SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine編集部ではイベントを随時開催しております

EnterpriseZine編集部ではイベントを随時開催しております

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

紛争事例から学ぶ! 実践ベンダーコントロール習得講座

講座一覧はコチラから

Security Online Day 2016 講演レポート

やりすぎてはダメ!英知法律事務所 森亮二氏が解説する「法が求める情報セキュリティ」

「やりすぎてはダメ」情報セキュリティの確立が法令違反に?

 三つめの分類は「やりすぎてはダメ」。厳密に言うと、やり過ぎというよりは、情報セキュリティを高めようとすると、他の目的を持つ法律に引っかかってしまうということだ。

 一般の事業会社の場合、以下の三つのパターンで引っかかる事がある。

従業員をシメる

 情報漏えいをふせぐためにモニタリングなど行うと、従業員のプライバシー侵害となる可能性がある。労働関係法令の違反となる可能性もある。

委託先をシメる

 独禁法(下請法)の違反になる場合がある。

委託先社員に直接指導しようとする

 労働者派遣法の違反になる場合がある。

弁護士法人英知法律事務所 森 亮二氏 Security Online Day 2016 講演資料より

 労働法の問題として、セキュリティの内規違反行為に対する懲戒処分が厳しすぎれば、無効になる点にも注意を要する。誓約書の要求も、やり方によっては違法になる。中小企業の経営者の感覚からすれば、裁判所は、労使の訴訟においては常に労働者の味方ということになる。私用メールの禁止やメール・PCのモニタリングに関しては、数多くの裁判例があるが、これもきちんとした手続きでやらないといけない。

 退職従業員に、どのように秘密保持義務や競業避止義務を課するかという問題もある。就業規則に書いても在籍中にしか効力が無いので、退職前かつ特定の機密情報に触れる前に秘密保持について一筆入れてもらうのがいいだろうと言われている。

 次に独禁法の問題だが、委託先の監督は必要で、個人情報保護法第22条の安全管理措置にも「必要である」と書かれている。しかし委託先にセキュリティ強化を求める際の費用負担や、セキュリティの懸念を理由として業務委託契約を解除するということになると、独禁法上の問題が起きてくる。

 たとえば委託先への監視カメラ設置要求を費用負担と共に求めると、下請代金の減額や物の強制購入にあたるのではないかとかいう話になる。

 これははっきりした解のない話ではあるのだが、森氏の意見は「通常レベルのセキュリティを求める要求は許されるのではないか」というものだ。

 最後は労働者派遣法だが、「常駐する委託先の社員に対して、セキュリティに関する教育訓練をすることは可能か」という問題がある。これは偽装請負との関係で問題がある。

 委託・請負では、必ず雇用関係のある元の会社が委託先従業員に対してケアをする。「発注者側はその人を触らない」というのが原則だ。触っていいのは、委託・請負ではなく派遣で来ている場合だけになる。

 「やりすぎてはダメ」の問題の一環として、セキュリティのプロに固有の問題がある。情報セキュリティを高めようとして、様々な取り組みをすることが、通信の秘密の侵害、著作権の侵害、不正アクセス禁止法違反になる可能性がある。

 まず通信の秘密の侵害の問題だが、セキュリティと通信の秘密に関しては、様々なガイドラインがある。たとえば総務省の「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」の取りまとめとか、それを事業者側でまとめたガイドラインなどだ。

 ここでは、必要とされるセキュリティ対策が外形上、通信の秘密の侵害にあたる場合の考え方を整理している。外形上は通信の秘密の侵害に当たるが、必要で、相当な対策であれば、適法に実施できる場合があるということを説明している。

 たとえばDNSAmp攻撃に対して、ネットワーク事業者はパケットの様子を見る事で、攻撃を防止することができるか、という問題がある。これは外形上、通信の秘密の侵害にはあたるが、違法性阻却事由の中の正当行為として違法ではなくなると整理されている。

 二番目は著作権侵害。マルウェアの解析をする際、少なくともコードの複製は必ず行われている。それが「著作権侵害なのではないか」という話だ。

 マルウェアに限らずリバースエンジニアリング全般の適法性の問題として、議論されているのだが、著作権の権利制限について権利者側は非常に嫌がるので未解決の問題となっている。しかしマルウェア解析は堂々と行われていて、だれも文句を言う人もいないので、問題意識としては低い。日本の著作権法にも米国流の一般的なフェアユース規定を入れればいいのではないかという話も出ている。それが正しい方向だと思う。

 最後に、不正アクセス禁止法が禁止する不正アクセス罪についても、そのせいで対策ができないのではないかといわれている。この法律が禁止しているのは、コンピュータネットワークに接続されているコンピュータに対して行われる不正なアクセスだ。

 システムの脆弱性などを調べるなどのため、他人のID、パスワードを入力して使えるようにすると形式的には、本罪の違反になることがある。この問題は未解決であり、問題意識としても重要な論点だ。通信の秘密のように、不正アクセスについても所管する警察などが検討して、適法に必要なセキュリティ対策ができるガイドラインを整理すべきではないか。

 最後に森氏は、「本日ご紹介した3分類を使って、自社の事業運営に関係のある法令を整理して、法の求めるセキュリティを実現していただきたい」と述べ、講演を終えた。

PREV

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Day 2016 講演レポート 連載記事一覧

もっと読む

この記事の著者

久原 秀夫(クハラ ヒデオ)

フリーランス/ITライター

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/8575 2016/12/02 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    “ベテランの勘”をAIで再現──2024年問題の先を見越したアスクルの長期的な物流プロセス変革 NEW
  2. 2
    企業独自の生成AI活用は「RAG」が高いハードルに、Oracleが狙う“一元化”は金の鉱脈になるか NEW
  3. 3
    防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点
  4. 4
    手作業のExcel運用が脆弱性の落とし穴……エンドポイントを確実に守るための鍵は“一元化と可視化” NEW
  5. 5
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  6. 6
    20年以上使い込んだ基幹システム脱却でライオンの変革の土台整う 「ずっとやりたかった」ことに挑戦へ NEW
  7. 7
    IT資産の弱点を徹底的に守るには Mandiantが考える「アタックサーフェス管理」の選び方と活用法 NEW
  8. 8
    LockBitの摘発、国防総省やCISAにいた専門家はどう見る 今グローバルで何が起こっているのか
  9. 9
    日清食品HDの情シスに15年ぶりの新卒!CIO成田氏が滋賀大・河本ゼミ出身のルーキーに熱い期待寄せる
  10. 10
    ガートナーに聞くベンダーからの値上げ要求への対応──「ライセンス棚卸し」と「半年前からの交渉」が鍵
  1. 1
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  2. 2
    2024年の「生成AI」活用の成否は“検索”にあり キーワードは検索エンジン×生成AI
  3. 3
    塩野義製薬のデータサイエンス戦略と実践──データ駆動で目指すヘルスケアの未来
  4. 4
    大和ハウス工業がBIM導入率100%の先に描く“建設の民主化”「まだDXの“氷山の一角”に過ぎない」
  5. 5
    生成AIの爆発的な注目を経て「PoC実施中」が最多か KyndrylのAIリーダーが動向を分析
  6. 6
    選考委員と読み解く『情報セキュリティ10大脅威 2024』CIO/CISOが意識すべきポイントとは
  7. 7
    塩野義製薬が「HaaS」企業への変革で重視する“外部パートナーとの協創” 下準備としてID管理に着手
  8. 8
    変革のためには“良い土壌”を整えることから──J.フロント リテイリング野村氏が奮闘した2年の成果
  9. 9
    「2年で生成AIを日常業務に浸透させる」 サッポログループが実践する“社員に使ってもらう”ための戦略
  10. 10
    「工場セキュリティ」強化に立ち上がる──資生堂を中心とした10社の実務者が“平時の訓練”を提言

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    “ベテランの勘”をAIで再現──2024年問題の先を見越したアスクルの長期的な物流プロセス変革 NEW
  2. 2
    企業独自の生成AI活用は「RAG」が高いハードルに、Oracleが狙う“一元化”は金の鉱脈になるか NEW
  3. 3
    防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点
  4. 4
    手作業のExcel運用が脆弱性の落とし穴……エンドポイントを確実に守るための鍵は“一元化と可視化” NEW
  5. 5
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  6. 6
    20年以上使い込んだ基幹システム脱却でライオンの変革の土台整う 「ずっとやりたかった」ことに挑戦へ NEW
  7. 7
    IT資産の弱点を徹底的に守るには Mandiantが考える「アタックサーフェス管理」の選び方と活用法 NEW
  8. 8
    LockBitの摘発、国防総省やCISAにいた専門家はどう見る 今グローバルで何が起こっているのか
  9. 9
    日清食品HDの情シスに15年ぶりの新卒!CIO成田氏が滋賀大・河本ゼミ出身のルーキーに熱い期待寄せる
  10. 10
    ガートナーに聞くベンダーからの値上げ要求への対応──「ライセンス棚卸し」と「半年前からの交渉」が鍵
  1. 1
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  2. 2
    2024年の「生成AI」活用の成否は“検索”にあり キーワードは検索エンジン×生成AI
  3. 3
    塩野義製薬のデータサイエンス戦略と実践──データ駆動で目指すヘルスケアの未来
  4. 4
    大和ハウス工業がBIM導入率100%の先に描く“建設の民主化”「まだDXの“氷山の一角”に過ぎない」
  5. 5
    生成AIの爆発的な注目を経て「PoC実施中」が最多か KyndrylのAIリーダーが動向を分析
  6. 6
    選考委員と読み解く『情報セキュリティ10大脅威 2024』CIO/CISOが意識すべきポイントとは
  7. 7
    塩野義製薬が「HaaS」企業への変革で重視する“外部パートナーとの協創” 下準備としてID管理に着手
  8. 8
    変革のためには“良い土壌”を整えることから──J.フロント リテイリング野村氏が奮闘した2年の成果
  9. 9
    「2年で生成AIを日常業務に浸透させる」 サッポログループが実践する“社員に使ってもらう”ための戦略
  10. 10
    「工場セキュリティ」強化に立ち上がる──資生堂を中心とした10社の実務者が“平時の訓練”を提言