Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
法律とITが仲違いしないための問題意識/OWASP_Kansai_20180218-LT01
Search
OWASP Kansai
February 21, 2018
Research
1
770
法律とITが仲違いしないための問題意識/OWASP_Kansai_20180218-LT01
「OWASP Kansai x IoTSecJP ~今こそ語り合おうIoTセキュリティ~」にて弁護士 伊藤 太一さんより発表頂いたプレゼンテーションです。
OWASP Kansai
February 21, 2018
Tweet
Share
More Decks by OWASP Kansai
See All by OWASP Kansai
OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜/OWASPKansai_10thanniv_240921
owaspkansai
0
64
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
430
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
1.1k
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
370
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
owaspkansai
0
990
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
470
OWASP_Kansai_LT3_211124.pdf
owaspkansai
0
190
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
owaspkansai
0
250
WordPressセキュリティハンズオン事前準備マニュアル/OWASPKansaiNagoya_WP1_190929
owaspkansai
2
400
Other Decks in Research
See All in Research
When Submarine Cables Go Dark: Examining the Web Services Resilience Amid Global Internet Disruptions
irvin
0
210
A multimodal data fusion model for accurate and interpretable urban land use mapping with uncertainty analysis
satai
3
220
利用シーンを意識した推薦システム〜SpotifyとAmazonの事例から〜
kuri8ive
1
200
3D Gaussian Splattingによる高効率な新規視点合成技術とその応用
muskie82
5
2.6k
ことばの意味を計算するしくみ
verypluming
11
2.6k
作業記憶の発達的特性が言語獲得の臨界期を形成する(NLP2025)
chemical_tree
2
610
研究テーマのデザインと研究遂行の方法論
hisashiishihara
5
1.4k
SSII2025 [TS3] 医工連携における画像情報学研究
ssii
PRO
2
1.2k
ストレス計測方法の確立に向けたマルチモーダルデータの活用
yurikomium
0
590
Vision And Languageモデルにおける異なるドメインでの継続事前学習が性能に与える影響の検証 / YANS2024
sansan_randd
1
110
Computational OT #4 - Gradient flow and diffusion models
gpeyre
0
300
SatCLIP: Global, General-Purpose Location Embeddings with Satellite Imagery
satai
3
210
Featured
See All Featured
StorybookのUI Testing Handbookを読んだ
zakiyama
30
5.8k
The Power of CSS Pseudo Elements
geoffreycrofte
77
5.8k
KATA
mclloyd
29
14k
Build The Right Thing And Hit Your Dates
maggiecrowley
36
2.8k
Optimizing for Happiness
mojombo
379
70k
Building a Modern Day E-commerce SEO Strategy
aleyda
42
7.3k
Embracing the Ebb and Flow
colly
86
4.7k
Building a Scalable Design System with Sketch
lauravandoore
462
33k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
667
120k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
Unsuck your backbone
ammeep
671
58k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Transcript
法律とITが仲違いしないための問題意識 弁護士 伊藤太一
About Me • 名前 伊 藤 太 一 • 資格
弁護士法人淀屋橋・山上合同弁護 士(大阪地方裁判所裁判所事務官) – 現在,2年縛りで弁護士職務経験中。来年4 月からは裁判官に戻る予定(大阪地裁・札幌 地裁・次はどこ?) • 趣味 献血(今日で76回)
About Me • こんなのやってました – ITシステム開発のユーザーvsベンダーの訴訟 – Google先生への検索結果削除命令 – その他一般的な民事事件・強制執行事件・破
産事件などなど
• Tech と Legal – おまえらLegalはいつもTechの足を引っ張って 文句ばっかりつけやがって…なんだよ,••法的 にだいじょうぶなのとか,損害賠償されないんだ ろうなとか,知るか! –
弁護士からの内容証明偉そう,なにこれ ←ごめんなさい。でも,中の人はいい人なんです。 私みたいに – Legal好きな人・・・・・・いたら嬉しい
• 結論 –法的責任に備え,Techのためにも 常識的なガイドラインをLegalと手 を取り合って作ろう!
• 法的判断のインパクト – 裁判所が法律以外の分野で「これ違法」と 言っちゃう→言わざるを得ないときがある – 業界大パニック?パニックになっている間に 後続訴訟→波及効 – 技術的な側面は法で免責するのが難しい
• 損害賠償を一例に考える – 民法709条 • 故意又は過失 • 権利侵害 • 損害
• 因果関係 行為責任主義! NOT 結果責任!
• IoT時代のセキュリティ上の損害賠償問題 – 行為者の特定できるの?? – 故意又は過失っていわれても…… – 個々の損害って??
• 故意又は過失って?? – 故意に情報漏洩させるのはともかくとして… – どの程度のセキュリティを保てばいいの?? – ユーザーのセキュリティ管理責任は??
• 裁判例のご紹介 – ECサイトの開発を委託した。 – セキュリティについて特に取り決めなし – SQLインジェクション攻撃で情報流出 – クレカ情報は暗号化されずに保存されていた
SQL対策不備でベンダーの責任肯定 東京地判平成26年1月23日
• SQLインジェクション対策を求められた 理由 – セキュリティ対策は,「黙示の合意」 被告は,平成21年2月4日に本件システム発注契約を締結して本件 システムの発注を受けたのであるから,その当時の技術水準に沿っ たセキュリティ対策を施したプログラ厶を提供することが黙示的に合 意されていたと認められる。
• 当時の技術水準に沿ったセキュリティ対 策って?? – IPAの注意喚起 – 経産省の注意喚起
• SQLインジェクション – IPAも経産省も対策を喚起していた • クレジットカード情報の非保存・削除又 は暗号化システム – IPAも「望ましい」としていた程度 SQLインジェクションのみが債務不履行に
• 問題点 – IPA等のガイドラインがどこまで規範性を 持つか? – IPAの「望ましい」って,本当に「望まし い」なんていう優しいレベル? – そもそもIoT時代にセキュリティの法的責
任に耐えうるガイドラインが作られるのか?
• OWASP TOP10えぇやん
• ユーザーとメーカーのセキュリティ管理 責任は?? – メーカーがセキュリティパッチを公開 – ユーザーが特に対策を取らない – アップデートを自動化?新たな脆弱性?
• スマホでさえアップデートに鈍感 • IoTデバイスのセキュリティ管理はどこま でやれば免責されるのか??全自動アップ デートを取ることで生じる問題点は? • ゼロデイなんてどこまでいっても無理?
• 管理できないコンシューマー向けデバイ スについて法的責任を免責できるの? • IoTデバイスのセキュリティチェックの費 用対効果→お安い予算,お高い penetration test
• 行為者・行為の特定 – ユーザーからして,自分の情報がどこから流 出したかなんてわかるの?? – ハードの問題?ソフトの問題??事後対策の 問題??? – 誰が悪いんだよ!
共同不法行為の理論が再燃する?
• 損害 – 情報流出の損害って何だ? – ベネッセ最高裁判決 • 個人情報(プライバシー情報)は法的保護に値す るので流出でプライバシーを侵害されている。
• プライバシー侵害=損害? 上記のプライバシーの侵害による上告人の精神的損害の有無及び その程度等について十分に審理することなく、不快感等を超える損 害の発生についての主張、立証がされていないということのみから 直ちに上告人の請求を棄却すべきものとしたものである。そうすると、 原審の判断には、不法行為における損害に関する法令の解釈適用 を誤った結果、上記の点について審理を尽くさなかった違法がある といわざるを得ない。 大阪高裁の判断待ち。
• まとめ – IoT時代のセキュリティガイドラインはどう やって作るべきか? • 公??民?? • 報告書?GitHub? –
セキュリティ対策はどこまで取ればいいの か?
• まとめ – 誰が法的責任を負うのか?IoT業界は一蓮托 生か? – 損害とは何だ? 法律家とエンジニアの感覚をまとめ上げる必要性あり! Legal と
Techで手を取り合って何か作ろう! 判決が出てからでは遅い!