アカウント名:
パスワード:
今回の件で解った事の一項に、 「自称セキュリティ専門家自体がセキュリティホールと成り得る」 と言う事(いや、解ってはいたけど証明されたって事ね)があります。
つまり個々人の良心に任せていては、基本中の基本である守秘義務ですら
あ、そこが一番重要。 例えば医者なり弁護士なりの、他人のプライバシーに触れる事のある業種ってのは、契約としてではなく業としての守秘義務がある訳。病院では一々診察前に守秘義務契約なんかしないでしょ? でもって、卑しくも公共の利益の為のセキュリティの専門家を名乗る人間が、その程度の気を回す事も出来ないって事実が、「自称」は問題だなって思う大きな原因です。
まあ、それ以前として他人のプライバシーに掛かる情報を勝手に公開しちゃあいけないってのは、ネチケット云々を持ち出すまでもなく社会人としてのあまりに当たり前の判断だと思いますけどね。
この技術士でもそうですが、基本的にはそういう他社のプライバシーに触れる業務に付く資格には 法に明記された義務 [engineer.or.jp]があり、それにより顧客はある程度の安心を得る事が出来る訳で。
でもってやはり自社なり他者なりのプライバシーを含むサイトに触れるセキュリティ関係者がその手の縛りを受けないとされる理由も無い、と言うより、前者が法で明記されなければならない理由によりこちらも法で明記的に制限しなければならないと思います。
それが無い現状では個々の契約で保全をするって事になるのでしょうが、これがセキュリティの押し売り相手だと「元々契約が無い」という事により自己防衛が一層難儀になってしまいます。
例えば医者なり弁護士なりの、他人のプライバシーに触れる事のある業種ってのは、契約としてではなく業としての守秘義務がある訳。病院では一々診察前に守秘義務契約なんかしないでしょ?
直接案件とは関係無いと見なすべきでしょう。
少なくともoffice氏はそれにより被害を受けていないって事は、当然、被害者としての権利を得ていない訳ですから。
#ってか、被害者でも無い者が確か勝手に被害者面するのも法律的には不味かった筈。
誰もが他人の粗探しをする権利はある。 しかし、それらは全て合法的手段で行わなければ意味がない。 それは民主主義法治国家として最低限のモラルですよ。
ACCSの守秘義務違反なんて現状では、状況証拠を持って騒いでいるだけ。 一切法律的判断が成されていない状況なのですから。 その状況で何かして良いと考えるのは、私刑を禁止する法の精神に反します。 #国民はoffice氏に司法権を与えてはいません。
そしてACCSからすればoffice氏は明らかに一方的な加害者なんですが。 故に、ACCSが「office氏を相手に」被害者面をした所で別に何も問題は無い筈ですが。
それにACCSでも根本原因はCGIの不備にある事は認めてましたよね? では、問題は無いと思うのですが?
ACCSへの加害責任はoffice氏にある。 情報流出者への加害責任はACCS(と直接加害者のoffice氏)にある。 ただそれだけの事を無理に一緒にしようとしているだけでは? 流出被害者はACCSを訴えられるのと同様、直接加害者としてoffice氏も訴えられるんですよ。
そうですか? だってその判断って裁判所がするのだから未だに判断されていないんだと思うのですが? そういうのは法廷で弁明すれば良いんで、訴える方には関係ないんではないかと。 実際、被害届が受理されるか怪しい時には一通り出しておくってのも当然の方法だろうし。
>被害にあいました、不備を認めました、謝りました、 >問題ありません、悪いのはデータを盗んだ人です。 これでは安心して生活できないと思うんですよねえ。
そういうものの為に個人情報保護法があるんでしょこちらも賛否はあれど。
それに今回の件だって別に流失被害者が損害賠償請求を出来ない訳でもないでしょうし。 まあ、現実には裁判してプラスになるかどうか?ですが。
#いや、悪いのは盗んだ本人ってのもある意味真理だと思うけど。 #犯罪者だけ徹底排除して後は出来るだけオープンにってのも有効な一つの考えでしょう。
>しかし、被害者の面だけが強調されてる状況、被害者としてだけ法的判断がくだされようとしてる状況は納得できません。 そうですか? だってその判断って裁判所がするのだから未だに判断されていないんだと思うのですが? そういうのは法廷で弁明すれば良いんで、訴える方には関係ないんではないかと。 実際、被害届が受理されるか怪しい時には一通り出しておくってのも当然の方法だろうし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
犯罪性 (スコア:2, 興味深い)
研究成果として不正アクセスの具体的方法を示すこともいいですし、脆弱性を持っていたサイトの例として ACCS を挙げることもいい
Re:犯罪性 (スコア:1, 興味深い)
外部からのペネトレーションテストを行う人員は
いっそのこと免許制にして資格のある人・団体しかできないとか。
IT関係の資格って危険物の取り扱いや医療行為の現場と違って
「それが無いと仕事ができない」というものが
皆無なので、こういうものこそ、って常々思うんですが。
免許制は是非に欲しい (スコア:0, 余計なもの)
今回の件で解った事の一項に、
「自称セキュリティ専門家自体がセキュリティホールと成り得る」
と言う事(いや、解ってはいたけど証明されたって事ね)があります。
つまり個々人の良心に任せていては、基本中の基本である守秘義務ですら
Re:免許制は是非に欲しい (スコア:0)
この箇所だけに引っかかったんだけど、守秘義務って結んでたの?
今までの報道/情報からはそんな感じはしなかったけど。
Re:免許制は是非に欲しい (スコア:2, 興味深い)
あ、そこが一番重要。
例えば医者なり弁護士なりの、他人のプライバシーに触れる事のある業種ってのは、契約としてではなく業としての守秘義務がある訳。病院では一々診察前に守秘義務契約なんかしないでしょ?
でもって、卑しくも公共の利益の為のセキュリティの専門家を名乗る人間が、その程度の気を回す事も出来ないって事実が、「自称」は問題だなって思う大きな原因です。
まあ、それ以前として他人のプライバシーに掛かる情報を勝手に公開しちゃあいけないってのは、ネチケット云々を持ち出すまでもなく社会人としてのあまりに当たり前の判断だと思いますけどね。
Re:免許制は是非に欲しい (スコア:1)
> でもって、卑しくも公共の利益の為のセキュリティの専門家を名乗る人間が、その程度の気を回す事も出来ないって事実が、「自称」は問題だなって思う大きな原因です。
この分野で「士」って付くのだとやっぱり技術士 [engineer.or.jp]かなぁ。
情報部門って現行のくくりだとおおざっぱすぎるからセキュリティ部門とか作るべきってことなのかなぁ。
なんか「技術士(セキュリティ部門)」ってのがあったほうがいいような気がしてきた。
Re:免許制は是非に欲しい (スコア:1)
>情報部門って現行のくくりだとおおざっぱすぎるからセキュリティ部門とか作るべきってことなのかなぁ。
この技術士でもそうですが、基本的にはそういう他社のプライバシーに触れる業務に付く資格には 法に明記された義務 [engineer.or.jp]があり、それにより顧客はある程度の安心を得る事が出来る訳で。
でもってやはり自社なり他者なりのプライバシーを含むサイトに触れるセキュリティ関係者がその手の縛りを受けないとされる理由も無い、と言うより、前者が法で明記されなければならない理由によりこちらも法で明記的に制限しなければならないと思います。
それが無い現状では個々の契約で保全をするって事になるのでしょうが、これがセキュリティの押し売り相手だと「元々契約が無い」という事により自己防衛が一層難儀になってしまいます。
Re:免許制は是非に欲しい (スコア:1)
Re:免許制は是非に欲しい (スコア:1)
> それが無い現状では個々の契約で保全をするって事になるのでしょうが、これがセキュリティの押し売り相手だと「元々契約が無い」という事により自己防衛が一層難儀になってしまいます。
そうですねぇ。
指摘を受けた側でも指摘してきた相手がどんな人物だかわからないと疑心暗鬼になってしまったり本来建設的な方向で収まるはずの話も収まらなくなったりしますしねぇ。
その意味ではある程度法的に責任がはっきりしているような制度が必要ですよね。
まぁ、だからといってその指摘が善意という保証はないですが、少なくとも指摘を受けた側で社内的にどうにかしやすかったりはしますよね。
もっとも今回のケースは一般的倫理や(世間一般のレベルで)ちゃんと相手と意思の疎通ができるとかって、人として最低限の部分に問題があったんじゃないかと思わなくもないですが。
でも、これを契機として法に裏打ちされた「士」制度なんかができるとセキュリティ関連技術者一般の社会的地位の向上にも役に立つんでそっちの方面に話が展開してくれるといいですね。
Re:免許制は是非に欲しい (スコア:1)
医者が患者のカルテを自分のウェブサイトにアップロードしていた、それを閲覧可能だよと実際にアクセスできるところを公の場で見せて証明した。そして一方的に罰せられるのは守秘義務違反を訴えた側。訴える事ができるのも免許を持ってる人間だけ。免許が無ければ泣き寝入りしなくてはならない? どう考えてもおかしい話だと思います。
# 別にoffice氏の行為に全面賛成するわけじゃないですけども
Re:免許制は是非に欲しい (スコア:1)
>守秘義務違反をしている事を公の場で証明された、というのはどうなんですかね。
直接案件とは関係無いと見なすべきでしょう。
少なくともoffice氏はそれにより被害を受けていないって事は、当然、被害者としての権利を得ていない訳ですから。
#ってか、被害者でも無い者が確か勝手に被害者面するのも法律的には不味かった筈。
Re:免許制は是非に欲しい (スコア:1)
守秘義務の話が出てたので、今回のACCS側の方の守秘義務はどうなんだと思ったんですが、結局親告罪なんですよね? かといって被害にあってる事に気付いてない人を見過ごすわけにもいかないでしょう。お節介を焼く必要は無いと言われればそれまでですが……
office氏の行動を全面的に支持するとは言いません。でも、office氏がいなければACCSから今も個人情報を盗める状況にあったんじゃないんですか? そのことを鑑みずにはこの問題は考えられない、考えてはいけないと思います。
加害者が被害者面して許される状況だけは打破する必要があると考えます。
逮捕する相手も、免許制を議論すべき相手も、本当にoffice氏側なのかと。
Re:免許制は是非に欲しい (スコア:1)
誰もが他人の粗探しをする権利はある。
しかし、それらは全て合法的手段で行わなければ意味がない。
それは民主主義法治国家として最低限のモラルですよ。
ACCSの守秘義務違反なんて現状では、状況証拠を持って騒いでいるだけ。
一切法律的判断が成されていない状況なのですから。
その状況で何かして良いと考えるのは、私刑を禁止する法の精神に反します。
#国民はoffice氏に司法権を与えてはいません。
そしてACCSからすればoffice氏は明らかに一方的な加害者なんですが。
故に、ACCSが「office氏を相手に」被害者面をした所で別に何も問題は無い筈ですが。
それにACCSでも根本原因はCGIの不備にある事は認めてましたよね?
では、問題は無いと思うのですが?
ACCSへの加害責任はoffice氏にある。
情報流出者への加害責任はACCS(と直接加害者のoffice氏)にある。
ただそれだけの事を無理に一緒にしようとしているだけでは?
流出被害者はACCSを訴えられるのと同様、直接加害者としてoffice氏も訴えられるんですよ。
Re:免許制は是非に欲しい (スコア:1)
ACCSは加害者であると同時に被害者でもあるということですね。
それは納得します。
しかし、被害者の面だけが強調されてる状況、被害者としてだけ法的判断がくだされようとしてる状況は納得できません。
このままでは同じような事があった場合、誰かが実際にデータを盗み出すまで放置して、自分が被害者になるのを待った方が得になってしまいませんか?
被害にあいました、不備を認めました、謝りました、問題ありません、悪いのはデータを盗んだ人です。
これでは安心して生活できないと思うんですよねえ。
Re:免許制は是非に欲しい (スコア:1)
加害責任があるということと加害者ってのはちょっと違うような気がする。
> しかし、被害者の面だけが強調されてる状況、被害者としてだけ法的判断がくだされようとしてる状況は納得できません。
> このままでは同じような事があった場合、誰かが実際にデータを盗み出すまで放置して、自分が被害者になるのを待った方が得になってしまいませんか?
ちゃいます。たぶん、この場合(問われるとしても)ACCS が問われるのは善管注意義務ぐらいのものです。
それがどの程度問われるのかは時代や背景によって異なるので一概には言えませんが、世間一般の感覚からいえば今回のケースでは明確に善管注意義務違反を追求するのは難しそうな気がします。
もちろん民事は別で「公開されて被害を受けた人」が ACCS に損倍を求めることは可能でしょう。でも、その分は ACCS が河合容疑者に損倍を求めることになるから ACCS の持ち出しにはならなないんじゃないかな。
Re:免許制は是非に欲しい (スコア:1)
そうですか?
だってその判断って裁判所がするのだから未だに判断されていないんだと思うのですが?
そういうのは法廷で弁明すれば良いんで、訴える方には関係ないんではないかと。
実際、被害届が受理されるか怪しい時には一通り出しておくってのも当然の方法だろうし。
>被害にあいました、不備を認めました、謝りました、
>問題ありません、悪いのはデータを盗んだ人です。
これでは安心して生活できないと思うんですよねえ。
そういうものの為に個人情報保護法があるんでしょこちらも賛否はあれど。
それに今回の件だって別に流失被害者が損害賠償請求を出来ない訳でもないでしょうし。
まあ、現実には裁判してプラスになるかどうか?ですが。
#いや、悪いのは盗んだ本人ってのもある意味真理だと思うけど。
#犯罪者だけ徹底排除して後は出来るだけオープンにってのも有効な一つの考えでしょう。
Re:免許制は是非に欲しい (スコア:1)
なるほど、結局は裁判になるまでわからないということですか。
それならじっくりと行方を見守る事にします。
裁判でうまいこと両方の責任がバランス良く判断されるといいのですが。