じじのブログ

「NIKKEI安全づくりプロジェクト」シンポジウム　安心社会のための企業と生活者意識　

2010年12月17日（金）１３：３０～　日経ホール

基調講演　唐木英明　日本学術会議副会長・東京大学名誉教授
自己紹介と宣伝。娘さんが、電波少年のケイコ先生で今は浪速の浪曲師春野恵子。
１．安全の非常識
ｘ化学物質は少しでもあったら危険　○どんな化学物質も大量なら毒・少量なら無毒
量と作用との関係がある。大量なら何でも毒。食塩でも数百グラム取れば死ぬ。そこから減らしていくと、無毒性量になる。それ以下は毒でないが、安全をみてもっと減らして、閾値になり、一日摂取許容量になる。それを安全をみてさらに減らして、規制値になる。規制値を超えたから直ぐに害があるものではない。違反があったとしても閾値を超えないようにするため、厳しい規制になっている。この程度の量では、作用がない。
ｘ「複合汚染」の恐怖　○大量に飲む薬には相互作用の可能性があるが、少量の添加物や農薬では相互作用はない
これも量と作用の関係の誤解である。有吉佐和子さんの小説「複合汚染」で有名になった言葉であるが、学術用語ではない。添加物程度のものは元々が人に作用がないレベルのもの。ゼロとゼロが加わってもゼロである。ところが薬はもともと人に作用があるような大量を飲んだりするものであるから、これが組み合わさると相互作用の可能性があるので要注意。
ｘ天然・自然こそが安全　○野菜や果物は元々多くの種類の発ガン性化学物質を含んでいる。
Bruce Ames – Wikipedia, the free encyclopediaエイムズという学者が調べた結果、全ての野菜・果物は天然の農薬を含む。その結果、農薬と比較すれば、９９．９９㌫が天然農薬で、０．０１パーセントが残留農薬であることが分かった。植物は動けないので害虫から逃れるには毒を体に作って身を守る。それが天然農薬で、発ガン性科学物質も多くある。それと比べて、農薬は発ガン性のあるものは使えないし、分量もはるかに少ない。ただし、植物は複雑で、ガンを防ぐものも含むし、植物は食べたほうがよい。
ｘ化学物質は蓄積する。　○蓄積するような化学物質は食品添加物や農薬として使っていない。
そもそも、薬を我々が一日三回毎食後、などと飲む理由を考えてみよう。蓄積するなら一回飲めばそれで効くはずだ。われわれは体内に化学物質代謝酵素を持っており、直ぐに化学物質を分解してしまう。だから何回も飲まないといけなくなるのである。つまり、飲んだはしから分解されるので、蓄積するものではない。仮に蓄積するものなら、添加物に使えない。
ｘ中国産輸入食品は国産食品より安全性が低い。　○両者の安全性に差はない。
中国産輸入食品でまず話題になったのは、毒入り餃子事件であろう。これは残留農薬の問題でなく、農薬が犯罪に使われたものである。また餃子の問題ではなくて、袋に農薬がかけられたもの。犯罪で農薬が使われたのは日本でもある。しかし、世論が沸き立ち、他の中国産輸入食品も多数調べたので、残留農薬が検出される件数も多くなっただけで、比率では中国産が悪いというデータは無い。米国でも中国産を輸入して、かなり調べているが、日本産の食品のほうが少し成績が悪いというデータもある。多数を調べると必ずいくつかは悪いのも出るのである。中国産輸入食品は日本人が輸入するし、検査もしっかりしているから、国産と変わりが無い。あるところで、学校の給食では全てを国産に、とPTAが言い出して、オリーブオイルの国産が存在しないから輸入したいと了承を得るのに苦労したという話がある。そこで、土地の最高級料亭用の材料よりいい物を学校に入れるそうだ。こんなことより、本当のリスクは普通の食品での食中毒であり、喫煙・飲酒、にある。
２．非常識は本能の働き
・人間は直感的な判断（ヒューリスティック）をする
・それは知識と経験に基づくが、判断に「ひずみ」もある
・判断の傾向の一つ、男性的脳。カナダ・アルバータ大のハード博士　人差し指と薬指の長さを比べて、人差し指が短いと、胎児での男性ホルモンシャワーの強さがわかる。
・「聴かれて出る不安」、アンケートで無農薬野菜を望むかどうか聴かれ、知識を聴かれると思い、それを答えるから、実際の行動とは違ってくる。無農薬野菜はごくわずかしか作られていないのは、ユーザーがそれを重視しないから。
・判断で重視するのは順に、危険情報重視、利益情報重視、となる。安全情報無視、信頼する人に従う、という傾向がある。信頼されることが重要。
３．常識と非常識を近づける
・「安全を科学的に証明すれば消費者は安心する」と考えると間違う。
・事業者や行政に対する信頼がなければ安心できない。
・安心（感性）＝安全（科学）＋信頼（感性）
・正しい判断のためには、豊かな知識と経験が必要。
・山岸俊夫さんの「安心社会から信頼社会へ」で述べている。急激な社会変化があり、安心社会がなくなったが、まだ信頼社会になっていない。そのために、セコムも出来、消費社庁もできたが。

向殿政男　明治大学理工学部教授　
安全社会の実現のための企業活動。安全設計、死に方設計。企業の競争力は安全にあり、持続可能性、安全はコストではなく投資。未然防止と迅速対応が大事。安全ｘ信頼＝安心。

木村昌平　セコム取締役会長
インフラ化する安全ビジネス。社会にとって正しいことか、公正なことか、これが会社の判断基準。顧客満足度工場と社員満足度工場を目指す。安全・安心で質の高い社会を目指して、「きづな」作り。世の中の評価と違うところがある、十年間一度も作動しなくても、十年後にしっかり動くか。キッズデザイン協議会、ヒット商品も出ている。炊飯器で子供がやけど、蒸気が出ない炊飯器、ヒットしている。

野村裕　消費者庁消費者安全課長
消費者事故等に対する消費者長の取り組み。消費者事故情報の収集と開示、再発防止。「リスクの学習帳」

コーディネータ　白石真澄　関西大学政策創造学部教授

正しい理解、リスクコミュニケーション（あらゆるものにリスクあること、どこまで許容するか関係者間で合意する、これが目的）。しかし、いまだ成功していない。信頼関係が大事。某社の事故の開示と広告の姿勢で、かえって株価が上がった。経営の姿勢ーーー全部出すこと、不安を与えたから謝罪すること、事故時には一切隠さないこと、これが信頼につながる。
お風呂場の乾燥機の例。陶器メーカー、自社のものでない電気乾燥機だが、自社のお風呂場から火災を出さないために、全数調査。
油のエコナ。市場から消えている。元々はドイツの赤ちゃん用ミルクに含まれた成分が、発ガン性につながる可能性を調べようという話が日本に伝わって、騒がれ、あっという間だった。
コンニャクゼリーの判決で、ゼリーに通常の食品安全性を備えていると判断した、これはエライ。喉に詰めて4千人も亡くなる。もちが多い。もっと多くの助かった例があるはずで、それを調べれば防げるかもしれないのに、そのデータがない。また、おもちで赤ちゃんは亡くなっていない、これも調べれば。
メディアの役割が重要。

全体的感想　内容の一杯あったシンポジウムであった。この機会を与えてくれたのに感謝。中でもコーディネータの進め方の手際のよさには、まったく脱帽である。見事としかいいようがないものであった。事前の周到な準備がしのばれる。たぶん、一日二日のものではないだろう。
しかし、このような機会を、マスコミ上で多数の目に触れる形で継続して進めていただきたいものである。少しでも誤解が少なくなるように。

第七回デジタル・フォレンジック・コミュニティ２０１０in tokyo　「生存・成長戦略を支えるデジタル・フォレンジック」　ー事業リスクを低減する技術基盤ー
12月１３日（月）１０：００～
１０：００～　開会挨拶　辻井重男
ブレーンストーミングをやったが、我々の研究はシーズオリエンテッドだったという反省がある。包丁を磨いたから魚屋さん使ってよ、とはいかない。ユーザと供給側にギャップがある。安全と暗号の必要性は何だろう。分かりやすいのは認証、署名。でも認証ならアクセス制御があれば暗号は要らないのでは、との意見も。公開鍵認証でなくてもIDとパスワードで足るのでは、と。このような意識の違いがあるままブレーンストーミングやっていたのが、後で分かった。
言葉の定義は？　プライバシーとは何だ、これも人によって違う。日本は安全と安心とが解離。定義せずに結構使っている。暗号でも９０年代のほうが興味をもたれているが今は薄れている。

基調講演　丸山満彦　デロイト　トーマツ　リスクサービス株式会社
リスク新時代のためのＣＩＯの役割
低成長時代で日本マーケットの縮小。どの会社も成長できｒ時代から賢い会社が成長できる時代へ。グローバルではリスクマネジメントのためのＩＴツール利用が進むが、日本ではこれから、日本が取り残されている。
これからのリスクマネジメントはリスクインテリジェンス（賢くリスクヲとる）。リスクをとらないリスクもある。ハイリスク・ハイリターンでいくのか、ローリターン・ローリスクでいくのか。予防対策か事故対策か。などで戦略リスクへ取り組む。
リアルタイムでリスク把握するのがトレンド。
従来は言われたからやｒｙ。リスクインテリジェンスなＩＴ部門は役割が変化。ＩＴツールをうまく活用してリアルタイムで俯瞰、指標化し、適切な判断ができるようにする。　

省庁講演１　「プロファイリングによる心理学的アプローチとフォレンジック」　警察庁科学警察研究所捜査支援研究室長　渡邊知美
科学警察研究所　犯罪行動科学部　行動科学の視点から、捜査支援の研究、人質事件研究、プロファイリング研究。
捜査心理学と捜査の循環（情報、推論、アクション）
犯罪者プロファイリングの定義　犯罪捜査に役立つ情報を推定すること。分析目的（犯人像推定、事件リンク分析、地理的プロファイリング）、分析手法（類似事件の統計分析、行動科学的事例分析）
情報セキュリティにおける人的脅威対策に関する調査研究（ダウンロードできる）、社会安全研究財団、内部犯行の対策。
道具的な犯行　目的にあった手段として悪用　システム秋用と情報流出１　モラルの低さ
表出的な犯行　犯行自体が目的　システム破壊と情報流出２　
犯罪者をどう考えるか。多くの合法的活動のなかで一部非合法活動を行う、我々と違うものではない。性善説と性悪説とでは？　性善説　犯罪原因論　、性悪説　犯罪抑止論。犯罪原因論から、犯罪原因としての資質と環境との関係　両方がある。環境リスクを下げていこう。犯罪の抑止統制理論　社会的絆が形成されない時、内部統制が弱まったときに非行を行う。　結局は対策としては、どちらの立場でも共通してくる。
犯罪の意志決定　リスクと報酬のバランスを見ながら、犯行を行う。主観的には合理的な判断をする。
質問への回答など。（：犯人は主観的には合理的判断をしている。それが短絡的であったり、自分に都合よい解釈であったとしても。それを防ぐにはかなり日常的な働きかけとかが要るのか。）

クラウド・コンピューティングの法的課題とデジタル・フォレンジック　司会　小向太郎　パネリスト　寺元振透、北野晴人、白井喜勝、町村泰貴
・国境はどうなるかな、令状はどうなのかな。
・契約でかなり立ち入った内容を入れておかないとね。
・ベンダー倒産時のデータ消去は？　倒産法で今は普及主義なんだけど、その国も普及主義でないとね。
・結構契約で、かなり国内に置かせるものもある。
・契約だけでもダメなので、立法がいるのだろうね。
・クラウドベンダーが発信者と見なされる？　カラオケ法理に基づくＭＹＵＴＡ事件（不特定多数の解釈がわかりにくいね）
・刑事で国内犯でも、データセンターが国外の場合にはどうか？　司法共助でいくか、押収可か？　この前のグーグルからもらった件（先閣列島）？　（：会場からの応答はなかった。実際知っていても答えにくいかな）。

招待講演　「デジタル証拠の法的証明力を担保する情報セキュリティ設計」　間形文彦　
法的証明力　古くて新しい問題
ＴＳＡＰ各種セキュリティ要素技術を統合するアーキテクチャ設計法を確率するためのプロジェクト
情報セキュリティ設計のねらい　リスクとコントロールの最適化
デジタル証拠　証拠として扱われる「電磁的記録」
証拠方法、証拠能力（証拠として採用されるか）、証明力（裁判官を説得できるか）　が法的論点
先ず証拠能力、次に証明力が問われる。
事例研究を行っている。いくつかのケースで最適化の演算ができた。

12月14日１０：００～
省庁講演２　「企業における適切な営業秘密管理について」　経済産業省知的財産政策室石原徹弥
営業秘密管理指針（改訂版）　この４月に出た。
営業秘密と特許権との対比　利点と欠点それぞれある
非公開にして営業秘密として保護するのも選択肢
ダイキンの例　インバーター技術をブラックボックス化したチップで中国企業に使わせ、コストと保護を両立
営業秘密管理チェックシートは是非見てほしい。４０点ぐらいで認められるのもある。４０～６０点を目指して下さい。

国内事例報告１　「クレジットカード情報漏洩事件におけるデジタル・フォレンジックとＰＣＩ　ＤＳＳ」　瀬田陽介
事件があれば認定セキュリティ評価機関の監査を受けないといけなくなる。

国内事例報告２　「パナソニックの情報セキュリティとデジタル・フォレンジック」　パナソニック　情報セキュリティ本部長　金子啓子
安全な情報共有のためにも情報セキュリティ
グローバル共通ルール、性悪説であたる。
機密区分に応じた情報の取り扱い
１事業所ではなく、グローバルな事業グループが丸ごとも
個人所有ＰＣも含めた調査準備マニュアルの必要性
事後のフォレンジック調査にも限界
フォレンジック技術の悪用への懸念もある

「技術」研究会　「証拠保全ガイドラインの適用状況と今後の整備推進指針及びＩＳＯ同行等」
司会　上原哲太郎　講師　名和利男　松本隆　野本靖之

上原　ガイドラインとは何か、なぜ必要か？　デジタル・フォレンジックは電磁的記録が鍵となる。基本的なプロセスは現状保全とハードディスクの複製、内容解析。外国でのガイドライン　IETF　RFC3277など。今回のガイドライン　ファーストレスポンダが対象、相場感覚を情勢するベストプラクティス。２３ページになる。今回は第一版、まずは出して意見をいただきたかった、比較的早くに改善していきたい。

名和　「証拠保全ガイドラインの運用状況と今後の整備推進」　
・ガイドラインの現場での適用から得られた知見。
法執行機関を含めてアンケートをとった。
・今後の整備
使いかっての改善、より厳格な手続き、証拠物の特性を考慮、情報の可視化、理解しやすい用語
・ＩＳＯ動向など
ＩＳＯ／ＩＥＣ２７０３７　、ＪＴＣ１　ＳＣ２７　ＷＧ４など、（金融関係に徳化した標準はＴＣ６８　ＳＣ２など）、後半段階に入っている。２７００２と２７０３７との関連、２７０３７は２７００２の証拠保全の内容を定めるもの。目的の違いがいくつかあり、デジタルエビデンスは司法手続きを目的としたものではなく、もっと広い。ガイドラインも標準というより、最低線を示すもの、日本のと違うので要注意。

松本　企業活用ポイントなど
できるところから対応しよう。評価して改善しよう。手順をきちんとして効率的に進められるように。そのまま、十週・取得し、保全、これが基本。原本を書き換えない作業、正確な作業記録の作成、適切な証拠の管理。
証拠保管の一貫性（Ｃｈａｉｎ　Ｏｆ　Ｃｕｓｔｏｄｙ）

野本　警察におけるデジタル・フォレンジック
警察での対応の歴史
警察での対応の特徴　現場対応、予測不可能、司法手続対応
ＩＴの普遍化　誰でも、どこでも、しかもたくさん
インシデントレスポンス（ＩＲ）　ガイドラインの役割
基本的な知識の広がり　・なにはなくともデータ保全
一次対応の標準化　ガイドラインが役立てば　状況把握が最低限行われ、重要な証拠は保存済み、など期待される。
警察からお願いしたいのは　できることできないことをはっきりできないものか　昔とちがいレイヤーごとに業者が違ったり専門分化　レイヤーの壁が厚いしカプセル化　
　
討議　
・難しいという意見について　
松本　普段と違うスキルになるので難しい。考え方を変える必要あり。
名和　物でなく情報を保存する、というのが概念的に難しい。
・サーバーの捜査？　その時に警察として期待するのはフリーズ？企業は早く復旧させたいのだが。　
野本　非常に難しい。ケースバイケースで、できるだけ多くとしか言えない。
・レベル分け？
名和　入門編　他の人にさわらせないとか　現場保存、中　アプリ層で適切なコピー、高　物理層で適切なコピー
SI　スキルと違うのもあるのでは？　オペレータ、パソコンユーザーとかでやるべきことが違うとはならないか？
上原　ガイドラインの想定は、警察が入るインシデントで、保守者が対応するもの。
名和　サイバー空間の火消し。インシデントレスポンスが徐々に範囲を広げてきたが、気がつくとデジタル・フォレンジックがそこにあった。別に犯罪予防とかは想定していません。
・分かりやすさ
名和　２７０３５がある。２７０３７とも関連する。誰が何をしてどこに出すのか、が図になっている。これは参考になる。
野本　具体例を材料に初心者に教えるのが分かりやすい。フローチャートでもよい、その中に「人に聞く」とかあってもいい。
松本　個別のマシンごとのマニュアルも役立つ。
意見　ガイドラインの補足か、入門かがあってもいい。
・捜査機関との連携で不足なのは？
名和　どうやって保存したとか、連携で不足していると思う、たとえば証拠で所有権放棄などは初めて聞いた。
野本　一連のドキュメントCoC、これで最後は証言で反対尋問を経て証拠能力をもてる。
会場　作業記録の書式がほしい。私物パソコンの調査で、後から訴えませんとかが入った書式があれば助かる。
松本　プライバシーの担保は結構大変で、書式をきちんとする必要がある。
佐々木　サーバーのイベントログなどどこまでとか。
上原　Linuxではディストリビューションで場所も違ったり大変だと思う。止められないものでどうするか。
名和　別のところで政府の調達の問題で検討しているが、運用作業も大変になるし、結構妥協の産物でログの保存がどこまで、となる。
松本　最近はストレージ安くなった。どこまでとるか。ほしいログが出るのか。
野本　全部が理想的。どんな中身のログを警察が求めて、何のログかわかることが重要。ログの設定ドキュメントと一緒のほうがいい。
名和　松本　是非呼んで使って感想を。
野本　こういうことはしないように、の参考にも使ってほしい。

全体的な感想
世の中へかなりデジタル・フォレンジックが浸透したからかもしれないが、一皮むけたような感慨を持つのは自分だけだろうか？　余裕というか、周辺を見渡すような感がある。しかし一方ではガイドラインの整備など基本的な作業も継続して行われ、地に足を着けた活動もなされている。でもその中で法的位置づけの不十分な点を指摘されている。特にクラウドなど、国境の問題。新しい国際的枠組みがもしかして必要なのかもしれない。たとえば、インターネットを利用して起こる犯罪に対応するためのインターネット国際条約のようなものを期待できればいいね。