CISSPの資格を運営している(ISC)2は米国の団体です。そのため、米国の法律の考え方を学んでいくことになります。もしも日本で似たような概念があったとしても、参考程度にとどめておく方が健全です。
では、まず細かい法律を見ていく前にアメリカ合衆国の法令にも日本と同じようにいくつか分類がありますので紹介します。刑法とは、社会の秩序を保つために罰金を設けるなどの抑止をするための法律です。基本的に検察官が訴えを起こすことになりますが、検察官個人の実績を第一にして不当な逮捕を行わないように、合理的な疑いを超えて(beyond a reasonable doubt)犯罪事実を立証しなければなりません。民法とは、被害を被った個人・集団、組織を救済するための法律です。家庭内のトラブルは民法によって解決されます。行政法とは、政府、政府機関に対する法律です。政府が自分勝手に走らぬようにとどめる役割もあります。
何が”合理的な疑いを超える”のか?
ここからは、セキュリティに関わる法律を色々なセグメントからお話していきます。まずは、金融システムに関わる法整備について紹介します。銀行や投資信託や保険に関わらない限り、金融法を意識するケースは少ないかと思います。ただ、金融のルールの動向はビジネス情勢に極めて大きな影響を及ぼすものですから、一人のビジネスマンとして頭の片隅に入れておきたいですね。また、ビットコインといった新たに価値として認められる金融資産も時代とともに登場します。金融業界は新しい貨幣の流通や新しい価値に対して整備が行われ続けています。ここでは2つの法律について紹介いたします。
1つ目は、上場企業会計改革および投資家保護法です。上場企業会計改革および投資家保護法とは、SOX法、企業改革法とも呼ばれ、粉飾を抑止するための法律です。粉飾というのは企業業績を示す財務諸表と実態に大きな差が出ることです。そのため、粉飾を起こさせないために会社とは独立した公認会計士や社外取締役の選任を求め、経営や会計の監視を行うこととしています。
2つ目は、グラム・リーチ・ブライリー法です。グラム・リーチ・ブライリー法とは、銀行業、投資業と保険業の兼業規制を緩めるとともに、金融機関に対してプライバシーとセキュリティを保護することを求める法律です。銀行、保険会社、証券会社の垣根をとりはらい、より近代的で競争力のある金融商品を消費者に提供できるようにすることを目的にしています。グラス・スティーガル法の一部を無効にし、商業銀行、投資銀行、証券会社、保険会社での統合・合併を許可しました。そして、銀行の役員、取締役または従業員、証券会社役員、責任者または従業員によるサービスに関する利害対立禁止令も廃止となりました。グラム・リーチ・ブライリー法によって、金融企業は守りに対しても攻めに対しても柔軟な体制になり、強力なビジネス体制を整えることが可能となりました。ただ、グラム・リーチ・ブライリー法には、個人顧客への救済は含まれていません。金融機関がプライバシー規定に違反した結果、個人顧客に被害が生じた場合でも、個人顧客は直接救済を受けることはありません。他の連邦法もしくは州法による救済を求めることになります。
1999年、グラム・リーチ・ブライリー法の成立
セキュリティは国家に対しても必要です。国の安全を守るためのシステムと体制づくりを強靭にしながら、危険となる可能性を可能な限り排除しておきたいと考えるのです。しかしその一方で、行き過ぎたセキュリティ意識が国民を生きにくい環境にしたり、人としての権利を侵害しかねないため度々問題になるという側面もあります。それでは一つずつ見ていきましょう。
2001年の同時多発テロは記憶している人もいるでしょう。ニューヨークの貿易センタービルに大衆飛行機が乗客を乗せたまま衝突した事件です。この一件をきっかけにテロを阻止する法律がいくつか見直されており、米国愛国者法もその一つになります。米国愛国者法はテロ抑制を背景に、国内および国際電話に対する法執行機関の監視の拡大、省庁間のコミュニケーションの緩和、テロ犯罪に対する罰則の強化とテロ容疑にかかわる活動の拡大を行うための法律です。
アメリカ同時多発テロ
監視の拡大に関しては、法執行のための通信援助法も押さえておきたいところです。法執行のための通信援助法(CALEA)とは、通信会社の傍受協力のための法律です。緊急時にさらなる被害が広まらないように通信会社は傍受協力を行うというものです。もしも、テロリストが爆弾を市内に仕込むような事件があれば、どういった会話が行われたかを探れば爆弾の場所を特定できるというような目的での利用が考えられているようです。
一方で、国家のセキュリティは国民に向けられたものだけではありません。連邦情報セキュリティマネジメント法とは、連邦政府関連の組織において情報セキュリティは投資対効果のある活動であり、適正化が必要であるために予算を確保し組織やルールを整備するための法律です。連邦政府関連の組織は毎年、行政管理予算局(OMB)にセキュリティ報告書を送るように求められます。また、国立標準技術研究所(NIST)が国家としてのセキュリティの標準を策定できる体制を整えました。いろいろなシステムの仕様を調べていると、NISTというようなページに行きつくかと思います。これは、そのシステムがNISTという世界標準の仕様を参照しているためです。
また、国家のコンピューター機器に攻撃をすることを禁止する法律もあります。コンピューター詐欺と濫用に関する法律(CFAA)とは、政府や金融機関などのコンピューターに対して、意図的な損害を禁止する法律です。政府や金融機関などのコンピューターは非常に重要であり、損害を与えた場合、罰金が科せられます。
コンピューター詐欺と濫用に関する法律、CFAAという法律を理解するのに、とても勉強になる判例を紹介します。サンドビッグ対バー裁判では、ノースイースタン大学のクリスト・ウィルソン教授とアラン・ミスラブ教授をはじめとする研究者代表チームからの憲法上の異議申し立てに対して、連邦判事がウェブサイトの利用規約違反はCFAAの連邦犯罪にはあたらないという判決を下しました。
この裁判がどういうモノだったのかを話す前に、CFAAという法がどのような背景を持っていたのかということからお話ししましょう。CFAAが効力を持つ前は、連邦政府へのコンピューター攻撃に関する法律は、1984年の連邦包括的犯罪防止法(CCCA)の一部として、コンピューター犯罪法が触れられる程度のものでした。当時は、コンピューターを使える業務自体が限定的であったために、州の境界を越えたコンピューター犯罪のみを対象とするように、範囲を限定して慎重に作成されました。次第にコンピューター犯罪が社会インフラを破壊するほどの効力をもちはじめ、後に連邦議会がCFAAを可決した際には、損害額の基準を1,000ドルから5,000ドルへと引き上げられ、機密情報を処理する連邦政府のコンピュータを対象とするという箇所も変更され、すべての「連邦政府の利益」であるコンピューター、もっというと、「連邦政府の利害関係者」であるすべてのコンピュータを対象とするという、とてつもなく広くなったのです。この範囲の拡大と刑罰という罰則の過酷さにより、コンピューター関連の多くのコミュニティから、過剰な法律であると判断され、「国が言い方次第で、大抵のユーザーを違反にできるのではないか?」と批判されることもありました。
話を戻して、サンドビッグ対バー裁判ですが、これはウェブサイトの利用規約違反はCFAAの連邦犯罪にはあたらないという判決です。「ウェブサイトの利用規約違反なんかしないよ」と思うかもしれませんが、それは目的によるでしょう。この訴訟のケースでは、監査テストが発端になっています。監査テストというのは、市民権の侵害、特に住宅や雇用における人種差別を摘発するために、通知なくテスターとしてサービスを使うことで不適切な扱いをあぶりだすという、米国では長い間実践されてきた方法です。今回のケースでは、求人広告や求人者のアカウントを装い、いわゆる就職サイトで偏見や差別的な行為があるかどうかを確認していました。「これが利用規約に何の関係があるの?」と思ってしまいますが、テスターは自分ではない誰かになりすまし、許可されたアクセスを超える方法でWEBサイトを利用したためです。これは、CFAAの「アクセス条項」と呼ばれる、「意図的に無許可でコンピューターにアクセスしたり、許可されたアクセスを超えてアクセスした」という解釈ができるのではないかというところが焦点になりました。
訴訟では、研究者が「監査テストの際にウェブサイトに虚偽の情報を提供する自由を認めており、これは憲法修正第1条で保護されるべきである。そのような行為を禁止するCFAAのアクセス条項は違憲」であるとの判決を求めています。さらに、「許可されたアクセスを超えてアクセスした」というCFAAの規定は曖昧すぎて適正な法的手続きを備えていないとして、これは修正第5条の「国家が個人に対し刑罰などの処分を与えるときには、法律に基づいて適正な手続を保障しなければならない」という法の原則を侵害していると主張しました。それに加えて、そもそも就職サイトのような民間企業がCFAAのような刑事訴追できることは、「刑罰を伴う法律制定権を民間団体に委任している」とし、こちらも不当な手続きをしていると主張しました。
これに対して、政府側は「実害を受けておらず、そもそも訴訟を起こす権利がない」と主張しました。これはどういう言い分なのかというと、「実際に困っている人がいないのになぜ修正する必要があるのですか?」ということです。この裁判は政府側が違反してることを見つけて訴えてるわけではなく、研究者たちが「この法律は過剰でおかしい」ということを実例を持ち出して主張しています。その返しとして、政府側からの答え方は「実害が出てないし、困ってる人がいないから、訴える権利ないでしょ?」と言っているわけですね。続いて政府は憲法修正第1条は「民間のウェブサイトが誰をサーバーから排除するかまでは言っていない」とも付け加えました。
結論裁判所は、CFAAの条項は違憲ではないものの、利用規約違反はCFAAの違反ではなく、研究者は刑事訴追されないという判決を選択しました。さらに、利用規約は 「長いし、専門用語も多いし、変更される可能性がある」といい、「このような煩雑(はんざつ)な管理の上で成り立つ利用規約をいつも確認しているはずもなく、勝手に変更されたものに違反したからといって刑事罰はやりすぎ」と結論づけています。最後に、民間団体が刑事責任の範囲を決定できるようにすることは、憲法上の意味合い以外でも懸念されているとし、過度になりすぎることへの懸念もうかがえます。この判決は、CFAAを否定するものではないにせよ、企業はサービス利用規約やユーザー契約によって、CFAAの下で刑事責任を決定するべきかという議題に関して指針を与えています。
「WARGAMES(1983) 」ゲーム少年が米国防省のコンピューターにアクセスし、戦争ゲームは現実となっていく。
#法律の種類 #法律と主義 #企業改革法(SOX法) #グラム・リーチ・ブライリー法 #米国愛国者法(USA PATRIOT Act) #法執行のための通信援助法(CALEA) #コンピュータ詐欺と濫用に関する法律(CFAA) #連邦情報セキュリティマネジメント法(FISMA) #連邦量刑ガイドライン