開催日時：2025年10月30日木曜日　午後７時から１時間程度
開催方法：ZOOMセミナー
講演者：山本健人・北九州市立大学准教授（総務省・デジタル空間における情報流通に係る制度ワーキンググループ構成員）
司会：山田　肇・ICPF理事長

山本氏の講演資料はこちらにあります。

山本氏は次のように講演した。

• 違法情報には名誉毀損などの他者の権利を侵害する「権利侵害情報」と、法令でその流通が違法とされている「その他違法情報」がある。一方、有害情報は違法情報ではないが、個人の生命・自由・財産ないし社会に有害な影響を与える情報である。ただし有害性を判断する一義的な規準はなく、広範な概念である。
• 誤情報、偽情報、フェイクニュースは、違法情報か有害情報に分類できる。この講演では、それゆえ、違法情報・有害情報という表現を主に使う。
• SNSの登場でメディア環境は変容した。ユーザー生成コンテンツ（UGC）と呼ばれる一般ユーザーが作成・発信する情報が増加したが、人間の認知的処理能力には限界があるため、SNS事業者が圧倒的な情報量を独自の基準で選別するようになっている。報道機関やメディア企業に所属する者によって作成・発信されるプロ性の高いコンテンツ（PGC）はSNSではUCGと並列的に表示される。収益の低下も相まって、PGCの生成基盤（伝統メディア）は弱体化している。
• 供給される膨大な情報量に対し、私たちが払えるアテンションや時間は圧倒的に希少である。そこで、アテンションが交換財として経済的価値をもって取引されるようになった。SNS事業者は、先にも説明したように圧倒的な情報量を独自の基準で選別するが、より多くの広告収入を獲得するのは、刺激的で魅惑的なコンテンツである。その過程で、丹念な取材をもとに書かれた退屈な真実よりも、刺激的で魅惑的な偽情報／違法・有害情報のほうが経済的利益を生むようになっていった。
• 変容するデジタル情報空間の諸問題への対処が必要であるが、決定打はなく多面的同時並行的な対策が求められている。その一つのアプローチとして、SNS事業者の媒介者責任のあり方について再考した。
• 米国通信品位法の目的はインターネット上の「下品な」コンテンツの規制である。同法の230条はオンラインサービス事業者が自主的に、ポルノ、下品なジョーク、暴力的なストーリーなど、子どもたちを害するようなメッセージや画像をモデレートできる環境をつくるための条項である。それによって、真の政治的議論の多様性、文化的発展のユニークな機会、知的活動の多様な道筋を提供するフォーラムとなる可能性を持つインターネットの継続的な発展を促進することも同規定の目的である。
• アメリカの通信法体系では媒介者について3類型がある。第一がコモン・キャリアで通信の秘密が適用され、自らが媒介する情報の内容を知ることはできないため、コンテンツの中身についての責任は負わない。次が頒布者で、情報の内容を知ることができるが、その内容を編集することができないものであり、情報の内容が違法であることを知っていたときのみ、その情報の流通に責任を負う。最後が発行者で、情報の内容を編集でき、情報の伝達について、原則として責任を負う。
• 通信品位法230条は、双方向オンラインサービスプロバイダ（事業者）は発行者としての責任は負わないとした。そのうえで、憲法上保護されるか否かに関わりなく、わいせつ、みだら、好色、汚らわしい、過度に暴力的、ハラスメント的、またはその他の不快であると考える素材へのアクセスや利用可能性を制限する目的で、事業者が誠実に自主的に行った措置も免責されるとした。「インターネットをクリーンにする」パートナーとして事業者を位置付けようとしたものである。
• しかし、裁判所の拡大解釈によって、広範な免責が認められていった。たとえば、違法なコンテンツの存在を知っていたにもかかわらず、当該コンテンツを削除しなかった場合にも免責される。事業者が、アプリケーション等により安全な機能を搭載するなどのサービス設計の変更をすべきであったのに、そうしなかった場合や、危険な商品の販売等の違法行為を助長している場合なども免責される。
• SNS事業者のコンテンツ・モデレーションとは、以下のような行為である。コンテンツの削除、収益化の停止、真偽不明などのラベル付与、表示順位の低下、アカウント停止・終了、プロミネンス（特定情報の上位での表示）。また、厳密には異なるがいわゆるレコメンデーションも本講演では便宜的にコンテンツ・モデレーションに含める。Facebookが2022年第2四半期に914,500,000件のモデレーションを行うなど、膨大な量のモデレーションが実施されている。
• このような状況を受け、共和党、民主党、一部学者が異なる立場から異なる見解に基づき、通信品位法230条の改革を主張している。
• 例えばトランプ大統領は前任期の末期に、「オンライン検閲を禁ずる大統領令」（2020年5月28日）を発出し、限られた数の巨大SNS 事業者が、アメリカ人がインターネットで発信できる表現を恣意的に選別し、公共的な議論を形成する際に、人々が何を見て、何を見ないかをコントロールする強大な権力を有しているとの指摘をした。そして、通信品位法230 条が与える免責は、名誉毀損等の違法・有害なコンテンツを削除することを意図して与えられたものなので、巨大SNS 事業者が好まないコンテンツを検閲し、そのような意見を抑圧することを許すために与えられたものではないと主張した。加えて、SNS 事業者が、「誠実な」モデレーションを行っていない場合は、「発行者」として扱い免責しないとの規制を準備するように連邦通信委員会に命じた。
• この指摘は、コンテンツ・モデレーションが恣意的になされているとの認識に基づき、中立なコンテンツ・モデレーションを実施すべきとの方向性だが、中立なコンテンツ・モデレーションは可能だろうか？　 一部の党派的見解が不利に扱われないこと（中立性）やフェイクニュースや偽・誤情報、違法・有害な情報を蔓延させないこと（健全性）が期待されているが、容易にその該当性は判断できない。
• 一つのラディカルだが、明確なアプローチはモデレーションを禁止することである。つまり、SNS事業者がモデレーションを行っている場合は免責を付与しないとする。230条廃止論やコモン・キャリア論の一部はこうした方向性と軌を一にするが、この提案は、SNS事業者のビジネスに大きな打撃を与え、ユーザーにとっても望ましくない結果となる可能性が高い。
• そこで、モデレーションの結果ではなく、望ましいモデレーションに向けた意思と努力を免責の条件とすることを提案する。また、それを測る基準としてたとえば、次の三点を提案する。
  • 組織化：モデレーション慣行の改良を検討する常設の部局を設ける、関連するアクターとベストプラクティスなどの情報共有を行う、リスク評価や人権等への影響評価を行う
  • 透明化・説明責任：サービス設計・変更の平易な説明、定期的な透明性レポートの公表
  • 監査：アルゴリズムなどの監査（エラー率の改善傾向、ヴァルネラブルな集団を不利に扱う、あるいは偽・誤情報等を含む過激なコンテンツを過度にレコメンドするアルゴリズムを用いていないか）
• 講演者としては、モデレーションのシステム設計の改良へ向けた介入はモデレーションの実態とも適合的であると考えている。一方で、事業者にどのような種類、どの程度の取り組みを求めるのか、誰が事業者の取り組みを免責に値すると評価するのか、評価の透明性をどのように確保するのかをより詰めて明確する必要があるといった課題もある。とはいえ、プラットフォーム規制の実効性確保を念頭に置いたとき、日本も免責条項の再設計について議論を深めるべきだ。

講演後、次のような質疑があった。

質問（Q）：最後に説明された「誠実なモデレート」を評価する組織について質問したい。日本なら総務省、米国なら連邦通信委員会といった公的組織が評価すると政治的な疑念を生む恐れがある。すべてを裁判に委ねることはできないのか。
回答（A）：政治的な疑念には同意するゆえ、政府による評価にも透明性が求められる。そのうえで、政府の評価についてさらに異議を申し立てたい人は、裁判に訴えればよい。
Q：テレビ放送におけるBPOのように、SNS事業者が作る民間組織に委ねるという可能性はあるのか。
A：UGCは途方もない量がある。一つ一つのコンテンツについて個別に解決していくのは限界がある。今回の提案はモデレーションのシステムの評価・改善を免責によって基礎づけようとするものであり、マクロな視点に基づいている。BPOのような仕組みをこのシステムに対する評価・提言を行う組織として設立し位置づけることはできるかもしれない。もっとも、個別のコンテンツの判断に関する深刻なエラーが発生する可能性は当然に残るので、こうしたミクロなケースへの対応は裁判的統制がまずは想起される。
Q：違法情報、有害情報と認知できる段階から削除するまでの時間で評価してはどうか。
A：権利侵害情報への対応義務については、情報流通プラットフォーム対処法で原則14日以内、その下の省令で７日以内という規定がある。こうしたタイムラインを定める方法は、その他違法情報、有害情報への対策を考えるにあたっても参考になる。この他、まずは速やかに削除する、その先でじっくり検討して復活させる場合もある、というような方法もあるかもしれない。
Q：AIとの関係を質問したい。今現在もモデレーションにAIを活用しているだろうが、技術進展でより精緻なモデレーションができるのではないか。
A：AIは活用しつつも最終的には人間が判断するプロセスを挟む場合もあるというのが現状である。この先に学習量が増えていけば、AIの精度は上がるだろう。その段階になれば、AIによるモデレーションの精度等を技術的に検証できる。つまり、精度も監査できるようになるので、誠実なモデレートの評価という仕組みに組み込めるだろう。
Q：先生は総務省の検討会に参加されているが、そこでもこのような議論が行われているのか。
A：総務省では免責の条件を再検討するという議論はされていない。ハードロー、あるいはソフトローとしてどのような方法が適切かを議論している。立法事実があり事業者の義務を明確に規定できる場合には立法化のハードルは高くないが、とくに有害情報の対策については法律で踏み込んだ規定をするのには限界がある。
Q：このコンテンツに対して、このようにモデレーションを実行しているなら免責であるという範囲を定めるのは難しい。SNS事業者が発行者と見なされるケースもあると思うが。
A：免責の範囲が定まらないと立法は難しいという指摘に同意する。もっとも、免責が特権であると整理できれば、特権付与の条件設定は直接義務を課すよりもハードルが下がるのではないかと考えている。SNS事業者は何をどんな順番で届けるかはコントロールしているが、コンテンツの内容にまで手を入れているわけではない。「発行者」とすべきかについてはもう少し慎重に考えたい。
Q：何とか類型化する努力を重ねないと、立法化にまで至るのは難しいだろう。
A：基本的には同意しているが、細かなラインを引くと、すぐに時代遅れになるという問題もある。このバランスをとることも課題である。

共催：ウェブアクセシビリティ推進協会
開催日時：2025年９月22日月曜日　午後７時から１時間程度
開催方法：ZOOMセミナー
講演者：朱　心茹・東京科学大学准教授
司会：山田　肇・ICPF理事長

朱氏は講演資料をNotionページで作成した。リンクより閲覧可能である。

朱氏は冒頭次のように講演した。

• 中国・復旦大学在学中から文字デザインを研究し、東京大学で学び、今は東京科学大学で「多様な特性を持つ読者に対応した書体カスタマイズシステムおよびその多言語展開の研究」を進めている。
• 書体とは、視覚的な特徴となってあらわれる一貫したデザインを施された字形の集合である。世の中には多様な日本語書体が約2500種類も存在する。しかし、よく使われる書体は限られており、デザインも似通っている。書体には多様性と単一性という特徴が併存している。活版印刷の時代には技術的・経済的な理由から書体の標準化が求められたが、今日では個別化が可能なっておりかつ求められているという話をする。
• 書体には意味・印象・雰囲気・感じなどの言語外の情報を伝えるコミュニケーション機能がある。コミュニケーション機能は書体の多様性によって支えられている。多様な書体があるからこそ、伝えたい印象や雰囲気に適したものを選ぶことができる。
• 書体は文字情報の読みやすさを左右するという点でアクセシビリティに深く関連する。よく使われている書体を読みやすいと感じる傾向があり、 アクセシビリティ機能は書体の単一性によって支えられていると考えられてきた。しかし、読みが多様であることが分かってきた今日では、書体の多様性こそ読みやすさに深く関連するとも考えられる。
• 書体の「読みやすさ」には、可読性と視認性の二側面がある。可読性は、一定の長さがある文章がいかに負担なく容易に読めるかの程度。視認性は、ある文字をその文字としていかに容易に判別できるかの程度である。英語でIllustrationと書いたときに、冒頭の大文字のIと次にある小文字のlがきちんと判別できるかが、視認性である。
• 読字速度、正確性、理解度、視認速度などの客観的な指標、好みや読みやすさといった主観的な指標を用いて、どの書体が読みやすいかについて多くの研究が実施されてきた。「一つの読みやすい書体」を定める研究は良い成果が出ず、近年では読みやすい書体は個々人で異なることが知られてきた。
• 障害者法制は、障害者差別解消法の制定以来、障害者個々に最適化するように求める方向に進んでいる。
• 全般的な知的発達や学習環境に問題がないにも関わらず、文字の読み書きに正確性や流暢性の困難が生じる学習障害を有する発達性ディスレクシアの子供たち個々に、自分にとって読みやすいフォントを提供する「じぶんフォント」プロジェクトに取り組んできた。書体の個別最適化を目指す研究である。パソコン上で線の太さや傾き、線と線の間隔などを自由に調整することで、「じぶんフォント」が出来上がる。研究開発と実践の両面で、発達性ディスレクシアの子供たち読字環境を理解・整備していきたい。

講演後、以下のような質疑が行われた。

質問（Q）：文書作成、プレゼンテーション資料作成のアプリでは、作成者がフォントを指定する。その結果、受け手にとって必ずしも読みやすくない資料が作成される場合もある。送り手はテキスト情報だけを作成するように切り替えてはどうか。
回答（A）：賛成である。そのためにテキスト情報を表示するアプリが必要になる。今の文書作成アプリは表示機能の役割も果たしているが、利用できるフォントに限りがある。将来的には自分好みのフォントで表示することを基本機能とするアプリ開発に携わりたい。
Q：送り手主導から受け手主導に変えるということか。
A：その通りである。
Q：老眼や近眼に読みやすいフォントはありますか。
A：老眼を考慮して開発されたフォントがあり、UDフォントが典型である。近眼用には、ある程度離れていても識別できる高速道路の表示に使われているフォントがある。
補足：老眼や近眼は感覚器の問題で、認知の問題ではないので、これまで蓄積されてきた読みやすい書体に関する知見がそのまま適用できる可能性が高い。
Q：WEBサイトの閲覧や電子書籍などは「個別最適化」に対応できるが、駅の表示など、多くの人が利用する物理的に存在するものは「個別最適化」が難しいのではないか。
A：大多数の人にとって読みやすいフォントを使って、今は提供されている。眼鏡型デバイスで見るとフォントが切り替えられるといった技術に可能性があるかもしれない。
コメント（C）：飛行機の搭乗口情報などは搭乗客に伝えればよい。搭乗者のスマホにプッシュ通信する技術が10年ほど前に開発されている。必ずしも全員に伝えなければいけないかをまず考えて、個別に情報を伝えるという方法も取るべきだ。
Q：フォントの読みやすさと手書き文字の読みやすさには関係があるのか。
A：明朝体などの印刷用フォントよりも、手書き風のフォントのほうが読みやすいという報告もある。手書き文字風だと書き順も感じられるので読みやすいということかもしれない。
Q：漢字とひらがな・カタカナで読みやすさは異なるのか。
A：文章を読むときには、途中で引っかかると先に進めなくなったり、前に読んだことを忘れたりする。それゆえ、引っかかりがないように漢字とかな全体に共通性があるデザインが用いられている。また、漢字は少し大きく、ひらがなは少し小さい書体は、内容語と機能語の識別がしやすいという点で読みやすさを高める。
Q：ETA（Enhanced Terminal Accessibility）の支援リクエストに組み込んではどうか。
C：カードに自分の好み、たとえば大きな文字がよいとか、英語で表示してほしいとか、宗教に配慮してほしいとかを記録しておく。そのカードを端末にさらすと、その人の希望に沿った形で情報が提供されるのがETAである。ただし、今はフォントの選択はできない。
A：ETA国際標準の改正時にフォントへの対応も付け加えるというのは良い案である。協力・連携していきたい。

開催日時：2025年8月29日金曜日　午後2時から2時間半程度
開催場所：産業技術総合研究所臨海副都心センター別館（江東区青海2丁目4−7）
講演者：谷川民生ウェルビーイング実装研究センター長

ICPF会員・非会員18名が参加して実施されたイベントでは、谷川氏の講演の後、研究現場を見学した。谷川氏の講演の要旨は次のとおりである。

• 2010年ごろには住宅における高齢者の自立生活支援について研究していたが、その後、少子高齢化といった社会課題に資するようにロボットとAIを活用するといった社会システムの研究に移行してきた。
• 多様なIoTが人間を計測して人間について理解する（わかるIoT）、それをAIに与えて理解させる（考えるAI）、その結果に基づいてロボットが対象者や対象物に働きかける（働きかけるロボット）。人間計測評価、分散クラウド、人工知能、ビッグデータ、ロボットの総合技術が、この研究センターの研究テーマである。

• 人が存在する実空間（フィジカル空間）のツインをデジタル空間（サイバー空間）に作る。これがサイバー・フィジカル・システムである。フィジカル空間で事故を起こすと実被害が発生する。一方、サイバー空間で事故をシミュレーションすれば、効率よく予防の仕組みが生み出せる。たとえば、こんな研究が行われている。
• フィジカル空間として工場現場や人々の生活環境といったリアルな空間を対象とする。そのなかに人とロボットを置き、人の安全を確保しつつ人とロボットが一緒に作業するといった、協調安全ロボットの利用技術を開発している。
• 今は生産現場等における就労の生産性向上に力を入れている。就労現場には、仕事自体は簡単だが多品種対応のためにロボットには難しいであるとか、複雑な仕事でロボットにはむずかしい、といった仕事が多く存在する。サイバー・フィジカル・システムを利用して、そんな仕事ができるロボットを開発する。
• 遠隔からロボットが操作できれば、就労者の負担は軽減し、高齢者や障害者も就労できるようになる。マニピュレータで操作するだけでなく、自然言語で命令するといったことが可能になれば、ますます負担は軽減されるだろう。ロボットが自律性を高めれば、一人で複数台のロボットを操作できるようになる。こんな目標をもって研究すると、熟練者のノウハウも取得・伝承できるようになる。
• このような研究によって就労者のウェルビーイングを高めていくのが目標である。

乱雑に箱に入れられた部品をロボットがピックアップする技術、次の工程に必要な、時には重量がかさむ部品を人と一緒にロボットが集める技術、コンビニエンスストアでの商品陳列や在庫管理をロボットが行う技術などについて見学が実施された。

参加者との質疑はおよそ次の通りであった。

質問（Q）：人とロボットの協調というのは、ロボットを人に近づけることなのか。
回答（A）：人と同じようなロボットを作るのはロボット研究者の夢だが、ロボットを人に近づけるのは今の研究目標ではない。ロボットが人間を理解し、人間と共に協調して作業をするロボットを研究している。
Q：自然言語処理で生産性を向上するという話があったが、その先で何を展望しているのか。
A：Large Language Modelの先には、例えば、種々の品物の形状に関わるLarge Modelも必要になる。例えばコンビニのラーメンをロボットが見分けるのに利用できる。さらにその先にはいろいろな動作のLarge Modelも求められるだろう。
Q：障害者就労というが、多様な障害者のそれぞれのニーズに対応できるのか。
A：研究として発展の途上にある。サイバー・フィジカル・システムを基に研究すると、ニーズに対応できるようになるだろう。

開催日時：2025年7月24日木曜日　午後７時から1時間程度
開催方法：ZOOMセミナー
参加定員：100名
講演者：上原哲太郎・立命館大学情報理工学部教授
司会：山田　肇・ICPF理事長

上原氏の講演資料はこちらにあります。

冒頭、上原氏は次のように講演した。

• 組織内部での規定違反、例えば持ち出したUSBの紛失による情報漏洩などは依然として続いている。
• サイバー攻撃も近年増加傾向にある。2010年代当初は自らの技術を誇示する愉快犯などが多かったが、その後、思想信条からの攻撃も増えた。2014年 にソニーピクチャーズが攻撃されたのは、北朝鮮の体制をパロディにした映画の公開が理由と考えられている。諜報活動と破壊活動を担う「国家背景ハッカー」として北朝鮮のAPT38はFBIから手配されている。
• インターネット上の脆弱な端末を踏み台にしてイントラネットに侵入する。イントラネット内に基盤を構築して、目標を定め、攻撃先を特定して情報を盗み出すなどの行為を行う。こんな標的型攻撃が増加傾向にある。2015年には日本年金機構から情報が抜き出される事件が起きた。ハッカーは目的を定めると達成まで攻撃を続ける。それなりのハッカーが人海戦術で、手作業で、ありとあらゆる手法で侵入を試みる。そして、ウイルス等の機能で遠隔操作を行い、システム内部を調査し、乗っ取っていく。
• 標的型攻撃などの金銭目的の外部犯、内部犯の増加は深刻である。パソコンやサーバのデータを勝手に暗号化して、復号と引き換えに金銭を要求するのがRansom（身代金）攻撃である。広義にはシステムや端末を使用不能にするものも含む。しかし、身代金を払っても復号（システム復元）できるとは限らないし、犯罪者に支払を行うことの是非も問われる。
• 2020年にはカプコンがランサム攻撃され、二重脅迫の被害が起きた。盗まれた情報が暴露され、個人情報漏洩に発展したのである。2022年にはトヨタのサプライチェーンが攻撃され、14工場28ラインが停止した。奈良県宇陀市立病院、大阪市立東大阪医療センター、徳島県つるぎ町立半田病院、大阪急性期・総合医療センター、岡山県精神科医療センターというように、病院への攻撃も続いている。
• アクターがランサム攻撃のツールを開発して、そのツールを利用してアフェリエイトが攻撃を実行する。稼ぎはアクターに上納する。闇バイトと同様のアクター・アフェリエイト関係は、Ransom as a Serviceと呼ばれている。
• インターネットは危険であり、イントラネットは安全であるとして、その境界をゲートウェイで分離する。境界線を作り通信を制限/遮断するのが、我々が頼ってきた境界線防衛モデルである。
• しかし、遠隔保守のためにインターネットからイントラネットにVPN接続（仮想専用線接続）する、イントラネットからインターネット上のクラウドにデータを転送する、といった利用方法が普及するにつれて、境界線防衛モデルは崩壊しつつある。テレワークも境界線防衛モデルにとって脅威である。今やイントラネットへの侵入経路はいくらでもある。
• さらに、あらゆるものがネットにつながるIoT時代を迎えつつある。攻撃者が開発したウィルス（bot）はPCやIoT機器を犯罪の道具にする。
• 2021年には、フロリダ州のオールズマー浄水施設にサイバー攻撃があった。もともとTeamViewerアプリを活用して職員が遠隔操作しあえる環境にあった。それが悪用されて浄水中の水酸化ナトリウム濃度が100倍以上に引き上げられた。サポート切れソフトウェア（Windows 7）を使い、職員全員がパスワードを共有するといった、IT屋には信じがたい状況であったことが攻撃を招いた。
• IT屋は機密性を優先するが、インフラ屋は止めないこと（可用性）を優先する。そして「今はちゃんと動いている」という理由でシステムの更新を怠る。これが被害を生み出す。
• IoT化も安易に行われると脆弱性がばら撒かれる。機器が多様で一律の対策が立てられない、ソフトウェアの質が保たれていない、利用者の質も保たれていないといった問題がある。一方で、多く行われているスマートフォンアプリでの操作であれば、元々セキュリティを重視して開発されている（セキュア・バイ・デザインの）スマートフォンが防波堤として働く可能性もある。
• ソフトウェアが「正常である」ことは「正常な入力に対し正常に出力される」ことを意味する。しかし、異常な入力を正しく「エラー」にできないと脆弱性が生じる。誤入力・誤操作を正しくエラーとして処理するとともに、脆弱性を突く悪質な入力を排除するのが、これからのソフトウェア開発である。
• 境界線防衛に代わって、アクセスを試みるすべてのユーザやデバイスを常に検証する「ゼロトラストアーキテクチャ」も提案されている。しかし、普及は進んでいない。アクセス権管理がきめ細やかにできれば境界線防衛には頼らなくてよいというのだが、実際には運用コストが下がらず、ソフトウェアの脆弱性・設定ミスを潰しきれていない。
• これからのソフトウェアやシステムは、以下の方針で構築するのがよい。①最初から出来るだけ安全に設計する（セキュア・バイ・デザイン）、②それでも完璧ではないので出荷前によく検査する（侵入テスト・ファジングテスト）、③それでも完璧ではないのでシステムを更新可能にする、④サポート期限を明らかにする。
• 同時に、人材問題、すなわちシステム全体を見通せる人材の不足し、ユーザ企業側にIT人材がいないという課題を解決しなければならない。

講演終了後、以下のような質疑があった。

ゼロトラスト等について
Q（質問）：ゼロトラストではアクセス権の厳密な設定が難しいとわかったが、現実的な対策はあるのか。
A（回答）：運営の実績が多く、信頼できるクラウドサービスだけを使うという対応には限界がある。ゼロトラストと境界線防衛を組み合わせるのが当面の対策である。この組み合わせのうまい落としどころを決めるのはユーザ企業側の責任であるが、今はそれができていない。
Q：病院や自治体を見ると、セキュリティ人材を抱えられる大規模組織と、それができない小規模組織の格差が問題である。境界線防衛を外して、町役場がゼロトラストでシステムを運用できるのだろうか。官庁での議論も大規模組織を前提とし過ぎているのではないか。
A：小規模組織でいきなりゼロトラストは無理。だから境界線防衛との組み合わせを提案しているのである。「一人情シス」ではゼロトラストはカバーできない。
Q：情報システムを小規模組織が個々に管理するというのが無理である。小規模組織の連合体がきちんと管理するといった仕組みに移行できないのか。
A：自治体間での競争がある。たとえば児童手当額。そのたびに、連合体に入っている他の自治体にシステム改修について了解を求めるというのは困難である。APIで横出しするといった対応策も簡単ではない。

医療・介護のセキュリティ等について
Q：医療界には信じられないくらいに低レベルのSierが存在する。今後、PHRを進めるうえでアプリとのつながりは必須である。HR７FHIRの標準化も進められているがセキュリティはどのようにして実現すればよいのか。
A：データフォーマットの標準化の際に、データを守る仕組みをセットで標準化するという考え方がある。しかしPHR等では、ユースケースベースでデータを守る仕組みも標準化するというところまで進んでいない。
Q： IoTセンシングを用いて介護施設入居者をモニターする仕組みは厚生労働省も認めている。それを在宅介護に拡張すると、セキュリティ上の課題が生じる恐れがある。在宅介護の利便を向上することとのバランスはどうとるのか。
A：実装にバリエーションを作らない、セキュア・バイ・デザインのスマートフォンをベースにするなどによって、セキュリティ問題は最小化できる。また、ホームルータを用いれば、ホームルータがある種のゲートウェイとして機能する。
Q：経済安全保障法の対象を医療分野に拡張しようという俎上に載っているが、どのように考えるか。
A：病院関係のセキュリティは脆弱である。インセンティブを付けて病院のセキュリティを高めるなど、経済安全保障法改正前に手を打つ必要がある。
Q：独居高齢者の見守りでは、医療・介護から近隣の人々まで多くが関わる。その際に、それらの関係者による対象者情報へのアクセス制御はどのように進めればよいか。
A：医療・介護従事者等それぞれを、見守りに関わる「人」として認可する。そして、認可者がアクセスした際には認証する。認可の際にどこまでアクセスできるか、アクセス権の範囲を設定しておく。このアクセス権の範囲設定は人間が行う以外にない。
Q：ご近所見守りシステムの話を聞いたことがある。平時は本人と家族だけというように制限し、天災のときにはより多くの人がアクセスできるようにしたそうだが。
A：能登半島地震で実際にそのように管理したそうだ。しかし、緊急時もいつかは平時に戻る。どこでアクセス制御を切り替えるかは人間による高度な判断が求められたそうだ。