2007/06/20
■[セキュリティ][P2P]プライバシー侵害の幇助者 / Winny特別調査員2
ニュースを見てこんなに腹が立ったのは久しぶりです。このソフトは、明らかな害悪だと思います。
以前からOne Point WallなどのWinny対策製品を販売しているネットエージェント社が、「Winny特別調査員2」という製品を発表しました*1。以下は、ネットエージェント社のサイトに掲載されている、この製品の特徴です。
Winny特別調査員2(ネットエージェント)
http://www.netagent.co.jp/winny_check2.html
Winny特別調査員2は、「調査員CD」を会社が従業員に配布し、従業員が自宅のPCにCD-ROMをセットすることで、会社関係のファイルを自動的に見つけ出し、ファイル回収専用サーバにそのファイルをアップロードします。また、自宅PCからはファイル復旧ソフトを使っても、ファイルが復活されないよう完全に削除します。
上記ページによると、この「Winny特別調査員2」のCDを自宅のPCにセットすると、オートランで以下の動作を開始するようです。
- メール、オフィスドキュメント等をスキャンし、勤務先企業が指定したキーワードを含むファイルをリストアップ
- リストに挙がったファイルを、勤務先企業が設置したファイル回収サーバに自動アップロード
- リストに挙がったファイルを、復元不可能な形で完全消去
どうですか? 会社のPCならともかく、個人所有のPCに入ってるファイルを無断でアップロードかつ削除するって……。しかも、ウィルスに感染したソフトだけを検査するわけではなく、特定のキーワードが含まれるかどうかという単純な条件で、ファイルをリストアップするようです。
こんなことを、もし会社が社員に「強制」した場合、明らかに個人のプライバシー侵害になりそうな気がします。具体的にどういう法律が該当するかは詳しくないのでよく分かりませんけど、以下の日本国憲法第35条と照らし合わせて、強要罪あたりが成立するのではないでしょうか。
憲法条文・重要文書 | 日本国憲法の誕生
http://www.ndl.go.jp/constitution/etc/j01.html#s3
〔侵入、捜索及び押収の制約〕
第35条 何人も、その住居、書類及び所持品について、侵入、捜索及び押収を受けることのない権利は、第三十三条の場合を除いては、正当な理由に基いて発せられ、且つ捜索する場所及び押収する物を明示する令状がなければ、侵されない。
2 捜索又は押収は、権限を有する司法官憲が発する各別の令状により、これを行ふ。
◇第三十二章 脅迫の罪(伊藤塾)
http://www.itojuku.co.jp/37i/jyoubun_keihou/5310.html
(強要) 第二百二十三条 生命、身体、自由、名誉若しくは財産に対し害を加える旨を告知して脅迫し、又は暴行を用いて、人に義務のないことを行わせ、又は権利の行使を妨害した者は、三年以下の懲役に処する。
2 親族の生命、身体、自由、名誉又は財産に対し害を加える旨を告知して脅迫し、人に義務のないことを行わせ、又は権利の行使を妨害した者も、前項と同様とする。
3 前二項の罪の未遂は、罰する。
もちろんネットエージェント社もそんなことは承知していて、社員に強制しようとは考えていないでしょうが、先ほどのページを更に下まで読み進めていくと結構恐ろしい事が書いてあります。「Winny特別調査員2の活用例」の中にある、持ち出しファイル回収プログラム(サンプル)というリストがそれです。以下に、そのリストを転載します(太字は吉澤による)。
事前準備
- 調査員CDのパラメータ決定(キーワード・自動アップロード・削除機能など)
- ファイル回収サーバの設置
- CD作成 (*isoイメージのみ購入の場合)
対象者の指定
- 役員・従業員・従業員の家族・派遣社員(派遣元との調整)・退職者・下請け先・下請け従業員
- 実施ルールの策定
- 告知文書の作成
- 組合との調整(組合がある場合)
- 派遣元との調整(派遣社員が対象の場合)
- 暴露ウイルス感染者を発見してしまった場合の行動指針の決定
行動
- 全社ミーティングでの発表
- ファイル回収実施要綱の掲示、連絡
- CDの配布
- 暴露ウイルス感染者を発見してしまった場合の出動
後処理
- 回収ファイルの社内ファイルサーバへの移動
- 誤回収ファイルの返却
そんな「調整」が行われている状況で、もし一社員の分際で「Winny特別調査員2」の実行を拒否したら、一体どんな目に遭わされるかと思うと……普通は実行してしまいますよね。状況としては強制してるも同然なのに、強制していないと言い張るつもりなのだとしたら、もうヤクザと同じような態度ですよね。それは。
これはこのソフトに限った話ではありませんが、希望する社員のみにセキュリティ対策を実施する、なんてことは普通あり得ません。それは「誰も責任なんて取りたくない」という理由で、セキュリティ対策がエスカレートするのを止める人が誰も現れないからです。
もし会社の中で社員が情報漏洩事件を起こしたら、普通は何段か上の上司まで連帯責任でしょう。自分が首になる可能性を考えれば、どんな無茶な命令が来ようが、とても自分のところで対策を止めるわけにはいかない。むしろ強化しなくてはいけない。もし上司から「任意でセキュリティ対策を実行してください」くらいの命令が来ても、自分の部下には「絶対実行しろ」と言いたくなってしまうのではないでしょうか? まして、相手が派遣社員や下請け従業員だったら、そういう行為にどれだけ歯止めがかけられるかは怪しいところです。
こんな文章を書いてる僕でも、もし仮に部下が居て、会社の上層部からこのソフトが配布されたら、口では何と言ってても「出来たら(僕のために)実行して欲しいなあ……」くらいの雰囲気は醸し出してしまいそうな気がしますし。それはまぁ、人の弱さとして仕方ないような気もします。
だからこそ、一度会社で配布されたら強制的に実行せざるを得ず、結果として大変なプライバシー侵害に繋がりかねないこのソフトは、決して販売すべきではない害悪なソフトだと僕は思っているわけです。
----
こういうとき、日本にEFF(電子フロンティア財団、Electronic Frontier Foundation)みたいな組織があれば!と本当に心から思います。もしこのソフトがアメリカで発表されたら、EFFが黙っていないでしょう……発売停止まで行かなくても、このソフトを強制された哀れな人の駆け込み寺にはなってくれそうです。
しかしまあ、そんな無いものねだりをしていても仕方がないので、僕個人としては、身の回りでこういう動きがあったら出来るだけ反対していこうと思います。あとは、このソフトのせいで、実際に不快な目に遭う人が少ない事を祈るばかりです……。
関連ページ:
「データ持ち帰ってません」がホントかどうかを調査(スラッシュドット ジャパン)
http://slashdot.jp/security/article.pl?sid=07/06/19/2344239
ネットエージェント、今度は「データ持ち帰ってません」がホントかどうかを調査(ITmedia エンタープライズ)
http://www.itmedia.co.jp/enterprise/articles/0706/19/news084.html
----
(2007/06/22追記)
下のトラックバックの中で「吉澤はWinny特別調査員2を違法だと考えている」と誤解された方がいたようなので、少し補足する記事を書きました。
*1 ちなみに、Winny特別調査員「2」というくらいなので、もちろんWinny特別調査員「1」にあたる製品もあります。そちらも自宅PCにインストールさせるソフトではあったのですが、自宅PCの中身をスキャンして、検査結果(P2Pソフトウェアの使用履歴とウィルス実行履歴)を専用サーバにアップロードするだけのものでした。それだけでも警察の職務質問くらいには不愉快ですが、ウィルススキャンの一種と思えばまだ理解できなくもないと思っていました。しかし、今回のソフトはウィルススキャンのレベルを明らかに越えています。
また、この日記に無関係と判断したコメント及びトラックバックは削除する可能性があります。ご了承ください。