OWASP Hardning Privacy セッション 「セキュリティの守るべきものとは情報とプライバシーへ」
•
0 likes•7 views
OWASP Evening 2021.08 - Container Security / Privacy by Design 「Privacy by Designの視点と実装」 (90min Session) - (Security by Designとの類似性、法律と企業そして市との隙間を埋めるためには、オープンソースコミュニティへの呼びかけ):今村桃子、山寺純(Eyes Japan / OWASP Fukushima Chapter Leader)、二本松哲也(ラック)
Recommended
More Related Content
Similar to OWASP Hardning Privacy セッション 「セキュリティの守るべきものとは情報とプライバシーへ」
Similar to OWASP Hardning Privacy セッション 「セキュリティの守るべきものとは情報とプライバシーへ」 (20)
Recently uploaded
Recently uploaded (9)
OWASP Hardning Privacy セッション 「セキュリティの守るべきものとは情報とプライバシーへ」
- 1. セキュリティの守るべきものとは 情報とプライバシーへ Privacy by Designの視点と実装 (Security by Designとの類似性、法律と企業そ して市民との隙間を埋めるためには、オープンソースコミュニティへの呼びかけ)
- 2. おめでとうございます!
- 4. 今後の進め方 <自己紹介> 5分 ライフワーク(ボランティア、プライバシー) <プライバシーの問題提議> 10分 WASNightカンファレンスのprivacyセッションで発せられた問 題を提議します
- 6. ライフワークについて
- 7. 2011年:東日本大震災
- 9. 2021年5月3日 OWASP Top10 Privacy Risks Ver2.0 リリース
- 14. セッションテーマ:プライバシー タイムキーパー:(とりあえず)ばび 参加者名(連名):ばび、jun yamadera sunahara、simopion、二本松哲也, namineko、三輪信介, nz, miyachi メインの記録役:sunahara <議事録> 1. LINEの個人情報が中国のシステム開発委託企業で閲覧状態に 2000年頃から人件費の安かった中国でオフショア開発が盛んになり、当時から開発工程によっては、顧客の個人情報や機密情報が見える基幹システムや データベースまでネットワークで繋がっていることもありました。LINEだけではなくオフショア開発を行なっている多くの企業も個人情報の量は少ないか もしれませんが対象となってしまう懸念もあります。 →実害が無かった中でここまで責められるのは少しやりすぎな気がします。 →中国に対して過敏になっている。理由としては新サイバーセキュリティ法がテロ対策として情報セキュリティ技術に制限を生じさせ、データ盗聴がよ り容易なってしまっている点が挙げられます。 →日本と異なりヨーロッパは歴史的に民族問題があって、データプライバシーを権利として扱っている。 2.この辺りについてデジタル庁ができると関係性がどのように変わってくるか →まずは模範となるガイドラインとルールを作る方向で考えるのでは。 3.データのガバナンスについて 前職ではプライバシーマークを取得しておらず、情報資産の棚卸しから始めたが、組織が扱う情報を効果的かつ効率的に使用するための、プロセス、役 割、ポリシー、標準、評価指標など考慮されておらず、他の会社でも同様の事例があるのでは。 →ユーザー企業からデータガバナンスの仕組みを聞いたことが無い。 4.プライバシーの定義について、定義が分かりづらいのでは →個人情報と置き換えてみた方が分かりやすいかも 5.サーバーに保存されたメールをサーバー管理者が見た場合、これはプライバシーの侵害に当たるのでは。 →会社の業務であれば許されるのでは。 →例えばインシデントや事件があった際に会社はメールを調べる必要がある →添付ファイルメールは上長が承認ボタンを押さないと送信でいないソリューションもある →雇用契約を結んでおり務上必要な場合、会社が提供したメールであれば同意なく閲覧がで来ます 6.従業員だったら同意なくなんでも見て良いのか? →業務であれば問題ない。 →ただし、個人情報にはレベルがあり要配慮個人情報(病歴、マイナンバー)などは禁止されている。 →従業員に同意を取るべきではないか →業務に利用するためのメールやサーバーで見られてはまずいプライベートな情報を扱うのが問題では。 →従業員にも事情があるので、黙って監視していいのか判例があれば知りたい。 →例えば機密情報を取り扱う機密エリア設けた場合、監視カメラを設置しますが24時間365日記録し続ける必要があるため、防犯カメラ作動中であ ることを見てわかるようにしておけば柔軟に対応できます。 7.プライバシーバイデザインラボで議題に上がったのが、個人のソーシャルメディアに自社の悪口を書くと警告が送られてくる事例があ り。一方でこうした監視はプライバシーの侵害に当たるかも、よってソーシャルメディアポリシーなどや監視などについて何か良い方法 はあるか。 →SNSの監視は、モニタリングサービス事業として展開されておりプライバシーの侵害に当たる恐れがあると思う。 →ドイツではモニタリングは憲法上違反という見解を出している 社会主義時代の東ドイツで、悪名高い秘密警察シュタージ(国家保安省)は、政府に批判的な市民の電話を盗聴したり手紙を開封したりして、情報を集めてい た。電話会社であるドイチェ・テレコムが、個人情報を違法に集めて分析していた。 8.参加者の中でプライバシーマークを取っている会社はありますか?プライバシーマークを取得する上で会社の業務上の都合と個人のプ ライバシーの折り合いをつける必要がある。一方でプライバシーと個人情報が明確になっていないと感じる。 →プライバシーマークを取得していない、なおプライバシーについての部屋なので個人を特定するPIIよりは範囲が広い話だと思う。 →日本も個人情報というよりは、もう少し広い範囲でプライバシーを守り配慮すると言ったことが必要だと思う。 判例:社会通念上許される範囲において会社の秩序を維持する為に監査することを許されている。 9.日本の法律でプライバシーを守らなければならないと言ったことが明記されていない。憲法にも存在していない。より企業統治であっ たり国家公務員法によれば24時間公人であることが求められる。 プライバシーは判例の積み重ねで守られているため曖昧さがある。 →判例主義をとる場合、時代に即応しながら判例が作られるため、プライバシーに関して配慮が足りないと感じる点が判例として積み重なっていけば、それが法 律として機能する。私たちがプライバシーに意識を持つことが大切。 10.プライバシーマークが記載された名刺が配られていると矛盾を感じる。 →明示的に個人情報の提供に同意があると見られている。 →エイトを使い名刺を取り込むとインターネット上に公開されるてしまう事も →エイトなどやSNSのアドレス帳同期など、勝手に個人情報を連携させたりプライバシーが保護されていないと感じる。 →名刺を渡した場合、預かった側が本人の同意が介在せずに流通させてまう事も。GDPRの場合は必ず本人の同意を必要としている。 →米国の憲法には明示的なプライバシーの権利はないが、法の解釈を変えてプライバシーを保護している。 →プライバシーは日本は憲法上も含まれておらず、OECD8原則による個人情報保護といった必要最低限しか守られていない。 →日本の個人情報保護法とGDPRは互換性認定を受けているが、プライバシーの観点では互換性があるとは言い難い。 →労働基本権にプライバシーの権利が明記されていない。よって企業はプライバシーを配慮してない。 私用メールは職務専念義務違反になるのでは。 11.人材育成のために勉強会に参加する場合、会社のメールを使うと私的な利用になるかもしれない。そういった線引きが難しいので は。 →会社の業務用の携帯電話も休日も利用して顧客対応をさせられたりしているが、日本は企業に甘いと思う。最終的に線引きは会社が決められるようにできてい る。 →日本は労働三権や労働三法において、パワハラの個の侵害にプライバシーがはあるが、雇用を守ることが中心になっていて、プライバシーという発想はまだ 持っていない。 12.職場の連絡網などでプライベートな情報が公開されている →緊急連絡網から使用目的が異なる事に利用されることがあって問題だと思う。 →データガバナンスを適用して緊急事態のみしか見れないシステムなどがあると良いかも →同意なく緊急連絡網を作っていた。 →震災の影響もあり緊急連絡網は災害対策の事業継続として企業が求めれている。災害対策の法律の方がプライバシーよりも優先されている。 →緊急連絡網にプライベートな携帯番号ではなく、会社がLINEやSKYPEなどを用意するのも手段としてある。
- 17. 情報セキュリティの目的とは?