Nobody's 法務

略称は「ノバ法」。知財、個人情報、プライバシー、セキュリティあたりを趣味程度に勉強している元企業ホーマーのまとまりのない日記。あくまで個人的な見解であり、正確性等の保証はできませんので予めご了承くださいませ。なお、本ブログはGoogle Analysticsを利用しています。

新人法務におすすめした本

本(法務) 法務ネタ

f:id:kanegoonta:20210507213259p:plain

 

@itootanuさんの以下のエントリーを読みました。

 

 

自分もここ数年、新卒法務パーソンの教育に少しだけ携わる機会があり、その際におすすめした本をメモしておこうと思います。

 

なお、本エントリーは、以下のいずれかに該当する新人法務を想定しています。

  • 非法学部卒だけど法務に配属された
  • 法学部卒だけどそんなに勉強してなかった

 

 

1.日本語力を鍛えなおす

新装版 日本語の作文技術

新装版 日本語の作文技術

  • 作者:本多 勝一
  • 発売日: 2005/09/10
  • メディア: 単行本
 

法務は、他の職種より文章をよく書くお仕事だと思っています。

議事録や報告書の作成、契約書のドラフト、法務相談対応...etc

新人法務の教育に少しだけ携わって感じたことは、「(法的知識以前の問題として、)日本語の作文能力をアップさせることが大事だ」ということです。

そのために、まずこの本をおすすめしました。

この本は、「読む側にとってわかりやすい文章を書くために必要なこと」が記載されています。1976年に書かれたものがベースなこともあり、人によって評価が分かれる本ではありますが、個人的には勉強になった本です。

例えば、以下のようなことが学べます。

【修飾語の使い方】

  1. 節(1個以上の述語を含む複文)を先にし、句(述語を含まない文節)を後にする
  2. 長い修飾語は前に、短い修飾語が後にする
  3. 大状況から小状況へ、重大なものから重大ではないものへ
  4. 親和度の強弱による配置転換を考慮する(単語が直列的にかかってゆくときは親和度の強さに従い、並列的にかかるときには親和度が強いほど引き離す)

※1.と2.が特に重要

 

【テンの使い方】

  1. 長い修飾語が2つ以上あるとき、その境界にテンをうつ
  2. 語順が逆順の場合にテンをうつ(短い修飾語を前にもっていきたい場合には、テンをうつ)

 

【助詞の使い方】

  1. ひとつの文(または節)の中では3つ以上の「は」はなるべく使わない(2つまでとする)
  2. 「まで」は継続的な意味し、「までに」は期限を意味する
  3. 「間」は期間を意味し、「間に」は時点を意味する
  4. 逆説条件ではない「が」は使わない方がよい(例、少し脱線するが~)※文章をいったん切った方が読みやすい。

 

ちなみに、kanekoが法務としてのキャリアをスタートするときに知り合いの先生からおすすめされたのがこの本でした。

 

2.法務のお仕事を知る

企業法務入門テキスト――ありのままの法務

企業法務入門テキスト――ありのままの法務

 

 

物語風のテイストで法務の業務(ただし、メーカー前提)が理解できる本。

読み進めるうちに、主任がごくせんのあの人、課長が蔵之介で脳内再生されるようになります。

この本以外ですと、(恥ずかしながら未読なのですが)「今日から法務パーソン」を推す法クラも最近は多いですね。 

また、法務業務のフレームワーク的な部分だと「スキルアップのための企業法務のセオリー」もいいですよね。

 

3.契約関連 

ビジネスパーソンのための契約の教科書 (文春新書 834)

ビジネスパーソンのための契約の教科書 (文春新書 834)

  • 作者:福井 健策
  • 発売日: 2011/11/18
  • メディア: 新書
 

「まずは新書レベルで読みやすい書籍」ということで安定の福井健策先生のこの本を。

これを読んだら、次は会話形式で契約書作成&修正のプロセルが学べる下記を。

契約書作成のプロセスを学ぶ(第2版)

契約書作成のプロセスを学ぶ(第2版)

 

 

ちなみに、バナナおやつ本(先生! バナナはおやつに含まれますか?―法や契約書の読み方がわかるようになる本―)も個人的にはおすすめなのですが、なぜか部内では不評...(シュン

 

4.民法の学びなおし

法務担当者のためのもう一度学ぶ民法(契約編)〔第2版〕

法務担当者のためのもう一度学ぶ民法(契約編)〔第2版〕

  • 作者:田路 至弘
  • 発売日: 2018/08/23
  • メディア: 単行本
 

非法学部卒の場合も想定するとまずはこのあたりかなと思ってます。

他のオススメあれば是非ともご教示いただきたいです。(この分野はまじで沼)

 

5.法令用語の使い分け

新法令用語の常識」や「条文の読み方」あたりが候補なのですが、新人法務にとって読むのは苦行のようです。

結局以下のようなサイトをざっと見ておいてもらう感じになりました。

法律用語のキソ

 

6.知財

弊社のような中堅IT企業だと知財(特に著作権)は必須なので。

新書レベルだととりあえず下記2冊を。

楽しく学べる「知財」入門 (講談社現代新書)

楽しく学べる「知財」入門 (講談社現代新書)

 

 

18歳の著作権入門 (ちくまプリマー新書)

18歳の著作権入門 (ちくまプリマー新書)

 

 

上記2冊をサクッと読めたら、次は下記かな。

知財実務のツボとコツがゼッタイにわかる本

知財実務のツボとコツがゼッタイにわかる本

 

 

7.個人情報、プライバシー

いきなりPPCガイドラインに突っ込んだ自分にとって、選定が非常に難しい。。。

でも個人情報の知識は必須の業界なので、「新書レベルでザックリ全体感を理解させる」ということにフォーカスをあてると

プライバシーという権利―個人情報はなぜ守られるべきか

おそろしいビッグデータ 超類型化AI社会のリスク

からの「個人情報保護法の知識」でしょうか。

 

 8.その他

逆引きビジネス法務ハンドブック【第2版】: 事業担当者のための

逆引きビジネス法務ハンドブック【第2版】: 事業担当者のための

 

1~7を一通り読んだら、これをざっとでいいから読んどいて欲しい。(個人的希望 

現場からの法務相談がきたときの対応スキル(「こういった相談にはこういった法的論点がある」というあたりをつけること)が格段に上がるはずだから。たぶん。

 

最後に

以上、新人法務に個人的におすすめした本を紹介してきました。

書き出してみて改めて感じたのですが、法務として必要な分野をあまり網羅できてなかったなぁと感じています。(例えば、非法学部卒も視野に入れているならば、もうちょっと法学入門的な本をおすすめしておけばよかったなぁとか)

法クラの皆様のオススメ本もお聞きしたいところです。

 

 

 

 

 

 

ところで、配属1年後に「ぶっちゃけ、おすすめした本のうちどれ読んだ?」と聞いたところ、なんt...コンコン、ガチャ...おや、誰か来たようだ。

 

音楽教室事件知財高裁判決をざっと読んだ簡易メモ

著作権

音楽教室事件知財高裁判決をざっと読んでみました。

 

判決文へのリンク:

知財判決

地裁判決

 

詳細な考察は今後でてくる判例評釈に委ねる(楽しみにしております!)として、個人的に興味深い点をいくつかメモ。

 

1.カラオケ法理の限界?

判決をザックリ2行にまとめると

  • 教師による演奏⇒演奏権侵害(演奏主体が音楽教室で生徒が公衆に該当)
  • 生徒による演奏⇒非侵害(演奏主体が生徒なので自分自身への演奏は非公衆)

と理解しました。

地裁がいわゆるカラオケ法理(規範的主体論)で音楽教室側をザックリ演奏の主体と判断して侵害を肯定したのに対し、ケース分けして演奏主体を検討して一部非侵害と判断する、というのは近年のカラオケ法理の適用例では珍しい気がします(自分が無知なだけかもしれません)。

「基本は侵害やけど、細かくケース分けして検討したら非侵害とすべきときもあるよなぁ」といったところなのでしょうか。

では、これを「カラオケ法理の限界点をみた」とまで言ってしまっていいのでしょうか。

たしかに、「利用行為の詳細等を細かく検討分析してあてはめ方を考えれば、カラオケ法理であっても非侵害に持っていける部分がある」というのが明確になった判決といえるかもしれません。

ただ、(これは法クラの皆様のご意見をお聞きしたいところですが、)そう言うのは時期尚早な気がしています。まだ最高裁という最終ラウンドも残ってますし。(当事者双方とも上告済み)

 

と書いたところで、ロクラクⅡ事件とまねきTV事件が知財高裁で判断が分かれて、最高裁でどちらも侵害と判断となったことをふとを思い出しました。

いや、特に意味はないですよ。なんとなく。

 

2.30条の4について

そのほか、個人的に興味深かったのは判決内において30条の4(非享受利用)に関して触れられている点です。これは「自称:30条の4(旧47条の7)大好きっ子」の一人として見逃せません。

音楽教室側が、演奏権(22条)における「聞かせることを目的」の解釈において、

➀30条の4を参酌せい

音楽教室での教師の演奏は非享受目的や(享受目的ちゃうねん)

という趣旨(kanekoのザックリ解釈に基づく)の主張をしています。

※抗弁として30条の4を主張しているわけではないようです

平成30年改正時に「音楽教室事件はひょっとしてひょっとしたら30条の4でいけるんじゃね?」という意見が少数ながらあったと個人的に記憶しているのですが、結果としては地裁、高裁はともに以下のように非享受目的を否定(=間接的に30条の4の適用を否定)しています。

 (下線はkanekoによる。)

 

(1)地裁判決

著作権法22条と30条の4第1号とは,その目的,趣旨,規律内容を異にする条項であり,同法30条の4第1号の規定の趣旨又はその文言を参酌して,同法22条の「聞かせることを目的」とするとの文言の意義を解釈すべき合理的な理由はない。
また,著作権法30条の4の立法担当者の解説(乙44)においては,漫画の作画技術を身に付けさせることを目的として,民間のカルチャーセンター教室で購入した漫画を手本として受講者が模写する行為につき,その主たる目的が作画技術を身に付ける点にあるとしても,一般的に同時に「享受」の目的もあるとされていることは,被告の指摘するとおりであって,音楽教室における演奏の目的が演奏技術の習得にあるとしても,同時に音楽の価値を享受する目的も併存し得る

 

(2)知財高裁判決

「聞かせることを目的」とするとの文言の趣旨は,・・・(中略)・・・演奏が行われる外形的・客観的な状況に照らし,演奏者に「公衆」に演奏を聞かせる目的意思があったと認められる場合をいい,かつ,それを超える要件を求めるものではないと解するのが相当であるし,また,「著作物に表現された思想又は感情を自ら享受し又は他人に享受させることを目的」としない場合に著作権の制限を認める著作権法30条の4に留意したとしても,音楽教室における演奏の目的は,演奏技術等の習得にあり,演奏技術等の習得は,音楽著作物に込められた思想又は感情の表現を再現することなしにはあり得ず,教師の演奏も,当該音楽著作物における思想又は感情の表現を生徒に理解させるために行われるものというべきであるから,著作物に表現された思想又は感情を他人に享受させる目的があることは明らかである。したがって,上記①の主張を採用することはできない。
そして,音楽教室における教師の演奏が当該教師の本来の演奏とは異なるなどの事情があるとしても,上記のとおり,著作物に表現された思想又は感情を生徒に享受させる目的があることには変わりなく,このようなことが不可能なように繰り返しレッスンすることなどあり得るはずもないから,上記②の主張は,失当というほかない。

 

 文化庁の柔軟な権利制限規定のガイドラインデジタル化・ネットワーク化の進展に対応した柔軟な権利制限規定に関する基本的な考え方)も踏まえるとまぁそうなるよなぁと思うところではありますが、しっかり判決で言及してくれているのは興味深いです。

 

 

 

 

kanekoが今週読んだ記事まとめ(2021/2/28~2021/3/7)

気になるニュースまとめ

諸事情により一時休止していましたが、今週から復活。

 

※表がスマホの縦画面だと見にくかったり、表示されないケースがあるので、PC閲覧かスマホ横画面表示推奨です。

※各記事にはリンクつけていますが、リンク切れになってたらすみません。

 

 

 

著作権 

日時 タイトル/リンク サイト名 kanekoコメント
03/01 ブランディングの鍵を握る著作権契約 その3つのポイント 日経クロストレンド 水野先生による記事。
03/01 ゾンビ映画の流行は「著作権管理のミス」インターネットアーカイブが指摘 - ライブドアニュース はてぶ著作権 タイトル修正のときに©マークを誤って削除

意図せずパブリックドメイン

カルチャー化
02/24 「ウマ娘 プリティーダービー」をプレイする際の配信ガイドライン |Cygames はてぶ著作権  
03/05 違法音楽アプリ利用者が約64万人に減少。著作権法改正が影響 - AV Watch はてぶ著作権  
03/06 Spanish Supreme Court applies Cofemel and rules that bullfighting cannot be protected by copyright The IPKat 「闘牛が著作権法で保護されるか」っておもしろいですね。(なお、裁判所は否定)
03/01 先生教えて!学校で迷わないための著作権の話① 有斐閣 法律編集局 書籍編集部 有斐閣×上野先生×noteってなんか斬新
03/05 開運推命おみくじ事件-著作権 著作権侵害差止等請求事件判決(知的財産裁判例集)- 駒沢公園行政書士事務所日記 おみくじの文章内容について、複製権侵害が成立すると判断されていますね。
対比表が別紙にあるので、これを見るとデッドコピーに近いのがよくわかります。
03/05 著作権法の一部を改正する法律案 文部科学省 主な改正内容としては、①図書館関係の権利制限規定の見直し、②放送番組のネット同時配信に関係する権利処理の円滑化
※施行日に注意。

 

 

知財著作権以外)

日時 タイトル/リンク サイト名 kanekoコメント
02/28 これでも「侵害」になってしまうのだとしたら、それをリスクと言わずして何と言おう・・・。 企業法務戦士の雑感 厳しい判決ですね、、、
03/03 Intelが2300億円超の特許侵害による損害賠償支払い命令を受ける GIGAZINE すごい額。。。
03/06 話題スイープの『ウマ娘』、名馬の擬人化は大丈夫? 過去には「ダビスタ裁判」も 弁護士ドットコムニュース パブリシティ権まわりは結着ついているので、残るは不法行為による損害賠償リスクとのこと。



 

個人情報保護法・データ保護法・プライバシー関連

日時 タイトル/リンク サイト名 kanekoコメント
03/02 米国の州におけるプライバシー関連法の状況マップ(米国州プライバシー法トラッカー) まるちゃんの情報セキュリティ気まぐれ日記 わかりやすい!
03/01 なぜGoogleのデータ収集について裁判官は「混乱している」とコメントしたのか? GIGAZINE 「シークレットモードって全然シークレットちゃうやん」というお話。
03/03 ブラジルANPD、個人データ侵害報告ガイダンスを公表 IIJ  
03/02 米国 生体情報収集の州法違反でFacebookが6億5000万ドルの和解金を支払い IIJ 和解決定書へのリンク有
02/25 「電気通信事業における個人情報保護に関するガイドラインの解説」の改正案等に対する意見募集の結果 総務省 あとでよむ。ぜったい。
03/03 2021年2月のトピック~官民を通じた個人情報保護制度の見直しと「デジタル広告」に伴う独占禁止法上の留意点(2021年3月3日号) 西村あさひ法律事務所 概要を理解するのにいい内容です。


 

 

契約関連・法律・訴訟・法務ネタ

日時 タイトル/リンク サイト名 kanekoコメント
03/05 紙の契約書と電子契約を一元管理できる「マネーフォワード クラウド契約」が5月開始 TechCrunch Japan マネフォも参戦。
03/07 優越的地位の濫用をリスクマップ的に検討できないか考えてみた 法務マンの雑記 表がわかりやすいです。
02/28 法律関係で参考となる情報のまとめ(主に官公庁) 若手弁護士の情報法ブログ ためになるまとめ。今後のアップデートにも期待です。
03/02 脆弱性対応(Heartbleed)の責任の所在 東京地判令元.12.20(平29ワ6203) IT・システム判例メモ 本論とはあまり関係ありませんが、「EC-CUBEを利用していたものの、アップデートしてなくて脆弱性を付かれてクレカ情報漏洩」というパターン、最近多いですよね。


 

 

デジタルマーケティング・アドテク関連

日時 タイトル/リンク サイト名 kanekoコメント
02/28 デジタル広告分野における「独占」の意味。 企業法務戦士の雑感 あとでもう一回読む。
03/01 Firefoxはどのようにして「Googleアナリティクス」による追跡を無効化しているのか? GIGAZINE あとでもう一回読む。
03/01 「たとえ無料で便利でもGoogleアナリティクスを使うべきではない」という主張 GIGAZINE タダより高いものはないってやつですね。
03/04 Google Japan Blog: よりプライバシーに配慮したウェブの実現にむけて はてなブックマーク - 人気エントリー - テクノロジー アドテク業界の人は必読。
03/02 電通、Twitterで今つぶやいた人だけをターゲティングする商品を提供開始 RTB SQUARE 個情法的にはどう整理しているのか。
03/05 ブラウザの追跡ブロック機能を回避する「CNAMEクローキング」を行うサービス・企業のリストが公開中 GIGAZINE 企業名がバイネームで挙げられているのが興味深いです。
03/05 Googleが導入予定の「FLoC」は最悪なものだと電子フロンティア財団が指摘 GIGAZINE フィンガープリントでの回避手段が逆に横行するのではないかという指摘です。


 

 

セキュリティ

日時 タイトル/リンク サイト名 kanekoコメント
02/25 IIJ、クラウド上で脆弱性情報の管理を一元化する「IIJ脆弱性管理ソリューション with Tenable.io」を提供 - クラウド Watch はてぶセキュリティ 「サービスの料金(税別)は、初期費用が150万。Tenable.ioのライセンス費用は個別見積もり。」とのこと。
03/03 データ侵害の盲点はシャドーIT Fox on Security シャドーIT対策の徹底って難しいですよね。。。
03/03 Trade secrets in the wild (Part 1): some economics of cybersecurity investment The IPKat  


 

 

情報漏洩・インシデント関連

日時 タイトル/リンク サイト名 kanekoコメント
03/02 オランダ 個人情報保護局 データ漏洩報告書2020を公表 - 漏洩報告総数は減っているが、マルウェアによる漏洩は30%増加したようです... まるちゃんの情報セキュリティ気まぐれ日記 エグイっすね、、、
03/05 1万8000個以上のスマートフォンアプリに個人情報漏えいなどの脆弱性が発覚、クラウドサービスの設定が不完全なため GIGAZINE ソースはこちら

https://blog.zimperium.com/unsecured-cloud-configurations-exposing-information-in-thousands-of-mobile-apps/
03/06 JAL/ANAからの情報漏えい Fox on Security 網羅的に解説されてい分かりやすいです。


 

 

セキュリティ体制

なし


IT技術

日時 タイトル/リンク サイト名 kanekoコメント
03/02 [初心者向け]AWSの勉強を始めるためのリンク集 | DevelopersIO はてなブックマーク - 人気エントリー - テクノロジー あとでざっと読む



 

業界動向

日時 タイトル/リンク サイト名 kanekoコメント
03/03 欧州委員会 オンラインプラットフォーム経済に関する最終報告書を発表 まるちゃんの情報セキュリティ気まぐれ日記 あとでよむ。


 

 

その他

なし
 

 

 

kanekoが今週読んだ記事まとめ(2021/2/8~2021/2/14)

気になるニュースまとめ

※表がスマホの縦画面だと見にくかったり、表示されないケースがあるので、PC閲覧かスマホ横画面表示推奨です。

※各記事にはリンクつけていますが、リンク切れになってたらすみません。

 

著作権

記事の日付 記事タイトル/リンク kanekoコメント
2/12 贋作騒動に美術界激震。なぜ起きてしまった? 版画販売のビジネスモデルもわかる記事
2/13 MP3・海賊版・アップルはいかにして音楽業界を変えてきたのか Napsterから始まる米国での音楽業界の流れがわかる記事。
2/9 コピーバンドを始める前に!絶対押さえておきたい著作権&商標権のツボ 分かりやすかったです。ただ、バンドと商標のお話をするにであれば、個人的にはELLEも出してほしかった。
2/8 同人誌違法アップロードサイト「同人あんてな」を作家が訴えた裁判が決着 サイト運営者はVTuber「ゲーム部」にも関与 闇が深い。。。


知財著作権以外)

記事の日付 記事タイトル/リンク kanekoコメント
2/10 「ロゴがそっくりだ」として問題になっていたAppleとPrepearの商標権争いが無事解決 何はともあれ、無事に解決してよかった。


個人情報保護法・データ保護法・プライバシー関連

記事の日付 記事タイトル/リンク kanekoコメント
2/12 CPRA countdown: New compliance obligations and challenges around “sensitive personal information” CPRAの解説
Sensitive Personal Informationに位置情報(precise geolocation)やメール内容が含まれているのが個人的に興味深いです。
日本の要配慮個人情報とは範囲が異なるんですね。(被るところもありますが)

HIPAA>CPRAなんですね。
2/13 相模鉄道とセントラル警備保障、二俣川駅でAI画像解析技術による利用者サポート実証実験 相鉄のプラポリ見たのですが、今回の利用目的に合致する内容は記載されていないですね。「お客様から個人情報を取得する場合は、その都度、利用目的を通知・公表または明示させていただきます。」と書いてあるので、駅のホームに掲示されているのかな?
あと協力会社のセントラル警備は委託先という整理ですかね?
https://www.sotetsu.co.jp/privacy-policy/
2/13 SNSのクラブハウス「運営側は録音」個人データ保護に不安 規約にもうちょっと明確に書いてほしいですよねー。
2/13 スウェーデンのデータ監視機関が警察によるClearview AI使用は違法と判断 日本でいう、PPCが警察に対して行うようなものだと理解しました。

なお、Clearviewはカナダでも違法の旨が判断されていますね。
2/12 EU加盟国がePrivacy規則案に合意、立法手続が本格化 ついにですね。
2/9 Why the CPRA Is a Step Forward for Privacy but a Step Backwards for Blockchain CPRAとブロックチェーンは相性悪いんだけど、何とかやっていかないとねという記事(たぶん)
2/10 NIST Privacy 101: An Intro to the NIST Privacy Framework NISTのプライバシーフレームワークのお話。
2/9 シンガポール 改正個人データ保護法が一部施行 タイといい、東南アジア圏のデータ保護法も勉強しなきゃなぁ。
2/9 第4回 改正個人情報保護法に基づく体制整備や、各国拠点での法制対応等が重要に データ保護法まわりについて、今年の注目ポイントを俯瞰的にされています。
2/8 Privacy Moves to the East Coast: Virginia Set to Enact Comprehensive Consumer Data Protection Law バージニア州でのデータ保護法成立の動き。もうおなかいっぱいです。
2/8 スマートフォンのモバイル広告IDと位置情報データで個人は特定できる──New York Times 傍論だと思うのですが、NYT側が日本の個人情報保護法的にはアウトなんちゃうかと思った。
(不正取得と目的外利用のダブルパンチ疑惑)
2/6 Oops: Google admits failing to wipe all Android apps with location-selling X-Mode SDK from its Play Store 位置情報SDKベンダーって他にもたくさんあるのに、X-Modeだけ狙い撃ちされている理由が気になりました。
2/8 Why pseudonymisation is important to protect personal data? 欧州ネットワーク・情報セキュリティ機関(ENISA)が仮名化に関するレポート出したという記事。

レポートは下記(ファイルがDLされるので注意)

https://www.enisa.europa.eu/publications/data-pseudonymisation-advanced-techniques-and-use-cases/at_download/fullReport


契約関連・法律・訴訟・法務ネタ

記事の日付 記事タイトル/リンク kanekoコメント
2/12 「将来の販売価格を比較対象とする二重価格表示に対する執行方針」の公表 イノベンティアによる詳細な解説。
2/12 Googleがニュースサイトに使用料を支払う「Googleニュースショーケース」を次々に開始、日本でも契約合意へ 結局この方向で落ち着いたんですね。
1/27 戦う若手法務部員のための基礎講座シリーズ (1)契約書に手を入れる前に | ブログ | Our Eyes | TMI総合法律事務所 新人に読ませよう。
2/6 コロナ感染情報投稿「プライバシー侵害」 長崎の男性 発信者情報開示請求 佐賀地裁 今後も増えそうですね。
2/7 これは「入門書」の究極型かもしれない。 企業法務戦士さんによる川井先生の会社法入門に関する書評。

kanekoも買ったよ!(まだ読んでない
2/8 株主総会のフォーメーション わかりやすいまとめ。勉強になりました。
2/7 法務の仕事で大切なことを改めて考えてみました 激しく共感しました。


デジタルマーケティング・アドテク関連

記事の日付 記事タイトル/リンク kanekoコメント
2/14 メリーランド州、全米初となるネット広告税を導入開始 | RTB SQUARE こんなん知らんかった...

「新税は世界でのデジタル広告の売上高が年間1億ドル(約105億円)ある企業を対象に、メリーランド州内のデジタル広告の売上高に応じて2・5~10%の税金を課す制度」
2/10 ブラウザのFavicon(ファビコン)でユーザーを追跡する「スーパークッキー」とは? クッキーよりえぐいスーパークッキーに関する解説。
何かを規制するとどんどんこういった抜け道が出てくるんですよね。
2/8 CCCマーケティングとヒットが協業 屋外ビジョン広告接触者へ向けたダイレクトマーケティングの提供へ 接触有無はおそらくビーコンで取得っぽい。
DACの特許踏んでないんやろか。


セキュリティ

記事の日付 記事タイトル/リンク kanekoコメント
2/14 サムソンの内部漏洩対策 紙の持ち出しもチェックできる体制ってすごいですね。
2/12 企業を強くするサイバー演習 #04:情報セキュリティとサイバーセキュリティは何が違う? 情報セキュリティとサイバーセキュリティとの違いについて
- これってどーなの?アニメ『ドラゴンボール』に学ぶセキュリティ<第3回> ドラゴンボールの二要素認証にずっと笑ってる。
2/9 ビジネス視点でセキュリティを考える 「CISOハンドブック」が教えてくれること あとでハンドブック読んでみる
2/9 1000万回以上ダウンロードされたバーコードリーダーアプリに突然マルウェアが仕込まれる 結局アプリ自体がストア上から削除されてしまったよう。(DL済みのアプリは端末内にあるので各自が別途削除する必要がある)

広告SDK経由でマルウエアが仕込まれたのが原因とのこと。
2/8 リスクベースで行う社内セキュリティ教育の前提知識 もうちょい詳細が知りたい感じ。
2/10 Anti-malware firm Emsisoft accidentally exposes internal DB 設定ミスでデータ公開しちゃうの、日本だけじゃないんですね。


情報漏洩・インシデント関連

記事の日付 記事タイトル/リンク kanekoコメント
2/12 ハッキングであわや大量毒殺発生の危機だった水道処理施設のずさんなセキュリティー体制とは? セキュリティ的にアカンのオンパレード

・PWは使い回し
・PCはファイアウォールが無効のままインターネットに接続
・PCのOSはサポートが終了した「Windows 7
2/12 9つの自治体で不正アクセスの可能性が明らかに、セールスフォース「設定不備」問題 今度は自治体。。。
2/10 TeamViewerがインフラを脅かす キタきつねさんの記事
2/10 米国で発生した浄水システムの不正操作についてまとめてみた Piyolog
2/10 クラウド会計のfreee、顧客情報2800件漏洩の恐れ
クレジットカード番号など		 問い合わせフォームの不備とのことなので、まだ影響は限定的なんでしょうね。
2/8 Hackers publish patient data stolen from two US hospital chains 病院から患者データが漏洩した旨の記事。
2/9 「サイバーパンク2077」の開発社がサイバー攻撃被害で身代金を要求される ファンからは「リアルサイバーパンク」の声 誰がうまいこと言えといったw


セキュリティ体制

なし


IT技術

記事の日付 記事タイトル/リンク kanekoコメント
12/5 DeepL APIを用いたChrome拡張機能「DeepLopener PRO」を公開しました 真面目にDeepL PROを契約したくなってきた。
2/12 WebブラウザーでPDFを手軽に編集 ~Adobeが無償オンラインツールの提供を開始 これは便利
2/12 隠せー! デリケートな情報を隠すSQL Databaseの「動的データマスキング」 SQLってこんなことできるんですね。
2/14 Python を活用しながら Web サイトのデータ収集を効率化(2)【実装編】 スクレイピングやってみたいのでメモ。


業界動向

なし


その他

なし

 

 

kanekoが今週読んだ記事まとめ(2021/2/1~2021/2/7)

気になるニュースまとめ

ちょっと件数多すぎてまとめられなくなってきたので、厳選。

 

※表がスマホの縦画面だと見にくかったり、表示されないケースがあるので、PC閲覧かスマホ横画面表示推奨です。

※各記事にはリンクつけていますが、リンク切れになってたらすみません。

 

 

 

著作権

記事の日付 記事タイトル/リンク kanekoコメント
2/4 コスプレは「著作権侵害」になるの?「ルール整備」以前に押さえておきたい重要ポイント 福井健策弁護士が解説 福井先生による解説。
以前指摘していた上演権に関する言及はないんですね。
2/2 【2021年版】急増するオンラインセミナーの著作権と肖像権問題 セミナーのスライドで権利許諾のない画像を使うときに引用がどこまで成立するのか興味あったりします。
1/31 第435回:中国新著作権法の権利制限関係規定 兎園さんって何者なんでしょうか。。。
2/6 人気急上昇の音声SNSアプリ「Clubhouse」、勝手に「音楽」を流していいの? Clubhouse、JASRAC包括契約するんですかね?今後に注目です。


知財著作権以外)

なし


個人情報保護法・データ保護法・プライバシー関連

記事の日付 記事タイトル/リンク kanekoコメント
2/5 Clubhouseアプリのプライバシーリスク—DataSign解析結果を踏まえて こういった「実際にどのようなデータが収集されているのか検証すること」は大事ですね。
2/7 Clearview AIの顔認識技術はカナダでもプライバシー侵害で違法 そもそも「カナダ法の適用があるのか」という問題はありそうですね。

ちなみに、カナダのプライバシー法については、以下の論文が詳しいです。

石井夏生利「カナダのプライバシー・個人情報保護
https://alis.or.jp/journal/data/vol1/issn2432-9649_vol1_p011.pdf
2/4 Crimtan、ADARAと業務提携 ファーストパーティーデータを使ったターゲティングを強化 どちらもユーザから同意取得済みと書かれているので気になって少し調べてみました。

Crimtaは同意バーでの取得した情報がベースっぽい。
https://www.crimtan.com/privacy/

ADARAはSDK事業者っぽいですね。
https://adara.com/-/ja/%E3%83%97%E3%83%A9%E3%82%A4%E3%83%90%E3%82%B7%E3%83%BC%E4%BF%9D%E8%AD%B7%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E3%81%8A%E7%B4%84%E6%9D%9F%EF%BC%88%E3%83%97%E3%83%A9%E3%82%A4%E3%83%90%E3%82%B7%E3%83%BC/
2/4 個人情報保護法改正に伴う施行令等(案)の公表(2021年2月4日号) 西村あさひのニューズレター。

日本の改正法の話がメインですが、海外周りのお話が参考になりました。

EU の新たなサイバーセキュリティ戦略が発表され、「ネットワーク・情報システムの安全に関する指令(NIS 指令)」の改正案及び「重要施設のレジリエンスに関する指令案」が提案された点。
・中国において、「情報安全技術 個人情報安全影響評価ガイドライン」が公布された点。
・中国において「一般的なモバイルインターネットアプリ(app)における必要個人情報の範囲(意見募集稿)」のパブコメ募集が行われていた点。
2/1 Clubhouse app faces court action in Germany over serious failings under data protection and consumer law ドイツで消費者保護団体がclubhouseに対してデータ保護法&消費者法で提訴とのこと。

具体的な根拠は下記のよう。
①テレメディア法に基づく「Impressum」の通知がされていない点
②プラポリにドイツ語がない(消費者保護法上、ドイツ語での提供が必要)
GDPR上のnoticeが欠如している。
2/1 ユーザーを誘導する「ダークパターン」で得られた同意を認めないという新法が登場 CPRAのお話。
ありますよね。こういうの。

『ダークパターンはユーザーをだますことを意図したインターフェイスのことで、「『購入』ボタンの横に『定期購入』ボタンを配置する」「登録は非常に簡単にできるが、退会は非常に面倒」といったものがダークパターンと分類されます。』
2/2 データ流通、日欧が協議
EPA規定上乗せ巡り		 この記事とは関係ないですけど、今年ってEUの日本に対する十分性認定の見直し時期でしたっけ?
2/1 どのアプリが大事なプライバシーを握っているのかを確認する方法 あとで確認してみる。
2/1 How consumers protect sensitive information when using FinTech apps ESETの調査によるとダウンロードする前にフィンテックアプリの利用規約を読んだと答えた人は31%、プラポリを読んだ人は29%だったとのこと。正直、思ったより多い気がします。
2/4 Why pseudonymisation is important to protect personal data? ENISAが、個人データ保護の仮名化に関するレポートを発表しているのですね。参考になりそう。

なお、レポートは下記
https://www.enisa.europa.eu/publications/data-pseudonymisation-advanced-techniques-and-use-cases/at_download/fullReport


契約関連・法律・訴訟・法務ネタ

記事の日付 記事タイトル/リンク kanekoコメント
2/4 法務に求められる「人当たり」 言うは易く行うは難しって感じですよね。
改めて自分ができているか振り返ってみようと思います。
「プログラムの医療機器該当性に関するガイドライン」(案)に関する御意見の募集について 関原先生のTwitterから。
先日上司に聞かれた内容なので読んどく。
2/2 話題の音声SNS「Clubhouse」で誹謗中傷されたら… 中澤佑一弁護士に聞く 録音とかしてないとキツイので証拠集めのハードルが他のSNSより高いですよね。

より詳細な内容を中澤先生がボログで公開されています。
https://todasogo.jp/clubhouse/
1/29 Amazonはどうやって欠陥品や偽造品に対する法的責任を免れてきたのか? この問題は根が深そう。
肖像権ガイドライン デジタルアーカイブ学会法制度部会のガイドライン
後で読む。
2/2 各国政府からAmazonへのユーザーデータ要求件数が2020年下半期に激増 去年の800%増とのこと。理由については公開していないそう。気になります。


デジタルマーケティング・アドテク関連

記事の日付 記事タイトル/リンク kanekoコメント
2/4 2021年 飛躍が見込まれる欧州発アドテク企業17社 やはりこのあたりの分野なんですね。

「17社が手がける分野は、現時点でアドテク業界のスイートスポットとなっているプライバシー、ID、コンテクスト、測定、新興チャネル(主にゲーミング)、Eコマースだ。」
2/3 Location tracking report: X-Mode SDK use much more widespread than first thought 位置情報SDKでの位置情報ぶっこぬきに関する記事。Googleが禁止しても依然として位置情報SDKを入れているアプリが結構あるとのこと。


セキュリティ

記事の日付 記事タイトル/リンク kanekoコメント
2/5 ランサムウェア「Fonix」対応の無料復号ツールが入手可能に 「攻撃者がマスターキーを公開したからランサムウェアで暗合されたファイルが複合できるようになったよ」という記事。
2/7 SNSの投稿写真には個人情報のヒントがいっぱい 特定班ってこわいですよね。。。
2/3 Costwayのカード情報は2重に攻撃された へぇ。奪い合いみたいな感じなんですね。

「攻撃者同士(攻撃者Aと攻撃者B)が、同じECサイト(Costway)の資産(カード情報)を奪い合っている、そんな構図だった様です。」
2/2 CSAJ「GitHubに関する対応とお願い」 外部サービス利用禁止!とかにならないことを祈ります。
2/1 Emotetテイクダウン作戦 Operation LadyBird の成功への感謝 なるほど。

「まとめると、以下をもって、成功したと考えています。
・ 全てのEmotetのインフラが押収されたか通信がブロックされたこと
・ 全てのEmotetの感染端末のEmotetは隔離用ファイルに更新されているであろうということ
・Emotetのインフラを運営していた攻撃者グループの一部が実際に逮捕されていること。」
1/31 Android Worm' Malware is Spreading Via WhatsApp User Contact List WhatsApp経由でのマルウェアが広がっているよう。Huweiのスマホが前提になっているようですが、他のandroidでも同様なんですかね?

マルウェアはメッセージ経由でユーザーの携帯電話に侵入し、ユーザーの端末にアドウェアをアップロードし、被害者の連絡先リストにWhatsAppメッセージを送信して被害者を暗躍させることで拡大していく。」
2/2 Ransomware: A company paid millions to get their data back, but forgot to do one thing. So the hackers came back again ランサムウェアの被害にあって、攻撃者の要求に従ってお金を支払ったのに(原因の特定と対策を打たなかったので)再度ランサムウェアの被害にあってしまった」という記事。


情報漏洩・インシデント関連

記事の日付 記事タイトル/リンク kanekoコメント
2/2 マルウェア検査サイトを通じた個人情報ファイルの外部流出、そのまさかの原因が話題に まちがって機能を使ってしまうと、意図せず外部に公開されちゃうやつですね。

「それはユーザーから提供されたデータを会員企業や研究者の間で検体として共有する機能で、これらを知らずに手持ちのファイルを検査目的でアップすると、意図せず外部に漏れてしまう危険があるのだ。」
2/1 なぜStack Overflowから個人情報が流出したのか、犯人の攻撃方法と対処の詳細なタイムラインが公開中 Stack OverflowはQAに特化した技術コミュニティとのこと。なので、攻撃者の行動が1日単位で公開されちゃってるんですね。


セキュリティ体制

なし


IT技術

なし


業界動向

記事の日付 記事タイトル/リンク kanekoコメント
2/7 AppLovin、モバイルアプリ計測のAdjustを買収 このあたりの動きも活発ですね。
2/4 Box、電子署名のSignRequest買収を発表--「Box Sign」を今夏リリースへ これは予想外。


その他

なし

kanekoが今週読んだ記事まとめ(2021/1/25~2021/1/31)

気になるニュースまとめ

今週は72件です。

 

※表がスマホの縦画面だと見にくかったり、表示されないケースがあるので、PC閲覧かスマホ横画面表示推奨です。

※各記事にはリンクつけていますが、リンク切れになってたらすみません。

 

 

著作権

記事の日付 記事タイトル/リンク kanekoコメント
1/28 「デジタル時代における著作権制度・関連政策の在り方検討タスクフォースの進捗報告 ~UGCを中心に~」

骨董通り法律事務所のコラム。
UGC創作に関して色々興味深い内容が記載されています。
いくつか以下にピックアップします。

経産省の調査によれば二次創作により収入を得ているクリエイターのうち、40%は原著作権者の許諾を得ていない。
・ユーザーの中には、ファンコミュニティーやクリエイターへの嫌がらせを目的に、権利者に侵害通報する者がいる。

・カナダでは著作権法改正により、権利者に許諾なくしてUGCの創作等を可能とする規定を設けている(カナダ著作権法29.21(1))。
・「なぜサイト運営者と権利者が利用許諾契約を締結すると、契約当事者ではない投稿者は著作物等を適法に利用することができるのでしょうか。この点に関する明確な説明は得られていませんが、有識者からは、サイト運営者と権利者とが第三者のためにする契約(民法537条~)を締結しており、投稿者はその受益者として当該契約の効果を享受しているといった理論が考えられる旨の意見が出されています。」
1/30 「コスプレが非営利目的なら著作権法に抵触しない」というのは本当か? 栗原先生による解説
1/28 まさかの逆転勝訴? 金魚電話ボックスの「著作権侵害」が認定されたポイントを分析 伊奈波先生による解説。
1/27 The 'goldfish phone booth' copyright case in Japan IPKatにも金魚電話ボックス事件が。書いたのは中国人の学者の方のようですが、山形大の佐藤先生がサポートされているよう。
- ≪契約上の地位に基づいて商品化権を専有しているという事実状態が存在しないとして、キャラクターに関する著作物に係る独占的利用権者による損害賠償請求が認められなかった事案≫ 内田鮫島のサイト(知財弁護士.COM)の記事。
この裁判例知りませんでした。勉強になります。
1/25 コロナ対策で前倒し《JASRAC》著作物使用料の分配額を発表 ネット配信は増えて、ライブが減るという予想通りの数字。
1/24 Germany's Federal Court of Justice gives weight to celebrity consent to media image use ドイツの著作権法には被写体に関する権利が含まれているのですね。(作花先生の基本書に言及あった気もする。あとで調べる。以下機械翻訳

「連邦司法裁判所は、両方のケースにおいて、第812条(1)第1項第2号および第818条(2)BGB(Bürgerliches Gesetzbuch)が適用され、不法に奪われた対象物(この場合は、自分の画像の使用を決定する財産権)の価値の引き渡しまたは返還を要求すると判断した。
KUG (Ges Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie) 第22条第1項によると、被写体の同意の抗弁が可能ですが、これらのケースでは適用されません。第23条(1) KUGは、画像が現代史を描写するために使用されている場合の抗弁も規定しているが、私的画像権と情報を受信する公衆の権利との間でバランスをとるテストが必要である。第23条(2) KUGは、画像の使用に対する同意は、個人の正当な利益を侵害する使用には及ばないとしている。」

 


知財著作権以外)

記事の日付 記事タイトル/リンク kanekoコメント
1/29 名前もパッケージも似すぎ? キンプリ永瀬CM出演の「ヒルマイルド」めぐりバトル勃発 先週の記事でも紹介した件ですね。

 


個人情報保護法・データ保護法・プライバシー関連

記事の日付 記事タイトル/リンク kanekoコメント
1/30 どこまで理解してる?個人情報保護法の内容を知っている人は7割 この手のアンケートやるならもっと深堀した調査票でやってほしいなと思いました。
1/30 非接触時代の功罪:無人レジが個人特定せずに「万引き」を検出する仕組み(5/6) 個人的に気になったのは下記2つの文章

「StandardのWebサイトのプライバシーポリシーには、生体認証識別子を収集せず、「特定の身体的特徴」に関する情報のみを収集しているとある」
「一連の画像でトレーニングされたアルゴリズムが店の棚の間にある通路を移動する買い物客の身体的特徴を識別できると書かれている。このアルゴリズムは首、鼻、耳、肩、ひじ、手首、腰、足首、ひざなど19箇所の身体上のポイントの内ひとつを識別するように設計されている。」

日本法上の個人識別符号にあたるのか気になります。身体的特徴の抽出データってストレートには政令規則に載ってないんですね。強いて検討するのであれば、「歩行の態様」でしょうか。

Standard Cognition, Corp.のプラポリは下記(日本語がある)
https://standardcognition.jp/terms
1/29 台頭するプライバシーテック、背景に大統領選やコロナ これ、リーガルテックみたいにメジャーになるんですかね。。。
1/27 Privacy is not a one-time, check the box activity ISACAが実施した2020年第3四半期に、データプライバシーに携わっている、または組織のデータプライバシー機能についての知識を持っている1,873人の専門家から収集した調査結果
1/26 ジェトロ、米加州の個人情報保護法対策オンラインセミナー開催、BtoB企業向け 杉本先生の講演資料が添付されているので後でみる。
1/26 TikTok privacy issue could have allowed stealing users’ private details TikTokの友達検索の機能に脆弱性があって、個人情報が漏洩する可能性があるという記事。
以下、記事内の文章を機械翻訳

「ここ数ヶ月、Check Point Researchチームは、TikTokモバイルアプリケーションのフレンドファインダー機能に脆弱性を発見しました。この調査で説明されている脆弱性では、攻撃者はプロファイルの詳細と電話番号を接続できますが、悪用に成功すると、攻撃者はユーザーとそれに関連する電話番号のデータベースを構築できます。」
1/26 新型コロナのワクチン接種情報を国がマイナンバーに紐付けすることを考えた マイナンバーについては詳しくないので勉強になりました。
1/26 転職ネット仲介、拡大へ法改正 個人情報利用にルール 職安法はフォローできていないので、今度調べてみよう。
1/26 GDPR制裁金、前年比で39%増--さらに高額化する可能性も やはり増加傾向なのですね。

「情報漏えいの報告件数も増加しており、過去12カ月間では1日平均331件の情報漏えいが報告されている(前年は278件)。2018年5月25日以降に報告された情報漏えいの件数は、合計で28万1000件になった。」

そして。これはお国柄が出すぎでは?ww

「ドイツではGDPRの施行以来、7万7747件の情報漏えい報告を受けているのに対して、イタリアでは同じ期間に3460件の報告しかない。」
1/25 米情報機関、令状なしに米居住者の位置情報を購入 データベンダーから購入したんですね。

「DIAは複数のデータブローカーから情報を購入しており、ブローカーは多くの場合、ユーザーのスマートフォンにインストールされているサードパーティーのアプリから情報を得ているという。」

この米国の判例は知らないので、後で調べてみよう。

「この慣行は、情報機関がいかに米居住者の位置情報を令状なしに収集しているかを浮き彫りにするものだ。ただし、2018年の米最高裁判所の判決で、そうした行為には令状が必要との判断が示されていた。「Carpenter判決」として知られるこの裁定では、合衆国憲法修正第4条に基づき、捜査機関がある人物のあらゆる移動を時系列で列挙できるデータにアクセスするには、より厳しい条件が課されるべきだとした。」
1/26 反クラウド論、プライバシーを保護できていない現在のクラウドアプリ こういったアプリ、大量にあるのでしょうね。

『この問題をさらに複雑にしているのは「プラバシー保護アプリ」だ。こうしたアプリは、その名の通り、スマートフォン上にある他のアプリの活動からプライバシーを保護するためのアプリだということになっている。しかしプライバシーという飾りを剥がしてみれば、プライバシー保護アプリ自体が驚くべきレベルで個人データへのアクセスを要求していることがわかる。「プライバシー保護」というカテゴリーでなければ、ユーザーは眉をひそめて警戒したに違いない。』
1/29 データプライバシーデー あとでゆっくりよむ。
1/29 Use ItsMyData to stop ecommerce sites from abusing your valuable data 巧妙にオプトアウトを回避しようとするサイト構造をしていてもオプトアウトできるようにするChrome拡張機能の紹介。現在はCCPA限定のよう。今後に注目ですね。

Google Chrome拡張機能「ItsMyData」では、オンラインストアが自分のデータを販売することを自動的にオプトアウトすることができます。』

 


契約関連・法律・訴訟・法務ネタ

記事の日付 記事タイトル/リンク kanekoコメント
1/29 Facebookが対Apple訴訟を準備か、App Storeにおける独占禁止法違反などにより 訴訟の争点は、「広告トラッキングに関する仕様変更問題」と「iPhoneのデフォルトアプリ問題」とのこと
1/28 ありのままの法務、あるいは契約書レビュー練習問題の解説(?) おもしろい。特にこれ好き。

『俺は、この事実を立証するため、レビュー結果を送付する際、ファイルにパスワードを掛けるようにしてたんや。メールを送信してから5分以内にさも内容を確認したかのように返信してきたやつが俺の先輩含めて30%ほどおった。逆に、10分以内に「パスワードの別送が漏れていませんか」とチャットを飛ばしてきてくれた神依頼者が15%。こういう依頼者との仕事はほんまにスムーズに進むから大事にせなあかんで。』
1/31 法務の私が、顧問弁護士の先生に質問するときに心がけていること ちなみにkanekoはYes/Noで答えられる質問ですることを意識しています。(そのために事前のリサーチをかなりする)
1/27 日々の仕事がどんなもんか(法務の一日、分単位) じゃんく氏、死んじゃうよ。。。

でもこのエントリーのリプ見ると、「俺もこんなもん」というコメントあって戦慄してる。
1/25 企業法務って何をしているの?
法務部の業務内容と役割を解説!		 法務に興味のある人向け資料としてはいいかも。
1/25 トラブル対応の法務 すごくわかります。

『その瞬間にどんなにヤバイと思ったトラブルでも、後から振り返れば大抵のものは「笑い話」になること。
そして、周りは、「ミスを起こした」という事実そのものより、「ミスに対してどう対応したか」ということの方をよく見ているということ。』
1/24 父親の急死でサブスクの催促状が次々…ID分からず半年で請求20万円超に これ、結構今後も問題になると思います。
1/25 テスラが機密ファイル2万6000件を盗み出したとして元従業員を告訴、本人は作業ミスと否定 これ今後どうなるんですかね。
1/25 今年の会社法改正で何をしなければならないの? とってもわかりやすくて勉強になりました。1/27に追記あり
1/29 Electronic health records provider Athena to pay $18m settlement in kickback lawsuit アメリカの電子カルテプロバイダーが医者に違法なキックバックを行ったことに関する記事ですが、虚偽請求取締法(False Claims Act)と反キックバック法(Anti-Kickback Statute)を初めて知ったのであとで調べてみます。

 


デジタルマーケティング・アドテク関連

記事の日付 記事タイトル/リンク kanekoコメント
1/31 GoogleがiOS 14のプライバシーポリシー変更に伴ってIDFA取得をやめると発表 最近Googleappleの路線に賛同する流れになってきてますよね。。。
1/28 プライバシーテック、5つのコア領域とは DXに導入必須 5つとは下記とのこと
・同意管理
・アセスメント管理
・データマッピング
・請求権対応
・インシデント対応
1/27 Mozilla、Firefox85からスーパークッキーを規制へ スーパークッキーとは、Cookie の代わりにブラウザフィンガープリント、ETags、ローカルストレージ、Flash LSO などを使用することのようです。
1/26 プライバシー保護と広告を両立 ~「Google Chrome 90」ではPrivacy Sandboxの管理UIが導入へ 3rd Party Cookieが死んだ後のお話。

「FloCアルゴリズム機械学習Webブラウザーに組み込んでユーザーの閲覧履歴を分析し、興味や関心を持つユーザーを“Cohort(群れ)”にまとめる。広告主はわざわざユーザーの個人情報を分析・追跡しなくても、“Cohort”単位で広告の配信を決められるため、広告の効果とユーザーのプライバシーを両立できる。」
1/26 グーグルはCookieに代わるターゲット方式による広告収入はほぼ変わらないと主張するもプライバシー面は不透明 これはちょっと思ってる。

GoogleがPrivacy Sandbox提案の開発に関して、比較的オープンであることを強調し続けていることは驚きではない。反トラストの告発と戦うためだ。しかし同時に、サードパーティCookie軽視の中止や延期を勝ち取ろうとしているアドテック業界はトラッカーに代わる独自の方法を開発中であり、概してGoogleより透明性がずっと低いやり方で対抗案を開発していることは注目すべきだろう。」
1/26 Googleが提案するサードパーティーCookieなしの新しい広告の仕組み「FLoC」とは? FLoCの解説。

「FloCはFederated Learning of Cohorts(連合学習のコホート)の略語であり、機械学習アルゴリズムを使用してウェブサイトを訪れたユーザーのデータを分析し、何千人ものユーザーからなるコホートを作成するというもの。APIChrome拡張機能として使用され、収集された個人データについては共有されず、ターゲティングは分析データであるコホートを元に行われます。」
1/29 アップルのApp Tracking Transparency機能はデフォルトで有効に、早春にiOSで実装 ついに、って感じですね。

 


セキュリティ

記事の日付 記事タイトル/リンク kanekoコメント
1/29 Hackers could live-stream your home through your LifeShield security camera おうちのセキュリティを上げるためにセキュリティカメラを導入したのに、脆弱性のせいで逆にハッカーに丸見えになっちゃってるかもよというお話。
結局、対策としては以下とのこと。
・信頼できる製品を買うこと
・デフォルトのパスワードを変更すること
・異なるIoTデバイスは別々のサブネットワークに配置すること
1/29 「EUは暗号化サービスにバックドアを作ろうとしている」とProtonMailなど暗号化サービスの開発元が警鐘を鳴らす これは大変興味深いですね。アップルがFBIからのiPhoneロック解除要請を拒否したのを思い出しました。

『声明は「新法案はエンドツーエンド暗号化サービスにバックドアを設けるというものであり、それが実現すれば何百万人もの基本的権利を脅かし、エンドツーエンド暗号化の採用に向けた世界的なシフトを弱体化させることにもつながる」と批判しています。』

『声明では「決議の中では明確に述べられていないものの、この提案はバックドアを介して暗号化されたプラットフォームへの法執行機関のアクセスを許可しようというものであることは広く知られています。ただし、この解決策は根本的な誤解を招くものです。暗号化は絶対的なものであり、データは暗号化されているかいないかのいずれかのみであり、バックドアを設置してしまえば暗号化した意味はなくなります。また、バックドアを仕込んでしまえばユーザーのプライバシーはなくなります。法執行機関が犯罪と戦うために、『強力なツールを用意したい』と考えることは理解できますが、この提案は法執行機関がすべての市民の家の鍵を入手するようなものです。個人のプライバシーを大きく侵害する動きとなる危険性もあります」と説明し、考えに理解を示しつつも許容はできないことを表明しています。』
- 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月) 石田先生のツイートから。
後で読む
1/29 IT業務の委託先と委託元で大きなテレワークギャップ--IPA調査 やっぱ気にしますよね。

『委託先がテレワークを行っている場合に委託元が懸念するセキュリティリスクは、「委託先からの機密情報の漏えい」が33.3%で最も多く』
1/31 最恐ウイルスEmotetをテイクダウンしたOperation Ladybirdについてまとめてみた 国際間(オランダ、フランス、カナダ、イギリス、ドイツ、リトアニアアメリカ、ウクライナ)での協調作戦Takedownさせたのすごいですよね。

検挙された動画とかすごい。
全体的にプロジェクトX感ある。
1/27 情報セキュリティ10大脅威 2021 ここから情報処理安全確保支援士試験にも何かでるかな?前回、「スマホ決済の不正利用」はでましたね。
1/27 アップルのiPhone、今すぐOS更新を セキュリティー問題の悪用発覚 『セキュリティー問題のうち2件は、ブラウザーの「Safari」とiOSに使われているオープンソースブラウザーエンジン「WebKit」に原因がある。「リモートの攻撃者が任意のコードの実行を引き起こすことができる可能性がある」とされ、アップルの開発フレームワーク「Kernel」も影響を受ける。』
1/27 秘密計算による「攻めのセキュリティ」で企業のDXをサポート セキュリティも攻めのセキュリティって使い方するんですね。
1/24 DNSpooqの脆弱性詳細と攻撃コード解説 かなり専門的な内容なのですが、あとで頑張って読んでみる。
1/25 ランサムウェアの資金フローを追う
 カスペルスキーの記事。こういった調査ってすごいですね。

「何よりもさらに興味深いのは、サイバー犯罪者がどれほどの利益をどのように得たのかに関する調査です。調査チームは同じ方法で取引を分析し、オンラインのデジタル通貨取引サービスの既知のウォレットが関与する共同取引の中に、どのサイバー犯罪者のウォレットが現れてくるかを確認しました。もちろん、すべての資金がこの方法で追跡できるわけではありませんが、サイバー犯罪者が資金の引き出しによく使用しているのはBTC-e.comとBitMixer.ioであることが判明しました(当局は後に、違法資金の洗浄を行ったとして両取引所を閉鎖しました)。」
1/25 女性の裸や住民のセックスがホームセキュリティ用監視カメラでのぞき見されていたと判明 セキュリティの脆弱性かと思ったら、内部犯による犯行のようですね。

「AvilesはADTの技術者として訪問した顧客の家に魅力的な女性がいた場合、自身のメールアドレスを顧客のADTアカウントに追加し、性的な満足を得るためにカメラの映像をのぞき見していたとのこと。Avilesは事件が発覚するまでの5年間で220のアカウントを侵害し、合計9600回以上もの不正アクセスを行って裸の女性やカップルがセックスする様子を見たと述べています。」
1/26 米国セキュリティレポートから見えてくる、今後のサイバー犯罪の動向とは? 【前編】 後で読む。
1/26 Machine Learning in Security - How Machine Learning helps security in the real-world? セキュリティ×AIのお話。
1/28 ロシアのSolarWinds報復対策 一般人の知らないところで、米国vsロシアのサイバー上でのいがみあいがあることがわかります。

最後のSolarWindsへのATP攻撃概要図がわかりやすいです。
1/29 iOS 14にサンドボックス型セキュリティシステム「BlastDoor」が搭載されているとGoogle研究者が発見 指摘されていた脆弱性(ゼロクリック・エクスプロイトと呼ばれる、ユーザーが何もしていなくてもスパイウェアに感染してしまう脆弱性)をしっかりカバーできているということのようですね。
1/31 テクニカルサポート詐欺攻撃 google検索結果に表示される広告をクリックすると偽サイトにリダイレクトされるとかもう何を信じればいいにかわかんないですよね。

 


情報漏洩・インシデント関連

記事の日付 記事タイトル/リンク kanekoコメント
1/31 【独自】病歴情報をネットに「放置」…メール共有範囲を誤設定、聖マリ医大病院など複数施設 各所でオンプレからクラウドへの移行が進んできている一方で、この手の設定ミスって連発してますよね。
1/30 NISCが「セールスフォース製品の設定不備」に注意促す、楽天などで不正アクセス ほんとこの手の(以下略
1/30
東京ガス1万件のメアド流出
恋愛ゲーム不正アクセス		 下記nakagawaさんに教えてもらいました。
https://style.nikkei.com/article/DGXMZO67767860Y0A221C2000000/

ところで、キャラがうたプリにしか見えない。

プレスリリースは下記
https://www.tokyo-gas.co.jp/important/20210130-01.pdf
1/29 GitHub上に三井住友銀の一部コードが流出、「事実だがセキュリティーに影響せず」 本件、いろいろな観点からの問題(業界構造的な問題含め)があるので、簡単に考察できない。
1/26 問合フォームに不備、第三者が個人情報にアクセス - イオン 問い合わせフォームの不備とのことですが、詳細がきになります。
1/26 弊社が運営する「システムファイブ オンラインショップ」への不正アクセスによるクレジットカード情報流出に関するお詫びとお知らせ 原因は「第三者による不正アクセスがなされ、決済処理プログラムの改ざんが行われたため」とのこと。

「弊社オンラインショップシステムの仕組み上、お客様のクレジットカード情報は弊社に保持しておりません。その為、新たにクレジットカード情報を入力された方以外の情報の流出は確認されておりません。」とあるので、元々はクレカ情報を保持する仕様ではなかったのですね。

本事件については、キタきつねさんが記事を書いています。

SYSTEM5のインシデント対応
https://foxsecurity.hatenablog.com/entry/2021/01/27/090000
1/25 植物園サイトに不正アクセス、スパム送信の踏み台に - 藤沢市 「サーバに不正なプログラムがインストールされて踏み台として悪用され、国外に対して約6500件のメールが送信されたという。」
1/24 Chipmaker Intel reveals that an internal error caused a data leak 以下機械翻訳。財務情報が漏洩したっぽい(なので、早めに四半期決算の情報を早めに開示したよう)

インテルのジョージ・デイビス最高財務責任者フィナンシャル・タイムズ紙に、チップメーカーは、脅威の行為者が自社サイトから財務上の機密情報を盗んだと考えており、この理由から、攻撃者がこのデータを株式市場での操作に利用することを避けるために、四半期ごとの収益報告書の発表を予想していたと語った。」
1/24 Data breach at Buyucoin crypto exchange leaks user info, trades 以下機械翻訳

「ユーザーレコードのテーブルには、161,487人のメンバーの情報が含まれています。これには、メールアドレス、国、bcrypt ハッシュドパスワード、携帯電話番号、およびサイトでアカウントを登録する際に使用された場合の Google サインイントークンが含まれています。」
1/24 Hacker leaks data of 2.28 million dating site users 出会い系サイトのユーザー情報が洩れたという記事。
1/25 Leading crane maker Palfinger hit in global cyberattack オーストラリアのクレーンメーカーがサイバー攻撃の被害にあっているという記事。
業務に支障のあるレベルのようですね。以下機械翻訳

『「当面の間、PALFINGERに電子メールで連絡することも、問い合わせ、注文、出荷、請求書を受信または処理することもできません。この段階での個人的な連絡先は、電話でのみ利用できます」とPalfingerのWebサイトアラートは述べています。』
1/28 USCellular hit by a data breach after hackers access CRM software モバイルネットワーク事業者のUSCellularが不正アクセスを受けて情報漏洩の被害にあったという記事。
CRM不正アクセスを受けたので、顧客情報の漏洩っぽい。

 


セキュリティ体制

なし


IT技術

記事の日付 記事タイトル/リンク kanekoコメント
- けしからんSoftEther VPNを作ったら怒られた
登大遊氏のVPN構築ソフトを日本政府が配布停止した理由		 いろいろすごすぎてついていけてないのですが、今週の情熱大陸、登さんですよね。
https://www.mbs.jp/jounetsu/
1/25 超高精度な文章生成AI「GPT-3」には反イスラム教的なバイアスが存在すると判明 下記記事を思い出しました。

Microsoft人工知能「Tay」が緊急停止 ネットで人種差別や陰謀論を学んでしまった
https://nlab.itmedia.co.jp/nl/articles/1603/25/news080.html
1/23 Wi-Fiの電波を反射させて自宅を監視ってたしかに手軽! 悪用されたらヤバそうだと思いました。デバイス脆弱性があって、そこに付け込まれておうちに人がいるのか第三者からわかっちゃう的な。

「これは、多くの家庭に導入されているWi-Fiを利用し、その電波の反射を解析して室内の人や物の動き、ベッドの中の人の呼吸、室内の位置までをも正確に検出するというもの」
1/27 今すぐ無料でPythonやデータサイエンスを学べる学習コンテンツ7選 めも。

 


業界動向

記事の日付 記事タイトル/リンク kanekoコメント
1/29 横浜銀行、開発したオンラインデータ連携基盤アプリを外部提供へ 銀行がソフトウェアを提供(ライセンスかな?)する時代なんだなぁと。

 


その他

なし

kanekoが今週読んだ記事まとめ(2021/1/18~2021/1/24)

気になるニュースまとめ

いつもの。

 

今週は57件です。

 

※表がスマホの縦画面だと見にくかったり、表示されないケースがあるので、PC閲覧かスマホ横画面表示推奨です。

※各記事にはリンクつけていますが、リンク切れになってたらすみません。

 

 

 

 

著作権

記事の日付 記事タイトル/リンク kanekoコメント
1/23 コスプレ著作権ルール化へ えなこらから意見聴取 いろいろいいたいことがあるけど、とりあえず以下メモ
・記者は著作権法をもっと勉強してほしい。「非営利なら違法じゃない」とかは誤解しか生まない。
・そもそも著作権侵害かどうかは検討が必要(簡単に白黒は言えない)
・ルール化によって明確なNG事例が示されると(権利者のお目こぼしを受けて)ぬるっとやっていた部分が死ぬ
・各社の二次創作ガイドラインと矛盾点が生じると現場が混乱する
・コスプレに限定する趣旨が不明
・コスプレは著作権法以外の法律(商標法、不競法等)の観点の方が大事
- All's Fair in Copyright and Costumes: Fair Use
Defense to Copyright Infringement in Cosplay		 田中先生、島並先生、玉井先生のtwitterより。「コスプレは著作権を侵害しておらず、仮に侵害していたとしてもフェアユースの抗弁(第1要件と第4要件)が可能」という趣旨の論文。
※論文のメインはフェアユースの抗弁可能性の検討です。
コスプレでお金をもらっているようなガチレイヤーの「プロ」と一般人が趣味でやるような「カジュアル」に分けて論じているのが興味深いですね。そして、「プロ」でもフェアユースの抗弁が十分主張できると。
1/21 【メモ】小津安二郎映画は多くが著作権終了し、アマプラで「カラー化」作品も配信されているらしい 保護期間周りはちゃんと勉強していないので、後で調べる。
1/23 Google、法案可決すれば豪国内での検索サービス終了も示唆 オーストラリアでもいわゆる「リンク税」の議論があるのですね。
以下、参考情報
EUでのリンク税についての中川先生の解説
https://www.kottolaw.com/column/180626.html

・oogleがフランスの報道機関に対し「ニュースの使用料」を支払うことに同意
https://gigazine.net/news/20210122-google-pay-french-news-publishers/
1/22 無料・著作権フリーで70万点以上の高解像度の絵画や芸術作品をアムステルダム国立美術館が公開中 サムネ画像が狙っているとしか思えない。
1/21 オープンソースの著作権を巡るElasticとAmazonとの闘い 著作権よりも商標の話題が中心な記事。
1/21 この世界に存在しないアニメ画像を作成できるサイト「This Anime Does Not Exist」が登場 サイト見てみたのですが、創造性のスライドバーを変えると絵柄が変わっていくみたいなサイトでした。腕がいきなり3本になったりしますw
1/20 バンダイナムコアーツが13000曲以上の音源を無料提供 映像制作者向け限定のようなので一般人は利用できなさそうですが、「現在はテレビやラジオの放送で使用する場合のみ音源をダウンロードできるが、今後はYouTubeなど動画投稿サービスへの利用範囲の拡大も予定されている。」とのこと。

ちなみに、これってJASRACへの信託はどうしているんでしょうか。。。
1/18 「アイデア」と「表現」の狭間をたゆたう金魚かな。金魚電話ボックス事件大阪高裁判決の思考を追う 木村先生による金魚電話ボックス事件の解説。

「依拠性の認定によって類似の範囲を通常よりも広く解釈した」という木村先生の解説は興味深いです。
1/17 「金魚電話ボックス」大阪高裁判決での大逆転劇が示した「表現」の意味。 企業法務戦士さんによる金魚電話ボックス事件の解説。

判旨賛成の立場のエントリーです。

 


知財著作権以外)

記事の日付 記事タイトル/リンク kanekoコメント
1/22 健栄製薬株式会社に対する販売差止等仮処分命令申立てに関するお知らせ マルホが健康製薬に関して商標権侵害&不競法違反で仮処分申し立て。どちらもヘパリン類似物質のクリームを製造販売。
マルホ川は名称とパッケージが類似していると判断した模様。

マルホ「ヒルドイド」※医療用医薬品
https://www.maruho.co.jp/medical/hirudoid/
健康製薬「ヒルマイルド」※一般医薬品
https://general.kenei-pharm.com/healmild/
1/20 バッグデザインの商品等表示性、著作物性(東京地方裁判所令和元年6月18日判決) イッセイ ミヤケの件ですね。
https://www.courts.go.jp/app/files/hanrei_jp/794/088794_hanrei.pdf

なお、バッグデザインの著作物性は否定されている判例
1/20 AI関連発明に関する審査環境の整備を開始しました 特許庁によるリリース。今までAI関連の発明って日本で結構特許になりやすいと感じていたので、今後は厳しくなりそう。

 

 

個人情報保護法・データ保護法・プライバシー関連

記事の日付 記事タイトル/リンク kanekoコメント
1/22 Data transfers to the US and insufficient cookie information: noyb files complaint on behalf of six MEPs against the European Parliament. Noyb(オーストラリアに拠点を置く非営利団体。プライバシー関連の法的措置を行っている)がCookieバナーとEUから米国へのデータ移転に関して、欧州議会にcomplaintした旨の記事。

GoogleとStripeが狙い撃ちされたよう。
1/14 US State Comprehensive Privacy Law Comparison 野呂先生のtwitterより。米国での週ごとのデータ保護法の状況がわかる記事。
1/19 個人データ利用の規制が強まる中、LINEのマーケティング活用に切り込む 参考になる記事です。
1/18 PCR検査結果を電子チケットに組み込んだスキーデータ合同会社の入退場管理システム「Safe Guest Solution」を1⽉18⽇(⽉)より⽇本での提供を開始 そもそもこれってデータ処理の管理者はイベント主催者で処理者がスキーデータというスキームなんですかね?

スキーデータ社のプラポリはGDPR準拠の内容になっているのですが、今回のスキームに対応した利用目的表示になっているか微妙な気がしました。
1/24 電通系のマイデータ・インテリジェンス、情報銀行の認定を取得 ついに電通系も。
プラポリと利用規約後で確認しておこう。
1/18 German laptop retailer fined €10.4m under GDPR for video-monitoring employees 期間従業員をビデオ監視する行為がGDPR違反になった事例。
1/17 無料&セキュアな位置情報共有を行えるスマホアプリ「Zood Location」 プラポリ見たのですが、えこんだけ?って量でした。
DuckDuckGoみたいな方針なんですかね
https://www.zood.xyz/privacy/mobile-apps
1/19 Indian government slams Facebook over WhatsApp 'privacy' update, wants its own Europe-style opt-out switch WhatsAppのプラポリ改訂問題にまさかのインド政府が口出し。(インドにユーザ結構いるんですかね?)
1/19 Optus warns not to punish whole economy for tech giant sins in Privacy Act changes オーストラリアのデータ保護法の改正の話なんですかね?
そもそもオーストラリアのデータ保護法ってどんな内容なのか知らないので調べてみようかな。
1/17 Privacy-focused search engine DuckDuckGo grew by 62% in 2020 DuckDuckGoが成長しているよという記事。kanekoも時々使ってたりします。
興味深いのは下記(機械翻訳
DuckDuckGoは、米国、英国、CA、およびAUS市場でモバイルデバイスで2番目に使用されている検索エンジンになりました。
グーグルは依然として米国で94%の市場シェアを占めていますが、DuckDuckGoは2.25%で2位になり、Yahooが1.94%で続いています。」

 

 

契約関連・法律・訴訟・法務ネタ

記事の日付 記事タイトル/リンク kanekoコメント
- Picfair’s Image Licences 山城先生のtwitterより。ライセンスプランによる規約の違いが一覧でわかりやすい。
1/21 Steamで国によって特定のゲームが買えない「ジオブロッキング」に総額約10億円の罰金をEUが科す EEA内で国単位のジオブロッキングしたら競争法にひかかったというお話。
1/21 改正公益通報者保護法が施行されたら内部通報業務を拒否したい 僕も全力で拒否したい。苦笑

改正公益通報者保護法の概要もわかる記事。
1/18 デジタルトランスフォーメーション(DX)に向けてAIソフトウェアの開発契約を締結する際の留意点 AI関連の契約時に参考になる情報が載っています。
1/19 モバゲー会員規約の変遷と消費者契約法 若手弁先生の記事。
モバゲーの規約について、一審時、二審時、現在と変遷がわかる内容になっています。
「規約の条項をあえてあいまいにする(特にバスケット条項にみられるやつ)」といったものはよく規約でみるので、リスクとってあえて残しているのでしょうね。
1/18 GoogleはFacebookを優遇する不正な広告契約を結んでいたという主張にGoogleが反論 興味深いですね。

 

 

デジタルマーケティング・アドテク関連

記事の日付 記事タイトル/リンク kanekoコメント
1/19 このWebサイトは私の(ブラウザーの)フィンガープリントを作ろうとしているのだろうか fingerprintに関するカスペルスキーの日本語記事。
1/24 GoogleがCookieレスな「プライバシー・サンドボックス」を実現させると何が起こるのか? プライバシーサンドボックスについてはあまり進んでいないことがわかりました。苦笑

個人的に気になった箇所はここ。

『デジタル広告のプラットフォームを提供するTheTradeDeskはハッシュ化・暗号化されたメールアドレスをIDとする「Unified ID Solution 2.0」を利用するアプローチを考案しており、SaaS企業のLiveRampもUnified ID 2.0を含めた新たなインフラの構築に賛同しています。』
1/20 Google says consent over every aspect of data processing would be burdensome いわゆる「同意疲れ」の問題ですね。

 

 

セキュリティ

記事の日付 記事タイトル/リンク kanekoコメント
1/22 WordPressを運用中のサーバがまるごとPHPマルウェアに感染していた時の対応メモ 実際にWebサイトのWordPressがマルウエアに感染していたときに対処した方法が書かれていて勉強になります。
1/23 Location Data of More Than 100 Million Users Got Compromised 音楽アプリの脆弱性によってユーザーの位置情報が公開されてしまっているという記事。
以下、機械翻訳
「Shazamはナビゲーションの一部としてアプリ全体でディープリンクを使用しています。特定のエクスポートされたディープリンク(Webビュー内にWebサイトをロードする役割を果たした)がそのパラメーターを検証しておらず、外部リソースを制御できることがわかりました。このWebビューには、コンテンツがAndroidおよびiOS APIと通信できるようにする、いくつかのJavaスクリプトインターフェイスが含まれており、デバイス固有の情報とユーザーの最後の既知の正確な場所を取得できます。」
1/22 Cyber Security Researcher Exposes the Biggest Threat Regarding YouTube Users Privacy YouTubeの埋め込みAPI脆弱性によってのユーザーの閲覧履歴が漏洩する可能性に関する記事。

プレイリストを取ってこれるもののよう。
1/23 超小型PCは物理セキュリティを変えていく 最後のJackpotingの実演動画がすごい。
1/22 政府、「ラブライブ!サンシャイン!!」とコラボ サイバーセキュリティ月間で NISCの中の人まじでガチの人だと思いました。(いいぞもっとやれ
1/24 プライバシーテックでデータ活用社会を加速! プライバシーとデータ活用を両立する「秘密計算技術」とは? 秘密計算に関する解説記事。復号しないでデータ分析ができるというのはメリットですよね。ただ、個人情報の場合はあくまで安全管理措置の一環でしかないので、保護法のレギュレーションはかかってくることに留意が必要です。(暗号化すれば個人情報ではなくなるという誤解をしている人が結構いるので)
1/20 今一度、おさらいしておきたいWordPressのセキュリティ ざっと把握するのによさそうです。
1/20 GoogleやIBMなども利用するDNS転送ソフト「Dnsmasq」にDNS乗っ取りを可能にする脆弱性「DNSpooq」が報告される DNSキャッシュポイズニングとかに利用される可能性のある脆弱性バッファローオーバーフローの脆弱性とのこと。
1/20 複数の通話アプリに「ユーザーに無断で周囲の音を送信できる脆弱性」があったとGoogleの研究者が報告 ソースの記事みたらゴリゴリリバースエンジニアリングしてて、すごいと思いました(素人感想
1/20 Azureのセキュリティで知っておきたいこと、対策の基礎【前編】 責任共有モデルといった基礎的なことから解説されています。

クラウドのセキュリティは多層防御で堅牢だけど、利用者側が使いこなせないと意味ないよ」ってところでしょうか。
1/19 【注意喚起】Googleサーチ結果に表示される偽広告経由のネット詐欺に注意 広告自体がフィッシングサイト誘導だともはや一般人が見抜くのは無理ゲーでは?って思いました。
1/19 Google Cloud、SolarWinds問題の影響はなかったと説明 GoogleもSolarWindsのソフト自体は利用していた模様。
1/24 FireEyeとSolarWindsがハッキング攻撃を受けた今、フェイルセーフ設計をどのように見直すべきか たしかに、リスク負ったのはあんたやんという話はありますね。

「多くの場合、組織はVPNファイアウォール、監視ソリューション、ネットワークセグメンテーションデバイスなどの複数の機能をカバーするために、単一のセキュリティソリューションを購入する。しかしその場合、単一障害点を持つことになり、コンピューターが動作しなくなると(またはハッキングされると)、環境全体で障害が発生してしまう。
構造的な観点から見た場合、ソーラーウィンズのようなものが侵入ポイントになると、影響が広範囲におよばないようにするのは難しい。しかし環境内のすべてのものと通信、連携するソーラーウィンズのOrionプラットフォームを信頼したということはつまり、「今回のような侵害が発生することはないだろう」と考えてリスクを負ったということである。」
1/23 The Hacker News reported in exclusive that the security firm SonicWall was hacked as a result of a coordinated attack on its internal systems. ちょっと信頼性は不明ですが、セキュリティベンダーがハッキングされるとその会社のレピュテーション下がりそうですよね。
1/21 サイバーセキュリティトレーニングは予算不足 セキュリティリスクの認識が低い経営層の認識をどう変えるかが課題ですね。。。耳が痛い。。。

 

 

情報漏洩・インシデント関連

記事の日付 記事タイトル/リンク kanekoコメント
1/19 京大で教職員や学生4万人分の個人情報が閲覧可能状態に 「昨年6月、セキュリティー強化のために認証システムの改修作業を行った際、担当部署がチェックを怠り、個人情報にアクセスできる状態になっていた。」とのこと。

個人的には、システムがクラウドなのかオンプレなのか気になります。
1/15 「上場企業の個人情報漏えい・紛失事故」調査(2020年) 確実に増加傾向ですね。ほんとに明日は我が身。

「2020年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは88社、事故件数は103件、漏えいした個人情報は2,515万47人分に達した。」
1/22 Bonobos clothing store suffers a data breach, hacker leaks 70GB database Bonobos社(アメリカのオンラインメンズアパレルブランド)で
70GBもののデータベース(ハッシュ化された顧客の個人情報含む)がリークされているとのこと。

外部クラウドにホストされているバックアップファイルから漏洩したっぽい?
1/21 Passwords stolen via phishing campaign available through Google search フィッシングサイト側が失敗した事例。
1/20 AnyVan 4.1 Million Users Comprised with Data-Breach イギリスのAnyVan(イギリスの運送や引っ越しを手掛ける会社)でデータ漏洩。41万人のユーザに影響とのこと。
1/18 Scottish Environment Protection Agency refuses to pay ransomware crooks over 1.2GB of stolen data スコットランド環境保護庁がランサムウェアの被害にあっている内容の記事。官公庁も普通に被害にあってるんですね。

 

 

セキュリティ体制

なし

 

IT技術

記事の日付 記事タイトル/リンク kanekoコメント
1/19 第1回:現代の企業が抱えるデータ管理の課題 連載のようなので、今後の内容も気になります。
1/18 アドフラウド対策の技術を活用した転売等の不正購入検知サービスを提供開始 こういったサービスが増えて転売ヤー撲滅につながるといいですね。

 

 

業界動向

記事の日付 記事タイトル/リンク kanekoコメント
1/19 Anti-Facebook' MeWe social network adds 2.5 million new members in one week FBやtwitterからMeWeというSNSにユーザが流れているよというお話。

 

 

その他

記事の日付 記事タイトル/リンク kanekoコメント
1/18 「サイバーパンク2077はなぜひどい状態でリリースされたのか?」が開発現場のスタッフへのインタビューで明らかに これはひどい。こんな状態でリリースしたんですね。