Upgrade to Pro — share decks privately, control downloads, hide ads and more …

法律とITが仲違いしないための問題意識

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for tito0330 tito0330
February 18, 2018
0
36

 法律とITが仲違いしないための問題意識

みんなで作ろうガイドライン!

Avatar for tito0330

tito0330

February 18, 2018
Tweet

More Decks by tito0330

See All by tito0330
OWASP Kansai 20181201 LT1
Avatar for tito0330 tito0330
0
110

Featured

See All Featured
We Are The Robots
Avatar for Honza Javorek honzajavorek
0
170
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
128
55k
How to make the Groovebox
Avatar for あそなす asonas
2
1.9k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
16k
Building the Perfect Custom Keyboard
Avatar for Naoto Takai takai
2
690
State of Search Keynote: SEO is Dead Long Live SEO
Avatar for Ryan Jones ryanjones
0
120
Ruling the World: When Life Gets Gamed
Avatar for Sebastian Deterding codingconduct
0
150
Collaborative Software Design: How to facilitate domain modelling decisions
Avatar for Kenny Baas-Schwegler baasie
0
140
Exploring anti-patterns in Rails
Avatar for Elle Meredith aemeredith
2
250
Jess Joyce - The Pitfalls of Following Frameworks
Avatar for Tech SEO Connect techseoconnect
PRO
1
68
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
Avatar for konakalab konakalab
0
350
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
6.9k

Transcript

  1. 法律とITが仲違いしないための問題意識 弁護士 伊藤太一

  2. About Me • 名前 伊 藤 太 一 • 資格

    弁護士法人淀屋橋・山上合同弁護 士(大阪地方裁判所裁判所事務官) – 現在,2年縛りで弁護士職務経験中。来年4 月からは裁判官に戻る予定(大阪地裁・札幌 地裁・次はどこ?) • 趣味 献血(今日で76回)

  3. About Me • こんなのやってました – ITシステム開発のユーザーvsベンダーの訴訟 – 北海道・札幌で比較的著名な寿司屋の民事再 生・破産 –

    Google先生への検索結果削除命令(北海道 初。ニュースになり,妻の実家から電話が来 る始末…)

  4. About Me • Tech と Legal – おまえらLegalはいつもTechの足を引っ張っ て文句ばっかりつけやがって… –

    Legal好きな人・・・・・・いるわけないよ ね。

  5. About Me • 結論 –法的責任に備え,Techのためにも 常識的なガイドラインをLegalと手 を取り合って作ろう!

  6. About Me • 法的判断のインパクト – 裁判所が法律以外の分野で「これ違法」と 言っちゃう→言わざるを得ないときがある – 業界大パニック?パニックになっている間に 後続訴訟→波及効

    – 技術的な側面は法で免責するのが難しい

  7. • 損害賠償を一例に考える – 民法709条 • 故意又は過失 • 権利侵害 • 損害

    • 因果関係 行為責任主義! NOT 結果責任!

  8. • IoT時代のセキュリティ上の損害賠償問題 – 行為者の特定できるの?? – 故意又は過失っていわれても…… – 個々の損害って??

  9. • 故意又は過失って?? – 故意に情報漏洩させるのはともかくとして… – どの程度のセキュリティを保てばいいの?? – ユーザーのセキュリティ管理責任は??

  10. • 裁判例のご紹介 – ECサイトの開発を委託した。 – セキュリティについて特に取り決めなし – SQLインジェクション攻撃で情報流出 – クレカ情報は暗号化されずに保存されていた

    SQL対策不備でベンダーの責任肯定 東京地判平成26年1月23日

  11. • SQLインジェクション対策を求められた 理由 – セキュリティ対策は,「黙示の合意」 被告は,平成21年2月4日に本件システム発注契約を締結して本件 システムの発注を受けたのであるから,その当時の技術水準に沿っ たセキュリティ対策を施したプログラ厶を提供することが黙示的に合 意されていたと認められる。

  12. • 当時の技術水準に沿ったセキュリティ対 策って?? – IPAの注意喚起 – 経産省の注意喚起

  13. • SQLインジェクション – IPAも経産省も対策を喚起していた • クレジットカード情報の非保存・削除又 は暗号化システム – IPAも「望ましい」としていた程度 SQLインジェクションのみが債務不履行に

  14. • 問題点 – IPA等のガイドラインがどこまで規範性を 持つか? – IPAの「望ましい」って,本当に「望まし い」なんていう優しいレベル? – そもそもIoT時代にセキュリティの法的責

    任に耐えうるガイドラインが作られるのか?

  15. • OWASP TOP10えぇやん

  16. • ユーザーとメーカーのセキュリティ管理 責任は?? – メーカーがセキュリティパッチを公開 – ユーザーが特に対策を取らない – アップデートを自動化?新たな脆弱性?

  17. • スマホでさえアップデートに鈍感 • IoTデバイスのセキュリティ管理はどこま でやれば免責されるのか??全自動アップ デートを取ることで生じる問題点は? • ゼロデイなんてどこまでいっても無理?

  18. • 管理できないコンシューマー向けデバイ スについて法的責任を免責できるの? • IoTデバイスのセキュリティチェックの費 用対効果問題

  19. • 行為者・行為の特定 – ユーザーからして,自分の情報がどこから流 出したかなんてわかるの?? – ハードの問題?ソフトの問題??事後対策の 問題??? – 誰が悪いんだよ!

    共同不法行為の理論が再燃する?

  20. • 損害 – 情報流出の損害って何だ? – ベネッセ最高裁判決 • 個人情報(プライバシー情報)は法的保護に値す るので流出でプライバシーを侵害されている。

  21. • プライバシー侵害=損害? 上記のプライバシーの侵害による上告人の精神的損害の有無及び その程度等について十分に審理することなく、不快感等を超える損 害の発生についての主張、立証がされていないということのみから 直ちに上告人の請求を棄却すべきものとしたものである。そうすると、 原審の判断には、不法行為における損害に関する法令の解釈適用 を誤った結果、上記の点について審理を尽くさなかった違法がある といわざるを得ない。 大阪高裁の判断待ち。

  22. • まとめ – IoT時代のセキュリティガイドラインはどう やって作るべきか? • 公??民?? • 報告書?GitHub? –

    セキュリティ対策はどこまで取ればいいの か?

  23. • まとめ – 誰が法的責任を負うのか?IoT業界は一蓮托 生か? – 損害とは何だ? 法律家とエンジニアの感覚をまとめ上げる必要性あり! Legal と

    Techで手を取り合って何か作ろう! 判決が出てからでは遅い!