韓国では、AIを使ったディープフェイク（特に画像・映像）の被害が深刻になっている。世界中のディープフェイクわいせつ画像の内訳をみると、被害者５割以上が韓国人だという（*1）。SNSを使った誹謗中傷、いじめ、自殺ほう助なども、とくに若い世代で増えている。そんな事態を受けて、与党「共に民主党」が国会を通過させたのが、情報通信網法改正案。しかし、国内外から懸念の声が挙がっている。主な問題点とされるのが、

・虚偽等の文言があいまいで、裁判所が恣意的に解釈でき、メディアが委縮する

・被害を与えた者に、被害額の最大５倍の賠償金を課すなど、制裁が厳しい

・かの者は、民事（懲罰的賠償）と刑事（名誉棄損）の両面で裁かれる

・関係ない第三者が、政治目的などで複数の訴訟を行うことも可能

・政治家や大企業が、報道機関等に巨額賠償を求めて報道を委縮させることが可能

　のようなこと。

　韓国国内では、もっぱら報道機関等への影響を懸念しているのだが、米国からはこんな批判も、

韓国の情報通信網法改正案を米国務次官が批判「当局に検閲権付与、技術協力の脅威」-Chosun online 朝鮮日報

　米国国務省ロジャース次官は、この法案はフェイクニュース対策のように見せて、その範囲を超え（米国との）技術協力を脅かしていると言っている。「技術協力」の意味はインテリジェンス系のものではなく、米国ビッグテックが韓国でビジネスをしづらくなると言っているようだ。　

　欧州のGDPRを始めとした巨額賠償を求める規制は、一面として米国ビッグテックを縛るものである。韓国もそれに倣って、米国ビッグテック縛りを始めたのではないかと国務省は考えたのだろう。

　そもそもが米国すらも上回る「分断国家」である韓国で、このように通信内容を捜査する権限を増やすことは、政権与党に有利に働くことは間違いがない。民主主義にとっては、高市政権が進めたがっている「スパイ防止法」などより、ずっと深刻な脅威となる可能性がある。

*1：卑劣な犯罪「ディープフェイク」 - 梶浦敏範【公式】ブログ

ランキング参加中

セキュリティ

　すでに２度紹介しているGoogle社の「Japan Cybersecurity Initiative」の分科会。前回の「サプライチェーン*1」に続き、今回のテーマは「人材育成」である。内閣サイバー統括室（NCO）から政府の取り組みを聞き、「プラスセキュリティ人材」という言葉を広めたシンクタンクの研究員から人材不足の状況説明を受けて、

・セキュリティリテラシーを持つ、事業部門の人材を拡大するには

・セキュリティ人材の事業貢献を最大化し、活躍機会を拡大するには

　の２点について議論した。企業のサイバーセキュリティは、決してIT部門／セキュリティ部門に閉じ込めてはいけない。高度な専門人材も必要なのだが、事業部門にもリテラシーを持った人材（これをプラスセキュリティ人材と呼ぶ）がいて、DX推進や新規事業展開で危ないと感じたら専門家に相談してくれないと、取り返しのつかないことが起きる。

　先日紹介した、証券口座乗っ取り被害の経緯（*2）について、私に教えてくれた人が詳しく説明をした。金融業界はインターネット以前からサイバー犯罪者に狙われているが、その事例が広く共有されず経験が伝承したていかないと言う。

　セキュリティ人材の不足は昨今とみに顕著になっているが、大学などは「育成しても雇ってくれるのか？彼らのスキルが生かせる職場に配属して継続育成してくれるのか？」との危惧を持っている。日本の多くの企業はメンバーシップ型雇用なので、専門人材も他の職場に回され腐ってしまっているとの主張だ。

　私はシンプルに、中国の諺「駿馬は常にあれど、伯楽は常にはあらず」と専門人材を使いこなせない職場・企業が多いことを最大の課題とした。これに対して私より20歳以上若い論客が「僕も30代まではそう思っていた。しかし技術者も上司や経営者にちゃんと話せる（*3）コミュ力が要る」と言った。そう、双方の歩み寄り、相互理解が必要なのだ。技術者の主張に耳を傾けること、それができれば上司たちはプラスセキュリティ人材たり得るのだから。

*1：経営マターのサプライチェーンリスク - 梶浦敏範【公式】ブログ

*2：証券口座乗っ取りの根本原因（後編） - 梶浦敏範【公式】ブログ

*3：デジタル／カタカナ／三文字略語じゃなく

ランキング参加中

セキュリティ

　この日は２つの研究会に登壇する。合計５時間の長丁場である。一つはオンラインと決まっているのだが、もう一つをどうするか迷った。それでも移動中に何かあると困ると思い、両方オンラインにしてもらった。

　一つ目は、何度か紹介しているIT協会の研究会（*1）。もう６年コーディネーターをさせてもらっていて、参加人数が増えている。最初は25名くらいだったが、この日の参加者は55名になった。２つの講演の後グループ分けして議論してもらうのだが、グループが８つにも増え、議論後の発表に十分時間を割いてあげられないのが申し訳ない。

　そして二つ目は、ある大学の社会人講座。15名の講演者のひとりとして、期に一度機会が巡ってくる。こちらも知らないうちに、参加者が20名の大台に乗っている。私の担当は「サイバーセキュリティによる企業価値の向上」。

　この講座を始めたころには、

・サイバーセキュリティ対策をすれば企業価値は上がるはず

・なのに企業によってはセキュリティ費用や人員を無駄に思うこともある

・セキュリティ費用は「投資」であって、「損金」ではないと思って欲しい

・まずCISOを置いて、十分な予算と権限を与え自社を護ることに注力して欲しい

　との思いだった。そこで受講者の皆さんには事前学習として、

・あなたの企業ではセキュリティ費用は投資か、損金か？

・経営会議でセキュリティは重視されているか、CISOはいるか、経営層との距離は？

　を問うている。今期阿も１時間余りお話しした後、４グループに分けて討議してもらい、その結果を聞いた。すると、セキュリティ費用については、投資だと言い切った企業もあり、会計制度上は損金になるが意識としては投資だと答えた企業も多かった。また、CISOについては、そう名乗るかどうかは別にして企業のセキュリティを護る責任を持った人はいる、中には経営会議の一角を占める人もいるとの回答だった。

　この講座も数年やらせてもらい、企業の意識が高まってきたことを確認した。しかし一言注意喚起もした。

「CISOは、いざという時責任を取るだけの役職ではない。権限が伴っていないと職務は全うできない。その点を次回は聴きたい」と･･･。

*1：IT協会のサイバーセキュリティ研究会 - 梶浦敏範【公式】ブログ

ランキング参加中

セキュリティ

　韓国のEC大手「クーパン」が、3,300万人以上分の個人情報を窃取されたとして、企業責任を問われている。全人口の６割を超える人が被害に遭っていて、今年起きた「SKテレコム」の2,500万人分（*1）を越える規模である。

　容疑者は社内のセキュリティ技術者で、認証システムの開発をしていた。当然暗号化キーを持ち出し、顧客に成りすますことも容易だった。企業側は、被害を５ヵ月間も察知できなかったという。

韓国大統領、クーパン情報流出で企業の罰則強化を要求 | ロイター

　他に共犯者がいるかもしれないが、容疑者は中国人ですでに中国に逃亡している。韓国では反中感情が高まっていることもあり、野党議員が政府に「中国から容疑者を送還させよ、さもないと親中政権だと認めたことになる」と追及（*2）している。

　システムの、しかもセキュリティ開発の真ん中にいた人物が犯行に及ぶなら、この被害の大きさも長く露見しなかったことも理解できる。もちろん、従業員をちゃんとガバナンス出来ていなかった責任は経営陣にある。

　この事件を受け李大統領は、悪質な個人情報被害事案に対する罰則（最大売り上げの３％の罰金）を強化するよう、議会に求めた。この件は、今も日本で議論されている「個人情報漏えいに対する課徴金の是非」にも影響を及ぼすだろう。

　そして私が一番危惧するのは、この情報は一体何のために盗まれたか？である。「SKテレコム」の事案では、盗まれたのがSIM情報だったのでなりすまし携帯による詐欺等が目的だと分かる。＜闇Web＞で販売する目的もありそうだが、今回は、まだ直接被害が見えないので分かりにくい。

　これだけ大量に窃取したということは、ひょっとして韓国そのものを標的にした犯罪･･･ある国が支配を及ぼそうとして多くの市民の情報を手に入れようとしたという可能性もありそうだ。これは杞憂であってほしいのだが。

*1：インフラ事業者のセキュリティ予算 - 梶浦敏範【公式】ブログ

*2：韓国野党議員「李大統領が中国政府に “クーパン流出事件”容疑者の逮捕を要求せよ」 | wowKorea（ワウコリア）

ランキング参加中

セキュリティ