【週末雑談】twitterのセキュリティ攻撃と自分のパスワード管理について

投稿日: 2013/02/02 作成者: kurikiyo

ご存じの方も多いと思いますが、セキュリティ攻撃により約25万人のtwitterユーザーのパスワードが漏洩してしまったようです(公式ブログ)。漏洩の可能性があるユーザーには既にパスワードのリセットのお願いが来ているようです。(さすがに某社のように平文パスワードを保管しているなんてことはなかったようで)漏洩したパスワードは暗号化済なので大丈夫とは思いますが用心に越したことはありません。

使うネットサービスの数が増えてくる中で、ユーザーとしてパスワードをどう管理するかはなかなか悩ましい課題です。理想的にはサービスごとに別のパスワードを使えばよいのですが、現実問題としてなかなかやってられません。

確実に言えるのは、メールアドレスをユーザーIDとして使うサービスにおいて、そのパスワードがIDのメールアドレス自体のパスワードと同じというのは絶対避けるべきということです。セキュリティ攻撃をするまでもなく、ダミーのサービスを立ち上げて、メアドとそのパスワードを収集する輩がいる可能性が十分あり得るからです。メールアドレスとパスワードのペアを盗まれて詐欺の踏み台にされると結構厳しいですね。ちょっと前に、Gmailのなりすまし事件が何件か発生したと思いますが、この方式でパスワードが盗まれたのではないかと推測しています。

また、自分の場合は、PayPal等の金銭を扱うサービスは別のパスワードを使ようにしています。メールサービスごとのパスワード、通常のネットサービスのパスワード数種類、金関係のパスワードの使い分けで(完璧とは言えないですが)一応リスクは抑えられるんじゃないかと思っています。

それから、パスワードの決め方ですが、ディクショナリーアタックを防ぎつつ自分で覚えやすくするように、気に入った英語のフレーズを決めてその単語の頭文字を並べるやり方にしています。たとえば、”money does not grow on trees”で覚えられる”mdngot”というパスワードを使うなどです(これだとちょっと文字数足りないですが)。これは、わりと有名な手法だと思いますがご紹介しておきます。

カテゴリー: IT, 雑談 | コメントする

オープンデータは「生きたデータ」でないと意味がない

投稿日: 2013/02/01 作成者: kurikiyo

経済産業省がオープンデータの実証サイトOpen Data METIを立ち上げています。経産省管轄の統計データや白書が公開されています。今までも公開されていたデータだとは思いますが、1カ所でまとめて提供することには意義があると思います。

とは言え、諸外国と比べて周回遅れ感があるのは否めません。米国政府はオープンデータのポータルData.govを2009年に立ち上げています。現在は約40万種のデータセットが公開されています。その目的は「政府が収集したあらゆるデータのリポジトリ」とすることです(もちろん、国防関係や個人情報は除きます)。

米国以外でも、英国(data.gov.uk)(Tim-Berners Lee卿が推進者のひとりです)、フランス(www.data.gouv.fr)等のEU諸国、韓国(www.data.go.kr (ハングル))等が同様のオープン・ガバメント・データのサイトを2011年前後から立ち上げています。

なぜ、ここまで日本の状況が遅れてしまったかについてはまた後日問題提起したいと思います。

Data METIに関するもうひとつの不満は、ほとんどのデータがWord、Excel、PDFなどの形式で公開されている点です(中には表形式なのにイメージ(gif)で公開されているものもあります)。人が頭から読むための文書データをPDFで公開するのはまだしょうがいないとしても、数値データをExcel形式で公開されるとちょっと困ってしまいますね。

Excel形式はベンダー独自であるということに加えて、再利用が困難という問題があります。もちろん、1回Excelで開いてCSVなりXMLに変換すればよいのですが、最初からXMLで公開すればよい話です。

データは加工して、他のデータと組み合わせて、他者とシェアーして最初は思いもつかなかった使用法を考案してもらうようにできてこそ価値を生みます。いわば「生きたデータ」として公開しなければ意味がありません。たとえば、イメージ形式で公開してしまうと人間が目で読むというひとつの目的にしか対応できなくなります。これは「死んだデータ」です。

プレゼンテーション1

XML形式のデータをリアルタイムのAPIで提供する、これがオープンデータの基本です(サイズがきわめて大きいデータはファイル転送せざるを得ないこともあるでしょうが)。というか、これは一般にWebサービスの設計をする人にとっては常識であり、わざわざ書くような話ではありません。問題はデータのオーナーにこの常識を知らない人が多いかもしれないという点でしょう。

そういえば、東日本大震災の時も放射線量の測定データをPDFのレポート形式で公開していた自治体があり、情報の統合を困難にしていた事例があったと記憶しています。また、最近はさすがにないと思いますが、政府や自治体のWebサイトが肝心な部分をイメージにしており、視覚障碍者向けの読み上げを不可能にしていたケースもありました。

文句ばかり言っていてもしょうがないので、日本政府による今後のキャッチアップを期待します。私もブログで書くだけではなく、提言をまとめて経産省等にインプットしていきたいと思います。

カテゴリー: オープンデータ | コメントする

日本の知財制度はオープンデータに対応できるのか

投稿日: 2013/01/31 作成者: kurikiyo

オープンデータがちょっと話題になっています。オープンデータとは自由に利用・再配布されることを目的として公開されるデータです。オープン・ソース・ソフトウェアのデータ版と考えればよいかと思います。

日本ですと、何となく、オープンデータは政府や地方自治体が行政関連の情報を公開するものというイメージが定着しつつあるような気がしますが、それはオープン・ガバメント・データというオープンデータのサブセットであって、たとえば、大学やボランティア活動家、さらには私企業が広くデータを公開することも含めてオープンデータと呼ぶべきです。

オープンデータの可能性と課題については、今後、このブログでもどんどん触れていきたいと思います(一般消費者にもわかりやすそうな米国での活用事例については既に書きました)。

オープンデータの今後の発展を考えていく上で重要な課題のひとつが知的財産権です。考慮点としては大きく分けて2つあるかと思います。

コントロールしたいのにできない

オープンデータのそもそもの定義としてデータを自由に利用・流通させることがあります。しかし、現実には完全に自由なパブリックドメインにしてしまうのではなく、データの利用に対して制限を加えることが望ましい場合があり得ます。たとえば、非営利の利用に限定する(追記:オープンデータの定義にしたがえうば非営利限定はあまり望ましくないようです、まあ現実的にはこのような制限を加えたい時もあり得るということで考えてください)、出典を明記するなどです。

クリエイティブ・コモンズ(CC)やオープン・ソース・ソフトウェア(OSS)では、著作物を対象としているがゆえに、著作権を利用してこのような権利の一部制限(いわゆるコピーレフト)を実現しています。たとえば、改変部分のソースを公開しないなどGNUライセンスに従わない利用を法的な強制力をもって禁止したりできます。

しかし、日本の著作権法ではデータそのものは保護されません。「感情や思想を創作的に表現したもの」という著作物の定義に合致しないからです。「データベースの著作物」の規定がありますが、これは、情報の選択や体系に対する保護であって、中身であるデータそのものに権利が及ぶわけではありません。

仮にオープンデータが公開側の意図に反して使われた場合には、契約違反、あるいは、一般不法行為を問うしかないですが、いずれも著作権法よりも抑止力は弱いです。

このデータそのものを知財としてどう保護すべきかという問題は、オープンデータの話とは別に、一般的な問題としてかなり前から議論されています。過去においては、市場調査データなどのように財産的価値があるデータを知財として保護する制度が不十分であったからです。

この分野で先進的なのは、ヨーロッパです。1996年に「データベースの法的保護に関する指令」を採択し、特定ケースにおいてデータベースのデータそのものに対する権利を認めています(これについてはまた後日)。

とは言え、著作権と同様、保護と利用のバランスを考えなければいけないですし、特に、事実を表現するだけのデータに強力な独占権を与えるのはまずいので、制度設計上は十分な検討が必要です(これについてもまた後日)

公開したいのに制限される

オープンデータとは言っても単純なデータではなく文書等のコンテンツが対象になることもあります。そうなってくると著作権を気にしなければならなくなってきます。行政機関等が業務上作ったコンテンツを公開する分には権利者自身が公開するので、著作権的な問題は少ないですが、他人が作ったコンテンツを公開する場合には問題が発生し得ます。

典型的なケースが特許公報です。以前も書いた通り、特許制度の意義は発明を公開する代償として独占権を付与することにあるので、本来的には特許公報はオープンデータとしてどんどん公開すべきものです(もちろん、既に特許電子図書館(IPDL)などにより国民が無料でアクセス可能になっていますがGoogle Patentのようにもっと使いやすい手段で公開すべきです)。しかし、その一方で、特許公報の明細書部分は書いた人(通常は弁理士)を著作者とする著作物でもあります(企業内弁理士が作成した場合には職務著作として出願企業が著作権者になると見ることもできます)。

日本の著作権法では、法律の条文、裁判所の判決等々については著作権の対象としないという規定があるのですが、特許公報についてはこのような規定はありません。また、(真の意味の)フェアユース規定がありませんので、公益上有意義であり権利者にも損害が発生していないケースでも、建前上は逐一著作権者の許諾が必要です。

と言いつつ、もうなし崩し的に特許明細書には著作権はないかのように扱われているのが現実です。民間の特許情報サービスに掲載するのに明細書の作成者の許諾を取ったりはしないですし、弁理士・特許系弁護士で公報を印刷したことがない人はいないはずです。弁理士が明細書の著作権を侵害されたとして訴えるようなことはないとは思いますが、個人発明家(特に「特殊特許領域」)で自分で明細書書いた人が国や業者を訴えるなんて可能性はないとは言えないんじゃないかと思います。

この状況に対応するには、わが国の著作権制度ですと法改正をするしかないので、また数年におよぶ長いプロセスが必要になってしまいます。

==

一般に著作権制度がテクノロジーの進化に追いついていないというのは今までもずっと、そして、どこの国でもある問題なわけですが、オープンデータとわが国の知財制度の不整合に由来する問題が今後いろいろと噴出してくるかもしれません。データは公開されるもの、利活用するもの、流通するものという前提で知財制度を再考する必要があると思います。

カテゴリー: オープンデータ, 知財 | コメントする

違法ダウンロード刑事罰化の条文のわからなさについて

投稿日: 2013/01/30 作成者: kurikiyo

いろいろと問題が指摘されつつも結局成立してしまったいわゆる違法ダウンロード刑事罰化の著作権法改正ですが、その条文がかなりわかりにくい状態になっています。著作権法の条文(その意味で言えば知財関連法の条文)はもともと複雑なのですが、違法ダウンロード関連は後からパッチ的に追加されたこともあり、とりわけわかりにくくなっています。

119条3項
第三十条第一項に定める私的使用の目的をもつて、有償著作物等(録音され、又は録画された著作物又は実演等(著作権又は著作隣接権の目的となつているものに限る。)であつて、有償で公衆に提供され、又は提示されているもの(その提供又は提示が著作権又は著作隣接権を侵害しないものに限る。)をいう。)の著作権又は著作隣接権を侵害する自動公衆送信(国外で行われる自動公衆送信であつて、国内で行われたとしたならば著作権又は著作隣接権の侵害となるべきものを含む。)を受信して行うデジタル方式の録音又は録画を、自らその事実を知りながら行つて著作権又は著作隣接権を侵害した者は、二年以下の懲役若しくは二百万円以下の罰金に処し、又はこれを併科する。

特にややこしいのは「(国外で行われる自動公衆送信であつて、国内で行われたとしたならば著作権又は著作隣接権の侵害となるべきものを含む)」というカッコ書きの、あたかも英語の仮定法過去構文のような表現です。しかも、この部分に関する逐条解説的なものがまだないように思えます(もしあるのをご存じの方がいたら教えてください)。なお、以前に改正された違法ダウンロード(刑事罰がつかない方)の規定である30条1項3号にもこの「国内で行なわれたとしたならば」的な記載があります。

そもそも、なぜこのような変な規定にせざるを得ないかというと、著作権法の適用では一般的に属地主義(行為が行なわれた国の法律を適用)が採用されると考えられているからです(参考Wikipediaエントリー「著作権の準拠法」)。

たとえば、中国で権利者の許諾なくコンテンツを配信すると、原則的に中国の著作権法によって裁かれます(例外的ケースについては後述)。単純に、「違法に配信されているコンテンツをダウンロードするのは違法」という規定にしてしまうと、海外で配信されているコンテンツについては対象外とされてしまいかねません(配信行為が日本の著作権法に反しているわけではないため)。かと言って、「海外で配信されたものについてはその国の著作権を侵害して〜」みたいな書き方をして、海外の法律によって日本の法律の効果が変わるような書き方もよろしくないので、「国内で行なわれたとしたならば〜」という形に落ち着いているのだと思います。

実際、他にも似たような書き方をしている法文はあります。たとえば、組織犯罪処罰法では、

2条2項:この法律において「犯罪収益」とは、次に掲げる財産をいう。
財産上の不正な利益を得る目的で犯した別表に掲げる罪の犯罪行為(日本国外でした行為であって、当該行為が日本国内において行われたとしたならばこれらの罪に当たり、かつ、当該行為地の法令により罪に当たるものを含む。)により生じ、若しくは当該犯罪行為により得た財産又は当該犯罪行為の報酬として得た財産(以下略)

という規定にすることで国外犯についても対象を広げています。ここで、「当該行為」とは組織殺人とか偽札作りとかそういう話です。こういう行為はいかなる文脈においても犯罪と考えられる(殺人や偽札作りの許諾を受けるということは想定できない)ので、こういう規定ぶりでも特に問題はないかと思います。

ところが、著作権法119条3項の話はこれほど簡単ではありません。第一に、この条文によって刑事罰の対象になるのは、国外で配信した人ではなく、 国内でダウンロードした人です。第二に、殺人や偽札作りとは違い、著作権侵害が成立するか否かは権利者の許諾(契約)があるかどうかによって変わります。

もう少し具体的なパターンに分けて考えてみようと思います。

パターン1:海外の未許諾サイトから送信されるコンテンツを日本からダウンロードした場合

この場合は当然に(故意等を要件として)刑事罰対象になるでしょう。というかこのようなパターンにおいて、国外での行為の違法性を問うまでもなく日本のダウンロード者を検挙できるようにするのがこのカッコ書きの目的と思われます。

パターン2: 海外で合法的に配信されているコンテンツで日本からのアクセスが規約上禁止されているものを日本からダウンロードした場合

典型的にはSpotifyなどのように海外では合法に展開されているが、日本ではまだ展開されていないサービスを日本から使った場合です(このブログでも以前のエントリーで検討しました)。サービス提供者とユーザーの間の契約違反になるのはほぼ確実として、著作権侵害になるのか(故意であれば刑事罰対象になるのか)という点がポイントです。

前にも書いたとおり、サービス提供者が日本国内のサーバから配信したとしたならば著作権を侵害するかどうかは、サービス提供者と権利者(著作権管理団体や原盤権者)との契約により決まります。日本から配信してよいという契約がなければ、少なくとも文言上は「国内で行われたとしたならば著作権又は著作隣接権の侵害となるべきもの」になってしまうと思われます。

現実には「その事実を知って」などの要件が満足されないとは思いますが、一般人には知るよしもないサービス提供者と権利者の間の契約内容によって刑事罰が適用されるかされないかが決まるのはあまりよろしくないと思います。

この件に関してさらに付け加えると、壇俊光弁護士のブログ記事では、日本では著作権法関連犯罪については属人主義が採用されていることから、日本人が外国にいる時にその国で合法的に配信されている(しかし、まだ日本では配信されていない)コンテンツをダウンロードしてしまうと刑事罰の対象になり得るという危険性が指摘されています(これも、現実には「その事実を知って」などの要件が満足されないとは思いますが)。

パターン3: そもそも配信の許諾が不要な国から配信されるコンテンツを日本からダウンロードされた場合

最も典型的なケースは日本よりも著作権の保護期間が短い国(今後、仮に日本の著作権保護期間が延長されると、たとえば、中国は日本より保護期間が短くなります)でパブリックドメインとして配信されているコンテンツを日本からダウンロードする場合です。

おそらくはこのパターンも禁止したいのが法改正の趣旨だと思います(そうしないと保護期間延長の意味が半減してしまいますので)。しかし、パターン2とは異なり、このパターンでは配信側にとって日本で別途許諾を得る動機がほとんどないので、日本から合法的にダウンロードできる機会が制限されてしまう可能性があると思います。

==

なお、念のため書いておくとこのブログエントリーの趣旨(そして、おそらくは壇先生のブログエントリーの趣旨)はダウンロード者をどんどん検挙せよということではありません。条文を文言通りに解釈するとさほど悪質ではない人まで犯罪者になってしまうような条文の書き方はおかしくないか、検討が足りていないのではないか、一般人にもわかりやすい形での情報提供が足りていないのではないか、ということであります。まあたぶん立法者側としては「国内のLマーク付きのサイトからダウンロードすれば安心、それ以外のサイトは危険」ということにしておきたいのかもしれません。

カテゴリー: 著作権 | コメントする

あずきバーとApp Storeの関係について

投稿日: 2013/01/28 作成者: kurikiyo

ちょっと前になりますが知財高裁によって井村屋グループに「あずきバー」の商標登録が認められたというニュースがありました(正確に言うと、商標登録を認めないとした特許庁の審決を知財高裁が取り消したのですが結果的には同じことです)。

商標法には、商品の産地、材料、形態、効能等々を普通に表示しただけの商標(記述的商標と呼ばれます)は登録されないという規定(3条1項3号)があります。要は「そのまんまの商標」は登録されないということです。根拠は、そういう商標では消費者が他の企業の商品との区別を付けられず商標の機能を発揮し得ないこと、および、特定企業にそのような商標を独占させることは好ましくないことです。たとえば、特定企業が自社のオレンジジュースについて「オレンジ」という商標を登録して独占するのは明らかにまずいことから、この規定は当然と言えます。

しかし、この規定には例外があります。長年の使用によって、消費者が商品の出所を把握できるほどにおなじみになったと判断された場合には記述的商標であっても登録されます(3条2項)。「使用による識別性」とか「特別顕著性」と呼んだりします。使用による識別性を獲得した例としては「夕張メロン」などがあります。駄目だった例としてはサントリーの「はちみつレモン」などがあります(なので、他メーカーも問題なくはちみつレモンという名称の飲料を販売していたりします)。

「あずきバー」をあずきの入ったアイスバーという商品に使うと基本的には「そのまんま商標」なので登録できないという特許庁の判断は当然かと思います。問題は、「あずきバー」と聞いた時に消費者が井村屋の特定商品を思い浮かべるか、あずきの入ったアイスバー全般の名称としか考えないか、つまり「使用による識別性」があるのかないのか、という点です。

井村屋は知財高裁において「あずきバー」は既にナショナル・ブランドと言えるほど著名になっていること、多大な宣伝費を投資してきたこと等々を様々な証拠に基づいて主張して「使用による識別性」を認めてもらえました(なお、「あずきバー」はそもそも記述的商標ではないという主張も行なっていますがこちらは認められていません)(知財高裁の判決文(PDF))。

米国の商標制度にも「使用による識別性」と同様の考え方があります。一般に、セカンダリー・ミーニング(二次的意味)と呼んだりします。

セカンダリー・ミーニングのあるなしで今まさにもめている事件が、AppleとAmazonの間のApp Store商標の問題です。Appleは、多大な投資によりApp StoreはAppleのサービスというセカンダリー・ミーニングを消費者の間に確立させているので、Amazonがこの名称を使うこと(Amazon Appstore)を虚偽広告に相当するとして訴えました(米国では商標を使用しているだけで権利が発生するので日本とちょっと事情が違います)。これに対してAmazon側は「アプリのストア」なんだからApp Storeは「そのまんまの商標」であってAppleが独占すべきものではないと反論しました。

この争いについては、つい先日(2013/01/02)に、北カリフォルニア地裁が、Appleの訴えは根拠がない(AmazonがAppstoreという名称を使うことに問題はない)との略式判決を出し、その後和解を勧告しています(参考記事)。Appleの旗色が悪そうです。

個人的には「あずきバー」商標を井村屋に独占させるのは問題ないと思いますし、App Store商標をAppleに独占させるのはちょっとまずい気がしますのでいずれのケースも納得がいきます(人によって意見は違うと思いますが)。

ところで、商標権に関する争いにおいて、上記のように宣伝等に多大な投資を行なった企業が有利に扱われるのは不公平なんじゃないのと思われる方もいるかもしれません。しかし、商標制度とは本質的にそういうものなのです。この点で特許とは根本的に違います。

特許制度は個人のアイデア(発明)を保護するための制度です。したがって、多大な研究開発投資を行なっている大企業の発明も、町の発明家の発明も(少なくとも建前上は)同格に保護されます。しかし、商標制度が保護する対象はアイデアではなく企業の信用です。したがって、多大な宣伝費をかけてきた製品の商標には保護するに値する企業の信用がより強く結びついているので、より強く保護すべきであるというのが商標制度の基本的考え方です。

特許は創造活動(発明)の奨励を主な目的とし、商標は業界秩序の維持を主な目的とすると考えるとわかりやすいと思います。

カテゴリー: 商標 | コメントする