内閣官房 サイバー空間の安全性・信頼性向上のための課題等について
こんにちは、丸山満彦です。内閣官房が「サイバー空間の安全性・信頼性向上のための課題等について」を公表していますね。。。
=====
1.概要
・・・検討にあたっては、情報セキュリティや個人情報保護の専門家を集め、従来の情報セキュリティ政策の枠組みにとらわれず幅広い観点から検討を行い、海外動向等も踏まえながら、主に制度的な観点から今後我が国において対応が求められる課題について論点整理を行いました。
2.主な結論
(1) マルウェアの作成や頒布の抑制について
情報漏えいやデータ消去を引き起こすような凶悪なマルウェアが国内において作成される ケースもある一方で、現時点では我が国においてマルウェアの作成や頒布を直接規制する法律が存在していないことから、マルウェアの 作成や頒布行為を規制するための法律の早期の制定が望まれる。
(2) 事故を前提とした対策実施を促す制度設計について
情報セキュリティに係る事故を完全にゼロにする対策は困難であり、事故が起こった際の 被害の発生・拡大を防止するための取組が重要であるところ、暗号化等の技術的手段を用いて情報漏えい時の二次被害の防止等を図るこ とを促すという観点から個人情報保護ガイドライン等が検討されていくことが望まれる。
(3) クラウドコンピューティングについて
国境をまたぐクラウドコンピューティングを利用した場合、海外にデータが移転する可能性 があることから、特に公的分野において、重要なデータを処理する部門がクラウドコンピューティング事業者の提供するサービスを利用する 際には、事業者が適切に情報セキュリティ対策を講じていることを委託元において確認するとともに、適切にリスクアセスメントを行って おくことも重要である。
(4) 情報通信技術の利用環境の変化に応じた対応
ネットワーク家電が今後も増加するものとみられることから、我が国において、ネットワーク 家電製品に対して適用される情報セキュリティに関するルールを早急に明確化することが必要である。
3.委員名簿(敬称略)
・岡村久道 弁護士・国立情報学研究所客員教授(座長)
・石井夏生利 筑波大学准教授 (IT本部電子行政タスクフォース構成員)
・ジョン・キム 慶応大学准教授(ハーバード大学客員研究員)
・鈴木正朝 新潟大学教授
・高木浩光 (独)産業技術総合研究所 主任研究員
=====
■内閣官房
・2011.04.12 「サイバー空間の安全性・信頼性向上のための課題等について」の公表について
目次は、、、
=====
目次
はじめに
1.サイバー空間の悪用を抑止するため取組
(1) マルウェアの作成や頒布を抑制する上で課題
(2) その他課題
2.組織における 情報セキュリティ対策を推進すための取組
(1) 事故を前提とした対策実施促す制度設計の必要性
(2) クラウドコンピューティグを巡る課題
(3) その他課題
3.新たな課題への対応
(1) 情報セキュリティ/プライバシー問題の急激な変化
(2) 情報通信技術の利用環境変化に応 じた対
=====
« 経済産業省 国、地方公共団体等公共機関における民間ソーシャルメディアを活用した情報発信について | Main | 内閣官房 社会保障・税に関わる番号制度に関する実務検討会(第7回)および情報連携基盤技術WG(第4回) »
Comments
丸山 様
夏井です。
クラウドについてですが,詐欺師に対して「あなたは詐欺師ではないですよね?」と質問をしても「もちろん詐欺師ではありません」と答えるに決まっています。外部監査についても,報告書が偽造であったち,買収によるものであったり,あるいは,外部監査組織が実は詐欺の共犯者であることがあるという小学生でも理解できる当たり前のことをきちんと踏まえた対応が求められます。
結局,少しでも不安が残ることきは「利用しない」という結論を明確にして欲しいですね。
Posted by: 夏井高人 | 2011.04.13 07:03
夏井先生、コメントありがとうございます。
外部委託のサービスを利用する場合、コントロール外にあるので情報を正しく把握することはできませんね。。。なので、与えられた情報の中から、自分でメリットとリスクを判断して対応するしかないのですが、そこをどう考えるか。。。
重要なことは、いかに正しくおかれている状況を判断するかということなんですが、自分の都合のよいように現状認識し、判断を誤ってしまうことが多いように思います。
Posted by: 丸山満彦 | 2011.04.13 08:28
丸山 様
夏井です。
完全子会社のような会社に外部委託する場合には,事実上,同じ会社の一事業部門で仕事をさせるのと同じですので,この場合には,形式的には外部委託となっていても委託者のコントロールが完全に及ぶと考えてよいと思います。
しかし,それ以外の場合には,駄目ですね。
もし,全く別法人なのに,委託者が受託者に対してコントロールを強制するとすれば,独占禁止法違反の問題が生じます。日本の公正取引委員会は,いわば原子力安全委員会のようなもので,「何もしないこと」を前提に組織されているので,これまであまり問題となることがなかったのだろうと思います。
つまり,外部委託(アウトソース等)は,本当はできないんですよ。
このような小学生でも理解できる簡単な理屈を理解できるかどうかでその人の脳機能のレベルを測定することができますし,理解できてきる人が「そんなことはない」というかどうかでその人の「嘘つき度」を正確に測定できると思っています。
要は,そのような意味での「噓つき」をパージすることです。
しかし,できません。
何しろ,世の中の圧倒的多数は「ことなかれ主義」というエイリアスをもつ「うそつき」で構成されているからです。
だから,改善できません。
法律家に限定すると,「パブリッククラウドに保有個人データの処理を委託すれば,ただそれだけで個人情報取扱事業者としての監督義務違反になる」と述べることのできる人は,まともな法律家です。反対のことを述べる者は,噓つきであるか,頭が悪いか,勉強不足であるか,無知であるかのいずれかだと思います。コントロールできない対象なのに「できる」と判断しているところが根本的に間違っていますからね。
とまあ,こういう感じなんですが,そもそも法律が粗悪品なのでこういうことになってしいます。ですから,さっさと全面改正しましょう。意味のある立法論としては,いわゆる「夏井説」しかありません。
Posted by: 夏井高人 | 2011.04.13 09:29
夏井先生、コメントありがとうございます。
パブリック・クラウドサービス提供事業者に個人データの取り扱い等を委託する場合、委託先を監督するということは無理ですよね。。。
監督官庁はどう判断する?
Posted by: 丸山満彦 | 2011.04.14 14:12