Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
法律とITが仲違いしないための問題意識/OWASP_Kansai_20180218-LT01
Search
OWASP Kansai
February 21, 2018
Research
1
770
法律とITが仲違いしないための問題意識/OWASP_Kansai_20180218-LT01
「OWASP Kansai x IoTSecJP ~今こそ語り合おうIoTセキュリティ~」にて弁護士 伊藤 太一さんより発表頂いたプレゼンテーションです。
OWASP Kansai
February 21, 2018
Tweet
Share
More Decks by OWASP Kansai
See All by OWASP Kansai
OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜/OWASPKansai_10thanniv_240921
owaspkansai
0
65
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
430
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
1.1k
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
370
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
owaspkansai
0
1k
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
470
OWASP_Kansai_LT3_211124.pdf
owaspkansai
0
190
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
owaspkansai
0
250
WordPressセキュリティハンズオン事前準備マニュアル/OWASPKansaiNagoya_WP1_190929
owaspkansai
2
400
Other Decks in Research
See All in Research
SSII2025 [SS1] レンズレスカメラ
ssii
PRO
2
970
AI エージェントを活用した研究再現性の自動定量評価 / scisci2025
upura
1
110
Towards a More Efficient Reasoning LLM: AIMO2 Solution Summary and Introduction to Fast-Math Models
analokmaus
2
230
Agentic AIとMCPを利用したサービス作成入門
mickey_kubo
0
270
SatCLIP: Global, General-Purpose Location Embeddings with Satellite Imagery
satai
3
220
(NULLCON Goa 2025)Windows Keylogger Detection: Targeting Past and Present Keylogging Techniques
asuna_jp
1
530
Looking for Escorts in Sydney?
lunsophia
1
120
電力システム最適化入門
mickey_kubo
1
660
20250502_ABEJA_論文読み会_スライド
flatton
0
170
Pix2Poly: A Sequence Prediction Method for End-to-end Polygonal Building Footprint Extraction from Remote Sensing Imagery
satai
3
480
Streamlit 総合解説 ~ PythonistaのためのWebアプリ開発 ~
mickey_kubo
1
920
最適決定木を用いた処方的価格最適化
mickey_kubo
4
1.7k
Featured
See All Featured
Navigating Team Friction
lara
187
15k
Raft: Consensus for Rubyists
vanstee
140
7k
The Cult of Friendly URLs
andyhume
79
6.5k
Thoughts on Productivity
jonyablonski
69
4.7k
Large-scale JavaScript Application Architecture
addyosmani
512
110k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
48
5.4k
Code Reviewing Like a Champion
maltzj
524
40k
Speed Design
sergeychernyshev
32
1k
Visualization
eitanlees
146
16k
For a Future-Friendly Web
brad_frost
179
9.8k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.3k
Transcript
法律とITが仲違いしないための問題意識 弁護士 伊藤太一
About Me • 名前 伊 藤 太 一 • 資格
弁護士法人淀屋橋・山上合同弁護 士(大阪地方裁判所裁判所事務官) – 現在,2年縛りで弁護士職務経験中。来年4 月からは裁判官に戻る予定(大阪地裁・札幌 地裁・次はどこ?) • 趣味 献血(今日で76回)
About Me • こんなのやってました – ITシステム開発のユーザーvsベンダーの訴訟 – Google先生への検索結果削除命令 – その他一般的な民事事件・強制執行事件・破
産事件などなど
• Tech と Legal – おまえらLegalはいつもTechの足を引っ張って 文句ばっかりつけやがって…なんだよ,••法的 にだいじょうぶなのとか,損害賠償されないんだ ろうなとか,知るか! –
弁護士からの内容証明偉そう,なにこれ ←ごめんなさい。でも,中の人はいい人なんです。 私みたいに – Legal好きな人・・・・・・いたら嬉しい
• 結論 –法的責任に備え,Techのためにも 常識的なガイドラインをLegalと手 を取り合って作ろう!
• 法的判断のインパクト – 裁判所が法律以外の分野で「これ違法」と 言っちゃう→言わざるを得ないときがある – 業界大パニック?パニックになっている間に 後続訴訟→波及効 – 技術的な側面は法で免責するのが難しい
• 損害賠償を一例に考える – 民法709条 • 故意又は過失 • 権利侵害 • 損害
• 因果関係 行為責任主義! NOT 結果責任!
• IoT時代のセキュリティ上の損害賠償問題 – 行為者の特定できるの?? – 故意又は過失っていわれても…… – 個々の損害って??
• 故意又は過失って?? – 故意に情報漏洩させるのはともかくとして… – どの程度のセキュリティを保てばいいの?? – ユーザーのセキュリティ管理責任は??
• 裁判例のご紹介 – ECサイトの開発を委託した。 – セキュリティについて特に取り決めなし – SQLインジェクション攻撃で情報流出 – クレカ情報は暗号化されずに保存されていた
SQL対策不備でベンダーの責任肯定 東京地判平成26年1月23日
• SQLインジェクション対策を求められた 理由 – セキュリティ対策は,「黙示の合意」 被告は,平成21年2月4日に本件システム発注契約を締結して本件 システムの発注を受けたのであるから,その当時の技術水準に沿っ たセキュリティ対策を施したプログラ厶を提供することが黙示的に合 意されていたと認められる。
• 当時の技術水準に沿ったセキュリティ対 策って?? – IPAの注意喚起 – 経産省の注意喚起
• SQLインジェクション – IPAも経産省も対策を喚起していた • クレジットカード情報の非保存・削除又 は暗号化システム – IPAも「望ましい」としていた程度 SQLインジェクションのみが債務不履行に
• 問題点 – IPA等のガイドラインがどこまで規範性を 持つか? – IPAの「望ましい」って,本当に「望まし い」なんていう優しいレベル? – そもそもIoT時代にセキュリティの法的責
任に耐えうるガイドラインが作られるのか?
• OWASP TOP10えぇやん
• ユーザーとメーカーのセキュリティ管理 責任は?? – メーカーがセキュリティパッチを公開 – ユーザーが特に対策を取らない – アップデートを自動化?新たな脆弱性?
• スマホでさえアップデートに鈍感 • IoTデバイスのセキュリティ管理はどこま でやれば免責されるのか??全自動アップ デートを取ることで生じる問題点は? • ゼロデイなんてどこまでいっても無理?
• 管理できないコンシューマー向けデバイ スについて法的責任を免責できるの? • IoTデバイスのセキュリティチェックの費 用対効果→お安い予算,お高い penetration test
• 行為者・行為の特定 – ユーザーからして,自分の情報がどこから流 出したかなんてわかるの?? – ハードの問題?ソフトの問題??事後対策の 問題??? – 誰が悪いんだよ!
共同不法行為の理論が再燃する?
• 損害 – 情報流出の損害って何だ? – ベネッセ最高裁判決 • 個人情報(プライバシー情報)は法的保護に値す るので流出でプライバシーを侵害されている。
• プライバシー侵害=損害? 上記のプライバシーの侵害による上告人の精神的損害の有無及び その程度等について十分に審理することなく、不快感等を超える損 害の発生についての主張、立証がされていないということのみから 直ちに上告人の請求を棄却すべきものとしたものである。そうすると、 原審の判断には、不法行為における損害に関する法令の解釈適用 を誤った結果、上記の点について審理を尽くさなかった違法がある といわざるを得ない。 大阪高裁の判断待ち。
• まとめ – IoT時代のセキュリティガイドラインはどう やって作るべきか? • 公??民?? • 報告書?GitHub? –
セキュリティ対策はどこまで取ればいいの か?
• まとめ – 誰が法的責任を負うのか?IoT業界は一蓮托 生か? – 損害とは何だ? 法律家とエンジニアの感覚をまとめ上げる必要性あり! Legal と
Techで手を取り合って何か作ろう! 判決が出てからでは遅い!