日時：2006年12月6日（火）　午前の部10:00〜13:00　午後の部14:30〜17:30
場所：パシフィコ横浜　
参加人数：−名（内訳　JAIPA会員　名、一般　名）

インターネットのいろいろな問題に対してどういった対応をしてきたか、総務省とのやり取りを交え、事実関係の話をしていただいた。

アジェンダ：

1. P2P帯域制御
2. OP25B
3. Winny規制
4. サービス実現における課題など

１．P2P帯域制御

• 今までのレガシーサービス（ブラウジング、FTP、Mail、ニュース）から常時接続、ブロードバンド普及により新たなサービスが続々出てくる。インターネットの使われ方が変化してきた（P2P、オンラインゲーム）。今回は、P2PとMail負荷の部分に触れる。
• P2Pについては、2002年4月くらいから注目をしていた。2002年の中盤ではシステムの検討を開始、12月に会員規約変更による対応を実施する。
  P2Pトラフィック制御開始に対する報道発表を2003年11月に行い12月には対応を開始した。
• トラフィックの増大
  2003年5月〜9月にかけてのトラフィックでは、ユーザー1.5倍の伸びに対して2倍以上のトラフィックの使用量が確認された。以前はユーザーと比例したトラフィックの伸びだった。上りのトラフィックが下りのトラフィックの2倍となり、更に分析してみるとP2P関係での利用が全体の72%となっている。しかし、P2P利用者の地域性は集中型ではなかった。
  P2Pユーザーは全体の10%以下の割合に対して、トラフィックは75%。その10%ユーザーが60%のトラフィックを使っているという異常な状態になっている。
• ユーザーからの苦情
  ごく一部のユーザーによるP2P利用により、他の多くのユーザーから利用速度に対する苦情が相次ぐ。
• P2Pに対する検討と対策
  P2Pの違法性は、アプリケーションソフトとしては違法性がないが、大多数の利用においては著作権の問題が発生してきているのではないか。ISPとしての法的責任はないが、著作権侵害のコンテンツを流通させることは違法行為と考えられる。
  ごく一部のユーザーのP2P利用によりトラフィックを占有し、著作権侵害およびP2Pを使用していないユーザーの通信に影響を及ぼしている（第三者への損害を与える行為）
  一過性のトラフィックになりうる可能性が大きく、設備投資には躊躇せざるを得ない。
  結果的に、契約面とシステム面の対応を実施することとした。
  • 契約面は：
    会員規約において、2002年12月より、個別サービス契約の中断・解除と禁止事項の2項目の追加変更を行った。著しく公平性を欠く利用の制限という考え方である。
  • システム面：
    その1年後に対応した。帯域コントロールエンジン（それぞれのアプリケーションの特徴的なトラフィックパターンを検知）を使って行う。P2Pトラフィックのプライオリティを抑制
• P2Pトラフィック制御の効果
  サービスの影響に対する質問はあったもののユーザーからの苦情がなくなった。
  ネットワークコストが抑制。開始した直後からトラフィックは落ちた。

２．Outbound Port25 Blocking（OP25B）について

2004年8月からOP25Bの本格的検討開始、2005年1月に携帯事業者向けOP25B対策の実施をする。2006年6月にはISP向けOP25B対策を実施した。

• spamメールに対する対策方針
  送信側・受信側の問題、エンドユーザー、ISPの問題がある。
  送信側・ISP側の問題として、受信側が受信規制を行うことにより、正常メールも含めた遅延、大量発生によるシステムのダウン。spam受信ユーザーから発信ISPに対する苦情がある。SMTP Authの関係で、2ステップに分けて対策を実施。USにおける実施状況を入手分析した。
• STEP１：携帯キャリア向けのOP25B効果・苦情件数の激減
• STEP2：ISP向けのOP25Bの効果・一般ISPユーザーでspamメール受信ユーザーからの苦情件数が減り、spamCop受信数も激減。
  ISP向けのOP25Bは、ぷららのアクセスラインを使って他のISPを使っている場合には他のISPの対応が出来ていなかったり、ユーザーがそれに対する処置を知らなかったりとOP25B開始直後には、苦情件数が多くコールセンターがパンク状況だった。
  これから開始するISPの方々は、その辺のアフターケアの注意が必要。

３．Winny規制

• インターネットの脅威
  年々、年を追うごとにインターネットに関する犯罪が増加、ウイルス件数の増大でパッチ未適用のWindowsパソコンをインターネットに接続した場合、平均わずか約20分で悪質なソフトウエアに進入されてしまう。また、最近では個人情報の漏洩件数も増えている。特にWinny+ウイルスによるものが多い。
• セキュリティサービスのコンセプト
  インターネット創世期は、プロフェッショナルユーザーが中心だった、インターネット環境の充実から老人、子供などのビギナーユーザーへ拡大して行っている。インターネットを安全・安心に利用できる環境を簡単に実現するサービスを提供する必要がある。インターネット弱者にとって有害なホームページや不正な通信から保護し、ぷららのネットワーク上で実現することでお客様PCにソフトウエアを導入する必要なく、簡単に安全・安心インターネットアクセス環境を実現する。（URLフィルタリング、Packetフィルタリング、Winnyフィルタリング）
• Winnyフィルタリングの目的
  Winnyを媒体としたインターネット上での情報漏えいへの対策、Winnyによって流出した第三者の個人情報の拡散を防止することが目的。
• ぷららのWinnyフィルタリングサービスは、Winnyによる通信をネットワーク側でブロックする。
  デフォルト設定はWinnyによる通信の遮断となっている。ONとOFFをユーザーが選択できる。
  P2P帯域制御を更にバージョンアップしてシステムの充実を図った。ユーザー制御等のバックエンドシステム系を自社で開発。
• 効果
  Winnyフィルタ事前要望調査は、必要・どちらかというと必要と回答した人が82%。サービス開始1ヶ月前よりON・OFFの事前設定が出来る場を用意。ほぼ同等ユーザーがWinnyフィルタONに設定。

４． サービス実施における課題等

• ネットワークのコスト負担の公平性として受益者負担の原則により、より多くの帯域を安定して利用する利用者から、徴収する帯域別料金を設定するべきではないか？
• ネットワーク利用の公平性として、アプリケーション等の利用の平等性を欠くのではないか？
• 特定アプリケーションの利用によりネットワーク全体のQosに影響を与える場合、どのような条件であれば制限を課すことができるのか？
• Winny自体の評価は？
  どの位置のプロバイダーがすべきなのか、誤検知や誤遮断の不安等。
• 法的問題と総務省との対応状況
  内閣官房長官がWinny利用中止の異例の呼びかけを行った翌日に「Winny完全規制」を報道発表
  総務省に具体的な内容を説明する。その後、総務省から「通信の秘密の侵害にあたる可能性が高い」と連絡がある。マスコミ各社の取材は報道が盛んになる。
  
  問題点：

Winny規制、遮断は通信の秘密を侵害することになるのかが争点の一つ。
通信事業者の役割は何なのか、総務省としては通信を媒介する「土管」と考えるがぷららはユーザーに安心・安全なネットワークを提供する役割があると主張。

※電気通信事業法第4条（秘密の保護）電気通信事業者の取り扱い中にかかわる通信の秘密は、侵してはならない。

総務省の見解（要旨）：

Winny通信規制にあたっては、Winny特有のトラフィックパターン（データ長、バイナリパターン）を理解してこの通信はWinnyだと判断して規制を行うが、これらは通信の構成要素（通信の秘密）であるとのこと。
Winny通信を検知するに当たり通信の内容（通信の秘密）を知得する可能性がある。
このような行為を利用者の同意なく行うことは通信の秘密の侵害に当たる可能性が高い。

対応：

Winny遮断サービス実現に向けて、「電気通信事業分野におけるプライバシー情報に関する懇談会」において、迷惑メールへの対策として通信事業者側でフィルタリングを初期設定でONにするための条件について整理したものがあり、初期設定をフィルタリングONの状態で提供するための条件に着目した。

フィルタリングONのための５条件
　http://www.soumu.go.jp/joho_tsusin/d_syohi/060123_1.html
　＜初期設定をフィルタリングオンの状態で提供するための条件＞

1. 利用者が、いったんフィルタリングサービスの提供に同意した後も、随時、任意に同意内容を変更できる状態（設定変更できる状態）であること
2. フィルタリングサービス提供に対する同意の有無にかかわらず、その他の提供条件が同一であること
3. フィルタリングサービスの内容等が明確に限定されていること
4. 通常の利用者であれば当該サービスの提供に同意することがアンケート調査結果等の資料によって合理的に推定されること
5. 利用者に対し、フィルタリングサービスの内容等について、事前の十分な説明を実施すること（事業法第２６条に規定する重要事項説明に準じた手続により説明すること）

このルールをWinny規制に適用させてもらう。
要するに、利用者の意思で設定変更可能にする。アンケートを実施、利用者の同意が合理的に推定可能1774名ユーザーのうち1455名が必要という結果。

合法的な通信規制の例として、P2P制御、OP25Bは、通信の秘密の侵害に当たるが、これをしないと利用者に対して有効なサービスを提供できないという観点「正当業務行為」である。(違法性の阻却自由となる)

Winny、URL、パケットフィルタリングは5条件をクリアし、「利用者の同意」を取得しなければならない。
法的な整備を今後もすることにより、健全なインターネット業界を確立できるのではないか。

DDos攻撃自体は一昨年ほど前から注目を浴びているが最近は話題に上らなくなっている。しかし、なくなったわけではなく、続いて問題になっている。JAIPAということでインターネットサービスにかかわる人が多いと思うが、DDosに関しては、ある一部のISPがかかわっているだけですべてのISPが問題視しているとは限らなく実態が知られていない。本日はDDosを受けるとどういうことがあるのかということと、まだまだ続いているし大きくなっているので、サービス提供者側がもっと考えていかないとならないということをお知らせする。

アジェンダ

1. 目的
2. DDos攻撃の例
3. DDos攻撃の実態
4. 問題まとめ

１． 目的

• DDos攻撃の実態と発生時の対応の様子を伝え、実際の失敗をもとに、抜本的対策をとるために障害となる問題をまとめる。

２． DDos攻撃の例

• DDoS とは、Distributed Denial of Serviceという。一見正常な通信を一見たくさんの送信元から大量に送りつける攻撃のことである。攻撃先のリソースを接続回線、サーバの処理能力を奪ってしまう。
• 脆弱性ということではなくて、体力勝負の世界。
• DDoS攻撃では、他の攻撃と違って対策がしにくい。
  正常な通信と同じようなパケット攻撃を大量に投げるので、正常か異常かの判断が困難である。
  送信元が多いため一対一の対策が困難である。また、攻撃を受けた人の記録に残るIPアドレスと実際に行為をしている人は、回避しているので特定が困難。
  インターネット側から自由に閲覧できるWeb等で公開しているサービスを標的としている。許しているプロトコルを利用しているWebサーバでメールを大量に送るので困難。
• 目的は、嫌がらせや業務妨害等様々
• 事例としては、2005年12月23日、日本にCommand&Control(C&C)サーバが設置されたbotnet からU.S.のプロバイダ(Prolexic)に対するsynflood攻撃（Webサーバをつぶす）があった。
• Botnetのコントロールサーバは、日本のある商社系の管理会社のWebサーバ。
• Bot自体は世界中に分布し、6Gbps以上、1200万pps規模の攻撃。
• 発生から12時間後にはC&Cサーバ移動(日本からカリフォルニアの事業者へ)
• 世界的に見ると、2006年では17Gbps規模も観測報告もある。
  参考：WorldWide Infrastructure Security Report (Arbor)
  　　　　http://www.arbornetworks.com/sp_security_report.php
• 国内事例としては、サッカーなどのイベントや国際的、歴史的軋轢、2006年にはオンラインゲーム、金融機関（ジャパンネット銀行）等
• 実際に起こった攻撃のグラフの紹介だが、五人ぐらいが世界中のIPアドレスを詐称して送っている実態があった。
• 攻撃に対して、DDos攻撃の対策装置がある。実際にサーバに到着するのを防ぐ方法。
• 対策装置で止まる、これを各社が使っていけばいいのだろうが、そうもいかない。また、対策装置で止まる前のそこまで到達するいらないトラフィックの処置をどうするかの問題がある。結局トラフィックを減らすということにはなっていない。

３． DDos攻撃の実態

• UDP/ICMP Flood攻撃
  通信に関係ないパケットを送りつける。土管の途中で止める。サーバを見えなくする。IPアドレスの詐称は簡単。接続回線の帯域を十分に利用できず、利用者が困る状況。
  バックボーンを埋められてしまうとISPが困るといった、状況によって困る人が変わってくる。
• Syn Flood攻撃
  不要なTCP Synパケットを大量に送出することで、サーバの処理能力を攻撃。インターネットに対してサービスを行っているサーバ(Web、メール、DNS、…)に行われる。インターネットから被害者、サーバからインターネットへと向いている。
• TCP connection flood/HTTP GET flood攻撃
  不要なTCP接続や、HTTP GETコマンドを大量に送出することで、サーバの処理能力を凌駕する攻撃。
  インターネットに対してサービスを行っているサーバ(Web、メール、DNS、…)。接続トラフィックよりサーバの負荷が先に出る。サーバが重いことで気がつくことが多い。
• IP Spoofing経路操作による状況変化
  ISPバックボーンで見ると、自分がインターネットに接続しているIPアドレス以外でつなぐことは簡単である。実は3人から攻撃しているように見えるが実際には一人で行っている状況を作り出す。
  攻撃元のIPアドレスが信用できないために被害者による追跡が困難。ISP網のほうで追跡しなければならない。
• ISP自身や近隣への波及
  攻撃に効果がないと攻撃先の変更が行われ、手前のルータに攻撃されたり、近隣のIPアドレスに行くことになる。IPアドレスが近いだけでまったく関係ないサイトやISPのルータに攻撃が到達。たまたま攻撃されやすいサイトに近いIPアドレスだと被害に遭いやすい。
• ISPにおける状況把握
  お客さんが状況把握を出来ない中、ISPが状況把握するしかない。一つ一つをつぶしながら追いかけなくてはならない。しかし、多数のルータがある中、すべてを追いかけてはいけないISPも多い。また大きな論点としては、こういうことをやっていいのか（通信の秘密）というのがある。
• ISPにおける一時対策
  いらない通信を排除しなければならない。ISP側が捨ててしまっている通信を運ぶ必要があるのか。ピアリングはエッジで対応。ルータでフィルタリングするが適切に排除できるかというのは難しい。
• ISPによる抜本対策
  被害者から攻撃元ISPへの状況連絡をする。そのためAbuse窓口などの公開窓口が必要である。
  しかし、ISPとしては連絡の精度（苦情元の状況把握の精度、連絡内容の不備）苦情を受けたISPにおける対応の判断やその情報が信用できるか、また現象を網で確認できるのか等問題点として上げられる。
  ISPからISPへの状況連絡としてPeering窓口：Peering障害の窓口が必要。情報共有が必要
  　
• 問題点のまとめ（現状の手元にある具材でやれると考えられるもの）

被害者：

自分のシステムの状況把握
接続するISPとの情報共有
攻撃者が接続するISPとの情報共有
被害者の接続するISP：
被害者が知ることのできない情報の把握、被害者への提供
攻撃に対する適切な一時対策

ISPとISPの間：

攻撃の発生に伴う大局情報の共有
攻撃の被害者が他社の顧客である場合の対策への協力
被害者と、攻撃者の接続するISPの間：
　　　適切な内容の情報共有
　　　適切な対策の依頼
攻撃者の接続するISP：
　　　通知に基づく攻撃の状況把握
　　　把握した状況に基づく対策

現状では、近隣諸国と仲良くしなければならないような状況もあり、抽象的な話しか出来なかった。総務省「電気通信分野におけるサイバー攻撃対応演習（CAE-1）」が出てくるのでご参照いただきたい。

各パネラーのプレゼン

（１） 迷惑メール対策と通信の秘密
　　　　　　…木村　孝氏　　ニフティ株式会社

• 総務省　電気通信サービスFAQ　http://www.soumu.go.jp/joho_tsusin/d_faq/
• インターネットで出てくるものはすべて通信の秘密となる。
• 電気通信事業者としては守る対象となる。
• 2005年OP25Bの実施関係が出てきてから問題となった。その時点では口頭レベルで「OP25Bは利用者の同意無しでは「通信の秘密」の侵害になる。ただし、正当業務行為」であると認められた。初期設定フィルタリングオンの状況で提供する5条件が説明された。
• 通信の秘密を侵すかどうかということは、侵害するということでは構成要件に該当するが、違法性は阻却されるということ。
• ISPが迷惑メール対策でどのようなことをしているかと言うと、ユーザーに届くまで五段階にわけて対策をしている。ISPの設備を守る形である。
• 総務省が迷惑メール対策と通信の秘密の考え方を公表した。事業者として導入しやすくなった。
• IP25Bは、メール受信側のISPにおいて、送信元のISPの動的IPアドレスからの送信をブロックすること。
• RBL（Real-time Black List）通信の秘密との関係でISPが利用者の同意無しではできない。
• アメリカは「通信の秘密」という言葉がない。電気通信サービスではなく、情報サービスとして分類される。プライバシー関係に該当する。

（２） Winny完全規制問題のおさらい
　　　　　　…弘灰 和憲氏　　　 ぷららネットワークス株式会社

• 2003年ごろからP2Pトラフィックがバックボーンを圧迫。他の利用者に速度低下などの影響が出てきた。Winnyが問題化するにあたり、3月16日に「Winny完全規制」を報道発表した。
• Winny遮断に向け、総務省に説明をして、総務省からは「通信の秘密の侵害に当たる」という報告があり。完全規制を再検討した。
• 総務省の見解（口頭）は、Winny通信規制に当たっては、Winny特有のトラフィックパターンを検知して規制を行うが、これらは通信の構成要素（通信の秘密）である。Winny通信を検知するに当たり通信の内容（通信の秘密）を知得する可能性がある。このような行為を利用者の同意なく行うことは、通信の秘密の侵害に当たる可能性が高い。
• 「Winnyフィルタ」の提供は、フィルタリングデフォルトオンのための5条件をクリアして、利用者の同意を取得した。
• 通信の秘密ということの解釈の手がかりはない。事業法第4条を読み込むことは難しい。事業法逐条解説が解釈の一つの手がかりとなるのではないか。ただし昭和62年制定。

（３） なぜ　abuseに「通信の秘密」「利用の公平」がついて回るのか
　　　　　　…野口 尚志氏　　　 EditNet株式会社

• 日本国憲法　第21条検閲の禁止、通信の秘密を侵してはならない。
• 電気通信事業法　第4条で通信の秘密の定義をしている。
• 通信の秘密は「電気通信事業者の取り扱い中にかかる通信」
• 通信の秘密は内容だけではなく、個別の通信の構成要素（通信内容、通信当事者が誰であるか、発信場所、通信の相手方、通信の存在そのもの、これらを実質的に推知せしめる事項のこと。）
• 知ること（知得）、漏洩、悪用（窃用）が通信の秘密
• 郵便配達をするときに宛名を読むことが通信の秘密の侵害である。しかし読まずに届けることは出来ないので、「正当業務行為として違法性の阻却」とみなされる。
• 違法性阻却事由とは、正当行為（刑法35条）、正当防衛（刑法36条）、緊急避難（刑法37条）に当たるもの
• 通信の秘密を盾に、スパマーを容認しているのではないかとユーザーから言われることがある。しかし通信の秘密は、事業者にとっては規制そのもの。※国民生活にとって、とても重要な規制。
• 通信の自由、インターネットは高い公共性、人と人との社会的関係の保障であり、通信サービスは、誰でも利用できなければならない。
• 利用の公平、すべての電気通信事業者に適用される。
• 現行法は明らかに時代遅れであるが、電気通信事業者には法令（国民の権利）を守る義務があり、違反すれば業務改善命令、処罰となる。
• インターネットは迷惑行為を大量に出来てしまう。違法行為をしていてもなかなかつかまらないスパマー等問題点を上げられる。

（４） DDosの対策と通信の秘密

• IPアドレス詐称の対策と早く見つける手法
• 送信元のIPアドレスは送信者が自由につけられる仕組み。事業者はパケットの送信先を見て配送するのみ。正当ではなく、他人のものだったりしても届けるものは届けるという仕組みである。それをロジカルに通信を成立させようと思ったものだけにしようと考えていく。詐称されたパケット通信を成立させるつもりのない異常な通信と判断するようなことが出来ないか。利用者からISPに流入する通信で使う。異常か正常かを判断するものを導入していく。
• xFlowをとる仕組み。とって記録して追いかける作業をすると容易にわかることが出てくる。電話の通話記録のようなものと解釈できる。こういったものを使って網の設計等を行うといいのではないか。（網内通信状況の把握）
• Brazilの状況とは、貧困に起因する犯罪、インターネットは、より安全でより効果的な金儲けの場（フィッシングが多い）となっている。LEAとTelecom業界、CERT組織などの親密な協力関係が保たれている。
• 1998年に発生したインターネット上のchild pom事件を機に厳しくした。
• 通信の内容の秘密は保証される。通信事業者は、インターネット接続に関して3年間の記録を保存しなければならない。インターネットへの匿名の接続は許されない。
• ITシステムにかかるインシデントに刑事罰を適用している。範囲としてはインターネットに接続したすべての機器が対象となる。彼女の携帯のアドレス帳を勝手に見ると2〜4年の刑になる。

（５） パネルディスカッション

• （司会）このような状況の中、日々どのように解釈して向かい合って行っているのかをご紹介いただきたい。
• インターネット上の迷惑行為というのはとても大きな問題点となる。アカウントを止めたりすることが必要になってくると思うが、問題点として大きいのは、通信の秘密や利用の公平を除外できるのはどういうときか。いままではっきりとしてこなかった。
• 迷惑行為というのは重要な観点になると思っている。インターネット弱者（老年者、子供）を保護していくということでも重要なのではないか。インターネットや迷惑行為等についてよくわかっていない方々を未然に保護できるようにやっていけるような観点にたってやっていけるといいのではないか。
• 最近注目されているCSRの話で、プロバイダーも10年近く、あるいはそれ以上に社会に存在している。一企業としてどう取り組んでいくかを考える時期に来ている。インターネットが日本に出てきて二つ目の10年期に入るのではないか。
• 1985年にできた電気通信事業法の原則を使ってインターネットに当てはめていくのは大変な作業で、インターネットは技術発展が早く解釈がむずかしい。行政も大変だと思う。迷惑メールに対しては、公的に書かれた基準判断が作られてきたからやりやすくなってきた。こういう流れはこれからもどんどん、判断材料が出てくると思う。
• （司会）たとえば、Winnyの件でぷららの行動がもとになって方向性が見えてきたりする。一般の方から見ると悪い人は駆除してほしいという意見があるが、悪意をもって臨んでくる人、悪意とわからなくてやっている人、そもそも悪意もなく自然にそうなってしまった人等といろいろな方々がいるので、未然に防ぐことが出来るのかどうかも含めてその辺はどう考えるか。
• CSRの件もあるが、利用者の保護という観点も考えなくてはならない。利用者としては、送りたいものを送って、受けたくないものは手元に送らないでというようなことがあって、それを通信会社にゆだねる。悪意のある人は追い出すという対応は必要になってくるのではないか。
• プロバイダー各社の対策、特に大手ISPのいろいろな対策を見ている状況だが、迷惑メール対策といわれているOP25Bにしても、中小ISPはローミングサービスに依存しているところが多い。そうするとローミング会社がOP25Bをやるかやらないかによって左右されてくる。こういうインフラを自分のところで持っていない状態のISPは、自分のところで対策を施したくても出来ない場合が多々ある。
• spamを送る人たちのトレンドが小さいプロバイダーをターゲットにして送るという傾向が見られるのではないか。本人確認について言えば、弊社では本人確認郵便を使って確認をしている。本人確認をしているから入らないのではなく、来る人は避けられない。
  すり抜けて入る人もいる。言い訳のようだが、言い訳をせざるを得ない状況にある。
• （会場）法律に頼らずサービスによって本人確認をするプロバイダーはいないのか。
• （司会）匿名座談会でもあったが、入りやすさ（敷居の低さ）でインターネット使ってもらいたいという考えがあるのと、だから狙いをつけられて誰でも入ってしまう。というのがあるかと思うが。
• クレジットカードは本人確認をしている（新たに作った場合）本人確認郵便は600円かかる。法人会員は担当者を決めて担当者の人の本人確認をしてもらう。しかし本人確認をしたところで送る人は送るし、免許証をどうどうと見せて入会してくる人もいる。効果は期待できるかというとそうでもなく、ただ一定の規制にはなるかと思う。捨て身で来ている人には効果はないかもしれない。この確認をやり始めてから2年ほど経つが、手間も費用もかかる。それは現在の会員の会費にも影響してくる。
• 本人確認の点では、限界はあるかもしれないけど効果がある。しかし証明書を出してくださいと言うのは利用者からしたら規制になるのかもしれない。たとえば引越しした場合には証明書の書き換え等ですぐ出来ない場合もある。そういう人はインターネットをすぐやろうと思っても遅れてできない場合がある。入会、退会は簡便に出来ないと利用者にとっては不便だと考える。
• 免許証のコピーを一緒に送ってもらう等の処置を始めた。強制解約はすくなくなった。クレジットカードでオンラインサインアップをやめるのは利用者の利便性を考えるとやめることは出来ない。オンラインサインアップを人間が確認し、すぐその場で開通させないで確認後に開通するという手続きを踏んでいる。しかしこの場合は、あまり効果があるとはいえない。さらにカード会社に本人情報の確認をしてもらうこともある。今までの経験でさらに証明書の提出をしてもらうこともある。これらをすることにより規約も新たに作った。またWebサイトを止めてくれ等の依頼もあったりするので、利用中でも本人確認をしますという規約にもした。こういう処置をすることにより、音沙汰がなくなったり、入会しなかったり、退会もある。胡散臭い申し込みはなくなったといえるが、結局、うちに入らない迷惑行為をする人が他のISPにまわったということは考えられることで、抜本的に迷惑行為を減らすことはできないのではないか。また、小規模だからそこまで出来るが、日々何十人、何百人の入会があるISPでは、とても出来るものではない。本人確認について、全ISPができるスキームがあるといいのではないか。
• 本人確認の厳重化が必要というのが一つの回答かなということが言える。
• しかしインターネットはグローバルにつながっているということでもわかるように、日本に迷惑行為をする人がいなくなっても海外に移って迷惑メールを送信している現状がある。
• ある外部モニターの状況でわかることは、中国から発信が多い。日本はOP25Bの普及により、日本国内から発している迷惑メールは4月を目処に減っている。
• 迷惑メールの半分近くが海外、その大部分が中国からの発信だということがわかるグラフである。OP25BをやったときのISPの迷惑メールのグラフだが、あるISPが減ったと思うと、違うISPの迷惑メールが増える。スパマーの渡りが確認できる。日本から減っても海外に行くので、全体的の量は減っていない。
• 迷惑行為をやってもつかまらないからと思っている人がいて、つかまらないことが、のさばらせているのではないか。
• 海外からの迷惑行為が多くなっているというのもあるが、日本国内から迷惑行為が起こらないようにという設定そしたらどうか。
• しかし、その迷惑行為は表面的には海外だが（日本発海外経由）、実態は国内の人たちが海外のIPを使って発信している。結局日本人が被害者というのは変わらなく、日本国内の拠点があるところを一網打尽にしないといけない。海外からはいくらでも送られてしまうということがスパマーにはわかってしまっているから逆にこれからも増えるのではないか。
• 迷惑メールが届くのが問題だから、なぜ届くのかを根本的に考えなければいけないのではないか。迷惑メールが多くなるためメールをやらなくなる人が増え、メール自体が廃れることがないようにしたい。
• 記者から「総務省の言いたいことは通信事業者というのは常時、通信の秘密を侵害しながらやっているってことですか？と聞かれたことがあり、それが正論のような気もするが、やむなく侵害しているがそれは正当業務行為であるということになるのだろうがその件についてはどうか。業界として何をしなくてはならないかを考えてみたいと思う。
  　　ケース１：Aさんの通話を盗み聞きする。
  　　ケース２：NTTの人がCさんの申告によりDさんが話中かどうか調べる。
  　　ケース３：NTT職員がBさんの通信データを基に請求書を発行する。
  　　ケース４：DDos攻撃者の発信元をISPが調べる。
  　　ケース５：ISPがユーザーのメールを届ける（媒介する）。
  　　ケース６：大量のspamメールを送信するユーザーの通信内容を調べ、メールの送信量を絞る。
  これら全部のケースが「通信に秘密の侵害」にあたる。
• ケース５の場合、ルータそのものが通信の秘密を侵害している。ただし、正当業務行為（通信を媒介するための必要最低限の行為）として違法性は阻却されているという考え方。例として、郵便ポストに手紙を入れる行為、配達員はあて先を見て届ける。これは配達するにあたり通信の秘密を常に侵していることになるが、郵便業務の遂行上の正当行為であることから違法性は阻却されている。
• では、どんな場合において違法性が阻却されるといえるのかと行政に問い合わせると「ケースバイケース」とのこと。そのときの状況で違うので、その都度問い合わせをとの回答。
• それでは進まないので、「インターネットの安定的な運用に関する協議会」というのをJAIPAが主査になり、テレサ協、TCA、CATVで作った。オブザーバに総務省も加わっていただいている。
• 活動内容は、先ほどのケースにおいて「通信の秘密の侵害」にあたるのか、そうでないのかについて、類型化とその考え方を整理する。ガイドライン作成と各ISP間における情報共有をする。近々皆様にお知らせできる予定。
• ガイドラインについては、総務省さんには事案が幅広いので、それを個別に相談して丁寧に応対していただいている。状況の変化によって判断してもらっている。「通信の秘密」のように事案の変化についていっていないものではなくて、現在の事案を並べて判断していき、状況に応じて随時更新していくということが一番重要なことである。
• （会場）通信の秘密は憲法が出来てそこに記載されていて、盗聴関係があって、この辺の話が出てきたのが最近で、総務省の検討の経緯がでてきたので、総務省がどういうスタンスでやっているのか、法律の解釈論で望んでいるのか、行政は誰かに対して言い訳が出来なければならないということがあると思うが、安全・安心の環境を維持することを考えているのかを聞かせてください。通信の秘密を盾にして犯罪の温床を育てていると見えられるがグローバルスタンダードというところから見たときに、日本はどう見られているのか。
• ISPの事業者の立場としては、こういう話が始まったころは、行政側らしい反応だったが、昨今様々な新しいインターネット上のトラブルが増えてきてからは、今起こっている事案について通信の秘密も盛り込みながら、どう対応したらいいか等を一緒に考えてくれるような感触を受けている。総務省の中でこの件の担当は、消費者行政課で、消費者保護という観点から、迷惑メールの洪水から利用者を守る等、柔軟な対応をしてくださっていると思う。
• 海外からは、通信の秘密を理由にサイバー犯罪条約で、若干犯罪を放置しているといわれ始めているので、そういった意味では今後の課題となるのではないか。
• （総務省）通信の秘密についての直接の担当ではないが、電気通信分野における環境の変化については消費者行政課として消費者保護の観点から非常に重大な、重要な問題と考えているので、インターネット社会での安全な環境整備という観点から事業者の人と協力していきたい。
• ガイドラインを作るのは時間がかかることは多少仕方がない、事業者が対策のためにこうしたいという技術面を含めて、テストを行ってデータを出して資料を作って総務省に判断してもらう。というプロセスを踏んでいったほうがいい。われわれとしても努力が必要。
• （会場）ガイドラインで、これはいい、これは悪いというはっきりしたのがあればいいが。プロバイダーが経営努力でネットワークの投資をしていけば一定レベルであれば吸収できるのではないか。それ以外で対応できないようなケース、お客さんに大きな影響が出ることになってしまうケースにおいては正当業務行為と認められるというようにすればいいのではないか。プロバイダーがどこまで投資をしていけばいいのか、設備投資もせずに一方的に正当業務行為だと制限をしていくという事業者もあるのではないか。ガイドライン作成的にどう考えているのか。
• どういったところまで攻撃を受けたら大鉈を振っていいのかという具体的な部分は決まっていない。アタックを受けたということだけではなくて、アタックが来るであろうという予兆のところで対応できるようなガイドラインを目指している。定量的なところをどこで、どのくらい捉えるかというのはガイドラインにはかけないと思う。
• 経営努力、投資については、数値には表れないのではないか。企業努力の判断をどこで誰がするのかは難しい。経営者をやりながら営業、サポート、経理関係をやっている中小のISPは、実際にネットワークの設備投資をしていきたくても金銭的に出来ないこともある。設備投資が経営努力なのかどうかも個々のISPの事情によるところも多いのではないか。
• （会場）P2Pの根本的な対策は従量制ではないかといわれることもあるが、完全従量制まで行かないまでも、一定のそれを超えたときに追加料金を取るという対策で、規制をするということはできないのか。
• それは、すでにぷららさんがやっているが、根本的なことに戻るが、そもそもお金を払おうとして入ってくるわけではないので、いくら追徴課金をしても払わないので、無理かもしれない。
• 実は、出し逃げが多くて、ID：パスワードをもらった時点で、たくさん出して逃げてしまう。本人性の確認の件も絡んでくるが、あとで、請求書を郵送したりしても、もぬけの殻だったり他人の住所だったりすることが多い。
• P2Pの利用者がネットワークの帯域を大幅に使っている対策として、従量課金にするかどうかというのは一つの解決策かもしれないが、議論が業界内では行っていない。ネットワークの中立性を考える懇談会というのを総務省でやっていて、検討しているところである。結論が出るのは来年の春以降である。
• ガイドラインに期待が高まっているようですが、ガイドラインはあくまでもガイドラインであって、積極的に何かをやりなさいとか、これは白、これは黒というはっきりしたものではないので、何かを事業者がやるときに参考にするもので、すぐに使えるというものではない。総務省はこう考えるが、裁判所は違うかもしれない。民事で利用者との間に何かあった場合に、考え方は取り入れられるかもしれないが、判断根拠になりえないかもしれない。
• ガイドラインについては、4団体に加入されているISPの方々には、来年の1月を目処に意見募集をする。完成したあとも各団体に問い合わせていただければわかるようになっている。ただし、一般の方々には公表することは無い。
• （会場）先ほどの覆面のときに聞きたかったのですが、BOTに掛かってしまった善良なユーザーへの対応依頼について、良い説明の仕方があれば教えてもらいたいです。BOTはウイルス駆除ソフトの導入で対応する事が出来るのでしょうか？
• ボットネットの調査を継続してやっていて、こんどボットネット対策プロジェクトを立ち上げる。ウイルスやワームみたいに全力で広まろうとしているというのとは違い、潜んでいる見つからないための仕組みとなっている。これが問題で、ウイルスワームだとだと利用者は使えなくなるワームだから駆除するということで説明が付く。今は全然平気かもしれないけどゆくゆくは他人に迷惑をかけるかもしれないもので、利用者に説明するのは苦慮している。説明としては「ウイルスのようなものです。」という。それ以上の良い説明はない。
• BOTはウイルス駆除ソフトの導入で対応する事が出来るかどうかは、時系列で変わってくる。あまり良くない、検体が集まってきたら新しく対応する。新しいものはどんどん出てくるので、必ず大丈夫というものではない。
• （会場）OP25Bが普及した後、海外でもOP25Bが普及した後、今後は正当なアカウントのIDとパスワードを使ってSPAMを送信するケースも出てくるのではないでしょうか。現時点では、レート制御は1つの解かもしれませんが、10万ノードのボットネットがあれば、1日1000通の制限でも1000万通は送れることになってしまうのではないかと懸念していますが、今後、どのような脅威と対策が考えられるのでしょうか。
• その通りで、普通にISPのサーバで送られる分には、送れてしまう。ボットネットについては、ボットネット対策プロジェクトが立ち上がるのでそこで対応できると思う。国内に関してはそれでできるが、スロットリングという手法が有効だといえる。初めて送ってきたIPアドレスには、ポイントをつけて回避してもう一回送ってもらうやり方。
• 規約では利用者に管理責任を求めている。本人に悪意がなくてもインターネットをつなぐパソコンについては自己管理をしてくれというように作っている。
• 昨年に引き続き「通信の秘密」というテーマだったが、一概にこれは、これといった確定は難しく、状況に応じて対応していかなければならない。また、常に新しい問題が発生してくるので、その状況にも対応していけるように事業者としてもよりよいインターネット世界が出来るようにしなくてはいけない。ガイドラインについても皆さんの意見も反映できたらと思っている。

• Winny＋OP25B（ＰＰＳ版）
  　　　…株式会社ぷららネットワークス　永田　勝美氏
• 迷惑メール対策と通信の秘密（ＰＤＦ版）
  　　　…ニフティ株式会社　木村　孝氏
• Ｗｉｎｎｙ完全規制問題のおさらい（ＰＤＦ 版）
  　　　…株式会社ぷららネットワークス　　弘灰　和憲氏
• なぜabuseに「通信の秘密」「利用の公平」がついて回るのか（ＰＤＦ版）
  　　　…EditNet株式会社　　野口　尚志氏