巻頭言

IoTの持つ本当の意味とは

原田　要之助… 1

研究論文
Research papers

個人情報影響評価ガイドラインの開発
Development of Guidelines for Personal Information Impact Assessment

永野　学、岡本　直子、岡崎　吾哉、川口　晴之、坂本　誠、瀬戸　洋一… 3
Satoru NAGANO, Naoko OKAMOTO,Michiya OKAZAKI, Haruyuki
KAWAGUCHI,Makoto SAKAMOTO and Yoichi SETO

研究ノート
Research note

韓国における個人情報影響評価の制度と実施状況
The Implementation status and evaluation of Privacy Impact Assessment in South Korea

永野　学、岡本　直子、岡崎　吾哉、川口　晴之、坂本　誠、
瀬戸　洋一、慎 祥揆… 17
Satoru NAGANO, Naoko OKAMOTO,Michiya OKAZAKI, Haruyuki
KAWAGUCHI, Makoto SAKAMOTO Yoichi SETO and Sang-Gyu SHIN

解説
Commentaries

環境マネジメントが志向するもの
What An Environmental Management Aims to Intend to

岡田　政紀…27
Seiki OKADA

A Study of Application Layer Slow-rate Denial of Service Attacks

Manh Cong Tran and Yasuhiro Nakamura…33

ニュースレター Newsletter

………………………………………………41

======================================================================================

研究論文
Research papers

個人情報影響評価ガイドラインの開発

Development of Guidelines for Personal Information Impact Assessment

産業技術大学院大学 　　　永　野　　　学

Advanced Institute of Industrial Technology  Satoru NAGANO

産業技術大学院大学 　　　岡　本　直　子

Advanced Institute of Industrial Technology Naoko OKAMOTO

産業技術大学院大学 　　　岡　崎　吾　哉

Advanced Institute of Industrial Technology Michiya OKAZAKI

産業技術大学院大学 　　　川　口　晴　之

Advanced Institute of Industrial Technology    Haruyuki KAWAGUCHI

産業技術大学院大学 　　　坂　本　　　誠

Advanced Institute of Industrial Technology Makoto SAKAMOTO

産業技術大学院大学 　　　瀬　戸　洋　一

Advanced Institute of Industrial Technology　Yoichi SETO

要　旨

個人情報が情報システムやインターネット上で利用されるようになり，個人情報の漏洩リスクが高まっている．それに伴い，個人情報保護に対する個人の権利意識も高まってきた．以上を背景に1990年代より欧米諸国では，個人情報を扱う情報システムの導入，改修の際に，個人情報漏洩事故の回避，低減を目的として，個人情報に関するリスクを「事前」に評価するリスク管理手法であるプライバシー影響評価（PIA:　Privacy Impact Assessment）が実施されている．日本においては，2013年に施行された番号法でPIAに相当する特定個人情報保護評価の実施が，特定個人情報ファイルを扱う行政機関や地方公共団体等に義務付けられた．
PIAを適切に実施するには，その手順を明確に規定したガイドラインが必要である．海外において，PIAは，各国の社会制度あるいは法律に準拠して開発されたガイドラインに基づき実施されている．ガイドラインは，実施者に依存しない質の確保，評価実施の透明性確保のために必要である．日本では，特定個人情報保護評価および民間対応のPIAにおいてガイドラインが開発されていなかった．このため，民間対応のガイドラインをPIAの国際標準ISO22307，リスクマネジメントの国際標準ISO31000をもとに開発した．本論文では，開発したガイドラインの機能を明確にし，専門性，中立性のある実施体制の整備およびPIA特有の双方向リスク分析手法の具体的な手順を述べる。

キーワード

特定個人情報保護評価，番号法，プライバシー影響評価，リスク分析，ISO22307，ISO31000

————————————————————————————

研究ノート
Research note

韓国における個人情報影響評価の制度と実施状況

The Implementation status and evaluation of Privacy Impact Assessment in South Korea

産業技術大学院大学 　　　永　野　　　学

Advanced Institute of Industrial Technology Satoru NAGANO

産業技術大学院大学 　　　岡　本　直　子

Advanced Institute of Industrial Technology Naoko OKAMOTO

産業技術大学院大学 　　　岡　崎　吾　哉

Advanced Institute of Industrial Technology Michiya OKAZAKI

産業技術大学院大学 　　　川　口　晴　之

Advanced Institute of Industrial Technology Haruyuki KAWAGUCHI

産業技術大学院大学 　　　坂　本　　　誠

Advanced Institute of Industrial Technology Makoto SAKAMOTO

産業技術大学院大学 　　　瀬　戸　洋　一

Advanced Institute of Industrial Technology　Yoichi SETO

産業技術大学院大学 　　　慎 祥 揆

Advanced Institute of Industrial Technology　Sanggyu SHIN

要　旨

IT技術の発展にともなって，電子化された個人情報の蓄積・利用が進んだ結果、個人情報の漏えい・プライバシーの侵害が問題となっている．個人情報を取り扱うシステムを構築する場合，設計段階でリスク対策を行うPIAが重要視されている．日本では2016年1月から施行される「番号法」にてPIAに相当する特定個人情報保護評価の行政システムへの義務化が決まった．一方，「住民登録番号」という，いわゆるマイナンバーを本人認証情報として公共・民間サービスで利用してきた韓国では，増加する個人情報の漏えい問題の対策として、2011年からすでにPIAの実施を義務づけた個人情報保護法が施行されている. 韓国は立法化の前５年間の試行中に,ガイドラインの開発，評価組織認定，評価者資格認定などの整備を行い，評価の中立性，評価期間の短縮化、質の確保を行う体制を構築した. 個人情報保護法施行後は，行政安全部（現：安全行政部）が個人情報保護の計画・指針の策定と執行を統括している．義務対象となった公的機関のシステムのPIAは安全行政部が指定した専門機関のみが行うことが出来る. 個人情報保護委員会が新設され、個人情報影響評価書の審議，議決を行う第三者機関として機能している．欧米のPIA研究報告は既に複数存在するが、韓国の状況に関する報告はない。法体系が似ている韓国のPIAについての解説は，日本で今後始まる番号法における特定個人情報保護評価の参考になると考える．本論文では、韓国の個人情報保護法および個人情報影響評価(Privacy ImpactAssessment, PIA)を実施する上での法律，ガイドライン，評価認定組織，実施状況に調査分析結果を紹介する。

キーワード

個人情報影響評価，個人情報保護法，特定個人情報保護評価，番号法，
プライバシー影響評価，プライバシーバイデザイン
————————————————————————————

解説
Commentaries

環境マネジメントが志向するもの

What An Environmental Management Aims to Intend to

環境マネジメント研究会主査  　　岡　田　政　紀

Chief of an environment party     Seiki　OKADA

要　旨

我々は、温暖化の問題や、資源の枯渇など外部の環境状況に配慮することで、環境の変化に対応する一つの解として運用を推進してきたISOの環境マネジメントも、新たな改訂の時期に来ている。一番大きな変化は、品質・環境・情報のマネジメント部分が統合化され、各マネジメントシステムに関する共通の要求事項となったことである。具体的には、戦略的環境マネジメントの強化を中心として　組織が環境に与える影響と環境から組織への影響という両面からマネジメントが何をすべきか考えることを要求してきている。そこでは、環境に係る環境リスクと機会の認識への対応において、関連するリスクは何かを明確にする必要がある。この手順としてISO3100リスクマネジメント原則及び指針　が発行され、それに従ってリスクを検討し決定することが出来るようになってきている。その結果、出てきたリスクに対してどのように対応してゆけばよいか、事業継続管理の問題が提起されISO　22301　事業継続マネジメントシステムが普及をするようになってきた。このような流れを踏まえて、環境マネジメント研究会として具体的にどのような方向に進むべきか、主査としての考えを述べてみたい。

キーワード

環境マネジメント　リスクマネジメント　事業継続管理　循環型社会
スマートシティ

————————————————————————————

A Study of Application Layer Slow-rate Denial of Service Attacks

Department of Computer Science National Defense Academy
Manh Cong Tran

Department of Computer Science National Defense Academy
Yasuhiro Nakamura

Introduction

The frequency and power of Denial-of-Service (DoS) attacks have marked the first quarter of 2013 as the worst quarter for DoS attacks in history averaging 58 percent increase compared to 2012 [1].Leveraging botnets and high-speed network technologies, modern DoS attacks exceed the scale of 100 Gbps becoming a major threat on the Internet [1]. Being one of the traditional type of attacks on the Internet, DoS attacks are known for their disruptiveness and ability to exhaust the computing resources and/or bandwidth of their victims in a matter of minutes. Although being simple in execution, DoS attacks are often easily detectable mostly due to aggressive and numerous attack rates. As a result, in the last few years, DoS attacks have evolved from relatively simple flooding attacks to new, stealthy, and more sophisticated application layer DoS attacks aiming to avoid detection while bringing the same level of impact as traditional flooding DoS attacks. Application layer DoS attacks, target specific characteristics and vulnerabilities of application layer protocols (e.g. HTTP, DNS). With the latest escalation of application-layer DoS attacks, slow-rate and low-rate attacks has been focused from the research community.
Low-rate application layer DoS attacks appeared as an extension of a TCP-based low-rate attack initially introduced by [2]. A low-rate attack is an intelligent variation of a traditional DoS attack that aims to elude detection by sending seemingly legitimate packets at a low rate. Difficult to detect and mitigate, this attack effectively results in the exhaustion of resources, and consequently, service unavailability. A slow-rate or “low and slow” DoS attacks, on the other hand, evade detection by transmitting packets at a slow speed. These type of attacks involve apparently legitimate traffic arriving at a seemingly legitimate albeit slow rate. Attack tools such as Slowloris[3], and RUDY[4]. produce legitimate packets at a slow rate, allowing the packets to pass traditional mitigation strategies undetected. Traffic from such attacks is often hard to detect because it looks like legitimate traffic on OSI Model Layer 7 (the Application Layer) to lower-level security devices. In this commentary, a study of slow-rate DoS attacks is presented.

————————————————————————————