『米国に無かった「忘れられる権利」は日本にはあるの？』

『米国に無かった「忘れられる権利」は日本にはあるの？』

• 忘れられる権利

※

1. 日本の政治家は何故この問題に飛びつかないのだろう。利権が大好きな連中にとっては格好の商売道具になるのに。「忘れられる権利」はグーグルだけを屈服させれば終わる問題じゃない。新生審査と実施の確認を行なう公的機関が結局は必要になる筈だ。

※

http://www.gizmodo.jp/2015/07/post_17650.html

検索結果を削除できる「忘れられる権利」、まだ米国になかった。消費者団体訴える

2015.07.14 22:00

認めたくない過ちの1つや2つ、誰にでもあるでしょう。

昔なら時間とともに風化した話題が、今だとブラウザでの検索ひとつで出てきてしまいます。EUでは2014年にEU司法裁判所によって「忘れられる権利」が認められ、すでに25万件の削除要請がありました。しかし、その権利をまだ米国人は持っていませんでした。

そこで今回、米国の消費者団体コンシューマー・ウォッチドッグが、ユーザーがグーグルに対して検索結果の削除を要請する権利を求めて、連邦取引委員会に訴状を出しました。同団体は、削除の要請はネット上での言論の自由を阻害するものではなく、あくまでも人権の保護のためだと主張しています。

また、団体のサイトでは、検索によって過去を掘り起こされて人生を狂わされた人たちの例を出しつつ、「忘れられる権利を認めないことは不正と欺瞞に満ちたことだ」と、グーグルを激しく非難しています。

一方で、忘れられる権利は、その是非をめぐって、いまだに物議をかもしています。

それに、該当するページをEU各国のドメインから削除できても、米国や日本をふくむアジア圏のドメインからも削除されなければ、プライバシーの保護として不十分なので、EUとしては適用範囲を拡大させたいと考えているようです。

忘れられる権利は世界中に広がっていくのでしょうか。今回の訴状に対し、連邦取引委員会がどのような判断を下すかが注目されそうです。

※

残留リスクの承認とは？

残留リスクの承認とは？

審査用語は面倒で本質を見失わせてしまう。その手伝いをするのが愚かしい審査員とコンサル。何故コンサルか？。審査機関との癒着。

ＢＳＩジャパンに限らないが契約審査員は審査機関に片足突っ込んで審査をやりながらコンサルをやっている。ＢＳＩジャパンの場合は、癒着を生む背景として、契約審査員がコンサルをやり、営業もやることがある。ＢＳＩは紹介料を払うし、不合格にも出来ないと狂った圧力がまかり通る。このコンサルは100社を紹介しているので全部通せという訳だ。

コンサル専業なら癒着は回避できそうだが、認証取得を看板に掲げたら一定の関係を取らない訳にはいかないだろう。

※

さて、残留リスク。

リスクは組織が保有するリスクを経営陣が理解するのは当然のこと。経営者の必須事項の一つ。最大関心事。規格に記載があろうが無かろうが経営陣は最新のリスク状態、今後の見通し、過去の管理実績とトレンド。

国家安全保障会議に相当する「」リスクマネジメント会議が定期不定期に開催されるし、重要なデータはボードメンバー間で常に共有されていなければならない。

ところが、

全体のリスクマネジメントとの関連のない独立した唐突な会議体で承認が行なわれたり、単にリスクアセスメントの台帳に経営者承認欄を作って印を押させているところがある。

稚拙な審査員はＯＫですとやってくれる。リスクマネジメント全体の中に正しく位置づけられているかどうかは見ていない。ＢＳＩジャパンの場合は時間効率最優先だから、直接の審査範囲の周辺まで目を配ることはしない。

• 全社リスクマネジメントの中の位置づけを文書で確認せよ！

事業継続性を脅かす幾つかのリスクを構成するものだ。業態により比重は変わるが、無関係とすることは出来ないだろう。

※

リスクの定量化評価

方便の分析手法を使うと定量化評価は出来ない。大中小とか１～４のレベル評価とかでは子供のままごとリスクアセスメントになる。

単純で分かりやすいのは損失額評価。

幾つかの企業はチャレンジしている。しかし、単純でもないし分かりやすくもない。

※

『国際事業化したハッカー集団？犯罪委託者は中国筋か？』

『国際事業化したハッカー集団？犯罪委託者は中国筋か？』

• Symantec
• Morpho
• Javaゼロデイ脆弱性
• Backdoor.Jiripbot
• 東欧のハッカーグループ
• 中国人グループ

※

1. 個の程度のレポートでは本当のことはよく分からない。公表できない部分もあるのかどうか。国家が直接手を染めると世間が通らないからハッカーの拠点は外国に置きたいと中国なら考えるだろう。人も送り込んでいるかもしれない。彼らも直接はやらないで適当なサーバーを踏み台にする。
2. 委託者は国家レベルもあれば企業レベルもある。情報を漏洩させてから当該企業を脅すのは金にするのに時間が掛かる。委託者から手付金と成功報酬をもらうほうが手っ取り早い。悪のネットワークが国を越えて出来上がっているかも。守るほうは単独企業、一つの国サイバー犯罪担当、国際間の協業は難しいから、殆ど有効な守る手段は無さそうだ。
3. 国連の協議は中国が全て止めてしまうだろう。まるでゲームにならない。

※

http://japan.zdnet.com/article/35067130/

アップルやMSなどIT大手を2年前に攻撃したハッカー集団、シマンテックが詳細を報告

Zack Whittaker （ZDNet.com） 翻訳校正： 矢倉美登里 長谷睦 （ガリレオ） 2015年07月
09日 12時13分

　2013年に一連の有名なハッキング事件でApple、Facebook、Microsoft、Twitterなどを標的にした攻撃者は、姿を消したどころか、さらに大規模になっているようだ。

　Symantecによる新たな調査から、同社が「Morpho」と呼んでいるグループが、2013年のハッキング事件に関与していたことが判明した。

　2013年に起きた一連の攻撃は、それまで公表されていなかった「Java」のゼロデイ脆弱性を利用し、シリコンバレーなどを拠点とする大手企業の従業員を標的にしたものだった。最初に攻撃されたAppleとFacebookはいずれも、自社のネットワークから盗まれたデータはなかったと述べているが、複数のマシンからマルウェアを駆除する必要に迫られた。その台数は明かされていない。

　グループの正体は不明のままだったが、この攻撃の前に相次いだハッキングを受けて中国人グループに目を向ける向きが多かった。ただし当時から、「40社以上」が、「企業秘密の盗難」を試みる東欧のハッカーグループの標的になっているとの指摘もあった。

　Symantecの調査によると、一連の攻撃以降、同グループは20カ国以上の49の組織を攻撃したが、その多くは米国と欧州の拠点だったという。

　このハッカーグループは、自作マルウェア（Mac向けは「OSX.Pintsized」、Windowsマシン向けは「Backdoor.Jiripbot」）を利用することで、価値の高い情報を求めて製薬会社や法律事務所を標的にすることに成功してきた。

　調査によると、金銭上の利益のために活動するこのハッカーグループは、依頼に応じて企業を標的にしていると考えられ、調査では「企業は真剣に受け止めるべき」と警告している。

※

『ビーエスアイ（ＢＳＩ）英国本社は立派だけど日本法人は残念？』

bsi. Pointglobalログイン画面

『ビーエスアイ（ＢＳＩ）英国本社は立派だけど日本法人は残念？』

• https://pga.bsigroup.com/

※

• 情報セキュリティの審査はもはや最低レベル？

1. 日本ＩＢＭの人が徐々に一線を退いてレベルが下がってきた。
2. 其れよりも問題なのは、一般企業での経験もそこそこにＢＳＩジャパンに入社した世代が中核・中堅になってきたこと。彼らは、はっきり言えば一般企業では負け犬。実務経験も満足に積まず、特に管理職としての現場を全く理解していないから、感覚的に頓珍漢が多い。
3. 審査用語を駆使しているから戸惑うが深みがない。共感もない。よく見れば只のパフォーマンスをやっているに過ぎない。
4. もっと酷いのは所謂文科系の人間が殆どＩＴを理解しないまま審査していること。ＩＴ経験者がゼロではないが若いころの一部所の経験だけではセキュリティ審査を満足にやるのは難しい。
5. どうしても、ＢＳＩで審査をやるなら審査員は選ぶべきだ。一般企業でＩＴ関連部門の管理職経験者を選ぶべきだろう。40歳とか45歳とかになる前にＢＳＩに参加した人は避けるべきだ。ＢＳＩでの経験は事務処理がスムーズになるだけでセキュリティの本質問題にライトを当てることはない。

※

• 認証発行の売上生産性が組織目標と勘違いしているクレージーな会社だ。

1. 何が何でも不適合を出さない。
2. 英国本社で不適合を出さない妙な組織として問題になってグループ内監査が実施されたが、その後も本質は何も変わっていない。
3. 不適合の件数だけは少し増やしているようだが、内容は表層的で直ぐに対応できるものに止める。是正確認は1年後でＯＫのものばかり。
4. クライアントは従来ＯＫとされたものがＮＧでは納得できない。審査の連続性を要求するのは当然だが、ＢＳＩは其れを完全に受け入れている。
5. 是正は人のためならず。しかし、ＢＳＩの足元を見るクライアント、ＢＳＩが甘やかし過ぎたクライアントは受け入れない。ＢＳＩのクレージーな経営陣は是正を先送り。

※

1. 問題を指摘しないで観察事項だけで済ませば、手間は掛からない。グッドポイントを連発すれば顧客は喜ぶ。セキュリティ問題が発生しても審査が悪いからと表立ってクレームする企業はない。いい加減な審査を続けることは売上利益に貢献するだけでリスク無し。
2. ＪＩＰＤＥＣのお目付けが形式的には存在するが形式だけを踏まえれば逃げることは可能。初期段階では規格を開発した審査機関にＪＩＰＤＥＣが口を挟むのは至難だった。
3. ＢＳＩジャパンは日本の企業のセキュリティ水準を引き下げてしまった。いまのあ、重石になっている。ＪＩＰＤＥＣなりＪＡＢに問題発見に統計的アプローチの知恵があれば10年前にＢＳＩの問題を指摘できただろう。一般の審査機関がもう少し準備しないと認証取得は難しいとコメントする中で、こういう解釈が出来るから内ならＯＫですとＢＳＩが次々クライアントを獲得している。

※

1. ＢＳＩの中の有能で真面目な審査員は何をしているか？。紙に残すものはミニマムにして、純粋なコメントで大事な話をしてクライアントと自分を納得させている。酷い話だ。コメントはいつか忘れ去られ、文書化された詰まらない内容（特に問題ありません。不適合事項はありません。改善が見とれられます。さらなる改善に取り組んでください。望まれます。経営者のリーダーシップは特筆すべきものです。などなど）だけが残って企業を蝕む。
2. ＢＳＩの審査員によくやっていると褒められて喜んでいるほどお目出度いものはない。取り合えず認証は欲しかったとしても本気の改善、堅固化は自分でやらなければいけない。その時のパートナーとして誰を選ぶか。少し考えれば直ぐに分かることでしょう。

※

1. 以前ベテランの審査員がやってきた。審査件数の実績は一番ありますと自慢していた。3年間のレビューをやってくれた。日付印の押し忘れが目立つと話していた。
2. 初歩的な審査を繰り返してきた証拠だと気付かないようだ。日付の押し忘れが目立つならより本質的な指摘をしなければいけないのに、表層的な審査を繰り返していただけだ。これでは本質的な改善には繋がらない。
3. 3年間のレビューをやるなら自分のレビューをやってはどうかと思う。
4. この審査員は別の部署では、教育･周知の方法論の改善について見直しはどのようにすべきか聞くと規格はそんなこと要求していないと言い出す始末。
5. こんなクレージーな審査員がベテランであちこちで審査してきたわけだからどれくらい罪深い想像するだけで恐ろしくなる。この人は黙って聞いている人は皆無知だと思っているんだろうか。
6. このベテランは張ったりだけは効く。体育会系の乗りとはったりで、地位も上がったようだが、それが、ＢＳＩジャパンの実力ということだろう。

※

1. 健全な審査を受けて正しく成長していくには、審査員も変える、審査機関も変える、組織の担当者も変える。素人では困るから複数の人材を作ってローテーションさせるべきだ。相互牽制もできるようにしておくべきだろう。
2. 審査機関とコネクションのないアドバイザー契約も必要だ。審査会場の隅から見ていてもらうことだ。

※

• 以上は世間話を纏めたもの。どれくらい真実を述べているかは、審査会場に足を運んで自分の目と耳で確認してください。全くの嘘か、全くの真実か、その中間か？。
• 駄目な審査機関が大きな顔をしている理由の一つは駄目な受審組織の存在。本末転倒していることが非常に多いらしい。足元を見られているから残念な審査も受け入れている。危険ドラッグの中毒患者と同じですね。

※