Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
法律とITが仲違いしないための問題意識/OWASP_Kansai_20180218-LT01
Search
OWASP Kansai
February 21, 2018
Research
810
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
法律とITが仲違いしないための問題意識/OWASP_Kansai_20180218-LT01
「OWASP Kansai x IoTSecJP ~今こそ語り合おうIoTセキュリティ~」にて弁護士 伊藤 太一さんより発表頂いたプレゼンテーションです。
OWASP Kansai
February 21, 2018
More Decks by OWASP Kansai
See All by OWASP Kansai
owaspkansaiday-lt1-260214
owaspkansai
0
35
OWASP KansaiDAY 2025.09_文系OSINTハンズオン
owaspkansai
0
150
OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜/OWASPKansai_10thanniv_240921
owaspkansai
0
140
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
690
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
1.6k
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
450
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
owaspkansai
0
1.1k
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
610
OWASP_Kansai_LT3_211124.pdf
owaspkansai
0
260
Other Decks in Research
See All in Research
(SIGQS17) Frasco-VS:フラグメントに基づく薬剤候補化合物選抜の量子アニーリングによる実現
keisukeyanagisawa
PRO
0
150
AIを叩き台として、 「検証」から「共創」へと進化するリサーチ
mela_dayo
0
300
[BlackHatAsia2026] Hidden Telemetry: Uncovering TraceLogging ETW Providers You're Not Using (Yet)
asuna_jp
1
570
オーストリア流 都市の公共交通サービス水準評価@公共交通オープンデータ最前線2026
trafficbrain
0
200
NLP colloquium: AI Safety Survey
kanekomasahiro
0
810
SOTAのさらに先へ:厳しい推論制約下での高性能モデルのPost-Training
analokmaus
0
1.3k
Anthropic が提案する LLM の内部状態を自然言語で説明可能にした Natural Language Autoencoders / Natural Language Autoencoders Produce Unsupervised Explanations of LLM Activations
shunk031
0
140
羽田新ルート運用6年の検証
1manken
0
170
Using our influence and power for patient safety
helenbevan
0
370
SAKURAONE:An Open Ethernet-based AI HPC System And Its Observed Workload Dynamicsin a Single-Tenant LLM Development Environment
yuukit
1
420
CVPR2026論文紹介_VLMにとって良いvision encoderとは何か?Rethinking Model Selection in VLM Through the Lens of Gromov-Wasserstein Distance
kobayashi31
1
160
IA for theory
gpeyre
0
240
Featured
See All Featured
We Have a Design System, Now What?
morganepeng
55
8.2k
How to audit for AI Accessibility on your Front & Back End
davetheseo
0
460
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
davidcarrasco
3
180
KATA
mclloyd
PRO
35
15k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
11k
AI Search: Where Are We & What Can We Do About It?
aleyda
0
7.7k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.9k
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
helenjbeal
1
250
WCS-LA-2024
lcolladotor
0
670
Unsuck your backbone
ammeep
672
58k
Evolving SEO for Evolving Search Engines
ryanjones
0
230
Side Projects
sachag
455
43k
Transcript
法律とITが仲違いしないための問題意識 弁護士 伊藤太一
About Me • 名前 伊 藤 太 一 • 資格
弁護士法人淀屋橋・山上合同弁護 士(大阪地方裁判所裁判所事務官) – 現在,2年縛りで弁護士職務経験中。来年4 月からは裁判官に戻る予定(大阪地裁・札幌 地裁・次はどこ?) • 趣味 献血(今日で76回)
About Me • こんなのやってました – ITシステム開発のユーザーvsベンダーの訴訟 – Google先生への検索結果削除命令 – その他一般的な民事事件・強制執行事件・破
産事件などなど
• Tech と Legal – おまえらLegalはいつもTechの足を引っ張って 文句ばっかりつけやがって…なんだよ,••法的 にだいじょうぶなのとか,損害賠償されないんだ ろうなとか,知るか! –
弁護士からの内容証明偉そう,なにこれ ←ごめんなさい。でも,中の人はいい人なんです。 私みたいに – Legal好きな人・・・・・・いたら嬉しい
• 結論 –法的責任に備え,Techのためにも 常識的なガイドラインをLegalと手 を取り合って作ろう!
• 法的判断のインパクト – 裁判所が法律以外の分野で「これ違法」と 言っちゃう→言わざるを得ないときがある – 業界大パニック?パニックになっている間に 後続訴訟→波及効 – 技術的な側面は法で免責するのが難しい
• 損害賠償を一例に考える – 民法709条 • 故意又は過失 • 権利侵害 • 損害
• 因果関係 行為責任主義! NOT 結果責任!
• IoT時代のセキュリティ上の損害賠償問題 – 行為者の特定できるの?? – 故意又は過失っていわれても…… – 個々の損害って??
• 故意又は過失って?? – 故意に情報漏洩させるのはともかくとして… – どの程度のセキュリティを保てばいいの?? – ユーザーのセキュリティ管理責任は??
• 裁判例のご紹介 – ECサイトの開発を委託した。 – セキュリティについて特に取り決めなし – SQLインジェクション攻撃で情報流出 – クレカ情報は暗号化されずに保存されていた
SQL対策不備でベンダーの責任肯定 東京地判平成26年1月23日
• SQLインジェクション対策を求められた 理由 – セキュリティ対策は,「黙示の合意」 被告は,平成21年2月4日に本件システム発注契約を締結して本件 システムの発注を受けたのであるから,その当時の技術水準に沿っ たセキュリティ対策を施したプログラ厶を提供することが黙示的に合 意されていたと認められる。
• 当時の技術水準に沿ったセキュリティ対 策って?? – IPAの注意喚起 – 経産省の注意喚起
• SQLインジェクション – IPAも経産省も対策を喚起していた • クレジットカード情報の非保存・削除又 は暗号化システム – IPAも「望ましい」としていた程度 SQLインジェクションのみが債務不履行に
• 問題点 – IPA等のガイドラインがどこまで規範性を 持つか? – IPAの「望ましい」って,本当に「望まし い」なんていう優しいレベル? – そもそもIoT時代にセキュリティの法的責
任に耐えうるガイドラインが作られるのか?
• OWASP TOP10えぇやん
• ユーザーとメーカーのセキュリティ管理 責任は?? – メーカーがセキュリティパッチを公開 – ユーザーが特に対策を取らない – アップデートを自動化?新たな脆弱性?
• スマホでさえアップデートに鈍感 • IoTデバイスのセキュリティ管理はどこま でやれば免責されるのか??全自動アップ デートを取ることで生じる問題点は? • ゼロデイなんてどこまでいっても無理?
• 管理できないコンシューマー向けデバイ スについて法的責任を免責できるの? • IoTデバイスのセキュリティチェックの費 用対効果→お安い予算,お高い penetration test
• 行為者・行為の特定 – ユーザーからして,自分の情報がどこから流 出したかなんてわかるの?? – ハードの問題?ソフトの問題??事後対策の 問題??? – 誰が悪いんだよ!
共同不法行為の理論が再燃する?
• 損害 – 情報流出の損害って何だ? – ベネッセ最高裁判決 • 個人情報(プライバシー情報)は法的保護に値す るので流出でプライバシーを侵害されている。
• プライバシー侵害=損害? 上記のプライバシーの侵害による上告人の精神的損害の有無及び その程度等について十分に審理することなく、不快感等を超える損 害の発生についての主張、立証がされていないということのみから 直ちに上告人の請求を棄却すべきものとしたものである。そうすると、 原審の判断には、不法行為における損害に関する法令の解釈適用 を誤った結果、上記の点について審理を尽くさなかった違法がある といわざるを得ない。 大阪高裁の判断待ち。
• まとめ – IoT時代のセキュリティガイドラインはどう やって作るべきか? • 公??民?? • 報告書?GitHub? –
セキュリティ対策はどこまで取ればいいの か?
• まとめ – 誰が法的責任を負うのか?IoT業界は一蓮托 生か? – 損害とは何だ? 法律家とエンジニアの感覚をまとめ上げる必要性あり! Legal と
Techで手を取り合って何か作ろう! 判決が出てからでは遅い!