パスワードを忘れた? アカウント作成
10466045 story
情報漏洩

サイバー攻撃で「特定秘密」が流出した場合、システム管理者が実刑を受ける可能性がある 128

ストーリー by hylom
ミスったら監獄行きとはどこの国だ 部門より
あるAnonymous Coward 曰く、

1年後の施行に向け準備が進められている特定秘密保護法だが、政府機関などがサイバー攻撃を受けて「特定秘密」が外部に流出した場合、情報管理担当の職員が処罰対象になりえるとの見解がまとめられていたそうだ(47Newsの記事)。

同法では過失も処罰対象とされているため。報道では詳細まで語られていないが、「サイバー攻撃を防げなかった情報管理担当の職員」ということは、要するに官庁などのシステム管理者などだと思われる。重要な情報を管理する管理者の責任として、これは妥当だろうか?それとも過剰だろうか?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 煽り過ぎ (スコア:4, 興味深い)

    by NOBAX (21937) on 2014年01月03日 15時55分 (#2521588)
    >政府機関などがサイバー攻撃を受けて「特定秘密」が外部に流出した場合、情報管理担当の職員が処罰対象になりえるとのの職員が処罰対象になりえる

    情報管理担当職員は職責を果たしていないのだから、処罰されるのは当たり前。
    ごめんなさいで済むような話じゃないでしょう。

    法律によれば
    >「特定秘密」を取り扱えるのは、大臣や副大臣、政務官のほか、「適性評価」を受けた公務員」
    であり、対象は
    >「防衛」「外交」「安全脅威活動」「テロ」の4分野のうち特に秘匿すべき情報
    なので、
    そこいら辺に転がっている民間企業のシステム管理者が特定秘密に触れることはありえないだろうし、
    公務員ではないので処罰の対象ではない。

    タイトルは煽り過ぎ。
    • Re:煽り過ぎ (スコア:4, 興味深い)

      by tomone (15592) on 2014年01月03日 18時49分 (#2521686) ホームページ

      >「特定秘密」を取り扱えるのは、大臣や副大臣、政務官のほか、「適性評価」を受けた公務員」

      特定秘密の保護に関する法律案 [shugiin.go.jp]

      第5条第4~6項見ると、民間に特定秘密を保有させることが出来る様に読めるんですが。

      普通に考えて公務員が自分でサーバ構築して管理するんじゃなくて、
      民間業者に発注しますよね。HDDクラッシュした場合の救出も民間でないとできないし。

      --
      TomOne
      親コメント
    • Re:煽り過ぎ (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2014年01月03日 16時19分 (#2521599)

      内容も煽り過ぎ。
      さも機密保護法が悪いように煽る工作員が多すぎてもう辟易。
      免責が完全に保証されているべきだとでも考えているのだろうか。
      サボタージュも含めて重大な過失があった場合に処罰される可能性があるのは当たり前。

      親コメント
    • by Anonymous Coward

      情報システムだったら特定秘密であっても手抜きして漏れてもお咎めなしになるべきとかお考えなんでしょうかね、タレコミ主は。

      • by Anonymous Coward on 2014年01月04日 9時48分 (#2521898)

        機密保護法に関してのスラド住人の冷静かつ的確なコメントぶりは異常。
        編集者の煽りが全く通用しない。

        親コメント
      • いやタレコミ主だけど、法案自体には(全面的ではないものの)賛成だし、サイバーノーガードみたいなアホ管理者なら処罰もやむおえないと思ってるよ。
        でもこの話題には、他の人も言及してるみたいに、真面目な管理者さんも予算や権限が与えられず責任だけとかいうブラックな事態になるんじゃなかろうか…、という心配がちらほらと。
        0デイ攻撃とか、過失じゃないものをキチンと切り分けて運用されるならいいんですが。

        年々攻撃手法が進歩してるのに、一歩ミスったら刑務所送りな仕事なんて、公務員だとしても嫌すぎです(--;

    • by Anonymous Coward

      システムが特定機密を扱ってることを、管理者が知ってるかどうかが気になる。
      通常、システム管理者はシステムの健全運用をしているだけで、システムが扱うデータの内容は管轄外だし。
      特定機密を扱うようにはできていないシステムに特定機密データを投入したら、投入した人の責任じゃなかろうか。

      • by Anonymous Coward on 2014年01月03日 16時54分 (#2521614)

        この場合の管理者とは現場の運用担当ではなく、実際の作業を行うSIerへ発注を出せるレベルの管理職としての管理者だと思います。
        ですので、最低限特定機密を扱うようなシステムかどうか、という程度の情報は降りてくるでしょう(機密レベル何某といった表現かも知れませんが)し、
        そこで必要な要求を出せていなかったら、処罰の対象になる、ということでしょう。

        #現場から要求が上がって来なくて対応出来なかったとか、リリース直前になって特定機密対応が追加される、とか普通に有りそうだけど。

        親コメント
      • by Anonymous Coward

        > システムが特定機密を扱ってることを、管理者が知ってるかどうかが気になる。
        それ知らないってのは運用としてあり得ないだろ

  • 特定秘密情報を外部から隔離してない
    →所管大臣を含めて処罰されるべきでしょ

    隔離していたが、まぬけな職員がローカルで持っていた情報がリーク
    →まぬけ職員を処罰

    部門名、煽りすぎ
    車運転ミスって人身事故おこしたら監獄いきだよ

    • by Anonymous Coward on 2014年01月03日 17時30分 (#2521633)

      > 部門名、煽りすぎ
      > 車運転ミスって人身事故おこしたら監獄いきだよ

      そのとおり。人名や安全にかかわる仕事なんていくらでもあるし。

      ・食品全般(食中毒の危険がある)
      ・交通全般(交通事故を防ぐ責任がある)
      ・土木、建築(建築物が倒れたらけがをする)
      ・電化製品(漏電で人が死ぬこともある)
      ・医療(いつでも死と隣り合わせ)

      ミスっても監獄行きにならない職業なんて、そんなにないかもしれない。

      親コメント
      • >ミスっても監獄行きにならない職業なんて、そんなにないかもしれない。

        会期中は刑事罰に問われない国会議員がいちばん安心な職業ということになるんでしょうね。

        親コメント
      • by Anonymous Coward on 2014年01月03日 17時41分 (#2521643)

        >・食品全般(食中毒の危険がある)
        >・交通全般(交通事故を防ぐ責任がある)
        >・土木、建築(建築物が倒れたらけがをする)
        >・電化製品(漏電で人が死ぬこともある)
        >・医療(いつでも死と隣り合わせ)

        話が大幅にずれるかもしれんが、このへんも考え直したほうがいいんじゃないかなあ。
        特に飛行機事故なんかだと、原因究明と再発防止に重点がおかれて、そのために(原因究明の障害になるような)刑事責任の追求はやらないことになってるんじゃなかったっけ?
        自動車事故や医療事故についても同じだと思うんだが。
        (どんなに注意しても一定確率で起き続けてるようなものを個人の責任にすべきか?)

        親コメント
        • by Anonymous Coward on 2014年01月04日 4時58分 (#2521876)

          ついでに、自動車事故の場合、何が何でも運転手の責任にするのもやめてほしいわ。
          どう考えても歩行者が悪い場合でも運転手のせいにされるんだから、たまったもんじゃない。

          高速道路で前の車のドアが開いて人が落ちてきたのを引いたらアウトっていうのはね・・・車間距離あけてても高速でそんな急に曲がれないし止まれないし。

          親コメント
        • by Anonymous Coward on 2014年01月04日 14時01分 (#2521944)

          特に飛行機事故なんかだと、原因究明と再発防止に重点がおかれて、そのために(原因究明の障害になるような)刑事責任の追求はやらないことになってるんじゃなかったっけ?

          それは米国の話し。
          日本の事故調は中立な立場で事故調査を行うが、司法(警察の捜査)に阻まれることが多い。
          司法はぶっちゃけ犯人の確定に必要な事実が解れば良いので原因の追求まではしない。だから被疑者となりうる関係者の口も重くなる。(黙秘権もあることだし...)
          事故調による関係者への聞き取りでも当然刑事裁判の証拠になる可能性があるから喋るはずもない。

          一方被害者の家族は警察が原因究明してくれるものと思い込んでいるから、裁判を傍聴しても肩透かしに終わることが多い。
          一部の被害者家族は刑事訴追をやめて原因究明に重点を置くべき、と主張しているが、被害者家族が許したとしても日本の社会がそれを許さないだろう。
          社会的影響の大きい航空機や列車事故ですらそんな有り様なので、知名度の低い消費者事故調は推して知るべし。

          原因の徹底追及を行わないと類似事故が繰り返される可能性が高いのだけど、日本人は自分だけは被害に遭わないと思っていて、加害者の責任追及に走ってしまうようだ。
          これも国民性か。

          親コメント
      • by Anonymous Coward on 2014年01月03日 17時56分 (#2521649)

        従来の過失罰は、人体に対する危害が中心ですかね。
        それ以外では、失火だとか、過失致死傷の一歩手前のもので、やはり人体への危険性が高いものでしょうか。

        その点で、「情報」に対して過失罰を付けたのは新しいとも言えるし、当該法の主眼が安全保障であるならば、人体への危険性を視野に入れた、従来通りの過失罰とも言える、というところでしょうか。

        ところで、生命・身体の保護を目的とする犯罪類型であるとするのであれば、刑事罰を課すには、単に情報漏洩があったというだけでは足りず、その情報漏洩が、生命・身体への危害に容易に繋がるものである必要があるように思うのですが、実際はどうなのでしょうね。

        親コメント
      • by Anonymous Coward on 2014年01月03日 18時35分 (#2521674)

        おっしゃる通り、失敗したら責任を取らされる職種というのは多数あります。
        しかしシステム管理者はこれらの職種とは大きく異なっています。
        それは「システムは悪意を持って攻撃される」という点です。

        例えば、料理に毒を入れられて阻止できなかった板前が逮捕されるか、ビルがテロリストに爆破され建設業者が責任を負わされるか、というと通常負わされません。
        しかし、今回の報道通りなら、システム管理者は逮捕されます。
        ですので、比較するなら事件を防げなかった警察官は逮捕されるべきか、というのが適切でしょう。

        # そう考えると、著しい過失があったら逮捕もやむなし、あたりが妥当か。

        親コメント
      • ソフトウェア関連なんて免責事項の山です。
        ソフト会社なんてソフトのバグで生じた損害賠償は負わないと謳っているのが当たり前です。
        そのような曖昧な世界に、絶対的な責任を持ち込むことに無理があります。

        電気部品もメーカーは人命に関わる製品に使うなと言ってますし、
        自動車のABSもブレーキ性能の向上を保証してませんし、
        おせち料理は元旦中に全部食べろと非現実的なことを料理屋は言ってます。

        世の中、免責に溢れてます。

        親コメント
    • by Anonymous Coward

      47Newsの記事文があいまいでよくわからないけど

      ・既知のセキュリティホールを見逃していた
       ⇒なら、担当職員の過失(やるべきことをしていなかった)だろう

      けど、

      ・未知のセキュリティホールを突かれた

       だとどういう法解釈になるんだろう?

      車運転ミスって人身事故おこしたら監獄いきだよ

      リコールになるような未知の不具合で事故が起きたとき、って運転者の責任100%ではないでしょう?

      • 電子化しなきゃ良いんじゃないですかね。
        手書きで難読文字を書いて金庫に保存。
        連絡手段となる通信は専用線のみ使用でかつ色々気を付ける(ココが一番危ない?)

        それでも古典的なセキュリティーホールは存在するけど
        対策方法も枯れてるし、万が一漏れたときに処分しやすい。気がする。気がする。気がする。

        親コメント
      • by Anonymous Coward on 2014年01月03日 16時25分 (#2521605)

        過失による情報漏洩が処罰対象とされてるだけだから、未知の不具合で漏洩が起きても過失とは言われないだろう。

        親コメント
      • by Anonymous Coward
        既知の問題点をふさぐべく予算を申請したが却下された場合はどっちの責任になるんだろうか?
        普通に考えれば却下した方の責任なんだが、日本の場合はそれでも現場の責任者の責任にされそうで嫌だな。
        • by Anonymous Coward

          組織としての責任問題で責任負わされることはあるかもしれんけど、さすがに刑事事件としての裁判になったら、予算を申請して却下された結果だったとしたら罪には問われんだろう。
          予算の申請の仕方が悪いとか別の要因があれば兎も角、そうでなければ何も過失が無いんだから。

  • by Anonymous Coward on 2014年01月03日 16時20分 (#2521600)

    思うに、「それ何の規制もないほうがおかしいだろ」みたいな極端な例ばかりあげてドン引きされてたマスゴミは実際には法に賛成だったんだろうなあ。
    ホウドウノジユウはきっちり確保してるし(※ただし特権階級の記者クラブマスゴミ様に事実上限る)、それでいて一部の支持者団体にはあたかも反対しているかのようなポーズを示すことができたし、まともな人間は同類と思われたくなくてろくに反対できなかったし、一分の隙もない完璧な作戦だったね。

    • by Anonymous Coward
      ああなるほど、だからネットは賛成派には基地外しかいないと思わせる工作で対抗してたのか。
      それはよかったネットしすぎるとアホになる病でもあるのかと心配してたが杞憂だったようだ。
      • by Anonymous Coward

        原発再稼動とまったく同じ構図

  • ○○攻撃を防ぐには××システムが必要で、それには△△円が必要。
    そんなシステム管理者からの要求に対して、上司なり予算担当者なりが予算不足を理由に拒否した。
    予算だけでなく、利用者の労力が問題になる場合もあろう。

    過失犯には結果回避可能性が必要であるとするなら、「□□をしていれば防げた」と言える必要があるはずで、この場合の「□□」とは、「××システムの導入」であろう。
    では、それをする義務がありながら、それをしなかったのは、誰か。
    業務環境整備の責務は上司なり予算担当者にもあるはずで、そうなると、業務に必要なセキュリティ措置を怠ったのは、セキュリティ予算を拒否した人物ということになるのではないか。

    予算不足は正当化の理由にはならないだろう。
    従来、金がないからと人手や安全策をカットした結果の事故に対して、刑事責任は負わないとすることにはなっていないはずだ。
    唯一、予算案を否決した国会議員は、憲法第51条により罰せられないというところだろうか。
    予算を削りたければ、その段階まで持って行けと。

    さて、これらの上で、各人が刑事責任を負わない方策を考えるに、必要な、あるいは必要かどうかも不確かなセキュリティ施策をとことん列挙し、要求し、実施していくということになるのではないか。
    ハードもソフトも運用も、とにかく青天井で。
    パスワード類は何種類用意しようか。
    何日ごとに変えようか。
    セキュリティ屋には大きな商機なのだろうか。

    それとも、法第5条の
    「当該特定秘密の保護に関し必要なものとして政令で定める措置」
    「契約に従い、当該特定秘密の適切な保護のために必要な措置」
    にセキュリティ要件が規定され、それを履行していれば無過失とされるだろうか。
    セキュリティ要件自体に穴があって、システム管理者がそれを認識できたとしても。

    • by Anonymous Coward

      タレコミに書いたコメントを再投稿。

  • by nanno (17292) on 2014年01月03日 19時54分 (#2521727)

    特定秘密にかぎらず取り扱いが問題になりそうな情報は電子情報にしない。
    電子情報になっていたらプリントアウトして元ファイルは消去するのが一番簡単。
    プリントアウトは厳重に保管する。
    これに関連してか職場でもいろいろ動きがあったのでそういう方針にしました。

  • by Anonymous Coward on 2014年01月03日 22時37分 (#2521786)

    サイバー攻撃流出も処罰 特定秘密保護法、職員に過失責任 政府が内部文書で見解 [msn.com]

    前半部分は47Newsと同じく「内部資料から判明した、過失でも処罰対象となりうる」だけですが、こちらにはまだ続きが。

    内部資料は、特定秘密保護法を所管する内閣情報調査室(内調)が平成23年11月、法律の素案作成時に外務省の担当者と交わした文書。外務省側は「システムの安全管理措置を十分に施さなかった場合」と「システムの防御措置を上回った攻撃を受けた場合」を想定し、それぞれ「過失責任を問われるか」と質問した。

    これに対し内調は「個別、具体的な事情によるが、一般論としては故意または過失責任を問われ得る」と回答した。

    ん~後者が一括りにされているのには、ちょっと危険なニュアンスを感じるような・・・?

  • by Akami (4183) on 2014年01月03日 23時24分 (#2521800)

    バグの発生自体が不可避であることは既に判決で認められているわけで、バグを防ぐためにどこまでやっていれば過失ないと言えるのか?という議論を本気でぶちかます時がやってきたんでしょうかねぇ。

  • by Anonymous Coward on 2014年01月03日 15時50分 (#2521586)

    対象が公務員であることを無視すればそんな違和感ないけど。アホなシステム会社はセーフなんだろ?OKじゃん

  • by Anonymous Coward on 2014年01月03日 16時06分 (#2521592)
    どうせ国をしょって立つキャリア様はそんなやばい所には配属されないから問題ない。

    予算や権限が充分に与えられるならともかく
    責任だけおっ被される可能性が高い、そんな名ばかり責任者につかされる人材なんて失っても痛くない人だけだって。
    • by Anonymous Coward

      いわゆるサイバーノーガードね

  • by Anonymous Coward on 2014年01月03日 17時05分 (#2521620)

    処罰対象はどう考えても経営者だろ

  • by Anonymous Coward on 2014年01月03日 17時11分 (#2521624)

    必要な技術が足りてないのに足りてるふりをして不正に報酬を得る詐欺は過失ではないよな?

    • by Anonymous Coward

      詐欺なら詐欺罪で立件すればいいだろ

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...