データセキュリティ法の迷走 - 情報漏洩はなぜなくならないのか？

著者名：ダニエル・J・ソロブ/ウッドロウ・ハーツォグ/小向太郎

勁草書房（2024/01発売）

• ISBN：9784326451302

内容説明

情報漏洩に対して法はより全体論的かつ戦略的になるべきである。そして、データエコシステムにおいて人間が果たす役割により注目すべきである。プライバシー法とデータセキュリティ法のどこが間違っていたのかを明快に示して、新たなアプローチを提示する、デジタル世界の安全とセキュリティに関心を持つすべての人にとって必読の書。

目次

第1章　序　論――予告された侵害の記録
　システムダウン
　私たちが失うものは大きい
　データセキュリティ法の登場
　本書の論点とロードマップ

第1部　データセキュリティの広範な理解

第2章　データ侵害の蔓延
　データ侵害の簡単な歴史
　終わらない叙事詩
　データ侵害の物語の共通点

第3章　データセキュリティ法の失敗
　侵害通知法
　安全保護法
　私的訴訟
　侵害への不健全な執着

第2部　総体的データセキュリティ法

第4章　全体像――システムと構造
　全てのデータ侵害を止めることは法の正しい目標ではない
　データセキュリティ法の新しい役割

第5章　データエコシステム全体の責任
　アクターたち
　デジタル技術例外論への反対
　さまざまなステークホルダーの協力が必要だ

第6章　データ侵害による損害を軽減する
　なりすまし被害の蔓延
　法律はいかになりすまし防止に失敗するのか
　法律はどのようになりすまし被害を促進してしまうのか
　データ侵害による痛手を和らげる

第7章　プライバシーとデータセキュリティの統合
　サイバーセキュリティ、データセキュリティ、データプライバシーを理解する
　プライバシーとセキュリティの分断
　フロントドアとバックドア
　不十分なプライバシーが不十分なデータセキュリティをもたらす
　データ侵害によるプライバシー侵害のコスト
　プライバシールールの強化でセキュリティを向上させる

第8章　人間という最大の弱点のためのセキュリティ設計
　人間に関する問題
　処理能力の問題：なぜパスワードに関して不可能を求めてしまうのか
　技術のデザインルールを見直す

第9章　結　論――総体的アプローチ

謝　辞
解　説
原　注

感想・レビュー

※以下の感想・レビューは、株式会社ブックウォーカーの提供する「読書メーター」によるものです。

[ふら〜]

これは中々面白い。対象はアメリカ法だが、現在のデータ侵害法は如何に情報漏洩を起こした企業を罰するか、事後的な観点のみの方であること、データ侵害の要因は多岐に渡りこれら全てに程度に応じて責任を貸さないとフェアじゃないこと等、視点はユニークでそれでいて説得性もある。特にこの世の中データ侵害をゼロにするのは実質不可能なので、起こりうることを念頭に如何に被害を低減するか、その様なアプローチが良いというのはその通りだなと。世の中の認識も変わっていって欲しいところ。

2024/09/06

[まさやん510]

データの漏洩、侵害にフォーカスした現在のデータセキュリティ法がその役割を上手く果たせていないことを様々な実例を元に明らかにし、データ処理の仕組み全体と関係者に焦点を当てた総体的なアプローチの必要性を唱える。現在の法のデザインが人の考え・行動の不完全性を前提としたものになっていない点の指摘など、頷ける点が多い。 ＊キーワード 事前対応重視、柔軟なアプローチ、バランスの良さ、侵害を0にするのではなく被害の軽減を目指す、機械的なチェックリストの非推奨、プライバシーとセキュリティの統合、セキュリティバイデザイン

2024/01/30

[Go Extreme]

侵害の記録：システムダウン　失うものは大きい データ侵害の蔓延：情報労政事件　セキュリティ上の脅威 データセキュリティ法の失敗：保守的　コスト↑・侵害防止↓　個人保護 システムと構造：データエコシステムの健全性・回復力確保→リスク軽減　連鎖の最後だけ問題視 全体の責任：関係者と問題への寄与度　システマティックな問題 損害軽減：政策立案者の法的対処　被害の拡大に居する組織 プライバシーとデータセキュリティ：２つの部門の橋渡し セキュリティ設計：人為的ミス　認知の範囲　最大の脆弱性＝人的要因 総対的アプローチ

2024/01/30

[kurokurumi]

一向に無くならないデータ漏洩事件に対して、米国でのデータ漏洩事例を元に各法制度を分析。 現行法の根本的な問題、すなわち、データ漏洩を防ぐインセンティブが働かない仕組みを鋭く指摘する。 人間の特性を考えないセキュリティ対策、例えばパスワードを複雑にするよう強要すれば、利用者はパスワードを付箋でPCに貼ってしまう事例などを、楽しい挿絵でユーモラスに批判する。 データ漏洩を防ぐ方向ではなく、起こした企業を罰する法制度は、被害者に何の救済も与えないとし、デザインを重視する等セキュリティ法の目指すべき方向性を提案。

2025/04/06

[パンプアップハム]

結構専門書で難しく全部読んでないけど、本文中で出てくる英語の固有名詞に英語表記も添えてくれるのはナイスと思った。調べやすい。本自体は企業のシステム部署で働いてて全体的な統括をする人に向いてそうだと思った。一個一個を切り出して対策を置いてもあまり意味がないとか、形式的な教育だけして責任を逃れるしぐさとか、そうじゃなくて流れ全体を見るべきと説いている。これらを大きな組織で実地に落としていくのは実際は難しいんだろうけど。

2025/01/03