Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

英国のサイバー犯罪対策機関(NCA)は広告キャンペーンは新たなサイバー犯罪を阻止活動とDDoS攻撃代行広告の規制問題

2020-05-30 15:19:49 | サイバー犯罪と立法

 筆者がしばしば取り上げてきたKrebsonSecurityサイト(代表はブライアン・クレブス(Brian Krebs)氏)は、最近「英国のサイバー犯罪対策機関である“National Crime Agency:NCA (筆者ブログ(筆者注3-2)参照)が広告キャンペーンで積極的に新たなサイバー請負犯罪阻止に取り組む」をテーマとして取り上げており、久しぶりに同ブログを熟読した。

Brian Krebs氏

 筆者のブログではかなり以前からサイバー犯罪を取り上げており、要約するとサイバー攻撃(DoS攻撃:Denial-of-ServiceAttack:サービス妨害攻撃)→DDoS 攻撃 :DistributedDenial-of-Service:分散型サービス妨害攻撃)→DRDoS 攻撃(DistributedReflectionDenial-of-ServiceAttack:分散反射型サービス妨害攻撃)インターネット上に存在するマシン群に通信を反射させて、大量のパケットを攻撃対象に送信するDDoS攻撃→、Booter やStresser と呼ばれる DDoS 攻撃代行サービスが登場しており、攻撃に関する知識を持たないユーザでも DRDoS 攻撃を容易に実行できる状況になっている(NICT から抜粋)。

 特に筆者が関心を持ったのは、英国などで“Booter” や“Stresser” と呼ばれる DDoS 攻撃代行サービスが安価でかつ専門知識が不要な条件のもとで若者社会で広がっている点である。NCAがこれらの犯罪予備軍に対する警告強化の必要性を資金をかけて行う意義を改めて検証したのは、これらはいずれわが国の重要課題と考えた方である。
 ちなみに、わが国の情報処理推進機構(IPA)サイトで“Booter” や“Stresser”を検索したが結果は「該当なし」であった。

 また同時にクレブス氏は、数週間前、Googleサイトで「booter」または「stresser」を検索すると、検索結果の最初のページで顕著にbooterサービスの有料広告が表示されることに気付いた。その後の同氏とGoogleのやり取りのついても詳しく解説している。

 そこで、KrebsonSecurity サイトのブログ仮訳するとともに、筆者なりに補足を試みる次第である。なお、筆者の責任で項目立てを行った。(注1)

 なお、言うまでもないが筆者の責任でリンクや注書きを補足、追記した。

1.NCAのオンライン不正行為に関する有料化を前提とした警告キャンペーン
 NCAは、コンピューター犯罪を可能にするサービス、特にトロイの木馬プログラムやDDoS for-hireサービス(筆者注1)(筆者注2)をウェブで検索する若者を対象としたオンライン広告を掲載している。 今回の広告キャンペーンは、2017年後半に開始された同様のイニシアチブに従い、他の人に危害を加えるための使用は違法であり、潜在的な顧客を刑務所に入れる可能性があると説明することにより、そのようなサービスの需要をかなり抑えたと英国の学術研究者は述べている。
 たとえば、Googleで英国のインターネットアドレスから「booter」または「stresser」を検索すると、そのようなサービスを使用して他の人を攻撃していることはオンライン行為は違法であると警告する有料広告が検索結果の最初のページに表示される可能性が高くなる。 このような広告費用は英国の国家犯罪庁(NCA)によって賄われており、2017年12月から6か月間、関連するキャンペーンで成功を収めた。

2.NCAのネット広告に目的と若者がターゲット
 NCAのシニアマネージャーであるデビッド・コックス(David Cox)氏は、サイバー犯罪から若者を遠ざけるための継続的な取り組みの一環として、ブーターサービスやさまざまなタイプのリモートアクセス・トロイの木馬(RAT)(筆者注3)を探し、また好奇心とスキルを十分に生層としている13歳から22歳の英国男性を広告のターゲットとすることを明らかにした。同広告は、広告や英国のサイバーセキュリティ・チャレンジ(注4)にリンクしている。このチャレンジでは、コンピュータセキュリティの概念を巧みに試し、サイバーセキュリティの役割の潜在的なキャリアを強調している。

David Cox :Senior Manager at National Cyber Crime Unit of National Crime Agency (NCA)
Linkedinから引用

 コックス氏は以下のとおり述べた。「実際には、子供たちを教える教室の前に立っている人たちは、彼らが教えようとしている人よりもサイバー犯罪についての情報が少ない。同キャンペーンはいわゆる「ノック・アンド・トーク(Knock and talk)」(注5)をサポートするように設計されていると指摘した。マルウェアをダウンロードしたり、DDoS for-hireサービスを購入した若者の家を調査者が訪問し、そのような活動を警告するものであり、これは、他の方法があることを人々に示すことのすべてといえる。」

 一部のマルウェアをサービスとして展開したり、ブーターを使用して誰かまたは何かをオフラインにしたりすることで法的な厳しい制裁を受ける可能性があることは、カジュアルな読者には明白に思えるかもしれませんが、これらのサービスに頻繁にアクセスする人の典型的なプロファイルは若い男性であり、彼らは影響を受けやすく、他の誰もがすでにそれを行っている志を同じくする人々のオンラインコミュニティに参加している。
2017年1月13日、NCAはレポート「Pathways into Cyber Crime(全18頁)」を公表した。このレポートは、さまざまなサイバー犯罪の調査に関連して、英国の法執行機関が訪れた多くの若者へのインタビューに基づいて作成された。

 NCAが見出したこれらの調査結果は、疑わしい容疑者へのノック・アンドトーク・インタビューを通じてもたらされたもので、これら容疑者の61%が16歳より前にハッキングに従事し始め、容疑者と逮捕者の平均年齢はハッキング事件に関与した人々は17歳であった。

 サイバー犯罪に関与している、またはその周辺で活動している人々の大多数は、コンピューターゲームへの関心を通じて関与したことをNCAに述べた。
これら犯罪者の大部分は、ゲーム感覚で不正、詐欺的に利用するWebサイトや「改ざん」フォーラムに参加し始め、その後、さらに犯罪ハッキングフォーラムに進んでいた。

 NCAは、訪問した容疑者たちが個人が好奇心、挑戦を克服すること、または仲間のより大きなグループに自分を証明することを含む、主要な動機のほんの一部を心に留めていることを学んだ。同報告書によると、典型的な犯罪者は、捕まる危険性が低いと認識されていることや、一般的に犯罪が被害者のない犯罪であったとの認識など、悪条件の完全な嵐に直面していた。

 また、NCAの報告書は「個人はサイバー犯罪をリスクが低いと考えているため、法執行活動は抑止力として機能しないし、さらに報告対象者は、彼らが知っているか聞いたことのある誰かが逮捕されるまで法執行機関を検討しなかったと述べた。これらの犯罪抑止力が機能するためには、犯罪者(または潜在的な犯罪者)と法執行機関がこれらの個人の目に見える存在として機能することの間のギャップがなくなっている必要がある。」と述べている。

 コックス氏は、NCAは今後も無期限にこの種の広告を掲載し、プラットフォームがDDoS for-for-hireサービスのターゲットになる可能性が最も高いオンラインゲーム業界の大手企業など、外部ソースからの資金提供を模索していると語った。また、彼はこのプログラムを「大成功」と呼び、過去30日間(うち13件は資金上の理由で掲載されていなかった)、広告効果は約532万インプレッション(Webサイトの広告の露出回数。1広告が1回表示されることを1インプレッションという)、57,000クリック以上を生成したと指摘した。

曲線の平坦化
 ケンブリッジ大学サイバー犯罪センターの所長であるRichard Clayton氏は、攻撃を開始するために一般的に指揮されたり悪用されたりするタイプのシステムを装ったインターネット上のさまざまなセンサーを使用して、DDoS攻撃を数年間監視してきた。

Richard Clayton氏のHPから

 昨年、クレイトンとケンブリッジの研究者たちは、法執行機関の介入(2017年から2018年にかけてのNCAの反DDoS広告キャンペーンを含む)が、DDoS for for Hireサービスの需要の伸びを明らかに鈍化させたことを示す論文を発表した。

 同氏は、「我々のデータは、その広告キャンペーンを実行することにより、NCAがその期間中のブーターサービスの需要を平準化できたことを示している。言い換えれば、これらのサービスの需要は、通常のように期間にわたって増加することはなく、期間の終わりにそれを行う人が最初よりも多くなることはなかった。私たちがこれらエータをNCAに提示したとき、キャンペーンの費用は1万ポンド未満であり、このタイプのサイバー犯罪が6か月間拡大するのを阻止したので、彼らはこれまでにとても喜んでいた。」

 クレイトン氏は、「問題の一部は、多くのブーター/ストレッサープロバイダーが合法的なサービスを提供していると主張していること、そして彼らの見込み顧客の多くは、これが真実であると信じるのに熱心すぎ、また、価格も手頃であると指摘した。すなわち、一般的なブータ・ーサービスを利用しても、月額数ドルでかなり強力なDDoS攻撃を開始できる点である。」と指摘し、さらにクレイトンは「これらのタイプのサービスを合法的に提供する合法的な会社があるが、これが発生する前に実施しなければならないあらゆるタイプの契約があり、そして、あなたは1ケ月に10ドルではそれを手に入らない」と述べた。

悪魔になるな(DON’T BE EVIL)

 一方、NCAの[booter」または「stresser」阻止広告キャンペーンは、これらのDDoS-for-hireサービスを実行している同じ人々の多くが取り出したGoogle広告と直接競合しています。この一部の読者は、サイバー犯罪サービスが、正当なビジネスと同じように、Googleや他の検索サイトに広告を出すことが多いことを知って驚かれるかもしれない。

 数週間前、KrebsOnSecurityは、Googleで「booter」または「stresser」を検索すると、検索結果の最初のページで顕著にbooterサービスの有料広告が表示されることに気付いた。しかし、この発見に関するツイートで述べたように、これはほとんど新しい現象ではない。

 ケンブリッジ大学のクレイトン氏は、そのような広告の普及について彼が2018年に書いたブログ投稿をもって私(Krebs)に指摘した。これは、そのプラットフォームを介した許容可能な広告に関するGoogleのポリシーに違反している。 Googleは、「損害、危害、または傷害を引き起こす」サービスの広告は許可されておらず、「不正行為を可能にするように設計されている」サービスの広告は許可していないと述べている。

 クレイトン氏は、Googleは最終的に問題のある広告を削除したと述べた。しかし、グーグルの私の数秒間が明らかにしたように、会社は人々が不満を言うとき、これらの条件で広告の配置(および支払い)を明示的に禁止するのではなく、モグラをすることに決めたようです。
グーグルはKrebsOnSecurityに、それはそのポリシーを実施するためにテクノロジーと人々の組み合わせに依存していると語った。

 Googleからはクレブス氏宛てに書面で以下の通り回答があった。「当社のプラットフォーム上のユーザーを保護するために設計された厳格な広告ポリシーがある。ユーザーを利用したりユーザーに危害を加えたりするように見えるサービスを含め、不正行為を可能にする広告は禁止されている。広告ポリシーに違反する広告を見つけた場合は、削除措置を講じており、この場合、広告はすぐに削除された。」

 Googleは、この点に関する施行の取り組みを詳しく説明している最近のブログ投稿で指摘し、同じ理由で、2019年に同社はポリシーに違反した27億を超える広告(1日あたり1,000万を超える広告)を削除し、100万の広告主アカウントを削除したと述べた。

 上の写真の広告は、私がgoogleに働きかけた直後に表示されなくなり、残念ながら、別のブーターサービス(以下に表示)の広告が、すぐに削除したものに取って代わった。

*********************************************************************************************************************

(筆者注1) DDoS-for-hire(DDoS請負)サービスは、Booter やStresser と呼ばれる DDoS 攻撃代行サービスと同義である。

(筆者注2) サイバーセキュリテイソフトウェア・サービス会社であるImpervaも“Booters, Stressers and DDoSers”と題するレポートで“DDoS for hire service”やさらにはボットネットのレンタル相場についても詳しく論じている。

(筆者注3) リモートアクセスを可能とするトロイの木馬(Trojan horse)、通称 RATについてCISCO JAPAN BLOG から一部抜粋、引用する。
RAT の詳細
攻撃者にとって RAT は非常に便利です。RAT は、ダウンロードファイルや電子メールの添付ファイルといった一般的な経路で配布されます。多くの RAT は Downloader、Administration Tool、Infostealer などの機能をすべて備えているため、攻撃者は各機能を手軽に利用できます。つまり、RAT は複数のツールを統合したパッケージだと言えます。
RAT にはさまざまなバリエーションがあります。多様な攻撃シナリオで使用できる一般的なものから、特定の標的に合わせて高度にカスタマイズされたものまで、幅広く存在しています。決まったプロキシを使用して攻撃者の所在を隠す RAT や、同じ目的で Command & Control(C2)サーバを使う RAT もあります。(以下、引用は略す)。

(筆者注4) Cyber Security Challenge UKに同社のHPから抜粋、仮訳する。なお、同社の組織概要はEUのENISA2014年報告(全39頁)が分かりやすく解説しているので冒頭で引用、仮訳しておく。なお。このENISA報告は、ENISAサイトからダウンロードされたい。

「Cyber Security Challenge UK Ltdは、英国のサイバーセキュリティスキルのギャップを埋めるために2010年3月に設立された非営利企業である。調査対象の専門家の約90%が、調査対象のサイバーセキュリティジョブの8つのカテゴリすべてにわたって、企業が必要とするサイバーセキュリティ能力を有する人材を採用するのに困難さを抱えており、ほぼ60%がサイバーセキュリティの英国市場内で(正しく)予測されるジョブ数の増加を予測していた。
Cyber Security Challenge UKの使命は、あらゆる年齢のサイバーセキュリティの才能を持つ人々を十分に特定し、刺激を受け、トレーニング方法を見つけ、英国の経済の繁栄、国家安全保障、選ばれた生き方等を効率的に保護するために必要な仕事に就けるようにすることである。

同社は政府、民間部門、学界からの支援を受けて運営されており、国家安全上の理由や市民がデジタル手段を使用して安全に行動することを選択できるだけでなく、経済を支えるためにも、サイバーセキュリティの国家的重要性を認識している。そして、そのことが英国の将来の繁栄と成功に必要な市場の成長を可能にする。

Cyber Security Challenge UKは、十分な数の有能な人々をサイバーセキュリティの専門職で学び、キャリアの機会に紹介するように設計されたユニークな活動プログラムである。」(以下、略す)

【Cyber Security Challenge UK】サイトから抜粋、仮訳
(1)当社の任務
サイバーセキュリティ業界への人材の繁栄と包括的パイプラインを確保することであり、2010年3月に設立された当社は、さまざまなバックグラウンドを持つより多くの人々がサイバーセキュリティの専門家になるための刺激となるように設計された一連の全国大会、学習プログラム、ネットワーキングイニシアチブを開発した。
我々は、サイバーへのキャリアパスを考慮していなかったかもしれない人々の参加を促すために、次の未開拓の才能のプールを特定する。
そのために、性別の多様性と神経多様性のイベントをサポートして、サイバーセキュリティ業界に適したスキルと多様な考え方を持つ人々の間で機会を促進するために、女の子専用のサイバーキャンプを開発した。私たちの「イマーシブスクールプログラム」、「オンラインゲーム」、「キャリアフェア」は、サイバーファースト、サイバーディスカバリー、サイバーセンチュリオンコンペティションなど、英国の他の教育プログラムへのエントリーポイントを提供する。我々は、特に社会経済的貧困の分野で、教育の早い段階で学生を対象としている。ただし、エントリーレベルの仕事、見習い、さらなる教育の機会にも焦点を当て、大学レベルまでネットワーキングとサイバー・トレーニングを奨励している。

(2)ENISAとの関連、協働活動
欧州サイバーセキュリティコンペティション2020(ECSC)は、英国の新興サイバースペシャリスト(16歳から25歳)から最高のものを引き出し、ヨーロッパの同時代の人々と対戦する。 私たちは英国のチームを選択、育成、管理し、技術トレーニングを提供する業界のリーダーと協力して、チームが競争で最高のチャンスを得られるようにする。
EUのサイバーセキュリティを担当するEUの代表機関であるENISAが運営するこのコンテストは、サイバーセキュリティで成功するために必要なスキルの探求である。ECSCは、業界のリーダーとつながり、欧州大陸全体の仲間とネットワークを築き、サイバーセキュリティ業界の詳細を発見するユニークな機会でもある。

(筆者注5) 法執行機関で使う場合は、ノック・アンド・トークとは、1人または複数の警察官が個人の住居に近づき、ドアをノックし、所有者に住居を検索するための同意を求める調査手法をいう。この手法は、犯罪行為が疑われる場合によく利用されますが、捜査令状を取得する十分な証拠がない場合の利用される。Wikipedia から筆者が仮訳

*******************************************************************
Copyright © 2006-2021 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

 

 

 

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

COVID-19サイバー・セキュリティ・アドバイス:FTCとFBIはサイバーセキュリティ詐欺の傾向と予防策に関するガイダンスを提供(新型コロナウイルス対応-その7)

2020-04-06 16:39:06 | サイバー犯罪と立法

 さる4月1日付けで筆者の手元にLexBlogのレポート「FTCとFBIはサイバーセキュリティ詐欺の傾向と予防策に関するガイダンスを提供」が届いた。
 COVID-19の発生とパンデミック化に対応して、いくつかの米国の連邦政府機関は、発生に関連する詐欺や詐欺行為の増加について警告を発表したというものである。
 例えば、FBIは最近の速報で、COVID-19対策のためのフィッシングメール、偽造の治療または偽機器の増加、および発生に関する情報を提供することを目的とした米国保健福祉省(DHHS)の下部機関である疾病対策予防センター(CDC)からの偽のメールの増加について警告を発した。

  また、連邦取引委員会(FTC) (筆者注)は、COVID-19に関連する詐欺と戦うために取っている手順の一般的な概要を発表しただけでなく、ビジネスを標的とすることを観察した7種類のCOVID-19詐欺の具体的なリストをも提供した。
 
 今回のブログは、これらの詐欺の詳細と、FBIとFTCからの最も一般的なリスクのいくつかから保護し、それに対処する方法に関するガイダンス内容を仮訳するものである。

1. FTCのサイバーセキュリティ詐欺と脅威の最近の傾向
 FTCが事業者を標的とした7つのCOVID-19詐欺のリストには、以下の詐欺が含まれている。

(1)「公衆衛生」詐欺(“Public health” scams):この場合、攻撃者はCDC、世界保健機関(「WHO」)、または社会保障番号や納税者番号などの情報を求める他の公衆衛生組織からメッセージを送信するか、受信者に特定のサイトにリンクすべくクリックするか添付文書をダウンロードするように要求する。
 なお、この手の詐欺に関しBarracuda Networks, Inc.「コロナウィルス(COVID-19)詐欺: 企業は新しいフィッシング攻撃を受けている(メールセキュリティ)」がCDCやWHOを騙る詐欺の手口と予防対策について詳しく解説している。

(2)政府小切手詐欺(Government check scams):この場合、攻撃者は受信者が前払いまたは個人情報を提供することによって政府機関からお金を受け取ることができると主張する。 (FTCは以前に、そのような詐欺の特定と対処に関する個別のガイダンスを提供していたことに注意されたい)

(3)ビジネス電子メール詐欺(「Business email compromise :BEC」)攻撃:攻撃者は従業員または組織の電子メールアドレスを偽装し、受取人に送金させたり、または個人情報の提供を指示する。 FTCは、在宅勤務への移行を含む、COVID-19による勤務パターンの調整の最中に、緊急の要求が異常に見えないで、また従業員がホールを下りて、そのメッセージを対面で話し合って、送信者であることを確認するなどメッセージの信頼性を確認するための同じオプションにアクセスできなくなる可能性があることを警告している。

(4)IT詐欺:攻撃者は組織のITスタッフのメンバーになりすまして、ユーザーのパスワード情報を要求するか、ソフトウェアのダウンロードを要求する。 (3)BEC攻撃と同様に、FTCは、最近のテレワーキング等の勤務パターンの変化により、従業員がこれらの詐欺に対して特に脆弱になる可能性があることを警告している。

(5)偽ブランド等供給詐欺:詐欺師は、有名な小売業者の外観を模倣したWebサイトをあらかじめセットアップし、見返りに供給を提供することなく支払いを要求する。

(6)Robocall詐欺:詐欺師が偽のCOVID-19検査キット、衛生用品または企業や個人向けのその他の関連製品を売り込む。

 (7) データ詐欺:FTCが、データ侵害のリスクを高める可能性がある在宅勤務への移行に関連するさまざまな潜在的な脆弱性を説明するために使用するカテゴリである。
  すなわち、より多くの人々が在宅勤務をしているため、ハッカーは企業がオンライン防御を取り除き、データの豊富なネットワークへの侵入を容易にすることを望んでいる。 在宅勤務時にスタッフがセキュリティを維持するのに役立つヒントがある。 また、米国国立標準技術研究所(NIST)は、遠隔地の職場に安全に移行するためのリソースを持っている。まずは、NISTの更新された「Telework Cybersecurityページ」を参照されたい。また NISTのインフォグラフィックである「Telework Security Overview&Tip Guide」を参照されたい。 さらに「リモートアクセスのセキュリティ、および独自のデバイスの持ち込み(BYOD)ソリューションに関する最新の速報」を参照されたい。また、「電話会議セキュリティハイウェイのナビゲートに関するアドバイス」をも確認されたい。

2.FBIのIC3の最近時のレポートの要約
 このサイバー脅威の高まりは、インターネット犯罪の一般的な記録的な年間で見てが新たに発生したことに起因している。 FBIのインターネット犯罪苦情センター(「IC3」)最近リリースしたレポートによると、IC3は35億ドル(約3745億円)以上の損失に関連して2019年に467,361件の苦情を受け取ったと報告している。
 特に、2019年にIC3を介して報告された最も一般的な詐欺には、BEC攻撃および「テクニカルサポート詐欺」(FTCのガイダンスで参照されている「IT詐欺」と同様)だけでなく、報告されているランサムウェア攻撃の継続的な数も含まれていた。報告されたBEC攻撃は23,775件だけであったが、これらの攻撃の被害額は17億ドル(約1820億円)を超え、2019年に報告された総損失のほぼ半分を占めている。しかし、IC3レポートは、2018年に設立されたFBIの回収資産チーム(「RAT」)が、金融機関やFBI現地事務所が被害者から詐欺的な振り(BEC攻撃など)を受けて国内口座に送金された資金を回収するのを支援し、RATに報告された1,300件を超えるインシデント以上の損失の3億8,400万ドル(約410億9000万円)以上の79%を回収したとする。

 また、FBIは人事部または給与計算の従業員が従業員の口座振替情報の更新を要求する詐欺的な電子メールを受け取る、給与計算資金の転用に関連するBECの苦情の数の特定の増加を観察したことにも言及した。ただし、更新された情報は、攻撃者によって制御されているアカウントにルーティングされ、多くの場合、プリペイド支払いカードアカウントにリンクされている。

3.COVID-19詐欺からの保護に関するガイダンス
 FBIとFTCの両方のアラートは、企業がこれらの詐欺によってもたらされるリスクから身を守り、それらの1つが発生した場合に適切に対応する方法に関するガイダンスも提供する。このガイダンスには、次の推奨事項が含まれている。

① 一般的なCOVID-19詐欺に関する情報を従業員と共有する。
② 特に従業員が認識していない送信者からの電子メールメッセージからのリンクのクリックや添付ファイルのダウンロードを回避するように従業員を教育する。
③ 電子メールアドレスの正確性を確認し(特に携帯電話で電子メールを確認する場合)、目的の受信者に要求された支払いの変更を確認する。
④ 電子メールまたは電話への応答として、ユーザー名とパスワードの組み合わせ、社会保障番号、金融・財務情報などの機密個人情報を提供しないよう従業員に指示する。
⑤他の従業員からの真正な通信であると主張するBECおよびIT詐欺メッセージなど、従業員が受信したメッセージの信憑性を検証できる中心的な連絡窓口を提供する。
⑥ ハイパーリンクに依存する代わりにURLを入力し、リンクのスペルミスや間違ったドメインをチェックする(たとえば、「.gov」の代わりに「.com」を使用する)。
⑦ 見知らぬサプライヤーまたはサードパーティを同僚または他の信頼できる情報源と調査する。

 FTCとNISTによって発行された安全なテレワークに関する最近のガイダンスに続き、Covington&Burling LLPは3月20日付けのブログ投稿で取り上げている。

 特定の集団を標的とする可能性のあるサイバー脅威の傾向に関する最新情報について、FTCおよびIC3 Webサイトを含む政府のWebサイトを引き続き監視する。

 FTCとFBIのガイダンスはどちらも、FTCとIC3によって提供される指定された報告メカニズムを使用して、攻撃と詐欺を報告することを推奨している。組織、団体等がBEC攻撃の犠牲になった場合、IC3レポートは、また詐欺が認められ次第、元の金融機関に連絡し、回収または取り消し、ならびに損失補償書面(a hold harmless letter)または賠償補償書(letter of indemnity)を要求することを推奨する。
******************************************************************
(筆者注) わが国の公正取引委員会がFTCについて詳しく解説しているので、以下で引用する。
ア 連邦取引委員会(以下「FTC」という。)は,委員長を含む5人の委員により構成され,その下に競争局(Bureau of Competition),消費者保護局(Bureau of Consumer Protection),経済局(Bureau of Economics),総局長室(Office of the Executive Director),法律顧問室(Office of the General Counsel)及び地方事務所等が置かれている。
イ FTCの委員長及び委員は,上院の承認を経て,大統領が任命する。任期は7年であり,公務に関する不法行為等の場合以外にはその意に反して罷免されることはなく,職権行使の独立性が認められている。
ウ FTCは,連邦取引委員会法又はクレイトン法違反被疑行為が存在するときは,自ら審査を行い,審判手続を経て,又は相手方が同意するときは審判手続を経ることなく審決により排除措置を命じることができる。また,必要に応じ,違反行為の差止命令等を求める訴訟を提起することができる。
エ FTCの審決に不服がある場合には,連邦控訴裁判所に審決取消訴訟を提起することができる。
オ 連邦取引委員会法第5条(a)(1)後段では,不公正・欺瞞的な行為又は慣行(Unfair or Deceptive Acts or Practices)を禁止しており,FTCは同条に基づき,いわゆる消費者保護行政も所管している。
カ FTCは,また経済実態や企業活動に関する調査を行う権限を有する(連邦取引委員会法第6条)。
***************************************************************************
Copyright © 2006-2021 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

米国連邦司法省やロンドン警視庁が“Zeus Trojan”の大規模国際銀行口座サイバー詐欺犯を起訴

2019-05-14 17:26:24 | サイバー犯罪と立法

 Last Updated:May 14, 2019

 去る8月28日付けの本ブログで、筆者は「米国『スケアウェア詐欺』に見る国際詐欺グループ起訴と国際犯罪の起訴・裁判の難しさ」を取り上げた。

 9月30日、連邦司法省ニューヨーク南部地区連邦検事局、ニューヨーク郡地方検事局(District Attorney for New York County)、FBIニューヨーク事務所(field office of FBI)等はオンライン・バンキングにおける銀行の機密取引情報を盗み、ACH
(筆者注1)と電子通信詐欺(Wire Fraud)を介し、世界中に数百万ドルの被害を引き起こした詐欺グループ37人を逮捕し旨リリースした。

 犯人グループはキー・ロガーを利用したマルウェア“Zeus Trojan”
(筆者注2)を利用していた。

 一方、英国では9月29日にロンドン警視庁(MPS)のサイバー犯罪特別捜査チーム(PCeU)
(筆者注3)が、数千人の銀行顧客口座から最高600万ポンド(約7億6,200万円)以上を盗取した罪で東欧出身者19人を逮捕した旨発表した。
 犯罪者グループはマルウェア“Zeus Trojan”を利用し、オンラインバンキングにかかるログオン情報を盗取したうえ、無権限アクセスを行い犯罪組織が管理する海外の口座に送金した。その手先になったのが違法な海外への資金の送金請負人“Money Mules”であった。

 特に海外メディアはコメントしていないが、これら犯罪者たちの年令に注目して欲しい。米国の場合ほとんどが20歳前後である。また英国の場合、20歳代後半から30歳代前半である。彼らが何ゆえこれらの犯罪に引き込まれたのか、どのような国際犯罪組織が暗躍しているのか。英国の起訴犯人グループは年令が米国より上(20歳代後半)であるが、その多くは失業者である。

 本文を読まれると理解できると思うが、経済的に恵まれない東欧諸国の若者を巻き込んだ詐欺犯罪として従来のサイバー犯罪の類型とは異なる手口である。
 仮に彼らが有罪と判断させたときの最高刑はあまりにも重い気がするが、これが世界の現実である。さらにいえば、わが国の若者がこの手の犯罪グループに安易に巻き込まれない保証はない。
 経済の低迷が続くわが国でも「他山の山」とすべき事例であろう。


 また、英国のサイバー犯罪対策組織の最新情報やその国家としての取組方針・施策についてわが国では詳しく論じたものがなく、今回あらためてまとめた。参考サイトの内容は今後のわが国の関係機関の研究課題につながろう。

 筆者が本ブログでもしばしば取上げてきた米国が意図しているのはSWIFT(国際銀行間通信協会)を介した国際テロ資金の流れの追跡だけでなく、今回のような違法な国際詐欺グループの追跡にこだわる背景の1つとして、これらサイバー犯罪にかかる捜査のためにも重要な点であることが理解できよう。

 なお、今回はその詳細は略すが、2010年7月28日にセキュリティ調査会社“Secure Works”がロシアを本拠とする国際犯罪組織、“botnets”、“Virtual Private Network”
(筆者注5)“Zeus Trojan”の異種、オンラインの“Money Mules”役の募集広告、偽造小切手ネットワーク等まさにサイバー金融犯罪の最新形態の分析結果を公表している(被害総額は最大900万ドル(約7億5,600万円))。このレポートは関係国の法執行機関との協同作業に基づきまとめられたものであるが、この種のレポートにはない具体性がある(その内容の専門性から見て筆者の領域を越えることから目下関係専門家に相談中である)。

 
Ⅰ.米国のサイバー犯罪手口と犯罪組織
1.連邦司法省ニューヨーク南部地区連邦検事局、ニューヨーク郡地方検事局、FBIニューヨーク事務所(field office of FBI)等の共同リリースの概要

(1)犯罪の手口
 9月30日、公開されたマンハッタン連邦地方裁判所に提訴した訴状によると、今回のサイバー攻撃は、東欧で始まり「Zeus Trojan」として知られているマルウェアの使用を含んでいた。(マルウェアは、通常明らかに親切心からでたメールとして合衆国の中小企業や自治体(municipalities)のコンピュータに送られた)。 メールがいったん開かれると、マルウェアは犠牲者のコンピュータにそれ自体を埋め込み、被害者のキー・ストローク(オンラインで自己の銀行口座にログインしながら、それらの口座番号、パスワードおよび他の重要なセキュリティコードを含む) を記録した。 マルウェアを管理するハッカーは、次に犠牲者の銀行口座を引き継ぐ目的で盗んだ金融取引情報を使用して、共謀者が管理する口座に対し1回に何千ドルもの無権限海外向け資金送金を行った。

 盗んだマルウェア攻撃の売上金を海外に送金するかまたは振り込むための役割を担う「Money Mules組織」によって準備された。同計画を実行に移すため、「Money Mules組織」は学生用ビザで合衆国に入った個人を取り込み、あるいは偽の外国パスポートをそれらに提供して、米国の銀行で偽名口座を開くよう彼らに命令した。

 これらの偽名口座がいったん口座が開設されるとマルウェア攻撃で危険にさらされた口座から盗んだ資金を受け取ると、「Money Mules」は不正に入手した大量の現金の大部分を海外にある他の口座に振り込むか、引き出しまたは海外に送金するよう命令された。

(2)捜査活動
 マンハッタン連邦地方裁判所に告訴された被告には、(1)「Money Mules組織の管理者や人集め担当者、(2)money mulesのための偽海外パスポートを取得担当者が含まれる(連邦司法省のリリース文では“passports for the mules, and money mules.”の部分が抜けていた)。

 協調的な操作活動の一環として、連邦および地元の法執行官吏は、9月30日早朝に10人の被告を逮捕したが、別の10名はすでに逮捕していた。 同日午後にマンハッタン連邦裁判所に今日ニューヨークで拘留されている被告が現れると予想される。 17人の被告はニューヨークと海外でなお捜査中である。

2.起訴内容の一覧
連邦司法省やFBIの9月30日のリリースは、次の様式で裁判ケース名や被告の氏名、年令、犯罪名(適用法)、有罪時の最高刑ごとに一覧を作成している。ここですべてを網羅することは省略するが、専門外の読者のために犯罪名と最高刑罰については簡単に補足する。

(1)United States v. Artem Tsygankov, et al. (10 Mag. 2126)
被告名 年令
ARTEM TSYGANKOV 22
SOFIA DIKOVA 20
MAXIM PANFEROV 23
KRISTINA IZVEKOVA 22

Ct : 犯罪名: 被告 : 有罪時の最高刑罰
1 Conspiracy to Commit Bank Fraud ARTEM TSYGANKOV, SOFIA DIKOVA, MAXIM PANFEROV, KRISTINA IZVEKOVA 30 years in prison; fine of $1,000,000 or twice the gross gain or loss; and restitution
2 Conspiracy to Possess False Identification Documents ARTEM TSYGANKOV, SOFIA DIKOVA, MAXIM PANFEROV, KRISTINA IZVEKOVA 15 years in prison; fine of $250,000 or twice the gross gain or loss; and restitution
3 False Use of Passport MAXIM PANFEROV 10 years in prison; fine of $250,000 or twice the gross gain or loss; and restitution
4 False Use of Passport KRISTINA IZVEKOVA 10 years in prison; fine of $250,000 or twice the gross gain or loss; and restitution

①銀行に対する詐欺罪の共謀罪(Conspiracy to Commit Bank Fraud):18 U.S.C. §§ 1349,1344 and 2
②偽の本人確認文書の所有罪(False Identification Documents):18 U.S.C. §1028
③パスポートの偽造または悪用罪(Forgery or false use of passport):18 U.S.C §1543
④マネー・ローンダリング罪(Money Laundering):18 U.S.C § 1956
または18 U.S.C § 1957
⑤偽の本人確認文書の譲渡罪(Transfer of False Identification Documents):
18 U.S.C. §1028 
⑥偽の本人確認文書の作成罪(Production of False Identification Documents):18 U.S.C. §1028 
⑦偽の入国管理文書の所有(Possession of False Immigration Documents):
18 U.S.C § 1546

(2) United States v. Artem Semenov, et al. (10 Mag. 2154)
(3) United States v. Maxim Miroshnichenko, et al. (10 Mag. 2141)
(4) United States v. Marina Oprea, et al. (10 Mag. 2142)
(5) United States v. Kristina Svechinskaya, et al. (10 Mag. 2137)
(6) United States v. Margarita Pakhomova, et al. (10 Mag. 2136)
(7) United States v. Ilyya Karasev, et al. (10 Mag. 2127)
(8) United States v. Marina Misyura, et al. (10 Mag. 2125)
(9) United States v. Nikolai Garfulin, et al. (10 Mag. 2138)
(10) United States v. Dorin Codreanu, et al. (10 Mag. 2152)
(11) United States v. Victoria Opinca, et al. (10 Mag. 2153)
(12) United States v. Alexander Kireev, et al. (10 Mag. 1356)
(13) United States v. Kasum Adigyuzelov, et al. (10 Mag. 1622)
(14) United States v. Sabina Rafikova, et al. (10 Mag. 1623)
(15) United States v. Konstantin Akobirov, et al. (10 Mag. 1659)
(16) United States v.Adel Gataullin , et al. (10 Mag. 1680)
(17) United States v. Ruslan Kovtanyuk, et al. (10 Mag. 1827)
(18) United States v.Yulia Klepikova , et al. (10 Mag. 1753)
(19) United States v.Alexande Sorokin , et al. (10 Cr.437(RWS))
(20) United States v. Alexander fedorov, et al. (10 Cr.873(KTD))
(21) United States v.Anton Yuferisyn , et al. (10 Cr.134(JGK))
(22) United States v.Jamal Beyrouti , et al. (10 Mag.2134)


Ⅱ. 英国のZeus Trojan犯罪グループの大量逮捕
 2010年9月日午前0時までとする英国ロンドン警視庁の差止リリース記事(現時点では見れない)に基づき事件の概要を紹介する。

 今回逮捕された19人はロンドン警視庁のPCeUにより9月28日に一斉逮捕されたもので、予め入念に計画されたハイテク犯罪で英国の銀行口座から数百万ポンドを盗取したものである。PCeUの捜査員は9月28日の5時から6時の間に23歳から47歳にわたる19人(男性15人、女性4人)を逮捕した。

 容疑者は「1990年コンピュータの不正使用に関する法律(the Computer Misuse Act of 1990)」>、「2002年犯罪収益没収法(Proceeds of Crime Act of 2002:c29)」および「2006年詐欺法(Fraud Act of 2006)」容疑で逮捕、取調べ中である。逮捕された者のうち2人は違法銃器所持容疑でも逮捕されている。

 今回の事件で多くの世界の主要銀行がこの3か月間顧客のオンライン口座をのっとられ、かつ資金を盗まれた。英国内で調査している600万ポンドの被害金額については今後さらに増額するかもしれない。

 銀行口座の無権限ログオンするためのデータの詳細を盗み取る極めて効率的なマルウェアとされる“ZeuS”(Zeus Trojan)により損害を被った英国民は数千人と想定される。

 全英警察本部長・部長会(ACPO)の“Virtual Task Force”(筆者注6)議長のマーチン・ミューアヘッド(Martin Muirhead)は次のコメントを行っている。「今回のサイバー犯罪グループの大量逮捕は、イギリスでどのように複数の政府機関と公的・民間の機能人材情報資源と専門的技術を生かすかに関する好例といえる。PCeUにとって導かれた先導的仕事といえる。」

 マルウェア“Zeus Trojan”は、世界中のサイバー犯罪者によってインターネットの安全使用に対する大きな脅威を引き起こして、ますますその使用の可能性は拡がっている。今回の事件に限られないことに留意すべきである。

Ⅲ.SMSに拡がる”Zeus Trojan” 
 “Zeus Trojan”のマルウェアとしての最大の問題点は容易に異種が作成されることである。専門的な解説は略すが米国のセキュリティ専門サイトでは9月29日にモバイル・バンキングで使用されるテキストメッセージの交換のデータ(SMS)(筆者注7)を盗取する“Zeus Trojan”が検出されたニュースが報じられている。欧州のモバイル・バンキングの本人確認で使用される「取引認証番号(Transaction Authentication Number: TAN)」は伝統的なユーザー名やパスワードと同様、金融取引の認証要素として使用されている。

 具体的な犯行の手口は目下関係機関が分析中であるが、“man-in-the mobile”攻撃には次のステップがあると解析されている。

①まず、ユーザーのPCが“Zeus Trojan”に感染される。その結果、被害者はユーザー名やパスワードを盗取される。
②違法なアプリケーションがモバイル・フォンにインストール、感染するとSMSを介してサイバー詐欺師(cybercrooks)は情報検索する。
③次に詐欺師はすでに得た機微情報に基づき、銀行のウェブログにログインしTANを必要とする取引を実行する。
④銀行は自動的にモバイル端末宛にTANを含むSMSを送信する。
⑤モバイル内にすでに存するマルウェアにより、詐欺師が管理するサーバーにテキストメッセージを転送することで当該違法取引は完了する。

 わが国のSMSは国際的な互換性がないことが幸いか?

**********************************************************************
(筆者注1)ACHは、 米国の連邦準備銀行(FRB)等によって運用され、銀行間の資金決済を電子的に行う決済システムである。給与振込、公共料金の支払いの他、利息や配当金の自動振込や自動引落、財務省が依頼人となる社会保障給付金等の受給資格付与プログラムに基づく給付等に利用されている(2007年10月14日付け本ブログ(筆者注8)参照)。

(筆者注2)シマンテックのサイトで“Zeus Trojan”の解説を引用しておく。なお、英語の資料からの直訳らしく、訳語はこなれていないため専門家でも読みにくい文章であるが一応参考にはなるので引用する(疑問に思う訳語には「?」をつけておいた)。

「 感染:Trojan.Zbot (別名 Zeus) は、侵入先のコンピュータから
 機密情報を盗み取ろうと試みるトロイの木馬です。また、インターネットから設定ファイルや更新ファイルをダウンロードする可能性があります。このトロイの木馬は、トロイの木馬作成用ツールキットを使って作成されます。・・このトロイの木馬自体は、主にスパム送信とドライブバイダウンロードを介して配布されますが、汎用性を考慮すると他の手段が利用される可能性もあります。ユーザーは、FDIC(連邦預金保険公社:米国金融監督機関)、IRS(米国連邦財務省連邦税課税庁)、MySpace、Facebook、またはマイクロソフトなどの組織()から送信されたように見える電子メールメッセージを受信する可能性があります。このメッセージは、ユーザーの金銭()情報、オンラインアカウント、またはソフトウェアに関する問題を警告して、電子メールで案内するリンク先を訪問するように促します。

機能:このトロイの木馬は、主に侵入先のコンピュータから機密情報を盗み取ることを目的として設計されました。特に、システム情報、オンライン資格()情報、銀行取引の詳細などがターゲットとなりますが、ツールキットを使ってカスタマイズすることで、どのような種類の情報でも収集することができます。・・・機密情報は、さまざまな方法で収集されます。このトロイの木馬が実行されると、Protected Storage (PStore) に格納されている Internet Explorer、FTP、POP3 に関連するパスワードを自動的に収集します。最も効率的な情報収集の手段として、設定ファイルで指定された Web サイトを監視し、タイミングを見計らって正規の Web ページを遮断して追加フィールドを挿入する(ユーザー名とパスワードの入力だけを要求するバンキングサイトに、生年月日を入力させるフィールドを追加するなど)という方法が使われます。・・・」
シマンテック「セキュリティレスポンス:Trojan.Zbot 危険度 2: 低」から引用。なお、この文章では米国FDIC、IRSについては説明部分がもれているので筆者が補筆した。

(筆者注3) ロンドン警視庁の“Police Central e-crime Unit(PCeU)”について、わが国では正確に説明したものがない。この機会に、同ユニットのサイト等に基づき「任務記述書( Mission Statement)」やその具体的な任務内容について説明する。

(1) 任務記述書の概要
イングランド、ウェールズおよび北アイルランドにまたがる警察の能力を育成することによりサイバー犯罪の犠牲者への警察の対応を改善するため、警察サービスのあらゆるタイプのサイバー犯罪の法施行体制を整備、さらに最も重大なサイバー犯罪事件に対し国家としての捜査能力を提供する。

(2)同ユニットの具体的付託任務(remit)
①内務省(Home Office)、ロンドン市警察(City of London Police)、重大組織犯罪対策機構(Serious Organised Crime Agency:SOCA)(2006年4月1日~内務省の財政支援で活動、2013年10月以降はNCA)等他の犯罪取締機関、政府機関との共同作業により、違法なIT情報犯罪に結びつくサイバー犯罪に対する高度な専門的情報の分析ならびに開発
②サイバー犯罪の壊滅を導くための情報収集
③サイバー犯罪に関する警察、政府および産業界との協同ネットワークの開発と維持
④政府の各省庁、産業界の協力者、アカデミー研究者および公益団体などを含む利害関係者との情報や機密情報の交換
⑤産業界および一般市民へのサイバー犯罪に関する教育と予防手段に関する助言
⑥サイバー犯罪に関するトレーニングの標準化、手順および対応の促進
⑦サーバー犯罪の脅威と脆弱性に関する産業界の協力者、政府機関およびアカデミー研究者との協同研究作業に基づく研究と助言
⑧同ユニットは捜査機関の重要経済詐欺事件の判断基準(Case Acceptance Criteria :捜査実施要件を定め、その犯罪要件の「すべて」、「1つ以上」、「2つ以上」等の充足程度によって犯罪事件として捜査を行うべきか否かを決める基準)に該当する重要犯罪であるか否かの調査を行う。

⑨最も重大な犯罪事件として次のような事件に責任をもって取組む
・コンピュータシステムへの侵入(computer intrusion)
・悪意あるコード(malicious code:情報システムが提供するサービスを妨害するプログラムの総称で、たとえば「コンピューターウイルス」、「ワーム」、「バックドア」、「キーロガー」等をさす)違法な配分
・DOS攻撃
・インターネットを介して可能となる詐欺犯罪(internet-enabled fraud)

PCeUの付託任務事項として、次の事項は明らかに除くものとする。
・サーバー犯罪に関する定期的な報告
英国詐欺取締庁(National Fraud Authority:NFA)(2013年以降はNCAに統合)が運用・管理する「英国詐欺報告センター(National Fraud Reporting Centre)」に関するプロジェクト
子供の搾取およびオンライン保護センター(Child Exploitation and Online Protection Centre:CEOP)の付託事項

(3)“PCeU”の各チームの内容
①運用チーム、②情報活動チーム、③パートナーシップ開発チーム、④協同・コミュニケーションチーム、⑤犯罪阻止対策チーム

 なお、現在の英国サイバー犯罪プログラムの内容を参考までに挙げておく
ACPO サイバー犯罪戦略、②英国サイバー犯罪プログラムの構造、③コンピュータを基礎とする電子証拠のための優れた実践ガイド、④サイバー犯罪捜査管理者向けガイド
 特に、③についてはわが国においても参考とすべき点が多々あると思う。時間をかけて分析したい。

(筆者注3-2) 2013年10月7日、PCeUは英国版FBI(米連邦捜査局)」とも称される新組織である「国家犯罪対策庁(National Crime Agency:NCA)」(もともと2006年4月に発足した「重大組織犯罪庁(Serious Organized Crime Agency、SOCA)が改組・改編された )の一部である国家サイバー犯罪部(National Cyber Crime Unit)に統合された。英国で最も「凶悪な」犯罪者らに強固な捜査で臨むという。NCAは約4500人の職員で、英国内に約3万7000人いると推定される重大犯罪や組織犯罪の容疑者を取り締まる。

 年間予算は5億ポンド(約780億円)で、主に組織犯罪、経済犯罪、国境警備、児童を狙った犯罪とインターネット上の保護策、サイバー犯罪の5分野の捜査を担う。対象は国内犯罪が中心となるが、40か国に計120の拠点を置くという。

 米国のFBIと異なり、対テロ捜査は担当しない。対テロ捜査は警察の管轄となるが、将来的にNCAの任務とする可能性が検討される予定だ。

 NCAは2006年に発足した「重大組織犯罪対策庁(Serious Organized Crime Agency、SOCA)」に代わる犯罪対策組織となる。(2010.10.8 AFP記事から引用)

国家サイバー犯罪ユニット(National Cyber Crime Unit)について、「2010年~2015年英国政府サイバーセキュリティ政策文書(Policy paper :2010 to 2015 government policy: cyber security (Updated 8 May 2015)」から一部抜粋し、仮訳する。

【付録1:国家サイバー犯罪ユニット(NCCU)の設置】

以下は、メインポリシー文書の補足詳細ページである。

政府通信本部(GCHQ)とNational Cyber Crime Unit(NCCU)は、英国に対するエリートサイバー犯罪の脅威に対抗するために必要なスキルと技術を開発するために協力している。

最も重大な国家犯罪については、国家犯罪庁(NCA)のNCCUの作戦を指揮する。GCHQは、NCCUがサイバー犯罪の脅威に対抗するためのスキルと技術を開発するのを支援しており、3,500人以上のNCA官吏がデジタル認識トレーニングを修了している。また我々は、サイバー犯罪について警察を訓練している。

9つの地域組織犯罪ユニットがそれぞれ独自のサイバーユニットを持つように、地域のサイバー事業を拡大している。警視庁はまた、彼らの地元のサイバー能力を強化している。Fraud and Linked Crime Online (FALCON) は、警視庁の詐欺隊とサイバー犯罪組織を結集させて、ロンドンの企業を攻撃するサイバー犯罪者を混乱させ、逮捕した。

多くのサイバー犯罪者が英国の管轄外で活動してお.り、 NCCUは次のとおり海外での活動まで拡大している。

① 世界のサイバー犯罪の脅威を理解する

② 優先すべき脅威に対する活動の調整

③ EuropolおよびInterpolなど、海外に官吏を派遣するなど、起訴に関する協力を支援するために国際的なパートナーとの関係を構築する。

(筆者注4) 筆者の手元に、オーストラリア大使館広報文化部よりオーストラリア政府の外交、政策に焦点をあてた最新情報を届けるニュースレター 「Headline Australia 最新号」が届いた。その中に次のようなレポートがあった。誤訳らしき問題のある訳語もあるが、世界の若者の現実を理解する意味で、そのまま引用する。

「世界の若者ホームレスたち
オーストラリアはメルボルンで5月17日から20日まで開かれたINSP(国際ストリートペーパーネットワーク)の年次会議には、大陸を超えて27カ国から70人の参加者が集った。ブラジルから参加した『オカス』誌の編集者ロジは、「ここに来るのに30時間もかかったわ」と笑う。今回特に各国代表に聞きたかったのは、世界の若者ホームレスの状況だった。「ビッグイシュー日本」では、リーマンショック後30~40代で「販売者になりたい」と事務所を訪れる人が急増している。今年7月に創刊を予定している『ビッグイシュー・韓国』誌のナラは語る。「韓国でも、若者のホームレス化が問題になっています。彼らに『自分がホームレスだ』という自覚はないけれど、インターネットカフェに泊まり続けていたりする。その大半は競争社会の韓国に疲れきった若者たちです。最近では、韓国版ワーキングプアも増え、『88万ウォン世代(いくら働いても月収が約7万円に満たない世代)』という言葉もできました」オランダの『ストラートニュース』紙のフランクも語る。「オランダでも若いホームレスはいるけれど、彼らは“透明人間”のようなものだよ。誰もその存在を把握していない。それで、彼らが人々の目に“見える”ようになるのは、犯罪を起こして“犯罪者”になった時なんだ」そんな社会から疎外されたホームレス状態の若者たちのためのプロジェクトが、世界で始まっている。例えば、カナダはモントリオールの『L’ltineraire』誌のサージュは、6カ月に及ぶビデオプロジェクトを立ち上げた。「ネガティブな経験しかもちあわせていない彼らには、自尊心がありません。だから、6カ月のプロジェクトを通して、自信を取り戻してほしいんです」。今、プロジェクトには、12歳で学校をドロップアウトをした若者をはじめ、16人が映画の作り方を学んでいる。ホームレス状態に落ちるしかない若者たちをいかに未然にくい止め、再び社会に包み込んでいくのか? ランチや休憩の時間にも、熱い議論は尽きなかった。」

(筆者注5) “Virtual Private Network (VPN)”または「 仮想プライベートネットワーク」とは 通信相手の固定された専用通信回線(専用線)の代わりに多数の加入者で帯域共用する通信網を利用し、LAN間などを接続する技術もしくは電気通信事業者のサービスをいう。(Wikipediaから引用)

(筆者注6) 英国警察本部長・部長(The Association of Chief Police Officers :ACPO)は、スコットランドを除くイングランド、ウェールズ、北アイルランドの全警察の本部長等からなる独立かつ自主的犯罪専門戦略策定・実行機関である。(筆者注3)で紹介した「ACPO サイバー犯罪戦略」をまとめている。その12頁で“Virtual Taskforce”について任務や機能等につき図解入りで解説している。わが国で同様な取組みがあるのか筆者は不明であるが、明確な説明は読んだ記憶はない。“Virtual Taskforce”の要旨を引用しておく。

警察、産業界、アカデミー研究者やその他法執行機関による相互協力的取組みは、緊密な協力と協力的作業が必要である。“Virtual Taskforce”の組織は各特定したサイバー犯罪を解決すべくお互いの専門技術を持ち寄り、すでにその結果で明らかなとおり新たな取組みを行っている。特に現在の“Virtual Taskforce”組織は、 金融業界に的を絞っており、銀行、決済サービス、通信業者、ISPおよび複雑な問題に多角的にビジネスサポートを行いかつ“academic rigour”(高いレベルの研究機能を指し、あらゆる前提や仮説の検証やサポートを通じて、詳細にわたる徹底した調査、先進的かつ批判的な分析や考証に関する詳細な注意を払うこと)である機関(facilitation service)「英国王立国際問題研究所 (The Royal Institute of International Affairs:チャタムハウス: Chatham House)等をパートナーとする。
 なお、問題の性格上、各パートナーが遵守する“Virtual Taskforce Charter”を定める。

(筆者注7) ショート・メッセージ・サービス(SMS:Short Message Service)とは、携帯電話やPHS同士で短文を送受信するサービスである。Text Message(テキストメッセージ)とも呼ばれることがある。日本では第二世代携帯電話規格に「PDC」という独自の通信方式を採用したため、海外のGSMやCDMAとの間でサービスに互換性がない。従って厳密に言えばSMSとは区別されるべきものである。(wikipedia から引用)

[参照URL]
・http://www.justice.gov/usao/nys/pressreleases/September10/operationachingmulespr%20FINAL.pdf
・http://www.dailymail.co.uk/news/article-1316022/Nineteen-arrested-online-bank-raid-netted-20m.html
・https://www.scmagazine.com/home/security-news/zeus-moves-to-mobile-devices-to-sniff-out-text-messages/

***********************************************************:
Copyright © 2006-2019 芦田勝(Masaru Ashida).All Rights Reserved.No reduction or republication without permission

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ベトナムの新サイバーセキュリティ法や施行令等に見る内容面からみた新たな課題(その3完)

2019-03-20 15:40:00 | サイバー犯罪と立法

3.ベトナムの改正サイバーセキュリティ法の特色のある解説レポート例

 以下で例示する、詳しくは論じないが特徴点のみ紹介する。

(1)Vietnam New Cyber Security Law:Cyber Research Databankの「Vietnam New Cyber Security Law」

中国のサイバーセキュリティ法、EUの一般情報保護規則(GDPR)、ベトナムのインターネット検閲、アムネステイの人権侵害批判等に言及するとともに、関係する問題につきリンクを適宜張っている。

(2) 2019.1.9 ハノイのロイター通信:Vietnam says Facebook violated controversial cybersecurity law

 

 記者:Trong Khanh Vu 

  論争の的となるサイバーセキュリティ法が共産党の支配国ベトナムで施行された1月2日に、Facebookは、ユーザーが反政府のコメントをプラットフォームに投稿することを許可したことで、ベトナムの新しいサイバーセキュリティ法に違反したと当局から指摘された。経済改革と社会の変化に対する開放性の増大にもかかわらず、ベトナムの共産党は厳しいメディア検閲を保持しており、反対意見を容認していない点などを踏まえ、「Facebookは国家に対する活動を誘発しているファンページを削除する要求に応答しなかった」と政府公式のベトナム通信社は情報通信省を引用して述べている。(以下、略す) 

(3) 2018.11.15 Hogan LovellsUpdate: Vietnams New Cybersecurity Law 

 内容的には第2項で述べたレポートに近い。

(4) 2018.12.13 アジア・インターネット連盟(Asia Internet Coalition )

 サイバーセキュリティ法施行令草案に対する公安省大臣あて意見書Comments on the Draft Decree Guiding the Implementation of Law on Cybersecurity

***********************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ベトナムの新サイバーセキュリティ法や施行令等に見る内容面からみた新たな課題(その2)

2019-03-20 15:32:31 | サイバー犯罪と立法

 

2.Hogan Loells LLPのブログ(Vietnam’s New Cybersecurity Law)

 以下で仮訳する。なお、いうまでもなく、このブログは公安省のサイバーセキュリティ法の施行令草案の内容も引用している。

 2018612、ベトナムの国民議会は、2019年1月1日に施行されるサイバーセキュリティ法 (Law on Cybersecurity (Luật an ninh mạng);以下、「 サイバーセキュリティ法」という)を可決した。とりわけ、この法律は、ベトナムで事業を行うテクノロジー企業のデータ処理方法を規制するとともに、「禁止」されたコンテンツを投稿するユーザーのインターネット接続を制限するものである。法律の規定が一見して広い範囲で適用されるため、ベトナムのエンド・ユーザーにサービスを提供している外国のハイテク企業は、データのローカライズ義務やベトナム国内での支店、事務所等物理的施設の設置義務化等を懸念している。

 

ベトナム国民議会(Quc hiNational Assembly)のサイト

  ベトナムで一般的であるように、サイバーセキュリティ法は関連当局によって発行される将来の実施ガイダンスを通して提供されるべきさらなる詳細化を目的として非常に広く起草された。導入ガイダンスの以前の草案では当局がサイバーセキュリティ法のすべての条項を推進していたが、2018年10月31日に公開された最新の施行令草案(latest draft implementing decree)は、ある程度、法律の適用範囲の明らかな狭小化に対する懸念を和らげた。しかし、問題は残る。

 以下で、サイバーセキュリティ法の重要な側面と現時点の施行令草案について説明する。 

(1) 1年間の法遵守の猶予期間

  サイバーセキュリティ法は、原則として、電気通信ネットワークまたはインターネットを介したサービスを提供したり、またはベトナムの顧客に付加価値サービスを提供する国内外の会社を対象とする。同法は広く解釈すると、これらのサービスには、ソーシャルネットワーク、検索エンジン、オンライン広告、オンライン放送およびストリーミング(streaming) (筆者注4)EコマースのWebサイトおよびマーケット、インターネット・ベースの音声/テキストサービス(OTTサービス(筆者注5)、クラウドサービス、オンラインゲーム、その他のオンラインアプリケーションが含まれる。

  当初、同法が2019年1月1日に施行されると、そのようなすべてのサービス・プロバイダーはサイバーセキュリティ法を遵守することが義務付けられると予想されていたが、最新の施行令草案では、サービスプロバイダーは公安省からの要求の受領後1年間の猶予期間が明記された。 最終的な施行令が発行されたときに変更がないと仮定すると、これは当局によって明確に指示されるまで、企業がコンプライアンスに向けた措置を講じる必要がないことを意味する。これは、法律の適用範囲の広さに関する一般的な懸念を軽減するだけでなく、より具体的には、遵守期限が迫っている2019年1月1日の期限を守ることができない企業に安心感を与える。

(2) 個人データのローカライズされた保存と保持義務

 サイバーセキュリティ法の対象となるオンラインサービス・プロバイダーは、法的に定められた期間内は、ベトナムのエンドユーザーの個人データをベトナム国内に保管し、要求に応じてそのようなデータをベトナム政府当局に引き渡すことが求めらる。 この文脈における個人データには、①名前、②生年月日、③出生住所、④IDカード番号、⑤住所、⑥電話番号などの個人を特定できる個人情報だけでなく、⑦役職、⑧健康状態、⑨医療記録、⑩バイオメトリクス(筆者注6)などのものも含まれる。ユーザによって作成されたデータ(たとえばアップロードされた情報およびデバイスからの同期または入力されたデータ)およびユーザの関係に関するデータ(たとえばユーザー個人が接続または対話する友人およびグループ)もデータ・ローカライゼーション要件の対象となる。

 法律が定めるデータ保持期間は、保持するデータの種類によって異なる。サービスプロバイダーが対象サービスを提供し続ける限り、個人データはベトナム国内に保存されなければならないが、ユーザーによって作成されたデータおよびユーザーの関係に関するデータは少なくとも36ヶ月間保存されなければならない。

2018.11.28 Draft Cybersecurity Decree issued in Vietnam から一部抜粋のうえ筆者が仮訳した。なお、同ブログはベトナムの弁護士Yến Vũ(イエン・ヴオー)氏によるものである

Yến Vũ 氏

(3) 当局によるコンテンツの管理と検閲問題

 サイバーセキュリティ法は、情報通信省または公安省からの要求を受けてから24時間以内に、オンラインサービス・プロバイダがユーザーの投稿を監督し、政府によって「禁止」されているコンテンツを削除することを要求している。「禁止されるコンテンツ」には、ベトナム社会主義共和国に反対する、またはそうでなければ害を及ぼす情報が含まれる。 例えば、理論的には政府、共産党あるいはそれぞれのメンバーまたは役員に対して行われた批判的または反対意見を含む「中傷的宣伝」は禁止される。また、 政治的または社会経済的な活動や反国家活動を奨励すると見なされる内容も、同様にサイバーセキュリティ法に違反する。

 オンラインサービス・プロバイダーが、禁止されたコンテンツを投稿することについてユーザにフラグを立てる場合、そのようなユーザへのインターネット接続の提供を停止し、またそのユーザをその電気通信ネットワークから本質的にブロックしなければならない。 関係当局から要求された場合、プロバイダはユーザ情報を報告して引き渡すことを強制されることさえある。そのため、新しい法律を遵守するとするためには、企業のユーザーのプライバシー保護に関する自社の利用規約(および場合によっては他の司法管轄)に違反することが必要となり、オンラインサービス・プロバイダーはサイバーセキュリティを遵守する方法を選択でき、これにより利用者の個人情報を保護する。

(4) 海外のサービス・プロバイダーの支店または駐在員事務所の設立の条件

 サイバーセキュリティ法は表面的にはすべての海外のサービス・プロバイダーにベトナム国内での支店または駐在員事務所の開設を要求しているが、施行令草案は多くの基準を守ることにつき、ありがたいことにその範囲を狭めた。海外のサービス・プロバイダーが現地での駐在員事務所や支店の設置することを要求される前に法律の大部分に違反するかあるいは当局との協調に失敗した時の条件に関する設置基準を定めている。

 具体的には、法令の下では、とりわけ、(i)ユーザーがサイバー攻撃、サイバー犯罪、または国家の安全と公の秩序を乱すその他の行為を行うことを許可する場合、および(ⅱ)サイバーセキュリティポリシングの違反、ユーザーの詳細な個人情報の認証の失敗、ユーザーの個人情報の機密保持の失敗、関連当局へのユーザー情報の提供、またはタイムリーな違法コンテンツの削除に失敗するなど、サイバーセキュリティ法に違反した場合に限り、海外のプロバイダーはベトナム国内に現地での支店や駐在員事務所を設立する必要がある。

 この施行令草案では、どの海外サービス・プロバイダーが現地の駐在員事務所等の設置要件の対象となるかを特定する責任を公安省(Bộ Công an)に割り当てている。この基準が広い解釈に開放されていることを考えると、同省は、特定の海外のサービスプロバイダーがベトナムに現地での駐在員事務所等を設置する必要があるかどうかの事実上の仲裁人となるであろう。したがって、ベトナムで認められている活動のいずれかに従事している海外の会社は、ある時点でこの要件に巻き込まれる可能性がある。それは確実にそのようなすべての会社が法の施行日(2019年1月1日)から自動的にカバーされるという初期の懸念をへらす改善内容といえる。

(4) サイバーセキュリティ法の不遵守に対する潜在的な罰則内容

 サイバーセキュリティ法を遵守しなかった場合の罰則内容はまだ発表されていないが、当局者は、違反即のサービスの禁止はありそうもないと指摘している。しかし、ベトナム国内企業は以前、当局から反国家的な資料を宣伝すると思われるサイトでの広告掲載を一時停止するよう圧力をかけられており、新しい法律は当局がそのような取り組みを行うためのさらなる基盤を提供することになると考えられている。

(5) 結論

 サイバーセキュリティ法の具体的施行が続いているので、ベトナム国内の顧客にオンラインサービスを提供している会社は間違いなく注目しているであろう。当面の間、懸念は残るものの、当局がサイバーセキュリティ法の骨を荒廃させるために当局が傾いているように見える方向は、少なくとも、海外の技術者が主張するより厄介な条項から後退しているように思われ、特に企業はそう懸念している。

3.DataGuidanceの記事「ベトナム:サイバーセキュリティ」の要約

標記ブログを仮訳する。なお、法律等のリンクや注記は筆者の責任で行った。

Ⅰ.統治に関するテキスト

1.1法律

   ベトナムのサイバーセキュリティ法の主要な部分は、「サイバーセキュリティ法No: 24/2018/QH14 ( CSL: Luật an ninh mạng) ( 2018年に制定され、2019年1月1日に発効) 」 (英訳版)「サイバー情報セキュリティに関する法律No.86 / 2015 / QH13 ( 'LCS' )」 ( 2015年に制定され、2016年7月1日に発効) (英訳版)、およびLCSの下位レベルの実装法令および通達。2022年4月現在、CSLの実装ガイドラインはない。

(1)CSLとLCSは、さまざまなサイバーセキュリティ領域を対象としている。LCSは主にサイバーデータのセキュリティ保護に関する要件を提供するが、CSLは主にサイバー環境全体の国家安全保障を確保するための要件を提供し、 オンラインスピーチの管理と他のデジタル犯罪との闘いに重点を置いている。

(2)CSLとLCSは、ベトナムおよびベトナムを拠点とするユーザー(データホルダー)からのオンライン情報を使用、収集、処理、および配布するすべてのユーザーに広く適用される。

(3)LCSとCSLの立法として相対的に未完成であり、特に現在まだ実施規則がないLCSを考えると, その範囲内には不確実なままであり、当局からのさらなる指導を必要とする多くの領域があり、ベトナム政府およびその機関は、より低いレベルで法律を導くため、具体的には 公安省 (「MPS」)はCSLと 情報通信省 (「MIC」)LCSをガイドするため、更なる継続的な努力が必要である。

1.2規制当局

 一般に、ベトナム国会(NATIONAL ASSEMBLY: Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam)はLCSとCSLを公布する機関である。ただし情報通信省 (以下、MICという)( B Thông tin và Truyn thông)公安省 (以下、「MPSという)(BỘ CÔNG AN)は、LCSとCSLの両方を規制、実装、解釈、施行する主要な規制当局である。特に、MICはLCSに関する主要な権限であり、CSLに関してより支援的な役割を果たす。逆に、MPSはCSLの中心的な権限であり、LCSに関してより支援的な役割を果たす。

 公安省 (MPS)はベトナム政府直属の公的機関であり、治安、秩序、社会安全の国家管理の機能を果たす。すなわち、 対諜報活動、 防犯調査、 火災予防と救助、 刑事判決の執行、投獄、拘留または一時拘禁の対象とならない判決執行、 法的保護とサポート等、 同省の国家管理下にある部門および分野における公共サービスの国家管理を行う。(Wikipediaから抜粋、仮訳) なお、この機関制度は中国に極めて類似している。

公安省大臣トー・ラム(To Lam)氏

公安省は、ベトナム人民の公安全般を管理する機関である。

1.3.規制当局のガイダンス

 MPSは、CSLが2018年に公布されたにもかかわらず、CSLの実装規則や公式ガイダンスをまだ発行されていない。タイミングは不確かであるが、政府が実施令をまもなく発行することが広く期待されている。しかし、デジタル犯罪への取り組みオンラインヘイト・スピーチの管理の問題に関して、MPSはオンラインで犯された違反を罰するための刑事訴追が極端な場合に適用される可能性がある範囲で措置の導入に非常に積極的である。

 一方、LCSを実施するために政令142/2016が政府によって発行された。政令142/2016は、オンライン紛争に対処するデータホルダーにガイダンスを提供し、義務を課す。したがって、オンライン情報の競合の報告を受け取った場合にデータ所有者が対応するための手順とタイムラインを示す。また政令142/2016は、データ保有者が情報の変更を含め、遵守を拒否した場合に当局がオンライン紛争を防止するために実施する必要がある措置を規定し、データホルダーの情報ポータルに対して技術的な障壁を適用する。

2.CSLの適用範囲

 CSLはすべてのデータホルダーとその情報インフラストラクチャに適用される。CSLとLCSは、ベトナムとベトナムを拠点とするユーザーからのデータを処理するすべての事業体とネットワークおよび情報システムをまとめてカバーしている。一見したところ、どちらの法律もソーシャルネットワークプロバイダー(Facebook、YouTube、Googleなどの巨人「純粋なテクノロジー」企業)に焦点を当てているように見えるが, 法律の言語は広範であり、それに直面して、幅広いビジネス活動とモデルを反映している。特に、両方の法律は、通信ネットワーク、インターネット, ベトナムのインターネット上のその他の付加価値サービス。この幅広い言語は、さまざまな活動をカバーしており、明らかにソーシャルメディアサービスに限定されていない。たとえば、外国の銀行がベトナムのクライアント(ベトナムに居住するベトナム人以外の市民を含む)にオンラインサービスを提供する場合、その活動は法律でカバーされる場合がある。別の例は、ベトナムの居住者がアクセスでき、ベトナムの居住者が使用するオンライン予約サービスである。

 もちろん、ユーザーやソーシャルメディアネットワークプロバイダーも、デジタル犯罪への取り組みやオンラインスピーチの管理に関して対象となっている。この面での違反を罰するために、行政上の罰金と刑事訴追の可能性がある。

 CSLの適用範囲を特定の事業体に明確化/制限する可能性のある実施法令を起草するための継続的な取り組みがあるが、2022年の時点では, CSLの実施に関する政令草案とCSLに基づく個人データの保護に関する政令草案の両方が政府によって承認されていない。

3.用語の定義

・情報セキュリティプログラム: 情報および情報システムを保護するために機能するハードウェアまたはソフトウェア。

・サイバーセキュリティ・インシデント: 国家安全保障、公序良俗、または組織や個人の合法的な権利と利益を脅かすサイバースペースでの予期せぬ出来事。

サイバー情報セキュリティリスク: サイバー情報セキュリティのステータスに影響を与える可能性のある主観的要因または客観的要因。

サイバー犯罪: 刑法No.で定義されているサイバースペース、情報技術、または電子機器の使用を含む犯罪。ベトナム国会の刑法100/2015 / QH13(2015年11月27日成立)(ベトナム刑法第286条)。

286 コンピュータネットワーク、電気通信ネットワーク、または電子機器に有害なソフトウェアプログラムの拡散

 以下のいずれかの場合に、コンピュータ ネットワーク、電気通信ネットワーク、または電子機器に有害なソフトウェア プログラムを意図的に拡散した者は、5000万 ドン(30900)から 2 億ドン(1237600)の罰金、または最高の罰金に処されるまたは3年の社会内刑(community sentence)(筆者注7)または636か月の有期懲役(imprisonment)(刑法第38)

(a) 得た違法利益は 5000万ドン(約30万900円)から 2 億ドン(約123万7600円)未満であること。

(b) 違反により、5000万ドンから 3億ドン(約185万6000円)未満の物的損害が発生したこと。

(c) 有害なプログラムが、50 ~ 199 台の電子デバイス、または 50 ~ 199 人のユーザーがいる情報システムに感染したこと。

(d) 犯罪者は、以前に民事上の刑罰を受けているか、同じ犯罪で以前に有罪判決を受けたが未だに取り消されていないこと。

2. 以下のいずれかの場合に犯した犯罪には、2 億ドン(約123万7600円)から 5 億ドン(309万4100円)以下の罰金、または 3 年から 7 年以下の有期懲役が科せられる。

(a) 犯罪が組織化されたグループによって行われたこと。

  1. b) 得た違法利益は 2 億ドンから 5 億ドン未満であること。
  2. c) 違反により、3 億ドンから 10 億ドン未満の物的損害が発生したこと。
  3. d) 有害なプログラムは 200 ~ 499 台の電子機器、または 200 ~ 499 人のユーザーがいる情報システムに感染したこと。
  4. dd) 危険な再犯。

3. 以下のいずれかの場合に犯されたこの犯罪には、7 年から 12 年の有期懲役が科せられる。

(a) 犯罪が機密情報であるデータ システム、または国防と安全保障に役立つ情報システムに対して行われた場合。

(b) 国家電力網、制御情報システム、 銀行または金融情報システム、 交通管制情報システム等国家情報インフラに対する犯罪であること。

(c) 得られた違法な利益は何ですか? 5億ドン以上であること;

(d) この違反により、10億ドン以上の;物的損害が発生したか;

(dd) 有害なプログラムは500 台の電子デバイスまたは情報システムによる? ユーザー数は 500 人に感染したか。

4.違反者には、3000万 ドンから 2 億ドンの罰金が科せられるか、または1 年から 5 年間、特定の役職に就くことや特定の仕事に従事することが禁止される場合がある。

4.情報管理システム/フレームワークの実装

 データホルダーまたはベトナムを拠点とするユーザーはすべてのネットワークおよび情報システムは、データホルダーがそのようなシステムを使用してベトナムからのデータを収集、使用、転送、または処理する場合、当局による特定の監視の対象となる。

 CSLは、「国の重要な情報インフラストラクチャ」として分類される特定の国のネットワークおよび情報システムの要件も規定している。 また、CSLは、政府がこの規定を明確にするために国の重要な情報インフラストラクチャの具体的リストを公布することを規定しているが、ただし、現在のところ、そのようなリストは公布されていない。

 CSLの第10.2条は、以下の国内情報システムは「国の重要な情報インフラストラクチャ」と見なされることを規定している。

①軍事、安全保障、外交、または暗号化された重要なシステム

②国家機密情報のアーカイブと処理するもの

③特定の重要なアイテムやドキュメントの保管を提供するもの

④国家安全保障に関連する他の施設の保管、製造、管理を提供するもの

⑤中央組織の運営に奉仕するもの

➅エネルギー、金融、銀行、電気通信、輸送、資源と環境、化学、健康、文化、報道当局にサービスを提供するもの

⑦人間または環境に有害な材料または物質の保管を提供するもの

⑧国家安全保障または国家安全保障目標に関連する重要な作業における自動監視および制御システム。

「国の重要な情報インフラストラクチャ」として分類されていないネットワークおよび情報システムは、LCSがそれらを5つのクラスに分割し、各分類は特定のレベルの必要なセキュリティ対策に対応している。以下の見出しは、これらのカテゴリと、各ネットワーク分類のセキュリティ対策に関する法令85/2016 / ND-CP(DECREE ON THE SECURITY OF INFORMATION SYSTEMS BY CLASSIFICATION)4/24⑳の第7条から第11条に記載されている基準を要約している。

分類1

組織または機関の内部運用に対応し、公開情報のみを処理する情報システム。

分類2

分類2に該当するには、次の基準の少なくとも1つを満たす必要がある。

①組織または機関の内部運用を提供し、ユーザーの個人情報および個人情報を処理するが、機密の国家情報を処理しない情報システム;

これらのマナーの1つで人々と企業にサービスを提供する情報システム:

法律に従い、レベル2以下の情報とオンライン公共サービスを提供します;

条件付きビジネスサービスのリストに記載されていないオンラインサービスを提供します。または

10,000人未満のユーザーの個人情報および個人情報を処理する他のオンラインサービスを提供します。そして

組織または機関が使用する情報インフラストラクチャのシステム。

分類3

分類3に該当するには、次の基準の少なくとも1つを満たす必要がある。

①分類された国家情報を処理する、または国防と安全保障にサービスを提供する情報システムであり、その妨害行為が国の防衛と安全を危うくする。

②次のいずれかの方法で人と企業にサービスを提供する情報システム。

③法律に従い、レベル3以上の情報とオンライン公共サービスを提供する。

④条件付きビジネスサービスのリストで定義されているオンライン公共サービスを提供する者。または、10,000人以上のユーザーの個人情報および個人情報を処理する他のオンラインサービスを提供するもの。

⑤業界、国、または国の機関や組織が使用する共有情報インフラストラクチャのシステム。

➅規制された建設の等級付けに従って、グレードII、III、またはIVの建物の通常の活動の操作と操作に直接サービスを提供する産業用操作情報システム。産業用操作情報システムは、「建設 の通常の活動の運営(第6.2.d条-法令85/2016)データの監視と収集、操作の重要なセクションの管理と制御における機能的な役割を持つ情報システムとして定義される。

分類4

分類4に該当するには、次の基準の少なくとも1つを満たす必要がある。

①国家情報を処理するか、国防と安全保障のサービスを提供し、その妨害行為が国の防衛と安全保障に深刻な妥協をもたらす情報システム;

②電子政府の発展に役立ち、24時間体制で機能し、事前のスケジュールなしに停止しない国家情報システム;

③代理店や組織に全国規模および24時間体制でサービスを提供し、事前のスケジュールなしに停止しない共有情報インフラストラクチャのシステム。

④規制された建設の等級付けに従って、グレードIの建物の通常の活動の操作と操作に直接サービスを提供する産業用操作情報システム。

分類5

分類5に該当するには、次の基準の少なくとも1つを満たす必要がある。

①機密の国家情報を処理する、または国防と安全保障のサービスを提供し、その妨害行為が国の防衛と安全保障に過度に重大な損害を与える情報システム;

②国の特に重要な情報とデータの集中ストレージを提供する情報システム;

③ベトナムと世界をつなぐ国家情報インフラのシステム;

④法的安全保障に関する建設または重要な建物の規制された等級付けに従って、特別等級の建物の通常の活動の操作と操作に直接サービスを提供する産業操作情報システム 国家安全保障に関する規制;

⑤首相の裁量によるその他の情報システム。

4.1サイバーセキュリティのトレーニングと意識

通達第9条によると。2017年3月/ TT-BTTTTは法令No. 85/2016を指導し、サイバー情報セキュリティの各レベルには、その付属文書に詳述されている各関連指標がある。

CSLの第49条によれば、サイバー情報トレーニングは次のように規制される。

(1)情報システムの管理機関は、管理および技術スタッフメンバーにサイバー情報セキュリティの知識とスキルのトレーニングを提供するものとする。

(2)フルタイムのサイバー情報セキュリティ担当者は、専門資格に関連するタスクを割り当てられ、その実行を支援され、サイバー情報セキュリティの復習トレーニングに参加する際に優先される。

国は、サイバー情報セキュリティのための人材育成を目的とした高等教育機関および職業訓練機関を通じ、組織および個人に投資し、合弁事業および建設における他の組織との提携に参加することを奨励するものとする。

内務省 幹部、公務員のためのサイバー情報セキュリティの知識と運用に関するトレーニングの計画と組織化において、MICおよび関連する省庁とセクターの主要な責任を負い、公務員調整するものとする。

4.2サイバーセキュリティのリスク評価

 LCSによると、サイバーセキュリティリスク評価とは、情報または情報システムに対する危害および脅威のレベルの検出、分析、および推定を意味し、MICが管理するものとします。

 サイバー情報セキュリティ基準または規制適合性の評価は、次の場合に行われる。

①規制適合認証が実施され、規制適合スタンプは、サイバー情報セキュリティ製品を販売する前に、組織または個人が取得するものとします。またはサイバー情報セキュリティの国家管理に役立つこと。

②国の重要な情報システムにサービスを提供し、サイバー情報セキュリティの国家管理にサービスを提供するサイバー情報セキュリティ基準または規制適合性の評価は、MICによって指定された適合認証機関によって行われる。

4.3 ベンダー管理

 LCSの第10条は、電気通信企業、電気通信アプリケーションサービスを提供する企業、および情報を送信する情報技術サービスを提供する企業は以下が義務付けられる。

①情報の保管、個人情報の保護、組織や個人の個人情報の保護に関する法律を遵守すること。

②情報の送信が違法であるという組織または個人の通知を受け取ったとき、ブロックおよび処理措置を講じる。

②受信者に情報の受信を拒否するように提供する。

③有能な国の機関がサイバー情報セキュリティを管理および確保するために、要求に応じて必要な技術的および専門的条件を提供する。

 電子メールサービスを提供している、または情報を送信および保存している企業は、送信、受信の過程でマルウェアフィルタリングシステムを備えている必要がある。 システムを介して情報を保存し、法律に従って管轄の州機関にレポートを送信するものとする。

 インターネットサービスを提供する企業は、マルウェアの拡散を管理、防止、検出、および停止するための措置を講じ、管轄の国の機関の要求に応じてそれを処理するものとする。

4.4説明責任/記録保持

 監査手順に関しては、監査関係書類は、使用期間中、完全かつ安全に保存されなければならない。さらに、処理活動の記録に関しては、電子形式でもハードコピー形式でも、そのような活動は関連するように記録されなければならない。 一方、データは機密に保つ必要があり、使用期間中のみ調査できる。

 設計、デフォルト、または行動規範によるプライバシーに関連する関連規定は存在しない。

5.データセキュリティ

(1)技術的および組織的対策: 科学技術省 サイバー情報セキュリティに関する国の技術基準を評価および公開し、MICはサイバー情報セキュリティに関する国の技術基準を公布するものとする。

(2)アクセス制御と特権:これらは、次のデータ分類に基づいて規定される。

①公開情報は、組織または個人が所有し、そのような事業体を特定して特定することなくすべての事業体に開示するオンラインデータである。

②個人情報は、組織または個人が所有し、開示しないか、識別および配置された1つまたはいくつかの事業体にのみ提供するオンラインデータである。

③個人情報は、特定の人物の識別に関連するオンラインデータです。

④分類された状態情報は、分類された状態情報の保護に関する法律に準拠して、機密、秘密、および極秘として分類されたデータである。

マルチファクター認証:適用規定なし

暗号化:該当規定なし

暗号化:このような対策は、銀行および電気通信部門のみ必要である。

セキュリティポリシー:適用規定なし

*この法律は、データホルダーに、ネットワークおよび情報システムで発生するリスクを監視および管理するための技術的手段を実行する義務を課している。対策は、ネットワークと情報システムのそれぞれのクラスによって異なります。このような措置は、クラス1および2のネットワークおよび情報システムの原則に従うものとする。データ保有者は、独自の裁量で対策を積極的に適用することを勧める。

(3)クラス3以上のネットワークおよび情報システムを運用するデータホルダーの場合、次の対策を講じる必要がある。

①ユーザーのデータを保存し、当局が要求を確認および調査できるようにする(データをローカライズする)

②リスクを検出するために技術的なソリューションを適用する。

③データを提供し、セキュリティ対策の実施について報告するために、要求に応じて当局と協力する。

 現在、上記の対策をさらに詳しく説明または明確にする規定はこれ以上ない。そのような措置がベトナムのデータ保有者によって厳密に遵守されているかどうかは不明である。

6.サイバーセキュリティ・インシデントの通知

 データホルダーには、サイバーセキュリティ・インシデントを当局に通知する義務がある。ベトナムの法律では、「サイバーセキュリティ・インシデント」は、情報または情報システムが攻撃または危害を加えられて問題のシステムの全体、機密性、または利用に影響を与えるインシデントに限定されていると理解されておりようである。このような基準が実際に何を意味するかは不明であるが、システムがクラッシュしたり、格納されたデータの機密性を損なう原因となる重大なインシデントは、サイバーセキュリティインシデントと見なされることは間違いないと理解している。

 サイバーセキュリティインシデントが発生した場合、データホルダーは当局に通知する必要なく、インシデントに積極的に対処するために5日間の 猶予がある。このような5日間の終了後、データホルダーは、インシデントが解決されたか進行中のかに関係なく、インシデントを当局に通知する必要がある。インシデントが5日間の通知期間の終了時に継続中または未解決のままである場合、データ保有者は、インシデントに対処するために取られたアクションについて当局に最新の状態に保つ必要がある。ただし、現在、この要件が実際にどのように実装されるかについての詳細な規定はない。

 データホルダーがインシデントを解決できないと見なした場合、当局はインシデントに対処する場合があるが、長期にわたる事件が当局による介入の権利を引き起こすかどうかは不明である。

7.権限を持つための登録

 データホルダーは、ネットワークと情報システムをMICに登録して分類する必要がある。登録書類には、問題のネットワークと情報システムを説明する技術書類が含まれており、データホルダーによるネットワークと情報システムの自己評価も含まれている。MICが申請書類を検討する法定のタイミングは、完全な一式文書の提出日から7日間である。

8.セキュリティ担当者の任命

 該当規定なし。データ保有者が「セキュリティ」担当者を任命する明確な法的義務はない。

ただし、電子商取引活動に関する法令52/2013 / ND-CP (ベトナム語のみで利用可能 )、顧客の個人データを保存および使用するeコマースWebサイトを所有するトレーダーは、組織のアドレスと連絡先情報を詳細に指定する個人データ保護ポリシーや情報を収集および管理するための役員を指定いる必要がある。

9.各セクター固有の要件規定

(1)金融サービス部門

 より具体的な規制の対象となるのは、(金融セクター全体とは対照的に)銀行セクターだけである。特に 中央銀行であるベトナム国立銀行 (「SBV」(State Bank of Vietnam[))は、ベトナムの信用機関がLCSに基づくものと非常によく似た手順でデータ侵害インシデントを処理するためにプロトコルに厳密に従うことを要求する。ただし、主な違いは、SBVとその専門部門が、信用機関がそのようなプロトコルを適用することを処理、調整、および支援するライン権限になることである。そのため、銀行や金融会社は、LCSに従う必要がある通常の会社よりもこのプロトコルに準拠しているようである。

(2)健康・保健部門

 CSLとLCSに基づく一般的な法律に従いながら ベトナム保健省 ( MOH)4/24⑱は通達(Circular )54/2017を発行した。通達54/2017は、MOHが患者のデータをオンラインで処理するときに適用する医療ユニット(病院、診療所など)の「優良事例」と見なすものを規定している。法的手段の形ではないが、これらの「優良事例」は主に「示唆的」であると見なされており、医療ユニットが実際にこれらのプロトコルを適用するかどうか、またはどのように適用するかは不明である。

(3)電気通信

 電気通信法第6条により情報の機密性を確保するには、次のものが必要である。

①電気通信活動に従事する組織および個人は、国家機密の保護に関する法律の下で国家機密を保護するものとする。

②電気通信ネットワークを通じて国家機密として分類された情報を送信、送信、または保存する場合、組織および個人は、暗号法の下でそのような情報を暗号化するものとする。

③すべての組織および個人の公衆通信ネットワークを介して送信される個人情報は機密に保たれ、通信ネットワークに関する情報の管理は、管轄の国の機関によって法律に基づいて行われるものとする。

④電気通信事業者は、名前、住所、発信者番号、電話番号、発信者の位置、通話受信者の位置、通話時間など、電気通信事業との契約締結時に電気通信サービスのユーザーが提供するその他の個人情報ユーザーは、情報を提供することに同意した場合を除き個人情報を開示することはできない。

⑤電気通信事業者は、料金の計算、請求書の請求、および契約義務を回避する行為の防止のために、電気通信サービスユーザーに提供された情報を交換することについて書面で同意する。

⑦情報の開示は、法律に基づいて管轄の国の機関から要求される。

(4)雇用部門

該当規定なし。LCSおよびCSLに基づく一般的なガイダンスが適用される。 

(5)教育部門

該当規定なし。LCSおよびCSLに基づく一般的なガイダンスが適用されます。 

(6)保険部門

一般に、「保険事業に関する法律」により保険会社は保険購入者に関する情報を秘密にしておく義務がある。

その他の部門問題は、LCSおよびCSLによって管理される。

10.罰則

 一般に、CSLとLCSの両方が、法律を遵守しなかった場合、行政上の罰金と刑事訴追の可能性があると概説している。CSLの機能の多くは規制されていないままであるが(たとえば、ローカルエンティティを設定するための要件、データローカリゼーションなど), デジタル犯罪とオンラインスピーチは、2020年4月15日に発効する新しい政令15/2020 / ND-CPの下で厳しく規制されており、政令91/2020によって改正された。特に、特に政府によるCOVID-19との闘いの文脈において、刑事訴追が急増している一方で、行政上の罰金と違法なコンテンツの削除が蔓延している。例えば, 4月14日に最初の刑事訴追が現れ、ベトナムでのCOVID-19の確認された事件に関して「偽のニュース」を広めたとされる1人のFacebookユーザーを犯罪にした。(筆者注9)

 潜在的な行政罰は別として、現在、CSLおよび/またはLCSへの非準拠を犯罪とする刑法に基づく特定の規定はない。

11.その他の関係領域

 さらに、政令53/2022では、駐在員事務所の設立とともに、データストレージ要件が導入されている。より具体的には、政令53/2022の第26条は、ベトナムに保管する必要のあるデータには以下が含まれる。

(1)ベトナムのユーザーの個人データ;

 ・ベトナムを拠点とするユーザーが作成したデータ。アカウント名、使用時間、クレジットカード情報、電子メールアドレス、IPアドレス、最新のログアウト、登録された電話番号など。

 ・ベトナムを拠点とするユーザーとユーザーの友人またはユーザーが対話する他の人々との関係に関するデータ。

 ・ベトナムでの個人データの保管に関して、政令52/2022は、データ保管の形式は問題の企業によって決定される可能性があるが、MPSは通知、ガイド, 企業がデータストレージの要件に準拠していることを監視、監督、および促す。

(2)個人データの保持

 さらに、政令53/2022は、関連する企業がMPSがデータの保存を要求する決定を下してから12か月以内にデータストレージ要件を実装する必要があると指摘している。 また、企業がリクエストを受け取ったときからのそのようなデータの保存期間は、最低24か月である。より具体的には、CSLのセクション26の違反の調査と処理に役立つシステムログは、最低12か月間保存する必要がある。

 さらに、政令53/2022の第26条は、外国企業が次の基準のいずれかに該当する場合、ベトナムに駐在支店を設立する必要があると規定している。

(3)ベトナムでビジネスを行う外国企業は、次のいずれかの分野にある。

①通信サービス企業

②データの共有と保存企業

③ベトナムユーザーのための国内または国際的なドメインの提供企業

④eコマース業者

⑤ソーシャルネットワークとソーシャルマーケティング業者

➅オンラインゲーム

⑦規定;またはメッセージ、電話、ビデオ通話、電子メール、またはオンラインゲームの形式でのインターネット上の他の情報の管理、または操作。

⑧企業が提供するサービスは、CSLに違反する行為を行うために使用できる。

 ****************************************************************************************

(筆者注4)streaming”とは、インターネット上で動画や音声などのコンテンツをダウンロードしながら逐次再生すること。Windows Media PlayerやQuickTime、RealPlayerなどのストリーミング・ソフトを使って受信する。映像や音楽データはデータ容量が大きいため、すべてのデータをダウンロードしてから再生する従来の方式では、受信が完了するまでに時間やネットワーク負荷がかかる。ストリーミングでは、サーバーから映像や音声データが少しずつ配信され、受信した側で同時に再生する。ネットワークへの負担がなく、ユーザーはダウンロードを待つことなく、すぐに映像や音声を視聴できる。(ASCII.jpデジタル用語辞典から引用)

(筆者注5) OTTとは、通信会社やISP(インターネットサービスプロバイダ)とは無関係にインターネット上で提供される、通信容量を大量に使用するサービス。また、そのようなサービスを提供する事業者。パソコンやスマートフォンからインターネットを通じて誰でもオープンに利用できる動画や音声の配信サービス、音声通話、ビデオ通話サービスなどがこれに当たる。(IT用語辞典から引用)

(筆者注6) ベトナムにおけるバイオメトリクとは具体的に何を指すのであろうか。Hogan Lovells LLPのブログは言及していない。このため筆者は別途、公安省サイトのガイダンス資料で見たが、なお詳しい定義は記載されていなかった。

(筆者注7)ベトナムのcommunity sentencesの解説(英国などと異なる点もありあえて仮訳する)

2015 年ベトナム刑法第 32 条第 1 項 c によれば、犯罪者に対する主な刑罰として社会内刑(community sentences)が規定されている。

2.ベトナムにおける社会刑の適用に関する規則(仮訳)

(1)社会内刑の適用:

①軽度の犯罪を犯した者、または本法で定義する重大な犯罪を犯し、安定した職業や定住の地を有し、社会から隔離される必要のない者には、6 か月から 3 年の社会内刑が科されるものとする。

②有罪判決者が一時拘禁されている場合、一時拘禁の期間は社会内刑の期間から差し引かれるものとする。つまり、一時拘留の 1 日は社会内刑の 3 日と等しい (=) 。

③地域社会への刑を言い渡された者は、その者が勤務する組織や機関、あるいはその者が居住するコミューンの人民委員会によって監督され、教育を受けるものとする。

④受刑者の家族は、そのような機関や組織、あるいはコミューンの人民委員会と協力して受刑者の監督と教育を行う責任がある。

(2) 受刑者の義務:

①刑に服している間、受刑者は社会内刑に関する規定に従って一定の義務を履行しなければならず、収入の一部(5% - 20%)が毎月国家予算に支払われることになる。

②特別な場合には、裁判所は所得控除を要求せず、その理由を判決で明示する場合がある。

③ 兵役中の受刑者の収入は所得控除されない。

④-社会内刑を言い渡された者が失業しているか、服役中に職を失った場合、その人は社会内刑の期間中、地域社会に奉仕する仕事をしなければならない。

⑤コミュニティサービスの継続時間は、1 日あたり 4 時間を超えてはならず、1 週間あたり 5 日を超えてはならない。

(3)この措置は、妊娠中の女性、生後6か月未満の子供を育てている女性、高齢者や虚弱な人、致命的な病気を患っている人、重度の障害や極度の重度の障害を持つ者には適用されない。

(4)社会内刑を宣告された者は、2019 年刑事裁判執行法に定められた義務を履行しなければならない。

(平成2015年刑法第36条による)

したがって、軽度の犯罪、重大な犯罪の場合、安定した職場や明確な住居がある場合、犯罪者を社会から隔離する必要がないとみなされる場合、ベトナムでは6か月から3年の社会内刑が適用される。

(筆者注9)東南アジアの国で新型コロナウイルスに関するネット上のコメントが急速に広がるなか、ベトナムでは2020年4月14日、ソーシャルメディア上での「フェイクニュース」やデマの流布に対する罰金を導入する新たな法令が発効した。
2020年1月にベトナムで最初の新型コロナウイルス感染者が検出され、保健省はこれまでに267人の感染者、死亡者はいないと報告しているが、この数字は他のアジア諸国で見られる数字を大きく下回っている。
地元当局はすでに、既存の法規定に基づき、ドナルド・トランプ米大統領が広めた用語を使ってウイルスに関する「フェイクニュース」と称する内容を投稿した数百人に罰金を科している。 しかし、2月に起草された新しい政令は、「フェイクニュース」を特に対象としていない2013年の政令に取って代わるものである、と新ガイドラインは述べている。
新政令によるとソーシャルメディアを利用して虚偽、虚偽、歪曲、または中傷的な情報を共有した者には、ベトナムの基本給約3~6か月分に相当する1,000万ドン(約6万円)~2,000万ドン(約12万円)の罰金が科せられるという。(ロイター通信記事を仮訳)

***********************************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ベトナムの新サイバーセキュリティ法や施行令等に見る内容面からみた新たな課題

2019-03-20 14:00:23 | サイバー犯罪と立法

Last Updated : April 24,024

 過去にさかのぼることになるが、筆者は最近、昨年2018年11月15日付けの米国のローファームHogan Lovells LLPのブログ「更新情報:ベトナムの新サイバーセキュリティ法」を読んだ。

 筆者自身、ベトナム法は全くの素人であるが、社会主義国家でありかつてサイバー・セキュリティの後進国といわれるベトナムのサイバー立法の中身と同国に進出を行っている海外のプロバイダー等テクノロジー企業にとってい如何なる影響があるのかなど、気になる点も多いことから、あえてその仮訳や追加的解説試みた次第である。

 また、筆者なりにより立法措置や法解釈面からの詳しいレポートを探したところ、2018年7月30日付けのベトナム・ビジネス法サイトの解説記事「Vietnam’s New Cybersecurity Law 2018」を見出した。さらに2022年4月のData Guidanceの解説等である。

 今回のブログは、まず(1)Vietnam’s New Cybersecurity Law 2018」の概要・ポイントを仮訳したのち、(2)Hogan Loells LLPのブログ(Vietnam’s New Cybersecurity Law)を仮訳し、(3)Data Guidanceの”Vietnam 

cybersecurity”の概要の仮訳最後に(4)新サイバー法に関する問題点につき広く関係メディアにリンクを広く張った解説記事を紹介する。

 なお、(1)、(2)の内容はかなり重複がみられる点があるが、あえてそのまま掲載した。後日、あらためて整理したい。また、ベトナムの所管国家機関や執筆者の写真は筆者の責任でリンクを張った。もうベトナムのサイバー規制法を理解するうえで重要なことは中国のサイバー規制法の正確な理解である。(筆者注0)

 最後に、今回紹介した解説記事を正確に読むには「改正サイバー・セキュリティ法」の全文および「施行令草案」等の全文とを関連付けた解説を併読する必要があることは否めない。後日、改めて投稿したい。

1.「Vietnam’s New Cybersecurity Law 2018」の概要とポイント

 以下、全文を仮訳するが原文(英語版)はかなり英米法に熟知した筆者(Nguyen Bich Ngoc)(筆者注1)によるもので大変読みやすいし、かつ法律にかかる問題指摘の視点も時宜を得ている。(なお、筆者の判断と責任でベトナムの関係法令等のリンクを張った)

 Nguyen Bich Ngoc氏

 2019年1月1日からベトナムで新しいサイバーセキュリティに関する法律(Law on Cybersecurity (Luật an ninh mạng)(以下、「CSL 2018」という)が施行される。ベトナムでは2015年11月19日付けの「サイバー情報安全法(LAW ON CYBER INFORMATION SECURITY)」(2016年7月1日施行)によりある程度規制されているサイバー環境を保護するための措置を提供するだけでなく、CSL 2018には政府機関によるサイバーネットワーク上に掲載または公表される内容を管理するためのさまざまな規定も含まれる。以下は、CSL 2018の中のいくつかの顕著な問題を取り上げる。

 なお、ベトナムの独立系メディア” The Vietnamese Magazine”がCSLの年表(Timeline)をまとめている。参考になろう。

(1) CSL 2018の適用範囲

 CSL 2018は、サイバーセキュリティの保護に関与するすべての機関、団体および個人に適用される。これは、サイバースペースでの活動が、国家の安全、社会の秩序と安全、合法的な権利と団体および個人の利益に害を与えないことの保証として広く定義される。特に、CSL 2018は、GoogleFacebookなど、ベトナムに居住するユーザーをかかえる海外のネットワーク事業者にも適用される。

  CSL 2018は、ITインフラストラクチャ、電気通信、インターネット、コンピュータシステム、データベース、情報処理、保管および管理システムのすべてのネットワークを網羅し、電子商取引、Webサイト、オンライン・フォーラム、ソーシャル・ネットワーキングとブログなどのサイバースペースおよびインターネットユーザーにサービスを提供するあらゆる企業の活動を規制する。

(2) 情報システムの運営者( Ch Ch qu quant n h th thngngthôngtin )

 CSL2018は、情報システムの運営者に様々な義務を課す。同法によると、「情報システムの運営者」とは、情報システムに対する直接的な管理権限を有するあらゆる機関、団体または個人を意味する。

(3) 重要な情報システムと非重要な情報システム

  CSL 2018は、情報システムを(i)国家安全保障に不可欠な情報システム(Critical Information Systems )と(ii) Critical Information Systemsに分類されないもの( Non-critical Information Systems )に分類する。

 重要情報システムは、一般に情報主体が、事件、侵入、ハイジャック、または運用管理、歪曲、中断、停止、麻痺、攻撃による破壊にさらされた場合、サイバーセキュリティを著しく危険にさらす情報システムとして定義されている。CSL 2018に基づく重要情報システムの具体的リストは、2017年5月10日付けの首相決定632号(Decision 632 of Pime Minister)(以下、「決定632」という)の下ですでに規定されているものよりも広いと思われる。現在、決定632は、情報通信省(MIC )または官庁が管理者である共産党および政府機関内の電気通信エリアおよび情報ネットワークを対象としている。重要情報システムには、 とりわけ、エネルギー、金融、銀行、電気通信、運輸、天然資源と環境資源、化学、ヘルスケア、文化、報道などの分野の情報システムが含まれる。 おそらく、決定632には、国家安全保障および情報通信省(CƠ QUAN CHỦ QUẢN: BỘ THÔNG TIN VÀ TRUYỀN THÔNG (MIC) )以外の関連省庁の関与にとって重要なより多くの分野が補完される可能性がある。(筆者注2)

  ベトナム情報通信省のHPから抜粋

  一方、重要ではない情報システムは、明確には定義されていないが、民間組織や企業によって管理されている情報システムであるべきである。

 (4) サイバースペースに対する禁止行為

 CSL 2018では、サイバースペースを使用して以下の行為を行うことを禁止している。

 ①国家安全保障、社会秩序および安全に関する法律に違反する目的で、サイバースペース、ITおよび電子メディアを使用すること。

②ベトナム社会主義共和国国家に反対する目的で人々を組織化、活性化、共謀、扇動、賄賂、詐欺またはトリック、コントロールする、訓練または叩き込むこと。

③歴史を歪め、革命的な功績を否定し、国家の団結的まとまりを破壊し、宗教に対する犯罪、性差別または人種差別的行為を行うこと。

 ④ 虚偽の情報を提供し、市民を混乱させ、社会経済活動に害を与え、国家機関や公務を遂行する人々の業務に支障をきたす、あるいは他の機関、団体および個人の合法的権利および利益を侵害すること。

⑤ 売春、社会的な悪、人身売買などの活動を行うこと。すなわち、卑猥な、堕落した、または犯罪的な情報の公開 または人々の優れた伝統や慣習、社会倫理あるいは地域社会の健康を破壊すること。 

⑥ 犯罪を仕掛けるために他の人々を扇動、誘惑、または活性化すること。 

 これらの禁止のリストは例えば、歴史を歪めたり、革命的な達成を拒否したり等、きわめて一般的な意味で曖昧であり、権限を実質的な取締機関の裁量に委ねることになる。

(5) データのローカライゼーションの要件

 ベトナムにおいて国内外の企業が電気通信ネットワークでサービスを提供し、インターネットや付加価値サービスをサイバースペースで収集、分析、処理する「個人情報」、「サービス利用者の関係データ」、「サービス利用者が作成したデータ」は、ベトナム国内に保管されなければならない。さらに、これらの活動を行っている外資系企業は、ベトナムに「駐在員事務所」または「支店」を設立する必要がある。

 現在、多くの外国企業が国境を越えてベトナム内のユーザーにサービスを提供している。これらの要件を遵守するためには、外国企業はおそらく、ベトナムでストレージ機器を設置および維持するためのコストを増加させる必要があろう。

(6) 重要情報システムの監督

 重要情報システムは、所管官庁による評価の対象であり、かつ満足のいくサイバーセキュリティ条件として認定された後にのみ運用に入ることができる。重要情報システムは、定期的またはこの法律に基づいて指定されたイベントの発生時に検査することができる。重要情報システムの運営者は、システムの監督、自動警告のメカニズムの策定およびサイバーセキュリティに対する脅威の警告の受け取りを担当し、それらの状況に対処するための計画を立てる責任がある。

(7) 重要でない情報システムの監督・検査

 国家安全保障を侵害する、または社会秩序および安全に重大な損害を与えるサイバーセキュリティ法の違反がある場合、重要でない情報システムは、サイバーセキュリティ対策本部(task force)によるサイバーセキュリティ検査の対象となる可能性がある。 サイバーセキュリティ対策本部は、検査の少なくとも12時間前に非重要情報システムの管理者に書面による通知を送付した後に、検査を実施することができます。検査の対象となるコンポーネントには、 システム内で保存、処理、転送されたデータおよび国家秘密保護手順にかかるソフトウェア、ハードウェア、デジタル機器などがある。

 しかしながら、CSL2018はCSL2018の違反があると判断するための明確な根拠および手順を定めていない。例えば、CSL2018はサイバースペース内で歴史を歪め、革命的な業績を否定し、国家連帯を破壊し、宗教、性差別または人種差別的行為に対する違反行為を禁ずる。しかし、個々の行為を歴史を歪め、したがってその規定に違反していると判断することは困難であり議論の余地がある。そのため、これらの規定は、サイバースペースでサービスを提供し、サービスの提供中に顧客のデータを保持する企業にとって不確実性を生み出す可能性がある。

 (8) コンテンツの監視

 ベトナムのサイバースペースのサービス・プロバイダーは、サイバースペースでアップロードおよび配信されたコンテンツを監視するため、次にあげる多くの要件を満たす必要がある。

①政府機関、団体および個人のソーシャルネットワーク上のすべてのWebサイト、ポータルまたは専門ページでは、国家に対する宣伝活動を伴う情報の提供、アップロード、送信、暴動の誘発、セキュリティの妨害、治安紊乱、困惑または中傷的な使用および経済管理命令に違反は「禁止されているコンテンツ」として禁止される。

②サイバーセキュリティの管轄当局である情報通信省(MIC)公安省(Bộ Công an)から書面による要求を受け取ったときに、ユーザーのアカウント登録を確認し、ユーザーの情報を提供しなければならない。

ベトナム公安省(Bộ Công an)のHP

③サイバーセキュリティ対策本部または情報通信省からの依頼を受けた24時間以内に情報の共有を禁止し、禁止されているコンテンツを削除し、調査目的で関連するシステム・ログ(nhật ký hệ thống)を記録保管場所に移動する。

④ 禁止されている情報をアップロードした団体や個人へのサービス提供を中止する。

 前述した内容のいくつかは曖昧であるので、ネットワーク管理者が禁止されたコンテンツを決定し、フィルタリングすることは非常に困難で費用がかかる可能性がある。例えば、CSL2018は、次の内容を含むように国家に対して宣伝されている情報を定義している。(i)人々の行政当局に対する信頼を歪めたり、中傷したりする。(ii)心理的戦争を開始し、侵略的な戦争を起こし、民族、宗教およびすべての国の人々の間で分裂または憎悪を引き起こす。(iii)人々、国旗、国章、国歌、偉人、指導者、有名人、または国民的英雄を侮辱とあるが、これらの制限を読むとき、ある人は次の点で混同するかもしれない。

① 誰を「偉人」、「指導者」、「有名人」、「国民的英雄」と見なすべきか?

② 「国民的英雄」の達成について異なる観点を持つ新しい公的研究が、「国民的英雄」を侮辱すると見なすことができるかどうか?

 ③ この規制は、行政システムやそのシステムの特定の役人の指導力と統治を批判する人々の権利を奪うことにならないか? 

(9) 法執行

 CSL 2018の法執行を担当する対策本部は、公安省と国防省(Bộ Quốc phòng Việt Nam )の下に任命される。サイバーセキュリティ対策本部は、CSL 2018の下での監視範囲は限られているが、幅広い権限を持っている。 例えば、サイバーセキュリティ対策本部は、情報システムの検査を実施したりユーザー・データを収集したりするために刑事訴訟法に基づく手順に従うことは要求されず、かつ彼らが収集している情報を秘密にし続けることは要求されない。

 CSL 2018の下では、同法に違反した結果は、懲戒処分、行政上または刑事上の責任を問われる可能性がる。 商業法人の場合、CSL 2018の違反に対して刑事責任が適用されるかどうかを検討する際には、そのような違反が「2015年改正刑法」(筆者注3)の下で商業法人に適用される犯罪の範囲に該当するかどうかを判断する必要がある。

(10) 結論

 CSL 2018の要件は、費用を増加させ、法令遵守に対する責任と、サービスプロバイダーにとっての法令遵守と顧客データ保護との間のジレンマをもたらす可能性がある。CSL 2018に基づく多くの要件は、政府のさらなるガイダンスの対象となるでろう。したがって、影響を受ける団体や個人は、この法律を導くため更なる関係機関の文書に従っていく必要がある。 

2.Hogan Loells LLPのブログ(Vietnam’s New Cybersecurity Law)

 以下で仮訳する。なお、いうまでもなく、このブログは公安省のサイバーセキュリティ法の施行令草案の内容も引用している。

 2018612、ベトナムの国民議会は、2019年1月1日に施行されるサイバーセキュリティ法 (Law on Cybersecurity (Luật an ninh mạng);以下、「 サイバーセキュリティ法」という)を可決した。とりわけ、この法律は、ベトナムで事業を行うテクノロジー企業のデータ処理方法を規制するとともに、「禁止」されたコンテンツを投稿するユーザーのインターネット接続を制限するものである。法律の規定が一見して広い範囲で適用されるため、ベトナムのエンド・ユーザーにサービスを提供している外国のハイテク企業は、データのローカライズ義務やベトナム国内での支店、事務所等物理的施設の設置義務化等を懸念している。

 

ベトナム国民議会(Quc hiNational Assembly)のサイト

  ベトナムで一般的であるように、サイバーセキュリティ法は関連当局によって発行される将来の実施ガイダンスを通して提供されるべきさらなる詳細化を目的として非常に広く起草された。導入ガイダンスの以前の草案では当局がサイバーセキュリティ法のすべての条項を推進していたが、2018年10月31日に公開された最新の施行令草案(latest draft implementing decree)は、ある程度、法律の適用範囲の明らかな狭小化に対する懸念を和らげた。しかし、問題は残る。

 以下で、サイバーセキュリティ法の重要な側面と現時点の施行令草案について説明する。 

(1) 1年間の法遵守の猶予期間

  サイバーセキュリティ法は、原則として、電気通信ネットワークまたはインターネットを介したサービスを提供したり、またはベトナムの顧客に付加価値サービスを提供する国内外の会社を対象とする。同法は広く解釈すると、これらのサービスには、ソーシャルネットワーク、検索エンジン、オンライン広告、オンライン放送およびストリーミング(streaming) (筆者注4)EコマースのWebサイトおよびマーケット、インターネット・ベースの音声/テキストサービス(OTTサービス(筆者注5)、クラウドサービス、オンラインゲーム、その他のオンラインアプリケーションが含まれる。

  当初、同法が2019年1月1日に施行されると、そのようなすべてのサービス・プロバイダーはサイバーセキュリティ法を遵守することが義務付けられると予想されていたが、最新の施行令草案では、サービスプロバイダーは公安省からの要求の受領後1年間の猶予期間が明記された。 最終的な施行令が発行されたときに変更がないと仮定すると、これは当局によって明確に指示されるまで、企業がコンプライアンスに向けた措置を講じる必要がないことを意味する。これは、法律の適用範囲の広さに関する一般的な懸念を軽減するだけでなく、より具体的には、遵守期限が迫っている2019年1月1日の期限を守ることができない企業に安心感を与える。

(2) 個人データのローカライズされた保存と保持義務

 サイバーセキュリティ法の対象となるオンラインサービス・プロバイダーは、法的に定められた期間内は、ベトナムのエンドユーザーの個人データをベトナム国内に保管し、要求に応じてそのようなデータをベトナム政府当局に引き渡すことが求めらる。 この文脈における個人データには、①名前、②生年月日、③出生住所、④IDカード番号、⑤住所、⑥電話番号などの個人を特定できる個人情報だけでなく、⑦役職、⑧健康状態、⑨医療記録、⑩バイオメトリクス(筆者注6)などのものも含まれる。ユーザによって作成されたデータ(たとえばアップロードされた情報およびデバイスからの同期または入力されたデータ)およびユーザの関係に関するデータ(たとえばユーザー個人が接続または対話する友人およびグループ)もデータ・ローカライゼーション要件の対象となる。

 法律が定めるデータ保持期間は、保持するデータの種類によって異なる。サービスプロバイダーが対象サービスを提供し続ける限り、個人データはベトナム国内に保存されなければならないが、ユーザーによって作成されたデータおよびユーザーの関係に関するデータは少なくとも36ヶ月間保存されなければならない。

2018.11.28 Draft Cybersecurity Decree issued in Vietnam から一部抜粋のうえ筆者が仮訳した。なお、同ブログはベトナムの弁護士Yến Vũ(イエン・ヴオー)氏によるものである

Yến Vũ 氏

(3) 当局によるコンテンツの管理と検閲問題

 サイバーセキュリティ法は、情報通信省または公安省からの要求を受けてから24時間以内に、オンラインサービス・プロバイダがユーザーの投稿を監督し、政府によって「禁止」されているコンテンツを削除することを要求している。「禁止されるコンテンツ」には、ベトナム社会主義共和国に反対する、またはそうでなければ害を及ぼす情報が含まれる。 例えば、理論的には政府、共産党あるいはそれぞれのメンバーまたは役員に対して行われた批判的または反対意見を含む「中傷的宣伝」は禁止される。また、 政治的または社会経済的な活動や反国家活動を奨励すると見なされる内容も、同様にサイバーセキュリティ法に違反する。

 オンラインサービス・プロバイダーが、禁止されたコンテンツを投稿することについてユーザにフラグを立てる場合、そのようなユーザへのインターネット接続の提供を停止し、またそのユーザをその電気通信ネットワークから本質的にブロックしなければならない。 関係当局から要求された場合、プロバイダはユーザ情報を報告して引き渡すことを強制されることさえある。そのため、新しい法律を遵守するとするためには、企業のユーザーのプライバシー保護に関する自社の利用規約(および場合によっては他の司法管轄)に違反することが必要となり、オンラインサービス・プロバイダーはサイバーセキュリティを遵守する方法を選択でき、これにより利用者の個人情報を保護する。

(4) 海外のサービス・プロバイダーの支店または駐在員事務所の設立の条件

 サイバーセキュリティ法は表面的にはすべての海外のサービス・プロバイダーにベトナム国内での支店または駐在員事務所の開設を要求しているが、施行令草案は多くの基準を守ることにつき、ありがたいことにその範囲を狭めた。海外のサービス・プロバイダーが現地での駐在員事務所や支店の設置することを要求される前に法律の大部分に違反するかあるいは当局との協調に失敗した時の条件に関する設置基準を定めている。

 具体的には、法令の下では、とりわけ、(i)ユーザーがサイバー攻撃、サイバー犯罪、または国家の安全と公の秩序を乱すその他の行為を行うことを許可する場合、および(ⅱ)サイバーセキュリティポリシングの違反、ユーザーの詳細な個人情報の認証の失敗、ユーザーの個人情報の機密保持の失敗、関連当局へのユーザー情報の提供、またはタイムリーな違法コンテンツの削除に失敗するなど、サイバーセキュリティ法に違反した場合に限り、海外のプロバイダーはベトナム国内に現地での支店や駐在員事務所を設立する必要がある。

 この施行令草案では、どの海外サービス・プロバイダーが現地の駐在員事務所等の設置要件の対象となるかを特定する責任を公安省(Bộ Công an)に割り当てている。この基準が広い解釈に開放されていることを考えると、同省は、特定の海外のサービスプロバイダーがベトナムに現地での駐在員事務所等を設置する必要があるかどうかの事実上の仲裁人となるであろう。したがって、ベトナムで認められている活動のいずれかに従事している海外の会社は、ある時点でこの要件に巻き込まれる可能性がある。それは確実にそのようなすべての会社が法の施行日(2019年1月1日)から自動的にカバーされるという初期の懸念をへらす改善内容といえる。

(5) サイバーセキュリティ法の不遵守に対する潜在的な罰則内容

 サイバーセキュリティ法を遵守しなかった場合の罰則内容はまだ発表されていないが、当局者は、違反即のサービスの禁止はありそうもないと指摘している。しかし、ベトナム国内企業は以前、当局から反国家的な資料を宣伝すると思われるサイトでの広告掲載を一時停止するよう圧力をかけられており、新しい法律は当局がそのような取り組みを行うためのさらなる基盤を提供することになると考えられている。

(6) 結論

 サイバーセキュリティ法の具体的施行が続いているので、ベトナム国内の顧客にオンラインサービスを提供している会社は間違いなく注目しているであろう。当面の間、懸念は残るものの、当局がサイバーセキュリティ法の骨を荒廃させるために当局が傾いているように見える方向は、少なくとも、海外の技術者が主張するより厄介な条項から後退しているように思われ、特に企業はそう懸念している。

 

****************************************************************************************

(筆者注0)筆者がこれまで行った中国のサイバーセキュリティ法や情報保護法に関する立法内容につき一覧をあげる。

(1)「中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題」(その1)、(その2)(その3)

(その4完)

(2)「中国のサイバーセキュリティ監視機関が国内人気オンラインサービス10社のプライバシーポリシーの監査計画を発表」(その1)(その2)

(その3) (その4完)

(3)「中華人民共和国が『データ安全保障法(データセキュリティ法):中华人民共和国数据安全法)』を可決」

(4)「中华人民共和国最高人民法院が民間の顔スキャン技術の使用と身元とプライバシーの保護に関するガイドラインを定めた『司法解釈文書』を発出」

(5)「中国、全国人民代表大会常任委員会で個人情報保護法(中华人民共和国个人信息保护法:PIPL)を可決」(その1)(その2)(その3完)

(6)「中国が取り組んでいる国家安全法やサイバー強化法の重要性を最新、正確な情報入手および平易に理解する方法」

(7)「中国の国境を越えた個人データ転送メカニズム措置の最終版公表と事業者の対応にむけた実際のステップ内容」

(筆者注1) 筆者は2024年4月現在、ベトナムのローファーム(Venture North Law (VNLaw))のパートナ―弁護士である。プロファイルを読むとハノイ大学の経済・法学士、貿易大学の輸出技術認定を受けており、これまで企業・M&A、土地・不動産ビジネス、商業・法令遵守、証券規制、環境・雇用等多くのビジネス案件を扱ってきている。

(筆者注2) ベトナムの電子政府計画に係る法整備の概要は次のサイトが参考になる。

2017年9月開催された3rd Asia-Pacific Regional Forums on Smart Cities

and e-Government 2017におけるベトナム情報通信省のスライド「E-GOVERNMENT POLICY OF VIETNAM」

(筆者注3) 2015年11月27に国民議会で可決された改正刑法(No. 100/2015/QH13)の全文(英語版)および概要解説を参照されたい。なお、同法は2018年1月1日施行されている。なお、わが国でも国際協力機構(JICA)のベトナム改正刑法の全文訳が公表されている。

(筆者注4)streaming”とは、インターネット上で動画や音声などのコンテンツをダウンロードしながら逐次再生すること。Windows Media PlayerやQuickTime、RealPlayerなどのストリーミング・ソフトを使って受信する。映像や音楽データはデータ容量が大きいため、すべてのデータをダウンロードしてから再生する従来の方式では、受信が完了するまでに時間やネットワーク負荷がかかる。ストリーミングでは、サーバーから映像や音声データが少しずつ配信され、受信した側で同時に再生する。ネットワークへの負担がなく、ユーザーはダウンロードを待つことなく、すぐに映像や音声を視聴できる。(ASCII.jpデジタル用語辞典から引用)

(筆者注5) OTTとは、通信会社やISP(インターネットサービスプロバイダ)とは無関係にインターネット上で提供される、通信容量を大量に使用するサービス。また、そのようなサービスを提供する事業者。パソコンやスマートフォンからインターネットを通じて誰でもオープンに利用できる動画や音声の配信サービス、音声通話、ビデオ通話サービスなどがこれに当たる。(IT用語辞典から引用)

(筆者注6) ベトナムにおけるバイオメトリクとは具体的に何を指すのであろうか。Hogan Lovells LLPのブログは言及していない。このため筆者は別途、公安省サイトのガイダンス資料で見たが、なお詳しい定義は記載されていなかった。

*******************************************************************************************************

 Copyright © 2006-2019 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

中国のサイバー空間統治の制度・規制面からの進展」(法律、規則/法令/ガイダンス、国家戦略/計画、標準化等)の体系的理解

2017-09-09 17:17:44 | サイバー犯罪と立法

 筆者はサイバーセキュリティ専門サイト”LAWFARE”の2017年6月1日付けレポー”China ‘s Cyber security Law Takes Effect:What to Expect”を読んで、わが国でがこれに類したレポートがなく、これをもとに整理するとともに、正確な理解に寄与できるよう仮訳および中国の原文データへのリンク作業を行うこととした。

 以下が、その結果であるが、この分野に関する第一次参考資料として活用いただけたら幸甚である。 

1.サイバーセキュリティ空間の統治関係法

                              法律名

             公布・施行等年月日

サイバーセキュリテイ法(Cybersecurity Law:中华人民共和国网络安全法)

2017年6月1日

暗号化法(Encryption Law(Draft)(英語版)

2017年4月13日 法案開示、解説

国家安全保障法(National Security Law:中华人民共和国国家安全法 )

2015年7月1日 公布、施行

テロ対策法(Counterterrorism Law:「中华人民共和国反恐怖主义法」)

2016年1月1日施行、解説

 

2.サイバーセキュリティ規則、ガイドラインなど

                      規則・手法・ガイドライン

              公布・施行等年月日

越境の個人情報および重要データのセキュリティ・アセスメントの手法に関する通達(意見公募通達)  (筆者注1)

2017年6月1日施行、遵守期限2018年12月

ネットワーク製品およびサービスの一般的なセキュリティ要件手法(いわゆる「Cybersecurity Review Regime:CRR」:2017年2月4日パブコメツ通達、意見期限3月4日)の解説 

 

2017年6月1日

 重要情報インフラストラクチャの更なる定義手法

未定

部門特定のサイバーセキュリティの適用手法(Sector-specific cybersecurity implementation measures)

未定

部門特定(Internet Pus(互联网+)、医療デバイス、銀行、保険等)のITの安全性および管理可能にかかるガイドラインの解説

2014年から2017年まで

(筆者注1)2017.6.28 Faegre Baker Daniels LLP「Draft Guidelines Released for Securing Cross-Border Data Transfers Out of China」

詳しく具体的に解説している例

 3.中国のサイバ―セキュリティにかかる国家戦略や中長期計画

                      国家戦略や国家計画

                  公布年月日

国家情報化開発計画(国家信息化发展战略纲要)( China Copyright and Media (筆者注2)の解説) (最後に中国語の原文が引用されている。)

2016年7月

国際サイバーセキュリティ戦略 (新華社通信の英語記事) 

2016年7月

第13次情報化5カ年計画(中華人民共和国中央人民政府「加速信息化发展让人民群众拥有更多获得感 」)  (最後に中国語の原文が引用されている)

2016年12月7日 公布

国家サイバーセキュリティ戦略(国家网络空间安全战略)( China Copyright and Media の解説 (最後に中国語の原文が引用されている。)

 

2016年12月

インターネット・プラス(Internet Plus)活動を積極的推進する国務院の意見ガイド(国务院关于积极推进“互联网+”行动的指导意见 国发〔2015〕40号) 

2016年7月4日 公布

中华人民共和国工业和信息化部「中国制造2025(Made in China 2025)」 (筆者注3)

2013年

(筆者注2) 「中国著作権とメディア」の設立目的は、公的通信に関する中国の法律と政策へのアクセスと洞察を提供するオンライン・リソースとなることである。現在は、「ブログ」と拡大する中国メディア法データベースを含んでいる。 将来的には、これはトピックスな問題文書と判例分析によって補完する予定である。 このウェブサイトは、nexusのPh.D. 中国の著作権法、メディア管理と国際貿易との関係を研究するプロジェクトを行い、広報と情報社会の法律と政策を含むように拡大した。 このサイトのすべての資料は、公的資金の支援を受けて作成されたもので、クリエイティブ・コモンズの下でライセンスされており、発生源寄与率(source attribution)の条件下で、非商用目的で自由に使用できる。

 

(筆者注3) 戦略国際問題研究所(CSIC)の解説が詳しい。なお、山谷剛史「ITを駆使して「製造強国」を目指す「中国制造2025」とは 」も面白いレポートである。

4.中国の情報セキュリティの標準化

                  情報セキュリティ標準化

             公布・施行等年月日

中国国家情報セキュリティ標準化委員会(China 's National Information Security Standards Technical Committee:NISSTC)が中心となって2010年以降、重要な情報インフラストラクチャーの標準化の基準「TC260」を策定している。(筆者ブログ参照 )

現在進行中。

 *******************************************

Copyright © 2006-2017 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

「中国のサイバーセキュリティ法施行にあわせた4ガイドライン草案の内容並びに関係法制整備等の概観(その1)」

2017-09-07 19:32:34 | サイバー犯罪と立法

 

 筆者は、さる8月1日付けのブログ「中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その1)同(その2)同(その3)同(その4完))で詳しく論じたが、法律の内容もさることながら各ガイドラインの内容も含め体系的理解には、なお課題が大きいという印象を持たれた読者が多かろう。

 これは米国の中国系弁護士でも同様の見方が多く、たとえば、Grace Chen氏「中国サイバーセキュリティー法(中华人民共和国网络安全法)は、今後の実施のためにいくつかの問題を残している。法律はすでに施行されているが、かなりの数の問題が未解決のままであり、法律を遵守しようとする企業や個人は置き去りにされている」 と指摘している。

 この点に関し、筆者は補完する意味で今回も含め数回に分けて以下のようなテーマに関するブログを掲載することとした。なお、今回以外の各標題はあくまで仮題であり、また必要に応じ統合または分割して掲載する。 

①「中国のサイバーセキュリティ法施行に関連する4つの任意ガイドライン草案の内容」

②「中国のサイバーセキュリティ法を正確な理解のために(What We Don't Know About China's New Cybersecurity Law)」前述のGrace Chen氏の問題指摘レポート

③ 「中国のサイバー空間統治の制度・規制面からの進展」(法律、規則/法令/ガイダンス、国家戦略/計画、標準化等)の体系的理解 (注)

④ 「越境による個人情報の移送にかかるセキュリティ・アセスメント・ガイドライン(China Releases Proposed Guidelines for Cross-Border Data Transfer Security Assessment)」の図解を含む内容とさらなる課題 

 

中国のサイバーセキュリティー法に関連する4つの草案(任意ガイドライン草案)を発表、意見公募の概要

 2017.9.5 Hunton& WilliamsChina Releases Four Draft Guidelines in Relation to Cybersecurity Law 仮訳する。なお、部分的に不正確な点があるので筆者なりに修正し、同時に各ガイドライン草案の中国語名などを補足追記した。 

2017年8月30日、中国の「国家情報セキュリティ標準化技術委員会(National Information Security Standardization Technical Committee:全国信息安全标准化技术委员会 )は、中国の「サイバーセキュリティー法(中华人民共和国网络安全法)」に関連する4つの任意の遵守ガイドライン草案を発表「关于征求《信息技术 安全技术 匿名实体鉴别 第4部分:基于弱秘密的机制》等6项国家标准意见的通知」、2017年10月13日を期限とする一般意見公募を行った。 

① 国境を越えた越境個人情報の移転にかかるセキュリティ・アセスメント・ガイドライン(proposed Guidelines for Cross-Border Data Transfer Security Assessment:数据出境安全评估指南)この第二次ガイドライン草案は、20175月に公表された第1次草案と比較して、「国内事業(domestic operations)」、「越境によるデータ移転(cross-border data transfer)」、「管轄権のある監督当局」といった新しい定義を明記した。これらのガイドライン草案によれば、中国に登録されていないネットワーク事業者は、中国の領土内で事業を行う場合、またはその領域内で製品またはサービスを提供する場合、依然として中国の「国内事業」を行っているとみなされる。 ネットワーク事業者によって収集されたデータが中国国外に保持されていなくても、海外の企業、機関または個人がリモートでデータにアクセスできる場合は、データの越境移転が可能とされる。これらのガイドライン草案は、管轄当局による自己評価と評価のための別個の評価手順を提供する。 セキュリティ評価では、「合法性(legality)」、譲渡の「妥当性」および「必要性」、ならびに移転に伴うセキュリティリスクに関し、提案された国境を越える移転の目的に焦点を当てている。  

② ネットワーク製品およびサービスの一般的なセキュリティ要件(网络产品和服务安全通用要求):この文書草案では、「一般的なセキュリティ要件」と、中国の国内で販売または提供されるネットワーク製品およびサービスに適用されるセキュリティ強化要件の両方を提供する。これらのガイドライン草案によると、「ネットワーク製品」には、コンピュータ、情報端末、基本ソフトウェア、システムソフトウェアなどが含まれる。また「ネットワークサービス」には、クラウドコンピューティングサービス、データ処理およびストレージサービス、ネットワーク通信サービスなどが含まれる。この草案の下での一般的なセキュリティ要件には、マルウェア防止、セキュリティ脆弱性管理、セキュリティ運用管理、ユーザー情報の保護が含まれる。さらに強化されるセキュリティ要件には、「アイデンティティ認証」、「アクセス制御」、「セキュリティ監査」、「通信保護」、「特定のセキュリティ保護要件」が含まれる。 

 ③ 重要情報インフラストラクチャのセキュリティ検査と評価ガイダンス(关键信息基础设施安全保障评价指标体系):重要な情報インフラストラクチャのセキュリティ検査と評価の手順と内容を提供する。これらのガイドライン草案によると、検査と評価は、「コンプライアンス検査」、「技術検査」、「分析と評価」の3つの方法に分かれる。 セキュリティ検査と評価の重要なステップには、コンプライアンス検査の準備、実装、技術検査と分析と評価、リスク管理およびレポート作成が含まれる。  

 ④ 重要情報インフラストラクチャーのセキュリティを保証するための指標システム (关键信息基础设施安全检查评估指南):このドキュメントは、重要な情報インフラストラクチャのセキュリティを評価する際の焦点として使用される指標を確立し、定義する。これらのドラフトガイドライン草案の下で議論される指標には、「運用能力指標」、「セキュリティ指標」、「セキュリティ監視指標」、「緊急時対応指標」などが含まれる。 

*****************************************************

(注) 中国の安全牛 发 布《网 络 安全法 实 施指南》民間ネットワークセキュリティ法施行ガイドが、サイバーセキュリティ法の立法の背景、経緯、内容、保護対象、保護方法等を詳しく解説している。筆者の中国語の能力を超えるので翻訳は略す。

 ********************************************

Copyright © 2006-2017 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

「EUのネットワークと情報システムの安全性にかかるEU指令(NIS指令)の採択と今後の課題」(その2完)

2016-08-31 13:34:06 | サイバー犯罪と立法

(2)NATOの共同サイバー防御専門機関「Cooperative Cyber Defence Centre of Excellence(CCDCEOE)」サイトの解説 

 重要なインフラ・サービスのオペレーターおよびデジタル・サービス・プロバイダ(DSPs)の定義を詳細に解説している。海外の大手ローファームでも言及しているものは皆無に等しいので、あえてここで仮訳する。 

(1)重要なサービスのオペレーター(operator of essential service)

 NIS指令は、「重要な基盤サービスのオペレーター(operator of essential service)」につき、具体的に以下の分野の公的または民間の事業体と定義する。 

①エネルギー分野:例えば電気(供給元、配電系統システムの運営者、送電システムのオペレーター)、石油(石油輸送パイプラインと石油生産(精製と処置施設)のオペレーター、石油の保管と輸送のオペレーター)、ガス(天然ガス精製と処置施設の供給元、配送システムのオペレーター、輸送システムのオペレーター、貯蔵システムのオペレーター、LNGシステムのオペレーター、天然ガス事業のオペレーター))を含むエネルギー部門。 

 ②運輸分野:航空運輸(航空会社、空港の管理事業体、航空管制管理を担う)、鉄道輸送機関(基盤管理者と鉄道事業)、水の輸送(内陸部、海や沿岸の航路旅客や貨物の輸送、水の空輸、また港の中に含まれる部品と機器を動かす港と事業体と船通行車便のオペレーターの管理)、道路輸送(交通の管理支配に対して責任がある道路管理当局と高度道路交通システムのオペレーター))を含む輸送。 

③銀行業務(信用情報機関を含む)分野

④金融市場基盤分野(取引施設オペレーター(operators of trading venues)、中央清算機関(central counterparties)を含む) 

⑤健康維持・治療分野(病院や私立診療所を含む) 

⑥飲料水の供給と配布分野(人間の消費を目的とする水の供給元と卸売業者を含む)これには、水以外の商品を含む必需品の卸売業者は除外される。 

⑦インターネット相互接続点(internet exchange points:IXPs) (筆者注9)ドメインネーム・システム・サービスプロバイダ(DNS)およびトップ・レベル・ドメイン(TLD)名(Top Level Domain (TLD) name registries)を含むデジタル基盤分野

 また指令は、テレコミュニケーション・セクターのような分野のように固有のEUの指令や規則等立法によってすでに規制されている分野、またNIS指令が定める義務に等しい適用分野につき明記する。行政機関を含む指令に関する当初の委員会案は、驚くべきことに、指令の範囲の外のままであった。 

○EU加盟国は、どの事業体が重要なサービスのオペレーターの定義に該当するかについて決定する選択が与えられ、それを行う際、加盟国は次の行為を行わねばならない。 

 ①どのサービスが重要な社会的または経済活動の維持にとって不可欠であると思われるかなどについて決定する。

 ②重要な事業の一部が、ネットワークと情報システムに依存しているかを確認する。

 ③事件がサービスの供給に重要かつ破壊的な影響を及ぼすかどうかを判断する。 

○このサービスの破壊的な影響を評価するとき、以下の要因が考慮されることになっている。 

  ①同サービスに頼るユーザー数;

  ②他の基幹・重要なサービスへの依存の程度;

  ③サイバー事件の程度、期間、経済・社会の活動または治安に対する影響;

  ④市場占有率;

  ⑤影響を受けた地域の地理的広がり;、

  ⑥十分なサービス・レベルを維持するための事業体の重要性 

○加盟国は、特定の事件の影響がどれくらい破壊的である場合があるか決定する際に、セクターに特有の考慮点も検討しなければならない。 

○重要なサービス・オペレーターが重要でないサービスを提供する場合、NIS指令の規定上の重要な社会・経済活性のメンテナンスにとって不可欠であるサービスにあてはまらなイだけである。この重要なサービスのリストは、少なくとも2年おきに更新されなければならない。指令も、重要なサービスが二つ以上のEU加盟国で提供されるとき、それらの国が彼らが国境を越える影響に関してオペレーターの重要な性質を評価するのを手伝うために、二国間/多国間協議をしなければならない点に留意すべきである。 

(2)重要なサービス・オペレーターのセキュリティの側面

 重要なサービス・オペレーターは、ネットワークの安全にもたらされる危険と彼らが活動において使用する情報システムを管理するための適切でかつ比例した技術的で組織の処置を行うことが要求される。最高水準の技術に考慮して、そのような処置はもたらされる危険にふさわしい安全対策のレベルを確実なものにしなければならない。それを行う際、オペレーターは、そのサービスの継続性を確実にするために、そのネットワークの安全に影響を及ぼしているサイバー事件の影響を防ぎ、最小に努めなければならない。 

 指令は、彼らが提供する重要なサービスの連続性に重要な影響を及ぼしているいかなる事件についてでも通知するために、その義務をオペレーターに置く。この通知は、所管官庁またはCSIRTに遅滞なく行われなければならず、またCSIRTがどんな国境を越える影響を決定するのを可能にする情報を含まなければならない。また指令は、この通知から生ずるオペレーターの増加した責任を排除する。 

 サイバー事件の影響の重要性は、「影響を受けるユーザー数」、「事件の発生期間」とその「地理的広がり」で測定される。CSIRTへの事件の通知後、オペレーターは、事件処理を手伝うことができるいかなる情報でも受取る機会が与えられる。CSIRTは、国家で唯一の接触点およびそれは他の影響を受けた加盟国に事件の通知を送り届けることもできる。そのうえ、必要に応じて、ひろく公衆にも事件も知らしうる。 

(3)デジタル・サービスプロバイダ(Digital Service Providers:DSPs) 

 指令はDSPをもカバーする。そして、そこでは『デジタル・サービスを提供するいかなる法人でも(any legal persons that provide a digital service)』と定義される。この指令案が議会を通過することに対する主要な障害の1つがこれらの事業体を含むべきかどうかということであった時から、これは重要な発展といえる。それらが最終的に含まれたという事実は、EUのための重要な発展である。 

 この指令に含まれるデジタル・サービスのタイプは、以下を含む。 

 ①オンライン市場業者:オンライン市場のウェブサイトで、または、オンライン市場により提供されるコンピューティング・サービスを利用するトレーダーのウェブサイトで、消費者とトレーダーがオンライン売上を終わるのを許すデジタル・サービスをいう。 

②オンライン検索エンジン(Online search engines):原則として、ユーザーがキーワード、成句(phrase)または他の情報の入力の形でどんな主題に関する問合わせに基づいて特定の言語で、すべてのウェブサイトまたはウェブサイトの検索を行うことを許すもの。そして、要求された内容に関する情報が見つかったときにに返答するすデジタル・サービスである。 

③クラウド・コンピューティング・サービス(Cloud computing service):株式に関するコンピューティング資源に拡張性かつ弾力性があるプールした投資資金への出入りを可能にするデジタル・サービスである。 (筆者注10) 

(4)その他のEUのサイバーセキュリティの強化に向けた開発動向 

 NIS指令を採択したことに加えて、欧州委員会は2020年までに民間部門と18億ユーロ(約2034億円)の投資を起動させるべく、EUのサイバー産業の競争力を強化するのを支援すべく、2016年7月5日に半官半民のサイバー・セキュリティーパートナーシップ契約に署名(筆者注11)するなど、その努力を進めた。 

************************************************************************

(筆者注9)Internet Exchange Point(相互接続点)」とは、 ISP事業者やデータセンタ事業者などが相互接続して、経路情報やトラフィックを交換するための接続点を指し、「IX」または「IXP」と略されます。IXに接続すれば、事業者間において個別に回線を準備することなく、複数の事業者と経路交換を行うことが可能となります。」(JPNICの解説から引用 )

(筆者注10) CCDCEOEの説明は専門家以外には、わかりにくい。米国アメリカ国立標準技術研究所(NIST)の定義内容を見ておく。(NIST)の定義仮訳した。

「クラウド・コンピューティングとは、ネットワーク、サーバー、ストレージ、アプリケーション、サービス等の構成可能なコンピューティング資源の共用プールに対して、便利かつオンデマンドにアクセスでき、最小の管理労力またはサービス・プロバイダー間の相互動作によって迅速に提供され利用できるビジネス・モデルのひとつである。このクラウド・モデルは可用性を促進し、5つの基本特性(On-demand self-service;Broad network access;Resource pooling;Rapid elasticity;Measured Service)と、3つのサービスモデル(Cloud Software as a Service (SaaS);Cloud Platform as a Service (PaaS);Cloud Infrastructure as a Service (IaaS))と、4つの配置モデル(Private cloud;Community cloud,;Public cloud;Hybrid cloud)により構成される。その鍵となる実用可能化技術は、(1) 高速なワイド・エリア・ネットワーク、(2)パワフルかつ安価なサーバー・コンピュータ、(3)高性能仮想化が可能必需品たるハードウェア、を含む。

(筆者注11) 2016年7月5日、欧州委員会は「産業界とサイバーセキュリティとサイバー時間の脅威に関する具体的取り組みに関する合意文書に署名(Commission signs agreement with industry on cybersecurity and steps up efforts to tackle cyber-threats)」した旨公表した。 

**********************************************************************:

Copyright © 2006-2016 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

「EUのネットワークと情報システムの安全性にかかるEU指令(NIS指令)の採択と今後の課題」(その1)

2016-08-31 12:37:56 | サイバー犯罪と立法

Last Updated:May 2,2019

  2016年5月7日、欧州連合理事会は「ネットワークと情報システムの安全の一般の原則に関する指令(NIS指令:Directive on Security of Network and Information Systems)案」を採択し、また7月6日、欧州議会は、本会議でその第二読会で取りまとめたEU全体でのNIS指令案を採択した。同指令については、加盟国は21 か月(2018年5月9日)以内に国内法化し、27 か月(2018年9月9日)以内にOperator of Essential Service (OES)等を指定する義務が定められた。(筆者注0)

 同指令の主要な要素は、(1)加盟国ごとのサイバー・セキュリティ能力の確立、(2)加盟国間の具体的協調強化、(3)重要なサービスとデジタル・サービスプロバイダーの明確化とこれらのオペレーターのために特別な義務を課す、等である。 

 また、重要な点であるがEU加盟国の国内法化の追跡サイトがある。ぜひ、参照されたい。

 この問題への取り組みは、2013年2月7日に欧州委員会がプレスリリース「オープンなインターネットとオンラインの自由と機会を保護するEUのサイバー・セキュリティー計画」を公表したことに始まる。すなわち、欧州委員会は、外交問題とセキュリティ・ポリシーに関する上級代表とともに、ネットワークとインフォメーション・セキュリティ(Commission proposed directive on network and information security (NIS).)に関し委員会として提案する指令案ととともに、「サイバー・セキュリティー戦略(cybersecurity strategy)」を公表したのである。 (筆者注1) 

 この一連のサイバー対策強化は、EUや米国(筆者注2)だけでない世界的な潮流であることはいうまでもない。 

 一方、わが国の取り組み状況を見るとは、本文で述べるとおり「日本コンピュータセキュリティインシデント対応チーム協議会(Nippon CSIRT Association)」への参加企業数で見るとおり、近年急速に増加していることは間違いない。しかし、EU加盟国のように国際的な協力体制までできているかといえば、なお課題が多いというのが現実であろう。

  今回は、これからのわが国の取り組み課題を検討する上での参考として、EUの事例を取り上げるものである。なお、本文で引用したようにNATOの共同サイバー防御専門機関「Cooperative Cyber Defence Centre of Excellence:CCDCEOE)」サイトのNIS指令の解説は他の解説に比べ具体的であり、わが国での検討に資すると考え、極力、仮訳に努めた。

  今回は、2回に分けて掲載する。 

1.2013年2月7日の欧州委員会「オープンなインターネットとオンラインの自由と機会を保護するEUのサイバー・セキュリティー計画」の概要

  EUの欧州委員会の公式サイトの解説仮訳する。 

「オープンなインターネットとオンラインの自由な機会を保護するEUのサイバー・セキュリティー計画」 

 欧州委員会は、このほど外交問題とセキュリティ・ポリシーに関する上級代表とともに、ネットワークとインフォメーション・セキュリティ(Commission proposed directive on network and information security (NIS))に関し、委員会として提案する指令案とともに、以下の「サイバー・セキュリティー戦略(cybersecurity strategy)」を公表した。

 (1)サイバー・セキュリティー戦略

 「オープンで安全でかつ堅固なサイバー空間」は、最もサイバーによる混乱と攻撃を阻止し、それに対処するための具体程方法に関しEU全体の包括的展望につき述べる。これは、自由と民主主義のヨーロッパの価値を高め、かつデジタル経済が問題なく成長することができることを確実とすることである。その特別な行動とは、情報システムのサイバー事件の反発力を強化し、サイバー犯罪を減らし、さらにEUの国際的なサイバー・セキュリティ・ポリシーとサイバー防御を強化することを目的とする。 

 本戦略は、5つの優先課題に関してサイバー・セキュリティーにかかるEUの展望を明瞭に表現する。 

 ①サイバー被害からの回復力を成し遂げること。

 ②サイバー犯罪を大幅に減らすこと 。

 ③EUの「共通安全保障と防衛政策(Common Security and Defence Policy:CSDP)」 (筆者注3)に関連したサイバー防衛政策と能力の開発すること。

 ④サイバー・セキュリティーのために産業界および技術的資源を開発すること。

 ⑤EUのために首尾一貫した国際的な「サイバースペース方針」を確立し、さらにコアとなるEUの価値を高めること。 

 EUの「国際的サイバースペース方針」は、EUのコア価値への関心を増し、責任ある行動の達成目標を定め、またサイバースペース内での既存の国際法の適用を擁護する。その一方で、サイバー・セキュリティ能力開発はEU域外で国々を助けると同時にサイバー問題における国際協力を促進する。 

 EUは、よりよく鍵となる前進を市民をオンライン犯罪から保護すべく、1)2013.1.9「ヨーロッパ・サイバー犯罪センター(European Cybercrime Centre:EC3)」の開設(IP/13/13)、2)201.9.30「情報システムへのサイバー攻撃の阻止にかかる立法措置の提案(IP/10/1239)」、また、3) 「オンラインの子供の性的虐待と戦うための国際同盟の立ち上げ(IP/12/1308)」 (筆者注4)においてオンライン犯罪から市民を保護する前向きな施策を行ってきた。 

 また、同戦略はサイバー対策につき加盟国の訓練や能力向上を支援する国家機関としてのNational Cybercrime Centers of Excellence (筆者注5)への資金供給を目指すものである。 

2. EUデジタル単一市場サイト「ネットワークと情報システムの安全性にかかるEU指令(NIS指令)」 

(1) 欧州委員会の2016年7月28日のプレスリリース「ネットワークと情報システム(NIS指令)の安全性にかかるEU指令」仮訳する。 

 欧州委員会は、このほどEUの外交問題や情報セキュリティ政策に関する上級代表とともに、ネットワークとインフォメーション・セキュリティ(Commission proposed directive on network and information security (NIS))に関し委員会として提案する指令案ととともに、「サイバー・セキュリティー戦略(cybersecurity strategy)」を以下のとおり公表した。 

 ここ数年、欧州委員会は、サイバー事件を撃退すべくEU全体の準備レベルを引き上げるための一連の措置を導入した。今回のNIS指令は、サイバー・セキュリティーの上のEUに広がる立法の最初の部分である。 

 セキュリティ・ネットワークと情報システムのセキュリティ対策指令であるNIS指令は、2016年7月6日に欧州議会によって採択された。欧州委員会の副委員長アンドラス・アンシプ(Andrus Ansip(デジタル単一市場(DSM)に対して責任があるエストニア代表(写真上)と委員であるギュンター・ヘルマン・エッティンガー(Günther H. Oettinger)(ドイツ代表)(写真下)は、この出来事に関し声明を出した。

 

 

  

 同指令は、2016年8月に施行される。加盟国は、彼らの国内法令に同指令を移すべく21ヵ月と重要なサービスの運用機関を特定するさらに6ヵ月の準備期間がある。

 翻るに、2013年、欧州委員会は、EU全体でネットワークとインフォメーション・セキュリティの高い共通レベルを確実にするための措置に関して、指令案を提唱した。NIS指令は、以下の内容を確実にすることによってEUのサイバー・セキュリティの全体的なレベルを押し上げるための法的措置を提供することを決定した。 

①例えば、加盟国に「コンピュータ・セキュリティ事件対応チーム(Computer Security Incident Response Team :CSIRT)」 (筆者注6)の設置や権限を持った国家レベルのNIS実施機関の設置等を準備することを要求すること。 

②加盟国間の戦略的な協力と情報の交換を支援かつ容易にするために協力グループ(Cooperation Group)を設立する等すべての加盟国の間の協力の確保する。また、加盟国は特定のサイバー・セキュリティー事件と危険に関する共有情報で迅速かつ効果的運用面の協力を促進するために、自国内でCSIRTネットワークを立ち上げる必要がある。

 

 

 2016.7.8 ENISA資料「Implementing The NIS Directive」等から一部抜粋 

③我々の経済と社会のために不可欠で、さらに重要度の高い情報通信技術(ICTs)(例えばエネルギー、輸送、水、銀行業務、金融市場の基盤、医療やデジタル基盤)に依存する分野横断的な文化を確立する。加盟国によって重要なサービスのオペレーターとして特定されるこれらの分野の企業は、適切なセキュリティ対策をとらなければならず、また関連した国家当局に大事件につき通知しなければならない。また、重要なデジタル・サービスプロバイダー(検索エンジン、クラウド・コンピューティング・サービス、オンライン市場(筆者注7)は、新しいEU指令の下でセキュリティとその通知要件を満たさなければならない。

 ④ヨーロッパのサイバー回復力(cyber resilience)を強化すること 。

 2016年7月5日の欧州委員会はその公式通達(communication) (筆者注8)において、加盟国に対しNIS調整メカニズムを最大限に活用させた。それらに基づいて、委員会は大規模なサイバー事件が生じた場合に国境を越えて協力を強化する具体的方法を提案した。サイバー・セキュリティーの状況が進化する速度にあわせ、委員会は「欧州連合ネットワーク情報セキュリティ庁(ENISA)」の評価を押し進める。そして、それはおそらく新しい義務を導き出すことになろう。 

************************************************************** 

(筆者注0) ネットワーク・情報システムの安全に関する指令(NIS 指令)についての詳しい解説は、国立国会図書館調査及び立法考査局 海外立法情報課島村智子氏の報告がある。

(筆者注1) 2013.2.15 情報通信総合研究所 グローバル研究グループ 佐藤 仁「欧州:サイバーセキュリティをめぐる同盟の重要性」は、欧州委員会のNIS指令案につき簡単に解説している。

 (筆者注2) 米国のオバマ政権のサイバー対策強化の最近時の動きを、White House情報でフォローしておく。

(1)2016.2.9 White Houseリリース「FACT SHEET: Cybersecurity National Action Plan」

(2)2016.7.26 White House リリース「FACT SHEET: Presidential Policy Directive on United States Cyber Incident Coordination」 

(筆者注3) EUの「共通安全保障と防衛政策(CSDP)」については、駐日欧州連合代表部の「共通安全保障・防衛政策(Common Security and Defence Policy=CSDP)」解説サイトAbout CSDP - Overview EUのCSDPの動画解説サイト等が参考になる。 

(筆者注4) 2012年12月4日現在で同盟国数は、わが国ほかEU域外の21カ国を含む48カ国であった。

 (筆者注5) ”National Cybersecurity Center of Excellence”とは、官民連携R&Dセンターでサイバーセキュリティ人材育成の観点から各国で取り組みが行われている。 

(筆者注6) ”CSIRT”の意義について、簡単に引用しておく。

*CSIRTとは、企業や行政機関などに設置される組織の一種で、コンピュータシステムやネットワークに保安上の問題に繋がる事象が発生した際に対応する組織。

社内の情報システムや通信ネットワークでウイルス感染や不正アクセス、サービス拒否攻撃(DoS攻撃)などセキュリティ上の脅威となる現象や行為が発生した際に、組織内の対応窓口となって被害の拡大防止や関連情報の収集・告知、再発防止策の策定などの活動を行う。また、外部のCSIRTと連携して事件・事故の被害情報やシステムの脆弱性についての情報を共有したり、一般利用者へ情報セキュリティに関する教育や啓発、広報などの活動を行うこともある。(「IT用語辞典」から一部抜粋) 

*シーサート (CSIRT: Computer Security Incident Response Team)とは、コンピュータセキュリティにかかるインシデントに対処するための組織の総称です。インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析し、対応方針や手順の策定などの活動をします。 

 わが国では、「日本コンピュータセキュリティインシデント対応チーム協議会(Nippon CSIRT Association)」が2007年3月28 日発足しており、同団体のサイトから一部引用した。 

(筆者注7)オンライン市場(またはオンライン電子商取引市場)」は、製品やサービス情報が複数の第三者によって提供される一種の電子商取引サイトを指す。一般の業務が市場のオペレーターによって処理されるのに対して、オンライン市場は多重チャンネルである「e-commerce」の主要なタイプで、製造工程を合理化する意味で「単純でかつ入口に近い」と言われる。

オンライン市場では、消費者業務は市場オペレーターによって処理されて、それから加えられて、参加している小売業者または卸売業者によって成し遂げられる。他の能力としては競売にかけることを含むともいえる。既存の市場地域は、長い時間と確立したウェブサイト(例えばamazon.comと新しい市場ウェブサイト(例えばinstamal.com)のもの)を含みむ。これらの種類のサイトでは、ユーザーが登録して、「販売後に手数料料金が決まるシステム("post-selling" fee.)」という多数のアイテム希望に対し一つのアイテムを販売するのを許す。(Wikipedia のOnline Marketplaceの解説から一部仮訳して引用 )

(筆者注8) 欧州委員会が発する「Communication」とは、「委員会通達」あるいは「委員会からの通知」と解されている。 

**********************************************************************:

Copyright © 2006-2019 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

BSIは2015年版「ドイツのITセキュリティの現状に関する報告書」を発行

2015-11-30 11:55:30 | サイバー犯罪と立法

ドイツ連邦情報セキュリティ庁(BSI)の概観写真

Last Updated:April 2,2021

  11月20日 (金)夜10時頃から厚生労働省のHPへのアクセスが不能となるいわゆる「DDoS攻撃」を受け、国際的ハッカー集団アノニマスが声明を出したというニュースがまことしやかに伝えられている。本ブログ原稿を書いている11月21日(土)午前9時過ぎになってもアクセス不能は解消されていない。同省は対外接続を遮断したのである。

 今回のDDoS攻撃はあきらかに「APT攻撃」である。ATP攻撃とは簡単にいうと「特定の相手に狙いを定め、その相手に適合した方法・手段を適宜用いて侵入・潜伏し、数か月から数年にわたって継続するサイバー攻撃のこと」とされている。もし、このような攻撃が仮にわが国のさらに重要な国家機関、国防機関、基幹産業等への情報インフラ・システムに向けられたとしたら、テロどこではないリスクが発生することは言うまでもない。

  ところで、筆者の手元にこの分野ではわが国以上に感度の高いと思われるドイツの「連邦情報セキュリティ庁(Bundesamt für Sicherheit in der Informationstechnik:BSI)」が11月19日に「2015年情報セキュリティ白書(BSI veröffentlicht Bericht zur Lage der IT-Sicherheit in Deutschland 2015)」を公表した旨のニュースが届いた。 

 同ブログは、具体的な内容には欠けるものの、国家の基幹インフラのリスク対策問題に疎いとされるわが国のIT関係者やシステム運営責任者等への、今取り組むべき重要課題に関する警告の意味で仮訳する。 

 ○ドイツ連邦情報セキュリティ庁( Bundesamt für Sicherheit in der Informationstechnik:BSI) (筆者注1)、「ドイツ連邦2015年版 ITセキュリティの現状に関する報告書(Die Lage der IT-Sicherheit in Deutschland 2015)」 (52頁)を発表した  (筆者注2)(筆者注3)ベルリンで連邦内務大臣トーマス・デメジエール(Thomas de Maizière)とBSI長官ミハエル・ハンゲ(Michael Hange )は、同報告書を公表した。

 同報告書は、現在のドイツのITセキュリティの状況およびサイバー攻撃の原因と各機関への攻撃について説明、分析したものである。BSIは同年次報告書から引き出されるドイツにおけるITセキュリティを向上させるための解決策について議論した。 

 年次報告書によると、ITシステムにおける弱点や脆弱性が原因とされる事故の発生件数は依然、高いレベルのままであり、またサイバー空間での非対称脅威が危険にさらされていることを示している。 2015年の一連のITセキュリティ事件を見ると、サイバー攻撃の手段および方法の急速な専門化を示している。

 ○これはAPT攻撃(APT)(筆者注4)と呼ばれる攻撃について特に当てはまる。これらAPTは、企業や行政機関に対する大きな脅威を現在および将来に引き起こす。 APT攻撃の実態はほとんどは一般に多くは知られていない。 しかし、このカテゴリに当てはまるものとしては、2015年は5月のドイツ連邦議会へのサイバー攻撃や同4月にフランスのテレビチャンネルTV5モンドへのサイバー攻撃等が含まれる。 

  現在のITセキュリティ状況は、情報技術の革新と複雑さの継続的な高い率と世界のIT市場における競争圧力の影響を受けている。 現在進行中のデジタル化は、主に機能的および経済的要因を通じ、グローバルな視点で決定される。  ITセキュリティの側面は、さまざまな理由からプロバイダーやユーザーにより同一視されない。 

○本レポートの主要目標:重要インフラの保護  

 2015年BSI年次報告書の一つの焦点は、ITへの依存度を高める機能面の重要インフラの保護である。 年次報告書は、多くの重要なインフラ産業はよく自社のITセキュリティにつき安全な位置づけにあるといえる状況を示している。しかし、いくつかの産業ではITセキュリティにつき累積的需要(pent-up demand)がある。 ダイナミックな脅威の状況を考えれば、企業のリスク管理の一環として、ITセキュリティを検討することは他の企業や機関のためだけでなく、重要なインフラストラクチャといえる。  

  BSI長官ミハエル・ハンゲは「すべての企業にサイバー攻撃が行われているという事実に適応する必要があり、また、その損害を大幅に低減するには、強化する必要がある被害の予防、検出および対処の柱の強化しなければならないと述べている。  

 ドイツのITセキュリティ状況の詳細については、BSIのウェブサイトでダウンロードが可能であり、「2015年版ITセキュリティの状況に関する報告書」として利用できる。  

****************************************************************************************

(筆者注1) BSI (Bundesamt für Sicherheit in der Informationstechnik) は、ドイツの連邦政府においてコンピュータと通信のセキュリティ担当部門である。コンピュータ・アプリケーションのセキュリティ、重要インフラ (critical-infrastructure) の保護対策、インターネットセキュリティ、暗号、盗聴対策、セキュリティ製品の認証、およびセキュリティ評価機関 (test lab) の認定を、専門分野および責任範囲としている。 ボンに本拠を置き、職員数は 約600 名を超える。2009年10月16日より Michael Hange  が長官を務めている。Wikipediaから一部抜粋。 

(筆者注2) BSIのいわゆるセキュリティ白書は原則、毎年12月頃発刊されており、同時に英語版もほぼ毎年出されている。過去の英語版へのリンク手順を以下解説する。なお、BSIの白書の英訳版は2015年以降は、2016年版(https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Securitysituation/IT-Security-Situation-in-Germany-2016.html)、2018年版(https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Securitysituation/IT-Security-Situation-in-Germany-2018.html)である。

①BSIのHP(https://www.bsi.bund.de/DE/Home/home_node.html)を開く

②右上の”service”を選択

 

③さらなるテーマ別を選択→刊行物一覧

④更なる刊行物の検索(Publikationsuche)をクリック

⑤年度別白書の選択、ドイツ語版が表示(必ずダウンロードして読む)

「2015年ドイツのITセキュリティの状況(Die Lage der IT-Sicherheit in Deutschland 2015)」

(https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2015.html#:~:text=Der%20Bericht%20zur%20Lage%20der,Cyber%2DRaum%20sich%20weiter%20zuspitzt.)

⑥その次が英語版のITセキュリティ白書「The State of IT Security in Germany 2015」(https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Securitysituation/IT-Security-Situation-in-Germany-2015.pdf?__blob=publicationFile&v=1)

 

 なお、”APT”が具体的に取り上げられたのは、2014年版からである。 

(筆者注3) BSIのプレスリリースから報告書の全文(PDF:52頁)に当ろうとすると失敗する。本文中のURL表示にミスがあったためである。本ブログでは、筆者が独自にリンクを貼ったので問題ないと思うが、11月26日にBSI事務局の技術責任者であるフロリアン・ヒレブラント氏(Florian Hillebrand)にメールを送ったところ、翌27日にお礼のメールが届いた。登録上の技術的な理由から訂正はできないが、今後このようなミスを起こさないよう注意するという内容である。 

(筆者注4) APTによる攻撃の定義および対処策について参考とすべきサイトをあげておく。 

(1)中尾康二 独立行政法人情報通信研究機構(NICT)・KDDI株式会社情報セキュリティフェロー「サイバー攻撃と最近の対策ー安心・安全なサイバー空間の利活用に向けてー」:P.18からP.22でATPによる攻撃の事例やその特性を解説 

(2) 2014年9月30日独立行政法人情報処理推進機構(IPA)のリリース「『高度標的型攻撃』対策に向けたシステム設計ガイド」の公開 を参照。

(3) IPAの『高度標的型攻撃』対策に向けたシステム設計ガイド(本文130頁)

***************************************************

Copyright © 2006-2015 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. 
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

オバマ大統領の官民サイバーセキュリティ情報共有とプライバシー強化法案および関連立法化動向(その2完) 

2015-03-30 16:07:43 | サイバー犯罪と立法

Last Updated :November 22,2016

(4)消費者のオンラインに対する信頼を改善することで革新を推進

・消費者の権利章典立法措置

オンラインの相互作用は明確な原則ーすなわちデータの収集の前後関係、ユーザーの期待を誤用していないことなどにより統治されねばならない。これらは「2012年の政府消費者保護憲章」の主要テーマであった。今日、商務省はこれらの諸権利を保証するため権利章典を制定法化(完成)するため改正案につき広く意見を公募する旨発表した。

 政府は今後45日以内に修正法案を発表する予定であり、また政府は議会に対しこの重要な問題につき積極的な検討を要請した。 

(5)これら一連の行動は大統領は次のような消費者のプライバシーおよびなりすまし被害阻止を支援するため、すでに取った措置のもとで行うことを意味する。

①先進的なマーケットづくりに取り組む連邦の支払い決済システムをより安全なものとする

 2014年10月17日、オバマ大統領は、「BuySecure Initiative」 (筆者注11)の先行的活動の一部として大統領令「Executive Order --Improving the Security of Consumer Financial Transactions」に署名、公布した。

  

 同令の内容は、連邦機関が使用する既存のおよび新たに発行するクレジットカードや”Direct Express”といったデビットカードにつき「CHIPand PIN」技術 (筆者注12)を導入すること、また連邦機関に設置するカード・ターミナルにつき「chip and PIN」対応端末に更新することで連邦の支払いシステムの安全性強化を図ることにある。これらの措置は”Home Depot”  ”Target”  ”Walgreens””Walmart”等が全国的な店舗にCHIP&PINの相互利用可能な端末設置を展開と並行して行われる。

 ②なりすまし被害を回避するための新たな措置

 また、大統領は連邦取引委員会による「Identity Theft.gov」いう1つのサイトのアクセスで一連の手続きが可能となる専用サイトの構築により、被害者支援、顧客が直接影響を受ける企業に対し、個人情報の窃盗被害情報やその他の情報を定期的な形で報告できる能力を連邦機関に保証できるよう「情報の共有化範囲」を広げることとした。 

Ⅳ.2015年1月13日 オバマ大統領のサイバーセキュリティ法案の骨子、国民参加のサミット会議、historically black colleges(歴史的に、アフリカ系アメリカ人への教育を第一としている大学)のサイバー教育への補助金交付の公表

 サイバーセキュリティ法案の提示が中心となる公表内容である。なお、ホワイトハウスのリリース文は決して丁寧な文章ではない。特にⅥ.で詳しく述べる2月13日に公布した「官民部門のサイバー情報の共有化推進にかかる大統領令(13691号)(Promoting Private Sector Cybersecurity Information Sharing)」の事前告知といえる内容である(この大統領令は2月13日カリフォルニア州スタンフォード大学で開催する主要テーマ「サイバーセキュリティと消費者保護」である「ホワイトハウス・サミット(ホワイトハウスや関連する連邦機関の上級リーダー官吏、金融サービス界、技術・通信業界、コンピュータセキュリティ業界、小売業界、法執行機関、消費者保護団体、技術専門家および学生等等主要な利害関係者が一同に集まる)」にあわせて公布するものである)。

 2014年12月18日に成立したサイバーセキュリティ関連5法案との関連性、サイバーセキュリティにおける包括法案といえるか、官民の個人情報の共有等については関係団体や専門家等からの多くの異論があり、さらなる解析が必要であることはいうまでもない。ここでは、あくまで大統領のリリース文に基づき説明する。 

1.サイバーセキュリテリィ法案の提起

(1)サイバーセキュリティに関する政府・民間の情報共有化を可能

 オバマ政権が、今回内容をアップデートした法案提出は政府と民間事業者の間の自発的ではあるが、サイバーセキュリティをより良いかたちで共有化を推し進めるものであり、また民間部門内での協働や情報の共有化を向上させるものである。特に、本法案は民間部門におけるDHSのNCCICとの間でサイバーの脅威につき適宜の共有を強調し、さらにその情報につき連邦関係機関と実務的な方法で出来うる限りリアルタイムで共有し、これらの企業体とともに企業のために目標を定めた賠償保護責任(liability protection)を提供することであらたに情報共有分析機関(ISAOs; Information Sharing and Analysis Organizations)を設置、運用することとした。 (筆者注13) 

 同立法はまた民間部門主導型のISAOsの組織化を促す。オバマ政権の立法案は賠償保護責任の適格性を得るために共有すべき不要な個人情報の削除や個人情報の保護のための手段を講じることなどにより特定のプライバシー制限を課すなどの法遵守を民間企業に求めるものである。

 さらに、同法案はDHSおよび司法長官に対し、大統領府・プライバシー・市民の自由権監視委員会(Privacy and Civil Liberties Oversight Board) (筆者注14)等に諮問のうえ連邦政府のための個人情報の受け取り、保持、使用および開示に関するガイドラインの策定を求める。最後に、オバマ政権は本法案の提出に当たり、政府と民間企業間において補完関係と既存の効果的関係に置くことを意図する。これらの法執行機関とその他の連邦機関との既存の関係はサイバーセキュリティの任務上重要なものである。 

(2)サイバー犯罪と戦うため法執行機関の権限にかかる法律の近代化

 法執行は、サイバー犯罪の捜査、阻止や起訴において適切な手段である。オバマ政権の提案法は、①ボット・ネット(botnets)の販売行為を起訴を認める、②米国内で盗んだクレジットカードや銀行口座番号等銀行を海外に販売することを犯罪とする、③個人なりすましのためのストーカー行為や犯罪を犯すためのスパイウェアを販売する行為の阻止させる権限を連邦法執行機関に拡大する、④裁判所にDOS攻撃やその他の犯罪行為の配布にかかるボット・ネットを停止させる権限を付与するといった内容を含む。

 さらに、1970年「組織の不正収益・贈収賄取締法(Racketeer Influenced and Corrupt Organizations Act:RICO法)」 (筆者注15)につき2011年5月12日に政府が提案したサイバーセキュリティ関連法案 (筆者注16)の主要要素の1つである組織犯罪の取締り強化であるが、サイバー犯罪にも適用され、刑罰内容の明確化とその他の類似する非サイバー犯罪との同一線上におくことを再確認されている。

 最後に、提案内容では重要でない犯罪は制定法の適用外とすることでコンピュータ詐欺や濫用罪の定義を近代化し、一方で自身の使用目的でアクセスできる権能を濫用するインサイダーに対しても起訴すべきことを明確にする。 

(3)全米規模での情報漏洩事故報告法の内容の改正

 今回の政府提案は、既存の46州(ワシントンD.C.およびその他の準州を加える)パッチワーク法である報告義務法を単純化・標準化することで民間事業者や消費者の立場を支援するとともに、セキュリティ侵害事故時に従業員や消費者に通知すべき点を明確化する通知要求の単一化、時宜性を改めて設定する。 

2.サイバーセキュリティと消費者保護に関するホワイトハウス・サミット

 前記Ⅳ項の冒頭で詳しく述べた。 

3.サイバーセキュリティ教育のため”Historically Black Colledges and Unversities”における優秀性、革新と持続可能性面からの資金援助

 オバマ大統領は2010年2月26日に標記大統領令(Promoting Execellance, Innovation,and Sustinability at Historically Black Colledges and Universities:HBCUs)を公布した。

 これらの単科大学や総合大学は150年以上の間、民間企業、政府、アカデミックや軍隊などで多くの米国全体におけるリーダーを輩出し、また米国民の男女を問わず希望や教育機会の均等を提供してきた。バイデン副大統領はこれまでのHBCUsの貢献を踏まえ、今後のサイバーセキュリティ教育コンソーシアムを支援すべく、13つのHBCUsおよび2つの研究機構に対し、今後5年間で2,500万ドル(約29億7,500万円)の補助金を提供することを発表した。 

Ⅴ.2015年1月15日 オバマ大統領が行った米国連邦内での統一的な個人情報漏洩通知義務化法案とこれまでの関連上程法案との比較

 これまで本ブログで言及してきた内容を集大成した法案であり、また2014年議会上院で上程された議員立法等(筆者注17)を踏まえたホワイトハウス法案「The Personal Data Notification & Protection Act」といえるものであるが、他方で基本的な点と個人情報の範囲は他の法案より広いということ等相違する点もあげられる。また、通知義務の例外として、危害の差し迫った漏洩の場合や中小企業は大量の個人情報を扱わないため義務の例外とする規定内容等を含む。

 ここでは、Covington & Burling LLPの解説ブログ内容等も引用して、法案の特徴的内容を概観する。

 なお、本年2月初旬に米国のBlue Cross & Blue Shield ( BC&BS ) という米国大手の医療保険グループの傘下保険会社「Anthem,Inc」の情報システムがハッキング被害にあった事件が報じられた。同社は被害者数を公表していないが、ウェブサイトで見ても顧客数等から見て全米第2位であることから、6,900万人以上が被害にあっているという指摘もある。(このハッキング事件に関し、サイバー犯罪専門サイト「Krebs on Security」が2月4日付ブログで詳しく解説している。)

 また、1月29日同保険団体グループのPremera Blue CrossのCEOであるジェフ・ロウ(Jeff Roe)自身が同社およびPremera Blue Cross Shield Cross of Alaska 、子会社ブランドのVivacity や Connexion Insurance solutions,Inc がハッカー被害に遭い、このための顧客保護対策として「Experianによる信用状調査書の毎日の無料モニタリング(free  credit monitoring)」および「ExrendCARETMによる個人識別保護サービス(identity protection services)」の提供を始めた旨リリースしている。同社の説明では、漏洩個人情報は、「顧客の姓名」「生年月日」「Eメールアドレス」「住所」「電話番号」「社会保障番号」「顧客ID番号」「銀行アカウント情報」「請求情報」「医療情報」が含まれているとある(このリリース内容の詳細をはじめ、サイバー犯罪としての解析は別途行う予定)

 さらに3月17日のKrebs on Securityブログ もPremera Blue Cross顧客情報のハッカー事件につき、専門的解析を行っている。 

1.通知義務の対象となる個人情報(Covered information)

 「機微個人識別情報(sensitive personally identifiable information)」とは、次の電子的、デジタル形式のすべての情報またはその編集された情報をいう。

①次の3つのデータ要素のうち2つの組み合わせによる個人の姓名または先頭の頭文字と名

(ⅰ)自宅の住所または電話番号

(ⅱ)母親の結婚前の旧姓(mother’s maiden name)

(ⅲ)生年月日(full birth date) 

(2)省略されていない社会保障番号(non-truncated social security number)、運転免許証番号、パスポート番号または外国人登録証番号(alien registration number)または政府発行の固有の識別番号(government-issued unique identification number) 

(3)指紋、声紋(voice print)、網膜(retina)または虹彩イメージ(iris image)または他の固有の身体的な特徴等の生体認証情報 

(4)金融取引口座番号、クレジット・デビットカード番号、電子識別番号(electronic identification number) (筆者注18)、ユーザ名、またはルーテイン使用するコード 

(5)オンライン・アカウントへのアクセス時に要するパスワードやセキュリティに関する質問・答えと組み合わされたユーザー名やEメールアドレス 

(6)次の3つのデータのあらゆる組み合わせ

(ⅰ)個人の姓名または先頭の頭文字と名

(ⅱ)金融取引口座番号、クレジット・デビットカード番号、電子識別番号、ユーザ名、またはルーテイン使用するコード

(ⅲ)それらのコードまたはパスワードで作り出すセキュリティ・コード、アクセスコード、パスワード、ソースコード 

 さらにホワイトハウス法案は、連邦取引委員会(FTC)に情報の特別な組み合わせが機微情報である、または情報そのものの一部が機微情報であると決定したときはこれらの機微情報の定義の改正権を認める。 

2.差し迫った危険リスクの定義(Risk of Harm)

 ホワイトハウス法案は、リスクアセスメントの結果、機微個人識別情報が安全性の侵害により当該個人に危害を及ぼすまたは及ぼす可能性があると合理的に見たりすくが存しないと結論づけた場合は事業者に通知義務を免除する。

また、当該データにつき使用不可、読めないまたは判読不可場合は、合理的に見て危険が存しないという推定が働く。もし、事業者がこの決定を行った場合は決定後30日以内にFTCに対し、決定結果を書面にて通知しなくてはならない。 

3.企業規模等による通知義務の適用除外(Exceptions from coverage)

 同法案では、12ヵ月間に10,000人以上の機微個人情報を使用、アクセス、移送、保管、廃棄(dispose)する州際ビジネスを行っている事業者のみ通知義務を課す。この規定は他の議員法案に比してユニークなもので、一定の範囲で中小企業に対する通知義務を免除することになろう。 

4.個人への漏洩通知の様式(Form of individual notice)

 ホワイトハウス法案は、個人への通知とメデイアへの通知の双方について義務付ける。

 個人向けの通知は、郵送や電話でもよく、またEメールによる通知は、もし当該個人がメールによる通知の同意しかつその通知が「The Electronic Signatures in Global and National Commerce Act (E-Sign Act)」 (筆者注19)に合致していることである。

 メデイアへの通知は1州の対象個人数が5000人以上の機微情報の漏洩事故である場合に義務付けられる。メデイアへの通知内容は「州または裁判管轄における主要メデイアに対し合理的に計算された範囲」でということであり、代替的通知のみで可とする既存の州法による通知義務からの離脱を意味する。 

5.個人への通知期限(Deadline for individual notice)

 ホワイトハウス法案は、事業者はセキュリティの漏洩の事実の発見後30日以内に個人宛に通知を行わねばならないと定める。ただし、事業者はもしその期限の延期が漏洩の範囲の特定のため合理的と考えられる場合、更なる情報の開示の回避、リスクアセスメントの行動を取るため、データの完全性のほじまたは連邦政府への通知のためを理由とする場合はFTCに追加を求めることが可となる。 

6.連邦政府への通知(Notice for Government)

 ホワイトハウス法案は、事業者に対し以下の場合、連邦の法執行機関および国家安全保障当局への通知義務を定める。

(1)5,000人以上の個人の機微情報がアクセスされたまたは不法に入手されたとき 

(2)当該漏洩が全米ベースで50万人以上の機微個人情報を含む情報システムの規模であるとき 

(3)その漏洩が連邦政府が所有するデータベースを含むとき 

(4)その漏洩が主に連邦機関の従業員および国家安全保障や法執行の契約先の従業員の個人機微情報に関係するとき 

7.個人信用情報機関への通知義務(Notice to credit reporting agencies)

 もしその漏洩が5,000人以上の個人に関係する場合、事業者はFTCからの期間延長通知を受け取らない限り、30日以内にタイミングと配布の時間を考慮のうえ各信用情報機関に通知しなくてはならない。 

8.法の執行時期(Enforcement)

 本法案のもとで、FTCは連邦司法長官と協議の上同法の遵守に関する調査のイニシアティブを取りうる。また州の司法長官は住民に代わり、民事訴訟を起こしたり、漏洩行為が故意的や意図的である場合、1違反行為あたり最高100万ドルをもって「差止め救済(injunctive relief)」や1個人あたり1日最高1,000ドルの「民事罰」を求めることができる。

 本法用のもとでの民事訴訟を起こす前に、州司法長官はFTCと連邦司法長官に通知することを求められる。 

9.連邦法の州法の専占(Pre-emption)規定

  従来の連邦法案の大多数と同様、この法案も連邦法の専占権(専占とは、一般的には連邦法に矛盾する州法を無効にすること)を定める。しかし、同法案は州が被害者保護目的で行う通知を求める点については認める。 

10.州における個人情報漏洩事故通知義務法の立法状況

 米国の全米州議会議員連盟(NCSL)がまとめた各州の義務化法(Security Breach Notification Laws)の制定状況を見ておく。全州の法引用サイトへのリンクが可。

 47州、ワシントンD.C.、グアム、プエルトリコ、ヴァージンアイランドのすべてが民間事業および州政府機関に対する個人識別情報を含む個人情報の漏洩時の通知義務法をすでに制定している。

 ここでニューヨーク州の通知義務法に関する関係サイトの内容につき簡単に触れておく。

(1)民間企業情報局の個人情報漏洩通知専門サイト(従来の担当部署はサイバーセキュリティ局であったが、2013.2014年ニューヨーク州執行予算に通過により機能、権限および義務が移管)

根拠法:一般ビジネス法(General Business Law)第899-aa条:ニューヨーク州でビジネスを行う企業または個人は州司法長官府が定める個人情報を含むコンピュータ化されたデータのすべての漏洩につき開示義務を定める。

 ニューヨーク州技術法(State Technology Law)第208条:同様の内容につき、州司法長官、州消費者保護局および情報技術サービス局・企業情報セキュリティ部に通知義務を負う旨定める。

(2)FAXやEメールでの届出様式 

Ⅵ.2015年2月13日 大統領令「官民間部門のサイバーセキュリティ情報の共有化強化(Executive Order :Promoting Private Sector Cybersecurity Information Sharing)」

 2月13日のホワイトハウス・サミットの概要はⅣ.で述べた。また、同日大統領が署名した大統領令の詳しい内容については、これまで本ブログで述べて来た内容で網羅されていると思えるのでFact Sheet の項目のみ挙げるにとどめる。

 なお、米国のサイバーセキュリティ戦略の推移を見て分かるように常にオバマ政権は新たな取り組み課題と法制化のあり方を模索していると感じる。今後も引き続き、比較法的な観点から立法論も含め論じて行きたい。

(1)民間部門のサイバーセキュリティ情報の協働を踏まえた共有化

①情報の共有および分析機関たるISAOs機能強化

②より安全、迅速、平易等を踏まえた情報の共有化のための自発的標準の開発 

(2)官民の情報共有化の一層の改良

①情報共有の中心となる機関ISAOsや連邦機関間の合意締結に向けDHSの監督権限の明確化

②民間事業会社等の機密性のアルサイバーセキュリティへの脅威にかかる情報へのアクセスの効率化 

(3)ISAOsを中核とした強力なプライバシーと市民的自由の保護の実現 

Ⅶ.スタンフォード大学の”Cyber initiative”の概要

 前書きで述べたとおり、最後に米国の主要大学の中で筆者において従来から友人が多いスタンフォード大学のプロジェクト「サイバー・イニチアティブ」の具体的な取組み例を簡単に紹介する。なお、同プロジェクトのメンバーの顔ぶれを見たとおり、学際的、分野横断的であることはいうまでもない。(顔ぶれは2015年3月現在) 

(1)構成メンバー

○部長:George Triantis(ロースクール教授、副学部長Associate Dean for Strategic Planning, Associate Dean of Research for Stanford University) 

○上級副部長:Allison Berke  

○常設委員会

Jeremy Bailenson(助教授:通信) 

Stephen R.Barley(教授:経営科学・エンジニアリング) 

Dan Boneh(コンピュータ科学・電子エンジニアリング) 

John Mitchell(コンピュータ科学・エンジニアリング) 

Ian Morris(古典学・歴史) 

Barbara van Schewick(法学) 

Amy Zegart(フーバー研究所上級研究員、国際安全保障協力センター(CISAC)副部長) 

○学外のPartners大学

・Massachusetts Institute Technology(MIT) 

・University of California, Berkley 

(2)スタンフォード・イニシアティブの設立目的は、サイバー技術問題からもたされる機会と挑戦を目指して研究分野横断的な研究機関および7つの関連する学部等のハブをめざすことにある。最終的には、本イニチアティブは政策の枠組み造りと既存および未来に向けた解決策を持続することにある。

(3)

(4)本イニシアティブ3つの作業分野に区分する。(1)国際安全保障、(2)商業おおよび個人の安全保障(3)社会的影響(societal effects)である。

2014年11月に立ち上げ、強固な資金面の基礎などを築くとともに、スタンフォード大学の既存のサーバー問題の研究、研究賞や教育・カリキュラムの開発に向けたグローバルなサイバー技術の専門家集団のための研究会やフォーラムを行う。

*******************************************************************************:

(筆者注11)2014年10月17日の大統領令および関係決済企業の対応等については、ホワイトハウスのブログがより詳しく解説している。

一般メデイアの解説例としては、次のものがある。

「 On Friday, President Obama signed an executive order to speed the adoption of EMV-standard cards in the US. The transition to EMV—an acronym eponymous of Europay, MasterCard, and Visa, the companies that developed the standard—has been slow to gain traction in the US. The EMV standard will require credit card companies to stop relying on the magnetic stripe cards that are common today and move toward cards with embedded chips that will offer more secure credit card transactions.」

 (筆者注12) 「Chip-and- Pin」について筆者は2006.2.5 星野英二ブログ「英国内務省の同国関係分野別の「なりすまし詐欺」にかかる被害総額の推定情報は正確か」において,英国におけるchip & pin導入の効果を紹介した。すなわち「カード業界の2004年中のなりすまし詐欺被害額は3,690万ポンドで、「カードのICカード化(いわゆるchip and pin)」などにより2005年前半の被害額は約16%減少している」と述べている。 

(筆者注13) 「情報共有分析機関(ISAOs; Information Sharing and Analysis Organizations)」は、2015年2月13日の大統領令で決定・各分野や地域毎に、「ISAOs(情報共有分析機関)」という団体を組織して、政府と民間の情報共有の接点の役目を担わせる。

ISAOsは民間主導で、NPO、企業メンバー、又は民間の1企業など様々な形態が考えられる。

(注:類似の既存組織として、「情報共有分析センター」(ISACs; Information sharing and analysis center)。これは重要インフラ分野に対する物理・サイバー攻撃に対する脅威・脆弱性に関する情報共有を行うセンターであり、金融、エネルギー等セクター毎におかれ、一部はDHS(国土安全保障省)が運営。ISAOsとISACsは、相互補完的なものになると思われる)・ISAOsはDHS(国土安全保障省)傘下の国家サイバーセキュリティ通信統合センター(NCCIC;National Cybersecurity and Communications Integration Center)と連携しながら活動を行う。

(独立行政法人情報処理推進機構「サイバーセキュリティリスクと企業経営に関する研究会 第3回研究会(2015年3月17日)資料2「米国等のサイバーセキュリティに関する動向」から一部抜粋)

 なお、DHSのサイトでは、「大統領令13691号」に関する解説サイトやISAOsについてのFAQを設けている。特に、後者においては2013年2月13日大統領令第13636号を補完する大統領政策指令第21号(Presidential Policy Directive 21)を引用しつつ、ISACsとISAOsの比較を説明している。すなわち、ISAOsはISACsと異なり、直接重要インフラに結びついていないが、その代わり、例えば中小企業の部門横断的な、法務、経理、コンサル業務を担う会社が自主的に情報を共有するといったフレキシブルな取り組みを認める等につき解説する。 

(筆者注14) 「2004年情報活動改革テロリズム予防法(Intelligence Reform and Terrorism Prevention Act of 2004, Pub. L. No. 108-458)」3/27(41)第1061条(プライバシーと市民的自由)は次のとおり定める。

・ 大統領府内に、プライバシー・市民的自由監視会議(Privacy and Civil Liberties Oversight Board)を設置する。

・ プライバシー・市民的自由監視会議は、テロ対策の一環として実施される各政府機関の政策を分析・評価する。また同会議は、各政府機関の政策の立案・実施においてプライバシーと市民的自由が適切に考慮に入れられることを保障するため、大統領及び各省庁の長に助言を提供する。

・ プライバシー・市民的自由監視会議は、連邦議会上院の助言と同意に基づき大統領が任命する 5 名で構成される。 

(筆者注15)1970年「組織の不正収益・贈収賄取締法」(Racketeer Influenced and Corrupt Organization Act、通称RICO法、Title 18 USC Sec 1961-1968)のわが国の解説例を見ておく。 

*上記と同様、組織犯罪管理法の一環として制定された法律で、通称RICO法と呼ばれている。組織犯罪の収益源となる違法賭博行為や違法ブック・メーキング等の犯罪を根絶するための目的で制定されたもので、違反の場合には、刑法上(禁固年から終身刑)、民事上の罰則が課される。組織犯罪が州際間の財務取引に巧妙に入り込んできたことに対する対応で、組織犯罪と戦うための攻撃的なツールを提供した。この法は、合法的な組織に不正な資金が入ることを防ぐ三つの防御を定義する。即ち、1)不正な活動から得た資金や非合法な負債から得た資金を投資することの禁止、2)不正資金を取得する行動を担う企業を所有し、保持することの禁止、3)かかる手段を用いて取引をすることの禁止である。(大阪商業大学 IR*ゲーミング学会「新たなカジノ法制:IR推進法案の上程~何が起こるか」)

 *犯罪組織が正当な経済活動に影響を与えることを防止するために制定された。法律に規定された一定の連邦犯罪・州犯罪(=前提犯罪)を団体の活動として行うこと等を禁止し、違反に対して刑罰(20年以下の自由刑、罰金、没収)と民事的救済手段(団体からの被告人の排除、将来の違反行為の禁止、私人による3倍額賠償(+弁護士費用)訴訟など)を規定している。

適用範囲が組織犯罪に限定されておらず、前提犯罪に「詐欺」(mail and wire fraud:18U.S.C. §1341,1343)が含まれていること、私人が訴えを提起できる(有罪判決は民事的救済の要件ではない)ことから、組織犯罪と関係のない経済取引にも適用されてきた。(消費者庁「集団的消費者被害救済制度研究会」2010年1月29日( 東京大学教授 佐伯仁志

(筆者注16) 2011年5月12日のホワイトハウスの基幹施設に対するサイバー面の脅威に対する安全強化立法上の施策(法改正)のポイントについて、Fact Sheet の内容を概観する。

(1)米国民の保護

①全国ベースでの個人情報漏洩事故の報告義務システム

②RICO法等との整合性をとったコンピュータ犯罪者への取締り強化 

(2)国家規模での米国の基幹インフラの保護

①産業界、州、地方政府への連邦政府の自発的支援

②産業界、州、地方政府間の自発的情報の共有

③基幹インフラのサイバーセキュリティ計画 

(3)連邦政府のコンピュータおよびネットワークの保護

①FISMA等の改正による管理強化

②専門家の要請

③コンピュータシステムへの侵入阻止自働システムの開発

④連邦が認めたクラウドコンピュータシステム下において、州におけるデータセンターを州内に設置するのを要求しないよう手当てする。 

(4)個人のプライバシーと市民的自由の保護の新たな枠組み

①DHSにプライバシーと市民的自由の手続きに即してサーバーセキュリティ・プログラムを実行するよう求める。

②本法案のもとで個人情報を得るすべての連邦機関はプライバシーと市民的自由手続きの策定に際し、再度プライバシー・市民的自由の専門家および司法長官との事前諮問を行う。

③すべての個人情報のモニタリング、収集、使用、保持や共有は、サイバーセキュリティの脅威に対する保護目的のみに限る。

④民間事業者、州、地方政府はDHSと個人情報の共有を希望する時は、サイバーセキュリティの脅威と無関係な識別情報を除外する等合理的な努力をまず行わねばならない。

⑤この法提案は、レイヤー別監視プログラムおよび連邦議会への報告義務を負う。

⑥民間部門、州や地方政府の適用免除は提案が定める遵守条件により条件づけられる。 

(筆者注17) 代表的な個人情報漏洩時の通知義務にかかる上院法案5本の内容を概観する。

2014.2.24 Covington Burling LLPの解説ブログ Inside Privacy 「Comparison of Five Data-Breach Bills Currently Pending in the Senate」の主要部を引用する。リンクは筆者の責任で行った。

「Data Security and Breach Notification Act」(S.1193)Pat Toomey(共和党、ペンシルバニア州)

「Personal Data Privacy and Security Act」(S.1897) :Patrick Leahy(民主党、バーモント州)

「Data Security Act」(S.1927): Tom Carper(民主党、デラウェア州):およびRoy Blunt(共和党、ミズリー州)

「Data Security and Breach Ntifibcation Act」(S.1976): John D. Rockfeller(民主党、ウェストヴァージニア州)

「Personal Data Protection and Breach Accountability Act」(S.1995) :Richard Blumenthal(民主党、コネチカット州) 

 Covington事務所の法案比較の詳細はブログそのものを読んでいただきたいが、5法案につき次の6項目で比較している。

①法がカバーする情報の範囲(Covered Information)

②漏洩リスクの閾値(しきいち)(Risk of Harm Threshold)

③消費者および規制機関への通知基準(Notice to Consumers and Regulators)

④法執行機関と罰則内容(Enforcement and Penalties)

⑤連邦法および州法の占専(Federal and State Preemption)

⑥立法でカバーされる事業体およびセーフハーバーとの関係 

(筆者注18) 電子識別番号(electronic identification number)とは、一般的には

Unique Patient Identification Numbers, Electronic Heath Records (EHR), Electronic Medical Records (EMR)等をさす。 

(筆者注19) わが国の「The Electronic Signatures in Global and National Commerce Act (E-Sign Act)」等に関する比較的詳細な解説例を見ておく。

①MBR Consulting マナブーズ・ルーム・コンサルティング「消費者保護の観点から見た米国電子署名法 2000年6月25日」はわが国の電子署名法との比較を踏まえた解説である。

②法務省の「電子署名法の概要と認定制度について」 

 ***************************************************************:::***********
Copyright © 2006-2016 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

オバマ大統領の官民サイバーセキュリティ情報共有とプライバシー強化法案および関連立法化動向(その1) 

2015-03-30 14:33:24 | サイバー犯罪と立法

  2014年12月18日、オバマ大統領は「2002年電子政府法(E-Government Act of 2002)」の成立以来12年ぶりの重要なサイバー立法となる長年の課題である5つの関連法案に署名した(なお、John MaCain上院議員等連邦議会有力議員の中からは、なお包括的かつ体系的なサイバー立法を押す意見があることも事実であり、本ブログの読者も理解できるであろう更なる米国の立法課題といえよう)。

  また、同大統領は2015年1月から2月にかけ標記に関する新たな法案の策定等に向けた立法化の動きを精力的に行っている。すなわち、①サイバーセキュリティ法案、②消費者のプライバシー権利章典に関する法案、③連邦ベースの個人情報漏洩時の通知義務強化法案を策定すべく一連の公式の場で所見を述べている。 

 例えば、1月12日、オバマ大統領は連邦取引委員会(FTC)での所見スピーチで米国における標記2つの大きな立法課題をあげた。また、2月13日にはカリフォルニア州のスタンフォード大学でのホワイトハウス主催サミット(筆者注1)において主要企業や学内研究者や連邦機関に向けたスピーチで米国内のSONY等企業や政府機関に対するサイバー攻撃が相次いだことを受け、官民の情報共有を強化する政府の方針を述べるとともに、そのスピーチ直後、大統領令「Executive Order - Improving Critical Infrastructure Cybersecurity」に署名した (筆者注2) 

サミットでのオバマ大統領のスピーチ

  本ブログでは、オバマ政権が取り組んできた法整備・立法措置の中核的な問題についてこれまでの経過を概観するとともに、現在取り組んでいる立法課題を整理し、これと平行してアカデミックな立場からサイバー対策につき先行研究している筆者も参加しているスタンフォード大学の”Cyber initiative”の概要などにも言及しつつ、今後、米国が取り組むであろう課題等を取り上げることとした。 

 なお、本ブログを丁寧に読んだ読者は気がつくと思うがオバマ政権はほぼ2年おきにサイバー関連立法の見直しを行うとともに、包括法案への取り組みと議会の議員立法法案との調整を進めている(2011年5月12日ホワイトハウスのFactSheet の前文参照)。ただし、毎回のプロポーザルを丁寧に読むと微妙な変更点に気がつくと思う。 

 さらに2015年4月1日、オバマ政権は合衆国憲法、および法律(国際緊急事態経済権限法(International Emergency Economic Powers Act:IEEPA、50 USC 35 §1701〜1707) (筆者注3) 「国家非常事態法(National Emergencies Act:NEA)および「移民および国籍法(Immigration and Nationality Act)」に基づき付与された権限に基づき2015年4月1日、大統領令「重大な影響を持った形で国外からの米国サイバー空間の無効化活動を行う人・団体等の資産を封鎖(Executive Order -- "Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities"))」を公布した。その意図、目的、その効果等なお疑問があるが、別途まとめたいと考える。

 これらの問題は大統領府、連邦機関の権限強化、見直しとともに、連邦議会の共和党や関係業界との調整等多くの課題を伴う問題であるが、わが国における詳しい解説は極めて少ないといえる。その中でジェトロ・ニューヨーク事務所報告「JETRO ニューヨークだより 2013年4月・5月の和田恭「米国におけるサイバーセキュリティ政策の最近の動向(前編)」および「同(後編)」 がその時点のものではあるが、正確かつ専門的な解説を行っている。

  今回は、2回に分けて掲載する。 

Ⅰ.2015年1月までのオバマ政権におけるサイバー対策立法のこれまでの経緯の概観

 2015年1月13日付けのホワイトハウスのリリース「SECURING CYBERSPACE-President Obama Announces New Cybersecurity Legislative and Other Cybersecurity Efforts」等に基づき概観しておく(ホワイトハウスのリリース文につき筆者の責任で補足説明や関係資料へのリンクを行った)。

  オバマ政権はサイバー立法等対策強化に関し、その始まりから節目に当たる経緯をたどると、まず2009年5月29日に「2009年サイバー・ポリシー・レビュー(2009 CYBERSPACE POLICY REVIEW:  Assuring a Trusted and Resilient Information and Communications Infrastructure 」 (全76頁)」においてサイバーセキュリティに関する第一弾的作業として行政機関の全領域を対象とする合計112のドキュメント・レビューを行った。その結果を踏まえ、2011年5月12日に民間部門および政府部門に国内外でのサイバー脅威に対する戦いを行うための各種手段を与えるべく連邦議会に対し迅速な行動を取るよう呼びかけるため「サイバーセキュリティに関する立法面の提案(Cybersecurity Legislative Proposal)」を公布した。

  また、同年5月12日には、諸外国に対し外交政策上サイバーセキュリティは優先度が高い問題であることを明確化するため「サイバー空間に関する国際戦略:ネットワーク世界における繁栄、セキュリティおよび開示性( INTERNATIONAL STRATEGY FOR CYBERSPACE :Prosperity, Security, and Openness in a Networked World」(全30頁)を公表した。

  その後、連邦議会がサーバーセキュリティに関する包括的な立法の通過ができなかった時に政府として産業界と協働してベースラインとなるサーバーセキュリティ標準化を確立して基幹インフラを保護するため、2013年2月12日に大統領令(第13636号)「Executive Order on Improving Critical Infrastructure Cybersecurity」を公布した。 (筆者注4)

 今日は公的および民間ベースのネットワークは組織犯や非国家組織者(国際テロリスト)と同様に前代未聞の凶暴なハッカーの脅威に直面していることから、大統領は次のステップとして国家システムを防衛するため後記Ⅲ.で具体的に述べるステップを明らかにした。その中には、新たな法案の提案、連邦議会の重要な任務の構築、サイバー攻撃を無能化すべく情報の共有化で解決する等が含まれると指摘している。 

Ⅱ.2014年12月18日に成立したサイバーセキュリティ関連5法案の概要

 その概要を米国ローファーム「ZwillGen PLLC の解説記事」「Bank Info Security記事」等をもとに解説する。 

(1) 「2014年連邦機関の情報セキュリティ現代化法(Federal Information Security Modernization Act)(S.2521)」

 同法は、大統領府・行政管理予算局(OMB)に、連邦機関におけるITセキュリティポリシーの策定につき既存の行政実務内容を成文化する権限を付与するものである。また、加えてDHSに民間機関のセキュリティ・ポリシーについても運用面で実行する権限を与える。さらに同法は国土安全保障省に「2002年FISMA(Federal Information Security Management Act)」の改正を受け連邦機関のネットワークのモニタリングにつき「チェクリスト方式(checklist-method)」 から「リアルタイム方式(real-time monitaring)」に変更する権限を与える。

 この問題の立法論の背景につき筆者なりに「FEDERAL NEWS RADIO 1500AM:OMBニュース(2014.6.24)記事」等を参照して以下のとおり補足する。 

*連邦機関においてサイバーセキュリティ保護のためのダイナミックな取組みの障害となっていたのは、12年前の成立法である「FISMA」ではなく、むしろOMBが2000年11月28日に発出したオンライン部内通達「A-130 OMB Transmittal Memorandum for Heads of Executive departments and Agencies No. 4 (November 28, 2000)」 (筆者注5)の見直しが十分でなかったことである。とりわけ、DHS監査総監部(OIG)やその他の監視機関はそれによりセキュリティ対策業務は渋滞していた。 

(2) 国家サイバー・セキュリティ保護法(National Cybersecurity Protection Act)(S.2519)

 DHS内に基幹重要インフラ保護、サイバーセキュリティ、関連プログラムの監視を行うため正式に「国家サイバーセキュリティおよびコミュニケーション統合化センター(National Cybersecurity and Communications ntergration Center:NCCIC)」 (筆者注6)を稼動することを定める。法案では政府と情報共有を選択する民間企業の責任に関し論議や審議を行った。さらに、DHS長官に官民の情報共有の手続きの開発および情報共有契約の適用方法等につき議会に勧奨することを命ずる。 

(3) 「サイバーセキュリティ担当従業員の専門性育成評価法(Cybersecurity Workforce Assessment Act)(S.2952)」

 精鋭のサイバーセキュリティ専門家を採用する目的で、DHSの長官に同省内にサイバーセキュリティの準備、能力、訓練、採用、サイバーセキュリティの専門従業員の保持等を行うため、包括的な戦略の開発、維持および更新を行うよう命ずる。 (筆者注7) 

(4) 「国土安全保障省の従業員評価法(Homeland Security Workforce Assessment Act)(H.R.2952)」

 前記(3)の「Cybersecurity Workforce Assessment Act」と同様に「国境パトロール機関の支払い改革法(Border Patrol Agent Pay Reform Act of 2014:S.1691)第4条の付帯法条項となるものである。DHSにサイバーセキュリティ専門要員のポストを新たに作り、定期的な従業員採用とは別に追加報酬、やる気手当等を適用することを認める。

 (5) 「2014年サイバーセキュリティ強化法(Cybersecurity Enhancement Act)(S.1353)」

 商務省に対し、同省傘下の国立標準技術研究所(National Institute of Standards and Technology:NIST)の所長を通じて基幹インフラに対するサイバーリスクを減じるため任意の標準の開発権限を与える。また、同時にホワイトハウスの科学・技術政策局(Office of Science and Technology Policy)に連邦機関のサイバーに関する調査および戦略計画の開発を命ずる。 

Ⅲ.2015年1月12日 ホワイトハウスオバマ大統領がFTC会議で一般教書も踏まえた新たなサイバー立法の提案その他のサイバー対策強化案を公表

 具体的なホワイトハウスのリリース(概況報告「米国の消費者と家族の保護施策」)内容は次のとおりである。なお、リリース文では海外および専門外の人には必ずしもわかりやすい内容ではないため筆者の責任で適宜補足やリンクを行った。 

(1)個人のなりすまし被害(Identity Theft)を追跡法の制定(Personal Data Notification & Protection Act)やなりすまし犯罪の特定やその阻止策

①個人情報の漏洩時の保有企業の顧客への統一的な通知義務法の制定

 大統領は、大規模な個人情報や金融取引情報等の漏洩・流失事件による心理面の被害をうける米国民に対し、心の平和を取り戻すため新たな立法手当てを推し進めた。この法案は、消費者につきその個人情報が漏洩したとき、その発見から30日以内に顧客への通知する義務を保有・管理する企業に課すことで責任の強化と明確化を図るものである。その一方で企業に対しては単一かつ全米ベースで標準化した通知規則を新たに策定する。 

②なりすまし犯罪の特定やその被害阻止策

 なりすまし被害時に、消費者に個人信用情報レベルの低下を回避させることも含め、最善のかたちで早期サインの1つのアクセスさせるため、大手銀行JPモルガン・チェイス(JMMorgan Chase)やバンク・オブ・アメリカ(Bank of America)や信用情報のスコアリング企業である「フェアー・アイザック・コーポレーション(Fair Isaac Corporation:FICO)」 (筆者注8)とともに、これらのクレジットカード顧客が無料で利用できる信用スコアを形成する企業数の増加をもたらすことになろう。さらに、USAA (筆者注9)State Employees’Credit Union なども会員に無料の信用情報の提供を可能とし、またAlly Financial (筆者注10)自社の自動車ローンの顧客がクレジットスコアが無料で照会可能とする提携企業数を広げる予定である。これらの企業努力などを通じ、成人の米国民の半数以上は、銀行、カード発行者や貸し手を通じてなりすましに適確に気がつき対応を取るためのアクセス手段を持つことになろう。 

(2)教室やその他での学生の個人情報の安全措置対策

①「学生のデジタル・プライバシー法」案の提案

 大統領は、教師や両親のために教育目的のみで教育の課程で収集される学生の情報を保証するための最善の技術を伴う教育や学習を強化を必要とするための信頼を得るため新たな立法措置を提案する。この連邦法案は画期的な法律といえるカリフォルニア州の法律「Student Online Personal Information Protection Act」等をモデルにしたもので、2014年5月1日のホワイトハウス向け報告「ビッグデータとプラバシー(技術面から見た視点):Report to President :Big Data and privacy:A Technological Perspective)」 等およびホワイトハウスの大統領のBig Data問題レビュー「Learn more about the big data review」等の勧告に基づくもので、各企業における教育面の使途に無関係の目的で第三者に学生の個人情報を販売したり学校内で収集した情報に基づき「ターゲット広告」を行うことを認めないという内容である。一方で、生徒の学習成果の改善といった調査目的をもつ構想や企業による学習技術の効率性の継続的な改善努力という点ではなお認められるものである。 

  なお、以下で米国プライバシー擁護団体であるEPICブログ「Student Privacy Project」が簡潔に同法のポイントを引用しているので、ここで併せて仮訳しておく。

「カリフォルニア州議会は包括的な学生のプライバシー保護法である「学生のオンライン個人情報保護法(Student Online Personal Information Protection Act (Senate Bill No. 1177 CHAPTER 839)」を通過させ、このほど成立した。 この新しい法律の中で特記すべき条項は次のとおりである。

 (1) 幼小中高(k-12:幼稚園(K)からはじまり、小学校(1-6学年)、中学高校(7-12学年)までの計13学年をさす)のモバイルやオンライン・サービスのオペレーター(事業者)が学生へ広告目的で当該学生の個人情報を使用することを禁止する、 (2) オンラインサービス・プロバイダー(ISP)に対し、商業目的で幼小中高学生のプロファイルを作成することを禁止するとともに、(3)学生の個人情報を他の企業に販売することを禁止する。 また、同法は、幼小中高のモバイルやオンラインのサービス・オペレータに対し、安全対策を確立し、学校または地区の関係機関の依頼にもとづき学生情報を削除することを義務付ける。 同時に、カリフォルニア州は学校が契約上でプライバシーを含め指導記録を社外調達する場合の生徒や両親の同意等規制法案(Assembly Bill 1584)を成立させた。

 その他、学校内におけるソーシャルメディア監視プログラムを統治する法案(Snate Bill 1349 )を可決した。 同州の学生オンライン個人情報保護法は、EPICがStudent Privacy権利章典(Student Privacy Bill of Rights)で概説・提言した多くの提案を取り入れた。」 (筆者注11)

 ②学生のためのプライバシー強化支援のための民間部門の新たな責務

 本日、75社は子供たちの個人情報の誤用から子供達、両親や教師に対し重要な意味をもって保護するという誓約書に署名したことから新たな責務が生じた。この誓約活動は、シンクタンク「Future of Privacy forum」「米国ソフトウエア&情報産業協会(SIIA: Software & Information Industry Association)」がリードし、本日、大統領はその他の企業に対し、このリードに追随するよう働きかけた。 

③連邦教育省は米国中の教育者の権限強化と学生の保護のための新たな手段を用意する

 連邦教育省と同省の「Privacy Technical Assistance  Center」は米国の子供たちのプライバシー保護にとって重要な役割を演じる。今日、我々は教育に関するデータが適宜かつ教育の任務目的に即して保証されるようわらわれの能力の強化を図るべく教師の教育訓練の支援と同様に来るべきモデルサービス条件を公表している。 

(3)新たに出現するプライバシー問題につき官民部門を召集

・スマートグリッドにかかる顧客の個人情報保護についての任意の行動規範(Voluntary Code of Conduct)を策定

  本日、連邦エネルギー省の連邦スマートグリッド対策本部(Federal Smart Grid Task Force)はエネルギーの使用情報を含む電気部門の顧客データの保護を目的とした公共施設や第三者のための取るべき任意の行動規範を公表した。

 同規範は1年にわたる産業界の関係者、プライバシー問題専門家ならびに広く大衆等やパブリックコメントを繁栄したものである。企業よる署名により、VCCは消費者の問題理解、選択や同意、アクセスのコントロール等の寄与することになろう。  

 *************************************************************************************

(筆者注1) ホワイトハウス主催のサミット(於:スタンフォード大学)には実は筆者も同大学の友人から招かれて参加した。全内容につきホワイトハウス・サイトで、動画での確認が可能である。

(筆者注2)オバマ大統領のスピーチに中身として、さらに言及すべき点は2014年10月17日の「大統領令(Executive Order-Improving the Security of Consumer Financial Transactions)」である。オバマ大統領は金融取引や個人取引情報の安全性、個人ID情報のなりすまし被害救済の改善、さらに連邦機関間で流通する個人情報の安全性強化に関する大統領令に署名した。とりわけ、安全性強化手段として連邦政府機関が発行するクレジットカードにつき可能な限り早急にデビットカードと同様に”Chip-and -PIN”技術を導入するよう命じた。さらに、大統領府・国家安全保障会議(NSC)同・科学技術政策局(Office of Science and Technology Policy:OSTP)および同・行政管理予算局(OMB)に一定期間内に管理する個人情報管理の厳格化措置を命じた。

  同大統領令の内容につき、Covington & Burling LLPの解説(President Obama Signs Executive Order Aimed at Protecting the Security of Consumer financial Transactions)、およびCozen O’Connorの解説を中心において概観しておく。

 (1)政府支払いカードのセキュリティ強化措置

  クレジット、デビットその他政府公金の支払カード端末を有するすべての連邦法執行機関、部門において”Chip-and -PIN”技術導入により市民の個人情報のセキュリティ強化を図る。

 すなわち、財務長官は2015年1月1日までに新たに購入する端末につきセキュリティ特性を保証せねばならず、またこれらの安全特性を持たない旧端末を管理する連邦機関につきセキュリティ特性を保証するソフトウェアのインストール計画をたてねばならない。連邦共通役務庁長官(GSA)も同様に2015年1月1日までにGSA契約を介して交付されるクレジット、デビットカードやその他支払いカードのセキュリティ特性を確保するとともに、安全性特性を有しないすべての既存カードについては交換しなければならない。最後に、これらカードを扱うすべての連邦機関は2015年1月1日までにOMBに対し、これらカードにつきセキュリティ特性を有する保証計画を提出しなくてはならない。

 (2)個人なりすまし(Identity Theft)被害者救済の改善措置 

 個人なりすましの消費者たる被害者に対し、負担の軽減や遅延を減じるための措置を命じる。義務である。本命令に基づき、司法長官は国土安全保障省(DHS)長官と相俟って2015年2月15日までに実施内容を取りまとめることとなる。

 10月17日、”Chip-and-PIN”技術は欧州において広く用いられているものでクレジットカード番号の盗取を一層困難化するものである。さらに、同令は2015年1月1日までに連邦機関に設置する小口支払い用カード端末において”Chip-and-PIN”技術を導入するよう命じた。 

(筆者注3) 国際緊急事態経済権限法(IEEPA=International Emergency Economic Powers Act、50 USC 35 §1701〜1707)は、非常かつ尋常ではない国際的脅威に国家がさらされた場合に政府が「国家非常事態」を宣言し、経済に関する種々の権限を大統領が一時的に握ることを認める法律。同法の詳細は以下URLを参照。
http://www.law.cornell.edu/uscode/html/uscode50/usc_sup_01_50_10_35.html 他のサイトへ (JETRO基本的な米国の輸出入制度」から一部抜粋。

(筆者注4)大統領令第13636号について、ローラ・ミカ「サイバーセキュリティに関する大統領令」(国立国会図書館「外国の立法」2013.5)が概要を解説している。

(筆者注5)オンライン配信通達(Circular)とは、行政官庁がその所掌事務について、所管の機関や職員にオンライン文書で通知すること。また、その文書そのものをいう。 

(筆者注6)前文で述べた「米国におけるサイバーセキュリティ政策の最近の動向(後編)」においてNCCICにつき詳しく解説しているので、筆者なりに補足説明やリンクを追加して引用する。 

”NCCIC”は2009年10月30日に実際に運用するかたちですでに稼動している。

「DHSの国家重要インフラおよびITシステム保護総局(National Protection and Program Directrate:NPPD)の傘下の「サイバーセキュリティ・通信局(Office of Cybersecurity & Communication:CS&C:2009年発足)のうち、特に重要インフラを中心としたサイバー情報の集約機関として重要な役割を果たすのがNCCICである。NCCICは、国家サイバー事故対応計画(NCIRP)に基づき、それまでのNational Cyber Security Center(NCSC)を置き換える形で発足した機関であり、United States Computer Emergency Readiness Team (US-CERT):米国内のサイバー脅威情報の集約や警戒情報や注意喚起情報の発信を行う実働部隊)や、Industrial Control Systems Cyber Emergency Response Team:ICS-CERT:制御システムに関するサイバーセキュリティを担う部隊)などを統括している。NCCICには、US-CERTやICS-CERTのほか、NO&I(NCCICの各部門および活動全体の同期解析、情報の共有と事故対応につき計画、調整と統合能力に担当する)、DHS所管の重要インフラ中、IT分野の政府側調整機関であるNational Coordinating Center for Telecommunications(NCC)の4部門が存在する。365日24時間体制でサイバー監視を行っている」 

  (NCCICのサイトの組織図)

(筆者注7)サイバーセキュリティ専門家要員の育成は、主要国の喫緊かつ共通的課題である。例えば、英国でみると3月25日、内閣府担当大臣であるフランシス・モード(Francis Maude)は、英国のサイバーセキュリティ技術の基礎部強化を目的とした第一次計画(Cyber First)を公表した。そのプログラム(scheme)の特徴を英国・政府通信司令部・通信電子セキュリティグループ(CESG)サイト等を参照のうえ記しておく。

”Cyber First”は優秀な学生を対象に関連する科学、技術、エンジニアリングや数学の勉強を行うための財政的支援を行うもので、同時に卒業時に仕事に就く際は国家安全保障にかかる政府、民間企業企業への就職を斡旋するものである。急速に成長する産業界のニーズに応えるべくサイバーセキュリティに関する最先端技術の開発、人材の育成が主目的であり、その経済効果は60億ポンド(約1兆500億円)以上、雇用効果は40,000人以上と見込まれている。その名誉ある計画の応募適格者は、2015年秋に大学の第一学年または第二学年の学生で、サイバーに関する全英におけるコンペの成功者である。

またスポンサー支援計画の中身は、学業中に関しては年間4,000ポンド(約70万円)が支給される。 

その他、英国におけるサイバーセキュリティ強化に関する主要な国家計画の項目は次のとおりである。詳細な説明は略す。また、2015年3月24日、モード大臣は英国のサイバーセキュリティ技術の強化に関する第一次計画を発表した。この点も英国政府のリリースを参照されたい。

Academic Centres of Excellence in Cyber Security Research (ACE-CSRs)計画は、英国における「デジタル世界における英国の保護と推進(英国の新サイバーセキュリティ戦略が研究成果)2011.11.25 公布」として、いくつかのイニシアテイブの第一号である。 

②National cyber security programme and UK  Cyber Security strategy

2011年11月25日に公布した。2014年12月11日、本戦略に関する成果、更なる計画などを織り込んだ第三次進捗年次報告を公表した。

 (筆者注8)FICO Score”について、同社サイトの解説は次のとおりである。。

The FICO® Score, available at the three major consumer reporting agencies, helps lenders make accurate, reliable and fast credit risk decisions across the customer lifecycle. The FICO® Score rank-orders consumers by how likely they are to pay their credit obligations as agreed. The most widely used broad-based risk score; the FICO® Score plays a critical role in billions of decisions each year. The latest US version, FICO® Score 9 is the most current and predictive FICO® Score.

 また、消費者金融サービス研究学会年報 芦田勝「米国等の消費者信用情報機関等におけるビジネス倫理の実践的取組みの現状とわが国のCSR強化に向けた課題」において概要が解説されている。

(筆者注9)USAA”は、中堅銀行として現役軍人と退役軍人その家族を対象に、銀行サービス(free checking(当座預金口座で利息がつかない)ほか)、クレジットカード、生命保険/損害保険や自動車ローン、 投資相談等のサービスを行っている。 

(筆者注10)米ゼネラル・モーターズ(GM)の金融子会社だったアライ・フィナンシャルは2009年、政府が172億ドルの公的資金を注入して救済した。同社はそれ以降、サービスの幅を広げて業績を立て直してきた。2014年4月に実施した新規株式公開(IPO)では23億ドルを調達した。(2014.10.30 WSJ日本語版記事より一部抜粋)。 

(筆者注11)カリフォルニア州におけるプライバシー強化立法に関し、2012年にカリフォルニア州議会が通過させたプライバシー法(Assemmbly Bill 1844)は、同州の雇用主に雇用志願者や従業員のソーシャルメデイアのログ内容の開示を要求することを禁止する。また、同法は州の労働法第2部(Division Two)が適用され、また従業員がそのことにより解雇されたり脅迫されることから保護される旨定める。

 本ブログで引用した立法も含めカリフォルニア州の学童のプライバシー保護立法を概観するには2014.10.14 Josie Ahlquist「Carfornia Protecting Student Digital Privacy:Legal Updates in Education」を参照されたい。 

 *********************************************************************************
Copyright © 2006-2016 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

バッファロー市のパーキングメーター整備士が25セント・コイン・スキミング泥棒で有罪拘禁刑判決

2013-08-27 12:27:28 | サイバー犯罪と立法

 

 Last Updated:April 30,2024

 米国FBIはさる8月16日、バッファロー市(ニューヨーク州)の永年勤続込公務員は、8月16日に、8年間にわたるすべて方面で同市の各方面におけるパーキング・メーターから計20万ドル以上を盗んだことを理由に30カ月の拘禁刑判決を言い渡された旨リリースした。 

 被告は30年以上にわたりバッファロー市の公務員であったが、パーキング・メーター整備士という仕事柄機器を操作できる立場を悪用した不正行為を理由に刑事責任を問われたものである。この種の犯罪は決して少なくないのが事実であるが、米国だけでなく英国メディア(8月17日 Guardian記事)も取り上げていることから、あえて紹介する。  

1.事実関係と起訴経緯

 ジェームズ・バガローゾ(James Bagarozzo:30年間以上、バッファロー市によって雇用されていた)は2003年にパーキング・メーター整備士になったが、バガローゾと共犯者はメーターを修理する代わりに25セントコインを盗むことができるようにそれら75以上のメーターに違法に別添器具(加工したデバイス)を装備した。

 長い時間をかけた被告の小銭犯罪累計額は、つじつまが合ってきた。 

FBI のバッファロー部において本事件の捜査を行った特別捜査官ロブ・グロス(Rob Gross)は、被告が出勤した日の半分はバッファロー市から小銭を盗むのに費やされたと述べた。

 バガローゾと共犯仲間である市役所職員ローレンス・チャールズ(Lawrence Charles)は、2011年12月に逮捕された。捜査官はバガローゾの自宅で現金と25セント硬貨現金と彼の寝室の天井に隠された4万ドルを含む計約4万7,000ドルを見つけた。 

 バガローゾらは、パーキング・メーターの整備士として、バッファロー市内の約1,200台の機械的なマシンを調整したり修理すべき任務を負っていたが、それらのコイン・キャニスター(コイン収納ボックス)にアクセスする権限を持たないで、また集金権限も与えられていなかった。

 代わりに、彼らはメーター自体に細工を装備していたので、預けられた25セント・コインがコインキャニスターに決して落ちなかった。

 そして、被告は自分達のために加工デバイスからコインを回収した。 

 被告(57歳)は2003年から逮捕される時まで続いて、彼の家に戦利品を移すために何千回もの四半期の彼の車へバッグや深いポケットのついたワークパンツを用いて数千枚の25セント硬貨をしこしこ運んだ(そこでは、彼は、coin wrappersで包装のうえ、銀行でそれを現金と交換した)。 

 捜査官グロスは銀行はバガローゾが出納係に自分は友人の自動販売機企業と働いているという言ったので、決して疑わなかった。

 また、グロスは被告は銀行の出納係との間で結局25セントコインをちょうど500ドル分画入る専用ボックスを彼に与えたほど良い関係を育てた、と述べた。

 被告は、1週間の間に銀行に何度か25セントで計500ドル分の箱をもって出向き、帰りに現金を受け取った。 

 新しい駐車コミッショナーの任命がなければ、被告の詐欺は無期限に続いたかもしれない。(そのコミッショナーは、バッファロー市の機械的なメーター数値と、より新しい電子機械の間の収入の著しい違いに気付いた)。 

 2010年9月に、バッファロー市のParking Enforcement事業部は、バッファロー警察を含む広げた捜査を開始し、および最終的に市はFBIに支援を求めた。 

 2週間後に彼が判決を下される予定であるバガローゾとチャールズは、毎日窃盗行為を遂行していた模様がビデオの上で捕捉された。

 グロスは、利用者が十分な注意を支払わないかぎり固定メーターに見えたが、被告らはそれを使って窃盗行為を行っていたと述べた。

 実際に、彼らはそれらを使い公金を盗んでいた。 

 2012年9月に、バガローゾは違法にフェデラル・ファンド(パーキング収入)を窃取した窃盗罪および21万ドル(約2,058万円)の賠償金を支払う件で有罪答弁を行った。

 本事件を担当した連邦連邦検事は、バガローゾは個人的利用と家族の諸費用を払うのにパーキング・メーターの金を使用した点を指摘した。 

2.類似の犯罪事例

 2009年4月22日、ワシントンポスト紙は次のような記事を載せた。

 ヴァージニア州アレキサンドリア市警察は窃盗犯ウィリアム·J・フェル( William J. Fell )を起訴した。被害額は17万ドル(約1,666万円)金種は25セントおよびニッケル(5セント)とダイム(10セント)であった。

 被告は約1年以上駐車場のメーターの修理工としてキャニスターから貨幣を盗み、警察が自宅を捜査したところバケツ、ロールやカップからコインが見つかった。 

3.国民の信頼確保の重要性指摘

 バッファロー事業部担当の特別捜査官リチャード・フランケル(Richard Frankel)は、「本件は公共の不正が国民に役立つ政府の能力にいかに打撃を与えるかに関する典型例であり、今回の事件で正義が実現されたことに感謝するとともに、FBIはあらゆる形態の官吏等による公的不正行為に対し用心深く対応する」と述べた。 

******************************************************************
Copyright © 2006-2013 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. 
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

米国アラバマ大研究者がウィルス感染モバイル端末を一斉に機能停止させるサイバー攻撃手法を発表

2013-05-26 10:31:05 | サイバー犯罪と立法



 5月16日に、米国アラバマ大学学バーミングハム校コンピュータ情報科学学部の“SECuRE and Trustworthy computing Lab :SECRETLab”は、5月10日に中国杭州で開催した国際的なシンポジューム「第8回情報、コンピュータと通信のセキュリティ・シンポジューム(8th Association for Computing Machinery (ACM)Symposium on Information,Computer and Communications Security:ASIACCS)」 (筆者注1)において「検出が困難なコマンドとモバイル端末間のコントロールに関する検出可能チャネル(Sensing-Enabled Channels for Hard-to-Detect Command and Control of Mobile Devices)」と題する報告(筆者注2)を行った旨報じた。今回は、同リリースの概要を紹介する。

 この問題が取り上げられた背景には、急速に利用拡大が図られているモバイル端末に解するサイバー脅威問題を冷静に解析した研究者の探求心に加え、筆者が従来から問題視する最近時の米国の政治、軍、情報機関、法執行機関だけでなくアカデミック分野によるサイバー脅威問題の取り組みがある。

 特に今回取り上げたテーマに関しては、バングラディッシュ出身の研究者や従来対立する関係があるとされる米国の中国系の研究者も含む共同研究に基づく成果として国際学会で発表・報告された点に注目したい。

1.研究成果の概要
 アラバマ大学の“UABSECuRE and Truthworthy:SECRET”コンピューテイング研究室と同大学“UAB Security and Privacy in Emerging computing and networking Systems:SPIES”は次のテーマにつき共同研究を行った。

 同研究室の指導教官であるラジブ・ハサン助教授(Ragib Hasan ph.D.,assistant professor of computing and sciences)は「一般大衆はメールとインターネットの利用時のみがウィルスに感染すると考えており、アリーナやスターバックスに行くときあなた方はそこに流れる音楽に隠されたメッセージがあると予想しないので、このことは極めて大きなパラダイム・シフト(筆者注3)である。我々は伝統的な通信チャネルの安全性の確保に多くの努力を払う。しかし、悪者が交信時に予測しない隠れた方法を使用するときは、その検出は困難または不可能である。UABの研究チームは混雑する廊下でモバイル端末から55フィート(約1.65m)はなれた箇所から流れた音楽を使用して端末に隠されたマルウェアを機能させる引き金となりうることを実証した。また、音楽ビデオを使って、テレビ、コンピュータ用モニター、天井の照明、サブウーファーの振動音や磁場といった様々なツールを用いて各距離を変えて行い、引き金となりうることの検証に成功した。

 SPIES研究グループの部長で「情報信頼性および共同フォレンジックス研究センター(Center for Information Assurance and Joint Forensics Research CIA/JFR)」の助教授であるニテッシュ・サキセナ(Nitesh Saxena)は「我々は、結局これらの検出可能なチャネルが大規模なウィルス攻撃の引き金となりうる短いメッセージが使用可能であること明らかにした。比較的容易にこのような引き金を起こすに使用される伝統的なネットワークコミュニケーションを検出することが出来る一方で、現在そのような検出手法の早道があるとは思えない」と述べている。

 これら研究者はわずかラップトップやパソコンに使用可能な「5bits/1秒」の小さな帯域のみでマルウェア起動の引き金とすることが出来た。
ASIACCSでの発表に関し、博士課程学生でSECRET大学院生助手シャムス・ザヲード(Shams Zawoad)は「この種の攻撃は、現在は高度に洗練されていて構築は難しいが、技術の向上に伴い、将来ますます容易になるであろう。我々はこれらのサイバー攻撃が拡がる前に防御策を構築する必要があり、常に一歩先行した防御技術を開発する必要がある」と述べている。

 本研究レポートは、SPIESの最近時の博士課程卒業生でザヲードの研究仲間である大学院生ダスティン・ラインハート(Dustin Rinehart)、現在「セキュリティとプライバシーに関する学際研究センター( Center for Interdisciplinary Studies in Security and Privacy(CRISSP))5/20(27)に所属するツィポラ・ハルビィ(Tzipora Halevi)により共同執筆された。
 
2.本報告の意義
 本報告書は米国の関係メディアでも取り上げられている。時宜を得た研究であることはいうまでもないが、米国の大学は言うまでもなくR&Dは得意である。特に前述したとおり「サイバー攻撃対策」はまさに国を挙げての政策課題である。

○アラバマ大学のフォレンジックスのビジネス起業化の意義
 同大学は官民協力の一環として同大学はサイバー攻撃検出専門の情報会社“Malcovery Security LLC”を2013年3月12日に立ち上げた。同社の資金面のスポンサーであり、また顧客でもあるバンクオブアメリカ、VISA、facebook、ebayである。
同社の特徴について詳しくはHPで確認されたいが筆者にとって興味深い企業である。

①Malcoveryは、緊急性の高いサイバー攻撃のソースと性格を特定するとともに数百万といわれる今後のサーバー脅威の角度を解析するための特許を持つフォレンジックス技術を駆使する。
②HPの説明の中で“Market Position”の部分が本音で面白いので引用する。
「Malcovery社は、既存のフィッシング詐欺、スパムおよびマルウェア対策の大部分の兆候(symptoms)を扱うだけであるが、サイバー犯罪攻撃の‘ルート・ソース'周辺の即実施可能な情報を提供することによって、セキュリティ市場の重要な空白を埋める。
本社は、サイバー攻撃のソースと本質を特定するために‘ビッグ・データ'分析法(筆者注4)を使用するクラウド・コンピューティング・ベース(SaaS)のセキュリティ解決方法を提供する。本社は攻撃の新柄を特定して、最優先させるために何百万ものサイバー攻撃のベクトルを分析できる排他的に認可され、特許をもち新案特許出願中のサイバーフォレンジックス技術を保有する。 この即実施可能なサイバーに関する情報は、ユーザが最も有害な脅威と戦うために資源保護に焦点を合わせることを可能にする。」

  ***************************************************************

(筆者注1) 「 ACM 情報、コンピュータ、通信セキュリティ・シンポジウム(2013 ACM Symposium on Information, Computer and Communications Security (ASIACCS’2013)」

は、計算機科学の分野で世界最大の学会であるACM(Association for Computing Machinery)内の、セキュリティを扱うグループであるSIGSAC (Special Interest Group on Security, Audit and Control)が開催するものであり、ACM・SIGSACが運営している4大会議のひとつとして行われる本会議は、発表内容のレベルが高く、学術界からも非常に高い注目を浴びている。
 2008年第3回シンポジュームが日本で開かれ、主催者は「産総研」であった。

 なお、WikipediaによるとAssociation for Computing Machinery (ACM) は、アメリカ合衆国をベースとする計算機科学分野の国際学会。1947年設立。IEEEとともに、この分野で最も影響力の強い学会である。より具体的に説明すると“ACM, the world’s largest educational and scientific computing society, delivers resources that advance computing as a science and a profession. ACM provides the computing field's premier Digital Library and serves its members and the computing profession with leading-edge publications, conferences, and career resources”といえる。

(筆者注2) 5月10日Session 13 :Web and Mobile Security (13:30 to 14:40)の中で報告
「Sensing-Enabled Channels for Hard-to-Detect Command and Control of Mobile Devices」報告者:
Ragib Hasan, Nitesh Saxena, Tzipora Halevi, Shams Zawoad and Dustin Rinehart

(筆者注3) パラダイムシフト(paradigm shift)とは、その時代や分野において当然のことと考えられていた認識や思想、社会全体の価値観などが革命的にもしくは劇的に変化することを言う。(wikipediaから抜粋 )

(筆者注4)「ビッグデータ解析」の意義について、IBMの動画解説「ビッグデータ分析から活用まで」が分かりやすい。

 また、総務省は「ビッグデータ」については「平成24年版 情報通信白書の第2章第1節-4で詳しく取り上げているほかに、筆者が認識している範囲だけでも2つの研究会で検討が行われている。
(1) 「パーソナルデータの利用・流通に関する研究会」(座長:堀部政男一橋大学名誉教授)
(2) 情報通信審議会 ICT基本戦略ボード ビッグデータの活用に関するアドホックグループ

 いずれにしても国民の知る権利やプライバシー権などわが国の国民の人権にとって重要な意義を持つこれらの研究会の検討内容が極めて内密裡行われているようにとしか思えない点は許しがたいと思う。特に「朝日新聞」だけでなく、これら行政機関の取組みに関し、メディアの報道にあり方や内容は、欧米のメディアと対比したとき極めてお粗末といいたい。例えば、朝日新聞は5月20日朝刊で「ビッグデータ不正利用 監視へ:17年にも第三者機関設置」と題する記事を載せた。
 その記事の冒頭の解説文を一部引用する。「総務省は、インターネットの利用などで蓄積された情報『ビッグデータ』を企業など使う際、個人情報が保護されている同化を監視する第三者機関を2017年にもつくる方針を固めた。ビッグデータを解析すると個人の行動などが特定される可能性があるため、プライバシー情報の流出をチェックしたり、行き過ぎた個人情報の利用には是正命令を出したりする。総務省の研究会が20日に、第三者機関の設置を求める報告書案をまとめる予定。(以下略す)」

 この記事を読んでまず気が付くのは次の疑問である。
(1)いかなる研究会で検討されているのか?この回答を見出すに筆者は約5分かかった。キーワード検索でも困難である。総務省のサイトから検索をかけても「ビッグデータ」では結果は出てこない。

 筆者が原稿を書くとしたら冒頭では次のような内容の原稿を書くことになろう。なお、ブログであればこれらの研究会サイトへのリンクが容易であるが、新聞記事の限界か?改めて総務省サイトからたどって行くしかない。
総務省は、平成24年11月から「パーソナルデータの利用・流通に関する研究会」(座長:堀部政男一橋大学名誉教授)を開催し、プライバシー保護等に配慮したパーソナルデータ(個人に関する情報)のネットワーク上での利用・流通の促進に向けた方策について検討を行ってきた。このほど同研究会において取りまとめた報告書(案)「パーソナルデータの利用・流通に関する研究会」を取りまとめ、平成25年5月20日(月)から5月31日(金)まで、意見を広く公募することとした。 (以下は略す)」
 なお、この研究会の担当は「情報流通行政局情報セキュリティ室」(メール宛先:itsecurity_atmark_ml.soumu.go.jp)である。以上説明したとおりあくまで報告書案の段階であり、第三者機関設置はこれからの検討課題である。メディアはミスリードを避けねばならない。

(2) 個人情報保護法の中で検討されてきた「第三者機関」と今回提起されている「第三者機関」は法的な意味や機能の差はいかなるものか。 政府や業界は本当に設置する気があるのか。5月24日に参議院で可決、成立した「行政手続における特定の個人を識別するための番号の利用等に関する法律案」の第6章 特定個人情報保護委員会(36条~77条)といかなる形で権限や機能が行われるのかが極めて不透明である。

(3)ビッグデータだけの問題でなく、そもそも個人情報収集そのものをビジネス目的とするIT情報業者さらにはプロバイダーや通信事業者から共通番号をはじめ、わが国でますます多様化する個人情報を保護する法制度や運営体制は極めて心許無い。

*****************:********************************************************
Copyright © 2006-2013 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.


コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする