Nobody's 法務

略称は「ノバ法」。知財、個人情報、プライバシー、セキュリティあたりを趣味程度に勉強している企業ホーマーのまとまりのない日記。あくまで個人的な見解であり、正確性等の保証はできませんので予めご了承くださいませ。なお、本ブログはGoogle Analysticsを利用しています。

kanekoが今週読んだ記事まとめ(2021/1/25~2021/1/31)

今週は72件です。

 

※表がスマホの縦画面だと見にくかったり、表示されないケースがあるので、PC閲覧かスマホ横画面表示推奨です。

※各記事にはリンクつけていますが、リンク切れになってたらすみません。

 

 

著作権

記事の日付 記事タイトル/リンク kanekoコメント
1/28 「デジタル時代における著作権制度・関連政策の在り方検討タスクフォースの進捗報告 ~UGCを中心に~」

骨董通り法律事務所のコラム。
UGC創作に関して色々興味深い内容が記載されています。
いくつか以下にピックアップします。

経産省の調査によれば二次創作により収入を得ているクリエイターのうち、40%は原著作権者の許諾を得ていない。
・ユーザーの中には、ファンコミュニティーやクリエイターへの嫌がらせを目的に、権利者に侵害通報する者がいる。

・カナダでは著作権法改正により、権利者に許諾なくしてUGCの創作等を可能とする規定を設けている(カナダ著作権法29.21(1))。
・「なぜサイト運営者と権利者が利用許諾契約を締結すると、契約当事者ではない投稿者は著作物等を適法に利用することができるのでしょうか。この点に関する明確な説明は得られていませんが、有識者からは、サイト運営者と権利者とが第三者のためにする契約(民法537条~)を締結しており、投稿者はその受益者として当該契約の効果を享受しているといった理論が考えられる旨の意見が出されています。」

1/30 「コスプレが非営利目的なら著作権法に抵触しない」というのは本当か? 栗原先生による解説
1/28 まさかの逆転勝訴? 金魚電話ボックスの「著作権侵害」が認定されたポイントを分析 伊奈波先生による解説。
1/27 The 'goldfish phone booth' copyright case in Japan IPKatにも金魚電話ボックス事件が。書いたのは中国人の学者の方のようですが、山形大の佐藤先生がサポートされているよう。
- ≪契約上の地位に基づいて商品化権を専有しているという事実状態が存在しないとして、キャラクターに関する著作物に係る独占的利用権者による損害賠償請求が認められなかった事案≫ 内田鮫島のサイト(知財弁護士.COM)の記事。
この裁判例知りませんでした。勉強になります。
1/25 コロナ対策で前倒し《JASRAC》著作物使用料の分配額を発表 ネット配信は増えて、ライブが減るという予想通りの数字。
1/24 Germany's Federal Court of Justice gives weight to celebrity consent to media image use ドイツの著作権法には被写体に関する権利が含まれているのですね。(作花先生の基本書に言及あった気もする。あとで調べる。以下機械翻訳

「連邦司法裁判所は、両方のケースにおいて、第812条(1)第1項第2号および第818条(2)BGB(Bürgerliches Gesetzbuch)が適用され、不法に奪われた対象物(この場合は、自分の画像の使用を決定する財産権)の価値の引き渡しまたは返還を要求すると判断した。
KUG (Ges Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie) 第22条第1項によると、被写体の同意の抗弁が可能ですが、これらのケースでは適用されません。第23条(1) KUGは、画像が現代史を描写するために使用されている場合の抗弁も規定しているが、私的画像権と情報を受信する公衆の権利との間でバランスをとるテストが必要である。第23条(2) KUGは、画像の使用に対する同意は、個人の正当な利益を侵害する使用には及ばないとしている。」

 


知財著作権以外)

記事の日付 記事タイトル/リンク kanekoコメント
1/29 名前もパッケージも似すぎ? キンプリ永瀬CM出演の「ヒルマイルド」めぐりバトル勃発 先週の記事でも紹介した件ですね。

 


個人情報保護法・データ保護法・プライバシー関連

記事の日付 記事タイトル/リンク kanekoコメント
1/30 どこまで理解してる?個人情報保護法の内容を知っている人は7割 この手のアンケートやるならもっと深堀した調査票でやってほしいなと思いました。
1/30 非接触時代の功罪:無人レジが個人特定せずに「万引き」を検出する仕組み(5/6) 個人的に気になったのは下記2つの文章

「StandardのWebサイトのプライバシーポリシーには、生体認証識別子を収集せず、「特定の身体的特徴」に関する情報のみを収集しているとある」
「一連の画像でトレーニングされたアルゴリズムが店の棚の間にある通路を移動する買い物客の身体的特徴を識別できると書かれている。このアルゴリズムは首、鼻、耳、肩、ひじ、手首、腰、足首、ひざなど19箇所の身体上のポイントの内ひとつを識別するように設計されている。」

日本法上の個人識別符号にあたるのか気になります。身体的特徴の抽出データってストレートには政令規則に載ってないんですね。強いて検討するのであれば、「歩行の態様」でしょうか。

Standard Cognition, Corp.のプラポリは下記(日本語がある)
https://standardcognition.jp/terms
1/29 台頭するプライバシーテック、背景に大統領選やコロナ これ、リーガルテックみたいにメジャーになるんですかね。。。
1/27 Privacy is not a one-time, check the box activity ISACAが実施した2020年第3四半期に、データプライバシーに携わっている、または組織のデータプライバシー機能についての知識を持っている1,873人の専門家から収集した調査結果
1/26 ジェトロ、米加州の個人情報保護法対策オンラインセミナー開催、BtoB企業向け 杉本先生の講演資料が添付されているので後でみる。
1/26 TikTok privacy issue could have allowed stealing users’ private details TikTokの友達検索の機能に脆弱性があって、個人情報が漏洩する可能性があるという記事。
以下、記事内の文章を機械翻訳

「ここ数ヶ月、Check Point Researchチームは、TikTokモバイルアプリケーションのフレンドファインダー機能に脆弱性を発見しました。この調査で説明されている脆弱性では、攻撃者はプロファイルの詳細と電話番号を接続できますが、悪用に成功すると、攻撃者はユーザーとそれに関連する電話番号のデータベースを構築できます。」
1/26 新型コロナのワクチン接種情報を国がマイナンバーに紐付けすることを考えた マイナンバーについては詳しくないので勉強になりました。
1/26 転職ネット仲介、拡大へ法改正 個人情報利用にルール 職安法はフォローできていないので、今度調べてみよう。
1/26 GDPR制裁金、前年比で39%増--さらに高額化する可能性も やはり増加傾向なのですね。

「情報漏えいの報告件数も増加しており、過去12カ月間では1日平均331件の情報漏えいが報告されている(前年は278件)。2018年5月25日以降に報告された情報漏えいの件数は、合計で28万1000件になった。」

そして。これはお国柄が出すぎでは?ww

「ドイツではGDPRの施行以来、7万7747件の情報漏えい報告を受けているのに対して、イタリアでは同じ期間に3460件の報告しかない。」
1/25 米情報機関、令状なしに米居住者の位置情報を購入 データベンダーから購入したんですね。

「DIAは複数のデータブローカーから情報を購入しており、ブローカーは多くの場合、ユーザーのスマートフォンにインストールされているサードパーティーのアプリから情報を得ているという。」

この米国の判例は知らないので、後で調べてみよう。

「この慣行は、情報機関がいかに米居住者の位置情報を令状なしに収集しているかを浮き彫りにするものだ。ただし、2018年の米最高裁判所の判決で、そうした行為には令状が必要との判断が示されていた。「Carpenter判決」として知られるこの裁定では、合衆国憲法修正第4条に基づき、捜査機関がある人物のあらゆる移動を時系列で列挙できるデータにアクセスするには、より厳しい条件が課されるべきだとした。」
1/26 反クラウド論、プライバシーを保護できていない現在のクラウドアプリ こういったアプリ、大量にあるのでしょうね。

『この問題をさらに複雑にしているのは「プラバシー保護アプリ」だ。こうしたアプリは、その名の通り、スマートフォン上にある他のアプリの活動からプライバシーを保護するためのアプリだということになっている。しかしプライバシーという飾りを剥がしてみれば、プライバシー保護アプリ自体が驚くべきレベルで個人データへのアクセスを要求していることがわかる。「プライバシー保護」というカテゴリーでなければ、ユーザーは眉をひそめて警戒したに違いない。』
1/29 データプライバシーデー あとでゆっくりよむ。
1/29 Use ItsMyData to stop ecommerce sites from abusing your valuable data 巧妙にオプトアウトを回避しようとするサイト構造をしていてもオプトアウトできるようにするChrome拡張機能の紹介。現在はCCPA限定のよう。今後に注目ですね。

Google Chrome拡張機能「ItsMyData」では、オンラインストアが自分のデータを販売することを自動的にオプトアウトすることができます。』

 


契約関連・法律・訴訟・法務ネタ

記事の日付 記事タイトル/リンク kanekoコメント
1/29 Facebookが対Apple訴訟を準備か、App Storeにおける独占禁止法違反などにより 訴訟の争点は、「広告トラッキングに関する仕様変更問題」と「iPhoneのデフォルトアプリ問題」とのこと
1/28 ありのままの法務、あるいは契約書レビュー練習問題の解説(?) おもしろい。特にこれ好き。

『俺は、この事実を立証するため、レビュー結果を送付する際、ファイルにパスワードを掛けるようにしてたんや。メールを送信してから5分以内にさも内容を確認したかのように返信してきたやつが俺の先輩含めて30%ほどおった。逆に、10分以内に「パスワードの別送が漏れていませんか」とチャットを飛ばしてきてくれた神依頼者が15%。こういう依頼者との仕事はほんまにスムーズに進むから大事にせなあかんで。』
1/31 法務の私が、顧問弁護士の先生に質問するときに心がけていること ちなみにkanekoはYes/Noで答えられる質問ですることを意識しています。(そのために事前のリサーチをかなりする)
1/27 日々の仕事がどんなもんか(法務の一日、分単位) じゃんく氏、死んじゃうよ。。。

でもこのエントリーのリプ見ると、「俺もこんなもん」というコメントあって戦慄してる。
1/25 企業法務って何をしているの?
法務部の業務内容と役割を解説!
法務に興味のある人向け資料としてはいいかも。
1/25 トラブル対応の法務 すごくわかります。

『その瞬間にどんなにヤバイと思ったトラブルでも、後から振り返れば大抵のものは「笑い話」になること。
そして、周りは、「ミスを起こした」という事実そのものより、「ミスに対してどう対応したか」ということの方をよく見ているということ。』
1/24 父親の急死でサブスクの催促状が次々…ID分からず半年で請求20万円超に これ、結構今後も問題になると思います。
1/25 テスラが機密ファイル2万6000件を盗み出したとして元従業員を告訴、本人は作業ミスと否定 これ今後どうなるんですかね。
1/25 今年の会社法改正で何をしなければならないの? とってもわかりやすくて勉強になりました。1/27に追記あり
1/29 Electronic health records provider Athena to pay $18m settlement in kickback lawsuit アメリカの電子カルテプロバイダーが医者に違法なキックバックを行ったことに関する記事ですが、虚偽請求取締法(False Claims Act)と反キックバック法(Anti-Kickback Statute)を初めて知ったのであとで調べてみます。

 


デジタルマーケティング・アドテク関連

記事の日付 記事タイトル/リンク kanekoコメント
1/31 GoogleがiOS 14のプライバシーポリシー変更に伴ってIDFA取得をやめると発表 最近Googleappleの路線に賛同する流れになってきてますよね。。。
1/28 プライバシーテック、5つのコア領域とは DXに導入必須 5つとは下記とのこと
・同意管理
・アセスメント管理
・データマッピング
・請求権対応
・インシデント対応
1/27 Mozilla、Firefox85からスーパークッキーを規制へ スーパークッキーとは、Cookie の代わりにブラウザフィンガープリント、ETags、ローカルストレージ、Flash LSO などを使用することのようです。
1/26 プライバシー保護と広告を両立 ~「Google Chrome 90」ではPrivacy Sandboxの管理UIが導入へ 3rd Party Cookieが死んだ後のお話。

「FloCアルゴリズム機械学習Webブラウザーに組み込んでユーザーの閲覧履歴を分析し、興味や関心を持つユーザーを“Cohort(群れ)”にまとめる。広告主はわざわざユーザーの個人情報を分析・追跡しなくても、“Cohort”単位で広告の配信を決められるため、広告の効果とユーザーのプライバシーを両立できる。」
1/26 グーグルはCookieに代わるターゲット方式による広告収入はほぼ変わらないと主張するもプライバシー面は不透明 これはちょっと思ってる。

GoogleがPrivacy Sandbox提案の開発に関して、比較的オープンであることを強調し続けていることは驚きではない。反トラストの告発と戦うためだ。しかし同時に、サードパーティCookie軽視の中止や延期を勝ち取ろうとしているアドテック業界はトラッカーに代わる独自の方法を開発中であり、概してGoogleより透明性がずっと低いやり方で対抗案を開発していることは注目すべきだろう。」
1/26 Googleが提案するサードパーティーCookieなしの新しい広告の仕組み「FLoC」とは? FLoCの解説。

「FloCはFederated Learning of Cohorts(連合学習のコホート)の略語であり、機械学習アルゴリズムを使用してウェブサイトを訪れたユーザーのデータを分析し、何千人ものユーザーからなるコホートを作成するというもの。APIChrome拡張機能として使用され、収集された個人データについては共有されず、ターゲティングは分析データであるコホートを元に行われます。」
1/29 アップルのApp Tracking Transparency機能はデフォルトで有効に、早春にiOSで実装 ついに、って感じですね。

 


セキュリティ

記事の日付 記事タイトル/リンク kanekoコメント
1/29 Hackers could live-stream your home through your LifeShield security camera おうちのセキュリティを上げるためにセキュリティカメラを導入したのに、脆弱性のせいで逆にハッカーに丸見えになっちゃってるかもよというお話。
結局、対策としては以下とのこと。
・信頼できる製品を買うこと
・デフォルトのパスワードを変更すること
・異なるIoTデバイスは別々のサブネットワークに配置すること
1/29 「EUは暗号化サービスにバックドアを作ろうとしている」とProtonMailなど暗号化サービスの開発元が警鐘を鳴らす これは大変興味深いですね。アップルがFBIからのiPhoneロック解除要請を拒否したのを思い出しました。

『声明は「新法案はエンドツーエンド暗号化サービスにバックドアを設けるというものであり、それが実現すれば何百万人もの基本的権利を脅かし、エンドツーエンド暗号化の採用に向けた世界的なシフトを弱体化させることにもつながる」と批判しています。』

『声明では「決議の中では明確に述べられていないものの、この提案はバックドアを介して暗号化されたプラットフォームへの法執行機関のアクセスを許可しようというものであることは広く知られています。ただし、この解決策は根本的な誤解を招くものです。暗号化は絶対的なものであり、データは暗号化されているかいないかのいずれかのみであり、バックドアを設置してしまえば暗号化した意味はなくなります。また、バックドアを仕込んでしまえばユーザーのプライバシーはなくなります。法執行機関が犯罪と戦うために、『強力なツールを用意したい』と考えることは理解できますが、この提案は法執行機関がすべての市民の家の鍵を入手するようなものです。個人のプライバシーを大きく侵害する動きとなる危険性もあります」と説明し、考えに理解を示しつつも許容はできないことを表明しています。』
- 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月) 石田先生のツイートから。
後で読む
1/29 IT業務の委託先と委託元で大きなテレワークギャップ--IPA調査 やっぱ気にしますよね。

『委託先がテレワークを行っている場合に委託元が懸念するセキュリティリスクは、「委託先からの機密情報の漏えい」が33.3%で最も多く』
1/31 最恐ウイルスEmotetをテイクダウンしたOperation Ladybirdについてまとめてみた 国際間(オランダ、フランス、カナダ、イギリス、ドイツ、リトアニアアメリカ、ウクライナ)での協調作戦Takedownさせたのすごいですよね。

検挙された動画とかすごい。
全体的にプロジェクトX感ある。
1/27 情報セキュリティ10大脅威 2021 ここから情報処理安全確保支援士試験にも何かでるかな?前回、「スマホ決済の不正利用」はでましたね。
1/27 アップルのiPhone、今すぐOS更新を セキュリティー問題の悪用発覚 『セキュリティー問題のうち2件は、ブラウザーの「Safari」とiOSに使われているオープンソースブラウザーエンジン「WebKit」に原因がある。「リモートの攻撃者が任意のコードの実行を引き起こすことができる可能性がある」とされ、アップルの開発フレームワーク「Kernel」も影響を受ける。』
1/27 秘密計算による「攻めのセキュリティ」で企業のDXをサポート セキュリティも攻めのセキュリティって使い方するんですね。
1/24 DNSpooqの脆弱性詳細と攻撃コード解説 かなり専門的な内容なのですが、あとで頑張って読んでみる。
1/25 ランサムウェアの資金フローを追う
カスペルスキーの記事。こういった調査ってすごいですね。

「何よりもさらに興味深いのは、サイバー犯罪者がどれほどの利益をどのように得たのかに関する調査です。調査チームは同じ方法で取引を分析し、オンラインのデジタル通貨取引サービスの既知のウォレットが関与する共同取引の中に、どのサイバー犯罪者のウォレットが現れてくるかを確認しました。もちろん、すべての資金がこの方法で追跡できるわけではありませんが、サイバー犯罪者が資金の引き出しによく使用しているのはBTC-e.comとBitMixer.ioであることが判明しました(当局は後に、違法資金の洗浄を行ったとして両取引所を閉鎖しました)。」
1/25 女性の裸や住民のセックスがホームセキュリティ用監視カメラでのぞき見されていたと判明 セキュリティの脆弱性かと思ったら、内部犯による犯行のようですね。

「AvilesはADTの技術者として訪問した顧客の家に魅力的な女性がいた場合、自身のメールアドレスを顧客のADTアカウントに追加し、性的な満足を得るためにカメラの映像をのぞき見していたとのこと。Avilesは事件が発覚するまでの5年間で220のアカウントを侵害し、合計9600回以上もの不正アクセスを行って裸の女性やカップルがセックスする様子を見たと述べています。」
1/26 米国セキュリティレポートから見えてくる、今後のサイバー犯罪の動向とは? 【前編】 後で読む。
1/26 Machine Learning in Security - How Machine Learning helps security in the real-world? セキュリティ×AIのお話。
1/28 ロシアのSolarWinds報復対策 一般人の知らないところで、米国vsロシアのサイバー上でのいがみあいがあることがわかります。

最後のSolarWindsへのATP攻撃概要図がわかりやすいです。
1/29 iOS 14にサンドボックス型セキュリティシステム「BlastDoor」が搭載されているとGoogle研究者が発見 指摘されていた脆弱性(ゼロクリック・エクスプロイトと呼ばれる、ユーザーが何もしていなくてもスパイウェアに感染してしまう脆弱性)をしっかりカバーできているということのようですね。
1/31 テクニカルサポート詐欺攻撃 google検索結果に表示される広告をクリックすると偽サイトにリダイレクトされるとかもう何を信じればいいにかわかんないですよね。

 


情報漏洩・インシデント関連

記事の日付 記事タイトル/リンク kanekoコメント
1/31 【独自】病歴情報をネットに「放置」…メール共有範囲を誤設定、聖マリ医大病院など複数施設 各所でオンプレからクラウドへの移行が進んできている一方で、この手の設定ミスって連発してますよね。
1/30 NISCが「セールスフォース製品の設定不備」に注意促す、楽天などで不正アクセス ほんとこの手の(以下略
1/30
東京ガス1万件のメアド流出
恋愛ゲーム不正アクセス
下記nakagawaさんに教えてもらいました。
https://style.nikkei.com/article/DGXMZO67767860Y0A221C2000000/

ところで、キャラがうたプリにしか見えない。

プレスリリースは下記
https://www.tokyo-gas.co.jp/important/20210130-01.pdf
1/29 GitHub上に三井住友銀の一部コードが流出、「事実だがセキュリティーに影響せず」 本件、いろいろな観点からの問題(業界構造的な問題含め)があるので、簡単に考察できない。
1/26 問合フォームに不備、第三者が個人情報にアクセス - イオン 問い合わせフォームの不備とのことですが、詳細がきになります。
1/26 弊社が運営する「システムファイブ オンラインショップ」への不正アクセスによるクレジットカード情報流出に関するお詫びとお知らせ 原因は「第三者による不正アクセスがなされ、決済処理プログラムの改ざんが行われたため」とのこと。

「弊社オンラインショップシステムの仕組み上、お客様のクレジットカード情報は弊社に保持しておりません。その為、新たにクレジットカード情報を入力された方以外の情報の流出は確認されておりません。」とあるので、元々はクレカ情報を保持する仕様ではなかったのですね。

本事件については、キタきつねさんが記事を書いています。

SYSTEM5のインシデント対応
https://foxsecurity.hatenablog.com/entry/2021/01/27/090000
1/25 植物園サイトに不正アクセス、スパム送信の踏み台に - 藤沢市 「サーバに不正なプログラムがインストールされて踏み台として悪用され、国外に対して約6500件のメールが送信されたという。」
1/24 Chipmaker Intel reveals that an internal error caused a data leak 以下機械翻訳。財務情報が漏洩したっぽい(なので、早めに四半期決算の情報を早めに開示したよう)

インテルのジョージ・デイビス最高財務責任者フィナンシャル・タイムズ紙に、チップメーカーは、脅威の行為者が自社サイトから財務上の機密情報を盗んだと考えており、この理由から、攻撃者がこのデータを株式市場での操作に利用することを避けるために、四半期ごとの収益報告書の発表を予想していたと語った。」
1/24 Data breach at Buyucoin crypto exchange leaks user info, trades 以下機械翻訳

「ユーザーレコードのテーブルには、161,487人のメンバーの情報が含まれています。これには、メールアドレス、国、bcrypt ハッシュドパスワード、携帯電話番号、およびサイトでアカウントを登録する際に使用された場合の Google サインイントークンが含まれています。」
1/24 Hacker leaks data of 2.28 million dating site users 出会い系サイトのユーザー情報が洩れたという記事。
1/25 Leading crane maker Palfinger hit in global cyberattack オーストラリアのクレーンメーカーがサイバー攻撃の被害にあっているという記事。
業務に支障のあるレベルのようですね。以下機械翻訳

『「当面の間、PALFINGERに電子メールで連絡することも、問い合わせ、注文、出荷、請求書を受信または処理することもできません。この段階での個人的な連絡先は、電話でのみ利用できます」とPalfingerのWebサイトアラートは述べています。』
1/28 USCellular hit by a data breach after hackers access CRM software モバイルネットワーク事業者のUSCellularが不正アクセスを受けて情報漏洩の被害にあったという記事。
CRM不正アクセスを受けたので、顧客情報の漏洩っぽい。

 


セキュリティ体制

なし


IT技術

記事の日付 記事タイトル/リンク kanekoコメント
- けしからんSoftEther VPNを作ったら怒られた
登大遊氏のVPN構築ソフトを日本政府が配布停止した理由
いろいろすごすぎてついていけてないのですが、今週の情熱大陸、登さんですよね。
https://www.mbs.jp/jounetsu/
1/25 超高精度な文章生成AI「GPT-3」には反イスラム教的なバイアスが存在すると判明 下記記事を思い出しました。

Microsoft人工知能「Tay」が緊急停止 ネットで人種差別や陰謀論を学んでしまった

https://nlab.itmedia.co.jp/nl/articles/1603/25/news080.html
1/23 Wi-Fiの電波を反射させて自宅を監視ってたしかに手軽! 悪用されたらヤバそうだと思いました。デバイス脆弱性があって、そこに付け込まれておうちに人がいるのか第三者からわかっちゃう的な。

「これは、多くの家庭に導入されているWi-Fiを利用し、その電波の反射を解析して室内の人や物の動き、ベッドの中の人の呼吸、室内の位置までをも正確に検出するというもの」
1/27 今すぐ無料でPythonやデータサイエンスを学べる学習コンテンツ7選 めも。

 


業界動向

記事の日付 記事タイトル/リンク kanekoコメント
1/29 横浜銀行、開発したオンラインデータ連携基盤アプリを外部提供へ 銀行がソフトウェアを提供(ライセンスかな?)する時代なんだなぁと。

 


その他

なし