狠狠撸

狠狠撸Share a Scribd company logo
セキュリティの守るべきものとは
情報とプライバシーへ
Privacy by Designの視点と実装 (Security by Designとの類似性、法律と企業そ
して市民との隙間を埋めるためには、オープンソースコミュニティへの呼びかけ)
おめでとうございます!
誕生日にOWASP20周年記念の
募金に挑戦/Fundraising
目標金額20,000円に対してフォロワー20名から36,592円が集まり、
183%達成しました。
※順不同
今後の進め方
<自己紹介> 5分
ライフワーク(ボランティア、プライバシー)
<プライバシーの問題提議> 10分
WASNightカンファレンスのprivacyセッションで発せられた問
題を提議します
自己紹介
二本松 哲也
サイバーセキュリティ コンサルタント
株式会社ラック
ライフワークについて
2011年:东日本大震灾
OWASP Hardning Privacy セッション 「セキュリティの守るべきものとは情報とプライバシーへ」
2021年5月3日 OWASP Top10
Privacy Risks Ver2.0 リリース
https://owasp.org/www-project-top-10-privacy-risks/
ジャズギターリスト 吉田次郎
国連WAFUNIF親善大使
著作権
著作者人格権
著作隣接権
演奏権
録音権?貸与権
出版権
映画録音権
原盤権
?複製権
?送信可能化権
?放送二次使用請求権
?譲渡権
?貸与権
2016年:音楽プロダクション
Youtubeチャンネル
個人ブログ qualias.net Facebook
WASNight(s)2021 Spring
Privacyセッションで得られた課題とは
セッションテーマ:プライバシー
タイムキーパー:(とりあえず)ばび
参加者名(連名):ばび、jun yamadera sunahara、simopion、二本松哲也,
namineko、三輪信介, nz, miyachi
メインの記録役:sunahara
<議事録>
1. LINEの個人情報が中国のシステム開発委託企業で閲覧状態に
2000年頃から人件費の安かった中国でオフショア開発が盛んになり、当時から開発工程によっては、顧客の個人情報や機密情報が見える基幹システムや
データベースまでネットワークで繋がっていることもありました。LINEだけではなくオフショア開発を行なっている多くの企業も個人情報の量は少ないか
もしれませんが対象となってしまう懸念もあります。
→実害が無かった中でここまで責められるのは少しやりすぎな気がします。
→中国に対して過敏になっている。理由としては新サイバーセキュリティ法がテロ対策として情報セキュリティ技術に制限を生じさせ、データ盗聴がよ
り容易なってしまっている点が挙げられます。
→日本と異なりヨーロッパは歴史的に民族問題があって、データプライバシーを権利として扱っている。
2.この辺りについてデジタル庁ができると関係性がどのように変わってくるか
→まずは模範となるガイドラインとルールを作る方向で考えるのでは。
3.データのガバナンスについて
前職ではプライバシーマークを取得しておらず、情報資産の棚卸しから始めたが、組織が扱う情報を効果的かつ効率的に使用するための、プロセス、役
割、ポリシー、標準、評価指標など考慮されておらず、他の会社でも同様の事例があるのでは。
→ユーザー企業からデータガバナンスの仕組みを聞いたことが無い。
4.プライバシーの定義について、定義が分かりづらいのでは
→個人情報と置き換えてみた方が分かりやすいかも
5.サーバーに保存されたメールをサーバー管理者が見た場合、これはプライバシーの侵害に当たるのでは。
→会社の業務であれば許されるのでは。
→例えばインシデントや事件があった際に会社はメールを調べる必要がある
→添付ファイルメールは上長が承認ボタンを押さないと送信でいないソリューションもある
→雇用契約を結んでおり務上必要な場合、会社が提供したメールであれば同意なく閲覧がで来ます
6.従業員だったら同意なくなんでも見て良いのか?
→業務であれば問題ない。
→ただし、個人情報にはレベルがあり要配慮個人情報(病歴、マイナンバー)などは禁止されている。
→従業員に同意を取るべきではないか
→業務に利用するためのメールやサーバーで見られてはまずいプライベートな情報を扱うのが問題では。
→従業員にも事情があるので、黙って監視していいのか判例があれば知りたい。
→例えば機密情報を取り扱う機密エリア設けた場合、監視カメラを設置しますが24時間365日記録し続ける必要があるため、防犯カメラ作動中であ
ることを見てわかるようにしておけば柔軟に対応できます。
7.プライバシーバイデザインラボで議題に上がったのが、個人のソーシャルメディアに自社の悪口を書くと警告が送られてくる事例があ
り。一方でこうした監視はプライバシーの侵害に当たるかも、よってソーシャルメディアポリシーなどや監視などについて何か良い方法
はあるか。
→SNSの監視は、モニタリングサービス事業として展開されておりプライバシーの侵害に当たる恐れがあると思う。
→ドイツではモニタリングは憲法上違反という見解を出している
社会主義時代の東ドイツで、悪名高い秘密警察シュタージ(国家保安省)は、政府に批判的な市民の電話を盗聴したり手紙を開封したりして、情報を集めてい
た。電話会社であるドイチェ?テレコムが、個人情報を違法に集めて分析していた。
8.参加者の中でプライバシーマークを取っている会社はありますか?プライバシーマークを取得する上で会社の業務上の都合と個人のプ
ライバシーの折り合いをつける必要がある。一方でプライバシーと個人情報が明確になっていないと感じる。
→プライバシーマークを取得していない、なおプライバシーについての部屋なので個人を特定するPIIよりは範囲が広い話だと思う。
→日本も個人情報というよりは、もう少し広い範囲でプライバシーを守り配慮すると言ったことが必要だと思う。
判例:社会通念上許される範囲において会社の秩序を維持する為に監査することを許されている。
9.日本の法律でプライバシーを守らなければならないと言ったことが明記されていない。憲法にも存在していない。より企業統治であっ
たり国家公務員法によれば24時間公人であることが求められる。
プライバシーは判例の積み重ねで守られているため曖昧さがある。
→判例主義をとる場合、時代に即応しながら判例が作られるため、プライバシーに関して配慮が足りないと感じる点が判例として積み重なっていけば、それが法
律として機能する。私たちがプライバシーに意識を持つことが大切。
10.プライバシーマークが記載された名刺が配られていると矛盾を感じる。
→明示的に個人情報の提供に同意があると見られている。
→エイトを使い名刺を取り込むとインターネット上に公開されるてしまう事も
→エイトなどやSNSのアドレス帳同期など、勝手に個人情報を連携させたりプライバシーが保護されていないと感じる。
→名刺を渡した場合、預かった側が本人の同意が介在せずに流通させてまう事も。GDPRの場合は必ず本人の同意を必要としている。
→米国の憲法には明示的なプライバシーの権利はないが、法の解釈を変えてプライバシーを保護している。
→プライバシーは日本は憲法上も含まれておらず、OECD8原則による個人情報保護といった必要最低限しか守られていない。
→日本の個人情報保護法とGDPRは互換性認定を受けているが、プライバシーの観点では互換性があるとは言い難い。
→労働基本権にプライバシーの権利が明記されていない。よって企業はプライバシーを配慮してない。
私用メールは職務専念義務違反になるのでは。
11.人材育成のために勉強会に参加する場合、会社のメールを使うと私的な利用になるかもしれない。そういった線引きが難しいので
は。
→会社の業務用の携帯電話も休日も利用して顧客対応をさせられたりしているが、日本は企業に甘いと思う。最終的に線引きは会社が決められるようにできてい
る。
→日本は労働三権や労働三法において、パワハラの個の侵害にプライバシーがはあるが、雇用を守ることが中心になっていて、プライバシーという発想はまだ
持っていない。
12.職場の連絡網などでプライベートな情報が公開されている
→緊急連絡網から使用目的が異なる事に利用されることがあって問題だと思う。
→データガバナンスを適用して緊急事態のみしか見れないシステムなどがあると良いかも
→同意なく緊急連絡網を作っていた。
→震災の影響もあり緊急連絡網は災害対策の事業継続として企業が求めれている。災害対策の法律の方がプライバシーよりも優先されている。
→緊急連絡網にプライベートな携帯番号ではなく、会社がLINEやSKYPEなどを用意するのも手段としてある。
LINEの個人情報が中国のシステム開発委託企業で閲覧状態に
中華人民共和国サイバーセキュリティ法
個人情報保護法
デジタル庁
データのガバナンス
プライバシーの定義
企業
プライバシーというのは、一般の人の感受性を基準にして、公開されるこ
とを望まない私的な事柄を指します。法律の規定はありませんが、裁判上
で確立された権利です。個人情報は、あくまで個人と他人を識別する情報
なので、プライバシーと重なる部分もありますが、別の概念です。
データのガバナンス
プライバシーの定義
GDPR
判例
情報自己決定権
人権
企業
出典:衆議院憲法調査会事務局 知る権利?アクセス権とプライバシー権に関する基礎的資料
情报セキュリティの目的とは?
機密性
Con
fi
dentiality
完全性
Integrity
可用性
Availability
情報
Information
守るべきもの
情報とプライバシーへ
プライバシー
Privacy
人格権
知的財産権
債権
所有権
余談ですが、プライバシーは資産であり運用可能です。
プライバシーのリスク?ベネフィット 知的財産とプライバシーは一体
個人ブログ qualias.net

More Related Content

OWASP Hardning Privacy セッション 「セキュリティの守るべきものとは情報とプライバシーへ」