Cyberlaw

下記の記事が出ている。

　CrowdStrike’s ubiquity under fire as Congress calls for CEO to testify
　ars technica: July 24, 2024
　https://arstechnica.com/tech-policy/2024/07/crowdstrikes-ubiquity-under-fire-as-congress-calls-for-ceo-to-testify/

＊＊＊

批判はもっともなのだが・・・１または少数のクラウドに処理が集中することに伏在する深刻なリスクを無視して馬鹿のようにクラウド化を促進してきた各国政府の無知・無理解はもっと批判されるべきだだろう。金や利殖に目がくらんだのだ。

『ネットワーク社会の文化と法』で既に述べたとおり，ネットワーク社会は，単一化という傾向性をもつことを特徴としている。それを適切に制御することが真の叡智というものなのだが，叡智のある為政者はいないようだ。学術研究者の中でも「単一化」それ自体が脅威であることを認識できる者が少なくなっており，自分の発言がいかに危険を推進するものかを理解できない者が多すぎる。

『ネットワーク社会の文化と法』を著作した時点では仮説の一つに過ぎなかったけれども，社会の実質的部分における「意思主義」から「処理主義」への遷移は既に完了しいる。そのことに気づかない法学者またはそれに気づいていても今更自説を変更できない法学者があまりにも多すぎる。彼らを見ていると，「惨めだ」という感想しか湧いてこない。自分の頭で考えることなく，かつ，家元制度のような組織内で安住していたからこうなる。

そんなに遠くない将来，それらの旧式の法学理論は，ほぼ全部切り捨てられることになると予想される。「処理主義」を基礎とする理論しか残らない。

私は，その具体的な内容に関し，ウィーナーのサイバネティクス理論を借用して説明してきたのだが，意図を理解できている人はほとんどいないのではないかと考えられる。それは，「処理主義が正しい」ということを認めることができないからだ。

旧時代の権威者による定義のようなものは全て意図的に忘れた上で，先入観なく読み，適切に考えれば誰でも理解できる簡単なことばかりなのに・・・

下記の記事が出ている。

　Despite Bans, AI Code Tools Widespread in Organizations
　infosecurity: 26 July, 2024
　https://www.infosecurity-magazine.com/news/ai-code-tools-widespread-in/

＊＊＊

実際に解雇無効確認訴訟等において担当裁判官として判断するとすれば，どのような前提条件でも一律に「コード生成ツールの使用禁止は適法」と言えるわけではなく，情報セキュリティ上の脅威度や当該従業者の具体的な職務内容を勘案した上で比例性原則に基づいて判断されるべき場合が多いのではないかと考えられる。

とはいえ，当該従業者がAIを応用したコード生成ツールを使用しないで自分の頭脳だけで仕事をすることを誓約していた場合，または，AIを応用したコード生成ツールを使用しないで自分の頭脳だけで仕事をすることを明示した採用募集に応募して採用されたような場合には，（当該企業内の権限のある部署等から個別の許可を受けていたというような特段の事情が認められない限り）基本的には雇用条件違反となるので，解雇相当という判断になることが多いだろうと予測される。

民法の基本原則どおり，約束は守られなければならない。

当該従業者がどうしてもAIツールを駆使した仕事をしたいのであれば，自営業者として起業するか，または，そのような仕事をするという前提で従業者を募集している企業に応募するしかない。ただし，そのような場合において，情報セキュリティ上の脅威が顕在化したときは，当該従業者が損害賠償責任を負うことも当然の前提となっていることがあり得るので，雇用条件を丁寧に検討する必要性がある。

下記の記事が出ている。

　Court ordered penalties for 15 teens who created naked AI images of classmates
　ars technica: 11 July, 2024
　https://arstechnica.com/tech-policy/2024/07/court-ordered-penalties-for-15-teens-who-created-naked-ai-images-of-classmates/

下記の記事が出ている。

　Meta intros its biggest open source AI model: Llama 3.1 405B
　TechTarget: 23 July, 2024
　https://www.techtarget.com/searchenterpriseai/news/366596503/Meta-intros-its-biggest-open-source-AI-model-Llama-31-405B

下記の記事が出ている。

　OpenAI is testing web search features for ChatGPT, challenging Google
　Washington Post: July 25, 2024
　https://www.washingtonpost.com/technology/2024/07/25/openai-search-google-chatgpt/

下記の記事が出ている。

　China's 'Evasive Panda' APT Spies on Taiwan Targets Across Platforms
　DARK Reading: July 24, 2024
　https://www.darkreading.com/threat-intelligence/china-evasive-panda-apt-spies-taiwan-targets-across-platforms

[追記：2024年10月30日]

関連記事を追加する。

　China's 'Evasive Panda' APT Debuts High-End Cloud Hijacking
　DARK Reading: October 30, 2024
　https://www.darkreading.com/cloud-security/china-evasive-panda-apt-cloud-hijacking

下記の記事が出ている。

　Notorious Chinese Hacker Gang GhostEmperor Re-Emerges After 2 Years
　DARK Reading: July 20, 2024
　https://www.darkreading.com/threat-intelligence/notorious-chinese-hacker-gang-re-emerges-after-two-years

下記の記事が出ている。

　Mumsnet launches first British legal action against OpenAI
　The Times UK: July 18 2024
　https://www.thetimes.com/uk/technology-uk/article/mumsnet-openai-sues-copyright-infringement-cz5hzvf8s

＊＊＊

いわゆる「AIリテラシ教育」の必要性を主張する関係者等の中には，無論，生成AIがそれ自体として違法システムであり得ることを周知するためのリテラシ教育を推進するために活動している運動家も存在するが，そうではなく，生成AIが大量に著作権侵害となる二次利用処理を自動実行するシステムであり，そのような違法な二次利用の自動実行なしには絶対に成立しないシステムだということを理解していないために無思慮に行動している者も存在する。

加えて，生成AIシステムの構築のために大量に収集される著作物の中には（実名のものと仮名のものを含め）大量の個人データが含まれていることが珍しくない。
そのような場合において，EUのGDPRを含め，データ主体（本人）の事前の同意を得ていないのが普通なので，著作権侵害行為と個人データ侵害行為とが同時に発生している例が非常に多い。
（無知のゆえに）そのことを全く理解できない関係者も珍しくない。

後者のような者は，民法上は共同不法行為者となり，刑法上は共同正犯または幇助犯となり得る。

（無知のゆえに）そのことを知らないのは，当の本人だけだ。

日本国の関係省庁（特に当該省庁の大臣）は，そのことを正しく理解できていない。

一般に，生成AIの理論と技術は，他者の著作権に対する侵害が問題とならない数学上のデータや大量の数値だけを処理するためのシステムとして応用されるべきだと考える。

下記の記事が出ている。

　SAP AI Core Flaws Expose Sensitive Customer Data and Keys
　infosecurity: 18 July, 2024
　https://www.infosecurity-magazine.com/news/sap-ai-core-expose-customer-data/

下記の記事が出ている。

　Understanding NullBulge, the New AI-Fighting 'Hacktivist' Group
　infosecurity: 17 July, 2024
　https://www.infosecurity-magazine.com/news/nullbulge-anti-ai-hacktivist-group/

『情報ネットワーク・ローレビュー』第22巻別冊（Annex1号)に収録され，電子書籍として公表された。

　サイバー法は終わったか？
　https://www.jstage.jst.go.jp/article/inlaw/22/Annex1/22_e1/_pdf/-char/ja

下記の記事が出ている。

　Russian army losses in Ukraine exceed 560,000
　ukrinform: 15 July, 2024
　https://www.ukrinform.net/rubric-ato/3885368-russian-army-losses-in-ukraine-rise-exceed-560000.html

生成AIを使用して自動生成した答案や回答文などを提出する例が世界各国で報告されている。国によっては犯罪行為として捜査の対象となった例もあるようなのだが，例えば，大学におけるオンラインによるレポート提出等においてそのような行為が実行された場合，明らかに業務妨害罪を構成するので，悪質な事例に関しては直ちに刑事処罰を検討すべきだろう。

それはさておき，AIに対抗するための最善の方法は，自然人が同じようなアウトプットを提出した場合でも0点とする方法を考えることだ。

例えば，文脈理解や深層理解をすることなく，あるいは，前提条件である大量の資料や講義案を全部読んで理解することなく，講義を全く受けなくても誰でも書ける一般論を書いたレポートや答案が提出された場合，提出された文それ自体としては正しい内容が書かれていたとしても，（AIによる場合でも自然人の脳による場合でも）一律に0点とするという方法がある。

生成AIは，簡単な文脈理解ならできることがあり，特に，一定の既知のパターンが存在するときには処理可能なことがある。
だが，生成AIの特性を熟考した上で，自動処理によっては絶対に特定された解析結果を出力できないようにする特別の条件設定は可能であり，そのような条件設定を常に考案し続けている。これは，生成AIが全く機能しようがないパターンの発見の努力の蓄積にほかならない。

このような方法を現実に実施している。

このような出題を実現するためには，（不意打ちを避けるため）「当該講義内容を完全に理解し，その理解を踏まえて視点を絞った答案またはレポートを提出すること」を求めていることを事前に明示することが大事だ。
ただし，そのような条件が明示されているということを受講生が読み取って理解できるだけの日本語処理能力をもっているかどうかは別なのだが，一般的な法学部学生の能力として要求される日本語処理能力のレベルを超えているとは考えられない。

加えて，一般に，採点者自身も非常に優秀であり，かつ，精神的・肉体的に相当にタフであることが求められる。

以上のように考え，AIを使用した場合には逆に不利な採点となるような出題文を研究・作成し続けている。

私自身は凡人の一員であり優秀者ではないので，努力の積み重ねによって問題を克服している。

実際に実施し続けてみて，受講生がそのような意図の出題になっていることに気づいているかどうかは分からない。
なぜなら，それ自体としては優秀な答案のように見えるけれども，誰でも書ける一般論しか書いておらず，講義内容を踏まえているとは評価できない答案が提出されるからだ。
予定どおり，講義を受けていなくても誰でも書けるような一般的・概括的な内容だけのものは，生成AIによるものであれ自然人の脳によるものであれ関係なく，一律に0点として成績評価している。
知的能力としては非常に優秀な学生として評価可能な学生であっても，講義内容を踏まえた文を作成できなければ0点と評価する。生成AIからの出力をベースにし，それに手を加えて作成されたものと明らかに推定される文もあり，そのようなものを提出した学生については，単に0点として成績評価するだけではなく，学則上の処分の要否を検討している。

知能テストではなく，（暗記すべき事柄を暗記しているかどうかを点検するための）検定試験でもなく，（個々の受講生が学習した内容を「＊＊＊を学んだ」方式で復唱させるような）初等教育段階の人を馬鹿にしたようなテスト（または幼稚な「おさらいごっこ」）でもなく，（大学法学部としての講義内容の）理解度テストなので，そのように採点するのは当然のことだ。

半期で1回約2万5000字×実質12回（合計約30万字相当）の講義案の内容を常に頭の中に入れているので，そのような採点を現実に実施することができる。
講義案は，完全にオリジナルのものであり，毎年，必要な箇所を改訂している。

その結果，今年度は大量留年としなければならないかもしれないので，（採点結果を調整すべきかどうかを含め）目下検討中・・・

下記の記事が出ている。

　Akira Ransomware: Lightning-Fast Data Exfiltration in 2-ish Hours
　DARK Reading: July 12, 2024
　https://www.darkreading.com/endpoint-security/akira-ransomware-lightning-fast-data-exfiltration-2-hours

ずいぶんと時間がかかったけれども，これでやっとEUの法令として成立した。

　Regulation (EU) 2024/1689
　http://data.europa.eu/eli/reg/2024/1689/oj

これまでの報道等の中で，既に成立または採択されたことを前提とする記事等があるが，その大半はEUの法制度が日本国の法制度とはかなり異なるものだということを知らないことに起因する誤謬を含む記事だ。誰にでも間違いはあるので，訂正されるべきだと思う。

下記の記事が出ている。

　CISA Urges Software Makers to Eliminate OS Command Injection Vulnerabilities
　infosecurity: 11 July, 2024
　https://www.infosecurity-magazine.com/news/cisa-software-eliminate-command/

迷惑メールにも様々なタイプのものがある。

それらの中で，例えば，特定のアプリの契約登録のための条件設定の中で「広告メールは必要ない」に設定してあっても全く無視して商業宣伝広告メールを大量に送信してくる企業が結構たくさん存在する。そのような送信行為は，単に債務不履行に基づく損害賠償請求権が成立するというだけではなく，（受信者の立場と状況次第では）刑法上の業務妨害罪も成立する立派な違法行為だ。

しかし，世間に存在する様々な対策サイトのほぼ全部がそのような場合があるということを想定していない。

日本データ通信協会・迷惑メール相談センターのサイトもまた，そのようなタイプの迷惑メール対策のためには全く役にたたない。

関係者は，根本から全部考え直すべきだ。

世間には，最初から約束を守る気のない企業が無数に存在する。

下記の記事が出ている。

　Chinese State Actor APT40 Exploits N-Day Vulnerabilities “Within Hours”
　infosecurity: 9 July, 2024
　https://www.infosecurity-magazine.com/news/chinese-state-exploits/

下記の記事が出ている。

　Russian army loses 1,150 soldiers in Ukraine in past day
　ukrinform: 7 July, 2024
　https://www.ukrinform.net/rubric-ato/3882638-russian-army-loses-1150-soldiers-in-ukraine-in-past-day.html

下記の記事が出ている。

　The Not-So-Secret Network Access Broker x999xx
　Krebs on Security: July 3, 2024
　https://krebsonsecurity.com/2024/07/the-not-so-secret-network-access-broker-x999xx/

世界に存在するデータの中には様々なタイプのものがある。

人間の主観的評価結果を不満足な自然言語で使用される何らかの符号によって表現したものに過ぎないデータも存在する。生成AIシステムそれ自体は，そのような主観的認識内容を符号化したデータに過ぎないものであるか，客観的な事実の測定結果を示すデータであるかを自動的に識別する機能をもち得ない。人間がそのような識別をする場合でも，かなり大量の別の情報を用いた総合的な比較検討を経なければならず，しかも，その判定それ自体も主観的な評価結果に過ぎないので，不満足な自然言語で使用される何らかの符号によって表現されたものであり，相対的な確実性しかもち得ない。

測定装置によって自動的に測定した結果である数値に過ぎないデータであっても，そもそも全ての測定機器には（法律によって許容される一定範囲の）測定誤差があり，（地磁気や太陽風の変化による）測定失敗や誤記録のようなデータが生成されることもあるので，測定装置による物理的な測定結果であるデータであるというだけで客観的に常に正しいとは限らない。

しかも，これまでの幾多の非違行為事例においてもみられるように意図的なデータ捏造も多数存在する。捏造データを根拠とするインチキ論文に依拠して（または違法にコピペして）作成されたコバンザメ論文のようなものも現実には多数存在するので，当初の捏造データが消去されたとしても，二次利用されたデータがネット上で流通し続け，生成AIシステムに取り込まれ続ける。

その他，非常に多種多様なタイプの客観性のないデータが存在する。

AIシステムの開発者は，要するにエンジニアなのであって，当該AIシステムの適用対象分野の専門事項を熟知している専門家ではないので，そもそも，（どの分野に関しても）データそれ自体の信頼性を評価する能力を最初からもっていない。

それゆえ，EUの関連法令においては，開発者の能力に関して，最初から「信頼しない」という価値判断を基礎として法制度を構築しようとしている。

このことは，AIシステムだからそうだというのではなく，EUの整合化立法全体について言えることだ。

比喩的に言えば，商業に関し，「実際に取引をしている企業だから企業法に関しては専門家である」という前提をとっていない。企業家は「金もうけ」の専門家なのであり，企業法の専門家ではない。もし「企業は企業法の専門家である」という前提をとると，（競争法関係及び消費者保護関係を含め）行政当局による市場監視ができなくなり，カオスが到来することを避けられない。

更に，このことは，法学専門家についても言えることだ。例えば，ある菓子の製法が営業秘密に該当すると仮定した場合，（過去の判例法を含め）適用可能な法令の条項の解釈・運用に関しては，当該分野の法律家は専門家であり得るのだが，当該菓子の製造行為それ自体について専門家であることは，基本的に皆無だと言える。例外は，偶然にも当該法律家自身が非常に優れた菓子職人でもあるというような場合だけだと考えられる。

それゆえ，法律の分野における専門家として仕事をしている者は，「自分自身はとんでもなく愚かであり，無知の極みに位置している」という明確な自覚をもち続け,1秒の余裕でもあれば，（どのような分野の対処物であれ，適法行為の範囲内で）実物を観察・考察し，関連する知識を広範に収集し，死ぬまで熟考し続ける必要がある。

それは，自分自身が「無知蒙昧の権化」にほかならないからだ。

そして，「学問すること」が本当に好きなのであれば，死ぬまで続けることができる。

自戒の念をこめて。

下記の記事が出ている。

　Meta Faces Suspension of AI Data Training in Brazil
　infosecurity: 4 July, 2024
　https://www.infosecurity-magazine.com/news/meta-suspension-ai-data-training/

下記の記事が出ている。

　Euro 2024 Becomes Latest Sporting Event to Attract Cyberattacks
　DARK Reading: July 5, 2024
　https://www.darkreading.com/cloud-security/euro-2024-becomes-latest-sporting-event-to-attract-cyberattacks

下記の記事が出ている。

　Cisco Patches Zero-Day Bug Used by Chinese Velvet Ant Group
　infosecurity: 2 July, 2024
　https://www.infosecurity-magazine.com/news/cisco-patches-zeroday-bug-chinese/

下記の記事が出ている。

　AI trains on kids’ photos even when parents use strict privacy settings
　ars technica: July 3, 2024
　https://arstechnica.com/tech-policy/2024/07/ai-trains-on-kids-photos-even-when-parents-use-strict-privacy-settings/

このような手口による場合を含め，児童の権利を侵害することは，現在制定手続が進められているEUのAI法案の最新版の正文案の中でも違法行為であると明記されている。GDPRにも違反している。

下記の記事が出ている。

　Meta’s ‘Pay or Consent’ Data Model Breaches EU Law
　infosecurity: 1 July, 2024
　https://www.infosecurity-magazine.com/news/meta-pay-consent-data-breach/

　Metaの「支払いか同意か」というモデルがDMA違反だという予備調査結果を欧州委員会が通知
　GIGAZINE: 2024年7月2日
　https://gigazine.net/news/20240702-meta-pay-or-consent-dma/

DMAの解説は下記のところにある。

　The Digital Markets Act (DMA)
　https://digital-markets-act.ec.europa.eu/index_en

＊＊＊

基本的な考え方は単純で，誰にでも理解できる。すなわち，ネットサービスを利用する場合，広告掲載を強制してはならない。
「広告掲載を解除するためには一定の料金を支払え」という約款は，広告掲載を強制したのと同ことになる。
当該ネットサービスのプロバイダとしては，（慈善事業としてサービス提供するのではない以上）広告掲載の有無と関係なく，同一額で使用料を徴収して収益をあげるというビジネスモデルとしなければならない。

これまで調査してきた結果によると，日本国の各種サービスの中にもMetaと同様にDMA違反となるものが非常に多数存在している。
しかし，日本国の当局が意図的に鈍感になっているのではないか（または，天下りの約束等を通じて癒着しているのではないか）と疑いたくなるくらい無関心なので，現実にはなかなか業務停止にならない。

なお，これとは別に，各種サービスの中で優良誤認という違法があるものも多数存在する。特に，生成AI関係ではそうだ。
しかし，これまた当局が無関心なので，現実にはなかなか業務停止にならない。