Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
法律とITが仲違いしないための問題意識/OWASP_Kansai_20180218-LT01
Search
OWASP Kansai
February 21, 2018
Research
1
610
法律とITが仲違いしないための問題意識/OWASP_Kansai_20180218-LT01
「OWASP Kansai x IoTSecJP ~今こそ語り合おうIoTセキュリティ~」にて弁護士 伊藤 太一さんより発表頂いたプレゼンテーションです。
OWASP Kansai
February 21, 2018
Tweet
Share
More Decks by OWASP Kansai
See All by OWASP Kansai
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
65
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
410
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
200
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
owaspkansai
0
750
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
190
OWASP_Kansai_LT3_211124.pdf
owaspkansai
0
110
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
owaspkansai
0
170
WordPressセキュリティハンズオン事前準備マニュアル/OWASPKansaiNagoya_WP1_190929
owaspkansai
2
280
OWASP Kansai 2019.06/OWASP ASVS 4.0から思うこと
owaspkansai
0
600
Other Decks in Research
See All in Research
センサデータを活用した 肌質改善への支援システムに関する研究
comfortdesignlab
0
150
フルリモートワークでのスクラムのスケール
kmorita1111
2
1k
[Human-AI Decision Making勉強会] 説明の更新はユーザにどのような影響をもたらすか
okoso
1
180
HP (Hitto Point: 筆頭ポイント)
tanichu
0
720
一般化ランダムフォレストの理論と統計的因果推論への応用
tomoshige_n
10
1.8k
音声処理ツールキットESPnetの現在と未来
kanbayashi1125
2
540
継続的な研究費獲得のための考え方
moda0
0
200
MLtraq: Track your AI experiments at hyperspeed
micheda
1
110
生成AIを用いたText to SQLの最前線
masatoto
1
2.3k
「歴史的農業環境閲覧システム」と「迅速測図」について
wata909
1
610
3D Human Mesh Estimationについていくつかまとめてみた / Survey about 3D Human Mesh Estimation
nttcom
0
210
ICLR2024 LLMエージェントの研究動向
masatoto
6
2k
Featured
See All Featured
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
6
1.5k
Code Review Best Practice
trishagee
55
15k
The Art of Programming - Codeland 2020
erikaheidi
42
12k
Into the Great Unknown - MozCon
thekraken
10
1k
Done Done
chrislema
178
15k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
25
2.3k
Art, The Web, and Tiny UX
lynnandtonic
289
19k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
322
20k
Writing Fast Ruby
sferik
621
60k
Pencils Down: Stop Designing & Start Developing
hursman
117
11k
Atom: Resistance is Futile
akmur
259
25k
Intergalactic Javascript Robots from Outer Space
tanoku
266
26k
Transcript
法律とITが仲違いしないための問題意識 弁護士 伊藤太一
About Me • 名前 伊 藤 太 一 • 資格
弁護士法人淀屋橋・山上合同弁護 士(大阪地方裁判所裁判所事務官) – 現在,2年縛りで弁護士職務経験中。来年4 月からは裁判官に戻る予定(大阪地裁・札幌 地裁・次はどこ?) • 趣味 献血(今日で76回)
About Me • こんなのやってました – ITシステム開発のユーザーvsベンダーの訴訟 – Google先生への検索結果削除命令 – その他一般的な民事事件・強制執行事件・破
産事件などなど
• Tech と Legal – おまえらLegalはいつもTechの足を引っ張って 文句ばっかりつけやがって…なんだよ,••法的 にだいじょうぶなのとか,損害賠償されないんだ ろうなとか,知るか! –
弁護士からの内容証明偉そう,なにこれ ←ごめんなさい。でも,中の人はいい人なんです。 私みたいに – Legal好きな人・・・・・・いたら嬉しい
• 結論 –法的責任に備え,Techのためにも 常識的なガイドラインをLegalと手 を取り合って作ろう!
• 法的判断のインパクト – 裁判所が法律以外の分野で「これ違法」と 言っちゃう→言わざるを得ないときがある – 業界大パニック?パニックになっている間に 後続訴訟→波及効 – 技術的な側面は法で免責するのが難しい
• 損害賠償を一例に考える – 民法709条 • 故意又は過失 • 権利侵害 • 損害
• 因果関係 行為責任主義! NOT 結果責任!
• IoT時代のセキュリティ上の損害賠償問題 – 行為者の特定できるの?? – 故意又は過失っていわれても…… – 個々の損害って??
• 故意又は過失って?? – 故意に情報漏洩させるのはともかくとして… – どの程度のセキュリティを保てばいいの?? – ユーザーのセキュリティ管理責任は??
• 裁判例のご紹介 – ECサイトの開発を委託した。 – セキュリティについて特に取り決めなし – SQLインジェクション攻撃で情報流出 – クレカ情報は暗号化されずに保存されていた
SQL対策不備でベンダーの責任肯定 東京地判平成26年1月23日
• SQLインジェクション対策を求められた 理由 – セキュリティ対策は,「黙示の合意」 被告は,平成21年2月4日に本件システム発注契約を締結して本件 システムの発注を受けたのであるから,その当時の技術水準に沿っ たセキュリティ対策を施したプログラ厶を提供することが黙示的に合 意されていたと認められる。
• 当時の技術水準に沿ったセキュリティ対 策って?? – IPAの注意喚起 – 経産省の注意喚起
• SQLインジェクション – IPAも経産省も対策を喚起していた • クレジットカード情報の非保存・削除又 は暗号化システム – IPAも「望ましい」としていた程度 SQLインジェクションのみが債務不履行に
• 問題点 – IPA等のガイドラインがどこまで規範性を 持つか? – IPAの「望ましい」って,本当に「望まし い」なんていう優しいレベル? – そもそもIoT時代にセキュリティの法的責
任に耐えうるガイドラインが作られるのか?
• OWASP TOP10えぇやん
• ユーザーとメーカーのセキュリティ管理 責任は?? – メーカーがセキュリティパッチを公開 – ユーザーが特に対策を取らない – アップデートを自動化?新たな脆弱性?
• スマホでさえアップデートに鈍感 • IoTデバイスのセキュリティ管理はどこま でやれば免責されるのか??全自動アップ デートを取ることで生じる問題点は? • ゼロデイなんてどこまでいっても無理?
• 管理できないコンシューマー向けデバイ スについて法的責任を免責できるの? • IoTデバイスのセキュリティチェックの費 用対効果→お安い予算,お高い penetration test
• 行為者・行為の特定 – ユーザーからして,自分の情報がどこから流 出したかなんてわかるの?? – ハードの問題?ソフトの問題??事後対策の 問題??? – 誰が悪いんだよ!
共同不法行為の理論が再燃する?
• 損害 – 情報流出の損害って何だ? – ベネッセ最高裁判決 • 個人情報(プライバシー情報)は法的保護に値す るので流出でプライバシーを侵害されている。
• プライバシー侵害=損害? 上記のプライバシーの侵害による上告人の精神的損害の有無及び その程度等について十分に審理することなく、不快感等を超える損 害の発生についての主張、立証がされていないということのみから 直ちに上告人の請求を棄却すべきものとしたものである。そうすると、 原審の判断には、不法行為における損害に関する法令の解釈適用 を誤った結果、上記の点について審理を尽くさなかった違法がある といわざるを得ない。 大阪高裁の判断待ち。
• まとめ – IoT時代のセキュリティガイドラインはどう やって作るべきか? • 公??民?? • 報告書?GitHub? –
セキュリティ対策はどこまで取ればいいの か?
• まとめ – 誰が法的責任を負うのか?IoT業界は一蓮托 生か? – 損害とは何だ? 法律家とエンジニアの感覚をまとめ上げる必要性あり! Legal と
Techで手を取り合って何か作ろう! 判決が出てからでは遅い!