AI-Pass 第4章-1 情報リテラシー

インターネットリテラシー

インターネットリテラシーとは

• インターネットリテラシーとは、技術理解・情報判断・安全管理・社会的責任を含む総合的な能力のこと
• 【構成要素】
  1. テクノロジーの理解
     • インターネットの仕組みやデジタル技術の基本を理解する
  2. 情報リテラシー
     • 情報の信頼性を判断し、適切に活用する能力
  3. セキュリティとプライバシー
     • 個人情報やデータを安全に扱うための知識と行動
  4. デジタル市民権
     • インターネット社会で責任ある行動を取る姿勢

セキュリティとプライバシー

フィッシング詐欺

• フィッシング詐欺とは、実在する企業や金融機関などを装ったメールやWebサイトを使って、ID・パスワード・クレジットカード情報などの個人情報をだまし取る詐欺手法（不特定のユーザが対象）
• 【対策】
  • URLを確認する
  • 不審なリンクを開かない
  • 多要素認証（MFA）を利用する
  • 公式サイトへ直接アクセスする

スミッシング

• スミッシング（Smishing）とは、SMS（ショートメッセージ）を利用して偽のURLを送りつけ、個人情報や金銭をだまし取る詐欺手法
• 「SMS」と「Phishing（フィッシング）」を組み合わせた言葉

ヴィッシング（Vishing）

• ヴィッシングとは、電話を通じて標的から資格情報やクレジットカード情報などを引き出し、不正アクセス・金銭をだまし取る詐欺手法
• 音声（Voice）とフィッシング（phishing）とを合わせた言葉

悪意のあるQRコード

• QRコード（Quick Responseコード）とは、情報を縦横のパターンで記録した二次元コードであり、スマートフォンなどで読み取ることで、Webサイトやテキスト情報などにアクセスできる仕組み
• QRコードは見た目では内容を判断できないため、不正なWebサイトへ誘導などに悪用されやすい
• 【対策】
  • 疑わしいQRコードは読み込まない
  • 読み取った後に表示されるURLを確認する
  • 公式サイトかどうかを確認する
  • 安易に個人情報を入力しない

Wi-Fiに潜む罠

• Wi-Fiとは、無線通信を利用してインターネットやネットワークに接続するための技術である。
• 無線通信の特性を悪用して個人情報を盗み取ったり、不正アクセスをされるリスクがある。
• 【対策】
  • 基本的に「Wi-Fiをオフ」「Wi-Fiに自動的に接続しない設定」にする
  • 公共Wi-Fiを安易に利用しない、重要な情報を入力しない
  • VPNを利用する
  • 自動接続機能を無効にする

アップロード・ダウンロード

• インターネットでは、不適切なコンテンツへのWebアクセス等に伴い、データのアップロード/ダウンロードのどちらも脅威がある
• アップロードに伴う危険：個人情報や機密情報などのデータの漏洩
• ダウンロードに伴う危険：マルウェアの感染
• 【対策】
  • アンチウィルスソフトを最新状態に保ち、定期的にシステムスキャンを実行する
  • ダウンロードする前にコンテンツファイルなどを確認し、安易にファイルを開かない

不適切なコンテンツへのWebアクセス

マルウェアの脅威

• マルウェア（Malware）とは、悪意をもって作られた(被害を与えることを目的)不正なソフトウェアの総称で、「Malicious（悪意のある）」＋「Software（ソフトウェア）」を組み合わせた言葉
• マルウェアの被害
  • ランサムウェア
    • パソコン内のデータが勝手に暗号化され、復元するために身代金を要求される
  • スパイウェア
    • ユーザの行動(閲覧履歴、入力情報など）を秘密裏に収集し、第三者に送信する
  • トロイの木馬
    • 正規のソフトウェアや有用なプログラムを装って利用者に実行させ、内部で不正な動作を行う

ソーシャルエンジニアリング攻撃

• ソーシャルエンジニアリング攻撃とは、人間の心理的な隙を利用して個人情報や重要なデータを盗みだす手法

スピアフィッシング

• スピアフィッシングとは、特定の個人や組織をターゲットにしたフィッシング攻撃で、信頼できる送信者を装って情報を盗み出す

ベイト攻撃

• ベイト攻撃とは、人間の「欲」や「好奇心」などの「餌（ベイト）」を利用してマルウェア感染などを促す手法
• 例：「餌（ベイト）」として、公共の場に置かれたUSBメモリや、魅力的な特典付きのメール、無料ダウンロードなどが代表例

ブラックメール

• ブラックメールとは、秘密情報や恥ずかしい情報を掴んだ攻撃者が、「その情報を公開する」と脅迫して金銭を要求する手法

プレテキスト

• プレテキストとは、偽りの身分や立場を利用して信頼関係を気づいたうえで情報を引き出す手法
• 攻撃者は、ターゲットの信頼を得るために信頼性の高い虚偽のシナリオ等の前提(プレテキスト)を設定し、それを根拠に情報を要求する

プライバシー設定

• プライバシー設定とは、他のユーザや企業が、自分の個人情報にどの程度アクセスできるのかを設定すること

生成AIの技術的発展に潜む脅威

• 生成AIの高度化は利便性を高める一方で、偽情報やなりすましなどの新たな脅威を生み出しており、技術的対策と利用者のリテラシー向上が求められている

個人情報保護の観点

個人情報保護法

• 個人情報保護法とは、個人情報の有用性に配慮しつつ、個人の権利利益を保護する目的とする法律
• 個人情報保護員会：2016年、個人情報の適切な管理を監視・監督する内閣府の外局として設置

個人情報の詳細な定義

個人情報とは

• 個人情報とは、生存する個人に関する情報であって、以下に該当するもの
  1. 情報に含まれれる氏名、生年月日、その他の記述により、特定の個人を識別ができるもの
     他の情報と容易に照合ができ、特定の個人を識別できるものを含む
  2. 個人識別符号が含まれるもの
     • 顏、指紋、DANデータなど
     • 免許証番号、住民票コード、マイナンバーなど

個人情報取扱事業者

• 個人情報取扱事業者とは、個人情報データベース等を事業の用に供しているもの

要配慮個人情報（法律上の定義）

• 要配慮個人情報とは、他人に公開されることで、本人が不当な差別や偏見などの不利益を被らないようにその取扱いに特に配慮すべき個人情報のこと
• 例：人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実など

機微（センシティブ）情報（ガイドライン上の定義）

• 機微情報（センシティブ）とは、主に「金融分野における個人情報保護に関するガイドライン」などで用いられる概念であり、要配慮個人情報に該当する項目に加え、門地・本籍・性生活など、差別や不当な取扱いにつながるおそれがあるため特に慎重な取扱いが求められる個人情報

匿名加工情報

• 匿名加工情報とは、個人情報の区別に応じて、所定の措置(再識別化防止措置)を講じて、特定の個人を識別することができないように個人情報を加工し、該当個人情報を復元できないようにした情報
• 単純にマスキング(特定の部位を隠す)だけはダメ！
• 取り扱う事業者の義務
  1. 適切な加工
     • 特定の個人を識別できないように加工する
     • 元の個人情報に復元できないようにする
  2. 加工方法の安全管理
     • 削除した情報や加工方法に関する情報を適切に管理する
     • 再識別を防止する措置を講じる
  3. 項目の公表
     • 作成した匿名加工情報に含まれる「個人に関する情報の項目」を公表する
     • （例：年齢、性別、地域など）
  4. 第三者提供時の明示
     • 第三者に提供する場合は、それが「匿名加工情報」であることを明示する
  5. 再識別の禁止
     • 他の情報と照合して、特定の個人を識別してはならない

生成AI活用における個人情報の取り扱い

• 生成AIに学習データセットやプロンプトを入力する際は、個人情報保護法に基づく規制を遵守する必要がある

制作物に関わる権利

知的財産権

• 知的財産権とは、創作物や発明、商標、デザインなど、人間の知的活動によって生み出された財産的価値のあるもの(=知的財産)に関して、その創作者などに与えられる法的な権利の総称

著作権

• 著作権とは、思想や感情を創作的に表現した著作物を保護するために、著作者に与えられる権利
• 著作物が創作された時点で自動的に発生し、登録は不要
• 原則として著作者の死後70年まで保護され、文化の発展を目的としている
• 著作権には大きく分けて2つある
  1. 著作者人格権
  2. 著作財産権

特許権

• 特許権とは、自然法則を利用した高度な技術的思想の創作である発明を保護し、その発明を一定期間独占的に実施できる権利
• 特許権の存続期間は、出願日から原則20年

意匠権

• 意匠権とは、物品や建築物などのデザイン（形状・模様・色彩など）を保護するための権利
• 意匠権の存続期間は、出願日から25年

商標権

• 商標権とは、商品やサービスを他人のものと区別するためのマーク（商標）を保護する権利である
• 商標権の保護期間は、登録から10年、更新は、何度でも可能
• 例：企業ロゴ、商品名、サービス名など

生成AI 活用における知的財産権

• 原則
  • 人間の創作的関与がないAI生成物は、原則として著作権の保護対象とはならない
• 著作権
  • AI生成物は、原則として著作権を主張できない（人の創作性が必要）
  • 生成物が他者の著作物を模倣している場合、著作権侵害となる可能性がある
  • 著作権侵害の判断は、AIを利用したかどうかに関わらず、通常の場合と同様に行われる
  • 既存著作物との「類似性」や「依拠性」に注意が必要
• 特許権
  • 発明者としてAIを登録することはできない
  • 発明者は自然人（人間）でなければならない
• 商標権
  • AIが生成した名称やロゴが、既存の登録商標と類似していないか確認が必要
  • 類似している場合、商標権侵害となる可能性がある
• 意匠権
  • AIが生成したデザインが、既存の登録意匠と類似していないか確認が必要
  • 類似している場合、意匠権侵害となる可能性がある

肖像権とパブリシティ権

肖像権

• 肖像権とは、自分の顔や姿をみだりに撮影・使用・公開されない権利
• 個人のプライバシーの保護が目的

パブリシティ権

• パブリシティ権とは、有名人などが、自身の氏名や肖像などが持つ経済的価値を独占的に利用できる権利

生成AI活用における肖像権とパブリシティ権

• 原則
  • AI生成物そのものは、実在人物と結びつかない限り、肖像権やパブリシティ権の対象とはならない
  • 架空の人物や特定の個人を想起させない生成物は、原則として問題にならない
• 注意点
  • AI生成物であっても、実在人物と認識される場合は肖像権侵害となる可能性がある
  • 有名人の氏名や肖像の経済的価値を利用した場合は、パブリシティ権侵害となる可能性がある
  • 商業利用の場合は特に注意が必要

不正競争防止法

• 不正競争防止法とは、公正な競争を確保するために、営業秘密の不正利用や著名表示の冒用などの不正行為を禁止する法律

• 目的
  • 公正な競争の維持
  • 事業者の利益保護
  • 国民経済の健全な発展
• 類型
  • 周知な商品等表示主体の混同行為
    • 他人の商品や営業表示として需要者の間で広く認識されているものと同一または類似の表示を利用して他人の商品や営業と誤解させる行為
  • 著名な商品等表示の冒用行為
    • 他人の商品・営業表示として著名なものと同一または類似のものを自己商品・営業表示として使用する行為

営業秘密

• 営業秘密とは、次の3つの要件をすべて満たす情報である
  1. 秘密として管理されていること（秘密管理性）
  2. 事業活動に有用な情報であること（有用性）
  3. 公然と知られていないこと（非公知性）

限定提供データ

• 限定提供データとは、特定の相手に限定して提供される営業上有用なデータであって、不正競争防止法により保護される情報
• 限定提供データとして不正競争防止法の保護を受ける要件
  • 電磁的管理性
    • データが電子的（電磁的方法）に管理されていること
    • IDやパスワードなどによりアクセス制限がされていること
  • 相当量蓄積性
    • 一定のボリュームをもって体系的に蓄積されていること
    • 単発のデータではなく、データベースのように蓄積・整理されていることが必要
  • 限定提供性
    • 特定の相手に限定して提供されていること
    • 不特定多数に公開されているものは対象外。

営業秘密と限定提供データの違い

• 営業秘密
  • 秘密管理性が必要（非公知性も必要）
• 限定提供データ
  • 完全な秘密でなくてもよい。ただし、限定提供＋電磁的管理が必要