Status quo of Secure and Fortify Electronic Data Act (SAFE Data Act; H.R. 2577 [112th])
Contact: takayuki.kawamoto@markupdancing.net
ORCID, 
Google Scholar, 
PhilPapers.
First appeared: 2011-08-29 00:00,
Modified: [BLANK],
Last modified: 2014-04-11 15:01.
はじめに
メアリー・ボノ・マック議員 (@Facebook, @Twitter, Wikipedia) は、Sony Playstation Network の個人情報流出事件に際して民主党のG・K・バターフィールド議員(Wikipedia)と連名で Sony の完全子会社である Sony Computer Entertainment America の平井一夫(SCEI 代表取締役CEO; Wikipedia)氏に質問状を送ったり、アメリカ合衆国下院のエネルギー・商業委員会に属する商業・製造業・貿易小委員会 (Subcommittee on Commerce, Manufacturing, and Trade) の委員長として Sony に2011年5月4日の公聴会へ出席を求めた(が一旦は断られ、6月2日に SNE のティム・シャーフ社長が公聴会へ出席した)という活動が紹介されている。これらに加えて、マック議員は Secure and Fortify Electronic Data Act (H.R. 2577; 通称 "SAFE Data Act"; Government Printing Office, OpenCongress でも草案は公開されている) という草案 (discussion draft) を2011年6月13日に公開し、データセキュリティに関する法律の整備を提唱している。本稿では、このマック議員による草案が提出されるまでの経緯や提出後の動向を紹介する*1。
*1州法レベルの法律・法案については、以下の各ページで紹介されている。
- "Security Breach Notification," LawServer (November 7, 2008).
- http://www.lawserver.com/security-breach-notification
- "State Security Breach Notification Laws," NCSL (October 12, 2010).
- http://www.ncsl.org/default.aspx?tabid=13489
また、第112議会(2011年1月3日から2013年1月3日まで)に限って紹介すると、他にも以下の法案が提出されている。
- Data Accountability and Trust Act (DATA; H.R.1707 in 112th Congress)
- Data Security and Breach Notification Act of 2011 (S.1207 in 112th Congress)
- Personal Data Privacy and Security Act of 2011 (S.1151 in 112th Congress)
- Cybersecurity Legislative Proposal (The Whitehouse)
- Best Practices Act (H.R.611 in 112th Congress)
- Consumer Privacy Protection Act of 2011 (H.R.1528 in 112th Congress)
- 参照: "Breach Notification And Privacy Laws" by George Jenkins on July 20, 2011 at 08:58.
なお、ここでは Sony の情報流出事件は取り上げない。マック議員が商業・製造業・貿易小委員会の委員長として日本でも名前を広く知られるところとなり、SAFE Data Act 草案の提出に至る一つの要因ともなった、PSN をはじめとする Sony グループ企業の(個人)情報流出事件そのものは、もちろん大きな事案である。そして、この事件の背景として、2010年1月22日に George Francis Hotz(ハンドルは geohot。2011年6月27日付の話題として、Facebook に入社したとのこと)が自身のブログで Playstation3 のハッキングに成功したと公表し、2011年1月2日に Sony Computer Entertainment America が Hotz ら数名を DMCA、コンピュータ詐欺、著作権侵害でカリフォルニア州北部地区連邦地方裁判所に提訴したこと等を遠因として説明できるだろう。しかし、現在は Sony グループ企業からの情報流出にまつわる混乱が表面的には収まりつつあることに加えて、Sony グループ内部のマネジメントにまつわる問題あるいはアノニマスや LulzSec の活動という話は、SAFE Data Act に限らず他の通知関連法案が提出されてきた経緯も考慮すれば、寧ろサイドストーリーとも言うべきものであろう。
日本に限らず、情報セキュリティに関する法制や規格といった話題はITゼネコンや大学の研究者あるいはセキュリティ系のコンサルタントだけが詳しく言及したり手がけている感があり、一般企業で情報セキュリティマネジメントや個人情報保護を担当する人々の実務とはかけ離れているようにも見える。しかしながら、国内の法律や JIS の詳細管理策を追いかける「訓詁学」をやっているだけでは、天下り式に降りてくる制度へどうやって対応するのかという発想に終始する、いわば「認証監査対策としてのマネジメント運用」となるか、せいぜい事前にパブリックコメントの募集をきっかけとして検討を始めるくらいの動きしかできなくなる。本来、社内の個人情報保護に関する方針や情報セキュリティポリシーは、法律があればそれに準拠することは言うまでもないが、それらは飽くまでも一つのベースメントであって、「認証を受けるための、あるいは国内に限ったコンプライアンスのための」必要条件にすぎないと見做して構築するのが望ましいだろう。方針ないしポリシーは、それを掲げる本来の目的からすれば、企業活動の中で個人データや情報資産を適正に管理・利用するための十分条件として確立されてこそ、初めてポリシーとしての役割を担いうると考える。そのためには、日本国内の法制度や管轄省庁あるいは業界内の規範に関する動向を追いかけるだけでなく、個人情報、プライバシー、資産、リスクという概念について、日本に限らず様々な国情に基づく法案や制度を照らし合わせれば大いに参考となる筈である。もとより、マーケットが国内に限定されていない企業においては、このような視野で自社のポリシーを構築することはリスクマネジメントの点からも必須であろう。業容や業態にかかわらず、広いマーケットでプレイするからには(それだけ稼ぐチャンスも大きいので)それなりの責任が伴って当然である。マーケットの拡大だけ享受しておいて、責任に関してはアジアの田舎でだけ通用する法律や工業規格に従っていればよいなどという甘えは許されない。いまや中学生でも世界中をマーケットとして小遣い稼ぎに奮闘できる時代であり、彼らはUIを英語表記にして顧客層を広めたならば英語でのクレームやフィードバックに対応しなければならないことを知っており、中学生の方が上記で述べたポイントをよく理解している可能性もあろう。
SAFE Data Act のステータスと、提出に至った動機
では SAFE Data Act (H.R.2577 in 112th Congress) のステータスから述べると、2011年7月18日に小委員会での投票を通過して(PDF)、8月下旬現在はアメリカ合衆国のエネルギー・商業委員会に委ねられている("Referred to Committee")。下院以降のプロセスにまで進むどうかは分からないが、Joshua Tauberer さんの運営する GovTrack というサービスで追跡してくれているため、SAFE Data Act についてステータスを表示するウィジェットを掲載しておく(ページの左上)。但しデータの更新は手動らしいので、エネルギー・商業委員会のサイト(Twitter, Facebook)も併せて確認するのが望ましい。
SAFE Data Act の草案が小委員会で回覧されていることをはじめて報じたのは、恐らく 2011年6月13日に Josh Smith 記者が NationalJournal に投じた記事だろう。この記事の中では、[...] "Mack held hearings last month on enormous data breaches at companies like Sony and Epsilon, she promised to introduce a bill to protect consumer information" と述べられており、マック議員が草案を立てた動機が SCEI や Epsilon によるデータ流出事件にあったことを指摘している。また、マック議員の公式サイトでもデータ流出事件が続いていることを取り上げて、次のように文書を結んでいる。
These eye-popping data breaches only reinforce my long held belief that much more needs to be done to protect sensitive consumer information. Americans need additional safeguards to prevent identity theft, and the SAFE Data Act will help to accomplish this goal.
[河本訳:これらの目を見張るようなデータ流出は、消費者に関する機微の情報を保護するためになすべきことがたくさんあるという、私の長年におよぶ信念を強めただけだ。アメリカ人はアイデンティティ(認証情報)の盗難を防止するための保護策をもっと必要としており、SAFE Data Act はこの目標を達成するのに役立つだろう。]
この草案がいつからどのような過程を経て作成されたのかは不明だが、マック議員のサイトには "Congresswoman Bono Mack’s efforts build on legislation passed by the House in 2009 but not acted upon in the Senate"(マック議員の法制化に向けた活動は2009年に下院を通過したが、上院では可決されなかった) という一節があって、2009年からP2Pアプリケーションにおける個人情報の保護を目的とした草案("Informed P2P User Act"; H.R.1319 in 111th Congress)を起案し2009年12月8日に委員会を通過するところまで進んでいたことが分かる。もちろん、SAFE Data Act と Informed P2P User Act は中身の違う法案であって、"Most importantly, it reflects the changing landscape of data breaches and data security since that time."(特に [SAFE Data Act で] 重要なのは、データ流出やデータセキュリティにまつわるその後の状況の変化を反映したことである)と自身でも述べている。このため「情報の保護」という漠然とした意味では "build on legislation" に2009年から取り組んできたと言えないこともないが、やはりこの一節は政治家に特有のパフォーマンスであろう。
Sony グループや Epsilon のデータ流出事故・事件は3月末から4月にかけて発生している。そのあと5月の初旬には公聴会を開いているため、4月中は公聴会を開くための折衝や準備をしていただろうから、SAFE Data Act の草案は5月から6月上旬にかけての短期間でまとめられたと推測できる。もちろん、後述するように他の議員も与野党を問わずデータ保護に関する法案あるいは情報流出事故が発生した際の通知に関する法案を提出していたので、それらを(ステータスとしては全てペンディングではあるが)参考にしたかもしれない。
付記: SAFE Data Act の概要(2011-08-25)
SAFE Data Act の内容をご紹介しないまま議論するのも不親切なので、以下に概要を述べておく。この内容で僕が理解しているという前提でご覧いただきたい。また以下に部分訳や要約を述べているリソースは2011年8月25日時点の文言なので、誤解のないようお願いしたい(つまり小委員会から委員会へ通った後の草案を参照しているので、後の節で紹介するそれぞれの批評が書かれた時点で筆者たちが読んでいた文言とは違っている可能性がある)。
H.R.2577 個人情報を含むデータを保護しセキュリティ侵害が発生した場合に国家規模で通知を与えるための合理的なセキュリティポリシーと手続きを要求して、消費者を保護する。
第一節 短縮タイトル
この法案は "Secure and Fortify Electronic Data Act" または "SAFE Data Act" と称する。
第二節 情報セキュリティ要求
- (a) セキュリティポリシーと手続き全般
- (1) 規準
- 法案成立後に委員会がとるべき手続き。州際通商を営む主体がその商業行為にかかわる個人情報を所有している場合、その主体の名においてデータを運用する契約を交わした情報ブローカーや第三者も同様、それらの者には個人情報を取り扱い保護するための情報セキュリティ実務に関して合理的な情報セキュリティポリシーと手続きを導入させる。そして、その場合に以下の諸点を考慮する。
- (A) その者が営む行為の規模、性質、範囲、複雑さ。
- (B) 個人情報を保護する管理的、技術的、または物理的な管理策についての現状。
- (C) そのような管理策を維持するためのコスト。
- (2) データセキュリティ要求
- 上記のような規準を要求するにあたり、個人情報の量、種類、性質、そして機微の度合いを考慮して、ポリシーや手続きは以下の諸点を含まなければならない。
- (A) 個人情報の収集、利用、売却、その他の普及方法やメンテナンスに関するセキュリティポリシー。
- (B) 情報セキュリティのマネジメントについて責任を負って連絡先となる責任者または個人を特定すること。
- (C) 個人情報を運用する個々のシステムについて、あらゆる合理的に予見可能な脆弱性を特定したり評価するためのプロセス。これには、それぞれのシステムのセキュリティ侵害を恒常的に監視するしくみが含まれる(と解する)べきである。
- (D) (C)で要求されるプロセスで発見されたあらゆる脆弱性を軽減するために、セキュリティ実務やネットワークあるいはソフトウェアにあらゆる点で変更を加えることが許された、予防手続きや修正手続き。
- (E) 個人情報を含む電子的な形式のデータを破棄するにあたって、それらを完全に削除したり、あるいは個人情報を読み取り不可能か判読不能とするような変更を加える手続き。
- (F) 個人情報を含む紙の文書や、その他の非電子的なデータを廃棄するための標準的な方法。
- (b) データの最小化要求 - 第(a)節の事項を要求される者は、その者が運用する個人情報の量を最小化する計画と手順を確立しなければならない。これらの計画と手順は、事業の目的にとって合理的な理由に基づいて必要とされるか、あるいは何らかの法律を遵守するために必要とされるだけの個人情報を保有するように与えられなければならない。
- (c) 特定のサービスプロバイダに関する例外 - 電子的な通信を提供するサービスプロバイダが中間的あるいは一時的に通信内容を保管する第三者については、上記を適用しない。
第三節 セキュリティ侵害の発生における通知と他の要求
- (a) セキュリティ侵害が生じた場合の要求 - 州際通商を営み、商業活動に関する個人情報を含む電子的な形式のデータを所有または保有しており、それらのデータを含むシステムにセキュリティ侵害が発生したことを発見した者は、不当な遅滞なく以下を実施しなければならない。
- (1) セキュリティ侵害に関するしかるべき連邦の法執行機関に対して、その侵害が違法行為によるものではないと確定していない限りは通知すること。
- (2) 更なる侵害や認められていない公開を防ぐために必要な処置をとること。
- (3) 個人情報にアクセスされたか知られ、侵害の影響を被ると推定される個人を特定すること。そして、
- (4) (3) で推定される個人を特定し、そのセキュリティ侵害によって成り済ましや他の違法行為のリスクがないと合理的に決定できない限り、遅くとも48時間以内に以下へ通知しなければならない。
- (A) エネルギー・商業委員会、および
- (B) 可能なかぎり迅速に、(c)節で述べる各所と、このようなセキュリティ侵害の結果として個人情報が知られたり識別される、合衆国の市民あるいは居住者である個人
- (b) 通知の特例
- [要約] (1) 第三者と (2) プロバイダも、セキュリティ侵害を発見した場合には通知が求められる。また、(3) 被害者が5,000件以上の場合は主要な信用調査機関にも通知することが求められている。
- (c) セキュリティ侵害の通知や公表を行うタイミング
- [要約] 影響を被る個人に対する通知は、セキュリティ侵害を発見してから遅くとも45日以内に開始する。捜査の妨げになったり、国家規模のセキュリティを脅かすと判断される場合は、個人に対する通知を各法執行機関の要請によって遅らせることができる。
- (d) 通知の方法と内容
- (1) 直接通知 [要約]
- (A) 方法
- (i) 書面
- (ii) デジタル署名を使った電子的な通知手段
- (B) 内容
- (i) 影響を受ける個人情報の説明
- (ii) 費用がかからない連絡先電話番号
- (iii) 費用がかからない信用情報の入手先
- (iv) 主要な信用調査機関に対するフリーダイアルの番号と住所
- (2) 代理通知 [要約]
- 1,000件以下の場合は代理通知ができる。その通知内容と方法は、影響を被る個人が連絡できるメールアドレスを公表すること、ウェブサイトを運営する場合は目立つように告知すること、マスメディアに公表すること。それぞれの個人は無償で、当該の事業者の連絡先と、当該事業者に関する過去の消費者信用情報を受け取ることができる。
- (3) 規準とガイダンス [割愛]
- (e) 侵害が起きた後の他の責務 [割愛]
- (f) データ形式に関する推定
- (1) 一般的な議論 - 個人情報が暗号化されている場合は、成り済ましなどのリスクがないと判断する合理的な根拠になる。或る条件の元ではそうではないという事実によって反証可能である。
- (2) エネルギー・商業委員会は、成り済ましなどのリスクがないと推定できるだけの暗号化技術を指定できる。この場合も、或る条件の元で反証可能である。暗号化技術をガイダンスとして指定するにあたっては、関連業界や消費者団体あるいは情報セキュリティの専門家に相談しなければならない。
- (g),(h),(i) [FTCにおける公表や言語の選択等に関する事項なので割愛]
第四節 適用(範囲)と施行
[要約] 既存の法律との関係や適用範囲などに関する細則。着目しておきたいのは民事罰 (civil penalties) だろう。第二節と第三節それぞれに違反した場合は、11,000ドル(2011年8月の為替レートでは90万円弱)を超えない量を単位とし、遅延した日数を乗じて算出する。また総額としては第二節に関連する全ての違反の総額、第三節については一つのセキュリティ侵害に関する全ての違反の総額が、それぞれ500万ドルを超えてはならないとされる。
第五節 用語の定義
(1) セキュリティ侵害、(2) 委員会(連邦取引委員会のこと)、(3) 電子的な形式のデータ、(4) 暗号化、(5) 成り済まし、(6) 情報ブローカー、(7) 個人情報、(8) 公的記録情報、(9) サービスプロバイダ、がそれぞれ定義される。
- この中で特に「個人情報」の定義を見ると、(A) 個人の名前またはイニシャル、姓、住所、電話番号、そして以下の中から個人に関する一つ以上の組み合わせが個人情報である。
- (i) 社会保険番号
- (ii) 運転免許番号、パスポート番号、軍属番号、またそれらに類する、政府から発行されたアイデンティティを証する番号
- (iii) 金融機関の登録番号、クレジットカード番号、デビットカード番号、そして金融機関への登録情報にアクセスするために必要なセキュリティコードやアクセスコードあるいはパスワード
- (B) 公的記録情報(公共の用に供するため、合法的に作成された記録。個人については前科、出生記録、婚姻記録、死亡記録等がそれに当たる)は個人情報に含まれない。
第六節 他の法律との関係、準拠改正 [割愛]
ただし、この法律は第二節と第三節について類似する州レベルの法律に優先する (preemption) と明記されていることに注意したい。
第七節 効力
この法律は施行された日から1年後に効力を生ずる。
SAFE Data Act に対する批評
日本の報道メディアで初めてこの草案を報じたのは、恐らく13日付のロイターの記事であり、僕の知る限りオリジナルのソースから報じていた国内メディアはロイターだけである*2。また、今日に至っても日本語のリソースとして参照できるページは殆どない。そもそも国内のセキュリティ関係者は原発事故、改正刑法、マイナンバーといった国内の話題だけで手一杯だったようでもあり(末端の技術者は主に LulzSec やアノニマスの動向を追いかけるのに忙しかったようだが)、あの「セキュリティホールmemo」においてすら SAFE Data Act は取り上げられていなかったようである。このようなわけで、ここでは主に海外のリソースを参照する。
*2なお、海外のブログやメディアについても言えることだが、他のサイトやプレスと「提携」して引き写しを公開しているようなページまで考慮するつもりはない。またクロスポストされたブログ記事もオリジナル以外は無視する。本稿は検索結果を数え上げるだけで何らかの結論を引き出すような目的で書いているわけではないからだ。同じ理由から、Twitterのタイムライン検索を利用して自動的にRTしたページや、単純なアグリゲーション・コンテンツ、あるいは他サイトの記事へ無益な1行コメントと共にリンクしているだけのブログ記事等も考慮しない。
なお、リソースの検索について付記しておく。今回はページの検索で DuckDuckGo と blekko を使っている。最近の Google は、各所で指摘されているように検索結果の品質に問題があり、僕も Google 側からアルゴリズムの「(自称)チューニング」に関して何らかの発表がない限りは、常用するに値しない代物になってしまったと判断している。その一例になるかどうかは不明だが、Google で「"SAFE Data Act" site:twitter.com」と検索すると、下の画像が示すようにマック議員本人の Twitter アカウントが最後に出てくるし、おまけに僕が使っていた Twitter アカウントは上位2番目になっている。自分の発言が上位に来ていることを嘆くのもおかしな話ではあるが、おかしいのは事実だ。
さて、6月13日に草案が回覧に付されたことが報道された後の反応として早々と上がっていたのが次の短評であった。
Excellent. My US readers should call their local Member of Congress and tell them that they need to support this bill. For too long companies have had a free ride when it comes to this issue. It’s time that they’re held to a much higher standard. In fact it’s beyond time.
[河本訳:素晴らしい。アメリカから読んでくれているみなさんは、自分が住む選挙区の連邦議会議員に会って、この法案は支持する必要があると言うべきだろう。これまで長らく、企業はこうした問題が生じたときにタダ乗りしてきたと言える。これは、彼らにもっと高い基準を保たせるチャンスであって、実は既に遅すぎるくらいなのだ。]
上記のように評したカナダの人物からすると、データ流出事故を引き起こした外部からの侵入者はもちろんのこと、企業側の対応にも問題があるという見方が伝わってくる。実際、SCEI は商業・製造業・貿易小委員会が2011年5月4日に開いた公聴会を欠席し、そのあとで本稿の冒頭でも述べたように翌月になってようやく公聴会へ出てきている。また、消費者への告知を最初に行ったのが自社のブログだったという点にも6月の公聴会では批判が上がった。要するに、こうした情報公開や通知のしくみが整っていないせいで、情報流出が起きても「メールで一斉に通知するよりも、まずはブログで小出しに開示しつつ反響を見る」といった対応の是非を問うときの基準がなく(是非については一概に言えないが、基準がないのは困る)、個々の事案に際して指摘したり検討するだけにとどまってしまう恐れがある(なお Sony 関係者らを呼んだ公聴会は、元々は SCEI からの情報流出という個別の事案について Sony を責めるために開かれたのではなかった)。更に、個別に公聴会で吟味するとして、何らかの基準となる考え方を聞くために招致したセキュリティ企業の参考人によっては、それぞれ考え方が異なる可能性もある。それでは参考人そのものを替えて再び公聴会を開く必要が生じるかもしれず、時間と公聴会運営予算の浪費とも言える。
アメリカの企業が起こしたセキュリティ事故・事件が報じられる際に、彼らの対応が場当たり的に見えたり、周りで論評している人々の見解も専門家から素人まで色々あるように見えるのは(個々の企業では一貫したルールに基づいていても、企業ごとにルールが異なるため、外から見れば場当たり的に見える。そしてこれは周りであれこれ論じている人々にも言えることだ)、基準となる連邦レベルのルールがないからだと言いうる。現状ではそれぞれの州が強力な州法を立てていることは事実だが、州際通商あるいは国際的な市場を相手に個人情報を扱う企業に対しては州法ごとに要求が異なる場合もあり、「パッチワーク」と揶揄されることも多い。もちろん本稿では JIS 規格のような任意のルールではなく法案を取り上げているため、ルールの内容については業界の規格よりも良し悪しを慎重に議論する必要があり、ましてや連邦レベルの法律は州法に優越するため、更に既存の州法の拘束力を帳消しにしないかどうかも検討すべきだろう。しかし、情報流出に際して州法だろうと連邦法だろうと企業がどのような行動をとるべきかという問いについて、基準となる何らかのルールが必要なのかどうかという点まで疑うべき強い理由はないだろう。もし、企業が何らかのしかるべき行動をとるべきであるという前提を受け入れるなら、まさにそう主張するための根拠として何らかの規範を予め確立しておくことは当然だし、それは立法府の責任そのものである。
次に、SAFE Data Act が slashdot.org で取り上げられた際のコメントを読むと、まず草案の Section 3. "REQUIREMENTS IN THE EVENT OF A BREACH OF SECURITY" について取り上げられている。ここで該当するセクションを簡単に説明すると、商業活動に関連する個人情報を含む電子形式のデータを所有し州際通商に従事する者が、そうしたデータを含むシステムのセキュリティが侵害されていることを発見した後で遂行するべき要求事項を掲げている。それらの要求事項を一つずつ挙げてゆくと、(1) (A) セキュリティの侵害を発見してから遅くとも48時間以内にしかるべき執行当局へ通知する、(B) それが従業員等の不注意によるものだと判明したら訂正も48時間以内に行う、(2) セキュリティ侵害の規模や原因を見積り、更なる侵害や漏洩が発生しないような対策を採る、(3) (2) で採った対策を完了してから遅くとも48時間以内に (A) エネルギー・商業委員会へ通知し、(B) 影響を被る合衆国市民あるいは住民それぞれに対して速やかに通知する。このような内容となっている。
slashdot.org では「どうして利用者にまず通知せよと書かないのか」という疑問が示され、"Notifying *customers* is the one thing they can do that might actually make a difference"(「利用者」に通知することこそ、彼らが何かを実際に変えうる唯一の手段だ)と書かれたり、すぐ公開すると別の攻撃者にも知らせることになるという意見については "You are asserting that vengeance is more important than security. I disagree"(そのような意見はセキュリティよりも報復を優先すると言っているに等しく、同意できない)と言われている。しかし、どちらの意見を採るのであれ、基本的なポイントとして押さえておく必要があるのは、この通知は議会や執行当局にセキュリティ対策を教えてもらったり脆弱性を直してもらうために要求されているわけではないということだ。勘違いしているコメントも見受けられるが、連邦議会の委員会や FBI にスキルがあるかどうかなど問題ではなく、この法案の主旨でもない。ここで取り上げている「通知 (notification)」はソフトウェアの脆弱性情報を公開する話とは別であり、被害者としての企業がとるべき指針について論じているのである*3。だからこそ、自社内での瑕疵やミスによって起きた「事故」の場合には事件ではないと訂正せよと書かれているのだ。
*3概して、ソフトウェアやウェブアプリケーションの脆弱性については、開示のタイミングや開示方法(攻撃方法のサンプルコードあるいはコンセプトや脆弱なコードの該当箇所まで開示するかどうか)については、情報セキュリティの専門家によって意見が分かれる。フルディスクロージャを支持する場合は、ケルクホフスの原理に代表されるとおり、ウィークポイントや攻撃方法まで広く知られても大丈夫であるようにプログラムを改良すべきであるとの結論になる。例えば、僕も利用している GnuPG (Pretty Goog Privacy/OpenPGP/RFC4880 の一つの実装)に準拠した暗号メールクライアントは、プロトコルやソースコードが全て公開されていて、公に知られていないのは僕自身が作成した秘密鍵のパスフレーズだけであって、悪意のある攻撃者にも通信方法や詳しい仕様がたやすく手に入る。所詮、たとえプロプライエタリなソフトウェアであってもバイナリファイルを逆アセンブラするのは子供でも可能なので、特殊なポートやプロトコル(当然、RFCは無視する)を使って非公開のアプリケーションを開発し限られた人だけ専用線を介して使うといった対策でもしない限り、仕組みを隠した通信は難しいだろう。もちろん、それだけでは完全に隠したことにならない。この秘密ソフトを配布した先で端末を他人に使われる可能性もあるし、受け取った人物がソフトを横流ししたり奪われたりする可能性もあれば、秘密の通信回線に使っているケーブルを経路上の知らない箇所で誰かに分岐されているかもしれない。そもそも、我々がいま使っている暗号方式にしても、大きな桁の素因数分解に時間がかかるという経験的な事実(現在は、まだ経験的に時間がかかると知られているだけである)にたまたま依存して設計されているだけであって、この時間を短縮できない(あるいは多項式時間内で任意の素因数分解を解く方法が存在しない)という数学的な証明はなく、技術の進展によって解析に要する時間がどんどん(これまた経験的に)短くなっているのは、本稿に関心をもって、ここまでまだ読んでいるのだから、ご承知だろう。
セキュリティ事件やデータの流出が発生したときに企業へ開示を義務付けることは、総論としては好ましいしそうすべきであると言える。ブルース・シュナイアーは、その理由として三つ挙げており、研究の役に立つという理由はともかく、残りの二つを検討してみよう。まず、当該のサービスを利用する全てのエンドユーザはデータが失われたり盗まれた場合の潜在的な被害者であるため、通知はセキュリティの実務として望ましいと言われている。ここで「通知 (notify)」とか「公開 (disclose)」と言っているのは、字義的にはエンドユーザであれ管轄省庁であれFBIであれ誰でも知りうる状態にすることであろう。したがって SAFE Data Act のように、まず当該企業を管轄する連邦レベルの委員会へ報告し、対策してからエンドユーザへ通知するという優先順位をつけると、マック議員自身が SCEI に公聴会への出席を断られた事例と同様に、「対応中である」としてエンドユーザへの情報公開が後回しにされてしまう可能性がある(もちろん、真っ先にエンドユーザへ通知しても違法ではないのだろう)。したがって、シュナイアーの見方では恐らく SAFE Data Act のように段階を追ってセキュリティ・インシデントを公開するのではなく、当局への通知とエンドユーザへの告知を同時にやれと指示する方がよいのだろう。実際、SAFE Data Act が対象としている企業の業容は特定されておらず、ノースダコタの自営業者であろうとニューヨークの巨大企業であろうと一律に規制の対象となるが、セキュリティ侵害の証拠が48時間以内に揃った時点でエンドユーザへの告知と当局への通知を同時に行えないというのは想像し難いであろう。業容が小さければどちらへ通知するにしても大した手間ではなかろうし、巨大企業であれば人が幾らでもいるというわけだ。業容に応じてそれぞれ責任をもって対処すればよいことであり、個人情報を預かるエンドユーザが200人であろうと200万人であろうと、メールで通知すればよいことだ(さもなければインターネット企業として事業を営む資格などなかろう)。
公開法を企業へ義務づけるべきもう一つの理由は、次のような推測である。"the potential cost of the notification and the associated bad publicity naturally leads companies to spend more money on protecting personal information -- or to refrain from collecting it in the first place"(通知にかかる潜在的なコストと自社に対する悪評を考慮すれば、個人情報を保護するために企業がもっと費用をかけたり、あるいは最初から個人情報の取得を控えるようになるのは当然だ)。この点については、さきほど見た shashdot.org のコメントにも「通知するまでの所要時間が長すぎる」というものがあり、昨今のセキュリティ侵害が大規模かつ "sophisticated" であることを考え合わせれば、企業には SAFE Data Act が課している内容を越えた厳しい条件を課してもよいと言いうる。ただし攻撃が "sophisticated" であるということは、そもそもセキュリティ対策にまともなオーダーの費用を投じていない企業においては、データ漏洩の証拠固めや対策を講じるべきフォレンジック技術者やセキュリティ技術者がいないという明白な現実を指し示している。したがって、通知に要する条件を必要以上に厳しくすれば、経済活動なり起業家のクリエイティビティやデザイン志向経営とやらの自由を侵害するという、利いたふうな口応えも起きるだろう。
このように、企業へセキュリティ侵害の通知を義務づけることは総論としては望ましいが(もちろん、Chicago Sun-Times の記事のような、或る意味では軽率あるいはマッチョな動機でそう言っているわけではない)、実際にそれを制定した場合の効果として、企業が個人情報の無駄な取得を控えたり、セキュリティ対策の予算にマネジメントレベルでコミットするかどうかと言えば、単に情報漏洩保険への加入件数が増えるだけであったりするかもしれない。
そしてシュナイアーは、SAFE Data Act についても当てはまる懸念として、それが連邦法であることに着目している(シュナイアーが論じている記事は2006年に公開されているので、彼は実際には Data Accountability and Trust Act (DATA; 最新版は H.R.1707 in 112th Congress) を念頭に置いている)。
Even worse, this federal law pre-empts the 23 existing state laws -- and others being considered -- many of which contain stronger individual protections. So while DATA might look like a law protecting consumers nationwide, it is actually a law protecting companies with large databases from state laws protecting consumers.
So in its current form, this legislation would make things worse, not better.
[河本訳:もっと酷いことに、この連邦法は既に制定されている23の州法を出し抜いてしまう。そして、他の点を考慮すれば、それら州法の多くは [ DATA よりも] 強く個人情報の保護を要求している。すると、DATA は合衆国レベルで消費者を保護してくれる法律に見えるかもしれないが、実際には、消費者を保護する州法から巨大なデータベースを持つ企業をこそ保護しているのである。
したがって現状のままでは、このような法律を制定することは事態を悪化させるだけであろう。]
この指摘は確かに SAFE Data Act へも当てはまり、現にマック議員と共に Sony へ質問状を送ったノースカロライナ選出の G・K・バターフィールド議員ですら、7月27日に THE HILL で公開されたブログ記事において、SAFE Data Act は一部の個人情報しか保護しないと批判しながら、"Passage of the bill will not make consumer data safer. Instead, it preempts important state laws in this area and leaves a weak federal one in their place"(この法案の文言では、消費者のデータを安全にすることはできない。それどころか消費者を保護する重要な州法を出し抜いてしまい、弱い連邦法だけが残るという結果になる)と指摘し、"We should not preempt stronger state laws for the sake of uniformity"(我々は、画一性を実現する [などという空疎な目的だけの] ために強力な州法を出し抜くべきではない)と結んでいる。
付記(2011-08-22)
他方、7月20日にアメリカ商工会の政府担当 vice president である R・ブルース・ジョストンがマック議員とバターフィールド議員に送った公開書簡では、逆に "This lack of full preemption could create a confusing patchwork of requirements and enforcement regimes that could undermine the effectiveness of this legislation"([州法に対して] 完全に優越していないと、要件と執行体制がパッチワークのようになってしまい、この法律の有効性が損なわれるだろう)と指摘している。
付記(2011-08-29)
更に、マーケティング・リサーチ協会のディレクターであるハワード・フィンバーグ(Google+ Profile)は、FTCが「個人情報」の定義を拡張・変更する権限を有するという点について疑義を表し、「消費者から情報を収集して分析するような組織の従業員を混乱させるものだ」と述べている。
おわりに
本稿は SAFE Data Act の提出をきっかけとして、データセキュリティや個人情報保護に関するアメリカ連邦議会の動向や関連分野からの批評を紹介した。現状では SAFE Data Act には議論の余地が多く、先に述べたとおり企業側へ何らかの責任を要求すべきであることは(総論としては)確かであろうと思うのだが、アメリカの州法と連邦法の関係という特殊な事情も考慮すれば、現行の州法を出し抜いてしまいかねない連邦法が制定されると事態は余計に深刻となろう。SAFE Data Act がペンディングのまま第112議会で消え去るのかどうかは分からないが、他にも数多くの草案が出ては消えている現状を見ると、連邦議会における動向は SAFE Data Act に限らず注視し続ける必要がある。
追記:2014-04-11 15:01
2014年の時点でコメントできることは多くない。GovTrack で確認できるように、この法案は既にステータスが "Died (Referred to Committee)" になっている。加えて、そもそも起草したメアリー・ボノ・マックさんは2012年に再選を果たせずに議会を去り、現在はコンサルティングをしているようだ。