高校「情報Ⅰ」単語帳 - 東京書籍「新編情報Ⅰ」 - 情報社会における個人の果たす役割と責任

デジタル化された情報の発信や公開、利用にあたり必要となる基礎的な知識や規範の体系で、他者への加害や権利侵害を行わないよう行動に責任を持ち、また、自己や周囲が危険に巻き込まれるのを避けるために必要となる。

まず、コンピュータやスマートフォンなどの情報機器やインターネットやネットサービスの特性(特に、現実の日常生活との違い)、および、情報発信に関する法制度(著作権や名誉毀損など)の基礎知識が土台となる。

その上で、具体的な行動規範として、発信する情報に責任を持つ、他者の権利や尊厳を尊重する、自らや周囲の個人情報やプライバシーをみだりに公開したり教えたりしない、ネットでしか繋がりのない相手を簡単に信用しない、といった内容が含まれる。具体的な内容は多岐に渡り、時代や新しい機器・サービスの普及、法制度の改正によっても変遷する。

大人が社会人の基礎的な素養として身につけるべきであることはもちろん、子どものうちから発達段階に応じて教育すべきであるとされ、学校でも情報教育の一環として2008年改定の学習指導要領から情報モラル教育が明確に定義されている。

ある人物や組織の振る舞いやネット上で公表されたコンテンツなどに関連して、多くネット利用者が反感や不快感、嫌悪感、正義感に基づく怒りなどネガティブな感情を覚え、短時間の間に批判的な投稿が殺到する現象を指す。

喝采や応援など肯定的、好意的な反応が殺到する状態は炎上とは言わないが、人によって賛否や反応が大きく分かれ、肯定派と否定派に分かれて議論の応酬や非難合戦、喧嘩状態に発展したものはやはり炎上とされる。

多くの発言者は匿名であり、中には批判や非難の域を超えて暴言や誹謗中傷を行う者もいる。中傷発言は法律上の名誉毀損となり、言われた側が訴え出れば民事上の損害賠償請求や刑事上の名誉毀損罪や侮辱罪の対象となる。過去の炎上事件でも匿名の投稿者が法手続きに則って身元を調べられ、賠償や刑事罰に至った例が数多くある。

炎上の類型

報道などを起点としてニュースサイトのコメント欄や電子掲示板(BBS)、SNSなどに投稿が相次ぐ場合と、当事者のSNS投稿やブログ記事、動画のコメント欄など、本人に属する場に投稿が相次ぐ場合がある。後者のような本人に対して直接発言が殺到する状況を「コメントスクラム」と呼ぶこともある。

デマやでっち上げ、誤報、誤解など批判対象の事実自体が存在しない場合、当該事案と無関係な人物や組織が誤解や安易な推測などで当事者とされた場合にも、誤りを信じた利用者によって炎上状態に至る場合がある。誤った情報を流したり広めた利用者が刑事罰を受けるなどしているが、悲惨な事故や事件が起きる度に虚偽に基づく炎上が繰り返されており、社会問題となっている。

用語

日本における炎上現象は、ネット利用者の間で匿名掲示板やブログが広く普及・浸透した2000年代中頃に見られるようになったとされる。「炎上」という呼称の起源は明確ではないが、一説には、野球で投手が連打を浴びて大量失点する「炎上」になぞらえて匿名掲示板の利用者が用い始めたとされる。

俗に、炎上現象に関連して起きる状況を火事や燃焼に例えることがある。例えば、関連コメントの投稿が収束することを「鎮火」、コメントの勢いが増すような発言や行動を当事者や関係者が新たに起こすことを「燃料」あるいは「燃料投下」、直接の当事者ではない関係者や擁護者に批判の矛先が向くことを「類焼」あるいは「延焼」などということがある。

あえて物議を醸すような発言や行為、トラブルなどを公表し、狙って炎上を引き起こす者もいる。炎上によって知名度の向上、ネットサービス上での閲覧数や動画再生数などの増加を図り、金銭的な利益を得るために行われるもので、「炎上商法」「炎上マーケティング」と呼ばれる。

主な個人情報としては、氏名や性別、住所、電話番号、電子メールアドレス、勤務先、生年月日、顔写真、SNSやネットサービスなどのユーザー名、クレジットカード番号や銀行の口座番号、日本のマイナンバー(個人番号)や米国の社会保障番号(SSN)など行政が個人に割り当てた識別番号などがある。

ただし、名簿のように複数の項目が個人に結び付けられて列挙されていたり、そのような情報と容易に組み合わせられるような形態になっている必要があり、例えば、「0から始まるランダムな11桁の番号1万個のリスト」は、その中にたまたま誰かの電話番号が含まれるかもしれないが、それ自体は個人情報とは言えない。

一方、特定の個人に属する情報でも、人物の識別・同定に直接は繋がらないようなものは「パーソナルデータ」(personal data)と呼ばれ区別される。例えば、携帯端末の位置情報、商品の購入履歴などが含まれる。

これらは(狭義の)個人情報そのものとはみなされないが、複数の情報源からのデータを突き合わせることなどにより個人の特定や捕捉に利用できる場合があるため、個人のプライバシーの一種として個人情報に準じる適切な管理や保護を行う必要がある。

体系的・継続的に個人情報を保有・利用するすべての団体や事業者に対し、取得や保存・利用に関する義務や、違反時の罰則などを定めている。当初は5000件を超える個人情報を所有する事業者のみが規制の対象だったが、2017年の大幅改正でこの要件が撤廃され小規模な事業者や町内会のような団体も対象となった。

個人情報を取り扱う事業者は、個人情報の収集にあたって利用目的を特定することや、目的外の個人情報の収拾・取扱の禁止、収集手段および目的の公表、不正な手段による個人情報取得の禁止、個人情報の保護に必要な措置を講じること、本人から申し出があったときは速やかに保有する開示・訂正・削除に応じること、本人の同意を得ない第三者への譲渡の禁止などの義務が課される。

違反した場合は内閣府の外局である個人情報保護委員会による勧告や命令が行われ、従わない場合は最大で6ヶ月以下の懲役または30万円以下の罰金が課される。

個人情報の種類

保護の対象となる個人情報は、生存する個人の氏名や生年月日、住所、電話番号など、個人の特定・識別に用いることができるものが該当する。顔写真や所属先のメールアドレス、金融機関の口座番号のように他の情報と組み合わせれば個人を特定できる符号なども含まれる。

また、DNA配列や指紋、声紋、顔貌、虹彩など身体に固有の特徴を符号化したデータ、マイナンバーやパスポート番号、運転免許証番号など公的な識別番号・符号も2017年改正で対象に追加された。

個人情報のうち、差別や偏見に繋がりかねず慎重な取り扱いが求められる項目を「要配慮個人情報」と定義し、本人の明示的な同意を得ずに取得したり第三者に提供することが禁じられている。これには人種や信条、社会的身分、病歴、犯歴、犯罪被害事実などが該当する。

一方、特定の個人を割り出せないように一部のデータをランダムな符号で置き換えるなど復元不能な変換処理を行った「匿名加工情報」については、本人の同意を得ずに第三者提供などの利用ができることが定められている

公的機関の責務

国や地方公共団体は事業者等がこの法律に則って適切に個人情報を取り扱うよう、制度の周知・広報や指針の策定など、適切な措置を講ずることが定められている。

なお、この法律が対象とするのは民間が保有する個人情報の取り扱いであり、国や自治体、独立行政法人など公的機関自身が保有する個人情報については、行政機関個人情報保護法など別の法制度によって規定される。

大きく分けて、人間の知的活動によって創作された表現に対して認められる「著作権」、商業上有用になりうる情報や標識などに対して認められる「産業財産権」(工業所有権)、この二つに属さないその他の権利に分かれる。

著作権は思想や感情を創作的に表現した者がその表現の利用を独占できる権利で、複製権や上演権、公衆送信権、貸与権、翻案権など様々な権利で構成される。また、音楽などの場合には実演家や記録物の製作者、放送事業者などに著作を利用した実演などに対する「著作隣接権」が認められ、広義にはこれも知的財産権の一種とみなすことがある。

産業財産権は企業などの経済活動に関連する情報などを保護する権利で、発明に認められる「特許権」、有用なアイデアなどに認められる「実用新案権」、工業製品のデザインや特徴的な外観に認められる「意匠権」、営業活動に用いる名称や標識などに認められる「商標権」などが含まれる。

これ以外にも、IC(集積回路)の設計など半導体の回路配置を保護する「回路配置利用権」、品種改良で産み出された有用な植物を保護する「育成者権」、企業の営業上のノウハウや秘密の情報などを保護する「営業秘密」(企業秘密)、著名人の容姿を写した記録物の持つ商業的な価値を保護する(財産権としての)「肖像権」、インターネット上のドメイン名を保護する権利などがある。

産業財産権 (工業所有権)

知的所有権のうち、企業や経済活動に関わりの深いものを産業財産権(industrial property right)あるいは工業所有権と総称する。日本では商標権、特許権、意匠権、実用新案権がこれに含まれる。

国際的には、1883年にパリで締結された「産業財産権の保護に関するパリ条約」(パリ条約)および、その最新の改正版であるストックホルム改正条約(1967年)によって規定された諸権利のことを意味し、「特許、実用新案、意匠、商標、サービス・マーク、商号、原産地表示又は原産地名称及び不正競争の防止に関するもの」(特許庁訳)と規定されている。

日本では明治時代にパリ条約の訳文に「工業所有権」の語が用いられ、一般にも定着したが、2002年の「知的財産戦略大綱」以降、政府公式の文書などでは「産業財産権」の語を用いるようになっている。

大きく分けて、人間の知的活動によって創作された表現に対して認められる「著作権」、商業上有用になりうる情報や標識などに対して認められる「産業財産権」(工業所有権)、この二つに属さないその他の権利に分かれる。

著作権は思想や感情を創作的に表現した者がその表現の利用を独占できる権利で、複製権や上演権、公衆送信権、貸与権、翻案権など様々な権利で構成される。また、音楽などの場合には実演家や記録物の製作者、放送事業者などに著作を利用した実演などに対する「著作隣接権」が認められ、広義にはこれも産業財産権の一種とみなすことがある。

産業財産権は企業などの経済活動に関連する情報などを保護する権利で、発明に認められる「特許権」、有用なアイデアなどに認められる「実用新案権」、工業製品のデザインや特徴的な外観に認められる「意匠権」、営業活動に用いる名称や標識などに認められる「商標権」などが含まれる。

これ以外にも、IC(集積回路)の設計など半導体の回路配置を保護する「回路配置利用権」、品種改良で産み出された有用な植物を保護する「育成者権」、企業の営業上のノウハウや秘密の情報などを保護する「営業秘密」(企業秘密)、著名人の容姿を写した記録物の持つ商業的な価値を保護する(財産権としての)「肖像権」、インターネット上のドメイン名を保護する権利などがある。

産業財産権 (工業所有権)

知的所有権のうち、企業や経済活動に関わりの深いものを産業財産権(industrial property right)あるいは工業所有権と総称する。日本では商標権、特許権、意匠権、実用新案権がこれに含まれる。

国際的には、1883年にパリで締結された「産業財産権の保護に関するパリ条約」(パリ条約)および、その最新の改正版であるストックホルム改正条約(1967年)によって規定された諸権利のことを意味し、「特許、実用新案、意匠、商標、サービス・マーク、商号、原産地表示又は原産地名称及び不正競争の防止に関するもの」(特許庁訳)と規定されている。

日本では明治時代にパリ条約の訳文に「工業所有権」の語が用いられ、一般にも定着したが、2002年の「知的財産戦略大綱」以降、政府公式の文書などでは「産業財産権」の語を用いるようになっている。

発明を審査・登録して出願者に権利を付与する行政手続きを「特許」というが、一般には特許登録された発明(特許発明)のことを指して特許ということが多い。

特許権の対象となる発明とは、自然科学の法則を応用して新たに考案された物や方法、物を生産する手段などで、特許発明として登録されるには新規性や進歩性、産業への応用可能性がなければならない。

出願された内容がすでに公知の場合や、科学的に実在を確認できない原理や存在に基いている場合、自然科学の法則を利用していない場合、既存の技術よりあらゆる面で劣っている場合、産業における有用性が見込めない場合、公序良俗や法律に反する目的や手段を含む場合などは、審査により却下される。

特許発明の出願者には独占的な使用権が認められ、発明を許諾なく使用した者に対し、使用の差し止めや損害賠償を請求することができる。特許権の有効期間は日本の現在の制度では出願から20年間で、原則として延長はできないが、薬品などごく一部の分野に限って5年間の延長が認められる。登録中は毎年特許庁に特許料を収めなければならず、これを怠ると20年を待たずに特許権は消滅する。

特許発明の内容は特許庁によって公開され、誰でもその詳細を知ることができる。また、特許権は商標権のように任意の期間延長することはできず、存続期間が終了すると誰でも自由にその発明を利用できるようになる。

このため、自社の優位を少しでも長く維持したい企業や、知的財産権の保護体制が未整備な国への技術流出を恐れる企業では、自社独自の技術などをあえて特許出願せず、秘密を厳重に管理して守ろうとする場合もある。

実用新案権の対象となるのは、自然科学の法則を応用して新たに考案された物体・物品の形状や構造、またその組み合わせで、特許権とは異なり、何かを実現するための方法や、化学物質、コンピュータプログラムなどは含まれない。技術水準が高度でなくてもよい点も特許と異なる。

実用新案の出願者には独占的な使用権が認められ、許諾なく使用した者に対し、使用の差し止めや損害賠償を請求することができる。実用新案権の有効期間は日本の現在の制度では出願から10年間で、延長はできない。

実用新案は特許庁への出願時には特許のように審査はされず、そのまま登録される。ただし、模倣者への使用の差止請求など権利を行使するには、同庁に技術評価書の作成を請求して相手方にこれを提示しなければならず、この技術評価が事実上の審査となっている。技術評価によって新規性がないなど否定的な評価が下されても直ちに登録が抹消されるわけではないが、権利行使は事実上不可能となる。

意匠権の対象となるのは美感を起こさせる物体の形状、模様、色彩、およびこれらの組み合わせで、新規性や創作性があり、工業的に利用できる(量産できる)ものでなければならない。

美術品のように量産できないものや、機能を実現するための形状・構造、外観に表れない内部構造、既存・先願の意匠と同一あるいは類似しているもの、すでに有名なブランドや製品などと誤認・混同する恐れのあるもの、公序良俗に反するものなどは登録することができない。

意匠を登録するには特許庁に出願書とともに図面や写真、見本などを提出して審査を受け、要件を満たすと登録される。出願者には当該意匠および類似する意匠について独占的に使用する権利が認められ、許諾なく使用した者に対し、使用の差し止めや損害賠償を請求することができる。意匠権の有効期間は日本の現在の制度では登録から20年間で、延長はできない。

登録された意匠は同庁により公開されるが、申請すれば登録から3年に限り非公開(秘密)とすることができる。秘密意匠について権利を行使するには同庁から登録を証明する書類を取得して相手方に提示しなければならない。

商標として登録できるのは、文字や記号、平面図形、立体図形、またこれらの組み合わせで、2015年の商標法改正で新たに、動き(図形などの特徴的な移動や変形)、位置(対象物の中で標識が掲示される位置)、色(シンボルカラーなど、単色または複数色の組み合わせ)、音(サウンドロゴなど)、ホログラムが新たに対象となった。

特許庁に登録され、保護の対象となった商標のことを「登録商標」という。権利者は登録商標や類似する商標を許諾なく使用した者に対し、使用の差し止めや損害賠償を請求することができる。登録は10年間有効で、申請により10年ずつ延長することができる。出願や登録、延長にはそれぞれ手数料がかかる。

商標登録は分類ごとに行われ、登録時に対象となる商品やサービスの分類(指定商品・指定役務)を指定しなければならない。分類ごとに出願料・登録料がかかるため、すべての分類を網羅する商標を登録するには巨額の費用がかかる。

指定外の分類では他者がその商標を自由に使用することができ、自らの商標として登録することもできる。実際、シンプルな製品名称などでは分類ごとに商標権者が異なるということもよくある。ただし、すでに有名な製品名などと同じか類似する商標の登録は認められないことが多いほか、無断で使用すると商標法上は問題なくても不正競争防止法など他の法律に抵触することがある。

商標登録は出願すれば必ず認められるとは限らず、一般名詞や地名、公序良俗に反する言葉や図形、日本や他国の国旗、商品の誤認や混同が起こるような名称(指定商品がうどんなのに出願商標が「○○ラーメン」など)、既存の登録商標に類似する商標などは審査により却下される。

名称やロゴなどが登録商標であることを示すには、「登録商標」「registered trademark」といった文言の他に、「®」「(R)」といった記号が用いられることがある。また、名称などが一般名詞等ではなく商標であることを示すために「trademark」「TM」「(TM)」(サービスの場合は「servicemark」「SM」「(SM)」とも)といった文言が用いられることがあるが、これは登録していない商標について用いられることが多い。

著作権法では対象となる著作物を「思想又は感情を創作的に表現したものであつて、文芸、学術、美術又は音楽の範囲に属するもの」と規定しており、小説や随筆、論文、絵画、写真、図形、立体造形物、建築、音楽、映画、コンピュータプログラムなどがこれに該当する。新聞や雑誌、辞書などは要素の選択や配列といった編集に創作性が認められ、編集著作物として保護される。

一方、思想や感情ではない単なるデータや、創作性に乏しい他人の作品のコピーや誰が書いても同じになるような定型文書、文芸・学術・美術・音楽に含まれない日用品や工業製品、法令や判決文、行政機関などの発行する通達等の文書などは除外される。また、アイデアなどはそれを記したものはその表現が著作物として保護の対象となるが、アイデアそれ自体は著作物ではないため対象外である。

著作者に認められる権利はいくつかあり、大別すると、著作者の人格的利益を保護する著作者人格権、著作物の利用を独占的に制御することを認める財産権としての(狭義の)著作権に分かれる。また、音楽などの場合には著作者以外にも実演家やレコード製作者、放送事業者に著作隣接権が発生する。

人格権には公表権、氏名表示件、同一性保持権などが含まれ、著作権(財産権)には、複製権、上演権、公衆送信権、展示権、頒布権、譲渡権、貸与権、翻訳権、翻案権、二次的著作物の利用についての権利などが含まれる。音楽の実演家などには、著作隣接権として、その実演についての同一性保持権や録音権、放送権、送信可能化権、譲渡権、貸与権などが認められる。

著作権を構成する諸権利は大きく分けて、著作物の財産としての権利を保護する著作財産権(狭義の著作権)、著作者の意思や感情を尊重し精神的に傷つけられないよう保護する著作者人格権、実演家などに与えられる著作隣接権に分類される。

著作者人格権は著作物の公表の仕方などを著作者がコントロールできるようにする権利で、不本意な形で著作物が流通するのを防止する。具体的な権利として、著作物を無断で公表されない「公表権」、著作者名の表記の仕方(実名、匿名、ペンネームなど)を決定する「氏名表示権」、著作物を無断で改変されない「同一性保持権」がよく知られる。

また、国によっては、不名誉な場な方法で著作物を公表されない「名誉声望保持権」や、出版の中止や公表の停止を求めることができる「出版権廃絶請求権」、出版社などに修正版への差し替えを要求できる「修正増減請求権」などが認められる場合がある。

著作者人格権は著作者本人の人格、精神にまつわる権利のため、著作財産権とは異なり譲渡や相続、貸与などができないか制限される(一身専属性)。ベルヌ条約では著作者の死後も著作者人格権は存続すると定められており、日本の著作権法では権利自体の相続の規定は無いものの、きょうだいや孫といった2親等以内の親族などに権利侵害に対する差止請求権などを認めている。

著作物の自由な利用や流通を促進する米国の非営利団体「クリエイティブ・コモンズ」(CC：Creative Commons)が提唱しているガイドラインで、法律や技術に関する専門的な知識がなくても、簡単な4つのアイコンを選択し、組み合わせることで誰でも自分の創造物(原著作物)を自由に、自分の好きな条件でインターネットを通じて世界に発信することができる。

CCライセンスの基本となる4つのアイコンは、原著作者のクレジットを表示を義務付ける「表示」(BY：Attribution)アイコン、原著作物を改変した場合、原著作物と同じ条件下で頒布することを許可する「継承」(SA：Share Alike)アイコン、原著作物の改変を禁止する「改変禁止」(ND：No Derrivative Works)アイコン、原著作物の営利目的での使用を禁止する「非営利」(Non-Commercial)アイコンで構成される。

日本ではこれらの4つのアイコンを日本の著作権法にあわせた6パターンの「日本法準拠版ライセンス」が用意されており、その組み合わせは「表示」(CC BY)、「表示・継承」(CC BY-SA)、「表示・改変禁止」(CC BY-ND)、「表示・非営利」(CC BY-NC)、「表示・非営利・継承」、(CC BY-NC-SA)、「表示・非営利-改変禁止」(CC BY-NC-ND)となっている。

CCライセンスは多くの情報があふれるインターネットにおいて創造者が創造物の取り扱いを明確にすることで、創造者の著作権を保護しつつ広く創造物を有効利用することを目的としている。CCライセンス自体は法律ではなく、著作権法に基づいた著作物の取り扱いを著作者の意思として明示するものである。CCライセンスの表示は義務ではなく、あくまで著作者の意思に委ねられている。

一般には、情報の「機密性」(confidentiality)、「完全性」(integrity)、「可用性」(availability)の三つの性質を維持することと理解される。これらの頭文字を組み合わせて「情報セキュリティのC.I.A.」と呼ぶ。国際標準のISO/IEC 27000シリーズなどでも、この三要素を情報セキュリティの構成要件としている。

情報の機密性とは正当な権限を持った者だけが情報に触れることができる状態を、完全性とは情報の破損や欠落がなく正確さを保っている状態を、可用性とは正当な権限のある者が必要なときに情報に触れることができる状態を、それぞれ表す。

また、これに加えて「真正性」(authenticity)や「責任追跡性」(accountability)、「信頼性」(reliability)、「否認防止」(non-repudiation)などの要素を情報セキュリティの要件の一部とする場合もある。

情報セキュリティが脅かされると、外部の攻撃者や内部犯による機密情報や個人情報などの漏洩や改竄、消去などの被害が生じる。企業などの組織が取り扱う情報の安全を確保するには、これらの要素に留意しながら、適切なコンピュータシステムによる保管や管理、認証やアクセス制御、暗号化などの実施、適切な利用手順の整備や利用者に対する啓発などが必要となる。

データインテグリティ (data integrity/データ完全性)

データの処理・読み込み・書き込み・保管・転送などに際して、目的のデータが常に揃っていて、内容に誤りや欠けが無いこと(および、それが保証されていること)をデータの完全性という。日本語で「完全性」の訳語が当てられることもある。

データベースにおける正規化や制約の設定などが不十分でデータ間の関係に矛盾が生じたり、装置の障害やソフトウェアのバグによって内容の欠損や変質が起きたり、外部の攻撃者によって改竄されたりすると、完全性が損なわれることになる。

正規に許可を得た人だけが、認められた範囲内で情報に触れることができ、故意や誤りによる情報の漏洩や改竄、削除などを引き起こすことができない状態を表す。

機密性を確保するには、利用者の識別や認証、所属や権限に応じた情報や機能へのアクセス制御、情報の閲覧や複製、移動に関する履歴の記録や監査などが適切に行われる必要がある。

「完全性」(Integrity)「可用性」(Availability)と合わせて、情報セキュリティの三要素、または、それぞれの英単語の頭文字を取って「C.I.A.」と呼ばれることがある。

可用性の高さは、使用可能であるべき時間のうち実際に使用可能であった時間の割合(稼働率)で示されることが多い。例えば、24時間365日の稼働が求められるシステムの稼働率が99.9999%であるとすると、年間平均で約31.5秒間使用不能な時間が生じることを意味する。

重要な業務システムなどに用いるため、装置の二重化や複数のコンピュータによるクラスタリングなどの措置を講じ、装置の故障やメンテナンスがあってもシステムが提供する機能やサービスが停止・中断しない状態を「高可用性」(HA：High Availability)という。

似た概念に「信頼性」(reliablity)があるが、これは機器などの故障、破損、障害の起きにくさ、停止しにくさを指す。定量的には、単位期間あたりに故障が起きる確率である故障率や、故障から次の故障までの平均期間である平均故障間隔(MTBF)などで表される。

ある一つの装置などについては可用性の高さと信頼性の高さは一致することもあるが、複雑・大規模なシステムでは、装置やシステムを複数用意して一つが停止しても全体が停止しないようにすることで、低い信頼性の要素を組み合わせて高い可用性を確保することもできる。

情報システムに求められる特性として、可用性、信頼性、保守性(整備や修理のしやすさ)の3つの頭文字を繋げた「RAS」(Reliability Availability Serviceability)や、さらに完全性(Integrity)、機密性(Security)の2つを追加した「RASIS」の概念がよく用いられる。

情報部門などの提案や助言などを得ながら経営層が策定し、全社に周知すべきものとされる。基本方針など一部は、その組織の情報管理についての考え方や取り組み方を表明する文書として外部や一般にも公開される。

基本方針には、ポリシーの適用範囲、対象となる情報資産、実施体制、各員・部門の役割や責務、実施・策定すべき施策や規約、遵守する法令や指針などが記述される。これに基づき、組織内に存在する人員や部門、情報などに合わせて具体的に何をどのような脅威から守るのか、誰が何をすべき・すべきでないか、誰に何を許可する・許可しないか、といった方針をセキュリティ対策基準として策定する。

基本方針のみ、あるいは対策基準までをポリシーの範囲とする場合が多く、これらに基づいて実施手順や運用規約、社内規定など個別具体的なルールが定められる。内部の人員にはこれら具体的な規約が手順書やマニュアルなどの形で周知・徹底される。

セキュリティポリシーは技術的な対策や専門家、専任スタッフだけでは適切な情報資産の管理に限界があることを踏まえ、全社の人や組織がどのように情報やシステムを安全に運用していくか観点で策定される。このため、作成しただけで具体的な行動に反映されなければ意味がなく、また、施行後も運用状況や外部環境の変化などに合わせて繰り返し見直しや改善を行うことが重要とされる。

原義は「防火壁」で、外部から攻撃のために送り込まれるデータに対する防御を、火事の炎を遮断して延焼を防ぐことになぞらえている。「FW」「F/W」などの略号で示されることもある。

一般的な構成では、ファイアウォールに内部ネットワーク(LAN)の回線とインターネットなど外部ネットワーク(WAN)の回線を両方つなぎ、内部と外部の境界をまたぐ通信が必ずファイアウォールを通過するようにして、一定の基準に従って不正と判断した通信を遮断する。

サーバコンピュータ上でソフトウェアとして動作するものと、専用の通信機器(アプライアンス)として提供されるもの、ルータなどのネットワーク機器の機能の一つとして統合されているものがあり、防御対象や規模などに応じて選択する。パソコン向けのセキュリティソフトやオペレーティングシステム(OS)にはファイアウォール機能が含まれることもある。

パケットフィルタリング方式

ファイアウォールが通信の可否を判断する方式には様々なものがあるが、最も一般的なのは「パケットフィルタリング」(packet filtering)と呼ばれる方式で、内外を通過するパケットの制御情報(ヘッダ)を読み取り、あらかじめ指定された条件に基づいて通過か破棄かの判定を行う。

よく用いられる条件として、送信元IPアドレス、宛先IPアドレス、プロトコルの種類(ICMP/UDP/TCP)、送信元ポート番号、宛先ポート番号、通信の方向(内部→外部/外部→内部)などがあり、これらの組み合わせによって可否を指定することができる。

形式的な判定だけでなく、TCPコネクションの状態などを一定の過去まで記録しておき、過去の通信と辻褄の合わない奇妙な制御情報が記載されたパケットが届くと攻撃の試みであるとみなして拒絶する「ステートフルパケットインスペクション」(SPI)など、高度な判断が可能な製品もある。

他の方式

パケットフィルタ方式は原則としてIP(Internet Protocol)の制御情報を利用するが、トランスポート層のTCP(Transmission Control Protocol)やUDP(User Datagram Protocol)のレベルで通信の中継を行うものを「サーキットレベルゲートウェイ」という。SOCKSなどが該当し、通過や遮断の制御だけでなく、NATのようにプライベートIPアドレスとグローバルIPアドレスの変換なども行う。

また、さらに上位のHTTPなど個別のアプリケーション層のプロトコルの制御情報を用いて通信制御を行うものは「アプリケーションレベルゲートウェイ」という。プロキシサーバなどが該当し、アドレス変換やコンテンツのキャッシュ、ウイルスチェックなどの機能も合わせて提供される。

パーソナルファイアウォール

家庭などでパソコンに導入する個人向けの製品は「パーソナルファイアウォール」(PFW：Personal Firewall)と呼ばれる。パソコンと外部の機器とのネットワーク通信を監視し、あらかじめ指定された条件に基づいて許可された通信以外を遮断する。

単体の製品やフリーソフトウェアがあるほか、セキュリティソフトウェア企業などでは、アンチウイルスソフトなどと共に統合セキュリティソフトウェア(「○○インターネットセキュリティ」といった製品)の機能の一部として提供している場合がある。Windowsでは標準で内蔵されている「Windows Defender」にパーソナルファイアウォール機能が組み込まれている。

茶漉しに固形物の混ざった液体を注ぐと網目より大きな塊は濾し取られて小さなものは通過するように、何らかの基準や条件に基づいて通過させるかどうかを判断し、一部を通さない働きのことをこのように呼ぶ。そのような働きをする機器やソフトウェアは「フィルタ」(filter)という。

単にフィルタリングといった場合、パソコンやスマートフォンなどでインターネット上のWebページやオンラインサービスを利用する際、あらかじめ指定された条件に基づいて一部をアクセスできないよう制限する「コンテンツフィルタリング」(content filtering)機能のことを指すことが多い。主に保護者が未成年の子どもに好ましくないコンテンツやサービスに触れないようにするために用いられる。

メールフィルタリング

メールソフトやメールサーバなどが、受信したメールの内容や添付ファイルなどから迷惑メールやウイルスメールと疑わしいメールを選別し、専用のフォルダに集めたり破棄する機能を「メールフィルタリング」「スパムフィルタリング」などという。

パケットフィルタリング

インターネットとLAN(構内ネットワーク)の間などネットワーク境界に設置されたファイアウォールやルータなどが、内外を通過するデータ(パケット)を検査してウイルス感染や不正アクセスなどが疑われるものを破棄する機能を「パケットフィルタリング」という。

フールプルーフ設計では「人間は間違えるものである」「理解が不十分な人が取り扱うこともある」という前提に立ち、誤った使い方をしても利用者や周囲の人を危険に晒したり、機器が破損したり、致命的な事態や損害を生じさせないような構造に設計する。

また、そもそも誤った使い方ができないような構造や操作方法にしたり、危険な使い方をしようとすると機能が停止したり自動的に初期状態に戻ったりするような機構を組み込むといった対策が行われることもある。

よく知られる例としては、正しい向きにしか挿入できない電池ボックスや、扉や蓋が完全に閉じなければ起動しない電子レンジや洗濯機、シフトレバーをパーキングかニュートラルに入れてフットブレーキを踏んだ状態でないとエンジンが始動しない自動車、左右に離れたボタンやレバーを両手で同時に操作しなければ降りてこない裁断機やプレス機、人が座っていないと水を噴射しない洗浄便座などがある。

似た概念として「フェイルセーフ」(fail-safe)がある。これは機器の一部が損傷、故障、停止などしても危険が生じないような構造や仕組みを導入する設計思想のことである。停電すると棹が下がったままになる踏切などが該当する。

機器の操作や使用に際して、故障や誤作動、誤操作などが起きるものだという前提に立ち、実際にそのような状況が生じたときに周囲の人や物に害が及ばないよう、自動的に安全側に導くような制御方式や動作原理を設計や構造に組み込む考え方である。

例えば、転倒すると自動的に消火する石油ストーブや、制御装置が停電すると制御棒が自重で落下して核反応を停止させる原子炉、停電・故障すると遮断桿が降りた状態で停止する踏切、全エンジンが停止しても滑空して着陸できる飛行機などがフェイルセーフな設計と言える。

また、建設現場や工場などの生産現場、鉄道の運行、航空管制、情報システムの運用など、何らかの社会的な活動や仕組みの運用においても、誰か一人の失敗や勘違い、どこか一か所の不良が即座に重大な事故や損害に繋がらないように定められた規定や手順、仕組みなどもフェイルセーフという。

これに対し、一部が機能を失っても全体としての機能を保ち、正常に稼動させ続けることは「フォールトトレランス」(fault tolerance)あるいは「フォールトトレラント」(fault tolerant)という。

また、不具合が生じた箇所を停止したり切り離すなどして残りの部分で機能や性能を落として運転を継続するような設計・思想は「フェイルソフト」(fail soft)、誤操作しても危険が生じない、あるいは誤操作できない構造や仕組みに設計することは「フールプルーフ」と呼ばれる。

対になる2つの暗号鍵を用いる公開鍵暗号の原理と暗号学的ハッシュ関数を組み合わせた仕組みで、メッセージの送信者は本人しか知らない秘密鍵と本文を元に一定の手順で算出した固定長の符号をメッセージに添付し、相手方に送る。

受信者は受け取った本文と、秘密鍵と対になる送信者の公開鍵などを用いて一定の手順で同様の符号の算出を試み、添付されたものと照合する。両者が一致すれば、メッセージが確かに送信者本人のものであり、かつ伝送途上で第三者による改竄やすり替えが行われていないことが確認できる。

デジタル署名はインターネットなど信頼できない経路を通じたメッセージの送受信でよく用いられるが、文書の安全な保管などにも用いられる。作成者が後になって自分が作成したことを否定するのを防ぐ(否認防止)証拠として用いられる場合もある。

公開鍵証明書とPKI

受信者が署名を検証するには送信者の公開鍵が必要だが、インターネットなど信頼できない経路で伝送すると攻撃者によるすり替えの危険があるため、公開鍵データに送信者と受信者の双方が信用する第三者のデジタル署名を添付するという手法が考案された。これをデジタル証明書(公開鍵証明書)と呼び、信頼できる第三者を認証局(CA：Certificate Authority)という。

証明書の真正性を確認するには認証局の公開鍵が必要であり、これは上位の認証局によって署名されたデジタル証明書によって配布される。このような信頼の連鎖の起点となる最上位の認証局はルート認証局(Root CA)と呼ばれ、実用上は送信者と受信者が同じルート認証局の証明書(ルート証明書)を持っていれば、それに連なる任意の認証局の証明書を用いて鍵を配送することができる。

このような安全な公開鍵配送のための社会的なインフラのことをPKI(Public Key Infrastructure)と呼び、インターネットなどで電子署名を利用するソフトウェアにはあらかじめ世界的に有力なルート認証局の証明書が組み込まれている。

電子署名とデジタル署名の違い

「電子署名」(electoronic signature)とは本来、紙の文書における押印やサインに相当する証明手段を電子的な手段で実現したもの全般を表す総称であり、「デジタル署名」(digital signature)は公開鍵暗号の原理に基づく電子署名の一方式である。

電子署名の方式としては他に、ペン型の入力機器で文書にサインを書き入れる電子サインなどがあるが、最も有力で普及しているデジタル署名を電子署名の同義語のように用いることが多い。

電子署名法

電子署名と認証業務に関する規定を定め、電子署名が手書き署名や押印と同等に通用することを定めた日本の法律。2000(平成12)年5月成立、2001年4月施行。正式名称は「電子署名及び認証業務に関する法律」。

有効な電子署名について一定の要件を定め、これを満たす電子署名が付された電子データに対して紙の文書に署名・捺印されたものと同等の法的な証拠性を認めている。具体的な技術要件は総務省・経済産業省・法務省が共同で告示しており、1024ビットRSAや1024ビットDSA、160ビットECDSAが挙げられている。このうちRSAについては危殆化の懸念から2019年までに2048ビットへの移行が予定され、同時にこれらの署名方式に用いるハッシュ関数もSHA-1からSHA-2へ移行される。

また、署名が本人のものであることを証明する認証業務について、一定の基準を満たした認証局がデジタル証明書を発行する業務を特定認証業務としている。その中で、さらに厳しい基準を満たし、国や指定検査機関の審査を経て認定された認証局の業務を認定認証業務という。認定認証局は全国で十社程度が認定されている。

単にバックアップといった場合は、データの破損や損失に備えてデータの写しを取って保管する「データバックアップ」のことを指す場合が多い。データをコピーする作業や工程のことをバックアップという場合と、作成されたデータの複製(を記録した装置など)のことをバックアップという場合がある。

コンピュータの記憶装置に保存されたデータを別の装置や記憶媒体へ複製して別に保管するもので、機器の故障や破損、人為ミス、不正行為などによってデータの消失や改変などが起こった場合に、複製した時点のデータに復旧させることができる。

また、「バックアップ回線」「バックアップサーバ」などのように、通常時に使用している機器などが何らかの原因で正常に稼働できなくなった時に、その機能を肩代わりするための機器や設備、施設などのことをバックアップということもある。

生物の体に潜り込んで害を成す微生物のウイルスに似ていることからこのように呼ばれ、コンピュータ関連の文脈であることが明らかな場合は単に「ウイルス」と呼ばれることも多い。広義には不正・有害なソフトウェアの総称として用いられることがあるが、本来これは「マルウェア」(malware)と呼ぶべきであるとされる。

ウイルスの感染

コンピュータウイルスは自ら単体のプログラムとして起動する能力はなく、「宿主」となる他の(正常な)プログラムの一部として自らを「感染」させ、その動作を改変して起動時に自らを実行するよう仕向ける。感染したプログラムが起動されると様々な不正・有害な処理を行うほか、他のプログラムへ自らを複製して次々に増殖していく。

ウイルスに感染したプログラムファイルが、光学ディスクやUSBメモリなどの持ち運び可能な記憶媒体(記録メディア)、インターネットや構内ネットワーク(LAN)などを通じて他のコンピュータへ移動し、そこで起動されることにより、別のコンピュータへ次々に感染が広まっていくこともある。

ウイルスの挙動

コンピュータウイルスは記憶装置に保存されたプログラムやデータを破壊、改変、消去したり、秘密あるいは重要なデータを利用者の知らないうちにネットワークを通じて外部に送信したりといった不正・有害な動作を行う。

こうした振る舞いは感染後すぐに実行に移すとは限らず、一定時間の経過後や攻撃者の指定した日時に実行したり、システムの状態を監視して何らかの条件が満たされると実行するものもある。稀に、繰り返し感染するだけで何も有害な振る舞いを行わない愉快犯的なものもあり、これをウイルスとみなさない場合もある。

ウイルス対策

コンピュータウイルスに感染したプログラムを発見し、また、感染前の状態に戻したりする働きをするソフトウェアを「アンチウイルスソフト」(anti-virus software)あるいは「ワクチンソフト」(vaccine software)などと呼ぶ。

ウイルスの検知には、ストレージ内のファイルなどを既知のウイルスの特徴的なパターンと照合する「パターンマッチング法」や、ウイルスに特徴的な振る舞いを検知する「ヒューリスティック法」、隔離された実行環境で実際に実行してみる「ビヘイビア法」などの検知手法が用いられる。

ウイルス検知のみを行い回復は利用者や他のツールに頼るシステムと、ファイルに含まれる不正なコードの除去を試みるシステムがある。企業などのネットワークでは、伝送途上の通信内容からウイルスを検知して流入を阻止する「アンチウイルスゲートウェイ」なども用いられる。

他のマルウェアとの違い

コンピュータウイルスのような開発者が悪意に基づいて開発・配布している有害なソフトウェアを総称して「マルウェア」(malware：悪意のあるソフトウェア)という。この用語はあまり普及しておらず、総称の意味で「コンピュータウイルス」と呼ぶことも多い。

ウイルスの他に、プログラムファイルへの感染などはせず、自ら単体のプログラムとして起動し、主にネットワークを通じて他のコンピュータへの感染を広める「ワーム」(worm)、一見何か有用な働きをするソフトウェアのように振る舞うが、その裏で利用者に気づかれないように有害な動作を行う「トロイの木馬」(Trojan horse)などがある。

他にも、感染先のコンピュータのストレージを暗号化し、復号のために攻撃者への「身代金」の支払いを求める「ランサムウェア」(ransomware)、攻撃者が遠隔から操作できるネットワーク上の「窓口」を設ける「バックドア」(backdoor)、利用者の操作やコンピュータ内の処理、データ送受信などを盗聴して攻撃者に報告する「スパイウェア」(spyware)など様々な類型があり、これらの複数に該当する複合型のマルウェアも多い。

コンピュータの外部記憶装置(ストレージ)に保存された実行可能ファイルなどの一部として感染したウイルスや、メモリ上で実行されているウイルスを探し出し、機能を停止して取り除く。感染したファイルからはウイルス部分の除去を試み、成功すれば感染前の正常な状態に戻すが、除去が不可能な場合は感染が広まらないよう隔離する。

トロイの木馬、ワーム、スパイウェアなどウイルス以外の悪意のあるソフトウェア(マルウェア)を検知、除去する機能や、外部との通信やソフトウェアの実行状況を監視するなどしてウイルスの侵入、感染を直前に察知して防御、遮断する機能を持ったものもある。

ウイルス検知手法

アンチウイルスソフトがウイルスを検知する手法には大きく分けて二つの手法がある。一つはパターンマッチング法で、これまでに発見されたウイルスについて、そのプログラムコードの特徴的な一部を採取、登録したデータベース(パターンファイル、ウイルス定義ファイルなどと呼ばれる)を用意する。

これに該当するパターンが含まれていないか、実行ファイルなどをしらみつぶしに調べていく手法である。パターンファイルはインターネットなどを通じてメーカーから定期的に最新のものが送られてきて更新されるようになっている製品が多い。

もう一つはヒューリスティック法で、一般的なプログラムではありえないようなウイルスに特徴的な異常な挙動(重要なシステムファイルを書き換えようとする等)の有無を調べる。一部の特殊なシステムファイルなどをウイルスと誤認することもあるが、パターンマッチング法の苦手な未知のウイルスや、既存のウイルスの一部が改変された亜種などにも対応できる。

提供形態・動作形態

一般によく利用されるのは、パソコンにアプリケーションとして導入され、そのパソコンに保存されたデータを監視するソフトウェアだが、近年では総合的なセキュリティソフトの機能の一部として統合されて提供されることが多い。

サーバ上で動作してネットワークを通じて送受信するデータを監視するシステムもある。中継機器上でネットワーク内外を通過するデータを対象に監視やウイルス除去を行うのに特化した製品は「アンチウイルスゲートウェイ」と呼ばれる。

コンピュータの外部記憶装置(ストレージ)に保存された実行可能ファイルなどの一部として感染したウイルスや、メモリ上で実行されているウイルスを探し出し、機能を停止して取り除く。感染したファイルからはウイルス部分の除去を試み、成功すれば感染前の正常な状態に戻すが、除去が不可能な場合は感染が広まらないよう隔離する。

トロイの木馬、ワーム、スパイウェアなどウイルス以外の悪意のあるソフトウェア(マルウェア)を検知、除去する機能や、外部との通信やソフトウェアの実行状況を監視するなどしてウイルスの侵入、感染を直前に察知して防御、遮断する機能を持ったものもある。

ウイルス検知手法

アンチウイルスソフトがウイルスを検知する手法には大きく分けて二つの手法がある。一つはパターンマッチング法で、これまでに発見されたウイルスについて、そのプログラムコードの特徴的な一部を採取、登録したデータベース(パターンファイル、ウイルス定義ファイルなどと呼ばれる)を用意する。

これに該当するパターンが含まれていないか、実行ファイルなどをしらみつぶしに調べていく手法である。パターンファイルはインターネットなどを通じてメーカーから定期的に最新のものが送られてきて更新されるようになっている製品が多い。

もう一つはヒューリスティック法で、一般的なプログラムではありえないようなウイルスに特徴的な異常な挙動(重要なシステムファイルを書き換えようとする等)の有無を調べる。一部の特殊なシステムファイルなどをウイルスと誤認することもあるが、パターンマッチング法の苦手な未知のウイルスや、既存のウイルスの一部が改変された亜種などにも対応できる。

提供形態・動作形態

一般によく利用されるのは、パソコンにアプリケーションとして導入され、そのパソコンに保存されたデータを監視するソフトウェアだが、近年では総合的なセキュリティソフトの機能の一部として統合されて提供されることが多い。

サーバ上で動作してネットワークを通じて送受信するデータを監視するシステムもある。中継機器上でネットワーク内外を通過するデータを対象に監視やウイルス除去を行うのに特化した製品は「アンチウイルスゲートウェイ」と呼ばれる。

どのような行為が該当するかは各国の法律によって異なるが、日本では不正アクセス、DoS攻撃、ネット詐欺(フィッシングや架空請求など)、オンライン不正送金、著作物の無断複製や配布、わいせつ物などの公開や譲渡、SNSなどにおける誹謗中傷や業務妨害などが罪に問われる。

関連する法律としては刑法や不正アクセス禁止法、著作権法、不正競争防止法などがあり、法律上の罪種としては電磁的記録不正作出(データ改竄など)、電子計算機損壊等業務妨害(遠隔操作によるデータ消去など)、電子計算機使用詐欺(クレジットカード番号窃取・不正使用など)、不正指令電磁的記録作成(コンピュータウイルスの開発・配布など)、偽計業務妨害(ネット上の犯罪予告など)、著作権侵害、名誉毀損、信用毀損(風説の流布など)、わいせつ物公然陳列・頒布などが該当する。

犯人がインターネットを通じて犯行を行ったり、犯行現場がネット上であるようなものを指すことが多いが、クレジットカードのスキミングのように、ネットとは無関係に電子的な手段を利用した犯罪も含まれる。

サイバー犯罪自体は各国の刑事司法制度で裁かれるが、国家をまたぐ不正アクセス事件などに対処するため、2001年にサイバー犯罪条約が成立(発効は2004年)し、加盟諸国が国内法を整備して捜査などで協力している(日本は2012年批准)。

サイバー犯罪のうち、何らかの政治的な示威などのために大規模に行われる不正アクセスやDoS攻撃などのことを「サイバーテロ」(cyberterrorism)という。また、敵対する国家間や国家に準じる勢力の間で互いに攻撃を加え合う行為は「サイバー戦争」(cyberwarfare)という。

正規のアクセス権を持たない者が何らかの方法で取得した識別情報(管理者のIDとパスワードなど)を入力して実行する場合と、システムのアクセス制御機能をソフトウェアの保安上の欠陥(脆弱性)を悪用するなどして回避・無効化し、本来認められていない操作を実行する場合がある。

システムの運用主体と無関係な外部の攻撃者が通信回線やインターネットなどの広域ネットワークを通じて遠隔からシステムへの侵入や操作を試みる手法が一般的だが、一定のアクセス権を持つ内部犯がシステムに直に接触して本来の権限を超えた操作を行う事例も見られる。

具体的な不正行為としては、Webサイトの改竄やコンピュータウイルスの埋め込み、機密情報や個人情報の不正取得、遠隔操作による他のコンピュータへの攻撃、迷惑メールやウイルスメールの一斉配信、クレジットカード番号など金融機関の認証情報の詐取による金銭の盗難などがある。

日本では1999年に制定された「不正アクセス行為の禁止等に関する法律」(不正アクセス禁止法)により禁じられ、最大で1年以下の懲役または50万円以下の罰金が課される。この法律は不正アクセス行為そのものと、その準備段階に行われる識別符号(パスワードなど)を不正に取得、保管、入力要求する行為などが禁止されている。

アクセス制御を行っているコンピュータやそのようなコンピュータに守られているコンピュータに対し、通信回線やネットワークを通じてアクセスし、本来制限されている機能を利用可能にすることを禁じている。違反した場合は1年以下の懲役または50万円以下の罰金が課される。

制限を回避する行為として、他人の識別符号(パスワードなど)を盗み取って本人になりすましたり、識別符号以外の、制限を免れるための何らかの情報(ソフトウェアの脆弱性を攻撃するコードなど)を送り込むことを挙げている。

2012年の改正で、他人の識別符号を不正に取得する行為、不正アクセスを助長する行為(識別符号の不正な提供など)、不正に取得された識別符号を保管する行為が新たに禁止され、違反者には30万円以下の罰金が課されるようになった。

また、コンピュータのアクセス管理者に対しては識別符号の管理やアクセス制御機能などについて適切な防御措置を取る努力義務が課されており、都道府県公安委員会に対しては被害にあったアクセス管理者から支援を要請されたら必要な情報の提供や助言などの援助するよう定めている。

ITの分野では、ある人がコンピュータやネットワークを利用するために利用している識別・認証情報(アカウント名やパスワードなど)を不正に取得し、その人のふりをしてアクセスするなりすまし行為が問題となっている。不正に取得した認証情報で金融機関のオンラインサービスなどにアクセスされ、預金などを盗み取られるといった被害が起きている。

電子メールの差出人情報を偽装するなどして、ある特定の人物や組織からのメッセージであるかのように装い、騙された受信者に個人情報や秘密の情報を送信させるといった手口のなりすまし行為もある。この手口で騙し取った情報を使って本人になりすまし、金融機関に不正アクセスするといった二重のなりすましによる詐欺手法を「フィッシング」(phishing)などと呼ぶ。

また、サイバー攻撃などの手法の一つで、データの送信元アドレスなどを改ざん・偽装し、別のアドレスやコンピュータからのアクセスであるかのように装うことで、他の人の仕業に見せかけたり、追及されにくいようにすることもなりすましという。攻撃者が罪を無関係な第三者になすりつけ、司法当局が誤ってなりすまされた被害者を罰してしまう事件も発生している。

SNSなどでのなりすまし行為

SNSなどのネットサービスでは、自分とは無関係な有名人や企業、団体などの名前を勝手に名乗り、その人物・組織を装って発言などを行うなりすまし行為も発生している。IDやパスワードの詐取、行使などを行わなくても誰でも簡単に実行できてしまうため、著名人などになりすますいたずらが後を絶たず問題となっている。

なりすます対象は著名な人物や団体とは限らない。何らかの論争の渦中にある人が、自分と対立する側の匿名ユーザーを装った別のアカウントを作成し、わざと対立側に不利な発言などを行うといったなりすまし行為もある。「自作自演」「偽旗作戦」などとも呼ばれる。

なお、動物や人工物など人間以外の存在、故人や歴史上の人物、創作物に登場するキャラクターなどを自称するSNS利用者もいるが、こうした行為は「本人」が実在しない(ことが誰の目にも明白である)ため、なりすましとは区別され「なりきり」などと呼ばれる。

近年では、ネット広告などで著名人の名前を勝手にかたり、無関係な第三者が広告を作成して掲載する「なりすまし広告」も問題となっている。実業家が投資の勧誘をするなど本人の実績や信用を勝手に利用する広告で、宣伝されている商品やサービスなどがそもそも詐欺である事例も多いとされる。

コンピュータウイルスや通信の盗聴のような情報システムに直接介入する攻撃手法を用いず、物理的に本人の周辺に近づいて、人間の行動や心理に生じる隙を利用して重要な情報を得る手法を指す。

例えば、本人が端末にパスワードや暗証番号を入力しているところに近づいて、背後から肩越しに入力内容を盗み見る「ショルダーハック」(shoulder surfing)がよく知られる。

他にも、本人が席を外した隙にメモや付箋を盗み見たり、ゴミとして捨てられた書類などを盗んだり、身分を詐称して電話をかけて情報を聞き出すといった手法が知られている。情報の盗み取りだけでなく、本人にしかできない手続きを本人になりすまして行わせる手法も含む場合がある。

また、架空請求詐欺やフィッシングのように、虚偽の発信元や内容を記した電子メールやショートメッセージなどで受信者を騙し、ウイルス感染や偽サイトへの誘導、金銭の詐取など狙う手法も、電子的な手段を用いているがソーシャルエンジニアリングの一種に分類される場合もある。

「釣り」を意味する “fishing” が語源で、釣り針の先に付けた餌やルアーに獲物が食いつく様子を釣りに例えた表現だが、偽装の手法が洗練されている(sophisticated)ことから “phishing” と綴るようになったとする説がある。

フィッシングの代表的な手口は以下のとおり。メールの送信者名を金融機関の窓口などのアドレスにしたメールを無差別に送りつけ、本文には個人情報を入力するよう促す案内文とWebページへのリンクが載っている。

リンクをクリックするとその金融機関の正規のWebサイトと、個人情報入力用のポップアップウィンドウが表示される。メインウィンドウに表示されるサイトは「本物」で、ポップアップページは「偽者」である。本物を見て安心した利用者がポップアップに表示された入力フォームに暗証番号やパスワード、クレジットカード番号などの秘密を入力・送信すると、犯人に情報が送信される。

フィッシング攻撃者は、URLに使用される特殊な書式を利用してあたかも本物のドメインにリンクしているかのように見せたり、ポップアップウィンドウのアドレスバーを非表示にするなど非常に巧妙な手口を利用しており、「釣られる」被害者が続出している。

フィッシングへの対応策としては、送信者欄を信用しない、フォームの送受信にSSLが利用されているか確認する、メールに示された連絡方法(リンクなど)以外の正規のものと確認できている電話番号やURLなどから案内が本物かどうかを確認する、などが挙げられる。

スピアフィッシング (spear phishing)

特定の人物を狙い、偽のメールを送ったりウイルスを仕込んだりしてパスワードや個人情報などを詐取する詐欺。もとは魚釣りの用語で、銛(もり)や水中銃で魚を突き刺す釣り方のこと。

大手銀行のオンラインバンキングなど有名なサービスの不特定多数の利用者を狙う通常のフィッシングとは異なり、対象の素性を調査した上で、その個人に合わせた手法が個別に考案されるのが特徴である。

例えば、大企業の支店に勤務する社員に「本社の情報システム部の者だが調査に必要なのであなたのパスワードを教えてほしい」といったメールを送り、だまされた社員から聞き出したパスワードを使ってその企業のネットワークに不正侵入するといった手が使われる。他にも、上司や取引先に成りすまして業務上の機密情報や知的財産を詐取するといった事例が報告されている。

ファーミング詐欺 (pharming)

有名な金融機関やオンラインショップのサイトをそっくりに真似た偽のサイトを作り、DNSサーバの情報を書き換えることで利用者を誘導し、暗証番号やクレジットカード番号などを詐取する詐欺。フィッシング詐欺の手口の一つ。

通常、Webサイトにアクセスするにはドメイン名を含んだURLを入力するが、ドメイン名は通信事業者などが管理するDNSサーバによってIPアドレスに変換され、対応するIPアドレスを持ったサーバにアクセスすることになる。

ファーミングを行う攻撃者は、このDNSサーバの管理するドメインとアドレスの対応表を不正に書き換え(DNSキャッシュポイズニング)、利用者がドメインを問い合わせると偽のアドレスを返すよう細工する。

利用者は自分の利用している金融機関などの正しいURLにアクセスしているつもりで、攻撃者の運用するそっくりな偽のサイトに誘導され、不正に情報を詐取される。なお、パソコンの中にもドメインとアドレスを対応付けるhostsファイルというファイルが保存されており、ウイルスなどを使ってこれを書き換えることで偽のサイトに誘導する手法もある。

フィッシング詐欺は偽の案内メールなどで利用者を「一本釣り」にする手法だが、DNSサーバに不正な情報を流すことでそのサーバを利用する利用者を丸ごと偽のサイトに誘導する様子を農業(farming)に例え、ファーミングと名付けられた。綴りが本来の "farming" ではなく "pharming" なのはフィッシング詐欺を "phishing" と綴るのを踏襲したもので、"sophisticated" (洗練された) が語源と言われている。

特定電気通信役務提供者

この法律は主に「特定電気通信役務提供者」について適用されるが、これには狭義のプロバイダであるインターネット接続事業者(ISP：インターネットサービスプロバイダ)だけでなく、Webサイトの公開・運用を請け負う事業者(サーバホスティング事業者やブログサービス事業者など)、電子掲示板(BBS)やSNSの運営者など、契約者にネット上で情報発信できる環境を提供している者が含まれる。営利事業か否かの区別もなく、状況によっては大学や公的機関、個人などが該当する場合もある。

責任の制限

以前は法的な位置づけが曖昧だった、ネット上で著作権侵害や名誉毀損、プライバシー侵害などが発生した際のプロバイダ等の賠償責任を、一定の条件を満たした場合に免責するよう定めている。

ある情報の流通について権利が侵害されたと主張する者が現れた場合に、当該情報の流通を止めなかった責任について、プロバイダ等自身が発信者ではなく、差し止めが技術的に不可能である、権利侵害であると知らなかったといった条件を満たした場合に免責される。

逆に、権利侵害の申告を受けて情報の流通を止めた場合に発信者側に生じた損害について、停止措置が必要最低限であり、権利侵害を疑う十分な理由があった場合に免責される。選挙運動期間中の候補者や政党などについての情報を差し止めた場合については、別項を設けて似た内容の規定(発信者に生じた損害の免責)を定めている。

リベンジポルノの防止

2014年に成立した私事性的画像記録の提供等による被害の防止に関する法律(通称リベンジポルノ被害防止法)ではプロバイダ責任制限法の特例を定めており、いわゆるリベンジポルノの公開を停止する措置を講じた場合に、発信者側(加害者側)に生じた損害についてプロバイダ等の賠償責任を免責している。

発信者情報の開示

以前は権利侵害事案の発信者情報の開示について法的な規定がなく、プロバイダ等は被害を訴える側に任意に情報を提供すれば発信者側から、拒否すれば被害者側から訴えられるリスクを負う板挟み状態となっていたが、この法律では開示請求について一定の基準を定めている。

権利侵害を受けたと主張する側は、当該情報による権利侵害が明らかである証拠があり、差し止めや賠償の請求などを行うために発信者情報が必要である場合に、プロバイダ等に発信者情報の開示を請求できる。プロバイダ側は可能な限り発信者に意見の聴取を行い、請求者の訴えが正当であると認められる場合は発信者の情報を開示する。

開示の対象となる発信者情報は、発信者の氏名、住所、メールアドレス、当該情報送信時のIPアドレス、当該情報の送信日時で、プロバイダ側はこれらの情報を取得して保管しておかなければならない。

具体的な手続きや判断基準は業界団体であるプロバイダ責任制限法ガイドライン等検討協議会が発行する「プロバイダ責任制限法発信者情報開示ガイドライン」に基づいて行われている。

なお、発信者の情報を開示しなかったことで請求者側に生じた損害について、プロバイダ等自身が発信者ではなく故意や重い過失ではない場合には賠償責任が免責される。