最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

  　 Last Updated: Febuary 21,2022 　去る4月12日付で経済産業省は、電話勧誘販売業者に対し、特定商取引法違反を理由として、4か月間の業務の一部停止を命じた。この行政処分についての詳しい内容は、同省のサイト（過去の新着情報）で確認されたいが、その違法性の内容は、①不実告知、②再勧誘、③迷惑勧誘、④重要事項の不告知、⑤氏名等の不明示である。これで４か月の一部業務停止とはいかがかと考えるが、いずれにしてもわが国のスパム（「迷惑メール」と訳されている）規制は 「特定商取引に関する法律」(昭和51年6月4日法律第57号） （経済産業省所管）および 「特定電子メールの送信の適正化等に関する法律」(平成14年4月17日法律第26号) （総務省所管）の2法によって行われている。 （筆者注1） 　一方、米国のスパム規制の現状は、4月6日に連邦取引委員会（FTC）とカリフォルニア州司法長官（Attorney General）は 連邦法および州法に違反して数百万件のスパムメールを送った企業4社（Optin Global, Inc., Vision Media Limited Corp., Qing Kuang “Rick” Yang, and Peonie Pui Ting Chen)に対し 最終判決及び恒久差止命令（STIPULATION FOR ENTRY OF　FINAL JUDGMENT AND　PERMANENT INJUNCTION ） を下した。 　また、今回の裁定 (筆者注2) は、政府機関が一定の簿記内容や記録管理の法令遵守状況のモニタリングを認める内容となっている。 　一方、カリフォルニア北部地区連邦地裁はFTCと司法長官の要請に応じて今後のスパム行為の停止と被告の資産の凍結を命じるとともに、240万ドル（約2億8千万円）の支払命令を下した（実際は、現金38万5千ドルと不動産の売却資金9万ドルの支払いで一時的に支払いは中断延期される。ただし、裁判所は仮に被告の財務状態に虚偽があれば直ちに240万ドルの支払いを強制することになる）。 　スパムメールの内容は、住宅ローン、その他の製品やサービスであり、同社は180万通のスパムメールを発信していたもので、連邦取締法である「CAN-SPAM Act」に関し以下の通りの違反行為があった旨...

  　 Last Updated :Febuary 21，2022 　4月20日に  SANS 研究所(sans institute) (筆者注1) のヨハネス・ウーリッヒ(Johannes Ullrich)は、顧客がオンラインバンキングのログイン時に、ブラウザのセキュリティ(HTTPSページの使用の徹底)のもっと関心を持たせるべきであり、そのような銀行の工夫例を紹介している。 Johannes Ullrich氏 　なお、わが国の大手銀行等のインターネット・バンキングのログイン画面を見る限り、HTTPS化されているが、ウェブブラウザで怪しいと感じたときはロックアイコンのクリックを顧客に求めている例も一部あり、後者につきさらに徹底して欲しいものである。 １．オンライン・バンキングで「ログイン」や「サインイン」時に顧客は本当に銀行のセンターに接続されているか否かにつき、疑いをもつであろうか。確かにそれらの入力情報はDNS  (筆者注2) において暗号化されるであろうが、ウェブ自体が真正なものであるかの判断は顧客がリスクを負うのである。 　　ハッカーは、HTTPSを使用していない銀行のウェブの接続上の脆弱性を狙って、「DNSなりすまし詐欺(DNS spoofing)」と言う手口を使ってウェブブラウザへの入力情報を偽のウェブサイトにリンクさせるのである（最終的には機微情報の入手によるなりすまし詐欺に悪用する）。この手口は技術的に高度なレベルのハッカーにとっては、phishingよりも容易であるともいえる。 ２．ウーリッヒ氏は、米国の銀行がなぜログイン時にSSL認証を利用しないのかを調べるため、多くの銀行のサイトを実際調べた結果、大手銀行ではSSL認証を導入しているが、一方でSSL認証をオプションにしている銀行もある。 （筆者注3） ３．オンライン上での顧客情報保護に関して、独自のセキュリティ対策を採っているのが、Bank of America である。同行のホームページでのログイン時にまず「オンラインID」のみ入力する。次画面で「SiteKey」が表示され、顧客はその確認後「Passcode」を入力するのである。 (筆者注4) ************************************************************...

  　 　「詐欺は進化する」現在世界中のインターネット・ユーザーやベンダー企業に被害を与えているphishingのフリーダイヤル版がオーストリア（同国では、toll free電話の場合、頭に1800がつく。）で現われた。インターネットを介するphishing対策（疑わしいURLの見つけ方など）にユーザーが慣れてきたとたんに、新たな手口が出てきた。ただし、基本的な手口は金融機関の顧客を対象とし、機微性の高い個人情報を盗むことや、銀行との接続状態を信じる顧客心理を悪用している点に共通性がある。この手口を発見したのはセキュリティ専門会社の「SurfControl」であり、被害者はチェイス銀行の顧客である。以下、その手口を紹介する。 １．詐欺師は、まず偽の氏名や連絡先を使って無料電話番号を入手する。この番号は正規のチェイス銀行の無料電話番号と同じである。 ２．顧客がこの電話に掛けるとチェイス銀行の録音メッセージの挨拶が始まる。SurfControlは手口を調べるため詐欺師に次のような偽の情報を提供した。両者のやり取りは以下の通りである。 詐欺師：チェイス銀行口座確認サービスをご利用いただきありがとうございます。 はじめに16桁のクレジットカード番号を入力してください。 顧客（SurfControl）：「無効」な16桁のクレジットカード番号を入力する。 詐欺師：16桁のクレジットカード番号を入力してください。 顧客：「有効」な16桁のカード番号を入力する。 詐欺師：カードの有効期限を月年の順に入力してください。 顧客：4桁の有効期限を入力する。 詐欺師：カードの第一次保有者の社会保障番号を入力してください。 顧客：4桁を入力。 詐欺師：ただいま処理中です。少々お待ちください。 ありがとうございます。お客様の口座確認は終わりました。 　以上のやり取りを読んで直ちにおかしいと思うであろう。銀行が顧客機微情報をemailや電話で確認することは行わないとことが徹底されて入れば、被害は広がらないと思うのであるが。 **************************************************************************** Copyright ＠2006 芦田勝(Masaru Ashida ).　All rights reserved....

  Last Updated:March 12, 2021 　英国のロンドン大学の情報システム学部教授のイアン・エンジェル教授（Professor Ian Engell） (筆者注1) は、英国が現在取り組んでいる電子政府のあり方について次のような批判を行っている。なお、同教授の専門分野は、組織化された国家によるIT政策、すなわち①戦略的情報システム、②コンピュータとリスク（発生の機会と危険度の両面から見た）問題、とりわけすべての「 社会技術システム(socio-technical systems:STS) 」 (筆者注2) および急激な国際的なインフラの拡散に伴う組織のセキュリティへの脅威等である。 Professor Ian Engell 　一方、大手通信事業者であるNortelヨーロッパは政府システムと民間システム互換性（アクセスの効率性が優先する）を重視すべき点を強調している。ここで議論されているのは、本年3月30日に成立した「国民IDカード法案」の問題（ 筆者注3） と共通性があることである。協調されている点は、技術万能でないIT社会のあり方であり、またIT社会における民と官のシステムの相互運用性の是非の問題であり、自ずからわが国の電子政府について取り組む上で配慮すべき意見として紹介する。 1.同教授の意見 　英国の電子政府は機能面で見れば５つ星であるかもしれないが、わが国の国民の20%にとっては機能面では盲人と同じである。公務員の教育によってコンピュータ処理のレベルが自動的に向上し、特に公的サービスをオンライン化することで対面サービス職員を削減できるとする考えは、明らかにおろかな考えである。 　経済性を重視したこの舵取りは、行政窓口で国民と接する立場にある公務員の労働権を奪うことになる。今、政府が押し進めているのは技術的に窓口事務が円滑に行えない担当職員を解雇して人件費削減を行おうとしているが、それは民主的ではなく、まったく反対の政策である。 ２．英国の電気通信事業者であるNortelヨーロッパ(Nortel European)の代表者であるピーター・ケリー(Peter Kelly)の反論 　政府のe-Governmentを通じ、新パスポート(Epassport)やNHS Direct　online（24時間年中無休で医療に関する質問、医...

  Last Updated:March 12,2021 　米国は従来、EU各国と異なり国家レベルの法律に基づく身分証明書の考え方を強く否定してきた。1936年に収入を記録し、それに応じた社会保障給付が受けられ、雇用者が従業員に関するそれらの事務を管理するための識別キーとしてSSN（社会保障番号）カードが発行されたのがSSNの始まりである。このような限定された目的が、その後連邦や州の機関へ利用が拡大し、1970年代の急速なコンピュータ処理化と相俟って9桁の数字がまさに個人識別番号として、明確な利用制限等についての法律的根拠を持たないまま拡大したのである。その後も不法就労、低所得者医療扶助、福祉詐欺の防止、婚姻許可、死亡証明等多くの公共・行政分野への広がりを見せている。 　これと平行して、民間部門の利用制限は連邦法による利用制限がなかったことから、コンピュータ技術を活用した膨大な個人情報の収集をもとにデータ・ブローカー(実態は信用情報業者の場合がほとんどである)による検索・照合サービスのキーとしての利用が進んだのである。　 　しかし、一方でSSNなどの個人情報を違法に入手し、偽名、偽造文書の作成、金融取引の悪用等なりすまし詐欺（Identity Theft）被害の問題が大きな社会問題となってきつつあった。このような中、2001年9月11日国際テロ事件が起き、改めて市民・非市民の区別の明確化（移民問題）、出生証明や雇用管理におけるSSNの管理システムの強化が図られることとなり、SSNとなりすまし対策に関する法案もこの数年間で連邦議会に毎回のように提案されており、他方で州ベースではSSNの利用制限立法が多くなってきている点も見逃せない。 (筆者注1) 　このような中で、2005年1月26日下院議会F .James Sensenbrenner Jr.氏は、 「REAL ID Act of 2005(H.R.418)」 法案を上程した。   F .James Sensenbrenner Jr.氏 法案H.R.418の連邦議会の法案管理サイト(Congress. Gov.) (https://www.congress.gov/bill/109th-congress/house-bill/418)や 法案追跡サイト(Govtrack) (ht...

  Last Updated(青字部): March 12,2021 　米国の第109回連邦議会はpretexting行為の禁止をめぐる法案が上院・下院で合わせて5本上程されるという状況にあり、3月上旬の下院委員会での採択に続き、上院委員会で法案が審議、可決された。 　3月31日に連邦議会上院の「商業・科学・運輸委員会（The Commerce , Science and Transportation Committee）」は、本人の文書よる事前の同意なしの「pretexting」行為（通話記録の入手、使用および販売行為）を禁止する法案「Consumer Telephone Records Protection Act of 2006（S.2178）」を採択した。 (筆者注1) 　この「pretexting」行為は、米国では金融制度改革法である「1999年グラム・リーチ・ブライリー法」 (筆者注2) において金融機関の取引個人情報保護についてのみ定められていたものを、固定電話や携帯電話等における通話記録にまで拡大したもので、ジョージ・アレン上院議員（バージニア州選出：民主党）やテッド・スチーブンス上院商務委員会委員長が中心となって立法化に取り組んでいたものである。 　主な内容は次のとおりである。 (1)第109回議会に上程された法案（S. 2389: Protecting Consumer Phone Records Act）の修正法案で、①固定電話(wireline)、②携帯、③Voipサービス提供者等の音声通信事業者に対し、本人の書面による同意・許可なしに第三者が通話記録を入手した場合、顧客に通知義務を課すものである。これに関し、同法案はグラム・リーチ・ブライリー法の場合と同様、連邦通信委員会(FCC)に通話記録に関する新規則の制定を命じる。 (2)データ・ブローカーに対し、FCCが従前行っていた事前調査通知の省略を認め、FCCが罰金を科す手続きを効率化する。 (3)罰則の内容は、違法に通信記録を入手又は販売する行為等に対し民事訴訟を認め、１記録当り11,000ドル(約127万6千円)、最大1,100万ドル(約12億7,600万円)の罰金を定める。 (4)FCC自体に、継続的違反者に対し、各違反行為につき3万ドル(約348万円)、最大300万ドル(約3...

 　2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 （筆者注1） が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。 　2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 （筆者注2） を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 （筆者注3） １．IDカード購入の「オプト・アウト権」 　上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月（英国の総選挙で労働党政権の存続確定時）まではパスポートの申込み時のIDカードの同時購入は任意となった。 ２．2010年1月以降のカード購入の義務化 　約93ポンド （筆者注4） でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip （筆者注5） に格納され生体認証情報は政府の登録情報データベース （筆者注6） にも登録されることになる。 ******************************************************: （筆者注1） 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf （筆者注2） 生体認証の指紋や虹彩については、法案のスケジュール（scheduleとは，英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け，それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの）...