サイバーセキュリティ基礎論 ― IT社会を生き抜くために ― 研究倫理・情報倫理
研究者とは 職業として研究を行う人のこと 多くの場合「研究機関」に所属する 研究のための教育・訓練を受けて研究者になる 大学 企業の研究所、研究部門など 研究のための教育・訓練を受けて研究者になる 大学院(修士課程・博士課程) 研究室 グループでの研究と、研究者育成のための組織 研究成果によって評価される 研究論文 その他(特許など)
研究とは 既存の知識の中に感じた疑問点を拾い上げ、それに対して科学的 な実験を行ない、その結果を踏まえて新たな知見を得る 「先行研究」 既存の知識を基盤として、新しい知識を追加すること 多くの場合、論文の形で発表する 「先行研究」 ある研究のテーマに関連して、過去に行われた研究 多くの場合論文の形で発表されている データベースで調べる → 検索の重要性 図書館で調べる→ 大学図書館・研究図書館の重要性 「巨人の肩の上に乗る」 ニュートンの言葉 論文を書くときには、先行研究を引用する
論文とは 研究成果などについて論理的に説明した文章 学術論文誌(ジャーナル)に掲載(代表的な形) 論文の著者 研究者が自分の研究を発表する主要な形態 学術論文誌(ジャーナル)に掲載(代表的な形) 掲載の前に審査(査読)が存在 →ピア・レビュー 論文の著者 論文を執筆した人、論文の内容となる研究を行った人 その論文の「著者」として表記される 論文の内容(=研究)に責任を負う 功績、業績 「論文の著者」は、その論文を書いたことで評価される 著者を正しく選び適切に記載すること(オーサーシップ) 不適切な著者の記述は不正行為
「論文の引用」 ある論文を書く時に、先行研究に触れるやり方 先行研究を引用することは、自分の論文の正統性や重要 性、内容の根拠を示すこと 自分の研究にとって重要な先行研究は、適切に引 用しなくてはならない(論文執筆のルール) 本文の中で内容に言及、あるいは元の論文の文面の一部 を記載すること 書誌情報(論文タイトル、著者名、掲載誌名)を論文の 中の「参考文献」の欄に記載すること
研究の評価 論文の評価 目安 重要な知識や社会的影響力のある知識 「先行研究」として多くの論文の中で引用されること 引用される数(被引用数)の多い論文は「重要な論文」 「どの論文がどの論文を引用しているか」はデータベー ス化されている Citation Index/Impact Factor 研究者の評価 研究機関(大学)の評価
CITI Japan の教材を参考利用 CITI Japan とは Collaborative Institutional Training Initiative 科学研究および医学教育のためのeラーニング・プ ログラム 研究倫理教育
目次 責任のある研究活動 研究における不正行為 共同研究 利益相反 オーサーシップ ピア・レビュー(Peer review)
研究倫理=責任のある研究活動 研究とは 共通して持つべき価値観 既存の知識の中に感じた疑問点を拾い上げ、それに対し て科学的な実験を行ない、その結果を踏まえて新たな知 見を得る 共通して持つべき価値観 正直さ 情報を正直に伝え、誠心誠意を尽くす。 正確さ 得られた所見を誤りなく正確に伝える。 効率 資源を無駄なく有効に使う。 客観的 事実をそのまま表現する。個人的な所見を加えない。
責任のある研究活動のためのルールは存在しない - 事例 - 科学者の行動規範 (日本学術会議) 「科学者は、自らが携わる研究の意義と役割を公開して 積極的に説明し、その研究が人間、社会、環境に及ぼし 得る影響や起こし得る変化を評価し、その結果を中立 性・客観性をもって公表すると共に、社会との建設的な 対話を築くように努める」 研究活動の不正行為に関する特別委員会報告(文部 科学省) 「研究成果の発表とは、研究活動によって得られた成果 を、客観的で検証可能なデータ・資料を提示しつつ、研 究者コミュニティーに向かって公開し、その内容につい て吟味・批判を受けることである」
アメリカと日本とで異なる政府による規制 アメリカ 日本 研究者の問題を議会が把握し、議会が規制を設ける 明確な罰則規定 行政と研究者の議論を通じて研究の規制を決める 曖昧な罰則規定 日本は、研究の不正行為防止のための規制は、本人の倫理観に依存した緩やかなものになっている。
研究における不正行為 捏造・改ざん・盗用 捏造とは、存在しないデータ、研究成果等を作成す ること。 改ざんとは、研究資料、機器・過程を変更する操作 を行い、データ、研究活動によって得られた結果等 を真正でないものに加工すること。 盗用とは、他の研究者等のアイディア、分析・解析 方法、データ、研究結果、論文又は用語を、当該研 究者の了解又は適切な表示なく流用すること。
疑わしい研究行為の例 研究過程や結果を研究ノート(含・電子ファイル)に(正確に)記録しない。 研究ノート、重要な研究データ、研究資料を既定の期間、保管しない。 既に発表した研究記録や、他の研究者にとって有用な研究記録を後日見返せるように保 管しない。 研究成果への貢献がないのに共著者に加える(ギフト・オーサーシップ)。 研究成果への貢献があるのに共著者に加えない(ゴースト・オーサーシップ)。 研究不正の調査に対して、研究ノート、重要な研究データ、研究資料の提供を拒否する。 この場合、拒否行為自体が研究不正行為そのものだと判定される可能性は大きい。 研究指導教員の学生・大学院生への研究指導を十分にしない。 研究室の指導教員が、学生・大学院生のデータ・研究成果を搾取する。 先行研究を適切に引用しない。
(企業との)共同研究 共同研究で起き得る問題 個々の研究者で異なる姿勢 領域内および領域をまたがった際の研究スタイルの 違い 研究データや成果の共有に関する大学と企業の姿勢 の違い 企業戦略と研究者の経済的ニーズの違い
共同研究を行うときの注意 研究開始に先立つ徹底調査 コミュニケーション 役割分担とその流動性についての認識を共有して おく オーサーシップ(論文著者となる資格)について 事前に話し合っておく データや研究資材、試料の取り扱いについて事前 に話し合っておく リーダーシップを確立する 各研究者が担う責任を明確にしておく
利益相反 (りえきそうはん) 利益相反とは 金銭やその他の個人的な利害を考慮することによっ て、専門家として行う判断に妥協もしくは偏向が生 じ、またその客観性が失われる可能性のある状況
個人レベルで生じ得る利益相反 学問上の思い入れ(形を有さないもの)による 場合が多い。 持論を証明したいという願望。 本人が信じる仮説に合致しないデータの黙殺。 特定の理論に対する過度の信頼。 自分が好むグループが唱える理論に対する特別な思 い入れや偏重。 成果を得なければならない、という内外からのプ レッシャー。
オーサーシップ オーサーシップのルール(医学雑誌編集者国際委員 会International Committee of Medical Journal Editors (ICMJE)の例) 研究の構想・立案、データの収集、あるいはデータの解 析および解析結果の解釈のいずれかに実質的に貢献して いる。 論文の原稿を書くか、その論文の内容に関わる極めて重 要な校正・改訂作業(リバイズ)にかかわっている。 掲載される最終版の原稿の中身を理解し、承認している。 論文のあらゆる側面について、論文の正確性・真正性に 疑義が寄せられたときに適切に説明することができる。
オーサーシップとして認められない例 研究資金の獲得、研究グループのとりまとめ、 業務補助全般や執筆補助、技術的な編集作業や 言語面における編集や校閲作業のいずれについ ても、それのみでは、オーサーシップに値する 貢献とは認められない。 謝辞に書くべき
ピア・レビュー(Peer review) 同じ分野の専門家による査読・審査 科学研究では同じ分野の専門家同士が互いに査 読・審査し合うことが最も質が高く、公平な評 価に至るものとして、今日広く受け入れられて いる。 査読 シングル・ブラインド 著者には査読者の名前を伏せる ダブル・ブラインド 著者・査読者が互いに誰であるかを知らされない
査読者の倫理 守秘義務 建設的な批判 適格性 不偏性・公正性 利益相反の開示 即応性
情報倫理を知り,考える 情報倫理と情報モラルとは 九州大学情報倫理規定 人間、物とコンピュータ・ネットワークの関係と情報 倫理 情報倫理と法律 情報倫理に基づいた事例 (SNS などでのトラブル) 情報倫理に基づいた事例 (管理者による不正行為) 情報倫理と著作物
情報倫理と情報モラルとは 情報倫理(じょうほうりんり、英語: information ethics)(Wikipedia) 人間が情報をもちいた社会形成に必要とされる一般的 な行動規範。 情報を扱う上での行動が社会全体に対し悪影響を及ぼ さないように、より善い社会を形成しようとする考え 方 倫理:社会という共同体の中での道徳(自発的な善悪 の判断規範)の結合体,かつ行動の規範の中核 情報モラル:情報社会で適正な活動を行うための 基になる考え方と態度」(文科省指導要領)
九州大学情報倫理規定 http://www.kyushu-u.ac.jp/university/rule/zenbun/2012kitei073.pdf 九州大学の情報資産を利用する者の心得、 責務、遵守事項等を定めることにより、利 用者の倫理(「情報倫理」)を保持し、情 報資産の安全、円滑及び適正な利用を促進 し、もって本学の教育、研究、診療及び大 学運営(「教育等」)の充実を図ることを 目的とする.
九州大学情報倫理規定 情報資産を利用するに当たり、情報資産の管理及び運用に ついて定めた学内規則等の遵守と,禁止行為 http://www.kyushu-u.ac.jp/university/rule/zenbun/2012kitei073.pdf 情報資産を利用するに当たり、情報資産の管理及び運用に ついて定めた学内規則等の遵守と,禁止行為 (1) 利用資格において許可されていない行為 (2)他者の権利利益を害する行為 (3)虚偽の情報又は公序良俗に反する情報を発信する行為 (4)情報資産を毀損し、又は混乱させる行為 (5)その他情報政策委員会が不適切とする行為 利用者は、情報資産を利用するに当たり、不正アクセス行 為の禁止等に関する法律(平成11年法律第128号)、 著作権法(昭和45年法律第48号)、独立行政法人等の 保有する個人情報の保護に関する法律(平成15年法律第 59号)その他の関係法令を遵守しなければならない。 情報セキュリティ事故に関する報告義務
九州大学セキュリティポリシー 社会に対する説明責任 https://www.sec.kyushu-u.ac.jp/sec/policy/policy2.1.pdf 社会に対する説明責任 教育・研究及び学に求められる社会貢 献に必要不可欠となった情報基盤の可 用性(いつでも必要な時に利用資格の ある人が利用できるという状態)の保 証 外部からの脅威への対策 内部のコンプライアンス確立のための 統制
九州大学セキュリティポリシー 管理運営組織の構成 本学外の情報セキュリティに悪影響を及ぼす行為の防止と処 置 https://www.sec.kyushu-u.ac.jp/sec/policy/policy2.1.pdf 管理運営組織の構成 本学外の情報セキュリティに悪影響を及ぼす行為の防止と処 置 事故及び障害の報告,緊急時の対応,情報の格付け及び取扱 い制限のルール 情報の分類と利用権限,情報の管理,情報の公開,限定公開 情報改ざん及び偽情報流布の防止 情報システム及び記憶媒体の処分 媒体自体の破壊または専用の磁気消去装置を利用 通常の消去操作では管理情報のみが消去.情報そのものは消去 されない 数回の上書き消去でも残留磁気情報の読み出しによって情報を 復元できる 物理的セキュリティ,人的セキュリティ ポリシーの実施,評価及び見直し デジタルフォレンジック(Digital Forensics)
コンプライアンスとは 組織が法令や内規などの基本的なルール、社会倫理に従って行動をすること。 社会倫理 内規 法令
サイバーセキュリティコンプライアンスとは 法律:サイバーセキュリティ基本法等 倫理:情報倫理規定、サイバーセキュリティポリシ 社会倫理 セキュリティポリシ、情報倫理規定 サイバーセキュリティ基本法
十和田湖でおきた事件 倫理:明文化されていない。 “苔ははがさないでください”という看板がなければ、はがしてもよいか?
セキュリティポリシ 組織における、情報資産に対する セキュリティに関わる取扱いのポリシをとりまとめたもの。 セキュリティポリシ 例1 セキュリティポリシ 例2 いかなる理由でもフィアウォールの外にサーバは出せない。 申請すればフィアウォールの外に サーバを出せる。
人間、物とコンピュータ・ネットワークの関係と情報倫理 インターネットが社会に及ぼす影響の「光」と「影」の両面を理解 個人情報やプライバシーの意義を理解、適切な取り扱い方、態度を修得 著作物の文化的意義を理解、著作物をはじめ知的財産権を尊重する態度を 修得 インターネットを生活の中で利活用できる態度を修得 インターネットがビジネスに及ぼす影響を理解し、正しく活用できる態度 を修得 情報に対する正しい知識と判断力、インターネットやメディアの活用力を 修得 Webや電子メールを利用した情報の発信と受信を理解、モラルやマナーを修 得 情報セキュリティやコンピュータ犯罪について知り、被害者・加害者にな らないための態度を修得 書籍『インターネットの光と影 Ver.4 被害者・加害者にならないための情報倫理入門』 情報教育学研究会(IEC) 情報倫理教育研究グループ編 北大路書房刊 http://www.chieru-magazine.net/special/entry-932.html
今の一般ユーザの情報倫理・情報セキュリティに関する意識は? 調査結果を見てみましょう
「2014年度情報セキュリティに対する意識調査」報告書より(1/3) https://www.ipa.go.jp/security/fy26/reports/ishiki/index.html (1)行動ターゲティング広告:利便性よりも閲覧履歴 等の情報が収集されることやその管理が不安視されてい る 「知らない間に自分の情報が収集されている様で、気持ちが悪い」 (54.7%) 「収集されている情報が漏えいしないか不安である」 (36.5%) 行動ターゲティング広告を無効にするためには広告の配信サービス に対するオプトアウト(opt-out:企業が一方的に送信する広告の 受信を拒否することや登録したサービスから脱退すること、および そのための措置、制度のこと。 )が必要 日本国内では平成20年12月1日に施行されたた迷惑メール対策関連 の改正法により、広告・宣伝メールなどの送信が、それまでのオプ トアウト方式からオプトイン方式に変更 情報漏えいについての不安はある
「2014年度情報セキュリティに対する意識調査」報告書より(2/3) https://www.ipa.go.jp/security/fy26/reports/ishiki/index.html (2)若年層(10代)およびパソコンの習熟度 が低い(level 1)利用者は適切なパスワード 設定せず 「パスワードは誕生日など推測されやすいもの を避けて設定している」か? 36.4% (全体 52.6%) 「パスワードは分かりにくい文字(8文字以上、 記号含む)を設定している」か? 39.2%(全体 50.7%) サービス毎に異なるパスワード設定:15.8%(全 体29.2%) けれど,パスワードには無頓着
「2014年度情報セキュリティに対する意識調査」報告書より(3/3) https://www.ipa.go.jp/security/fy26/reports/ishiki/index.html (3)悪意ある投稿をするスマートデバイス利用者が増加。 倫理意識の低下傾向が見られる 「相手に仕返しをするために(13.2%)」 「人の意見に反論したかったから(32.3%)」 「炎上させたくて(6.8%)」 「気が済んだ、すっとした(31.9%) 」 (4)“他人のアカウントであっても、推測等でログイン できたらインターネットサービスを利用する” という20 代の利用者の割合は前回調査より倍増 ネットワークを介して他人のアカウントを利用することは、不正アクセス禁止法違反
情報倫理に基づいた事例 (SNS などでのトラブル) 炎上,個人情報掲載,チェーンメール,デマ 有料サイトからの利用料架空請求 (ワンクリッ ク詐欺) 児童買春・児童ポルノ 出会い系サイトからの迷惑メール 非出会い系サイトでの出会い系サイトの内容の書 き込み,家出掲示板 「出会い系サイト規制法」(正式名称「インター ネット異性紹介事業を利用して児童を誘引する行 為の規制等に関する法律」)平成15年制定,平成 20年12月1日施行 http://www.npa.go.jp/cyber/deai/law/
出会い系サイトの規制法 児童(「満18歳に満たない者」)に出会い 系サイトを利用させること 平成15年(2003年)制定 児童(「満18歳に満たない者」)に出会い 系サイトを利用させること 児童を性交の相手とする交際を誘引する書 き込みをすること 児童を対象とした異性交際を誘引する書き 込みをすること 出会い系サイトの運営事業者(インター ネット異性紹介事業者)に対して、都道府 県の公安委員会への届け出を義務づけ。無 届けでの営業には、6カ月以下の懲役か100 万円以下の罰金 (2008年5月改正)
情報倫理に基づいた事例 (管理者による不正行為) http://www.ipa.go.jp/security/announce/20140710-insider.html 内部不正が発生する仕組み:不正のトライアン グル 「動機・プレッシャー」:プレッシャー(業務量,ノルマ 等)や処遇への不満 「機会」:技術(ITシステム,ネットワーク)や部鶴的な環 境及び組織のルールなどで,不正行為の実行を可能または容 易にする環境 「正当化」:都合の良い解釈,他人への責任転嫁などの理由 づけ 対策例 重要な情報であることの明確化,適切なアクセス権限の付与 重要情報の持ち出し,可搬媒体等の持ち込みの監視 定期的な操作履歴の監視・監査