サイバー攻撃で「特定秘密」が流出した場合、システム管理者が実刑を受ける可能性がある 128
ストーリー by hylom
ミスったら監獄行きとはどこの国だ 部門より
ミスったら監獄行きとはどこの国だ 部門より
あるAnonymous Coward 曰く、
1年後の施行に向け準備が進められている特定秘密保護法だが、政府機関などがサイバー攻撃を受けて「特定秘密」が外部に流出した場合、情報管理担当の職員が処罰対象になりえるとの見解がまとめられていたそうだ(47Newsの記事)。
同法では過失も処罰対象とされているため。報道では詳細まで語られていないが、「サイバー攻撃を防げなかった情報管理担当の職員」ということは、要するに官庁などのシステム管理者などだと思われる。重要な情報を管理する管理者の責任として、これは妥当だろうか?それとも過剰だろうか?
煽り過ぎ (スコア:4, 興味深い)
情報管理担当職員は職責を果たしていないのだから、処罰されるのは当たり前。
ごめんなさいで済むような話じゃないでしょう。
法律によれば
>「特定秘密」を取り扱えるのは、大臣や副大臣、政務官のほか、「適性評価」を受けた公務員」
であり、対象は
>「防衛」「外交」「安全脅威活動」「テロ」の4分野のうち特に秘匿すべき情報
なので、
そこいら辺に転がっている民間企業のシステム管理者が特定秘密に触れることはありえないだろうし、
公務員ではないので処罰の対象ではない。
タイトルは煽り過ぎ。
Re:煽り過ぎ (スコア:4, 興味深い)
>「特定秘密」を取り扱えるのは、大臣や副大臣、政務官のほか、「適性評価」を受けた公務員」
特定秘密の保護に関する法律案 [shugiin.go.jp]
第5条第4~6項見ると、民間に特定秘密を保有させることが出来る様に読めるんですが。
普通に考えて公務員が自分でサーバ構築して管理するんじゃなくて、
民間業者に発注しますよね。HDDクラッシュした場合の救出も民間でないとできないし。
TomOne
Re:煽り過ぎ (スコア:2, すばらしい洞察)
内容も煽り過ぎ。
さも機密保護法が悪いように煽る工作員が多すぎてもう辟易。
免責が完全に保証されているべきだとでも考えているのだろうか。
サボタージュも含めて重大な過失があった場合に処罰される可能性があるのは当たり前。
Re:煽り過ぎ (スコア:1)
特定秘密保護法関連のタレコミってずっとこの調子だよw
Re: (スコア:0)
情報システムだったら特定秘密であっても手抜きして漏れてもお咎めなしになるべきとかお考えなんでしょうかね、タレコミ主は。
Re:煽り過ぎ (スコア:1)
機密保護法に関してのスラド住人の冷静かつ的確なコメントぶりは異常。
編集者の煽りが全く通用しない。
心配なのは責任だけ負わされそうなこと (スコア:0)
いやタレコミ主だけど、法案自体には(全面的ではないものの)賛成だし、サイバーノーガードみたいなアホ管理者なら処罰もやむおえないと思ってるよ。
でもこの話題には、他の人も言及してるみたいに、真面目な管理者さんも予算や権限が与えられず責任だけとかいうブラックな事態になるんじゃなかろうか…、という心配がちらほらと。
0デイ攻撃とか、過失じゃないものをキチンと切り分けて運用されるならいいんですが。
年々攻撃手法が進歩してるのに、一歩ミスったら刑務所送りな仕事なんて、公務員だとしても嫌すぎです(--;
Re: (スコア:0)
システムが特定機密を扱ってることを、管理者が知ってるかどうかが気になる。
通常、システム管理者はシステムの健全運用をしているだけで、システムが扱うデータの内容は管轄外だし。
特定機密を扱うようにはできていないシステムに特定機密データを投入したら、投入した人の責任じゃなかろうか。
Re:煽り過ぎ (スコア:1)
この場合の管理者とは現場の運用担当ではなく、実際の作業を行うSIerへ発注を出せるレベルの管理職としての管理者だと思います。
ですので、最低限特定機密を扱うようなシステムかどうか、という程度の情報は降りてくるでしょう(機密レベル何某といった表現かも知れませんが)し、
そこで必要な要求を出せていなかったら、処罰の対象になる、ということでしょう。
#現場から要求が上がって来なくて対応出来なかったとか、リリース直前になって特定機密対応が追加される、とか普通に有りそうだけど。
Re: (スコア:0)
> システムが特定機密を扱ってることを、管理者が知ってるかどうかが気になる。
それ知らないってのは運用としてあり得ないだろ
情報隔離してないなら妥当でしょ (スコア:1)
特定秘密情報を外部から隔離してない
→所管大臣を含めて処罰されるべきでしょ
隔離していたが、まぬけな職員がローカルで持っていた情報がリーク
→まぬけ職員を処罰
部門名、煽りすぎ
車運転ミスって人身事故おこしたら監獄いきだよ
Re:情報隔離してないなら妥当でしょ (スコア:1)
> 部門名、煽りすぎ
> 車運転ミスって人身事故おこしたら監獄いきだよ
そのとおり。人名や安全にかかわる仕事なんていくらでもあるし。
・食品全般(食中毒の危険がある)
・交通全般(交通事故を防ぐ責任がある)
・土木、建築(建築物が倒れたらけがをする)
・電化製品(漏電で人が死ぬこともある)
・医療(いつでも死と隣り合わせ)
ミスっても監獄行きにならない職業なんて、そんなにないかもしれない。
Re:情報隔離してないなら妥当でしょ (スコア:1)
>ミスっても監獄行きにならない職業なんて、そんなにないかもしれない。
会期中は刑事罰に問われない国会議員がいちばん安心な職業ということになるんでしょうね。
Re:情報隔離してないなら妥当でしょ (スコア:1)
正確には刑事罰に問われないではなく、不逮捕特権な。
ただ、院外での現行犯逮捕と、逮捕許諾決議のある逮捕は実行できる。
Re:情報隔離してないなら妥当でしょ (スコア:1)
訂正多謝。
臆病な議員は国会に立てこもり(ひきこもり)ということをたくらむのではないかと思っている。
その上で会期を無駄に延ばしてさらに議決をしないさせないという本末転倒の議員活動を。。。
Re:情報隔離してないなら妥当でしょ (スコア:1)
>・食品全般(食中毒の危険がある)
>・交通全般(交通事故を防ぐ責任がある)
>・土木、建築(建築物が倒れたらけがをする)
>・電化製品(漏電で人が死ぬこともある)
>・医療(いつでも死と隣り合わせ)
話が大幅にずれるかもしれんが、このへんも考え直したほうがいいんじゃないかなあ。
特に飛行機事故なんかだと、原因究明と再発防止に重点がおかれて、そのために(原因究明の障害になるような)刑事責任の追求はやらないことになってるんじゃなかったっけ?
自動車事故や医療事故についても同じだと思うんだが。
(どんなに注意しても一定確率で起き続けてるようなものを個人の責任にすべきか?)
Re:情報隔離してないなら妥当でしょ (スコア:1)
ついでに、自動車事故の場合、何が何でも運転手の責任にするのもやめてほしいわ。
どう考えても歩行者が悪い場合でも運転手のせいにされるんだから、たまったもんじゃない。
高速道路で前の車のドアが開いて人が落ちてきたのを引いたらアウトっていうのはね・・・車間距離あけてても高速でそんな急に曲がれないし止まれないし。
Re:情報隔離してないなら妥当でしょ (スコア:1)
それは米国の話し。
日本の事故調は中立な立場で事故調査を行うが、司法(警察の捜査)に阻まれることが多い。
司法はぶっちゃけ犯人の確定に必要な事実が解れば良いので原因の追求まではしない。だから被疑者となりうる関係者の口も重くなる。(黙秘権もあることだし...)
事故調による関係者への聞き取りでも当然刑事裁判の証拠になる可能性があるから喋るはずもない。
一方被害者の家族は警察が原因究明してくれるものと思い込んでいるから、裁判を傍聴しても肩透かしに終わることが多い。
一部の被害者家族は刑事訴追をやめて原因究明に重点を置くべき、と主張しているが、被害者家族が許したとしても日本の社会がそれを許さないだろう。
社会的影響の大きい航空機や列車事故ですらそんな有り様なので、知名度の低い消費者事故調は推して知るべし。
原因の徹底追及を行わないと類似事故が繰り返される可能性が高いのだけど、日本人は自分だけは被害に遭わないと思っていて、加害者の責任追及に走ってしまうようだ。
これも国民性か。
Re:情報隔離してないなら妥当でしょ (スコア:1)
従来の過失罰は、人体に対する危害が中心ですかね。
それ以外では、失火だとか、過失致死傷の一歩手前のもので、やはり人体への危険性が高いものでしょうか。
その点で、「情報」に対して過失罰を付けたのは新しいとも言えるし、当該法の主眼が安全保障であるならば、人体への危険性を視野に入れた、従来通りの過失罰とも言える、というところでしょうか。
ところで、生命・身体の保護を目的とする犯罪類型であるとするのであれば、刑事罰を課すには、単に情報漏洩があったというだけでは足りず、その情報漏洩が、生命・身体への危害に容易に繋がるものである必要があるように思うのですが、実際はどうなのでしょうね。
テロリストを防げず監獄行きになる職業 (スコア:1)
おっしゃる通り、失敗したら責任を取らされる職種というのは多数あります。
しかしシステム管理者はこれらの職種とは大きく異なっています。
それは「システムは悪意を持って攻撃される」という点です。
例えば、料理に毒を入れられて阻止できなかった板前が逮捕されるか、ビルがテロリストに爆破され建設業者が責任を負わされるか、というと通常負わされません。
しかし、今回の報道通りなら、システム管理者は逮捕されます。
ですので、比較するなら事件を防げなかった警察官は逮捕されるべきか、というのが適切でしょう。
# そう考えると、著しい過失があったら逮捕もやむなし、あたりが妥当か。
Re:テロリストを防げず監獄行きになる職業 (スコア:1)
どちらかハッキリしない段階でも、とりあえず逮捕して実名報道して、事実上の社会的制裁を与える流れでしょ。
不起訴でも嫌疑不十分で釈放でも、周りはなんとなくレッテル貼ってグレーな目で見るワケで、その後の身の振りや出世にも影響あるのが実情。
Re:テロリストを防げず監獄行きになる職業 (スコア:2)
>武器の手入れを怠って応戦すらできなかったから占領された、なら警官にも責任はあるのと同じこと
こっちって世間的批難は大きいだろうけど、刑事罰の対象だっけ?
Re:テロリストを防げず監獄行きになる職業 (スコア:1)
その(建設業者の)場合、民事での責任は問われるかもしれませんが、
刑事はないでしょう。
Re:情報隔離してないなら妥当でしょ (スコア:1)
ソフトウェア関連なんて免責事項の山です。
ソフト会社なんてソフトのバグで生じた損害賠償は負わないと謳っているのが当たり前です。
そのような曖昧な世界に、絶対的な責任を持ち込むことに無理があります。
電気部品もメーカーは人命に関わる製品に使うなと言ってますし、
自動車のABSもブレーキ性能の向上を保証してませんし、
おせち料理は元旦中に全部食べろと非現実的なことを料理屋は言ってます。
世の中、免責に溢れてます。
Re: (スコア:0)
47Newsの記事文があいまいでよくわからないけど
・既知のセキュリティホールを見逃していた
⇒なら、担当職員の過失(やるべきことをしていなかった)だろう
けど、
・未知のセキュリティホールを突かれた
だとどういう法解釈になるんだろう?
車運転ミスって人身事故おこしたら監獄いきだよ
リコールになるような未知の不具合で事故が起きたとき、って運転者の責任100%ではないでしょう?
Re:情報隔離してないなら妥当でしょ (スコア:2)
電子化しなきゃ良いんじゃないですかね。
手書きで難読文字を書いて金庫に保存。
連絡手段となる通信は専用線のみ使用でかつ色々気を付ける(ココが一番危ない?)
それでも古典的なセキュリティーホールは存在するけど
対策方法も枯れてるし、万が一漏れたときに処分しやすい。気がする。気がする。気がする。
Re:情報隔離してないなら妥当でしょ (スコア:1)
過失による情報漏洩が処罰対象とされてるだけだから、未知の不具合で漏洩が起きても過失とは言われないだろう。
Re: (スコア:0)
普通に考えれば却下した方の責任なんだが、日本の場合はそれでも現場の責任者の責任にされそうで嫌だな。
Re: (スコア:0)
組織としての責任問題で責任負わされることはあるかもしれんけど、さすがに刑事事件としての裁判になったら、予算を申請して却下された結果だったとしたら罪には問われんだろう。
予算の申請の仕方が悪いとか別の要因があれば兎も角、そうでなければ何も過失が無いんだから。
Re:情報隔離してないなら妥当でしょ (スコア:1)
法人罰 [google.com]をイギリスのように取り扱うようになれば見通しは良くなるでしょうねえ。
その場合であっても予算申請却下というだけで一意に下っ端お咎めなしとはきめられないとも思う。個別の案件毎に裁かれるというのが自然では?
Re:情報隔離してないなら妥当でしょ (スコア:1)
>大抵の場合「上司を説得できなかったやつが悪い」って言われるよな。
普通の組織だと、上司は説得する対象じゃないでしょう。対等な立場じゃないですし。
いったん自分で結論を出したのに、他者の意見で簡単に決断を変える人間には長は務まりませんよ。
“伝えるべき情報を伝えていない”なら、担当の責任でしょうけどね。
Re:情報隔離してないなら妥当でしょ (スコア:1)
不勉強なのでご教示いただけたらうれしいのですが
化学工場の安全管理担当者や食品工場の衛生管理担当者が、安全や衛生を保つために予算を申請したが却下された場合
と同じということは端的に言うと誰が有責でその結果何を課せられるということなのでしょう?
下っ端?金のことを指図できる人間?どっちでもない中間管理職?所払い?市中引き回しの上斬首獄門磔?
上記で問題理解のフレームワークを間違えているというのでしたら、これこれとお示しいただけたらさらに幸甚です。
何で今さらそんな話してるの (スコア:1)
思うに、「それ何の規制もないほうがおかしいだろ」みたいな極端な例ばかりあげてドン引きされてたマスゴミは実際には法に賛成だったんだろうなあ。
ホウドウノジユウはきっちり確保してるし(※ただし特権階級の記者クラブマスゴミ様に事実上限る)、それでいて一部の支持者団体にはあたかも反対しているかのようなポーズを示すことができたし、まともな人間は同類と思われたくなくてろくに反対できなかったし、一分の隙もない完璧な作戦だったね。
Re: (スコア:0)
それはよかったネットしすぎるとアホになる病でもあるのかと心配してたが杞憂だったようだ。
Re: (スコア:0)
原発再稼動とまったく同じ構図
Re:何で今さらそんな話してるの (スコア:1)
>一流大学出ているはずの人たちが頭おかしい主張してるのが本気で理解できない。
>ある意味「大学で学んだことなど何の役にも立たない(立てられない)」ってことなんですかね。
ん?大学は一般常識がない人を隔離する場所だと中の人に聞いたことがあるのだが。
大学で学べば頭がまともになるという主張はおかしい。
要求したセキュリティ予算が認められなかったら誰のせい? (スコア:1)
○○攻撃を防ぐには××システムが必要で、それには△△円が必要。
そんなシステム管理者からの要求に対して、上司なり予算担当者なりが予算不足を理由に拒否した。
予算だけでなく、利用者の労力が問題になる場合もあろう。
過失犯には結果回避可能性が必要であるとするなら、「□□をしていれば防げた」と言える必要があるはずで、この場合の「□□」とは、「××システムの導入」であろう。
では、それをする義務がありながら、それをしなかったのは、誰か。
業務環境整備の責務は上司なり予算担当者にもあるはずで、そうなると、業務に必要なセキュリティ措置を怠ったのは、セキュリティ予算を拒否した人物ということになるのではないか。
予算不足は正当化の理由にはならないだろう。
従来、金がないからと人手や安全策をカットした結果の事故に対して、刑事責任は負わないとすることにはなっていないはずだ。
唯一、予算案を否決した国会議員は、憲法第51条により罰せられないというところだろうか。
予算を削りたければ、その段階まで持って行けと。
さて、これらの上で、各人が刑事責任を負わない方策を考えるに、必要な、あるいは必要かどうかも不確かなセキュリティ施策をとことん列挙し、要求し、実施していくということになるのではないか。
ハードもソフトも運用も、とにかく青天井で。
パスワード類は何種類用意しようか。
何日ごとに変えようか。
セキュリティ屋には大きな商機なのだろうか。
それとも、法第5条の
「当該特定秘密の保護に関し必要なものとして政令で定める措置」
「契約に従い、当該特定秘密の適切な保護のために必要な措置」
にセキュリティ要件が規定され、それを履行していれば無過失とされるだろうか。
セキュリティ要件自体に穴があって、システム管理者がそれを認識できたとしても。
Re: (スコア:0)
タレコミに書いたコメントを再投稿。
なんで電子情報なの? (スコア:1)
特定秘密にかぎらず取り扱いが問題になりそうな情報は電子情報にしない。
電子情報になっていたらプリントアウトして元ファイルは消去するのが一番簡単。
プリントアウトは厳重に保管する。
これに関連してか職場でもいろいろ動きがあったのでそういう方針にしました。
もうちょい詳しいソース (スコア:1)
サイバー攻撃流出も処罰 特定秘密保護法、職員に過失責任 政府が内部文書で見解 [msn.com]
前半部分は47Newsと同じく「内部資料から判明した、過失でも処罰対象となりうる」だけですが、こちらにはまだ続きが。
ん~後者が一括りにされているのには、ちょっと危険なニュアンスを感じるような・・・?
過失があればダメですが (スコア:1)
バグの発生自体が不可避であることは既に判決で認められているわけで、バグを防ぐためにどこまでやっていれば過失ないと言えるのか?という議論を本気でぶちかます時がやってきたんでしょうかねぇ。
業務上過失漏洩 (スコア:0)
対象が公務員であることを無視すればそんな違和感ないけど。アホなシステム会社はセーフなんだろ?OKじゃん
大丈夫 (スコア:0)
予算や権限が充分に与えられるならともかく
責任だけおっ被される可能性が高い、そんな名ばかり責任者につかされる人材なんて失っても痛くない人だけだって。
Re: (スコア:0)
いわゆるサイバーノーガードね
なぜシステム管理者なんだよ (スコア:0)
処罰対象はどう考えても経営者だろ
Re:なぜシステム管理者なんだよ (スコア:1)
過失? (スコア:0)
必要な技術が足りてないのに足りてるふりをして不正に報酬を得る詐欺は過失ではないよな?
Re: (スコア:0)
詐欺なら詐欺罪で立件すればいいだろ
Re:そして誰も居なくなった。 (スコア:1)
まあ、医療の現状を見てるとさもありなん。
「過失」なんってもんは後付けでいくらでもでっち上げられるってのがはっきりしてるし。
Re:「実刑を受ける可能性」 (スコア:1)
たしかに。
むしろ、普通罰則がある場合には懲役や禁錮が定められているのが普通だと思うのですが、
実刑がない(罰金刑のみ)ってどういうのがあるのでしょうか?