『データセキュリティ法の迷走: 情報漏洩はなぜなくならないのか? (基礎法学翻訳叢書 2巻)』2023/11/16
ダニエル・J・ソロブ (著), ウッドロウ・ハーツォグ (著), 小向 太郎 (翻訳)

 米国の法律は情報漏洩に対処できていない! ……プライバシー法とデータセキュリティ法のどこが間違っていたのかを明快に示して、新たなアプローチを提示してくれる本で、内容は次の通りです。
第1章 序論――予告された侵害の記録
第1部 データセキュリティの広範な理解
第2章 データ侵害の蔓延
第3章 データセキュリティ法の失敗
第2部 総体的データセキュリティ法
第4章 全体像――システムと構造
第5章 データエコシステム全体の責任
第6章 データ侵害による損害を軽減する
第7章 プライバシーとデータセキュリティの統合
第8章 人間という最大の弱点のためのセキュリティ設計
第9章 結論――総体的アプローチ
謝辞
解説
原注
索引
   *
 情報漏洩はなぜなくならないのか? そして私たちはどうすべきなのかを教えてくれる本で、とても参考になりました。「第9章」には結論があり、さらに「解説」では、訳者の小向さんが本書の簡単な総まとめをしてくれているので、時間のない方は、これらを読むだけでも、本書の概要をつかむことが出来ると思います。
 冒頭の「第1章 序論――予告された侵害の記録」では、2013年に起きたターゲット(全米2位のディスカウント・ストアチェーン)へのハッキング事例が紹介されていましたが、その恐ろしい内容に言葉を失ってしまいました。標的にされたターゲットは、300人以上の情報セキュリティスタッフがいるなど、セキュリティに多額の費用をかけ、システムを守っている「セキュリティのチェックリストでは健全」なはずの企業だったからです。
 そんなターゲットのシステムへの侵入は、ターゲットの仕事をしていた空調会社の従業員が詐欺メールの添付ファイルを開いてしまったことから始まりました。そのメールに隠されていたマルウェアが彼の管理者権限を奪取してしまったのです。
 これはもちろん問題ですが、ターゲット側にも別の問題があったようです。なぜならこのマルウェアは、ターゲットのファイヤーアイに検知されて、マルウェア警告が行われていたからです。実はターゲットでは、セキュリティに関する決定を手動で行うことにしていたために、かえって問題を起こすことになってしまった(自動にしていたらファイヤーアイの削除機能で防止できたはずだった)のだとか! うーん……ありがちなことですね……(涙)。
 このような恐ろしい実例を、たくさん読むことが出来ました。
 個人の例として、とても恐ろしかったのは、「第4章 全体像――システムと構造」で紹介されていた「SIMスワップ」または「SIMハイジャック」の被害者の事例。ハッカーが被害者の電話アカウントに侵入して、その電話番号を別の電話番号に切り替え、アカウントのパスワードをすべてリセットした(二要素認証コードはハッカーの電話だけに行くことになり、ハッカーたちがプライバシーに関する情報に「なりすまし」で答えた)ということでしたが……誰が被害者になっても不思議ではないような事例でした……こんなことが自分には起こらないように祈るしかありません。
 しかも米国では侵害の通知数が多くて、人々は「侵害通知疲れ」を感じているそうです。次のようにも書いてありました。
「たとえ通知を受け取ったとしても、人々が侵害に対してできることは多くない。パスワードを変更したり、クレジットカードの履歴を監視したりすることはできるが、指紋を変更することはできず、社会保障番号の変更は非常に難しい。」
 ……まったく、その通りですね……(涙)。
 そして「第9章 結論――総体的アプローチ」では、どうすべきかについての鍵となる部分が次のように紹介されていました(ここでは項目のみ紹介しますが、本書ではもっと詳しい説明があります)。
・データセキュリティ法では、事後対応よりも事前対応を重視すべきである
・データセキュリティ法は、問題の重要性に合わせた柔軟なアプローチで適切なインセンティブを作り出すべきである
・法整備にあたっては、データセキュリティは構造的・社会的問題であり、セキュリティに関する一つの不備が、社会全体に影響を与えるうることを認識する必要がある
・データセキュリティ法は、データエコシステム内でデータ侵害の原因を起こしうる全ての関係者に責任を課すべきである
・データセキュリティ法は、全ての侵害をなくさなければならないという見当違いの思い込みから脱却し、よりバランスのとれた賢いデータセキュリティのアプローチを推進すべきである
・データセキュリティ法は、データ侵害の被害を軽減することを目指すべきである
・データセキュリティのために、機械的なチェックリストを推奨するのはやめるべきである
・法律におけるプライバシーとデータセキュリティの統合を進めるべきである
・システムにおける人的要素を考慮したセキュリティ・バイ・デザインを要求または奨励すべきである
・統一的で負担の少ないセキュリティの基準を促進して、人々が適正な期待と知識を持てるようにすべきである
   *
 また個人的にとても参考になった部分を、「解説」での内容紹介から……
「「第5章 データエコシステム全体の責任」では、情報漏洩のきっかけを作ってしまった不注意な人間や、それを防げなかった企業を責めたてても、決して漏洩はなくならないと指摘する。脆弱なソフトウェアやデバイスを提供する事業者、悪質な広告を掲載するアドネットワークやウェブサイト、アプリの審査が不十分なプラットフォーム、脆弱性を隠して取締りなどに使おうとする政府関係者、誤ったセキュリティ教育を行う組織など、情報漏洩を起こりやすくする関係者は他にもたくさん存在しているのに、現状のデータセキュリティ法はこういった人たちに対して法的な責任を負わせていない。著者たちは、こうした多様なアクターにきちんと対応を促すような制度を構築すべきだと主張する。」
 ……このように関連する多様なアクターも含めて対応を促すことは、社会の多くの人がセキュリティについて真剣に考えて行動するようになるという教育効果も期待できると思います。
 さらに「解説」には、次のことも書いてありました。
「(前略)そこで筆者たちは、次のような方法でセキュリティデザインの改善を制度的に促すことを提案している。
1)デフォルト設定の変更(例:パスワードを強制的に変更させる)
2)相互の信頼の促進(例:ユーザだけでなく組織側にも本物であることの認証を義務付ける)
3)バランスのとれたセキュリティ対策の促進(例:非現実的な対策ではなく現実的な対策を推奨する)
4)意味のある警告の発信(例:本当に重要なシグナルだけを送るようにさせる)
 当然のことながら、本書が対象としているのは、米国のデータ侵害とデータセキュリティ法である。データ侵害の現状や、個人情報保護や情報セキュリティに関する制度は、日本と米国ではかなり異なる。データ侵害による経済的被害は現在のところ日本よりも米国の方が深刻だと考えられるし、訴訟社会である米国ほど活発な訴訟提起は、日本ではなされていない。しかし、個人情報保護や情報セキュリティに関する制度がデータ侵害の予防や損害の軽減に対して効果を上げていないのは、日本も同様であろう。著者たちの問題意識は、日本にもほぼそのまま当てはまるものが多いはずである。」
 ……解説で言われている通りに、本書は米国のデータセキュリティ法に関するものですが、日本でも、とても参考になるものだと感じました。
すべてのデータ侵害や情報漏洩を防ぎきることは、現実的には不可能だと思います。だから防ぐように努力することと、被害を最小にすることを目指すべきなのでしょう。本書にも、次のように書いてありました。
「セキュリティは車にやや似ている。私たちは利便性とスピードを求めているが、これらは悲劇的な犠牲を払っている。これらのトレードオフを無視することはできない。(中略)
 データに迅速かつ便利にアクセスし、使用するためには、ある程度のリスクを受け入れなければならない。もちろん、どれだけのリスクを受け入れ、どれだけの有用性を求めるかが鍵となる。」
 ……その通りだと思います。
『データセキュリティ法の迷走: 情報漏洩はなぜなくならないのか?』……データセキュリティ法に関わる多くの事例とともに、今後めざすべき方向性も示してくれる本で、とても参考になりました。デジタル世界の安全とセキュリティに関心を持っている方は、ぜひ読んでみてください☆
   *    *    *
 なお社会や科学、IT関連の本は変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください。
<Amazon商品リンク>