データセキュリティ法の迷走 情報漏洩はなぜなくならないのか？ 基礎法学翻訳叢書第2巻

ゆる言語ラジオで紹介されており、手に取った。 本としては、あまり読みやすい方ではなかったけれど、ラジオで概要が把握できていたので、ざっくりと一巡することができた。 会社がルールを定めていても、それを破るやつがいるというのは納得。 私の会社も、ここ数年セキュリティ関係の研修が増えたり、セキュリティパッチの適用までの猶予がかなり短くなった。 実利とセキュリティの天秤が難しいからこそ、一人ひとりが考えて行動することが大事なんだなぁと、改めて感じた。 「タバコはポイ捨てしない、お酒を飲んだら運転しない。」 そんな価値観と同じように、 「規約はちゃんと読む、 パスワードは使い回さず解読されないのを設定する。」 そんなインターネット世界になっていくことが望ましいなと思った。 あとは、個人情報が漏れても、その個人の損害を証明するのは難しいという話は、ドキッとした。 自分のパスワードは見直ししようと思った。 p.s 最近、サイトのクッキー許可もめっちゃ聞かれるけど、あれもほんとに意味あるのか？と思わされた。 仮に情報流出しても、クッキーを許可した個人の責任にされてしまう。 色んな制度が、情報を守るためではなくて、会社の責任逃れのための武器になってるような気がしてきた。

予告された侵害の記録：システムダウン　失うものは大きい データ侵害の蔓延：情報労政事件　セキュリティ上の脅威 データセキュリティ法の失敗：保守的　コスト↑・侵害防止↓　個人保護 システムと構造：データエコシステムの健全性・回復力確保→リスク軽減　連鎖の最後だけ問題視 全体の責任：関係者と問題への寄与度　システマティックな問題 損害軽減：政策立案者の法的対処　被害の拡大に居する組織 プライバシーとデータセキュリティの統合：２つの部門の橋渡し セキュリティ設計：人為的ミス　認知の範囲　最大の脆弱性＝人的要因 総対的アプローチ

翻訳本によくある「あるメッセージに添える具体例が冗長で読者を疲れさせる」本だなと感じた． 内容の良し悪しはおいておいて，欧米で通用するレトリックなんだろうと諦めるしかない． （7章，8章は飛ばしてしまった） それはさておき，内容については最終章の結論と訳者の解説をまず一読することを進める．上段で述べたとおり，結論・解説に行き着くまで結構長いので． あえて自分の口で説明をすると， データセキュリティに関する法は，実世界のデータ侵害の発生や被害の低減に寄与しておらず，制度設計上失敗している．データを取り巻くエコシステムは多数の関係者が存在する多段階的なプロセスかつ複雑なものであるのに対し，現行のデータ侵害法はデータ侵害の1シーン，1関係者にフォーカスした内容に過ぎない．もっと戦略的，総論的な制度設計が必要である．この本は，現行データセキュリティ法の課題に基づいてあるべき法制度の設計に係る示唆が与えられている． といったところであろうか． ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ データセキュリティ法： 情報漏洩時に監督組織，メディア，被害者などに通知する義務 →被害者への救済にはならない →被害は既に顕在化している企業に法対応の手間を増やすだけになっている ならすましの種類 金融→信用毀損、債務おしつけ 犯罪→犯罪行為の隠れ蓑 医療→公的保健からの支払い こども→大人よりも気づかれにくい アメリカ→本来認証情報とすべきではない社会保障番号SSNが実質認証情報に →盗んだSSNでなりすましし放題。クレジット毀損、医療履歴汚染など →国の制度で場面場面で必要であるため、使わないという選択肢も取れない