@IT メールソリューションセミナー2009イベントレポート
技術と法律で迷惑メールを包囲せよ
宮田 健
@IT編集部
2009/4/3
迷惑メール規制の過去・現在
日本では迷惑メールを法律面からどのように規制してきたのだろうか。迷惑メール規制の歴史は長く、約10年前から行われているという。具体的な法律として挙げられるのは「特定電子メールの送信の適正化に関する法律」(特定電子メール法)および「特定商取引に関する法律」(特定商取引法)の2つが挙げられる。この2つの法律ではそれぞれ送信規制、広告規制を行うものであるが、前者は総務大臣が、後者は経済産業大臣および事業所管大臣が管轄しており、それぞれの出自が異なっている。
| 図3 特定電子メール法と特定商取引法の比較 |
攻撃手法の変化で電子メールのセキュリティ対策は進化した。では、法律はその変化に追従できているのだろうか。2008年12月に施行された「特定電子メールの送信の適正化等に関する法律」では、迷惑メールの現状に合わせる形で改正が行われている。同時に改正された「特定商取引に関する法律及び割賦販売法の一部を改正する法律」でも迷惑メールに対する既定があり、主な改正内容は以下のような内容だ。
- オプトイン方式による規制の導入
- 一定の場合を除き、あらかじめ送信に同意した者に対してのみ広告宣伝メールの送信を認める
- 法の実効性の強化
- 送信委託者への報告徴収・立入検査・必要な措置の命令、法人に対する罰金額の引き上げ
- 国際連携の強化
- 外国執行当局への必要な情報の提供
注目すべきは1.の「オプトイン方式による規制」だ。広告や宣伝メールはメールのタイトルに「未承諾広告※」の文字列を入れることで合法的にメールを送ることができたが、改正法では受信者の事前の同意(=オプトイン)が必要となる。そして重要なポイントとして、いつ、どのような形で同意を取ったかを記録する必要があることだ。送信者は同意を取ったつもりでも、受信者はそう思っていない可能性もある。同意の取り方にも気を付けなくてはならない。
「同意」の取り方、注目すべきは省令・ガイドライン
では、「クリーンな同意の取り方」は法律で制定されているのだろうか。
法律は独特の表現を用いているため、具体的にはどのようなことが問題となるのかが分かりにくい。そこで松前氏は「省令、ガイドラインに注目すべし」という。具体的な事例を基にした解説資料として、特定電子メール法では「特定電子メールの送信の適正化等に関する法律施行規則の一部を改正する省令」「特定電子メールの送信等に関するガイドライン」、特定商取引法では「特定商取引法に関する法律施行規則の一部を改正する省令」「電子メール広告をすることの承諾・請求の取得等に係る『容易に認識できるよう表示していないこと』に係るガイドライン」が公開されている。
| 【参考】 総務省 電気通信消費者情報コーナー 迷惑メール対策 http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail.html 経済産業省 『電子メール広告をすることの承諾・請求の取得等に係る「容易に認識できるよう表示していないこと」に係るガイドライン』 の公表について http://www.meti.go.jp/press/20081001002/20081001002.html |
このガイドラインでは、例えばWebフォームなどを利用して同意を取得する場合で、同意する旨のチェックボックスにあらかじめチェックを入れておく「デフォルトオン」の方法を用いることに問題があるのか、という事例が取り上げられている。これについては「許される場合もある」という。ただし、デフォルトをオフにした状態での同意取得のほうが、よりユーザーの意思が明確に反映されるため、可能な限りデフォルトオフの状態で入力させることを推奨すると述べられている。
また、同意の取得に当たって、会員登録画面にメールアドレスを入力させたあと、さらに届いたメール内にあるURLをクリックさせるなどの「ダブルオプトイン方式」で行う必要があるのかという事例については、「メールマガジン購読などの簡便な利用を求められている場合は必要ないが、なりすましの防止を確実にしなくてはならないようなサービスではダブルオプトインが望ましい」と松前氏は述べる。このような具体的な事例の判断がガイドラインにて紹介されているので、個人情報を管理するようなサービスを検討している場合は参照するとよいだろう。
このガイドラインで注目しているのは、オプトインが重要視されるに当たり、「その同意は本当に受信者の真意に基づくものなのか」という点である。法をどのようにしてシステム運用していくかは重要な課題だ。
すぐそこにある未来の脅威を法律でどう規制するか
ここまでは迷惑メールをどのように法規制できるかという内容だったが、過去、現在を語った松前氏は、想定しうる未来の問題に対し、法律でどこまで対応できるのか、海外での事例を含め紹介した。
迷惑メールにはフィッシング詐欺を狙うものが含まれる。フィッシングメールは増加の一途をたどっており、特定の企業のみを狙うスピア・フィッシング(標的型フィッシング)も登場している。しかし、これに対する法規制は現時点では存在していないという。窃盗とはものを中心として考えられている法律であるため、フィッシングによるID、パスワード情報などの“情報窃盗”には現行法上では罰がない。
そのため、現行法ではフィッシングを著作権法や不正アクセス禁止法で対応せざるを得ない。2005年に有罪判決が下された、初のフィッシング摘発事例では、Yahoo!に似せて作った“Yafoo!”というサイトを運営し、誤認してアクセスしたユーザーのパスワードを不正に取得したことに対し、著作権法違反および不正アクセス禁止法違反で逮捕、起訴したものであった。
またボットネットワークによる攻撃について、法律はどのように対応できるのだろうか。これも現行法ではボットを規制する法律は存在しない。日本では総務省と経済産業省がサイバークリーンセンターを立ち上げ、ボットに関する啓発活動を行っている。アメリカでは利益を目的としたボットネットワークを作ったことで、2005年に逮捕された事例がある。これは迷惑メールを送信する行為を超えた「犯罪」と認識され、連邦コンピュータ詐欺乱用防止法違反とCAN-SPAM法(商業的な製品やサービスの商業広告、または販売促進を主要な目的とする電子メールメッセージを規制する法律)違反で、57カ月の禁固刑が課せられた事例がある。
松前氏はインターネット関連の法律問題について、「問題の性質上、法規制だけでは問題を解決することは困難」だと述べる。現状では迷惑メールをフィルタリングするためのソリューションやボットに感染しないためのウイルス対策ツールなどを必ず導入し、技術的な対策も不可欠だとした。
 |
 |
3/3 |
| Index | |
| メールソリューションセミナー2009イベントレポート 技術と法律で迷惑メールを包囲せよ |
|
| Page1 メールの脅威を“攻撃側の視点”で見ると 稚拙だからこそ、だまされる |
|
| Page2 迷惑メールは法律で規制できるのか いったい何が「迷惑」? 迷惑メール規制の背景にある難しさ |
|
 |
Page3 迷惑メール規制の過去・現在 「同意」の取り方、注目すべきは省令・ガイドライン すぐそこにある未来の脅威を法律でどう規制するか |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
