法律とITが仲違いしないための問題意識/OWASP_Kansai_20180218-LT01

法律とITが仲違いしないための問題意識弁護士伊藤太一

About Me • 名前伊藤太一 • 資格
弁護士法人淀屋橋・山上合同弁護士（大阪地方裁判所裁判所事務官） – 現在，２年縛りで弁護士職務経験中。来年４月からは裁判官に戻る予定（大阪地裁・札幌地裁・次はどこ？） • 趣味献血（今日で７６回）

About Me • こんなのやってました – ITシステム開発のユーザーvsベンダーの訴訟 – Google先生への検索結果削除命令 – その他一般的な民事事件・強制執行事件・破
産事件などなど

• Tech と Legal – おまえらLegalはいつもTechの足を引っ張って文句ばっかりつけやがって…なんだよ，••法的にだいじょうぶなのとか，損害賠償されないんだろうなとか，知るか！ –
弁護士からの内容証明偉そう，なにこれ ←ごめんなさい。でも，中の人はいい人なんです。私みたいに – Legal好きな人・・・・・・いたら嬉しい

• 結論 –法的責任に備え，Techのためにも常識的なガイドラインをLegalと手を取り合って作ろう！

• 法的判断のインパクト – 裁判所が法律以外の分野で「これ違法」と言っちゃう→言わざるを得ないときがある – 業界大パニック？パニックになっている間に後続訴訟→波及効 – 技術的な側面は法で免責するのが難しい

• 損害賠償を一例に考える – 民法709条 • 故意又は過失 • 権利侵害 • 損害
• 因果関係行為責任主義！ NOT 結果責任！

• IoT時代のセキュリティ上の損害賠償問題 – 行為者の特定できるの？？ – 故意又は過失っていわれても…… – 個々の損害って??

• 故意又は過失って？？ – 故意に情報漏洩させるのはともかくとして… – どの程度のセキュリティを保てばいいの？？ – ユーザーのセキュリティ管理責任は？？

• 裁判例のご紹介 – ECサイトの開発を委託した。 – セキュリティについて特に取り決めなし – SQLインジェクション攻撃で情報流出 – クレカ情報は暗号化されずに保存されていた
SQL対策不備でベンダーの責任肯定東京地判平成26年1月23日

• SQLインジェクション対策を求められた理由 – セキュリティ対策は，「黙示の合意」被告は，平成２１年２月４日に本件システム発注契約を締結して本件システムの発注を受けたのであるから，その当時の技術水準に沿ったセキュリティ対策を施したプログラ厶を提供することが黙示的に合意されていたと認められる。

• 当時の技術水準に沿ったセキュリティ対策って？？ – ＩＰＡの注意喚起 – 経産省の注意喚起

• ＳＱＬインジェクション – ＩＰＡも経産省も対策を喚起していた • クレジットカード情報の非保存・削除又は暗号化システム – ＩＰＡも「望ましい」としていた程度ＳＱＬインジェクションのみが債務不履行に

• 問題点 – ＩＰＡ等のガイドラインがどこまで規範性を持つか？ – ＩＰＡの「望ましい」って，本当に「望ましい」なんていう優しいレベル？ – そもそもＩｏＴ時代にセキュリティの法的責
任に耐えうるガイドラインが作られるのか？

• OWASP TOP１０えぇやん

• ユーザーとメーカーのセキュリティ管理責任は？？ – メーカーがセキュリティパッチを公開 – ユーザーが特に対策を取らない – アップデートを自動化？新たな脆弱性？

• スマホでさえアップデートに鈍感 • IoTデバイスのセキュリティ管理はどこまでやれば免責されるのか?？全自動アップデートを取ることで生じる問題点は？ • ゼロデイなんてどこまでいっても無理？

• 管理できないコンシューマー向けデバイスについて法的責任を免責できるの？ • IoTデバイスのセキュリティチェックの費用対効果→お安い予算，お高い penetration test

• 行為者・行為の特定 – ユーザーからして，自分の情報がどこから流出したかなんてわかるの？？ – ハードの問題？ソフトの問題？？事後対策の問題？？？ – 誰が悪いんだよ！
共同不法行為の理論が再燃する？

• 損害 – 情報流出の損害って何だ？ – ベネッセ最高裁判決 • 個人情報（プライバシー情報）は法的保護に値するので流出でプライバシーを侵害されている。

• プライバシー侵害＝損害？上記のプライバシーの侵害による上告人の精神的損害の有無及びその程度等について十分に審理することなく、不快感等を超える損害の発生についての主張、立証がされていないということのみから直ちに上告人の請求を棄却すべきものとしたものである。そうすると、原審の判断には、不法行為における損害に関する法令の解釈適用を誤った結果、上記の点について審理を尽くさなかった違法があるといわざるを得ない。大阪高裁の判断待ち。

• まとめ – IoT時代のセキュリティガイドラインはどうやって作るべきか？ • 公？？民？？ • 報告書？GitHub? –
セキュリティ対策はどこまで取ればいいのか？

• まとめ – 誰が法的責任を負うのか？IoT業界は一蓮托生か？ – 損害とは何だ？法律家とエンジニアの感覚をまとめ上げる必要性あり！ Legal と
Techで手を取り合って何か作ろう！判決が出てからでは遅い！

法律とITが仲違いしないための問題意識/OWASP_Kansai_20180218-LT01

法律とITが仲違いしないための問題意識/OWASP_Kansai_20180218-LT01

OWASP Kansai

More Decks by OWASP Kansai

Other Decks in Research

Featured

Transcript

法律とITが仲違いしないための問題意識弁護士伊藤太一

About Me • 名前伊藤太一 • 資格

About Me • こんなのやってました – ITシステム開発のユーザーvsベンダーの訴訟 – Google先生への検索結果削除命令 – その他一般的な民事事件・強制執行事件・破

• Tech と Legal – おまえらLegalはいつもTechの足を引っ張って文句ばっかりつけやがって…なんだよ，••法的にだいじょうぶなのとか，損害賠償されないんだろうなとか，知るか！ –

• 結論 –法的責任に備え，Techのためにも常識的なガイドラインをLegalと手を取り合って作ろう！

• 損害賠償を一例に考える – 民法709条 • 故意又は過失 • 権利侵害 • 損害

• IoT時代のセキュリティ上の損害賠償問題 – 行為者の特定できるの？？ – 故意又は過失っていわれても…… – 個々の損害って??

• 故意又は過失って？？ – 故意に情報漏洩させるのはともかくとして… – どの程度のセキュリティを保てばいいの？？ – ユーザーのセキュリティ管理責任は？？

• 裁判例のご紹介 – ECサイトの開発を委託した。 – セキュリティについて特に取り決めなし – SQLインジェクション攻撃で情報流出 – クレカ情報は暗号化されずに保存されていた

• 当時の技術水準に沿ったセキュリティ対策って？？ – ＩＰＡの注意喚起 – 経産省の注意喚起

• ＳＱＬインジェクション – ＩＰＡも経産省も対策を喚起していた • クレジットカード情報の非保存・削除又は暗号化システム – ＩＰＡも「望ましい」としていた程度ＳＱＬインジェクションのみが債務不履行に

• 問題点 – ＩＰＡ等のガイドラインがどこまで規範性を持つか？ – ＩＰＡの「望ましい」って，本当に「望ましい」なんていう優しいレベル？ – そもそもＩｏＴ時代にセキュリティの法的責

• OWASP TOP１０えぇやん

• ユーザーとメーカーのセキュリティ管理責任は？？ – メーカーがセキュリティパッチを公開 – ユーザーが特に対策を取らない – アップデートを自動化？新たな脆弱性？

• スマホでさえアップデートに鈍感 • IoTデバイスのセキュリティ管理はどこまでやれば免責されるのか?？全自動アップデートを取ることで生じる問題点は？ • ゼロデイなんてどこまでいっても無理？

• 管理できないコンシューマー向けデバイスについて法的責任を免責できるの？ • IoTデバイスのセキュリティチェックの費用対効果→お安い予算，お高い penetration test

• 行為者・行為の特定 – ユーザーからして，自分の情報がどこから流出したかなんてわかるの？？ – ハードの問題？ソフトの問題？？事後対策の問題？？？ – 誰が悪いんだよ！

• 損害 – 情報流出の損害って何だ？ – ベネッセ最高裁判決 • 個人情報（プライバシー情報）は法的保護に値するので流出でプライバシーを侵害されている。

• まとめ – IoT時代のセキュリティガイドラインはどうやって作るべきか？ • 公？？民？？ • 報告書？GitHub? –

• まとめ – 誰が法的責任を負うのか？IoT業界は一蓮托生か？ – 損害とは何だ？法律家とエンジニアの感覚をまとめ上げる必要性あり！ Legal と