IT proさんの『ディアイティの社員逮捕後も残る疑問』に対して思ってる事
SHARE の仕組みを知っていると、ディアイティ の言い訳が見苦しい件
先日のディアイティ社員逮捕事件の続報がIT Pro さんからありました
ニュース解説 - セキュリティ会社の社員逮捕、ウイルス拡散が疑われるも残る疑問:ITpro
(1)については、「情報漏洩監視サービスは法務省が適用除外の例として挙げる『ウイルス対策ソフトの開発・試験など』に類似すると考えており、正当な業務行為だ」(広報)とする。 (2)については「他のPCに感染させる目的を持っていない。その証拠にアップロードフォルダーにファイルを入れていない」(同)と主張する。 |
一方で岡村弁護士は「府警が逮捕容疑としたウイルス保管罪の法解釈には疑問が残る」と指摘。ディアイティの反論でも言及しているウイルス保管罪の構成要件に注目し、「裁判で有罪とするには『他のPCにウイルスを感染させる目的(意図)』を明確に立証する必要がある。しかしディアイティには特にメリットもないのに、ウイルスを拡散させる理由が見出しにくく、逮捕された社員にそこまでの意図があったとは考えにくい」と指摘する。 |
岡村弁護士のコメントを借りてウィルス保管罪の法的解釈に疑問が残るというのをタイトルにしている。
シェアーの仕組みを元に合理的に法的解釈してみた
1について、「情報漏洩監視サービスは法務省が適用除外の例として挙げる『ウイルス対策ソフトの開発・試験など』に類似すると考えており、正当な業務行為だ」というのがまず疑問ではある。
これが正当であると証明するには、逮捕されたエンジニアが、ウィルスを収集して、ウィルスの挙動を解析し情報漏洩監視サービスの一環として利用したという証拠が必要だ。
そもそも、監視サービスにマルウェアそのものを保存する必要はあるのか
さらに、これが正当な理由であったとしても問題がある。
情報漏洩監視サービスを扱うに当たって、適切にデータを管理・保守などを行う義務がある。
わかりやすい例を挙げると。
危険度の高いウイルスを扱える研究施設だ。
ここでは、危険なウィルスを合法的に扱うことができる。しかし、外部に漏れたりしないようにするための仕組みや施設を用意することが義務になっている。
取り扱いが許可されているからといって、ずさんな管理をして外部に漏れたけど処罰されない。そんな馬鹿な話はない。
不正指令電磁的記録取得等
正当な理由がないのに、168条の2第1項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した場合、2年以下の懲役又は30万円以下の罰金に処される。 |
2について、「他のPCに感染させる目的を持っていない」といっているが シェアーはダウンロードしたファイルを共有するシステムであり、アップロードフォルダーは市場で共有されていないファイルを自分で公開するために使われているものに過ぎない。
ウィルスをダウンロードすれば、アップロードフォルダと無関係にそのPCが発信元になることは、シェアーを使っている人間ならごく当たり前に理解できる話だ。
つまり、管理者は「ウィルスをダウンロードし、それが他のPCに感染するのを知っていながら、対策しないのが別に悪いことだと思わずに放置していた」ということになる。
業務とは関係なく、
そもそも、シェアーで拡散できる状態で何ら対策していなかったということは
不正指令電磁的記録提供罪 にもなるのではないかと思う
しかしディアイティには特にメリットもないのに、ウイルスを拡散させる理由が見出しにくく、逮捕された社員にそこまでの意図があったとは考えにくい」と指摘する。 |
そもそも、逮捕された社員が、自分の メリットがないので(放置することで余計な手間をかけないというメリットを取って)、(ウィルスを拡散させる目的や能力があるものを)ウィルスが拡散するのを防止せず放置したため実際にウイルスが拡散したのが問題なのである。
だから、この指摘は誤りだと思います。
私はこれは法的解釈ではウィルス保管罪には当たらないのではと粗探しするより
そういった監視会社がちゃんと管理していていなかったところに焦点を当てて欲しい
ttp://www.yomiuri.co.jp/local/kyoto/news/20171115-OYTNT50263.html
なんか普通にウィルス拡散してたみたいですね
仕事用PCが使えないから私物PC(Share入り)使って感染とか
ttp://www.yomiuri.co.jp/local/kyoto/news/20171115-OYTNT50263.html
なんか普通にウィルス拡散してたみたいですね
仕事用PCが使えないから私物PC(Share入り)使って感染とか
法的な解釈も大事なことだけど、それだけでは語れない大きな問題を感じます。
むしろセキュリティ企業の社員が薄々でも分かりながらウイルスを拡散させていたことに大きな驚きを覚えます。
会社に対しても、法に違反しているかどうかよりも、まず先にセキュリティ企業としての姿勢を問われる問題であり、それを気にした方が良いのではないかと思います。
法的な解釈も大事なことだけど、それだけでは語れない大きな問題を感じます。
むしろセキュリティ企業の社員が薄々でも分かりながらウイルスを拡散させていたことに大きな驚きを覚えます。
会社に対しても、法に違反しているかどうかよりも、まず先にセキュリティ企業としての姿勢を問われる問題であり、それを気にした方が良いのではないかと思います。