2006年05月20日

第3回迷惑メール対策カンファレンスに行ってきた

5月16日(火)に行われた、第3回迷惑メール対策カンファレンスに行ってきた。

第1回プログラム・公開資料
第2回プログラム・公開資料


夜行バスで往復したので体力的にこたえたなあ。
スタンプが10個たまったので、次回は1回分無料らしい。


Internet Weekでの第2回から半年でずいぶん状況が進んできている。
OP25B(Outbound Port 25 Blocking)については、導入が進んでいて、次の段階へ移りつつある印象だった。

JEAG recommendation を読んでるのが前提だったらしい。読んでなかったのでちょっとあせった。


なお、資料についてはSOI(ビデオ)とPDFが公表される予定とのこと。
(2006年6月9日追記)公開されていた(追記終わり)

関連情報
まっちゃさんのところでわかりやすくまとめられている。

●internet watchの記事「ISPが迷惑メールを受信時に排除することは「通信の秘密」の侵害か?」
 http://internet.watch.impress.co.jp/cda/event/2006/05/16/11976.html

(5月21日追記)
●送信ドメイン認証による迷惑メールの排除、法的に認められるのか(MYCOMジャーナル)
 http://journal.mycom.co.jp/articles/2006/05/17/antispam1/
(追記終わり)

(5月30日追記)
●OP25B、年内に多くのISPが実施へ、ユーザーは設定変更を(MYCOMジャーナル)
 http://journal.mycom.co.jp/articles/2006/05/17/antispam2/
(追記終わり)


以下、メモ
-----
1.ISPによる送信ドメイン・インバウンド・チェックの導入手順(法的な観点から)
「ISPがインバウンドチェックを行う際に考えられる手法と手順」
講師:木村 孝(ニフティ株式会社)

●送信ドメイン認証
 送信側:着々とすすんでいる
 受信側の導入も進みつつある:Yahoo!メール、IIJがヘッダのAuthentication-Results:に記述するように。

 ラベリング
  今まではフィルタリングの1つとして言われてきたが、独立して扱うように。

●ISPは電気通信事業者
 通信の秘密:第4条が一番重い
 検閲の禁止、利用の公平もあるけども。
 未遂も罰

 機械がやったばあいも侵害
 侵害だけども違法でない場合(3つのいずれか)
 (1)当事者の同意
 (2)業務上必要な「正当業務行為」
 (3)緊急避難に該当する(刑法37条)
   ■避難の現在性
   ■手段の相当性:ほかに方法がなかった
   ■法益の:侵した法益とのバランス
   →この3つが必要
   例:
    大量にスパムが飛んできて、メールサーバがとまったり遅延(数分でも)する
   そう簡単には緊急避難は使えない

 →(2),(3)が「違法性阻却事由」

●Inboundチェックについての従来の考え方
 広い意味でのフィルタリングに分類される
 →加入者の個別の同意が必要
  通信の秘密は憲法にも書かれているものなので、約款のような包括的なものでは駄目
  →オプションでフィルタリングを申し込んだ場合は、約款でOK。

 緊急避難はそのスパムだけにやることに(フィルタリングに緊急避難は適用されない)

 デフォルトで全ユーザにやるのが楽だができない。
  Yahoo!メールはデフォルトオンだが、表示するだけで弾いているわけではない

●加入者の同意に基づくフィルタリングについての総務省における議論
 電気通信事業分野におけるプライバシー情報に関する懇談会(第19回会合)議事要旨

●インバウンドチェックの導入・対象
 ◆やりかた次第では、従来の法的解釈でもなんとかできる範囲
  1、オプションのサービスの設定者に対してのみ行う
  2、全員にサービスとして提供するが、デフォルトではオフにする。
 ◆条件を満たす場合、やりかた次第では、従来の法的解釈でもなんとかできる範囲
  3、全員にデフォルト・オンで提供するが、利用者が個別に解除もできるようにする。
 ◆更なる検討が必要
  4、全員一律に提供し、設定は解除できない


●初期設定をフィルタリングオンの状態で提供するための条件
 電気通信事業分野におけるプライバシー情報に関する懇談会(第18回会合)議事要旨
 1)利用者が、いったんフィルタリングサービスの提供に同意した後も、随時、任意に同意内容を変更できる状態(設定変更できる状態)であること
 2)フィルタリングサービス提供に対する同意の有無にかかわらず、その他の提供条件が同一であること
 3)フィルタリングサービスの内容等が明確に限定されていること
 4)通常の利用者であれば当該サービスの提供に同意することがアンケート調査結果等の資料によって合理的に推定されること
 5)利用者に対し、フィルタリングサービスの内容等について、事前の十分な説明を実施すること(事業法第26条に規定する重要事項説明に準じた手続により説明すること)

●インバウンドチェックの導入・手法
 ◆やりかた次第では、従来の法的解釈でもなんとかできる範囲
  1、Webメールで認証結果を表示し、ヘッダーに認証結果を挿入する「ラベリング」
  2、認証結果でエラーとなったものは、迷惑メールとして個別利用者のspamフォルダに振り分ける。
 ◆更なる検討が必要
  3、認証結果でエラーとなったものは、利用者のメールボックスに配送しない

●ラベリングが効果を表すためにはフィルタ設定、メーラーの対応などが必要
 マイクロソフト、トレンドマイクロ、シマンテックなどに対応を呼びかけ

●将来的に誤判定問題が解決されれば、送信ドメイン認証の検証結果に基づくメールの廃棄は全ユーザ対象に一律に行ってもいいのではないか?

-----
「法的な留意点」
講師:今泉 宣親(総務省)

●送信ドメイン認証を利用した受信側での対応について
 ISP等の受信側メールサーバで、直ちに廃棄するのも将来的にはあるのかなと
  技術的課題、送信側の対応が進んでいない
  →今後検討を行っていく

●論点
 DKIM、SPFのいずれも法律的には同じ
 「フィルタリングを前提としたラベリングが問題ないか」を以下検討

 ◆電気通信事業法第4条「通信の秘密」を侵害する行為に該当するか
  通信の秘密とは
   通信の内容のほか、個別の通信に係わる発信場所などの構成要素も含まれる
   電子メールの経路の情報も通信の秘密

  侵害するパターン3つ
   知ること
   利用すること:窃用
   第三者がみれる:漏洩

 ラベリングすることは、発信者、受信者の意思に反すると、窃用にあたる
 →同意があれば問題ない

 違法性阻却事由があれば問題ない

●違法性阻却事由
  正当防衛:急迫性
  緊急避難:急迫性、危機の現在性。送信ドメイン認証は常時なので
   →上の2つには常時行うものには該当しない
  正当業務行為
   2つの条件
   1、目的の正当性、行使の必要性
      送信元を偽装したメールがほとんど迷惑メールである、
      広告宣伝の目的。一時に多数へ送信
      →大量送信によって行われる
   2、手段の相当性
      必要かつ相当な方法と認められる
 →正当業務行為(違法性阻却性事由)にあたるという総務省の解釈

●不当な差別的取扱い
 正当業務行為とみなされると考えておりますので、差別的ではない

●フィルタリング行為の「通信の秘密」「侵害行為」
 当事者の同意がない限り、窃用にあたる

●当事者の同意はどうとればいいか?
 ◆初期設定オフ。申し込みを受けて、フィルタリング
  →同意があると考えられる
   十分な説明があればの話

 ◆初期設定オンで提供する場合
  約款などの包括的合意では有効な同意とは解されない
  ただし、5つの条件を満たせば、同意を取得したものと考えることができる
  (※注 上記、木村氏の話のなかの「初期設定をフィルタリングオンの状態で提供するための条件」参照)

●参考1 ドメイン認証技術とエラーメールを返さない行為
 当事者の同意がない限り、「通信の秘密」を侵す行為に該当
 正当業務行為
  ◆目的の必要性:
   大量のあて先不明メールによるトラフィックの支障。
   →目的の必要性が認められる。
  ◆行為の正当性:
   送信元とされているメールサーバは、実際に送信していないことが推定される。
   →行為の正当性が認められる
  ◆手段の正当性:
   目的達成のために必要かつ相当な方法と認められる

 →正当業務行為と解釈できる

●質疑応答
質問:当事者にはメール発信者も含まれるように感じるが、受信者にのみ承認を求めるのはなぜか?
今泉:スパマーの同意はとり得ないだろう。
   受信者がどの時点で受信したとみるのかは、はっきり結論を出していない

質問:受信者に届いたときは受信者の同意。では、それまでは送信者と受信者の同意?
木村:前回、渋谷さんが送信が終わった段階で終わっているので、送信者の同意は必要ないと説明されていた

質問:ユーザの同意を得て、ISPで遮断するのは?
今泉:キーワードや、ラベリングでは同意があればOK。それ以外の技術であればそのときに検討

質問:14ページ。OP25Bの正当業務行為該当性
   レイトコントロールのみでは不十分な場合に認められるとあるが、小さいISPでは、阻却事由になるのか?
   レイトコントロールを導入していなければ該当しないのか?
今泉:レイトコントロールを行うことで対応できるのであれば、通信の秘密を侵害しない形で対応していただかないといけません
   レイトコントロールをしていないとき。ほかに手段があれば、その手段で
  一般論としては、手段があっても不十分な場合は認められる(?※注 メモが抜けていて自信なし)

質問:エラーメールを返さない場合、受信側の判断として、フィルタリングの受信者の同意が必要?
今泉:正当業務行為なので、当事者の同意はいらない
質問:実際に存在するメールアドレスを用いた場合は?
今泉:それをフィルタリングするばあい。それは整理しないと
   消費者行政課にご相談いただきたいなと。エラーメールが通信の秘密に当たるかも検討しないといけない

質問:業務をやる上で、(スパムでない)大量のメールが発信されたときに取り扱いしませんとできる?
今泉:事業者の支障が生じるから対応するのでいい。
   内容が利用者にとって迷惑であっても、サービスに支障があればできる

質問:レイトコントロールとフィルタリングの考え方の違いについて
木村:レイトコントロールもなんでもいいというわけでない
   Winnyの場合など問題があったり
   総量だけのレイトコントロールはいいんではないか
質問:パターンにあたるものをとめるのは?
今泉:IPアドレスから緊急避難することは可能
   落ち着いてきたら解除しないと
   総量は通信の秘密には侵害しない、不当な差別的な取り扱い(6条)の問題
質問:1日くらいなら?
今泉:はい

質問:10ページの※1の意味がわからない
   (「フィルタリングサービスを合理的な料金により提供することは問題ない」の部分)
今泉:フィルタリングサービスを解除することで料金が高くなるようなことはやめてくださいということ
   付加サービスなので料金を徴収することは問題ない

posted by 端っこなひと at 04:02| Comment(0) | TrackBack(0) | セミナー・勉強会 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

この記事へのトラックバックURL
http://blog.seesaa.jp/tb/18076297

この記事へのトラックバック