メールセキュリティソリューションセミナー2008イベントレポート

「法律」はメールの秩序を取り戻す鍵となるか


宮田 健
@IT編集部
2008/3/14



 本セミナーの締めくくりとして、ICR/情報通信総合研究所の小向太郎氏により、「メールセキュリティの法律問題」と題して基調講演が行われた。メールを素のまま放置することで、利用者、管理者、経営者にどのような法的問題が関係してくるのかを簡潔にまとめた講演である。

 法律という側面からメールのリスクを見る


ICR/情報通信総合研究所
小向 太郎氏

 そもそも迷惑メールを規制する法律とは、具体的に何を規制するためのものなのだろうか。

 迷惑メールとは、非常に主観的な概念であると小向氏は述べる。一義的には受信した人が受け取った印象によって、そのメールが「迷惑」なのかが決まる。迷惑メールは英語圏では“Unsolicited Bulk mail”、つまり望まれないメールとされており、言葉の上でも主観が基準となっていることが分かる。主観的な迷惑メールを規制するには、やはり主観的な判断をせざるを得ない。

 日本では迷惑メールとして認識される内容としては、出会い系サイトやアダルト広告が中心となっている。これを受け取った何万分の1かの受信者がクリックすることを考えると、これを「迷惑メールではない」と判断している人が存在するということになる。そのため、そのような業者にメール送信自体を禁止するということができないというのが法律上の現状だ。

 このような考え方は日本以外でも同様で、世界的に見ても迷惑メールに関する法律は受信者の意思を反映させる方法を取っており、受信者の意思を基準として制定されている。

 日本における迷惑メール関連法の現状

 日本において、迷惑メールに関する法律は大きく分けて2種類存在する。1つは「特定電子メールの送信の適正化等に関する法律」(以下、特定電子メール法)、もう1つは「特定商取引に関する法律」(以下、特定商取引法)である。どちらも基本的には望んでいないメールなどを規制する法律であるが、特定電子メール法は総務大臣、特定商取引法は経済産業大臣が主務となっている。つまり、2つに分かれている理由は監督官庁の違いである。

 
特定電子メール法
特定商取引法
法目的 電子メール送受信上の支障の防止の観点から送信規制 取引の公正および消費者保護の観点から広告規制
規制対象メール 一時に多数送信される広告宣伝メール(SMSなどを除く) 通信販売などの商業広告メール(指定商品に限る)
規制対象者 送信者(委託したものを除く) 販売事業者および役務提供事業者など(広告代行業者は除く)
主な規制内容 再送信禁止(オプトアウト) 再送信禁止(オプトアウト)
主務大臣 総務大臣 経済産業大臣および事業所管理大臣
表1 迷惑メール2法の比較(情報通信総合研究所作成資料より抜粋)

 特定電子メール法はメール送信者を規制するために、2002年4月に成立した法律だ。通常このような法律が制定されるのは非常に時間がかかるものであったが、本法律については非常に素早く施行がされたという。この理由を小向氏は「おそらく携帯電話のメールの普及が後押しになったのではないか」と語る。この法律では利用者が不要と判断した場合にメールを再送信してはならないとしており、いわゆる「オプトアウト」となる。

 現在、この特定電子メール法については改正案がまとめられており、受信者が承諾したメールのみを受け取る「オプトイン」方式の導入が議論されている。この改正案は2009年の通常国会に提出することも検討されている。

 特定電子メール法違反は直罰? 間接罰?

 では、これらの法律に違反した場合、どのようなことが起こるのだろうか。2002年に施行された当初の特定電子メール法では間接罰、つまり、まずは主務大臣からの指導が発生し、それでも従わない場合に罰則が適用されていた。ただし指導を行うための調査では、「通信の秘密」とされて法律で保護されているメールヘッダなどを開示するための令状を取ることがほぼ不可能であり、現実的ではなかった。この点は2005年に行われた改正により、メールの送信者情報を偽った送信については直罰化された。

【関連記事】
スパム22億通送信で逮捕 25歳男「捕まると思わなかった」(ITmedia News)
http://www.itmedia.co.jp/news/articles/0802/15/news041.html

総務省、兵庫県の迷惑メール送信業者に改善命令(ITmedia エンタープライズ)
http://www.itmedia.co.jp/enterprise/articles/0802/20/news030.html

 ところで、改正案で検討されているオプトインに違反した場合、直罰を科すことができるのだろうか? 小向氏はこの点について疑問であると述べる。問題点としては広告メールの受信を承諾しているかどうかの判断自体がグレーであることが挙げられる。受け取る側から考えるとこの判断は簡単に思えるが、送信者側の立場では判断が難しい場合もあるからだ。このことから、オプトインが改正案に盛り込まれたとしても、迷惑メールの状況に劇的な変化は起きないだろうという。


 実は小向氏は、以前より数少ないオプトアウト擁護派であったという。2002年ころの小向氏の意見としては、メールを広告媒体ととらえた場合、「そもそも広告は見たくないと思っている性格がある」という。このような広告活動を、メールにおいてのみ禁止するということは疑問だ、という立場を取っていた。

 しかし小向氏は続けてこう語る。「最初の宣伝をメールで打つということは、もう『悪印象』がついてしまった」とし、メールを最初の手段として行うのはもう宣伝効果がないと考えるようになったという。そのため、いまの状況を考えると、オプトイン規制もあり得るという考えも持っているとのことだ。

 情報の窃盗はそれ自体が罰とならない

 次に、情報漏えいなど内からの脅威と法律の関係へと話は移っていった。

 「機密データを盗む」ということに対する罰則としてまず思い浮かぶのは窃盗罪ではないだろうか。しかし、この窃盗罪の対象となるのは、物、つまり「液体、気体、固体」のみとされており、情報を盗むことだけであれば窃盗罪を適用することはできない。また、情報に対して窃盗罪を適用しようとしても、情報という言葉が指す意味を定義することが非常に難しいという現状がある。以前は物理的なコピー用紙やテープメディアなど、物と情報が一体化していたが、いまはメールなどに添付し情報だけを窃盗することができてしまうのだ。

 機密性と可用性の悩ましい関係

 情報セキュリティが目指すものとは、「情報の機密性」「完全性」「可用性」だ。ここで機密性と可用性に注目したい。

 情報の機密性とは「アクセスを認可されたものだけが情報にアクセスできること」、可用性とは「認可された利用者が必要なときに情報および関連する資産にアクセスできることを確実にすること」である。この2つをよく見ていただくとお分かりのように、これらは矛盾することが想像できる項目なのである。

 日本版SOX法などの法令順守をどのようにしていくかという議論のときに、法律が非常にあいまいでどのように対応すればいいのかが分からないという意見が多く聞かれる。しかし実際のところは、情報セキュリティを一律に法律で厳しくしてしまうことができないというのが現状なのであろう、と小向氏は述べた。

3/3

Index
メールセキュリティソリューションセミナーイベントレポート
「法律」はメールの秩序を取り戻す鍵となるか
  Page1
「分かっちゃいるけど」情報漏えいせざるを得ない現実
メール監査を教育手段として利用できる?
  Page2
メールの情報漏えい、「うっかりミス」が原因であるとしたら
メール監査の整備は内部統制以前の問題
Page3
法律という側面からメールのリスクを見る
日本における迷惑メール関連法の現状
特定電子メール法違反は直罰? 間接罰?
情報の窃盗はそれ自体が罰とならない
機密性と可用性の悩ましい関係

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間