Financial and Social System of Information Security

インターネットに代表されるIT社会の影の部分に光をあて、金融詐欺・サイバー犯罪予防等に関する海外の最新情報を提供

米国カリフォルニア州司法長官府がすすめるモバイル・アプリケーションによるプライバシー強化策

2013-09-22 18:07:56 | モバイル社会の課題



 いうまでもなく我々が日ごろ持ち運ぶ各種モバイル端末については、「スマホ中毒」、「ネット依存症」等という言葉が深刻に受け止められる時代になった。
 ところで100万以上あるといわれるモバイル・アプリケーション(以下「アプリケーション」)の実態をふまえ、そのプライバシー侵害やプライバシー・ポリシー自体が存在しない等といったいいかげんなビジネス自体が大きな社会的問題となりつつある。

 この問題に正面から取り組んでいるのが、カリフォルニア州司法長官府である。資金面の重要性という観点からその効果を強調し過ぎという点が気にならないでもないが、今回のブログは、同府の2012年2月以来の具体的な活動内容を追いつつ、わが国としてきわめて遅れているこの分野の対策に取り組むうえでの参考とすべきと考え、急遽まとめた。
(注1)

 なお、いうまでもないが、本ブログの理念とするところである、一般メディアではフォローしていないリーガル・ブログとして、可能な限り内容の正確性を追った。すなわち、同州の法律、法執行機関の組織等の内容を正確に反映すべく、リンクや仮訳に努めた。


1.2011年12月13日 カリフォルニア州司法長官が「サイバー犯罪部(eCrime Unit)」の新設を公表

  司法長官カマラ・D・ハリス(Kamala D. Harris)は12月13日、司法長官府の検事や研究者部門とスタッフ要員およびID窃盗犯罪、サイバー犯罪や技術の使用を含む他の犯罪を特定し、起訴する任務を負う「サイバー犯罪部(eCrime Unit)」(注2)の新設を公表した。(注3)

 本ブログの第3項で詳述する司法省府内のプライバシー保護専門部(Privacy Enforcement and Protection Unit)(以下「プライバシー・ユニット」の創設は、「カリフォルニア州情報漏洩対策法(Security Breach Notification Law)」(SB-1386) (注4)の改正(2012年1月1日施行)に続く措置である。(注5)
 ここで同法の改正の要旨や経緯、各州の立法状況等につき、ローファームWSGRおよびInside Privacyの記事等にもとづき概観しておく。なお、今回の改正法案(S.B.No.24)の提案議員である上院議員ジョー・シミティアン(Joe Simitian:民主党パロアルト市選出)は、米国の州で2003年本法律を先行制定・施行したときの法案上程議員でもある。
 
*改正前法(旧法)では、カリフォルニア住民にかかる個人情報を含むコンピュータ化された情報の所有者または使用許諾者(Licenser)は無権限者により取得されたか,または合理的にそう信じうるときは、当該住民に通知しなくてはならないとされた。きわめて例外的な場合には、所有者ではないカリフォルニア住民の個人情報を占有する団体は、当該個人情報のセキュリティ侵害があったときは影響を受ける住民に通知しうることから所有者に通知しなければならない。通知の送付に加え、同法は書面(極られた例外がある)による送付は迅速かつ理由がない遅延なしに合法的な法執行ニーズに合致し、かつ侵害範囲の決定ならびに個人情報が存在するデータシステムの合理的完全性の保持に必要な手段に合致することを求める。

*改正法(SB-24)のポイントは、次の3点に要約できる。(注6)
①1つの漏洩・侵害行為で500人以上のカリフォルニア州民が漏洩の被害を被るときは、事業者はカリフォルニア州情報漏洩対策法にもとづき、漏洩通知の電子コピーを司法長官に送付しなければならない。

②カリフォルニア住民に対し、情報漏洩のタイプ、漏洩年月日、主要なクレジット信用情報機関のトールフリーダイヤル番号等標準的通知内容を確立しなくてはならない。

③事業者に対し、「1996年健康保険に関する携行性および説明責任に関する連邦法( Health Insurance Portability and Accountability Act of 1996:HIPAA)(P.L. 104-191)」(筆者追加注:HIPAAは保険医療情報を電子的に保管および伝達されるときのデータの形式、使用および安全性について標準化する包括的な法律である。同法により米国におけるケアの質の向上と事務管理コストの低減を図るため、患者カルテの管理のITの利用に関する法律および規則環境を劇的に改正することになった。また同法は事務の簡素化に関する諸規則制定を義務付けており、これを受けて、 「Privacy Rule」 「Security Rule」「Breach Notification Rule」「その他事務の簡素化にかかる規則」等が策定されている)のもとで適用される漏洩通知の遵守は,カリフォルニア州における漏洩通知の同意要件に遵守しているとみなす旨明確化する。

 なお、関連する法整備として、2013年4月カリフォルニア州は、企業が収集した消費者データを開示させる法律を策定した。「その要旨はカリフォルニア州は4月1日、州法を改正し、企業が収集したカルフォルニア州の住民のデータを開示できるようにする「Right to Know Act of 2013(2013年知る権利法)」 (注7)を制定した。この法律では、企業は外部からのデータ侵害などが発生した場合、企業が保有している過去一年間の収集データを30日以内に無償で州に提出する必要があるという。これにより、州は企業がマーケティング目的で収集 した顧客情報やその取引先の名前や連絡先情報、書面または電子メールなどのやりとりなど、オンライン・オフラインを問わず情報を得ることができるようになる」(2013.4.5 slashdot記事より抜粋、法律原文へのリンクは筆者が行った)および2013.4.4 解説記事)参照。

 ハリス長官は「今日の犯罪者は、ますますオンラインとオフラインで人々を犠牲にするためにインターネット、スマートフォンや他のデジタル機器を使用している。カリフォルニア州は、これらの犯罪者をターゲットにする革新的な法執行機関の技術を使用したリーダーとなるべく私はサイバー犯罪部(eCrime Unit)を新たに組織した」と述べた。
 サイバー犯罪部は、実質的に技術的要素を含む犯罪につき捜査および起訴を行う。次のような犯罪を含むすべての犯罪の種類と具体的記述を行う。

①なりすまし犯罪-インターネットは、電子メール・フィッシング詐欺やトローリング行為を通じ他人に関する個人情報について、インターネットを介した個人情報やアイデンティティを盗むため、犯罪者のための新しい方法を提供する。

②インターネットを使った詐欺-これには、電子メールを介してインターネットのオークションサイト上で犯す詐欺が含まれる。③コンピュータのコンポーネントまたはサービスにかかる盗難犯罪-製造所、データの貯蔵施設や小売店等における、高度に組織化された暴力団による住居侵入やコンピュータ、その他の電子機器の強盗。④偽造や著作権侵害などの知的財産犯罪 -映画、音楽、ソフトウェア等の著作物の無断配布ウェブサイトのみを目的とする大量のウェブサイトやオンラインネットワーク⑤児童搾取犯罪(Child exploitation)-オンライン児童ポルノネットワークやインターネットやソーシャル・メディアを使って子供に対して性犯罪を犯したい人々を撹乱させる。

 これらの犯罪の多くは、マルチ取締り管轄犯罪であり、州全体のレベルでの訴追に適している。サイバー犯罪部は、2012年8月に稼動開始したが、多くは複雑な技術犯罪に何年もの経験をもつ20人の検事や捜査官からなる。

 テクノロジー犯罪は、消費者、企業や州政府の事業遂行に影響を及ぼす。カリフォルニア州は、2010年にアイデンティティ盗難関連の消費者の苦情件数では、大都市圏トップ25の第10位にあった。連邦取引委員会によると、カリフォルニア州は、1人当たり個人情報の盗難の苦情申し立て件数は、全州のうち第3位にあたる。実際には、毎年、100万人以上のカリフォルニア州民が個人情報の盗難の犠牲者である。州全体合計損失額は昨年は46百万ドル(約45億5千万円)を上回った。

 また、サイバー犯罪部はハイテク盗取阻止・起訴支援基金プログラム(High Technology Theft Apprehension and Prosecution Trust Fund Program)(注8)(注9)を通じて資金およびカリフォルニア地域の5つのハイテクのタスクフォースへ捜査と起訴サポートを提供し、州外技術犯罪捜査要求の調整を提供した。また、サイバー犯罪部は、法執行官、検察官、司法機関にトレーニングを開発、提供するとともに、市民のためサイバー安全に関する強力な情報セキュリティ対策の重要性につき啓蒙活動を行った。


 ハリス長官は、サイバー犯罪部の仕事を例示いくつかのケースを概説した。
 2012年7月には、ジョージ·ブロンク、サクラメント地区の男は、セキュリティに関する質問を電子メールで送信するために答えを見つけることによって、電子メールアドレス、被害者のFacebookのアカウントにハッキングし、彼は下品な写真やビデオを発見した後、被害者を脅迫した。有罪判決を受け、州刑務所で4年以上の拘禁刑を言い渡された。この場合の被害者は、少なくとも17の米国州と英国に位置していた。ケースに関する詳しい情報を参照。

 また、ハリス長官は、サンホアキン控訴裁判所が2011年12月8日に陳張に対して5つの重罪訴因で起訴した旨発表した。張は、5つの異なる企業からの不正や偽造宝石の所持で起訴された。長官府の調べでは、2011年11月3日、トレーシーの住んでいた、カリフォルニア州の彼女の居住地からの模倣品の推定150万ドル(約1億4,900万円)を押収した。訴状のコピー、偽造宝石の写真は、本プレスリリースの電子版に添付されている。

 別のATMスキミング事件では、被告は、容疑者は7つの郡全体でATM設置場所で個人情報の盗難の詐欺を実行した。伝えられるところでは、彼らはPIN番号をキャプチャするために被害者のカード番号や隠しカメラをキャプチャするためにカードリーダーを使用していた。損失合計は200万ドル(約1億9,800万円)と推定される。
 また、サンルイスオビスポ郡で起きた別裁判事件(カリフォルニア州V. Aroutiounyan)では、サイバー犯罪部の部門はすべての7つの郡全体でのスキームの全体を捜査し、起訴・有罪に持ち込んだ。(注10)

 さらに司法長官は、サイバーの安全正強化にかかる専門の新しいウェブサイトの立ち上げを発表した。同サイトでは、オンラインでの子供の安全、個人情報の盗難防止のヒントや被害者への援助に関する情報等が含まると言う理由である。

2.司法長官府の主要モバイルアプリケーション・プラットホーム会社とのプライバシー強化協定

 2012年2月22日、ハリス司法長官はプラットホームがモバイル・アプリケーション市場の大部分を包括する6つの会社(Amazon, Apple, Google, Hewlett-Packard, Microsoft および Research In Motion(ブラックベリー(BlackBerry)は、カナダの通信機器メーカー。旧社名がリサーチ・イン・モーション・リミテッド)と協定を結んだ旨リリースした。

 これらのプラットホームは、個人情報を集めるモバイル・アプリケーションに関し、プライバシー・ポリシーを持つことを義務付けるカリフォルニア州法に沿って産業界が行うように定める5つの「プライバシー原則」に同意した。 今日販売されているモバイル・アプリケーション・販売サイトの大部分はプライバシー・ポリシーを含んでいない。

 ハリス司法長官は「あなたの個人のプライバシーはモバイル・アプリケーションを使用する際の費用ではないが、しかし、あまりにも頻繁の使用は結果としてそれは支払わねばならない費用となる。今回結んだ協定は、カリフォルニア州の消費者と地球の周りのモバイル・アプリケーションを使用する何百万人もの人々のプライバシー保護を強化する。モバイル・アプリケーションにはプライバシー・ポリシーがあることを確実にすることによって、司法機関や法執行機関は、より多くの透明性を作りだし、またモバイル・ユーザーにとって、だれが自分の個人情報にアクセスしているか、そしてそれがどのように使用されているかに関し、コントロール権を与える」と述べた。

 プライバシー・ポリシーは消費者にとって、重要な安全装置である。 プライバシー・ポリシーは会社がどう個人情報を集めて、使用して、共有するかの透明性を促進する。 今回のプラットホーム6社との協定は、モバイル・アプリケーションがカリフォルニア州「オンライン・プライバシー保護法(Online Privacy Protection:Business and Professional Code section 22575)」に従うことを保証するよう設計されている。同法は、モバイル・アプリケーションを含む商業ウェブサイトやオンラインサービスのオペレータに対し、カリフォルニア州民の個人情報を集める際のプライバシー・ポリシーの掲示を義務付ける。
  この協定は、ユーザーがむしろアプリをダウンロードする後ではなく、前もってのプライバシー・ポリシーのチェックする機会を消費者に与え、またアプリのプライバシー・ポリシーのためにアプリケーションダウンロード画面上、一貫した立場を消費者に提供するであろう。 アプリの開発者が彼ら自身が記載したプライバシー・ポリシーに従わないときは、法執行機関はカリフォルニア州「不公正競争法(Unfair Competition Law)」、かつ(または)、「虚偽広告禁止法(False Advertising Law)」にもとづき起訴できる。

 また、本協定は、消費者のプライバシーを尊重して、彼らがどんな個人情報を集めるか、その使用方法および共有の範囲を消費者に明らかにする彼らの義務に関して、アプリの開発者を教育するためにさらにプラットホーム会社に義務付ける。 プラットホーム各社はこれらのレポートに応じるために過程を実行するために関係法を遵守しないアプリに関する報告ツールをユーザに与えねばならず、これらの遵守につき会社を遂行させることによってプライバシー法への遵守を改良するうえで機能することになろう。
さらに、本協定締結の6カ月後にハリス司法長官は、モバイル空間におけるプライバシー問題を評価するため、モバイル・アプリケーション・プラットホーム6社を召集することになろう。

 主なプラットホーム会社では、現在ダウンロード可能なモバイル・アプリケーションの作成にあたる5万人以上の個人開発者がいる。アップルAppストアだけでも約40万人、またGoogleのAndroid Marketの売り物のでも約60万の利用者がいる。 これらのアプリケーションは350億回以上ダウンロードされている。

 これらの数字がさらに成長すると予想される。すなわち、2015年までに約980億のモバイル・アプリケーションがダウンロードされ、そしてモバイルアプリケーションの現在68億ドルの市場は4年以内に250億ドルまで成長すると予想される。このモバイルマーケットの急速な成長と拡大は、さまざまなプライバシー侵害リスクを消費者にさらす。 スマートフォンでは、ユーザーはしばしばオン時につながれたままで、豊富な個人 データを装置開発者に送る。モバイル機器のユーザは、プライバシー侵害に弱く、多数の事業者、あぷり開発者、分析サービス会社や広告ネットワークで濫用される。これらユーザの位置情報、接触情報、アイデンティティ、メッセージや写真を含んでいて、これらの事業者は機密情報に近づく手段を持ちうる。

 プライバシー・ポリシーがなければ、消費者にはどの会社がそれらが集める個人的データを処理するかは、ほとんど目に見えない。
 現在プラットホームを通過してダウンロードされ利用可能なモバイルアプリケーションの大部分が、最も基本的なプライバシー保護さえ行われていないと見込まれている。  最近の1つの研究によると、すべてのモバイルアプリケーションの5パーセントだけにはプライバシー・ポリシーがあることが判明した。

 すなわち、連邦取引委員会(FTC)の最近(2012年2月)の事務局スタッフ・レポート(Mobile Apps for Kids:Current Privacy Disclosures are Disappointing」)は両親が彼らの子供のためにモバイルアプリケーションをダウンロードする前に利用可能なプライバシー情報の不足を評価しまったくの期待はずれである批判した。

  このFTCレポートは、モバイル・アプリケーション・プラットホームのアプリ開発者が彼らのプライバシー実践内容の情報を表示するための一貫した手段を提供することにより両親と子供を助けるためにそれ以上のことをすることを勧告する内容である。
 FTCは、開発者がアプリ販売店と市場で彼らの情報を明らかにするようにプラットホームが指定されたスペースを提供して、プラットホームがアプリ開発者がそれらが集める個人的なデータを明らかにするという要件の実施を改良することを明確に勧めた。

  2011年8月にハリス長官は、モバイル・アプリケーションにはプライバシー・ポリシーがあることを必要とするカリフォルニア州法への遵守を改良する最もダイレクトな方法として、6つの会社(Amazon, Apple, Google, Hewlett-Packard, Microsoft および Research In Motionを召集した。 これらプラットホーム各社は、本日これらの原則遵守を公約して、現在それらを実行するために取り組んでいる。
 ハリス長官は、「カリフォルニアには、我が州の居住者のプライバシーを保護するユニークな取り組みがある。カリフォルニア州憲法は、直接のプライバシーの権利を保証する。また、我々はそれを防御するつもりですある」と述べ、さらに「モバイルのプライバシー原則の作り上げは、この共同声明が共同作業の権限はを示していることの鍛え上げであり、単独では解決できない政府、産業および消費者間の問題の解決を作り上げることを意味する」と追加した。

 また、2011年ハリス長官は、「なりすまし」、「プライバシー侵害」および「技術の悪意の使用にかかわる犯罪」を取り締まるためサイバー犯罪部(eCrime Unit)を新規に設けた。

(2)5原則にかかる共同声明文書の内容
①準拠法が必要であると定めているとおり、ユーザから個人情報を集めるアプリケーション(「app」)では、個人情報どのように集められ、使用され、また共有されるかにつき明確で完全な情報を提供する「app」のプライバシー実務慣習について説明するプライバシー・ポリシーまたは他の声明文を掲示しなければならない。

②より高度な透明性を促進して、プライバシーの問題の開発者としての認識を増強する取り組みでは、モバイルApps Market Companiesは新規アプリケーションまたはアップデートされたアプリケーションのためのアプリケーション承認プロセスに、(a) 「app」のプライバシー・ポリシーへのハイパーリンクか「app」のプライバシー実務慣行について説明する声明文のための任意のデータ・フィールド、または(b) 「app」のプライバシー・ポリシーのテキストか装置のプライバシー習慣について説明する声明文のための任意のデータ・フィールドのいずれかを含むことにする。
 利用可能なデータ分野でハイパーリンクまたはテキストを提出するのを選ぶ開発業者については、モバイル・アプリケーション・市場会社(Mobile Apps Market Companies)は、モバイルアプリケーション販売店からのハイパーリンクまたはテキストでのアクセスを可能にすることになろう。

③モバイル・アプリケーション・市場会社は、ユーザがサービス利用規約または、法律を遵守しないモバイルPlatform Companiesに報告するための手段を持っているか、または今後実装することになろう。

④モバイル・アプリケーション・市場会社は、サービス利用規約または法律を遵守しないモバイルPlatform Companiesに報告に迅速に対処するための手続きを持つかまたは実装することになろう。 モバイル・アプリケーション・市場会社がそのようなアプリケーションに関して取るいかなる行動も、法執行または準拠法違反として申し立てられた開発者に対する訴訟行為につき法執行機関や他の規制間地区機関の権利をも何等制限しない。

⑤モバイル・アプリケーション・市場会社は、一般に、モバイル・プライバシーのために最も良い実務慣習を開発し、モバイル・プライバシー・ポリシーを特にモデル化するためにカリフォルニア司法長官と共に働き続けるであろう。 6カ月以内に、関係者は、モバイル・プライバシーに関する教育プログラムに関するユーティリティを含むモバイル空間でのプライバシーを評価するために再度召集するであろう。

3.カリフォルニア州は2012年7月19日、司法長官府内に「プライバシー保護専門班(Privacy Enforcement and Protection Unit)」の創設発表

 司法長官は、同日、カリフォルニア州の個人情報保護法執行機関·州および連邦プライバシー法にもとづく民事訴追を通じて消費者や個人のプライバシーを保護することに注力するため、司法長官府内に「プライバシー保護専門部(プライバシー・ユニット)」の創設する旨発表した。

 長官のコメントは次のとおりである。
「21世紀では、我々は電話、コンピュータやクラウド上で我々の最も機密性の高い個人情報を共有、保存する。それは消費者が我々すべてが共有する情報について情報に基づく選択を行うことができるように、これらの技術革新は、個人情報をどのように使用するかを理解するために権限を与えていることが不可欠である。
 プライバシー・ユニットは責任を他人のプライバシーを侵害する技術を悪用した人々の責任を問うために、個人や組織におけるプライバシー実務慣行を取り締まるであろう。

カリフォルニア州憲法は、すべての人々のプライバシーの不可侵の権利を保証している。
(筆者追加注)同州の憲法第1章第1条の原文を引用する。
Article 1 Declaration of Rights

Section 1 All people are by nature free and independent and have
inalietionnable rights. Among these are enjoying and defending life and
liberty, acquiring, possessing, and protecting property, and pursuing
and obtaining safety, happiness, and privacy.

 プライバシー・ユニットは、カリフォルニアおよび連邦プライバシー法違反を起訴することで、この憲法上で保障された権利を保護する。プライバシー・ユニットは、プライバシー法を執行、消費者を教育し、産業界と革新事業者とのパートナーシップの鍛造など、プライバシーを保護するために、既存の司法省の取り組みを一元化する。
 プライバシー保護を実施し、保護するためのプライバシーユニットの使命範囲は広い。そこでは、個人、組織や政府が行う個人情報や機密情報の収集、保存、開示、破壊を規制する法律を執行する。これにはサイバー・プライバシー、健康面のプライバシー、金融取引とプライバシー、個人情報の盗難、政府の記録やデータ侵害に関連する法律を含む。プライバシーの専門知識を持つ単一の執行機関や教育ユニットに司法省の様々なプライバシー機能を組み合わせることで、カリフォルニア州は、より良い州のプライバシー法を完璧に遂行し、市民のプライバシーの権利を保護する。
 プライバシー・ユニットは、サイバー犯罪部の一部に属することになる予定であり、また、そのスタッフはプライバシー問題の法執行に集中するということを望む6人の検察官を含む司法省の官吏が担当する予定である。 以前カリフォルニア州プライバシー保護局の責任者ジョアン・マックナブは、Privacy EducationとPolicy部門の部長として、プライバシー・ユニット・スタッフの教育と公共福祉のために教育や援助を行う努力面で監督することになろう。

 カリフォルニア州民のプライバシーを保護するのは、ハリス長官の最優先事項の1つである。

4.司法・法執行機関エージェント専用モバイルアプリ(JusticeMobile app)の作成・稼動の公表

(1)ハリス長官は2013年9月9日、サンフランシスコ市長エド・リー(Ed Lee:李孟賢)、サンフランシスコ市警察署長グレッグ・スア(Greg Suhr)
は、とともに”JusticeMobile app”を立ち上げた旨報じた。
 ”JusticeMobile”は米国内で初めて連邦や州の犯罪情報に迅速にアクセス可能となる法執行官吏に供するモバイル・アプリである。これらの犯罪者情報を得るためこれまでは電話やラジオに頼ってきた。同アプリはこれまで5ケ月以上の間、600人以上のサンフランシスコ(SFPD)警察官によりテストされてきた。州全体にわたる警察内部情報へのアクセスだけでなく、連邦法執行データベースへのアクセスも可能へのの要員だけでなく、署内3600人の技術面の情報用具として交付する計画である。

 ハリス長官は「モバイル・アプリは銀行取引からゲームまですべての観点から利用されてきた。しかし、信じられないことであるが、法執行機関は今日までハンドヘルドやタブレットによる重要な犯罪司法情報にアクセスできるツールを持たなかった。モバイル・アプの採用は大衆や官吏の安全性にとって飛躍的前進(quantum leap)であり、また法執行機関による新技術の採用を積極的に取り組む面で強調することにつながる。

 司法長官府はSFPDの技術部、NPO団体である「San Francisco Citizens Initiative for Technology and Innovation :sf.citi」を介した技術会社とパートナーを組んでいる。

 ”JusticeMobile”は、強固なパスワードの要求、二要素認証を要求するバーチャル・プライベート・ネットワーク(注11)、暗号化、ダウンロードやバックアップ等の制限、コピーやスクリーンキャプチャーの禁止を実行している。

 また、”JusticeMobile”は違法な火器が危険な犯罪者の手に渡るのを防ぐためにも効果がある。司法長官府の担当官は自身のiPadsに同モバイルをインストールし、週末に開かれる火器展示会のバイヤー名を「Bureau of FIrearms Armed Prohibitied Persons databse」と照合した。以前はこの照合作業は1度に20名であったが、このappの使用により4倍たる80名の照合が可能となった。

(2)同アプリの具体定画像イメージ
 リリース文に各モバイル画面内容が具体的に確認できるよう添付されている。

****************************************************************************************************************
(注1)この問題は、2012年2月23日の engadget記事「アップル・Google・MSほか6社、アプリストアのプライバシー保護改善で合意。米加州司法長官が発表」でも取り上げている。しかし、その内容は司法長官府のリリース文の移訳がほとんどであり、紹介する意義は極めて薄いと考えるが、わが国で論じられていないこれまでの取り組み経緯、関係法、解釈等を織り交ぜて法律専門的な観点から整理した。

 被告ゲフォーク・アロシュニアン(Gervork Aroutiounyan:48歳)はチェイス銀行のATMコーナーに数台のカードリーダーを設置し、数人の顧客から「パスワード」、「口座情報」、および現金を盗んだ(スキミング)として、サンルイス・オビスホ(Sanluis Obispo)郡最高裁判所において、3年8ヶ月の拘禁刑と罰金刑320,728ドル(約3,175万円)を言い渡された。

(注2) わが国では”eCrime”の的確な訳語がない。「サイバー犯罪」という訳語が一応使えよう。なお、わが国でも警察庁や警視庁等、最近時サイバー専門部隊の強化策が報じられているが、その専門性の実態と強化の中身は不明である。

 ところで、英国の内務省とロンドン警視庁が共同して出資・設立した”Police Central e-crime Unit : PCeU”の組織・内容等について参考とすべく同サイトから簡単に引用しておく。

*ロンドン警視庁の”PCeU”は、サイバー犯罪の最も重大な事件への国家的捜査への対処を提供するために英国内務省とロンドン警視庁が2008年4月1日、共同で資金を供給して立ち上げた「犯罪専門総局(Special Crime Directorate )」の一部である。

 その任務:英国の国内および国際的なパートナーとともに、英国の国家サイバーセキュリティ戦略を支援すべく”National Cyber Security Strategy”(注9)を支持した、生活や業務を行う場所として英国の信用と信頼を機能アップする、より安全でより安心なサイバー環境の提供に寄与する。
 次のもっとも重大な事故にかかる責任として付託された厳密な権限を遂行する。

①コンピュータの違法侵入(Computer intrusion)
②悪意ある不正プログラムの配布(Distribution of malicious code)
③DOS攻撃(Denial of service attack)
④インターネットを介するがゆえに可能な詐欺犯罪(Internet-enabled fraud)

 ただし、以下の事項は除く。
①サイバー犯罪に関する定期的報告
National Fraud Reporting Centreに関するプロジェクト
Child Exploitation and Online Protection Centre (CEOP)内の付託事項に含まれるe-Crime 分野

(注3) 国際公共政策研究センター 主任研究員 石野 務「解説: 英国『サイバーセキュリティ政策』」参照(全21頁)

(注4) 損保ジャパン総合研究所「Global Insurance Topics Vol.13(2013.6.15) - 急拡大する米国サイバー保険市場 -」が改正前の同法につきわかりやすくまとめているので一部抜粋、引用する。一部筆者の責任でリンク等補筆した。
「米国では、各州の法律によって、企業がサイバー犯罪等によって自社が保有する個人情報を漏洩した場合、各州民に通知すること等が義務付けられている。このため、企業はサイバー犯罪による情報漏洩に関して自社防衛を行う必要があり、サイバー犯罪への関心が高まっている。これら州法の発端は、2003 年のカリフォルニア州情報漏洩対策法(Security Breach Notification Laws)にあり、これが全米に拡大していった。この法律により、カリフォルニア州の自治体関連機関・企業・個人が暗号化されていない個人情報を漏洩した場合、カリフォルニア州民へ通知することが制定された。こうした法律は、現在、アラバマ・ケンタッキー・ニューメキシコ・サウスダコタの 4州を除く全ての州で施行されている(全米州議会議員連盟NCSLの調査:2012年4月20日現在)
 州民への通知や説明等の義務の基本的な部分は同じであるが、詳細は州間で異なっており、例えば、州の中には当該企業のみならず下請け業者による個人情報漏洩も通知対象としている州や漏洩した場合に州民に原状回復や賠償請求を認めている州もある。また、企業が通知を怠った場合の罰金等も州により異なっている。一方、連邦レベルでは、金融機関や医療機関に対しては個人情報取扱を定めた法律が施行されているが、全ての企業・業種を対象とした法律は施行されていない。」(2011年法案S.1207「Data Security and Breach Notification Act of 2011」は委員会の審議のみ、また同年法案S.1408「Data Breach Notification Act of 2011」は委員会の審議・報告のみでいずれも廃案)

(注5)同法にいう「個人情報」の内容を具体的に明記しておく。
個人情報は氏名またはデータ要素が暗号化されていない時で、次のデータ要素のいずれか1つ以上と組み合わさったファーストネーム(またはファーストイニシャル)およびラストネームをいう。
①社会保障番号
②運転免許証番号またはカリフォルニア州IDカード番号(California Division of Motor Vehiclesのサイト参照)
③個人の金融取引アカウントへのアクセスを許可する証券コード、アクセスコード、パスワード等と組み合わせて使用する口座番号、クレジット・デビットカード番号
④個人の治療履歴、メンタルまたは身体の状況、医療従事者による治療

(注6) 2003年7月1日施行SB-1386法案の可決・成立にもとづきカリフォルニア州民法第1798.29条、1798.82条が追加された。今回の改正法案SB-24(2012年1月1日施行)の成立にもとづき同民法第1798.29条、1798.82条を改正する。その改正内容の詳細は、カリフォルニア州健康情報完全化局(California Office of Health Information Integrity)サイト等を参照されたい。

(注7) 同法案番号は「B1291」で、民法にプライバシー保護に関する1798.83条を追加するものである。

(注8)2010年カリフォルニア州刑法典 第6編 第5.7章 13848条から13848.6条 「ハイテク犯罪の検挙および訴追プログラム(2010 California Code : Penal Code: Chapter 5.7. High Technology Theft Apprehension And Prosecution Program (HTTAP):PENAL CODE:SECTION 13848-13848.6)」
 なお、「HTTAPプログラム」につき概要を引用しておく。

 *カリフォルニア刑法典(Penal Code)第13848条-13848.8条に従って認可されたもので、High Technology Theft ApprehensionとProsecution(HTTAP)プログラムを提供する。そして、5つの郡等地方の「ハイテク(HT)犯罪」と「なりすまし(HD)」に関する特別捜査班、さらに3つの追加的支援・教育プログラムに関する支援を特別捜査班に指示し、資金を供給する。

 HTTAP プログラムの一部として、HTTAP基金は州全体のハイテク関連犯罪の犯罪防止(deterring)、捜査、起訴等にかかわる検事、捜査官、法執行官に対する訓練プログラム、教育の開発と実現のため「カリフォルニア州連邦地区検事協会(任意団体)(the California District Attorneyss Association )」に対し資金が割り当てられる。

 また、HTTAP Programは、カリフォルニア司法省に対し、複数郡にまたがるハイテク特別捜査班のなりすまし特別捜査班における事件の進展と起訴の支援のための資金を充当する。
 
  HTTAP Program基金のもう1つの部分としては、犯罪抑止に関連する捜査官や法施行官のための教育、トレーニングおよび研究にかかる全州的なプログラム、調査、および高い技術関連の犯罪の起訴を立証するためにカリフォルニアのDOJ Advanced TrainingCenter に資金を割り当てる。2009年10月、DOJ Advanced Training Centerは、以前に締結した省庁間協定ではなく「カリフォルニア州緊急事態管理庁(California Emergency Manegement Agency:Ca EMA)」との協定にもとづく「交付金協定方式」に移行した。

 カリフォルニア刑法典(Penal Code§13848.6)は、かかる中でカリフォルニアの技術犯罪のうち最も高いプライオリティを扱うための包括的な書面よる戦略を定式化する目的で、 「ハイテク犯罪諮問委員会(High Technology Crime Advisory:HTCAC)」の設立を規定した。
 地方のハイテク特別捜査班は、この戦略を実装した。それは、データの不法なアクセス、破壊、偽物および窃盗に従事する犯罪組織、ネットワークおよび個人を捜査、逮捕、起訴する目的に関し、法執行手続きやデジタル証拠を利用する。

 カリフォルニア州刑法典で定める特定に違反行為に適用される。その委員は、法施行機関から指名された人物と民間企業の高度技術産業界の代表である。(注9)各委員は、ハイテク犯罪を思いとどまらせて、捜査、遂行することに向かい、彼らの取り組みにおけるカリフォルニア州ハイテク犯罪特別捜査班の有効性を見直し、議論するために四半期報告を行う。


(注9) ハイテク犯罪諮問委員会委員会の登録委員名を参考まで列記する。
*委員長:ソール・アーノルド(Saul Arnold):セミコンダクター・イクイップメント・マテリアルズ・インターナショナル(SEMI は、半導体・FPD・ナノテクノロジー・MEMS・太陽光発電・その他関連技術の製造装置・材料・関連サービスを提供している企業の国際的な工業会)
*ロバート・M・モーゲスター(Robert M.Morgester) :カリフォルニア州地区連邦検事局(Carifornia Atterney Generals Office)
*キース・トラッシュ(Keith Tresh):カリフォルニア州技術証情報セキュリティ局長
*ジャック・クリスティン,Jr.(Jack Christin,Jr):eBay 副法律顧問(Associate General Counsel)
*マーク・ドムナウアー(Mark Domnauer):Adobグローバル・安全・セキュリティ部長(米国電子協会:California Computer Software Producers代表)
*ジョセフ・フォード(Joseph Ford):バンク・オブ・ザ・ウェスト上級副頭取(SVP)・チーフセキュリティ担当役員
*ジョナソン・フェアトラフ(Jonahthan Fairtlough):ロスアンジェルス郡副連邦地区検事:カリフォルニア州連邦地区検事協会代表
*ポール・シアラスキ(Paul S.Sieracki):カリフォルニア通信協会理事長
*ジェームズ・クーパー(James Cooper):サクラメント郡保安官事務所所長
(筆者追加注)Sheriff(保安官)は、複数の市町村で構成する「County」(郡)という行政単位に設置される司法官。基本的な権限は郡内部において、警察権の行使、州刑務所・拘置所の警備や管理、州裁判所の警備など。州が持つ司法執行権を委託されている官職。州や自治体にもよるが、郡の住民の選挙で選ばれる。
*トーマス・クィルテイ(Thomas Quilty ):BD コンサルテイング・投資会社(ハイテク犯罪捜査協会(High Technology Crime Investigation Association)代表)
*ジョアン・マックナブ(カリフォルニア州司法長官府・情報保護局長(California Office of Privacy Protection))
*ダグラス・ダンフォード(Douglas Dunford):ガステイン警察署署長(カリフォルニア州警察署長協会代表)
*ケヴィン・スー(Kevin suh):Motion Picture Association of America(MPAA)副会長

(注10)「カリフォルニア州 V.Aroutiounyan」サイバー犯罪事件の事実概要と判決の内容およびサーバー犯罪部の貢献内容を見ておく。
2013年3月28日、ハリス長官はチェイスバンクのATMを利用したスキミング犯(共謀犯がいる)(Gervork Aroutiounyan)に対する約4年の拘禁刑と罰金320,728ドル(約3,175万円)

(注11) 仮想プライベートネットワーク( 仮想専用ネットワーク)(Virtual Private Network)とは、公衆回線をあたかも専用回線であるかのように利用できるサービス。企業内ネットワークの拠点間接続などに使われ、専用回線を導入するよりコストを抑えられる。
 古くは電話回線(音声通話サービス)で提供されていたもので、全国に拠点を持つ大企業の内線電話などを公衆網を中継して接続するサービスだった。最近ではもっぱらデータ通信の拠点間接続サービスのことを指し、企業内LANを通信キャリアの持つバックボーンネットワークを通じて相互に接続するサービスをいう。(IT用語辞典から一部抜粋)


**********************************************************************************************************
Copyright © 2006-2013芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.


コメント    この記事についてブログを書く
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする
« 欧州委員会がクラウド・コン... | トップ | 米国連邦金融監督機関が消費... »
最新の画像もっと見る

コメントを投稿

モバイル社会の課題」カテゴリの最新記事