Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
法律とITが仲違いしないための問題意識/OWASP_Kansai_20180218-LT01
Search
OWASP Kansai
February 21, 2018
Research
1
780
法律とITが仲違いしないための問題意識/OWASP_Kansai_20180218-LT01
「OWASP Kansai x IoTSecJP ~今こそ語り合おうIoTセキュリティ~」にて弁護士 伊藤 太一さんより発表頂いたプレゼンテーションです。
OWASP Kansai
February 21, 2018
Tweet
Share
More Decks by OWASP Kansai
See All by OWASP Kansai
OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜/OWASPKansai_10thanniv_240921
owaspkansai
0
78
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
490
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
1.2k
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
380
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
owaspkansai
0
1k
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
510
OWASP_Kansai_LT3_211124.pdf
owaspkansai
0
200
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
owaspkansai
0
260
WordPressセキュリティハンズオン事前準備マニュアル/OWASPKansaiNagoya_WP1_190929
owaspkansai
2
410
Other Decks in Research
See All in Research
数理最適化と機械学習の融合
mickey_kubo
16
9.3k
Time to Cash: The Full Stack Breakdown of Modern ATM Attacks
ratatata
0
130
A scalable, annual aboveground biomass product for monitoring carbon impacts of ecosystem restoration projects
satai
4
240
Stealing LUKS Keys via TPM and UUID Spoofing in 10 Minutes - BSides 2025
anykeyshik
0
120
EarthSynth: Generating Informative Earth Observation with Diffusion Models
satai
3
270
SSII2025 [TS2] リモートセンシング画像処理の最前線
ssii
PRO
7
3.1k
近似動的計画入門
mickey_kubo
4
1k
SegEarth-OV: Towards Training-Free Open-Vocabulary Segmentation for Remote Sensing Images
satai
3
190
IMC の細かすぎる話 2025
smly
2
630
Delta Airlines® Customer Care in the U.S.: How to Reach Them Now
bookingcomcustomersupportusa
0
110
Agentic AIとMCPを利用したサービス作成入門
mickey_kubo
0
550
大規模な2値整数計画問題に対する 効率的な重み付き局所探索法
mickey_kubo
1
360
Featured
See All Featured
Six Lessons from altMBA
skipperchong
28
4k
YesSQL, Process and Tooling at Scale
rocio
173
14k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
44
2.5k
Practical Orchestrator
shlominoach
190
11k
GraphQLの誤解/rethinking-graphql
sonatard
72
11k
Raft: Consensus for Rubyists
vanstee
140
7.1k
GraphQLとの向き合い方2022年版
quramy
49
14k
Building an army of robots
kneath
306
46k
Bootstrapping a Software Product
garrettdimon
PRO
307
110k
Thoughts on Productivity
jonyablonski
70
4.8k
Making Projects Easy
brettharned
117
6.4k
Transcript
法律とITが仲違いしないための問題意識 弁護士 伊藤太一
About Me • 名前 伊 藤 太 一 • 資格
弁護士法人淀屋橋・山上合同弁護 士(大阪地方裁判所裁判所事務官) – 現在,2年縛りで弁護士職務経験中。来年4 月からは裁判官に戻る予定(大阪地裁・札幌 地裁・次はどこ?) • 趣味 献血(今日で76回)
About Me • こんなのやってました – ITシステム開発のユーザーvsベンダーの訴訟 – Google先生への検索結果削除命令 – その他一般的な民事事件・強制執行事件・破
産事件などなど
• Tech と Legal – おまえらLegalはいつもTechの足を引っ張って 文句ばっかりつけやがって…なんだよ,••法的 にだいじょうぶなのとか,損害賠償されないんだ ろうなとか,知るか! –
弁護士からの内容証明偉そう,なにこれ ←ごめんなさい。でも,中の人はいい人なんです。 私みたいに – Legal好きな人・・・・・・いたら嬉しい
• 結論 –法的責任に備え,Techのためにも 常識的なガイドラインをLegalと手 を取り合って作ろう!
• 法的判断のインパクト – 裁判所が法律以外の分野で「これ違法」と 言っちゃう→言わざるを得ないときがある – 業界大パニック?パニックになっている間に 後続訴訟→波及効 – 技術的な側面は法で免責するのが難しい
• 損害賠償を一例に考える – 民法709条 • 故意又は過失 • 権利侵害 • 損害
• 因果関係 行為責任主義! NOT 結果責任!
• IoT時代のセキュリティ上の損害賠償問題 – 行為者の特定できるの?? – 故意又は過失っていわれても…… – 個々の損害って??
• 故意又は過失って?? – 故意に情報漏洩させるのはともかくとして… – どの程度のセキュリティを保てばいいの?? – ユーザーのセキュリティ管理責任は??
• 裁判例のご紹介 – ECサイトの開発を委託した。 – セキュリティについて特に取り決めなし – SQLインジェクション攻撃で情報流出 – クレカ情報は暗号化されずに保存されていた
SQL対策不備でベンダーの責任肯定 東京地判平成26年1月23日
• SQLインジェクション対策を求められた 理由 – セキュリティ対策は,「黙示の合意」 被告は,平成21年2月4日に本件システム発注契約を締結して本件 システムの発注を受けたのであるから,その当時の技術水準に沿っ たセキュリティ対策を施したプログラ厶を提供することが黙示的に合 意されていたと認められる。
• 当時の技術水準に沿ったセキュリティ対 策って?? – IPAの注意喚起 – 経産省の注意喚起
• SQLインジェクション – IPAも経産省も対策を喚起していた • クレジットカード情報の非保存・削除又 は暗号化システム – IPAも「望ましい」としていた程度 SQLインジェクションのみが債務不履行に
• 問題点 – IPA等のガイドラインがどこまで規範性を 持つか? – IPAの「望ましい」って,本当に「望まし い」なんていう優しいレベル? – そもそもIoT時代にセキュリティの法的責
任に耐えうるガイドラインが作られるのか?
• OWASP TOP10えぇやん
• ユーザーとメーカーのセキュリティ管理 責任は?? – メーカーがセキュリティパッチを公開 – ユーザーが特に対策を取らない – アップデートを自動化?新たな脆弱性?
• スマホでさえアップデートに鈍感 • IoTデバイスのセキュリティ管理はどこま でやれば免責されるのか??全自動アップ デートを取ることで生じる問題点は? • ゼロデイなんてどこまでいっても無理?
• 管理できないコンシューマー向けデバイ スについて法的責任を免責できるの? • IoTデバイスのセキュリティチェックの費 用対効果→お安い予算,お高い penetration test
• 行為者・行為の特定 – ユーザーからして,自分の情報がどこから流 出したかなんてわかるの?? – ハードの問題?ソフトの問題??事後対策の 問題??? – 誰が悪いんだよ!
共同不法行為の理論が再燃する?
• 損害 – 情報流出の損害って何だ? – ベネッセ最高裁判決 • 個人情報(プライバシー情報)は法的保護に値す るので流出でプライバシーを侵害されている。
• プライバシー侵害=損害? 上記のプライバシーの侵害による上告人の精神的損害の有無及び その程度等について十分に審理することなく、不快感等を超える損 害の発生についての主張、立証がされていないということのみから 直ちに上告人の請求を棄却すべきものとしたものである。そうすると、 原審の判断には、不法行為における損害に関する法令の解釈適用 を誤った結果、上記の点について審理を尽くさなかった違法がある といわざるを得ない。 大阪高裁の判断待ち。
• まとめ – IoT時代のセキュリティガイドラインはどう やって作るべきか? • 公??民?? • 報告書?GitHub? –
セキュリティ対策はどこまで取ればいいの か?
• まとめ – 誰が法的責任を負うのか?IoT業界は一蓮托 生か? – 損害とは何だ? 法律家とエンジニアの感覚をまとめ上げる必要性あり! Legal と
Techで手を取り合って何か作ろう! 判決が出てからでは遅い!