大井哲也先生から「企業のためのサイバーセキュリティの法律実務」の献呈を受けました。年末には、受けていたのですが、レビューが遅れてすみません。やっと読めます。
TMI総合法律事務所とPwCコンサルティング合同会社との編による書物です。
1章は、「ITと法律の融合」という観点から、日本における政策と戦略の概観をしています。また、国際的な情報セキュリティ戦略についての記述をもなされています。
2章は、「情報流出とインシデント対応」の章です。もっとも、前半は、種々のセキュリティ侵害事例が網羅されています。その後、後半で、情報流出事件の危機対応の記載がなされています。コンピュータ・フォレンジックスに関しての記述にも重点がおかれています。
3章は、「情報漏えい関与者の法的責任」です。攻撃者への責任追及、内部流出の責任追及、SNS上の不適切書込者への責任追及にわけて検討されています。
4章は、「再発防止策」です。情報セキュリティ体制構築の重要性、内部統制、運用面のセキュリティ対策、クラウドの利用と情報セキュリティ、認証において分析がなされています。この章では、技術や体制のコンサルティングという観点からの記述がなされています。
5章は、「インターネット上の表現行為・コンテンツに対する規制と実務対応」です。不適切表現への法的対応として名誉棄損対応、SEO逆SEOに対する対応、口コミサイト上の表現行為に対する法的対応など、これらの論点に対する法的な問題点が記載されています。
6章は、「ビッグデータ」を活用した新サービスの展開と実務対応です。ビッグデータ化の進展、個人データの種類、企業における個人データ活用の目的、物と物との通信、物と人との通信によって生成されるデータ、オープンガバメントなどの論点が、技術的・コンサルティングの観点から分析されています。その後、法的留意点として、個人情報保護法の改正についての詳細な検討がなされています。また、その後、IoTの考察については、技術的・コンサルティングの観点への分析となります。
7章は、「ビジネスのグローバルかに伴うITの諸問題と実務対応」です。日本企業の実態、国外または域外移転規制、具体的な法的な問題についての検討がなされています。最後の部分は、法的な分析が強いところです。
「企業のためのサイバーセキュリティの法律実務」というと、私としては、いろいろと研究を進めているところもあって、通常の読者の観点からはどう評価されるのだろうという点については、なかなかわからないところがあります。
この本については、法と政策・具体的な問題、技術的なトレンド、法解釈の問題などについて、非常に広い観点から、また、最新の情報が満遍なくふれられているということがいえるかと思います。その意味で、「サイバーセキュリティの法律実務」について、この分野に興味のある企業の人が、まず最初に読むべき本として、おすすめできるのではないかと思います。
自分としては、このような書籍の企画とかも考えるので、作るほうの身になってしまうのですが、「企業のためのサイバーセキュリティの法律実務」というタイトルで、企業の担当者にどのように情報を届けたらいいのだろうか、というのは、本当に難問なのだろうなと思います。
情報流出対応、コンピュータ・フォレンジックス、名誉棄損対応、EUとのデータ・トランスファ問題、匿名加工情報の問題などは、企業の担当者のための必須知識でしょう。それを、このような形でまとめたというのは、重要なことかと思います。
PwCのコンサルティングの人々と共同で本を作成するというのは、一つのチャレンジということだったかと思います。その一方で、焦点が、分散してしまうというのもリスクだったかと思います。そのリスクをおさえつつ、形にしたといえると思います。
自分だったら、そのようなチャレンジをうまくこなせるのか、その場合に、どのように記述をコントロールするかと考えたりしました。一つのアイディアとして、情報ガバナンスという観点から、論点を位置づけるという方法もあるかと思いますし、自分だと、セキュリティという観点よりも、そっちのアプローチでいったでしょう。ただし、言葉的には、セキュリティのほうが受けるのかもしれませんが。
「サイバーセキュリティの法律」という観点からみるときには、国際法的な視点や、攻撃者の属性(アトリビューション)による国家との関係がはいってくるのですが、企業担当者の人のための本という性格から、省略されています。私が書く場合には、これがないと、現代社会においてのサイバーセキュリティは語れないとは思うのですが、それは、編集の過程での判断なのかもしれません。
いい加減に、単著で、「ネットワークセキュリティの法律」あたりを書かないとはいけないとは思っているのですが、なかなかできません。決断しなきゃとは思っているんですけどね。