2007/06/20
■[セキュリティ][P2P]プライバシー侵害の幇助者 / Winny特別調査員2
ニュースを見てこんなに腹が立ったのは久しぶりです。このソフトは、明らかな害悪だと思います。
以前からOne Point WallなどのWinny対策製品を販売しているネットエージェント社が、「Winny特別調査員2」という製品を発表しました*1。以下は、ネットエージェント社のサイトに掲載されている、この製品の特徴です。
Winny特別調査員2(ネットエージェント)
http://www.netagent.co.jp/winny_check2.html
Winny特別調査員2は、「調査員CD」を会社が従業員に配布し、従業員が自宅のPCにCD-ROMをセットすることで、会社関係のファイルを自動的に見つけ出し、ファイル回収専用サーバにそのファイルをアップロードします。また、自宅PCからはファイル復旧ソフトを使っても、ファイルが復活されないよう完全に削除します。
上記ページによると、この「Winny特別調査員2」のCDを自宅のPCにセットすると、オートランで以下の動作を開始するようです。
- メール、オフィスドキュメント等をスキャンし、勤務先企業が指定したキーワードを含むファイルをリストアップ
- リストに挙がったファイルを、勤務先企業が設置したファイル回収サーバに自動アップロード
- リストに挙がったファイルを、復元不可能な形で完全消去
どうですか? 会社のPCならともかく、個人所有のPCに入ってるファイルを無断でアップロードかつ削除するって……。しかも、ウィルスに感染したソフトだけを検査するわけではなく、特定のキーワードが含まれるかどうかという単純な条件で、ファイルをリストアップするようです。
こんなことを、もし会社が社員に「強制」した場合、明らかに個人のプライバシー侵害になりそうな気がします。具体的にどういう法律が該当するかは詳しくないのでよく分かりませんけど、以下の日本国憲法第35条と照らし合わせて、強要罪あたりが成立するのではないでしょうか。
憲法条文・重要文書 | 日本国憲法の誕生
http://www.ndl.go.jp/constitution/etc/j01.html#s3
〔侵入、捜索及び押収の制約〕
第35条 何人も、その住居、書類及び所持品について、侵入、捜索及び押収を受けることのない権利は、第三十三条の場合を除いては、正当な理由に基いて発せられ、且つ捜索する場所及び押収する物を明示する令状がなければ、侵されない。
2 捜索又は押収は、権限を有する司法官憲が発する各別の令状により、これを行ふ。
◇第三十二章 脅迫の罪(伊藤塾)
http://www.itojuku.co.jp/37i/jyoubun_keihou/5310.html
(強要) 第二百二十三条 生命、身体、自由、名誉若しくは財産に対し害を加える旨を告知して脅迫し、又は暴行を用いて、人に義務のないことを行わせ、又は権利の行使を妨害した者は、三年以下の懲役に処する。
2 親族の生命、身体、自由、名誉又は財産に対し害を加える旨を告知して脅迫し、人に義務のないことを行わせ、又は権利の行使を妨害した者も、前項と同様とする。
3 前二項の罪の未遂は、罰する。
もちろんネットエージェント社もそんなことは承知していて、社員に強制しようとは考えていないでしょうが、先ほどのページを更に下まで読み進めていくと結構恐ろしい事が書いてあります。「Winny特別調査員2の活用例」の中にある、持ち出しファイル回収プログラム(サンプル)というリストがそれです。以下に、そのリストを転載します(太字は吉澤による)。
事前準備
- 調査員CDのパラメータ決定(キーワード・自動アップロード・削除機能など)
- ファイル回収サーバの設置
- CD作成 (*isoイメージのみ購入の場合)
対象者の指定
- 役員・従業員・従業員の家族・派遣社員(派遣元との調整)・退職者・下請け先・下請け従業員
- 実施ルールの策定
- 告知文書の作成
- 組合との調整(組合がある場合)
- 派遣元との調整(派遣社員が対象の場合)
- 暴露ウイルス感染者を発見してしまった場合の行動指針の決定
行動
- 全社ミーティングでの発表
- ファイル回収実施要綱の掲示、連絡
- CDの配布
- 暴露ウイルス感染者を発見してしまった場合の出動
後処理
- 回収ファイルの社内ファイルサーバへの移動
- 誤回収ファイルの返却
そんな「調整」が行われている状況で、もし一社員の分際で「Winny特別調査員2」の実行を拒否したら、一体どんな目に遭わされるかと思うと……普通は実行してしまいますよね。状況としては強制してるも同然なのに、強制していないと言い張るつもりなのだとしたら、もうヤクザと同じような態度ですよね。それは。
これはこのソフトに限った話ではありませんが、希望する社員のみにセキュリティ対策を実施する、なんてことは普通あり得ません。それは「誰も責任なんて取りたくない」という理由で、セキュリティ対策がエスカレートするのを止める人が誰も現れないからです。
もし会社の中で社員が情報漏洩事件を起こしたら、普通は何段か上の上司まで連帯責任でしょう。自分が首になる可能性を考えれば、どんな無茶な命令が来ようが、とても自分のところで対策を止めるわけにはいかない。むしろ強化しなくてはいけない。もし上司から「任意でセキュリティ対策を実行してください」くらいの命令が来ても、自分の部下には「絶対実行しろ」と言いたくなってしまうのではないでしょうか? まして、相手が派遣社員や下請け従業員だったら、そういう行為にどれだけ歯止めがかけられるかは怪しいところです。
こんな文章を書いてる僕でも、もし仮に部下が居て、会社の上層部からこのソフトが配布されたら、口では何と言ってても「出来たら(僕のために)実行して欲しいなあ……」くらいの雰囲気は醸し出してしまいそうな気がしますし。それはまぁ、人の弱さとして仕方ないような気もします。
だからこそ、一度会社で配布されたら強制的に実行せざるを得ず、結果として大変なプライバシー侵害に繋がりかねないこのソフトは、決して販売すべきではない害悪なソフトだと僕は思っているわけです。
----
こういうとき、日本にEFF(電子フロンティア財団、Electronic Frontier Foundation)みたいな組織があれば!と本当に心から思います。もしこのソフトがアメリカで発表されたら、EFFが黙っていないでしょう……発売停止まで行かなくても、このソフトを強制された哀れな人の駆け込み寺にはなってくれそうです。
しかしまあ、そんな無いものねだりをしていても仕方がないので、僕個人としては、身の回りでこういう動きがあったら出来るだけ反対していこうと思います。あとは、このソフトのせいで、実際に不快な目に遭う人が少ない事を祈るばかりです……。
関連ページ:
「データ持ち帰ってません」がホントかどうかを調査(スラッシュドット ジャパン)
http://slashdot.jp/security/article.pl?sid=07/06/19/2344239
ネットエージェント、今度は「データ持ち帰ってません」がホントかどうかを調査(ITmedia エンタープライズ)
http://www.itmedia.co.jp/enterprise/articles/0706/19/news084.html
----
(2007/06/22追記)
下のトラックバックの中で「吉澤はWinny特別調査員2を違法だと考えている」と誤解された方がいたようなので、少し補足する記事を書きました。
*1 ちなみに、Winny特別調査員「2」というくらいなので、もちろんWinny特別調査員「1」にあたる製品もあります。そちらも自宅PCにインストールさせるソフトではあったのですが、自宅PCの中身をスキャンして、検査結果(P2Pソフトウェアの使用履歴とウィルス実行履歴)を専用サーバにアップロードするだけのものでした。それだけでも警察の職務質問くらいには不愉快ですが、ウィルススキャンの一種と思えばまだ理解できなくもないと思っていました。しかし、今回のソフトはウィルススキャンのレベルを明らかに越えています。
また、この日記に無関係と判断したコメント及びトラックバックは削除する可能性があります。ご了承ください。
muziyoshiz.jpまでどうぞ。
これインストールする側が「どのようなファイル名を対象としているか」はチェックできるんですかね?<br>もしできなかったとしたら、上の人がDSC〜とかを指定しておけばPCに入っているデジカメ写真なんかも勝手にアップロードされちゃうってコトですか・・・おおこわっ!<br>会社のデータ被害より、派遣などで頑張っている女性のプライバシー被害のが深刻な問題な気がします。スケベ上司なんて死ぬほどいますし。
確かに、言われてみて少し気になったので、Winny特別調査員2のサイトを改めて見直してみました。<br><br>サイトの説明によると、チェック対象のファイル形式は<br><br>対象ファイル形式<br> Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Access<br> リッチテキスト, 一太郎, PDF, HTML, Lotus-123, Outlook Express (.eml, .dbx) ほか<br><br>とあるので、どうやら画像や動画が自動アップロードされる心配は無さそうです。<br>それと、(ファイルの中身ではなく)ファイル名をチェックするという記述はなかったので、<br><br>>上の人がDSC〜とかを指定しておけばPCに入っているデジカメ写真なんかも勝手にアップロードされちゃう<br><br>って心配はなさそうです。まぁ、さすがにそこまで杜撰なチェックはしないでしょうね……。
上でふれられている法律論ですが、違う視点からも少し補足させていただきます。もっとも、法律論は答えがあってないようなものの上に、事実関係によって結論が異なったりするものなので(とくに労働法分野)、参考意見程度に考えてください。また、これは私個人の見解であり、他の意見も大いにあり得ることをご了承ください。<br><br>まず、憲法35条の関係ですが、この憲法31条から39条までの規定は、基本的に国家の刑事手続に関するものです。つまり、たとえ警察といえども令状もないのに捜査しちゃいけないよ、という趣旨の条文ですので、刑事手続とは関係のない雇用主と従業員のようなケースは完全に埒外だと思います。普通、刑事手続とは関係のないプライバシー云々というときは13条を持ち出すのが一般的です。<br><br>また、憲法自体も基本的には国家と国民の関係について定めているものなので、一企業とその従業員のような関係については、原則として直接適用されないものと判例は考えています。(三菱樹脂事件判決)。
続きです。また、強要罪の関係ですが、強要罪における脅迫行為は、相手の自由な意思決定を阻害するほど強力で、生命、身体、財産などに危害を加える旨の告知があり、その告知が正当な権利行使とは評価できないようなものを指すと思われます。したがって、たとえば交通事故の被害者が、誠意の見られない加害者に対して、こちらの要求通りの金銭を支払わないときは裁判を起こすと宣告する場合は、相手の意思決定を事実上強要してはいますが、正当な権利行使を宣言しているだけなので、脅迫、強要とならない可能性があります。(というか、これが強要罪になるなら、普通の弁護士さんは全員強要罪の犯罪者になってしまいます)<br><br>このことからすれば、正当な理由もなく、クビをちらつかせ、いやがっている従業員に無理矢理ソフトの使用を迫れば強要罪が成立する余地があると思いますが、業務上の秘密情報保護のためなどの正当な理由がある場合で、その手段が従業員に多大な負担をかけるようなものでない場合には、正当な権利行使とし強要罪などにならない可能性の方が大きいように思えます。(上記の補足記事などを見ると、手段として相当なものであるように思えます)<br><br>また、おそらく、多くの企業では労働条件として、企業秘密についての守秘義務を課していると思いますし、これに違反した者を懲戒解雇する旨の規定を設けているところが多いと思いますので、どちらかというと従業員には業務機密漏洩に関し、企業に協力する義務が契約上課されている可能性が高いのではないかと思います。つまり、協力要請は強要罪の言うところの「義務がない行為を行わせる」には該当しない可能性も大いにあり得るのではないかと思います(もちろん、これは各会社の労働契約、労働条件によって結論が異なります。)
ただ、労働法(とくに労働基準法)との関係では、違法となる余地があるのではないかと思います。参考までに、労働者のプライバシーが問題になった判例を簡単にまとめているページのリンクを張っておきます。<br><br>http://kobetsu.jil.go.jp/kobetsu/book/96.html<br><br>今回問題になっているソフトの利用強制などは、このページにある電子メールの監視に準ずるのではないかと思います。<br><br>要するに、このソフトの使用によって送信される情報が秘匿性の高い情報なのか、ソフトの使用が業務上必要なことなのかどうか、送信された情報のうち目的と無関係な情報が濫用されるおそれがあるかという観点からみて、問題がない場合には正当化される余地がありますが、問題がありそうな場合には使用を求めることは違法の評価を受けるのではないかと思います。<br><br>また、根本的な問題として、たとえ利用を強制したとしても、自宅にパソコンを複数台所有してそのうちの1台のみにソフトを使ったときや、自宅にパソコンはありませんととぼけられた場合など、このソフトの利用強制にはいくらでも抜け道があると考えられます。要するに、このソフトの利用には会社の要請に素直に従った人間のプライバシーが侵害され、嘘をついて従わなかった者が得をするという、そういった構造が内在していると思われます。<br><br>こう考えると、そもそも利用を強制すること自体に合理性がなく、会社の調査に協力してくれた者を優遇するなどの誘導によってソフトの利用を求めるなどの手段が望ましいと思われます。したがって、より好ましい手段について検討することもなく、いきなりソフトの利用を強制した場合などは、プライバシーに対する配慮が欠けているとして、違法の評価を受ける可能性が高いのではないでしょうか。(あくまで私見です)<br><br>そして、その利用が違法であるとの評価を受けたときには不法行為として企業は損害賠償責任を負うことになります。なお、あくまで私見ですし、実際の事実関係によって法的な評価は変わってきますので、参考程度に考えてください。たとえば、重要情報に触れる立場にある人間などは契約上、このようなソフトの利用に協力しなければならない等の条項が挿入されるケースが今後は増えるのではないかと思います。このような場合には適法な行為と評価されることが多くなると思います。<br><br>長文になってしまい失礼しました。
コメントありがとうございます。法律に詳しい方のご意見は参考になります。<br>ただ、ここ数日ちょっと体調を崩してしまっているので、今はあまり頭が働きそうにありません……。少し体調が良くなってからじっくり読ませていただこうと思います。<br><br>それと、(僕の予想に反する形で)何度かサイトのコメントスパム判定が働いていたようです。お手数をおかけしてしまい、申し訳ありませんでした。<br>僕も、コメントの名前欄は必須だとは知らなかったもので……注意書きを追加しておきました。
そもそもwinny使う事自体ダメでしょ。<br><br>そういうと<br>なんだかんだ正論ぬかして正当化するだろうけどw
>>そもそもwinny使う事自体ダメでしょ。<br>このソフトを使ったらWinnyを使って無い人にも影響があるだろ<br>そんなことも想像できないアホなの?
(1人目の)匿名の方のコメントを一通り読み終わりました。<br>確かに今回の件は、ソフトの利用強制の合理性と、そのソフトが取っている手段の妥当性を照らし合わせて、個別の事例毎に裁判所で判断してもらうしかないのかもしれませんね……。<br>Winny特別調査員2くらい乱暴な手段を取るソフトでも、(全社員はともかく)扱う情報が重大な社員についてはソフトの強制も妥当だと判断されるかもしれませんし。<br><br>以下の日記に、コメントを読みながら調べた情報(「三菱樹脂事件判決」は何か?とか)のリストを掲載しましたので、僕同様、法律に疎い方はご参照ください。<br><br>無印吉澤 - Winny特別調査員2について書いた日記への補足コメント<br>http://muziyoshiz.jp/20070630.html#p01
>勤務先企業が設置したファイル回収サーバに自動アップロード<br>例えば、企業名簿.PDFというPDF形式の市販小説があったとします。<br>そこへWinny特別調査員2に「企業名簿」というキーワードが設定されていた場合、<br>企業名簿.PDFをアップロードしてしまう。<br>しかも、企業名簿.PDFが回収サーバで購入者以外に読めてしまうため、<br>立派な著作権法違反が成立します。<br>この場合、アップロードした違法者は誰になるんでしょう?<br><br>違法性について<br>このソフトを強制する理由が会社にありません。<br>このソフトの想定している利用状況ですが、<br>>会社関係のファイルを自動的に見つけ出し〜<br>この会社関係のファイルって何でしょう?<br>会社で使っているファイルなら、自宅へ持ち出せてしまってる会社の情報セキュリティに問題があります。<br>この段階で、ソフトの利用強制の合理性がありません。<br>また、Winny特別調査員2はパソコン側のファイルを削除してしまうので、<br>不用意なファイルの持ち出しにか対応できません。<br>この段階で、満ちだした(もしくは持ち出す)可能性のある人全員が対象になってしまうため、「やましいことがことがなければ、自室を公開しろ」と言ってるようなもんです。<br>一般にパソコンは個人使用の場合、ネット取引のパスワードなどが管理されているされているため、住居の自室や浴室と同じプライバシーが守られるべきと考えられます。<br><br>揶揄して表現すれば、<br>「女子トイレに覗きが出たので、監視カメラを付けました」<br>ってとこでしょうか。<br><br>むしろ、ファイル回収サーバからの情報漏れの可能性やソフト利用強制の違法性など、<br>Winny特別調査員2を採用する企業は、いっぱいリスクがありそうです。
仮に必要のないファイルを削除した場合の保証なんて考えていないでしょうね。<br>それにしても会社と社員の信頼関係に釘を刺すような行為は好きではないな。<br>(まあ、もともとないけどね)