NHKの「偽・佐川」警告記事を批判したIT関係者に徹底反論

NHKが2018/07/27 16:35に公開したこの記事『本物そっくり!?「偽・佐川」に厳重注意を!』(2018/07/27 16:35 NHK)にネット上の批判が集まったらしいが、その批判そのものが間違っていることを徹底的に批判してみる。

それらの批判はこちらの『NHKの「偽・佐川」警告記事に批判集まる。iPhoneが攻撃アプリに感染すると誤解を生む内容』(2018/07/28 20:37 Yahoo!ニュース)という記事でまとめられている。

民間企業でIT技術者として一般社員に情報セキュリティの啓蒙活動をしている立場からすると、上記NHKの記事はきわめて適切である。これを批判した方々は少なくとも啓蒙家としては適性がない。

日本のiPhoneのシェアの異常な高さ

批判の第一点は今回のフィッシングメールでマルウェア感染のリスクがないiPhoneの画面を掲載している点にあった。

しかし日本は世界的に見てiOSのシェアが異常に高い特殊な国である。

こちらがIDCによる2017年日本国内スマートフォンのベンダー別出荷台数だがAppleは約半数を占める。

他方、こちらは全世界の2017年各四半期ベンダー別出荷台数で、サムスンが常に2割強でAppleをしのいでいる。3位以下はHuawei、Xiaomi、OPPOとなっている。

日本人はXiaomi、OPPOなどというメーカーの名前自体知らないだろうし、世界第三位のHuaweiも日本国内のシェアはたった4%だ。

仮にAndroidの画面を使うとして、日本のAndroid端末の画面はキャリア固有アプリのアイコンが並んでいたり、比較的高いシェアのHuaweiはEMUIという独自UI、ASUSは設定画面が独自UIだったりと、そもそも「これが素のAndroidだ」と分かっている一般人などいない。

また一般人がスマホを選ぶとき、iOSとAndroidの違いを理解して機種を選んでいるわけではない。Apple製品の方がデザインが良いとか、友だちや家族にiPhoneを使っている人が多いからなど、技術的観点と無関係な理由で選んでいる。

したがって日本の一般人向けにできるだけ多くの注意を引きとめるために、技術的正確さを犠牲にしてもシェアの観点から「スマホ代表」としてiOS画面を選ぶのは方法論として正しい。

iOSで実害のあるフィッシングメールの存在

今回NHKが取り上げた佐川急便のフィッシングメールはapkファイルのダウンロードへ誘導するもので、たまたまiOSに影響はないだけだ。これが例えば遷移先サイトでApple IDとパスワードを詐取するものであればiOSユーザにも実害がある。

また、一般人は上述のようにiOSとAndroidの違いを技術的に理解しているわけではないため、フィッシングメールの中にiOSに無害なものと、AndroidとiOSの両方に害のあるものといった区別は付かない。

さらに一般人は当然ながら「フィッシング」「マルウェア」などのカテゴリーでサイバー攻撃を認識できない。「なんだか怪しい」という漠然とした不安や恐怖心があるだけだ。

その程度の認識しかない一般人に対して「今回の詐欺はAndroidにしか害がなく、iOSは大丈夫です」と伝えようものなら、まず「Androidって何?」という話になる。運よくその段階をクリアしたとしても「iOSは大丈夫」という間違った安心感を持たせてしまう。

たまたま今回のケースはapkダウンロード型でiOSに害はないが、技術的に正確に「iOSは害がありません」と伝えることで、かえってiOSユーザが別の種類のフィッシングで被害にあうリスクを確実に高める。

今回の啓蒙としては「SMSやメール経由で開いた怪しいサイトには要注意」という、非常にざっくりしたメッセージさえ伝わればよい。

啓蒙活動にかかわる方々は、最も知識レベルの低い聴衆に合わせて情報提供すべきである。そうすればこちらが伝えた内容が正確でないと分かる人たちは喜んで周囲に正しい知識を伝えてくれる。

啓蒙する側としては「スキ」のある内容を伝えた方が情報に伝播力を持たせることができる。まさに今回のNHKの記事にネット上の「専門家」の方々が喜んで食いついたように。

一般ユーザの「怠惰」の正しさ

一般ユーザは技術的なことが分からないので、スマホを購入して使い始めるときにいちいち説明書を読まない。iOSやAndroidの勉強などしない。使いたいアプリがすぐに使い始められさえすれば、OSの設定画面をわざわざ潜っていくなどの手間はかけない。

一般ユーザを致命的なサイバー攻撃から守っているのは、実はこの「怠惰」である。

今回の件もAndroidはデフォルトで提供元不明アプリのインストール許可はオフになっている。ユーザの「怠惰」が正しい結果につながるようにベンダーがフールプルーフ前提の「セキュリティ・バイ・デザイン」をやってくれているからだ。

にもかかわらず、わざわざ「提供元不明アプリのインストール許可はオフにしましょう」などという情報を伝え、それをマジメに聞いてしまった一般人が出てくると、その何割かは確実に逆のことをする。インストール許可をオンにしてしまう。

啓蒙活動においては、相手の情報処理能力に限界を前提として余計な情報を与えないことだ。

余計な情報を与えても何割かの聴衆は30秒後には忘れている。この物忘れの速さも正しい結果につながることがある。

また今回の佐川急便の例では別の面で一般人の「怠惰」が被害を小さくしている。デフォルト設定のAndroidで提供元不明のapkファイルをインストールする手順は非常に面倒だからだ。

間違ってapkファイルのダウンロードボタンをタップしたところで、apkファイルのサイズにもよるが、ダウンロードが終わるまでに別のアプリに移動し、そのうちダウンロードしたことさえ忘れる可能性が高い。これは「怠惰」の成果だ。

仮にダウンロードを待っていたとしても、そもそも提供元不明のアプリをインストールした経験のない一般人は、通知パネルを引き下ろしてダウンロード完了メッセージをタップするという手順が思いつかない。「あれ?さっきボタンを押したけど、ダウンロードしたのはどこ行った?」という程度だ。

この時点で面倒になって「まあどうせ家のポストに不在通知が入るし」とインストールをあきらめるだろう。これも「怠惰」の成果だ。

それでもあきらめずにダウンロード通知を奇跡的にタップできたとすると、提供元不明アプリのインストール警告が現れ、これを受け入れる必要がある。

この時点で「いい加減にしろよ、こっちはそんなにヒマじゃないんだよ。荷物の追跡くらいメールで送ってくればいいだろ」と切れ気味に別のアプリに戻る。これも「怠惰」の勝利だ。

これらはフールプルーフによる「セキュリティ・バイ・デザイン」の成果だ。エンドユーザの「バカ」や「怠惰」を安全な結果へ誘導するための工夫だ。

それを中途半端な啓蒙記事はぶち壊しにする。啓蒙家気取りのみなさんは、少なくともフールプルーフやセキュリティ・バイ・デザインの効果をぶち壊しにしないでほしい。

その効果をぶち壊しても「バカ」で「怠惰」な一般人を啓蒙したいというなら、そういう一般人を1分間以上引き留めるニュース原稿や、10分間以上引き留めるネット記事を書いてみてはどうか。

啓蒙で最も重要なのは知性ではなく感情

まして今回NHKがトレンドマイクロを担ぎ出したことについて、「トレンドマイクロを儲けさせるためだ」とする陰謀論まで出てくる始末だが、NHKがトレンドマイクロを担ぎ出したことも正しい。

無知な一般人に対する啓蒙で最も重要なのは相手の知性に訴えることではなく、感情で釣り上げることだ。

日本人は一般的に権威主義的なので、トレンドマイクロでもシマンテックでもカスペルスキーでも何でもいいので「専門家」を引っ張り出してきて祭り上げ、小難しいことを語らせれば感情で釣り上げることができる。

「なんだかよく分からないけど、偉い人が気を付けろって言ってるから気を付けなきゃ」

ここまでこぎつければ今回の啓蒙活動は成功である。

今回のフィッシングがiOSには害がないとか、Androidの設定画面でどうすれば提供元不明アプリのインストールを防止できるかとか、そうした情報はどうせ聴衆の頭に残らない。

聴衆の感情的なフックを利用してこちらに注意を向けさせ、細かいことは抜きにして危機感さえ持ってもらえれば、その後により正確なことを知ろうという動機づけにつながる。

逆に、最初から技術的に正確なことを伝えようとして「なんだか面倒だ」「よく分からない」とマイナスの動機づけを与えてしまえば、啓蒙活動としては失敗である。

そんなことさえ分からない人たちがツイッターで啓蒙活動っぽいことをやっているのだから、専門家の「裸の王様」具合は滑稽でさえある。

なおこのブログ記事は専門家に向けられたもので、一般人に向けて書かれた啓蒙記事ではない。

GDPR十分性認定で欧州在住日本人と日本在住日本人の権利保護に差別がうまれる件

日本が既存の個人情報保護法に追加ガイドラインを定めることでGDPR十分性認定を得る予定になったが、その結果、日本の国内法が日本国民より欧州人を優遇するという結果になる。(欧州人と書いたが正確には国籍を問わずEEA域内に存在する個人)

追加ガイドラインは「EU域内から十分性認定により移転を受けた個人データ」についてのみ追加の取扱いを定めているので、日本国民の個人データにはその追加の取扱いは適用されない。

例えば欧州人の個人データについては、性生活、性的指向又は労働組合に関する情報が含まれる場合、要配慮個人情報の扱いになるが、日本国民の場合はそうならない。

欧州人の個人データについては、外国にある第三者へ提供するにあたって、その第三者が日本と同水準の個人の権利利益保護を有しているか、契約などの拘束力のある方法で保護措置を連携して実施するかが必要だが、日本国民の個人データについては不要。

欧州人の個人データを匿名化する場合は、匿名化のために用いた加工方法の情報自体を削除する必要があるが、日本国民の個人データの場合は加工情報の情報は適切に管理するだけでよい。

以上のように、日本の個人情報保護法は欧州人に対して、日本国民の個人情報より手厚い保護を与えることになる。

GDPRで言うEEA域内の個人には、EEA域内にいる日本人も含まれるので、同じ日本国民でも欧州滞在中と日本にいるときで個人データの取扱いが変わることになる。

日本国内法が日本国民の権利保護の取扱いに差をつける。これが日本国憲法に違反しないのか興味があります(汗)。

EU一般データ保護規則(GDPR)十分性認定の誤解が多すぎる件(更新)

2018/07/17にEU一般データ保護規則(GDPR)について日本を十分性認定したが、まだGDPRの第29条委員会ガイドラインの読込みをやっているブログがあったりする。

こちらの欧州委員会の今回の十分性に関するプレスリリースと、Q&A形式のファクトシートをちゃんと読んでいるんだろうか。

こちらの弁護士法人・三宅法律事務所の記事が見つけた限りでは唯一妥当な解釈をしていると個人的に考えている。

ポイントだけ引用する。

「日本が十分性認定を得れば、EU以外の十分性認定を取得していない第三国に個人データを『再移転』する場合は、GDPRの問題ではなく、日本法(個人情報保護法24条に基づく外国にある第三者への個人データの移転)の問題となります」

分かりやすく言えば、欧州個人データについて、日本は欧州の一部になったということだ。このことは欧州委員会サイトの十分性認定の決定についての解説にもある

“The effect of such a decision is that personal data can flow from the EU (and Norway, Liechtenstein and Iceland) to that third country without any further safeguard being necessary. In others words, transfers to the country in question will be assimilated to intra-EU transmissions of data.”

「そのような(十分性認定)決定の効果はEU(およびノルウェー、リヒテンシュタイン、アイスランド)からの個人データは、当該第三国にいかなる追加安全措置の必要なしに流通してよいということです。言い換えれば、当該国への移転はEU域内のデータ移動とみなされます」

日本が欧州個人データに関してEUの一部とみなされるかわりに、欧州個人データを日本からを第三国へ再移転する場合、日本はデータ輸出者になる。十分性認定のない第三国にデータ輸出する場合、日本の国内法にもとづいてGDPRのBCR、SCCに相当する手続きを整備する必要がある。

こちらのベーカー&マッケンジー法律事務所の2018/05/02のコラムが分かりやすい

“Although the EU standard clause contracts may not be required under this new adequacy regime (with its additional requirements), some form of contractual obligations will still need to be imposed upon the recipients of the personal data in Japan relying upon the regime. Companies will consequently need to create bespoke agreements or contractual provisions that can address the specific requirements in the Guidelines. In practice, companies will no longer need to worry about the EU standard clause contracts and so will have flexibility as to how the provisions in the Guidelines are incorporated. However, it will still leave companies with a burden to ensure that their agreements meet the specific requirements of the Guidelines, or be at risk that their data transfers from the EU to Japan be considered non-compliant with the adequacy requirements, and be in breach of the GDPR. ”

日本の個人情報保護法が新たにガイドラインを追加することで(with additional requirements)、その新たな十分性制度(new adequacy regime)の下ではEUのSCCは要求されなくなるかもしれないが、日本の欧州個人データ受領者は依然として何らかの形式の契約的な義務を課せられる。その結果、個人情報保護法の追加ガイドラインに対応するための同意や契約を新たに作成する(create)必要があるだろう、とのことだ。

EUのSCCは不要になり、「EUのSCCについてはもう心配する必要はなくなり、ガイドラインの規定にどう対応するかについて柔軟性が出てくる」ことになる。

重要なのは欧州委員会が十分性認定によって「いかなる追加安全措置の必要なしに流通してよい」としているのに対して、ベーカー&マッケンジーは十分性認定によっても、SCC相当の契約手続きがないとGDPR違反とされるおそれがあるとしている点だ。

筆者は欧州委員会の解説を採用する。十分性認定によって日本は欧州個人データについては欧州域内とみなされ、追加の安全措置は一切不要になるという考え方だ。

その結果、日本は欧州個人データの「域外」移転先ではなくなり、十分性認定を受けていない第三国に対しては欧州同様「輸出者」として、その第三国とSCC相当の契約を結ぶ必要が出てくる。

かつ、そのSCC相当の契約は日本の個人情報保護法と追加ガイドラインに基づく契約であり、EUのSCCではない。十分性認定によって日本は第三国への欧州個人データ移転については、GDPRの直接適用を受けなくなるからだ。

ところが日本政府が追加ガイドラインを施行するのは今秋(2018年秋)ごろなので、まだSCCに当たる契約ツールは公開されていない。日本政府が欧州委員会のように契約ツールを提要してくれるかどうかも分からない。

現時点で日本企業は欧州個人データを第三国へ移転する(=輸出する)とき、国内のSCCに相当するツールがないので実務上困ってしまう。

欧州委員会が2018/07/17に公開したファクトシートに書かれているように、十分性認定とは法制度が完全に一致していなくても「本質的な等価性」があれば、いかなる追加安全措置や許可なしに欧州個人データの移転を受けてよい。

もっと言えば、EUからすると「十分性認定したんだからこれからはお前のところの国内法でちゃんとやってくれ」ということだ。これも同ファクトシートに書かれている。

“Japan also agreed to establish a system of handling and resolution of complaints, under the supervision of the Japanese data protection authority (the Personal Information Protection Commission), to ensure that potential complaints from Europeans as regards access to their data by Japanese law enforcement and national security authorities will be effectively investigated and resolved.”

十分性認定後に日本が実施すべきこととして、個人情報保護委員会が日本のデータ保護機関となり、その監督の下で苦情処理のシステムを確立し、欧州個人からの苦情申し立てを日本の法律の執行と日本国内の情報セキュリティ機関が調査、解決する必要があるとしている。

欧州個人からの苦情申し立ても、日本国内法、日本国内の監督機関(=個人情報保護委員会)でやってくれ、という意味だ。

そもそもGDPRが第三国に治外法権を作り出そうというものではないのだから当たり前だ。他国の国内法に直接手をつっこむことができないのは当たり前なのだが、この当たり前を分からずに、まるでGDPRが日本国内の自然人・法人に「直接」適用されると勘違いしている人が多すぎる。

なので十分性認定を得た後でも、日本は十分性認定を得たがゆえにGDPRがより強く直接適用されると勘違いしている人が多い。

たとえばこちらの記事の最後にある「東京都内の弁護士」は、十分性認定によってGDPR対応が不要になるというのは誤解である、という誤解をしている。

十分性認定によってGDPR対応は不要となり、その代わりに国内法である個人情報保護法に追加されるガイドライン対応が必要になる、というのが正しい。ガイドラインでGDPR対応に「十分な」内容が追加されるからだ。

十分性認定を受けた後も日本の国内法が「不十分」であり、依然として国外法のGDPR対応が必要という見解は、上記の欧州委員会の説明やファクトシートと矛盾する。

十分性認定によって、欧州個人データについて日本は欧州域内とみなされ(assimilated to intra-EU transmissions of data)、一切の追加安全措置が不要になる(without any further safeguard being necessary)。

専門家でさえ誤解をしているのだから、日本のメディアが、あたかも欧州域内法であるGDPRが日本に「直接」適用され続けるかのように、つまり、欧州個人データについてだけは日本に治外法権ができるかのように、誤解を生む報道をするのは仕方ない。

【追記1】

日本企業の欧州現地法人がGDPRの「直接適用」を受けるのは、上記と同じ理屈だ。欧州域内の自然人・法人は欧州域内法の適用、十分性認定を受けた日本国内の自然人・法人は日本国内法(個人情報保護法プラス追加ガイドライン)の適用という考え方で整理できる。

しかし三宅法律事務所の上記コラムでは、欧州に拠点のない日本企業が欧州個人データを直接輸入して管理、処理する場合と、欧州域外の日本企業が欧州内の企業から欧州個人データの処理を受託する場合、GDPR上の管理者、処理者としての義務を負うとある。

しかしこの「域外適用」がどのようになされるのか書かれていない。「域外適用」の適用方法がBCR、SCCなら十分性認定の言う「いかなる追加の安全措置や許可なしに」と矛盾する。

十分性認定とは日本の国内法がGDPRと本質的な等価性を持つという認定なので、「域外適用」はGDPR上の管理者、処理者の義務を負うという意味ではなく、日本国内法上の管理者、処理者の義務を負うという意味である。

しかも今回の十分制認定は過去初めての「相互的 reciprocal」な十分性認定だ。

たとえ十分性認定があっても日本の自然人・法人が特定の場合だけ「域外適用」としてGDPR上の義務を負うのであれば、その同じ場合において、欧州の自然人・法人も日本個人データについて「域外適用」として日本国内法(個人情報保護法)上の義務を負うことになるが、この法解釈には無理がある。

今回の相互的十分性認定によって・・・

(1-A)欧州に拠点のない日本企業が欧州個人データを直接輸入(移転受け)して管理、処理する場合
(1-B)日本に拠点のない欧州企業が日本個人データを直接輸入(移転受け)して管理、処理する場合
(2-A)欧州域外の企業が欧州域内の企業から欧州個人データの処理を受託する場合
(2-B)日本国外の企業が日本国内の企業から日本個人データの処理を受託する場合

・・・これらすべてが無条件に認められなければ、相互的十分性認定とは一体何なのだろうか?

【追記2】
欧州委員会のこちらのGDPRの十分性の解説ページをご覧頂きたい。

十分性は国内法制度、または、国際的なコミットメントにより認められるとある。日本の場合は上記ファクトシートから分かるように国内法制度の追加整備(=個人情報保護法の追加ガイドラインのこと)による。

また十分性認定によって「いわば、該当の国への移転はEU域内のデータ移動であるかのようになる(be assimilated)」。つまり今後日本は欧州個人データの移転についてEU域内のデータ移動であるかのよになるだけでなく、欧州は日本個人データの移転について日本国内のデータ移動であるかのようになる。

かといって日本がGDPRに定められた義務を果たす必要がなくなるわけではないが、その義務は十分性認定の根拠にあるように、日本国内法で整備されているため、GDPRを直接参照するのではなく、日本国内法(個人情報保護法と追加ガイドライン)の適用を受けてその義務を果たすことになる。

日本国内の自然人・法人がGDPRの適用を受けるわけではなく日本国内の法制度の適用を受けるのである。

【追記3】

ベーカー&マッケンジーのこちらの『データ保護~日本と欧州間の十分性認定に関する重要な前進』というコラムの最後に、十分性認定後のSCCに代わるものについて記述がある。

「この十分性認定の(追加要求をともなう)新たな制度下で欧州SCCは求められないにもかかわらず、その制度に依拠して日本の個人データの受領者には依然として何らかの形式の契約的義務が課される。(日本の)企業はその結果、ガイドライン(訳注:個人情報保護法の追加ガイドライン)の具体的な要求に対応できるそれ専用の合意または契約上の規定を新たに作成する(create)必要があるだろう。実践的には、企業はもうEUのSCCについて心配する必要はなくなり、ガイドラインの定めをどのように具体化するかについて柔軟性を持つようになる」

要するにGDPRのSCC制度からは解放されるが、依然としてSCC相当の合意や契約ツールを新たに作らなければいけないと書いてある。十分性認定後、日本企業にGDPRが直接適用されることはなく、あくまで日本国内法が適用されるということだ。

各企業のGDPRプライバシー通知がヒドい件

日本企業のプライバシーポリシーやプライバシー通知ページに、GDPRの言及がないのは論外だが、言及がある企業にもヒドいものがある。

まずGDPRで個人の同意は明示的でなければいけないのに、「このプライバシーポリシーを読んだ時点で同意したとみなします」と堂々と書いてある企業。

サイトにプライバシーポリシーのページさえ作れば、そのページを見た個人全員から本人同意が取れたことになるんであれば、誰も苦労しない。

同意の取得方法については第29条委員会から2018/04/16にガイドラインが出ているので読むべき。みなさんの想像以上に同意が取れたことにできるためのハードルは高い。

また、本人同意はいつでも撤回でき、撤回されたら、その個人のデータを削除してデータ処理をやめなければいけない。

ページを見せただけじゃ誰が見たか分からないので、撤回されたときも、誰が撤回したのか分からない。明らかにGDPR違反。

次にGDPRで個人データのEEA域外移転について、「このプライバシーポリシーに同意すれば十分性認定のない第三国への移転に同意したものとみなします」と堂々と書いてある企業。

サイトにプライバシーポリシーのページさせ作れば、自社が管理している欧州個人データを域外移転するとき、BCRもSCCも何もいらないんだったら、誰も苦労しない。

BCRもSCCもなく、本人同意だけで十分性認定のない第三国へ個人データを移転するのが、どれだけハードルが高いかはGDPRの第49条1項の後半を読むと分かる。こちらのJIPDECの仮訳でもよい

移転は繰り返しがなく、かつ限られた数のデータ主体で、かつ正当な法定利益の目的に必要で、かつ、データ主体の利益と権利と自由の方が優先で、かつ、企業側がデータ移転に関する全状況を評価し、かつその評価にもとづいて個人データ保護に関する適切な保護措置がとられており、かつ、その適切な保護措置を「取扱い活動の記録」に記載し、移転について欧州域内の監督機関に通知しなければならず、本人に対して移転と正当な法的利益を通知する必要がある。

こういった場合に限って、本人同意だけで第三国へ個人データを移転できるのだが、監督機関への通知が必要な時点で、おそらく自社企業グループ内でSCCを締結する方が楽だ。SCCは監督機関に報告したり承認を得たりする必要がないからだ。

ところがある企業のプライバシーポリシーには、このポリシーを読んだだけで域外移転に同意したとみなしますという、完全にGDPR違反のことが書いてある。

GDPRについてまったく触れていないプライバシーポリシーをいまだに公開している企業よりはマシなんだろうけれど、GDPR違反のことを平気で書いてあるのでは大して変わらない。

『サイバー攻撃者の「巨大ファイル」4種類、22億の漏洩データを発見』??

セキュリティ関係の調べものをしていて、偶然とある発見があった。

『検索可能なネット表層さまようアカウント情報約22億件 – 流出事故とも一致」(Security NEXT 2018/05/17)

このニュースのソースはこちら。

『サイバー攻撃者の「巨大ファイル」4種類、22億の漏洩データを発見~14億の標的パスワードファイル/7億の詐欺メール送信先ファイル/2800のハッキングサイトファイル』(ソリトンシステムズ 2018/05/08)

このニュースリリースでは「本調査において新たに4つの重要な巨大ファイル群を発見しました」とあるが、「14億クレデンシャル」はセキュリティ企業「4iQ」が2017/12/08に発見したものだ。

‘1.4 Billion Clear Text Credentials Discovered in a Single Database(14億のクリアテキストのクレデンシャルが単一のデータベースで発見)’ (4iQ 2017/12/08)
『ダークウェブに14億件の個人データ流出、有名ポルノサイトも』 (フォーブズ・ジャパン 2017/12/14)

また、「Onliner Spambot」はTroy Hunt氏が2017/08/30に個人ブログで公開している。

‘Inside the Massive 711 Million Record Onliner Spambot Dump’ (Troy Hunt 2017/08/30)
『6億件以上のメールアドレスが誰でもアクセス可能な状態のスパムボットサーバー上に置かれていた』 (GIGAZINE 2017/08/31)

どういうことなのだろうか?