ちょき☆ぱたん お気に入り紹介 (chokipatan.com)

第1部 本

社会

データセキュリティ法の迷走(ソロブ)

『データセキュリティ法の迷走: 情報漏洩はなぜなくならないのか? (基礎法学翻訳叢書 2巻)』2023/11/16
ダニエル・J・ソロブ (著), ウッドロウ・ハーツォグ (著), 小向 太郎 (翻訳)


(感想)
 法が情報漏洩に対処できていないこと、プライバシー法とデータセキュリティ法のどこが間違っていたのかを明快に示して、データ侵害という事象だけではなく人間そのものに注目して新たなデータセキュリティを創造するためのアプローチを提示してくれる本で、主な内容は次の通りです。
第1章 序論――予告された侵害の記録
第1部 データセキュリティの広範な理解
第2章 データ侵害の蔓延
第3章 データセキュリティ法の失敗
第2部 総体的データセキュリティ法
第4章 全体像――システムと構造
第5章 データエコシステム全体の責任
第6章 データ侵害による損害を軽減する
第7章 プライバシーとデータセキュリティの統合
第8章 人間という最大の弱点のためのセキュリティ設計
第9章 結論――総体的アプローチ
謝辞
解説
原注
索引
   *
「第1章 序論――予告された侵害の記録」では、2013年の12月中旬に、米国小売企業のターゲットがハッキングされた事例が紹介されています。ターゲットの仕事をしていた空調会社の従業員が、メールに添付されたファイルを開いてマルウェアに感染したことが原因で、データの歴史的大漏洩が起こってしまいました。
「情報漏洩が生じたことによる法的な対応は、何年も尾を引いて、企業や組織は何百万ドルもの費用に悩まされることが多い。しかし、この時点では、遅すぎるのだ。すでに被害は生じてしまっており、法律は企業の出費を増やすだけになってしまっている。(中略)さらに悪いことに、こうした法律は、情報漏洩によってデータが流出した被害者本人を救済していないことが多い。」
  *
 そして「2章 データ侵害の蔓延」では、データ侵害の基本パターンとして、次の9つがあげられていました。
1)巨額の投資だけでは不十分
2)人為的なミスが端緒になる
3)委託先企業が弱点になる
4)多大なデータが(区分されずに)保持されている
5)デバイスは紛失されやすい
6)データが暗号化されていない
7)全てがワンクリックで決まる
8)教訓が活かされていない
9)侵害はしばしば、不注意な単純ミスに起因する
   *
 そして退役軍人医療センター(VAMC)の情報流出の事例や、SIMカード攻撃の事例、人事管理局OPMのサーバーの事例など、さまざまなデータセキュリティの問題事例が紹介されていきます。
「第4章 全体像――システムと構造」では、次のようなことが指摘されていました。
「(前略)なぜ人々はそれほど不注意なのか。よいセキュリティ対策はしばしば面倒で不便であるため、結果として人々は不注意になってしまうのである。人間の性質の基本的な傾向の一つは、面倒なものほど、行わないようになるということである。セキュリティ法もセキュリティ当局も、この現実を考慮することをしばしば怠っている。
 そのため、セキュリティポリシーや対策は、名目上は問題なくみえるが、実際には失敗する。」
 また次のような提言も……
・「データセキュリティは、公衆衛生から多くのことを学ぶことができるだろう。この二つの分野は、実は似たような用語や概念を使用している。」
・「一歩引いて全体像を見てみると、セキュリティは構造的に考えるべきものである。データエコシステムの構造において、多くの関係者が問題に寄与していながら、責任を問われないことに起因するものである。」
・「よりよい戦略は、サイバーセキュリティインシデントのライフサイクルを考慮して、介入する最適な時期を決めていくことであろう。」
・「(前略)市場の自由な競争に任せていても、良好なセキュリティは提供されないことが多く、むしろ多くの場合に不十分なセキュリティですませようというインセンティブが働く。その理由は、データエコシステムの全ての関係者が、侵害の責任(及びその結果として負わされる責任)を他者に転嫁したいという強い動機を持つからだ。現在のデータセキュリティ法は、いざというときに、責任を負わされまいとして他の人に渡そうと必死になるように促している。」
   *
 そして「第5章 データエコシステム全体の責任」では、次のような指摘がありました。
・「(前略)信用情報機関は、大量のデータを処理している。裁判所は、これらの企業が間違いを犯した場合でも、その責任を問うよりも、これらの企業が巨大だからという理由で擁護して、間違いを犯す余地を大きくしてしまことが多い。これらの企業のビジネスモデルは、コストを低く抑え、迅速かつ大量に物事を行うというものである。これは信用情報機関だけのビジネスモデルではない。」
・「ビッグデータ企業は、何百人もの人々のデータを保有しているが、人々にデータの権利を与えたり、堅牢なセキュリティを提供したりすることに対する、経済的なインセンティブはあまりない。法律は、そうしたインセンティブを提供しなければならない。」
・「(前略)法律の効果によって、物理的製品については安全なものを生産するようになっているのに、デジタル製品については全くそうなっていない。過失による不法行為のような法的枠組みは、人工知能のような複雑で不透明な技術に対しても、驚くほど柔軟で適応性がある。だから、裁判官、弁護士、立法者は、これらの技術に対して予見されるリスクや、設計や使用で人間が犯しうる失敗について、理解するための継続的な努力をしなければならない。」
   *
 本書では、多くのデータ侵害事例が紹介されていますが、なかでもゾッとしたのが、「第6章 データ侵害による損害を軽減する」の「なりすまし被害の蔓延」のジャーナリストのディビッドさんの事例。彼は何者かにIDを窃取され「なりすまし」被害を受けました。この事件では、最終的に犯人は逮捕され国外退去になったのですが、ディビッドさんは借金の支払いをせざるを得なくなるなど大変な被害を受けました(もちろん彼はこの経緯について記事を書きました)。ところがなんと10年後に、彼は、また同じ犯人によって再び被害を受けることになってしまったそうです!
「ネット上の誤情報を完全に修正するのは不可能に近いということだ。前回、厖大な時間をかけてなんとかできたと思ったのに。」と、彼は嘆く……と書いてありましたが、同じ犯人がまた同じ手口で「なりすまし」が出来るんですね……その恐ろしさに衝撃を受けました。もちろん、なりすましの被害者は、借金をして費用を支払う、仕事を休むなどの多大なコスト、ストレスに見舞われるのですが、警察は殺人や強盗などの凶悪犯を優先して、なりすまし被害は後回しにされることも多いようです。
 さらに、次のようなことも書いてありました。
・「医療に関するなりすましは経済的な損害をもたらすだけでなく、診療記録を虚偽の情報に書き換えてしまうことで、患者の治療を危険にさらす可能性もある。」
・「なりすまし犯は、とりわけ子どもを標的にする。」
・「被害者の信用スコアは急落し、毀損された信用情報をきれいにするために時間を無駄に費やさなければならない。」
・「(前略)多くの場合、データ侵害を受けた組織が負担しなければならないコストは過大である。そのため、被害を受けた人々への補償は支払われず、またその後の改善の取組みにも結びつかず、かかわった全ての者を傷つけるだけに終わってしまう。」
・「刑法の適用によるなりすまし対策には、執行例が少なすぎるし、執行されるのが遅すぎるという問題点がある。なりすまし犯は容易に摘発を逃れることができてしまうため、刑法では犯行を抑止できない。」
・「なりすまし被害には、企業がそのような状況を放置しているために発生するものも多い。」
   *
 そして「第9章 結論――総体的アプローチ」には、データセキュリティをより良いものにしていくために、次のアプローチが提案されていました(もちろん本書内では、もっと詳しい説明があります)。
・データセキュリティ法では、事後対応よりも事前対応を重視すべきである
・データセキュリティ法は、問題の重要性に合わせた柔軟なアプローチで適切なインセンティブを作り出すべきである
・法整備にあたっては、データセキュリティは構造的・社会的問題であり、セキュリティに関する一つの不備が、社会全体に影響を与えうることを認識する必要がある
・データセキュリティ法は、データエコシステム内でデータ侵害の原因を起こしうる全ての関係者に責任を課すべきである
・データセキュリティ法は、全ての侵害をなくさなければならないという見当違いの思い込みから脱却し、よりバランスのとれた賢いデータセキュリティのアプローチを推進すべきである
・データセキュリティ法は、データ侵害の被害を軽減することを目指すべきである
・データセキュリティのために、機械的なチェックリストを推奨するのはやめるべきである
・法律におけるプライバシーとセキュリティの統合を進めるべきである
・システムにおける人的要素を考慮したセキュリティ・バイ・デザインを要求または奨励すべきである
・統一的で負担の少ないセキュリティの基準を促進して、人々が適正な期待と知識を持てるようにすべきである
   *
『データセキュリティ法の迷走: 情報漏洩はなぜなくならないのか?』……情報漏洩に対して法はより全体論的かつ戦略的になるべきとして、新たなアプローチを提示してくれる本で、とても参考になりました。みなさんも、ぜひ読んでみてください。
   *   *   *
 なお社会や科学、IT関連の本は変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください。

Amazon商品リンク

興味のある方は、ここをクリックしてAmazonで実際の商品をご覧ください。(クリックすると商品ページが開くので、Amazonの商品を検索・購入できます。)


『データセキュリティ法の迷走』