インターネットシステムで海外の法律を遵守する [セキュリティ研究室]

日付:
 こんにちは!
 ナビゲータのEVEです。

 現在、難読化ツールを管理システムの、ツールというグループ内に製造しています。仕様としては、エクスプローラー的な一覧を表示し、表示した一覧から難読化したいプログラムを選択。その選択したプログラムを拡張子から、ファイル種別を識別し難読化しようという仕様です。
 仕様が決まったのはいいのですが、意外と苦戦しています。理由は、基本的なクラスを作るところまで戻らないと、製造できないことが判明したから・・・。当該ディレクトリの一覧を取得するクラス・・・。オブジェクトをソートするオブジェクトソートメソッド・・・。仕様が分かっている現在は、難しいとは思わないのですが、やり方を知らないと大変です。以前のシステムPrototype EVEでも同様のエクスプローラー的なシステムを作っているのですが、今回は、スマートに作りたかったため、無理をし過ぎました。
 ただ、時間はかかりましたが、あとは、フォルダを選択したとき選択したフォルダへ変遷するという処理と、難読化するという機能を追加するだけになりました。希望としては、明日の朝一で完成させたいと考えています。
 プロジェクト的には遅れますが、EVEシステムでも、Prototype EVEと同様のシステムを製造する予定はありますし、今回製造した機能はすべてクラス又は関数として部品としていますので、今後の手間が省けたと言えるでしょう。
 ってな、感じで進捗は遅れてはいますが、プロジェクト的には、前進していますので、週末のスプリントバックログプログラムバックログでご確認ください。そして、今朝は、デイリースクラムができなかったので、以上の報告で本日のデイリースクラムとさせていただきます。
 では、土曜日は、セキュリティの日ということで、セキュリティについて御報告させていただきます。本日のお題は、2024年度情報処理安全確保支援士オンライン講習についてです。 

[情報処理安全確保支援士2023年と2024年のオンライン講習の違い]

 遅れましたが、2024年のオンライン講習を先月8月に完了しました。2023年は、「ゼロトラスト」、「セキュリティ バイ デザイン」、「ランサムウェア」という用語が繰り返し使用され、頭に残りましたが、今回も、「ランサムウェア」については、多用されています。しかし、「ゼロトラスト」、「セキュリティ バイ デザイン」については、トーンが下がったという印象の講習でした。トーンが下がったからと言って、優先度が下がったと言うわけではなく、毎回、テーマを決めて講習をしているのだと思います。

[GDPR]

 今回目立ったのは、日本を離れた海外のセキュリティ事情・・・。現在更新しているブログはGoogleですが、そのGoogleのブログと契約するときに、主にクッキーに関することなのですが、EUの法律を遵守する制約をさせられます。インターネットって世界とつながっているので、仕方がないのですが、昔と事情が違ってきているようです。
 それは、以前は、サーバーが設置された国の法律に準じなければならないはずなのですが、現在は、その域を越えて考えなければならないようです。今回のEUについては、GDPR(General Data Protection Regulation(一般データ保護規則))2018年に施行されたEU(欧州連合)の法律によるモノらしいです。どういう法律なのか、Geminiに聞くと以下の様な回答がありました。

【GDPRの「域外適用」という考え方】  GDPRの最も重要な特徴の一つは、**「域外適用(Extra-territorial application)」**の概念です。これは、以下のいずれかに該当する場合、たとえEU域外(例えば日本)に拠点を置く企業や個人であっても、GDPRの適用対象となるというものです。

  1. EU域内の個人に、商品やサービスを提供している場合
  2. EU域内の個人の行動を監視している場合
ブログ運営の場合、「行動の監視」に該当する可能性が非常に高いです。
具体的には、以下の行為が監視とみなされます。
  1. Cookie(クッキー)の使用:Google Analyticsなど、アクセス解析のためにクッキーを使用し、EUからの訪問者のIPアドレスや行動履歴を取得する行為。
  2. オンライン広告の表示:訪問者の行動履歴に基づいたターゲティング広告を表示する行為。
  3. コメント欄での個人情報取得:メールアドレスや氏名など、ユーザーが自ら入力する個人情報を取得する行為。

これは、EUの法律ですが、今回、世界各地の法律について学習しています。今後、インターネットに情報を公開する場合、気を付けなければいけないようです。

[あとがき]

 今回の調査により、ちょっと、寒くなりました。理由は、EVEシステムでも、アクセスユーザーのIPを取得しているから・・・。個人を特定するまでには至っていませんし、少人数です。すぐに何かあるとは思いませんが、ちょっと、ドキッとしました。  なお、取得するのはブログで以下の内容を適切に告知すれば問題ないようです。

  1. 利用目的の特定:ログを何のために利用するのかを具体的に特定し、本人に通知または公表する。
  2. 適正な取得:不正な方法で取得しない。
  3. 安全管理措置:情報漏えいなどが起きないよう、適切に管理する。

来週か再来週に掲示板システムを公開しますが、その中で、以上の内容を、ポータル画面に掲載予定です。引き続きご興味がある方は、読んでいただき、システムの完成を楽しみにしていてください。みなさまの運営しているシステムで、もしGDPRに対応されていない場合、早めに対応したほうがいいかもしれません。
 また気づいたことがありましたら、ご報告させていただきます。

 では、また!!!

コメント

コメントを投稿