EthicsfIRST 「インシデント対応およびセキュリティチームのための倫理規範」を読む

FIRSTの「インシデント対応およびセキュリティチームのための倫理規範」の日本語訳が公開されています。

ページ自体はこちらで、文書へのリンクは、これです。

内容をみながら、12の義務を図解してみました。

この倫理の作成に関与したわけではないので、もし、間違っていたのであれば、ご容赦のほどをという感じですが、全体の構造というのは、上のような感じかと思います。

原則

構成員、チーム、関係者に対してもっとも根本的な原則というのが、「信頼性(trustworthiness)」ということになるかと思います。

基盤

それらの構成員・チーム・関係者を支える土台が、健康に対する義務と能力に対する義務かと思います。

規範等の遵守

そして、具体的な構成員は、協調的な開示・機密保持・人権尊重・適用法令の遵守という外部からの規範等に対しての遵守が求められるわけです。

法域の境界を認識する(recognize jurisdictional boundaries)といっても、法域は、その地理的限界で、この法律・あの法律という形で適用されるわけではありません、ひとつの場所で複数の国の法が適用される場合もあります(日本にいても、GDPRに気をつけないといけないみたいなものです)。ですから、この部分は、個人的には「適用されるべき法律の認識の義務」としたほうがいいように思えたりしています。

情報取得・取扱の原則

構成員・チーム・関係者は、情報の伝達・交換に際して、アクノーレッジの義務があって、取得に対しては、その与えられている権限を遵守して、情報を取得する、それらの責任ある収集・発信によってチームの活動が裏付けられるという構造かと思います。

ちなみ「根拠ある推論」というのは、evidence-based reasoningなので、エビデンスに基づいて理由付けしましょう、ということですね。やっぱりニュアンスというのは大事だったりしますね。

自分も構造の図解をしていくなかで詳しく読むことができました。

 

関連記事

  1. 情報システム等の脆弱性情報の取扱いにおける報告書
  2. 「重要電子計算機に対する不正な行為による被害の防止に関する法律案…
  3. 先制的防衛の適法性-先制攻撃とユス・アド・ベルム(Jus Ad …
  4. NICT法改正と不正アクセス禁止法
  5. イスラエル情報機関の「位置情報追跡」対「通信傍受」
  6. 米国の「連邦組織取引における電子署名の利用」(3)
  7. ウイルス罪、有罪と無罪の境界はどこにあるのか (上)
  8. 憲法21条「通信の秘密」が邪魔で諸外国でやってるような大胆な犯罪…
PAGE TOP