JNSAの会員で自己宣言をなす企業の連名で「サイバーセキュリティ業務における倫理行動宣言」が公表されています。

内容としては、行動規範と基本指針からなるものです。

行動規範は、安全の向上・安心の醸成、法令等の正しい理解と遵守、技術の向上、製品およびｻｰﾋﾞｽの安全確保、倫理観ある業務の遂行といういわば、５つの原則をあげています。

基本指針は、はじめ、目的と適用対象、リスク管理の考え方、管理策の実施について、から成り立っています。

「倫理行動」の定義がなされているわけではないのですが、まさに、セキュリティの製品・ツールなどは、まさに、ジェダイのフォースよろしく、悪用することも可能なパワーであって、どのようにして、ライトサイドを維持しつづける行動をとるのか、というのは、最大のテーマになるかと思います。

行動規範に則ることが、社会、顧客、そして自ら（企業）を守ることになるというのは、情報社会の発展に貢献するというミッションの基礎になるわけですね。

基本指針は、倫理行動ポリシーの基礎的部分を抜き出したような感じですね。

ポイントは、各企業の活動において、法的リスク・倫理的リスクを洗い出すことができるか、ということかと思います。誰が責任をもってやるのでしょうか。また、そのための具体的な手順は、どのようになるのでしょうか。今後の発展に期待したいところです。

たとえば、企業で、両用可能なマルウエアを調査のために利用していたとして、そのマルウエアが、実際にどのような動作をするのか、というのについて、どの程度分析がなされているのか、そのような分析を調査プロセスにおいてどのように実装していくか、というのは、かなり大変な作業のように思われます。

その一方で、このような作業は、どうしてもコストファクターとなってしまいます。社会の課題としては、このようなセキュリティ企業にかかっていくコストをいかに減少させることができるのか、インセンティブをどのように作っていくのか、ということだろうと思います。

特に法執行機関は、不透明な解釈によってセキュリティ業界に萎縮的効果を与えていないのか、というのは、留意してもらいたいところだと思います。個人的には、両用のソフトについては、法執行機関が、起訴にあたってのガイドラインを事前に明らかにする、ということをしていたとしても、かまわないのではないか、とくらい考えています。