)MTGOX~破産から一転、民事再生開始決定~ 破産手続き中だった(株)MTGOXが6月22日、東京地裁から民事再生開始決定を受けました。

東京商工リサーチの記事は、こちら

管財人のアナウンスは、こちら

破産法103条は、
「破産債権者は、その有する破産債権をもって破産手続に参加することができる。
2 前項の場合において、破産債権の額は、次に掲げる債権の区分に従い、それぞれ当該各号に定める額とする。
一 次に掲げる債権 破産手続開始の時における評価額
イ 金銭の支払を目的としない債権
ロ 金銭債権で、その額が不確定であるもの又はその額を外国の通貨をもって定めたもの
ハ 金額又は存続期間が不確定である定期金債権」
と定めています。従って、日本の破産法上、届け出られた日本円以外の外貨及びBTCは、全て日本円に換算する必要があるということになります。

Mt.Gox事件においては、換算レートは、東京地方裁判所と協議の上、日本の破産法にしたがって、破産手続開始日の直前(2014年4月23日日本時間23時59分)(日本時間)のCoinDesk BITCOIN PRICE INDEXのビットコイン相場(1ビットコイン=483ドル=50,058.12円になると破産管財人はしていました。現在では、市場価格が高騰したこともあって、このまま手続を進めると、100%の配当で残余は、株主に返還されるということになると考えられました。

民事再生の申立てがあると、裁判所は、破産手続・会社整理手続・特別清算手続を中止することができます(民事再生法26条1項)。また、すでに破産手続中の場合には、破産手続は効力を失うことはないが、手続が中止となり(同39条)、再生計画の認可決定が確定した段階で、初めて中止していた破産手続が失効することになります(同184条1項)。

対ボットネットの法律問題の総合的考察 その8-ドイツにおける乗取り、ボット中立化技術

ドイツにおける乗取り、ボット中立化技術にわけて、具体的な法的問題を分析しようと考えています。このシリーズのエピソード8になります。
なんといっても、セキュリティの防衛のために、侵入・改変というハッカー技術をつかうことができるのか、使ってでも防衛すべきなのではないか、というダークサイドとライトサイドのせめぎ合いが、その本質的な問題を提起するものといえるでしょう。
というか、エピソード8というのは、このようなものでなければならないはずですね。

ボットネットの乗っ取り

ハニーポットが、通信の当事者、テイクダウンが、通信停止に比較すると、「乗っ取り」というのは、防御側がボットへの侵入に成功し、偽のC&Cサーバからの通信を受けいれるように成功することに特徴があります。

「乗っ取り(takeover)」のためには、暗号を破り、マルウエアやC&Cサーバのソフトウエアのリバースエンジニアリングをします。ホストの感染を解毒することで、効果的、かつ早急にボットネットを破壊することができるようになります。感染したワークステーションにパッチを配布することでセキュリティ脆弱性を除去することができ、感染から予防/停止することができます。
しかしながら、遠隔で、除去をはかることは、処理の誤動作やシステムクラッシュを招きかねません。その意味で、種々の法律問題を惹起するといえるでしょう。

ドイツ刑法において、ボットネットの乗っ取りは、データスパイと「ハッキングツール」の利用に関する202a条(データエスピオナージ)と202c条(データの探知及び取得の予備-ハッキングツール利用)の問題を惹起します。
202a条は、でふれました。

刑法202条c データの探知及び取得の予備
 1 データ(第202条a第2項)へのアクセスを可能にするパスワード若しくはその他のセキュリティ・コード、
又は
2 これらの行為の遂行がその目的であるコンピュータプログラム
を作成し、自ら入手し又は他の者に入手させ、販売し、他の者に譲渡し、頒布し又はその他アクセスさせることにより、第202条a又は第202条bに定める犯罪行為の予備を行なった者は、1年以
下の自由刑又は罰金に処する。
第149条第2項及び第3項が準用される。

とされています。これらの犯罪の成否については、行為者の意図(benevolence)は、関係がないとされている。なので、いかに防御の趣旨であるとしても、202a条(データエスピオナージ)と202c条(ハッキングツール利用)に該当するものと考えられるのです。実務は、不確実性があるとされていて(Liis論文 42頁)、起訴の可能性は存在しうるとされています。

また、そのような乗っ取りについては、機密メッセージの侵害(ドイツ刑法206条)などの懸念も起こりうるとされています。

ボットネットの乗取りの手法としては、遠隔解毒と自動的解毒があります。

ドイツ法のもとでは、遠隔解毒は、刑法202a条(データの探知), 303a条(データ改変)および 303b条 (予備においても処罰規定がある)に該当します。また、侵入と感染解除は、データ改変(303a)に該当します。元の状態に戻すためであろうと、さらなる罪を犯すためであろうと、そのような心理状態は、犯罪の成否に関係ないとされています。

また、予期せぬ被害を惹起したとすれば、ドイツ刑法303b条(コンピュータサポタージュ)にも該当します。感染解除が、プログラムもしくはOSへのダメージを惹起しうることの未必の故意(Dolus Eventualis)で足ります。

 自動的検疫/解毒(Automated Immunisation or Disinfection)

ホストの感染解除の方法として侵入して、ボットネットを乗っ取ってしまうことは一つの方法になります。しかしながら、マルウエアの特定の挙動を分析して、特に感染の機能を見る場合には、感染を広げる脆弱性を明らかにすることができます。
特に、拡散に利用されるの脆弱性というのは、限られたグループになっているのが、一般的です。そこで、問題の脆弱性を標的とする自己増殖機能をもつ「ホワイトワーム」を開発することができます。ホワイトワームは、感染が探知されると、ホストの感染を検疫し、脆弱性を修補してきれるものです。

このような自動的手法については、具体的なデータの認識がないとされるので、感染したシステムについて、202a条(データの探知)と202c条の適用の可能性はありません。
もっとも、いわゆるコンピュータサポタージュ(ドイツ刑法303b条)およびデータ改変(303a条)について該当の可能性があります。
ホワイトワームは、プログラムや機能についてダメージを与える影響があります。その結果、自動的検疫/解毒は、正当化事由が適用される可能性がより低くなり、刑罰的行為といえます。

 脆弱性を修補するといういわば、相当の理由があるとしても、「解毒」(一方的な脆弱性の修補によるボット感染の解除)が、同意によるものとするわけではないことは、留意が必要です。
暗黙の同意自体は、正当化事由となるものの、上記のように正当化事由が認めがたいということがあれば、訴追されるリスクが残存している(303C条)ということになります。

データを変更することになって、それが、OSの機能やプログラムを損なう可能性があるとすると、同意は、認められることは、ありそうにはないでしょう。ボットネットが、緊急の危難の要件を満たした場合には、緊急避難の原則が認められるけれども、特に第三者が影響を受ける場合においては、そのような緊急避難が、適用されないということは十分に起こりうることになります。

これは、保有者に対して、自分で、解毒するようにと促すというより侵入的ではない手段がある場合には、なおさらそういえます。
 なお、これらの罪に対しては予備の罪も存在してます(データ改変に関して、303a(3)、202c コンピュータサボタージュについて303b (5), 202c)。

例外的事情のもとでのボット中立化技術

緊急事態状態もしくは国家緊急においては、国民の憲法上の権利を侵害するので、通常の状況のもとでは、認めがたい手法であっても、許容される余地が生じうることになります。Liis論文では、46頁以下で検討されています。

ドイツの基本法においては、緊急原則は、国家が防衛の自体における場合のみ認められます(基本法115条a(1))。
第115a条(概念および確認)
1 連邦領域が武力で攻撃された、またはこのような攻撃が直接に切迫していること(防衛事態)の確認は、連邦会議が連邦参議院の同意を得て行う。確認は、連邦政府の申立てに基づいて行われ、連邦議会議員の過半数かつ投票の3分の2の多数を必要とする。
2 即時の行動が不可避とされる状況で、かつ、連邦議会の適時の集会に克服しがたい障害があり、または議決不能のときは、合同委員会が委員の過半数かつ投票の3分の2の多数をもって、この確認を行う。
3 確認は連邦大統領により、第82条に従って連邦法律官報で公布される。これが適時に可能でないときは、他の方法によって公布されるが、可能な状況になったときは、直ちに連邦法律官報で追完しなければならない。
4 連邦領域が武力で攻撃され、かつ、権限を有する連邦機関が1項1段による確認を即時に行うことができる状況にないときは、この確認は行われたものとみなされ、かつ、攻撃が開始された時点で公布されたものとみなされる。
5 防衛事態の確認が公布され、かつ連邦領域が武力で攻撃されたときは、連邦大統領は、連邦議会の同意を得て、防衛事態の存在についての国際法上の宣言を発することができる。2項の条件のもとにおいては、合同委員会が連邦議会に代わるものとする。

基本法115条a(1)の定めによれば、防衛状態かどうかは、ドイツ連邦議会(Bundestag )および連邦参議院(Bundesrat)によって定められます。

表現の自由/情報の自由は、公共の安全/秩序に対して危険が生じる場合のみに制限される。これらの場合は、ドイツ刑事訴訟法および16の警察法において述べられています。それらの例外は、非常に保守的であり、それぞれの場合において必要な事実を考察しています。

対ボットネットの法律問題の総合的考察 その6-ドイツにおける通信の秘密の保護とISP

その5においてISPの活動についても検討したので、Liis論文に基づいて、ドイツにおける通信の秘密について見ていくことにとしましょう。

なお、ドイツの通信の秘密については、資料としては、石井先生の論考「第 6 章ドイツにおける有害プログラムの刑事的規制」と笠原先生のメモ(情報セキュリティ大学院大学 「インターネットと通信の秘密」研究会)「インターネット時代の「通信の秘密」各国比較」があります。

まずは、エストニア刑法137条は、特定の人に関して意図的に情報を収集する行為に対して無権限監視の罪 を定めていますが、ドイツ法は、エストニア刑法137条に比すべき規定を有していません。通信手段を用いて接触を図りストーキングレベルに達した場合(ドイツ刑法 238条(1) 2号-これについては、「ストーカー行為罪に関する解釈論と立法論の試み」があります)に犯罪になるにすぎません。

通信の秘密 に関する規定としては、ドイツ刑法 206条、電気通信法 88条、テレメディア法 7条(2)、違法なデータ取得(ドイツ刑法202a条)、違法なデータ傍受(同 202b 条) があります。

具体的には、ドイツ刑法206条(郵便/電気通信の秘密の侵害の禁止)は、電気通信・データ送信途上の秘密を保護しています。例えば、同条1項は「郵便もしくは電気通信の秘密にかかる第三者の事実であって郵便または電気通信サービスを提供する企業の保有者もしくは従業員として知り得た事実を違法に開示するものは何人も5年以下の懲役または罰金に処する」と定めています。
この保護は、事実や通信の内容のみならず、通信課程の即時の状況も保護されます( 5項2文)。接続しようとして失敗したという状況も保護されます(同項3文))。
また、 IPアドレスも通信の秘密に含まれます。パケットやトラフィックデータも含まれて、通信の秘密として保護されます。
この結果、ISPの関係者が、この状況を第三者に開示した場合、犯罪が成立します。これに対して、取得のみについては、犯罪を成立させることはありません。しかしながら、同一の会社内においても犯罪が成立することになります。
206条は、電気通信・データ送信途上の場合に適用されます。この規定は、事実や通信の内容のみならず、通信課程の詳細な状況も保護しています(同条5項2文)。接続しようとして失敗したという状況も保護されます(同項3文)。 IPアドレスも通信の秘密に含まれます。また、パケットやトラフィックデータも含まれて、通信の秘密として保護されます。C&Cサーバとボットの間の通信を観測する行為は、禁止された行為になります。
ISPの関係者が、この状況を第三者に開示した場合には、犯罪が成立します。一方、通信に関するデータの取得のみは、犯罪を成立させることはありません。しかしながら、同一の会社内においてもデータを共有することは、犯罪が成立します。

電気通信法88条は、電気通信の秘密を電気通信プロバイダーの法的義務としています。
電気通信法88条1項は、

通信の内容(Inhalt)および詳細な状況(ihre näheren Umstände)(特に、人が電気通信を行ってしていたか否か)は、通信の秘密となる

と規定しています。また、同条2項は「すべてのサービス提供者(Dienstanbieter)は、電気通信の秘密を維持しなければならない。その義務は、業務終了後も継続する」と定めています。
テレメディア法7条は、 2 項で、他人の情報を伝達・保存した場合は、当該情報に違法な行為がないかを監視・調査する義務がないことを定めています。もっとも、1項で、プロバイダ自身が情報を発した場合は通常の法律の適用を受けることを明記しています。

また、電気通信の過程においてのみ、電気通信の秘密で保護されて、その後は、データプライバシーの規定で保護されます。違法なデータ取得(ドイツ刑法202a条)の規定は、

 202条a データの探知(Aussphaen)
(1) 権限がないのに(unbefugt)、自己のために予定されておらずかつ無権限(unberechtigt)のアクセスに対して特別に保護されているデータを、取得しまたは他人に得させた者(sich oder einem anderen verschaffen)は、3年以下の自由刑または罰金に処する。
(2) 1項の意味におけるデータは、電子的、磁気的またはその他直接認知しえない形態で貯蔵されまたは伝送されるものに限られる。

というものです。
ISPやCERTによるパケットやトラフィックデータの監視は、データの違法な取得(202a条)に違反しません。同条は、暗号、パスワード保護等が同条による保護のためには、必要としているからです。

パケットとデータの監視は、202b条のデータ傍受(§ 202b Abfangen von Daten)の規定に違反します。
202b条データ傍受(§ 202b Abfangen von Daten)

 みずから宛になされていない、または、第三者に対するデータ(202条a(2))を、非公共のデータ取扱施設、もしくは、データ取扱施設の電磁的放送から、技術的手段に用いて違法に傍受するものは  (略)2年以下の懲役または罰金に処する

と定めています。

通信の内容に関していない通信データは、この規定では、保護されていません。非公共のデータ取扱に関して無権限の傍受を処罰するものになります。ここで「非公共の」といっているのは、不特定多数の人がアクセスしうる通信は、この規定では保護されないということになります。

ISPやCERTは、通信システムに対する妨害エラーを認識し、排除するためのアドホックなパケットと通信データの検査をなしうるにすぎません。また、このデータは、独立のリサーチャーに共有されてはならないことになります。

当然のことですが、同意があれば、刑罰の成立を妨げることになります。しかしながら、同意については、事前の情報の提供と明確な同意の提供が求められています。

また、裁判所命令に基づいてなされる場合には、犯罪にはなりません。

「QRコード決済・モバイル決済の利用実態と今後の利用意向に関する調査」の発表

デロイトさんから「QRコード決済・モバイル決済の利用実態と今後の利用意向に関する調査」の発表 というプレスリリースがでています。

電子マネーについて、同種の実験をしたものとしては、興味深いものです。(情報処理推進機構「「eIDに対するセキュリティとプライバシに関するリスク認知と受容の調査」」報告書(平成22年7月発表)

ただし、プレスリリースのみでは、実験の設計や実験の目的が見えない調査に思えます。たとえば、TAMのようなモデルをたてていたのか、とか、どのような仮説があったのか、とかが、よくわかりません。

そこで自分だったらどうい実験の設計をするのか、考えてみました。 QRコード決済・モバイル決済については、今後、きわめて重要なものになるかとおもいます。特に個人的には、メッセンジャー(LINEも含みますが)のプラットフォームと決済の嗜好というのは、実験のしがいがあるように思えます。メッセンジャーのなかだけで、ミニweb的(チャットボットのボタン式みたいなものね)になってそのなかですべてサービスが完結するというのは、今後の方向性としてイケていると考えているので、そのための決済の設計をしなければならないというのが、基本的な調査の動機なハズです。(それを認識できていないとしたら、世界が読めていないとおもいます)

ミニwebで決済するときに、そのプラットフォーマーの決済手段を利用させるというのは、きわめて合理的な経済戦略なので、それを使わせるために商品の見せ方・価格・ポイント戦略をどうするのか、また、販売企業からするときに、どのようなプラットフォームに出品するのか、ということを決めるデータが欲しいはずです。

ここまでくれば、実験を設計できますね。

たとえば、
(1)FBのメッセンジャー、スカイプのメッセンジャー、LINEは、それぞれ、どれが魅力があるのか。
(2)ライバルのプラットフォームに打ち勝つには、決済システムは、差別化の魅力になっているのか。
(3)セキュアプラットフォームは、プラットフォームの魅力になっているのか。
(4)P2P決済の魅力(相互流通性)は、電子マネー(支払い手段性)において、どれだけの魅力になっているのか
という点についてそれぞれ仮説をたてて、それを検証していくとおもしろい調査になったような気がします。(私だったら、質問紙法とコンジョイントを使いますね)

これだったら、いろいろいと売り込めそうに思えます。デロイトさん、お仕事お待ちしています。

内部通報保護、役員・退職者も 消費者庁、対象を拡大 不正の放置防ぐ

「内部通報保護、役員・退職者も 消費者庁、対象を拡大 不正の放置防ぐ」という記事がでています

ポイントは、消費者庁が、「内部通報制度を強化し、不正を告発しやすい体制を整える。」ということで、そのために、
通報者が嫌がらせなどの不利益を被らないよう、法律で守る対象を現在の従業員から「役員」「退職者」に広げる。
行政機関向けの告発を一元的に受け付ける窓口を同庁に置く。
内部通報は相次ぐ国内メーカーの不正で注目を集めており、体制の充実で迅速に対処し、不正の放置を防ぐ。
ということだそうです。

2017年は、「公益通報者保護法を踏まえた内部通報制度の整備・運用に関する民間事業者向けガイドライン 」が改正されて(厳密には、2016年12月)、それに対する対応が説かれていたところですが、さらなる強化がうたわれることになりそうです。

この記事が、具体的にどのような内容につながっていくのか、注目したいところです。特に、内部通報を契機としての不正調査は、実務的にも、デジタル証拠に対するドキュメントレビューを利用した調査などとも深く関連するところがあります。

「ベネッセ情報漏洩事故最高裁判決にみる 情報セキュリティへの示唆」の記事

「ベネッセ情報漏洩事故最高裁判決にみる 情報セキュリティへの示唆」という記事がでています。

この記事のポイントは、最高裁判所は、「「プライバシーに係る情報の適切な管理についての合理的な期待」が裏切られたのかどうか、それを審理しなければならないところ、それが足りていない」と判断していると読んでいるところですね。でもって、どうも、この表現に違和感を感じたので、その違和感を考えてみました。

高裁の判決文が、私の手元にはないので(と最初は、書いたのですが、よく考えてみたら、NBL1109号 5ページにあります。)、


通常は、「行為」「結果」「因果関係」「責任(注意義務とその懈怠)」という各論点について論じられることになります。

(以下、修正加筆 1903  Dec.3 )NBLをみると、大阪高裁 平成28年6月29日は、「本件個人情報が控訴人のものであるか(争点(1)および本件漏えいによる控訴人の損害(争点(3))について」ということで判断しています。

原文では、「そのような不快感や不安を抱いただけでは、これを被侵害利益として、直ちに損害賠償求めることはできないと解するのが相当である。

本件においては、本件漏洩によって項訴人が迷惑行為を受けているとか、財産的な損害を被った名、上記の不快感や不安を超える損害を被ったことについて主張、立証はない。

したがって、項訴人が被控訴人似たいして損害賠償を求めることはできないというべきである」

以上によると、争点(2)について、判断するまでもなく、控訴人の請求は理由がない」

という判断です。

ここで、注目するのは、「争点(2)について、判断するまでもなく」というところです。NBLでは、争点(2)が書いていないのですが、流出が過失に因るのか、あたりかと思っています。

—加筆終了–

だとすると、最高裁のポイントは、「結果」について、具体的なプライバシ侵害の結果をみることなく、抽象的な漏洩の事実のみで、結果としていいよ(争点(3)は、認めていいよ)という判断をしたものになります。
「本件個人情報は,上告人のプライバシーに係る情報として法的保護の対象となるというべきであるところ(最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決・民集57巻8号973頁参照),上記事実関係によれば,本件漏えいによって,上告人は,そのプライバシーを侵害されたといえる。」というのは、そのことをいいます。

ところで、「「プライバシーに係る情報の適切な管理についての合理的な期待」が裏切られたのかどうか、それを審理しなければならないところ、それが足りていない」という表現は、上の要件論でいえば、「責任(注意義務とその懈怠)」のところでの議論になります。

–加筆–

もし、争点(2)が、過失の判断であったとすると、実は、「「プライバシーに係る情報の適切な管理についての合理的な期待」が裏切られたのかどうか」という点については、判断が「足りていない」どころか、全くなされていないということになります。

—加筆終了–

しかしながら、本件は、「結果」についての主張・立証がされていないので、「責任(注意義務とその懈怠)」を論じるまでもない、として棄却している案件です。情報の管理レベルについて、という論点は、判断しないよとした案件になります。
「「プライバシーに係る情報の適切な管理についての合理的な期待」が裏切られたのかどうか、それを審理しなければならないところ、それが足りていない」という表現は、「責任(注意義務とその懈怠)」まで、判断がたどり着いていることを前提とした表現に思えます。それが、最初に読んだときに違和感を感じた理由ですね。

Legal Design Labo v. リーガル・デザイン・ラボ

デザインといえば、第1回から欠かさずみているプロジェクトランウェイもシーズン16になるんですね。シーズン16は、すごいことが起きるようなので、お楽しみに。(ネタばれになるので、Runwayのtwitterは、みないほうがいいかも)
(お気に入りは、オースティン・スカーレットクリスチャン・シリアーノね)

さて、ちょうど、「デザイン」と法律と技術が、ちぇうど、それぞれのドットがみずからつながりだしたかのように、いろいろいな動きが、世界的に、シンクロしだしているようです。

まずは、メインストリームでのお祭りまっさかりのGDPRですが、そこでも、デザインが、情報の非対称性を修正するツールとして注目されているということができるとおもいます。
具体的には、
前文の60条は、「個人データがデータ主体から収集される場合、そのデータ主体は、彼または彼女がその個人データの提供を義務づけられているのか、否かについて、および、彼または彼女がそのデータを提供しない場合に生ずる結果についても情報の提供を受けるものとしなければならない。その情報は、容易に死人することができ、わかりやすく、明確に理解することのできる方法によって予定されている処理の意味ある概要を提供するための標準的なアイコンと組み合わせて提供することができる」
としていますし
前文の166項は、「この規則の目的を充足するために、すなわち、自然人の基本的な権利および事由、とりわけ、自然人の個人データの保護の権利を保護し、かつ、押収連合内における個人データの支障のない移転を確保する米に、TFEUの290条による行為を採択する権限が欧州委員会に委任される。とりわけ、認証方法の基準および要件、標準的なアイコンによって表示されるべき情報およびそのアイコンを提供する手続に関して、委任された行為が採択さなければならない」
とされています。

アメリカ的には、スタンフォード大学のLegal Design Labo のプロジェクトが気になりますね。(ドットをつなげるの聖地ですね)

技術・法・デザインがシンクロしているミッション(左ね-LDLのページから)は、デザインの重要性をリマインドさせてくれるかとおもいます。
それこそ、GDPRのアイコンを作ってしまいましょうというプロジェクトもあります。

視覚的な情報によるコミュニケーションによって法的なコミュニケーションがどのような影響を受け、どのように改善されるのかについての考察のプロジェクトということができるよう思えます。法律家が、あまりにも言語コミュニケーションに頼りすぎているので、視覚的なコミュニケーションの役割の重視というのは、非常に注目されますね。

とあるところで、ナッジを正確に、かつ、強力が働かすための手段、という観点からデザインを整理できるのではないか、という話をしたのですが、まさに、そのようなアプローチにつながります。

日本的には、ちょっと文脈が異なりますが、SFCのリーガルデザインラボという動きがあります。趣旨自体は、法制度が社会をコントロールするもので、それは、デザインでしょうというもののようです。これは、ITリサーチ・アートの、社会における解決策の発見と提案じたいがアートそのものだという提案に呼応してくれたもののように思えます。
また、ファッション法/デザイン法という分野も動き出していますね。
(ファッションの法的保護) Fashion Law Institute Japan

デザイン好きとしては、ランウェイとともに、これらの動きにもフォーカスしていきたいとおもいます。

プロジェクト・リーガル・ランウェイでもできそう。第一回のお題は、「裁判所をデザインしよう」あたりかな。

通信教育会社情報漏えい事件についての最高裁判決

通信教育会社情報漏えい事件についての最高裁判決(平成29年10月23日)がでています。オリジナルは、こちら。

新聞記事としてはたくさんありますね。(たとえば、産経

事件としては、平成26年6月までの情報漏えい事件です。

判決上の認定された事実関係は、
(1) 上告人は,未成年者であるBの保護者であり,被上告人は,通信教育等を目的とする会社である。

(2) 被上告人が管理していたBの氏名,性別,生年月日,郵便番号,住所及び電話番号並びにBの保護者としての上告人の氏名といった上告人に係る個人情報(以下「本件個人情報」と総称する。)は,遅くとも平成26年6月下旬頃までに外部に漏えいした(以下「本件漏えい」という。)。

(3) 本件漏えいは,被上告人のシステムの開発,運用を行っていた会社の業務委託先の従業員であった者が,被上告人のデータベースから被上告人の顧客等に係る大量の個人情報を不正に持ち出したことによって生じたものであり,上記の者は,持ち出したこれらの個人情報の全部又は一部を複数の名簿業者に売却した。
というものです。

原審は、「上告人が迷惑行為を受けているとか,財産的な損害を被ったなど,不快感や不安を超える損害を被ったことについての主張,立証がされていないから,上告人の請求は,その余の点について判断するまでもなく理由がない」としたのを最高裁は、
「本件個人情報は,上告人のプライバシーに係る情報として法的保護の対象となるというべきであるところ(最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決・民集57巻8号973頁参照),上記事実関係によれば,本件漏えいによって,上告人は,そのプライバシーを侵害されたといえる。」
として
「不法行為における損害に関する法令の解釈適用を誤った結果,上記の点について審理を尽くさなかった違法がある」ので、「被上告人の過失の有無並びに上告人の精神的損害の有無及びその程度等について更に審理を尽くさせる」としたものです。

なお、平成15年9月12日第二小法廷判決は、早稲田大学後援会名簿提出事件の判決です。「本件個人情報を警察に開示した同大学の行為は,上告人らが任意に提供したプライバシーに係る情報の適切な管理についての合理的な期待を裏切るものであり,上告人らのプライバシーを侵害するものとして不法行為を構成するというべきである。原判決の説示する本件個人情報の秘匿性の程度,開示による具体的な不利益の不存在,開示の目的の正当性と必要性などの事情は,上記結論を左右するに足りない。」として、具体的な損害の立証は、必要ではないという趣旨が明らかにされています。

ちょっと、比較法的な観点からいくと、米国においては、深刻なデータ漏洩によって個人の経済的、プライバシー、評価、信用評価に影響をあたえた場合に損害が評価されるように思えます。最高裁は、このような考え方を否定して、上記個人情報自体が、プライバシー情報であるとして、漏洩の事実のみで、損害を認めたという点で、意味があると分析されるのかなとおもいます。米国だとこんなクラスアクションのページがあるんですね。

漏洩事件と和解額の一覧もあります。ASHLEY MADISON だと、そこから漏洩したというだけで、立証はいらないような気もしますがどうなのでしょうか。

あと、「精神的損害の有無及びその程度等」についての審理の必要性を書いているので、それによって損害額が、左右されるという意味があります。

総務省でサイバーテロ対策会議-技適マーク基準見直し

「東京五輪狙うサイバー攻撃対策、技適マーク基準見直しへ」という記事がでています。

「電話やインターネットのルーター、スマートフォンなどに総務省が与える「技術基準適合(技適)マーク」の基準見直し」がポイントとなっています。

この点については、私の経営するシンクタンクであるITリサーチ・アートの「「総務省-サイバー防衛で公的認証」と無線機器の責任分界点」でふれています。

法の解釈論的な問題点としては、無線設備の技術基準適合証明、端末設備の接続の技術基準の基準自体が、問題となります。

記事では、「現行の基準の主眼は通信障害を防ぐことに置かれている」とされています。

この点について、今までに調べたことのある無線設備についてメモしておきましょう。

電波法の第3章 無線設備は、電波の質、受信設備の条件や、義務船舶局の無線設備の機器について定めています。
同法38条は、その他の技術基準として「無線設備(放送の受信のみを目的とするものを除く。)は、この章に定めるものの外、総務省令で定める技術基準に適合するものでなければならない。」と定めています。そして、無線設備の技術基準については、「送信設備に使用する電波の周波数の偏差及び幅、高調波の強度等電波の質は、総務省令で定めるところに適合するものでなければならない」( 28 条)「受信設備は、その副次的に発する電波又は高周波電流が、総務省令で定める限度をこえて他の無線設備の機能に支障を与えるものであってはならない」(同法 29 条)という定めがあります。

そして、総務省令で定める技術基準の詳細については「無線設備規則」等において定められています。

「無線設備規則」は、電波法28条(電波の質)、第29条(受信設備の条件)、38条(その他の技術基準)及び100条(高周波利用設備)の規定に基づいています。

同規則は、無線設備及び高周波利用設備に関する条件を定めることを目的として、総則、送信設備、受信設備、業務別又は電波の型式及び周波数帯別による無線設備の条件、高周波利用設備の5つの章から成り立っています。

総則は、電波の質 (周波数の許容偏差、占有周波数帯域の許容値など)、保護装置(電源回路のしゃ断等)、混信防止機能などを定めています。
混信防止機能については、個別の無線局の態様ごとに具体的なさだめがなされている。たとえば、特にIoTでの活用が期待される特定小電力無線局 を例にとるときは、周波数等によって電波法施行規則第六条の二第3ないし5号に規定する機能を定めなければならないとされています(無線設備規則9条の4)。電波法施行規則6条の2・3号は、「同一の構内において使用される無線局の無線設備であつて、識別符号を自動的に送信し、又は受信するもの」と定め、同4号は、「電気通信回線に接続しない無線局の無線設備であつて、利用者による周波数の切替え又は電波の発射の停止が容易に行うことができるもの」、5号は、「受信した電波の変調方式その他の特性を識別することにより、自局が送信した電波の反射波と他の無線局が送信した電波を判別できるもの」と定めています。

送信設備は、空中線電力に関する規定、送信装置の各種条件、送信空中線の仕様等を定めています。

受信設備は、副次的に発する電波等の限度、その他の条件(内部雑音、感度など)を定めています。

業務別又は電波の型式及び周波数帯別による無線設備の条件は、種々の無線局の態様ごとに条件を定めています。特定省電力無線局を例にして検討すると、第4節の11 特定小電力無線局の無線設備(49条の14)は、無線設備に関する基準として、周波数、筐体、発信方式、アンテナの利得、給電線・設置装置を有しないこと、などについて定めているのです。

これらの規定をみていけば、まさに上の「現行の基準の主眼は通信障害を防ぐことに置かれている」という意味がわかるかとおもいます。

いわゆるIoTのセーフティという問題で考えられているのは、通信に有体物が接続されており、その有体物が、本来の利用目的等とは別の動作をなすということから生じる弊害をいかに減らすかということだとおもわれます。

そのために、このような混信等を発生させないように、などの観点から作成されている基準に対して、どのように基準をアレンジして、通信のトラストを保全していくのか、非常に興味深いものだということができるでしょう。

まずは、無線設備の責任分界点をはっきりさせること、機器という有体物と脆弱性の関係を整理させることか必要になるとおもわれます。

ステマに対するFTCの態度

連邦取引委員会は、ソーシャルメディアの有名なインフルエンサーに対して、オンラインギャンブルサービスを宣伝したとして、和解をしたという報道がなされています

具体的な和解の文書は、こちらです。

Trevor Martin と Thomas Cassellは、CSGOLOTTO, INC., という会社の役員でありながら、関係ないふりをして、ソーシャルメディアで宣伝していたということです。訴状は、こちら

請求原因は、

独立したレビューという虚偽の表示をしたこと、宣伝しているものが所有者・役員であることを明らかにするのを詐欺的に怠ったこと、報酬が払われていることを詐欺的に怠ったこと、であり、これらは、FTC法5条に違反するとされています。

わが国では、ペニオークション詐欺事件などがありました。

消費者庁は、一般的に「インターネット上の広告表示」というページがあります。

あと、「インターネット消費者取引に係る広告表示に関する景品表示 法上の問題点及び留意事項」を明らかしています(改定 平成24年5月9日)。そこでは、「商品・サービスを提供する事業者が、顧客を誘引する手段として、口コミサイト に口コミ情報を自ら掲載し、又は第三者に依頼して掲載させ、当該「口コミ」情報が、当該 事業者の商品・サービスの内容又は取引条件について、実際のもの又は競争事業者に係るも のよりも著しく優良又は有利であると一般消費者に誤認されるものである場合には、景品表 示法上の不当表示として問題となる。 」とされています。