3.IoTに関する国内法と国際標準化動向
3.0. 初めに
前回IoTのセキュリティの概要について述べた.
今回は情報セキュリティの中でも重要な三つの要素
- 機密性
- 完全性
- 可用性
にかかわる国内法と国際標準化動向に関する情報をまとめた.
次回以降にはこれをもとにどのようなセキュリティ必要で,実際に対策されているのかをまとめたいと思う.
3.1 IoTに関する国内法
近年のIoTの普及・進歩による私たちの私生活における利便性の向上は著しい。
そして、様々なIoT技術が、いまなお開発されており、新たなIoTが実用化段階を迎えつつある。しかし、その裏には様々な課題が残されている。
その一つがIoTをめぐる法的環境の整備である。2017年5月の改正個人情報保護法全面施行、2016年12月の官民データ活用推進基本法公布・施行など、データ流通の基盤となる法制度の整備は急速に進展しつつあるが、IoTそのものに対する法制度というのは存在しておらず、既存の法律で対応していかなければならない。
そのようなIoTによって生ずる問題に関する国内法を、大きく以下の三つに分けてまとめていく。①IoT端末に関して生ずるもの、②IoT端末から処理を行うサーバー等への通信に関して生ずるもの、③処理を行うサーバー等処理装置やサービスに関して生ずるもの、の三つに分けてまとめていく。
このうち、①に関して生ずる問題としては、IoT端末を踏み台としてサイバー攻撃を行うDDoS攻撃などが挙げられる②に関して生ずる問題とは、情報セキュリティ(完全性、可用性、機密性)などが考えられる。③に関して生ずる問題とは、ビックデータの問題としての情報処理や情報流通にまつわる問題が含まれる。まず、①に関して生ずる問題に対する国内法についてまとめる。主な国内法としては電気通信事業法があり、電気通信事業法の中でもIoT端末自体に関連する事項をまとめる。
3.1.1 電気通信事業法
2020年4月1日より電気通信事業法における端末設備等規則の改正が施行された。
その背景には、IoTの普及による、IoTを悪用したサイバー攻撃が多発していることがあった。
改正された内容としては、webカメラや電気通信企業者回線に直接接続されるルータなどのIoT機器を対象とし、それらの端末機器の基準認証について実装すべき機能・要件を新たに規定したものである。
実装すべき機能としては、主に次の4つが挙げられる
- 1.電気通信に関する設定を変更する際にIDやパスワード等の入力を求める機能
- 2.端末の出荷時に設定されている電気通信に関する設定を変更する際に必要なIDやパスワードについて、初回起動時にこれらを変更するよう促す機能
- 3.電気通信の機能を制御等するソフトウェアを更新できる機能
- 4.端末の電源を落としても上記一つ目の機能および三つ目で更新されたソフトウェアが確実に維持されていること
以上の端末機器の基準認証制度については、技術基準適合認定(第53条)、設計認証(第56条)、技術基準適合自己確認(法63条)に詳しく記述されており、IoT端末の技術基準にセキュリティ対策を追加することで、IoTセキュリティの脅威に対策を行っている。
次に②IoT端末から処理を行うサーバー等への通信に関して生ずる問題に対する国内法についてまとめる。
IoTではデータのやり取りを、インターネットを介し通信するので、情報セキュリティの確保が重要となる。
以下に情報セキュリティ(機密性、完全性、可用性)に関する国内法をまとめる。
3.1.2 機密性に関する国内法
機密性とは正当な権限を持つ限られた者のみが、情報や資産を見たり触れたりできるように保護・管理されていることである。
機密性に関するものとして、主に不正アクセス禁止法、刑法上の犯罪、通信の秘密、プライバシー権・個人情報保護法などの法制度がある。
まず、情報の不正入手に伴う行為については、それがサイバー空間で発生した場合と現実空間で発生した場合に分けられる。サイバー空間にて、不正アクセス行為が行われた場合には不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)により処罰される。
現実世界にて情報の不正入手が行われた場合には、刑法における窃盗罪や横領罪により処罰される[4]。
しかし、窃盗罪や横領罪の対象となるのは、コンピューターなどの物理媒体に記録されている情報を不正入手した場合のみであり、情報それ自体は財物には当たらないという判例が一般的に認められている。
そして、通信の秘密とは、通信に関する個人や企業間でのやり取りが、憲法21条2項や電気通信事業法4条、有線電気通信法9条、電波法59条などの法律によって守られていることを指す。通信の秘密で保護されるものは通信の内容だけにとどまらず、通信当事者の氏名、住所、発信時間、通信記録など通信記録自体も秘密事項として、保護の対象になる。
プライバシー権・個人情報保護法に関しては後述する。
3.1.3 完全性に関する国内法
完全性とは情報などが完全かつ確実であることを保護することである。
完全性に関するものとして、「電磁的記録不正作出罪」、「電磁計算機使用詐欺罪」等の法制度がある。また、電子署名及び認証業務に関する法律も完全性に関するものである。
「電磁的記録不正作出罪」とは、無断で他人名義の電子データを作成する行為を処罰するものである。
ただし、それが処罰されるためには、人の事後処理を誤らせる目的でそれが行われていること、無断で作成したデータが事後処理に供される権利、義務又は事実証明に関するものであることが必要となる[5]。
「電磁計算機使用詐欺罪」は、人の事務処理に使用する電子計算機に虚偽の情報若しくは不正な指令を与えて財産権の得喪若しくは変更に係る不実の電磁的記録を作るなどして、財産上不法の利益を得、または他人にこれを得させた者を処罰する法律である。
また、インターネットなどのネットワークを用いて、情報のやり取りをする際、他人によるなりすましや改ざんを防ぐために用いる電子署名の機能等の定義や、電子署名による認証業務を定義したものが「電子署名及び認証業務に関する法律」である。
3.1.4 可用性に関する国内法
可用性とは、許可された利用者が必要な際に情報及び関連資産にアクセスできることを確実にすることをいう。可用性に関するものとして、「電子計算機損壊等業務妨害罪」などの法制度がある。
「電子計算機損壊等業務妨害罪」は例えば、DDoS攻撃によって、業務に使用するサーバーをダウンさせた場合に成立する。
つまり、電子計算機を使用できなくすることによって業務を妨害する行為などを処罰する法律である。
次に③処理を行うサーバー等処理装置やサービスに関して生ずる問題に対する国内法についてまとめる。
近年IoTサービスが発展する中で、様々な個人情報が流通するようになった。スマート体温計を例にしてみれば、利用者が事前登録した、氏名、性別、年齢、病歴、メールアドレスや、スマート体温計にて検温した際の検温日時、体温などが個人情報として挙げられる。
収集された個人情報は、IoT事業者によって、販売促進を目的とした統計分析に活用し、また、ある地方自治体に提供を依頼されるなど、公開・流通される。
IoTサービスを行う上で、このような個人情報の取り扱いには注意する必要がある。
個人情報に関する法律としては、個人情報保護法が規定されている。特に2017年5月に施行された改正個人情報保護法によって、改正して新たに導入された匿名加工情報はIoTに強く関連すると考えられる。
よって、個人情報保護法における匿名加工情報周辺について、上述のスマート体温計を例に以下にまとめる。
3.1.5 匿名加工情報(個人情報保護法)について
上述したスマート体温計で収集する個人情報に、病歴が含まれているとする。病歴は要配慮個人情報に当たるため「要配慮個人情報の取得制限(2条3項)」によってIoT事業者は収集時にあらかじめ本人の同意を得る必要がある。
また、上述の通り地方自治体などの第三者に、ある条件のもと本人の同意なしで当該情報を第三者に提供する場合には、「匿名加工情報」として、適切に個人情報のデータを特定の個人を識別する事が出来ないよう加工しなければならない(2条9項、10項)。
また、その際にはあらかじめ第三者提供する匿名加工情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない[6]と定められている(36条第4項)。
また、提供される側にも個人情報保護法37条として、提供側と同じことを行わなければならない。
以上が匿名加工情報における主にIoTに関連する内容である。この匿名加工情報が新たに導入されたおかげでIoT事業者間におけるデータ取引やデータ連携を含むパーソナルデータの利活用が促進された。
以上がIoTに関する国内法である。②はIoTに限られたことではなく、IT業界全体に関わることであるが、①や③はIoTに深く関連している。IoTセキュリティを考える上で、このような国内法は把握しておいた方がよい。
3.2 IoTに関する国際標準化動向
IoTに関しては、多くの標準化団体やアライアンスが存在し、デジュール標準やデファクト標準を目指した活動を行っている。それぞれの団体や企業で独自仕様が多く、国際的な標準化は統一されていなく、まだまだこれからである。
そのためそれらの団体のうち主要団体の主な検討状況や活動状況をまとめる。
まず、IoT に関連する標準化団体やアライアンス等の団体は非常に数が多く、全体的な動向を把握することが困難なため、活動内容や対象分野等に基づき、以下のように複数のグループに分類する。
- ①通信キャリア業界、インターネット業界を対象にした技術標準化グループ。
- ②産業制御業界、電気業界を対象にした技術標準化グループ。
- ③スマートデバイス業界、IT機器インターフェース業界、モバイル業界、家電業界を対象にした技術標準化グループ。
- ④各IT 企業が中心となってIoT/M2Mに関する普及や推 進、標準技術の策定等を行うために設立した技術標準化グループ(以下この3.2では①、②、③、④として扱う)。
①としては、ITU-T、oneM2M、②としてはIEC、ISO 、ISO/IEC JTC1、③としてはIEEEが、④としてはIndustrie4.0、AllSeen Alliance(OCFに合併された)などが主な活動団体として挙げられる。上記のそれぞれの団体がどの様な活動を行っているかを以下にまとめる。ただ、団体の中でも様々なグループがあるので、その場合は団体の中から選定したグループを例として、活動状況などをまとめる。
まず、①グループに関してまとめる。ITU-TについてはITU-Tの中のITU-T SG20の動向をまとめる。ITU-T SG20は「IoT及びその応用」を検討する新しい研究グループとして、2015年6月のITU-T TSAG外剛において設置された。IoT(M2Mを含む)やユビキタスセンサーネットワーク、スマートシティ及びコミュニティ等の広範な課題について、協調して開発することを目的としており、主に通信・インターネット系の技術テーマについての検討を行っている。
また、OneM2Mは、7つの通信系標準化団体が集まって2012年7月に設立された団体である。M2Mデバイスが世界的規模で通信可能となるように、技術仕様や技術報告の開発を行うのが目的であり、2016年に技術仕様の第2版が発行され、認証されている。最近では、2018年12月に技術仕様の第3版が認証されており、翌年6月二制定している。
次に②グループに関してまとめる。IECとISOは電機産業制御系の国際的な標準機関である。IECでは電気電子技術分野において国際標準・規格を作成し、普及を図ることを目的とした活動を行っており、幅広く様々な技術テーマを検討し規格化を行っている。
特に、ハードウェアコンポーネントを対象としたセキュリティ要件「IEC62443-4-2」は IoT 機器を対象としたセキュリティ規格では最も整備されており、国内外の調達要件に「IEC62443-4-2」取得が盛り込まれることが増えている。ISOもIECと並び、多くの組織・団体がIoTに関わる標準化活動に関連している中で、主要な国際標準化団体として位置付けられている。
また、ISO/IEC JTC1は、IT分野の標準化を行うことを目的に1987年に設立された団体であり、ISOとIECの第一合同技術委員会である。
ISO/IEC JTC1は総会の元に作業を実行するため、Subcommittee、Working Group、Other Working Group、Special Group on Federal Standardization、Special Working Group、Reporter For Strategic Planning、などの多くの作業グループを設置している[7]。
ISO/IEC JTC1の中のISO/IEC JTC1 WG10ではIoT 発展のための条件定義、IoT アーキテクチャの基本仕様の開発、IoT使用事例の構築、IoT の相互運用性を技術テーマとして審議を行っている。
次に③についてまとめる。IEEEは1963年にAIEEとIREの合併により発足した学会である。様々なWorking Groupを設立し、家電系技術の標準化活動を行っており、2014年6月に設立されたIEEE P2413では、IoTのフレームアーキテクチャの標準化活動を行っている。
また、近距離無線通信の仕様標準化を目的に1999年3月に設立されたIEEE 802.15は2004年以来、様々な規格を策定している。特にこの二つのWorking Groupが、国際標準化団体よりも迅速な規格検討等を行うべくコンソーシアム型で活発な活動をしている。
次に④に関してまとめる。Industrie4.0 は、ドイツ政府が2011年11月に公布した「高度技術戦略の2020年に向けた実行計画」に掲げられた戦略的施策の一つである。
「スマート工場の実現」を目的としており、CPSに基づく新たなモノづくりの姿を目指している。CPSとは現実世界とサイバー空間を密接に連携させ、現実世界をよりよく運用するという考え方である。
Industrie4.0は主に、組込みシステムCPS、スマート工場、ロバストネットワーク、クラウド及びセキュリティの5分野を対象に研究活動を行っており、「管理シェルの構造」など、これまでにいくつかの技術仕様を発表している。
一方、AllSeen Allianceは家庭や業界のIoEの採用とイノベーションを促進することを目的として、2013 年12月に非営利団体、Linux Foundationによって設立された。
2016年にOCFと合併したが、それまでに継続的に標準化の新バージョンのリリースを行っていた。OCFと合併することでIoTの標準化が加速し、2018年にはOCF1.0使用がISO/IEC JTC1に国際標準として、認証された。
以上がIoTに関する国際標準化活動を行っている団体やアライアンスの標準化動向である。このように、いくつかの分野に分かれて標準化活動が行われており、またその中でも細かく分割して活動しているので国際標準化の動向を把握するのは非常に困難である。
参考文献
[4] 小林正啓:自動運転車の実現に向けた法制度上の課題(オンライン)、入手先→https://www.jstage.jst.go.jp/article/johokanri/60/4/60_240/_pdf
[5] 情報セキュリティ関連法令の要求事項,p.66,経済産業省(平成23年4月)
[6]個人情報の保護に関する法律についてのガイドライン(匿名加工情報編),p.23,個人情報委員会 (平成28年11月(平成29年3月一部改正))
[7] 「IoT に関する標準化・デファクトスタンダードに係る国際動向調査」報告書, p.206~258, 株式会社 日立コンサルティング(平成28年2月)