[CODE BLUE 2018] ネットワーク層のインターネット媒介者に対する法的救済 ジャーニ・リオルダン [レポート] #codeblue_jp

CODE BLUE 2018「ネットワーク層のインターネット媒介者に対する法的救済 ジャーニ・リオルダン」についての参加レポートです。
2018.11.02

こんにちは、芳賀です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2018に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

ネットワーク層のインターネット媒介者に対する法的救済 Presented by ジャーニ・リオルダン

ISP、ホスト、ネットワークオペレーターのようなネットワークレイヤー媒介者はオンライン上で起こる様々な攻撃などの不正行為を検出し、それらから保護することが求められる。さらに、最終的にはこうした侵害行為を終わらせ、ネットワークとシステムを警察の管理下に置くことが最も望ましいとして現在の法的救済措置が設けられている。犠牲者を助けるため、ネットワークレイヤー媒介者の役割として適切なものとは何だろうか?そうした対策などにかかるコストにだれが投資するのか?犠牲者の権利と媒介者、そしてエンドユーザーのバランスはどのようにして決められているのだろうか?

本講演ではそれらの疑問に対して、イギリスとヨーロッパ連合にて策定された法的救済措置における2つのカテゴリの観点から検討を行っていく。第一に、裁判所が命令した違法な侵害要素へのアクセスを防止義務(ウェブサイトブロッキング差止命令としても知られている)について検討を行う。これらの救済策は侵害動画、テレビ放送、その他の違法な要素などへのアクセスを迅速に防ぐための優秀なツールに発展した。しかしながら、彼らはネットワーク中立性遵守を侵害していると表明しており、「過剰ブロッキング」とならないよう、より公平で慎重な調査を要求している。第二に、媒介者が不正な行為を事前に察知した場合には、その情報公開を要求できるという救済措置について検討を行う。こうした義務は匿名の不正行為への対策としての主張が行われてきたが、これにはISPのデータ保護と匿名義務とのバランスが最も大事な部分だ。

また、本講演では第三者の基本的権利を保証することを目的に、より高信頼で安全なサービス運用を保証するための運用方針をネットワーク媒介者に対して提示し、それらの義務を果たすための強力な経済的および規範的な実事例について議論している。ここにおいて、(i)データ保護、表現の自由、関連する権利を守るための強力な手続きと安全措置、(ii)ネットワークレイヤの媒介者を金銭的負担から守るためのセーフハーバー協定、(iii)(該当する場合のみ)法律的に無罪であったものの、その第三者の不正行為防止にかかったコストおよび費用の払い戻し、これら3つの義務の均衡が求められている。

レポート

  • Webサイト ブロッキングの概要
    • OSIのトランスポート層の話
    • ネットワーク層の企業(ISPs)はパケットを止めたり除外できる強力な力がある
    • ネットワーク層にある中間業者(intermediary)へ依頼した方が対応コストが低い
    • ネットワーク層はデータ発生元の地域(国)に存在しているため訴訟により停止させ易い。
    • 中間業者とは、IPSやWebホスト、移動通信業者などである
    • ブロックの手法として
      • Black-Holing
      • DNS blocking
      • URL filering
      • DPI blocking
    • イギリスの法律では1988年に制定
      • 応対者は、サービスプロバイダー
      • 請求される人は第三者が対象
      • 請求人は第三者が請求人の利益を侵害していること
      • サービスプロバイダーはこの第三者を知っている
    • ブロッキングの措置としては、イギリスでは中間業者が任意で対応している
      • IWFが提供するURL blacklistをブロックする
    • 2011年から訴訟がおこされブロッキングされはじめた
      • 音楽データを違法でアップされているサイト
      • サッカー動画をライブストリーミングしているサイト
      • 20世紀FOXとSky社の争い
        • 違法データではなく、正規にアップされたデータへリンクを張っているサイト
      • 著作権侵害については裁判所では強く対応している
      • 模造品の販売サイト(Cartier, MONT BLANCなど)
    • ただし、ヒドラのように1つの頭を切り落としても、また別な頭が出てきてしまう
    • ブロッキングする上でもコストがかかる
      • リダイレクトするサイトの設定、DNS設定変更など、、、
      • ISPsが法律違反しているわけでは無いのでコストを負担させるのはおかしい
      • このコストは権利者が払うべきである、という判決がだされた
  • 欧州での救済策
    • 過剰にブロッキングしてしまうリスクがある
    • YouTubeなどをブロッキングするわけにはいかない
      • 正規のデータが多いためである
    • ブロッキングした事でProxy/Mirror Siteへのアクセスが急増する
  • イギリスでの事例
    • サッカーのプレミアムリーグでリアルタイムブロッキングを実施した
      • 試合中だけ対象のIPを制限する
    • いま現在、オーバーブロッキングは1件も起きていない
  • ポリシーについて
    • 中間業者の責任において実現することで成功している
    • コストを中間業者へ負わせることはない
    • 技術的な面でもリアルタイムブロッキングなどで効率化されていきている
  • ブロッキングを維持する6つのポイント
    • Due Process: 正規の手続きの確保
    • Transparency: 透明性
    • Safeguards: 安全性
    • Subsidiarity: 補完性
    • Proportionality: 比例性
    • Consistency: 一貫性

感想

話題のブロッキングについて欧州・イギリスでは様々な議論されていることを確認しつつ、本当にブロッキングが妥当な対策であるかは日本でも議論が活発化されて欲しいと思う。