最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

  ２．“Do Not Track Mechanism”とは 　2010年9月20日付けの “Entropy”  は“Do Not Track”(DNT)について決して簡単ではないが、次のような比較的分かりやすい説明を行っている。 (1)DNTは “Do Not Call registry” と類似しかつその考えは似ている。しかし、その実現方法は異なる。 　当初、DNTの提案は、「ユーザー登録(registry of users approach )」や「追跡のためのドメイン登録(domain-registry approach)」という内容であったが、両者ともその仕組みが次のとおり不必要に複雑であった。 Ａ．「ユーザー登録」方式は各種の欠点があり、その１つは致命的である。すなわち、ウェブ上で使用される普遍的に認識されるユーザー識別子(user identifiers)はないということである。 　あるユーザーの追跡は、広告ネットワークが配備するクッキーを含む「その都度作成する識別メカニズム(ad-hoc identification mechanisms)」にもとづき行われる。また、世界的に共通かつ強固な識別子を強制することは、ある意味で問題解決をさらに困難にさせる。 　また、この方式はユーザーがサイトごとにDNTを設定する上での柔軟性が考慮されない。 Ｂ．「追跡のためのドメイン登録」方式は、権限中心機関(central authority)が追跡するために使用するドメインの登録を広告ネットワーク会社に強制するものである。ユーザーはこのドメイン・リストをダウンロードして、使用するブラウザ上でそのリスト先をブロックする設定する能力が与えられることとなる。 　しかし、この戦略には次のような複数の問題がある。 (ⅰ)要求される中央集権化はこの方式を移り気にさせる、(ⅱ)広告がホスト・サーバーとのコンタクトを要求した以降、広告全体をブロックせずに追跡ドメインのみをどのようにブロックするかについての方法が明確でない、また(ⅲ)この方法は消費者に一定のレベルの用心深さ－例えば、ウェブ上で入手可能なソフトウェアにもとづきドメイン・リストの更新を確実に行うことーが求められる。 (2)ヘッダー・アプローチ(header approach) 　今日、大方に意見は次のよ...

  　 米国の連邦消費者保護機関である連邦取引委員会(FTC)は、12月1日付けで消費者のオンライン・プライバシー保護すなわち「インターネットなどオンライン行動の詳細追跡情報をプロファイルし対象者を絞る新広告ビジネス(行動追跡分析型ターゲット広告事業：Behavioral Advertising)」が急速に拡大していることから、プライバシー保護面から規制をかけるべく、従来の「プライバシー・ポリシー」の問題も含め、それら実務慣行に警告を鳴らすとともに、消費者の「opt out権」を確保するための技術的な標準化に関する第2次報告書を5-0で承認、その提案内容を 公開 した（コメント期限は2011年1月31日である）。 　筆者はこの問題につき、初めはFTCのプレス・リリースを読んだ。しかし、その内容はやや抽象的であり、何をどのように変えるのかといった意図が不明であり、その扱いに苦慮していた。しかし、本ブログでもしばしば紹介する人権擁護NPO団体EFF(Electronic Frontier Foundation)等のウェブサイトで読んで今までの経緯や具体的な提言内容、関係業界が取り組むべき課題等がやっと理解できた。 　一方、冒頭で述べたこの問題につき、わが国で公開されている情報にあたってみたが、FTCのこれまでの取組み内容も含め、はっきり言ってまともなものは皆無であった。唯一、2010年5月15日付け高木浩光氏がブログ「『ライフログ活用サービス』という欺瞞」で3月の総務省主催の「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」において指摘した有識者としての意見（ネットワーク事業者のプライバシー・ポリシーの内容や“opt out”の不徹底な仕組みなど具体的な問題点）の内容を 紹介 されている。   (筆者注1) 　執筆時間の関係や技術的な説明といった 側面で十分な内容とはいえないが、今回のブログは、EFFや最近知ったブログ “33 Bits of Entropy”   (筆者注2) の解説等を中心に据えて、FTC報告の意義や今後の課題を紹介する。 　この問題についてさらに法的、技術的な点等につき最新情報を得たいと考えるならば、スタンフォード大学ロースクールの 「インターネットおよび社会問題センター(Center for Intern...

  Last Updated:April 30,2024 　11月21日 、 12月4日の本ブログ で最新動向を紹介したこの問題につき、12月15日連邦議会下院は「1993年同性愛公言禁止法(DADT Act)」の 単独廃止法案(H.R.2965-Don't k, Don't Tell Repeai Act of 2010) を可決した旨 本ブログ で紹介した。 　そこで述べたごとく12月18日に上院が 同内容の法案(S.4023) を織り込んだH.2965の修正法案(H.R. 2965)を賛成61票、反対31票、棄権4票で可決した。 (筆者注1) 　すなわち、S.4023法案自体は可決されていない。 Gov.track us から一部抜粋 　この上院での可決を受け、 オバマ大統領 、 ゲイツ国防長官 および マレン統合参謀本部議長 はそれぞれ歓迎する旨の声明を発表している。 　12月22日、オバマ大統領は同法案に署名し、同法は成立した。大統領は署名式典で、「われわれの国家は、すべての愛国者が軍務に就くことを歓迎する」と述べ、軍務規制撤廃の意義を強調した。 (筆者注2) 　しかし、下院で12月8日に賛成216、反対198で可決した“DREAM Act法案”については上院の採決では賛成55票、反対41票、棄権4票となり、共和党による議事進行妨害に対応するための60票に達せず可決しなかった。 　“DADT Act”の廃止に基づく米国軍の環境整備については本ブログでも紹介してきたとおり、DODを中心に具体的な取組みは進むものと思われるが、各軍にはそれぞれこの問題に対する独自の見解があり、最前線での対応を含め更なる課題をかかえた出発となろう。 　それ以上に大きな問題は“DREAM Act法案”であろう。まさにオバマ政権の後半の指導力が問われる問題として本ブログでフォローしたいと考える。 (筆者注3) **************************************************************************** (筆者注1)「 Don't Ask, Don't  Tel Repaea Act of 2010」の制定の背景、立法経緯、採決の詳細などについては Wikipedia  が詳細に解説しており、併...

  　 12月に米国ハーバード大学ロースクールのバークマン・センター(Harvard Law School’s Berkman Center for Internet & Society )が予算や人材等の制約等からサイバー攻撃とりわけDDoS攻撃にさらされやすい独立系メディアや人権擁護団体を保護すべく、このほど“Distributed Denial of Service Attacks Against　Independent Media and Human Rights Sites”と題する全66ページからなる報告書を 公表 した。 　筆者は、2006年に同センターが設立されて以来、検討グループ等に知り合いがおり、また随時直近の研究課題や議論のテーマ等の情報を得ている。本ブログで筆者が追いかけているサイバー犯罪問題の最重要課題の１つであるますます多様化し、また国家レベルでのDDoS攻撃が顕在化する中で社会正義の実現に向けたIT社会の課題と対処策を提言するものとして評価したい。 　今回は、細かに解析する時間がないので「要旨部分」のみ 仮訳 を掲載する。 １．我々グループの調査・研究はますます一般的なインターネット現象であり、通常短い間隔であるが時として長時間インターネットによる対話を黙らせることができる「分散型サービス妨害(DDoS)」について考えることから始めた。 　我々は独立系メディアと人権擁護団体に対するDDoS攻撃の特有の事象・特性や頻度、その有効性、攻撃下での対処策について理解すべく研究した。 　今回の同センターの報告は、DDoSによって狙われやすい独立系メディアと人権擁護サイトへ助言することが目的であるが、結果としては特にネットワーク回線容量に対する莫大なデータ攻撃(attacks that exhaust network bandwidth)等により、これらのサイトの多くにとってこれら攻撃への容易な解決策はないという不愉快な結論に至った。 ２．主要な研究課題に関し、次の４つの調査質問に対する回答を試みることから始めた。 ① 独立系メディアと人権サイトに対するDDoS攻撃はよく知られる選挙、抗議および軍事作戦の外において特にどれくらい一般的であるのか? ②独立系メディアと人権サイトに対するDDoS攻撃はどのメソッドを使用しているか? ③独...

  　 12月25日付けの 本ブログ で、米国ハーバード大学ロースクールのバークマン・センター(Harvard Law School’s Berkman Center for Internet & Society )がサイバー攻撃とりわけDDoS攻撃にさらされやすい独立系メディアや人権擁護団体を保護すべく、その脆弱性対策に関する報告をまとめた旨紹介した。 　その後、関連情報を読んでいたところセキュリティ専門解説サイト“Computerworld”が12月22日付け 記事前編 、および 後編 でこの報告を取上げ、その内容面の要約を行っていたので重複しない範囲で追加的な解説を行っておく。 　なお、同センターの活動は筆者が考えていたよりもその範囲は広い。例えば、最近、わが国でも同センターが中心となり「米国電子公共図書館(DPLA)構想始動」という記事が紹介されている。この問題についても簡単に紹介する。 １．DDoS攻撃による被害サイト数と被害内容 　最近12か月で見て、調査対象団体の62%がDDos攻撃の被害に遭い、61%で説明がつかないダウン時間(downtime)が発生した。親ウィキリークス・ハッカーグループ(pro-WikiLeaks activists)が行うDDoS攻撃は、数百、数千または数万台のPCから同時にまたはそれに近い状態で行われた。 　その攻撃目的は、サイトを運営・管理するサーバーを偽の要求情報で溢れさせたりまたは制圧することであり、その結果、被害サイト画面は真っ暗になるか、ホスト役のプロバイダーから不具合時の保護目的の別サイトに強制的に引き抜かれた。 ２．調査内容 　同センターは、2009年9月から2010年8月の12か月間について280以上の人権擁護団体や少数意見(dissent)グループに対するDDoS攻撃被害の実態について、多くがごく少数のため未報告となっていた140のメディア報告を発掘した。 また、世界中の人権擁護団体や独立系メディア45団体(調査対象団体の14%にあたる)からDDoS攻撃内容の実態について直接内容を聞いた。 　回答があった団体のほぼ3分の2(約62%)にあたるものが過去1年以内にDDoS攻撃を受けており、また61%が自身のドメインにつき説明がつかないダウン時間を経験していた。 　感染率が特に高い国は、ビルマ、...

  2.EUにおけるISPの通信記録データ保持の義務化国内法の違憲問題やEU機関への問題指摘に関する議論 (1) EUの 「通信記録データ保持指令(2006/24/EC)」 　2005年9月21日に欧州委員会はテロ対策目的での通信事業者による通信記録の保持（Data Retention）を義務付けるEU 指令案をまとめた。同案は、電気通信または通信ネットワークを提供する事業者に対し、固定電話や携帯電話の通信記録は「1年間(12か月)」、インターネット通信記録は「半年間(6か月)」の保持を義務付ける等の内容となっており、欧州委員会は、司法当局が重大犯罪やテロについて捜査を行う際に、通信記録は重要な手掛かりになるとの考えを示した。 　同案は修正の上、2005 年12 月19 日の欧州議会で可決、2006 年2 月22 日に欧州理事会で承認され、3 月15 日に「EU指令2006/24/EC」として公示された。EU 加盟各国は、18か月以内に指令内容の実施に必要な措置を講ずるよう求められることとなった。 　同指令によれば、ISP 等の通信事業者は、法人・自然人の通信・位置データ（ネットワーク参加者や登録者に関するデータも含む）の保持義務を負う。保持項目は、①発信者、②通信年月日・時刻、③通信手段、④接続時間等であり、プライバシーを守るため通信データの内容そのものの保持は求められていない。保持されたデータは、各国の国内法で定める重大犯罪につながる特定の事例において、管轄国家機関による調査、捜査、訴追を目的とした利用が可能である。 (2)ドイツの国内法の成立と連邦憲法裁判所の違憲判決 　ドイツは 、「2004年通信法(Telekommunikationsgesetz　vom 22.Juni 2004(BGBI.IS.1190)：TKG)」 において、EU 指令(2006/24/EC)を受けて、2007年12月21日 「通信の監視およびその他秘密裡捜査対策ならびに2006/24/EG指令の適用に関する法律(Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlini...

  　 Last Updated: February 19,2021   2010年12月14日、筆者の手元に米国人権擁護団体である「エレクトロニック・フロンティア・ファンデーション(Electronic Frontier Foundation：EFF)の プレス・リリース が届いた。（12月14日付けの CNETJapan がこの判決を紹介しているが、法的な意味で説明不足の感がある。） 　その内容は、初めて連邦控訴裁判所のレベルにおいて連邦捜査機関が連邦憲法修正第4  (筆者注1) に基づく裁判所の許可なくサービス・プロバイダーが保持する電子メール・データを秘密裡に押収・捜索した行為はプライバシー保護に違反するとの連邦司法上画期的判決を下したというものである。 　同時に、この裁判において果たしたEFFの役割(法廷助言者(amicus curiae：(ラテン語)アミカス・キュリエ：amicus briefともいう)の大きさとその成果を広く訴える内容である。 　わが国でも犯罪捜査におけるISPが保持する電子証拠は極めて証拠としての有用性が高いものであり、通信傍受にかかる憲法(21条（通信の自由の保障）やプライバシー権)ならびに刑事訴訟法上の問題をあらためて正面から取り上げるべき時期が来ていると考える。  (筆者注2) (筆者注3) 　また、この問題に関連し、EUの「通信記録データ保持指令(2006/24/EC)」を受けたドイツ国内立法につき、2010年3月2日に ドイツ連邦憲法裁判所(Bundesverfassungsgericht:Federal Constitution Court) は、法執行機関が活用できることを目的とする携帯電話や電子メール等の6か月間の通話記録の保持を定めた現行通信法の規定は連邦憲法に違反する可能性が高く大幅な修正を求める旨判示した。 　さらに、オーストラリアでは、1979 年 電気通信傍受法（Telecommunications (Interception) Act 1979：以下、「傍受法」）により、当局が犯罪捜査の目的で傍受を行う場合は、電話などの非蓄積通信、電子メールやボイスメールなどISPのサーバー上にある蓄積通信の如何を問わず、従来は「傍受令状（interception warrant）」と...

  　 今回は、 11月21日 、 12月4日の本ブログ で最新動向を紹介したこの問題につき、12月15日連邦議会下院は「1993年同性愛公言禁止法」の 単独廃止法案(H.R.6520:Don’t Ask Don’t Tell Repeal Act of 2010) を賛成250票(民主党235票、共和党15票)、反対175票(民主党160票、共和党15票)、棄権9(民主党5人、共和党4人)で可決した。 　今後、上院(senate)での同名の法案(S.4023)の採決に移るわけであるが、軍の大規模改革や“DREAM Act法案”といった関係法案との抱き合せ立法政策は下院では可決したものの上院では2回否決されており、ねじれ議会や保守化が進む米国において今後の2年間でこのような法案が成立する可能性は少なく、DODのリリース文によれば議会は来週から休会に入るため18日にも上院で採決しないと今会期（第111）の廃止法案は不成立となる。 　オバマ政権の公約であるこの法案の成立に向けた激しい議会内外での攻防が続くと思われる。 　なお、米国の世論はこの問題をどのように見ているであろうか。ワシントンポストとABCニュースが共同で行った 世論調査結果 では、「同性愛者やレスビアンがオープンな形で軍務につくことを認めるべきとする回答者が約8割」であった。 (筆者注1) １．「1993年同性愛公言禁止法」の 単独廃止法案(H.R.6520)の概要 本ブログで取上げてきた内容が中心ではあるが、法案そのものがDOD等の準備が出来た場合のみ現行法が廃止されるという条件付法案として特異なものであり、参考として仮訳しておく。なお、項目の立てかたがわが国の法令と異なるので、注意して読んで欲しい。 Ⅰ．法案提出者 　2010年12月14日、Patrick J.Murphy（ペンシルバニア州出、民主党：共同提案者78名）が法案提出し、下院軍事委員会(Committee on Armed Services)に付託された。 Ⅱ．法案の内容 第1条　法律の名称は「同性愛公言禁止法の2010年廃止法(Don’t Ask Don’t Tell Repeal Act of 2010)」とする。 第2条　米国軍における同性愛者に関する国防総省の政策改正 (a)合衆国現行法律集第10編第654条 (10 U.S...

  第３目標 : 市民と企業のためにサイバースペースでのセキュリティのレベルの引き上げ 　ITネットワークのセキュリティは、情報社会がよく機能するための1つの必須な要素である。これはネットワーク利用者のために信頼を築き上げて、セキュリティにおける主なコンポーネントとしてサイバー犯罪、サイバー・セキュリティ、より安全なインターネットおよびプライバシーに関連する問題を扱う最近発表した「EUデジタル化一元化によるインターネットの高速化や相互運用性による経済・社会的なメリット」  (筆者注21) で認識されている。また、新しい情報技術の急速な開発と適用は、新種の犯罪活動を作り出した。 サイバー犯罪は、EU域内市場に重大な損失を引き起こす世界的な現象である。 インターネットのまさしくその構造自体は国境を全く意識しない一方で、サイバー犯罪を遂行するための裁判権管轄は国境にまだ止まっている。 加盟国は、EUレベルでそれらの取り組みを蓄積する必要がある。 欧州警察機構の“High Tech Crime Centre”はすでに法施行のために重要な調整役を果たしているが、更なる行動が必要である。 行動1 : 法施行と司法部門の能力を引上げる。 　2013年までにEUは現体制の中で「サイバー犯罪センター」を設置するであろう。そこでは、加盟国とEU機関は国際的な協力者 (筆者注22) との調査と協力のために捜査・分析能力を構築するであろう。 同センターは、既存の犯罪予防や調査手法について評価とモニター方法を改良し、法施行と司法部門のために教育や認識の向上げの開発を支援して、「欧州ネットワークおよび情報セキュリティ機構(ENISA)」と共に協力を確立し、また国家や政府による「コンピュータ緊急対応チーム(Computer Emergency Response Teams：CERTｓ)」と連結するであろう。サイバー犯罪センターは、サイバー犯罪に対するヨーロッパの戦いにおける焦点になるべきものである。 　国家レベルでは、EU加盟国はサイバー犯罪の捜査、起訴することにおける警察、裁判官、検察官および科学捜査官の中の共通基準を確保すべきである。 　Eurojust、CEPOL  (筆者注23) およびEuropolと連携して、加盟国は2013年までに国家としてのサイバー犯罪...