ブログ/ BLOG

  1. ホーム
  2. ブログ
  3. ベンチャー企業法務
  4. まだHTTP使っているの?HTTPS化してないサイトは「安全ではない」と表示される時代に

ベンチャー企業法務 IT企業法務

まだHTTP使っているの?HTTPS化してないサイトは「安全ではない」と表示される時代に

杉浦健二 杉浦健二


【産業用AI開発の知財・法務セミナーのご案内】

産業用AI開発の知財・法務セミナーを2018年5月9日に東京大手町で開催いたします。
経済産業省のAI・データ契約ガイドライン検討会委員も務めた柿沼による、実務にすぐに役立つセミナーです。

過去の参加者の声や申込、詳細はこちらのページからどうぞ!

Google Chromeでは、今年7月リリース予定の「Chrome 68」からHTTPを使っている全てのWebサイトについてアドレスバーに「安全でない」(not secure)と表示されるようになるとのことです。

HTTPを使うWebサイトはすべて「安全ではない」――Google Chromeで明示へ
2018年7月にリリース予定の「Chrome 68」からは、HTTPを使っている全てのWebサイトについて、アドレスバーに「非安全」(not secure)の文字を表示する。
Googleは、通信の内容が暗号化されるHTTPS接続を推進する立場から、検索順位の決定にも影響を与えるなどの措置を通じ、HTTPからHTTPSへの切り替えを強く促してきた。
HTTPを使うWebサイトはすべて「安全ではない」――Google Chromeで明示へ/ITmediaエンタープライズ

HTTPのままだと、どのような不都合があるのでしょうか。HTTPとHTTPSの違いを知っておきましょう。

■HTTPとHTTPSの違いはセキュリティにある

ウェブサイトのアドレスを見ると、HTTPで始まるものとHTTPSで始まるものがあります。
HTTP(Hyper Text Transfer Protocol)とHTTPS(Hypertext Transfer Protocol Secure)の違いはそのセキュリティ。

Google ChromeでHTTPから始まるサイトを閲覧すると、「保護されていません」と表示されます。

これに対してHTTPSから始まるサイトを閲覧すると、「保護された通信」と鍵マークが表示されます(いずれも2018年2月13日現在)。

HTTP通信では、通信内容が暗号化されません(暗号化されていない文字列は平文と呼ばれます)。
そのためカフェや空港にある公衆無線LANでHTTPから始まるサイトを閲覧する場合、専用のソフトを使われれば通信内容が盗み見られる危険性があります(このようなソフトは簡単に手に入ります)。
無料の公衆無線LANでHTTPサイトにIDやパスワードを入力する行為は極めて危険。ID・パスワードが盗まれれば、同じパスワードを使いまわしていた他のサイトでも根こそぎ串刺しで不正アクセスされかねず、被害は甚大となります。

これに対してHTTPS通信の場合、通信内容は暗号化されるので、通信内容が閲覧されても内容の解読は困難となります。単にサイトを閲覧して情報を得るのみだったらHTTPサイトでも問題は生じづらいですが、お問い合わせフォーム等からこちらの個人情報を入力する場合、通信内容が暗号化されないHTTPサイトでは盗み見られるリスクが生じることになります。
ウェブサイト全体をHTTPS化することは、常時SSL化(Secure Socket Layer)/常時TLS化(Transport Layer Security)とも呼ばれます。

■個人情報保護法ガイドラインでも通信の暗号化は求められている

個人情報保護法第20条は、個人情報取扱事業者に対して、個人データの安全管理のために必要かつ適切な措置を講じることを求めています。

個人情報保護法第20条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

「個人データの安全管理のために必要かつ適切な措置」の内容については、個人情報保護法ガイドライン(通則法)「8(別添)講ずべき安全管理措置の内容」8-6 技術的安全管理措置(ガイドラインP96以下)において、個人データの漏えい等を防止するための措置の手法例として「個人データを含む通信の経路又は内容を暗号化する」ことが明示されています。

8-6 技術的安全管理措置
個人情報取扱事業者は、情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)、技術的安全管理措置として、次に掲げる措置を講じなければならない。
(略)
(4)情報システムの使用に伴う漏えい等の防止
情報システムの使用に伴う個人データの漏えい等を防止するための措置を講じ、適切に運用しなければならない。
手法の例示
・個人データを含む通信の経路又は内容を暗号化する。

サイト利用者から個人情報を取得するウェブサイトのHTTPS化(常時SSL/TLS化)は、上記の「個人データを含む通信の経路又は内容を暗号化する手法」にあたります。(「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A・P46Q7-20参照)。

HTTPS化を行わなければただちに安全管理措置を講じる義務に違反するわけではありませんが、個人情報を入力させるウェブページでHTTPS化を行っていなければ、実際に個人情報漏えいが発生し、損害賠償請求等を受ける場面で不利に働くことは間違いありません。

■ウェブビジネスではHTTPS化していることが必須の時代に

冒頭で触れた通り、Google Chromeでは、今後HTTPサイトについて現在の「保護されていません」との表示を更に進めて「安全でない」(not secure)と表示するようになります。
お客様の大切な個人情報を預かる企業であれば、HTTP化(常時SSL/TLS化)していることは社会的に求められることはもちろん、技術的安全管理措置(個人情報保護法第20条・個人情報保護法ガイドライン)の一環として法的にも求められる時代が訪れつつあります。

STORIA法律事務所のウェブサイトでもお問い合わせフォームから個人情報を入力いただく以上、法律事務所のウェブサイトではまだ少ないであろうHTTP化(常時SSL/TLS化)を導入済です。今後も安心してお問い合わせ下さい。(弁護士杉浦健二

・ブログ更新その他の最新情報はツイッターで流しております⇒@kenjisugiura01



産業用 AI 開発の知財・法務セミナーを2018年5月9日に東京大手町で開催いたします。
経済産業省のAI・データ契約ガイドライン検討会委員も務めた柿沼による、実務にすぐに役立つセミナーです。
プログラム(予定)は以下のとおりです。
過去の参加者の声や申込、詳細はこちらのページからどうぞ。

【プログラムの内容(予定)】
■ プログラムの内容(予定)
第1 AIと法律・知財に関する問題領域の概観~AIの適法な生成、保護、活用、法的責任~
第2 産業用AIの開発に関する法律問題
1 様々なデータ(個人情報を含むデータ、著作権を含むデータ、肖像権を含むデータなど)を利用してデータセットや学習済みモデルを生成する場合の問題点
2 産業用AIの開発と通常のシステム開発の相違点
3 ユーザが提供した生データを用いてAIベンダが開発した学習済みモデルは誰がどのような権利を持つのか。
4 AI開発における「材料・中間成果物・成果物」とそれらに関する「知的財産・知的財産権」の整理
5 AI開発契約における5つの交渉・合意ポイント
(1)プロセス・契約を分割する
(2)開発契約の内容を工夫する
(3)用語の定義を慎重にすりあわせる
(4)材料・中間成果物・成果物について、知的財産権帰属・利用条件について契約で何も定めていなかったらどうなるか、それをどのように契約で修正するか・放置するかを知っておく
(5)「権利帰属」にこだわらず「利用条件」で「実」をとる
6 具体的なAI開発モデル契約の簡単なご紹介
第3 AIの保護に関する法律問題
1 学習用データセット・学習済みモデルを保護する3つの方法(技術、契約、法律)
2 学習用データセットの保護
3 学習済みモデルの保護
(1) AIoTの場合
(2) AIaaSの場合
第4 AI活用による法的責任について
1 基本的な考え方
(1) AIが何らかの機器に搭載されて提供されている場合
(2) AIが純粋なプログラムとして提供されている場合
2 具体例
(1) コンテンツ生成AIが既存コンテンツと同一コンテンツを「偶然」生成したら
(2) 医療用AIが判断ミスをしたら
第5 質疑応答