作成者別アーカイブ: todkm.admin

PowerShellでRedmine REST APIにJSON形式でPOSTしてプロジェクトを新規作成する

PowerShellでRedmine REST APIにJSON形式でデータをPOSTしてプロジェクトを新規作成するとき、注意すべき事項は以下の2点。

・連想配列(ハッシュ)でPOSTするデータを用意するとき、プロジェクトの属性データ全体を”project”キーの値とした連想配列にする必要がある。
・連想配列(ハッシュ)をUTF8でエンコードする必要がある。
・APIアクセスキーを access_key をキーとしてデータに含める必要がある。

たとえば、作成したいプロジェクトの属性データは下記とします。


$data = @{
"name" = "テストのプロジェクト";
"identifier" = "testproject";
"description" = "";
"status" = 1;
"is_public" = "true";
"enabled_module_names" = @("issue_tracking", "time_tracking");
};

このデータを http://(ホスト名)/projects.json にPOSTしても422 Errorになります。

まずaccess_keyを追加する必要があります。


$data["access_key"] = "(APIアクセスキーの文字列)"

次に属性データ全体を project というキーの値にしてからPOSTする必要があります。


$postdata = @{"project" = $data}

さらにUTF8にエンコードする必要があるので。


$jsondata = ConvertTo-Json -InputObject $postdata
$jsonUTF8data = [System.Text.Encoding]::UTF8.GetBytes($jsondata)

この $jsonUTF8data をInvoke-RestMethodの-Bodyパラメータに設定します。


Invoke-RestMethod -Uri $postURI -Method POST -ContentType "application/json" -Body $jsonUTF8data -Credential $cred

これでようやく422 Errorが解消します。

GDPRの日本に対する「相互的十分性認定」は実際は「不十分」かつ「片務的」のように見える:個人情報保護委員会のパブコメへの回答から

欧州個人データ保護規則(GDPR)について、日本が欧州から欧州個人データの域外移転について十分性認定を受け、今年2018年中には正式に発効する。

その十分性認定を受けることができたのは、日本の個人情報保護委員会が、既存の個人情報保護法への補完的ルールとして「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(以下「補完的ルール」)を制定、パブリックコメント募集を経て正式に発効させたことだ。

しかも今回の十分性認定は「相互的 mutual」なもので、欧州個人データを欧州から日本へ「without being subject to any further safeguards or authorisations(何らこれ以上の安全措置や認証を条件とすることなく)」(‘Questions & Answers on the Japan adequacy decision’ 2018/07/17 欧州委員会)域外移転できると同時に、日本から日本の個人データを欧州へ域外移転できることになった。

・・・はずである。

「相互的」とは普通に理解すればそういうことで、欧州委員会も「this is the first time the EU and a third country agreed on a reciprocal recognition of the adequate level of data protection(EUと第三国が個人データ保護の十分性レベルの相互認証に合意した最初の事例である)」と、わざわざこの実績を誇っている(‘Questions & Answers on the Japan adequacy decision’(欧州委員会 2018/07/17))。

ところが、日本の個人情報保護委員会が上記、補完的ルールのパブコメで集まった意見に対するオフィシャルな回答をつけた『「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」に関する意見募集結果』(2018/08/24)を読むと、がく然とする。

日本政府側は「相互的」ということについて対応する気がないらしいからだ。

この「意見募集結果」にある個人情報保護委員会の回答に何度も出てくる次の決まり文句が、それを雄弁に物語っている。

本案は、EU 域内から十分性認定に基づき日本国内に移転した個人に関する情報の取扱いについて適用されるものであり、それ以外の情報に適用されるものではありません。

今回の十分性認定は「相互的」であるが、にもかかわらず個人情報保護委員会が、欧州へ移転された日本の個人のデータの取扱いについて補完的ルールをいっさい示していないし、欧州に補完的ルールの制定を求めてもいない。つまり、個人情報保護委員会は現行の個人情報保護法で良いと考えていることになる。

しかしGDPRと個人情報保護法を比べると、明らかにGDPRの方が厳しい。

ということは、個人情報保護委員会は欧州個人データより自国民の個人情報の方がゆるく扱われても構わないと宣言しているようなものだ。

このことは「意見募集結果」に何度も登場する次の決まり文句が明確に示している。

当委員会は、EU の GDPR の各種規定に関する解釈権限を有していないため、GDPR の解釈についての回答は差し控えさせていただきます。また、当委員会では、引き続き、GDPR の制度概要及び本案の内容について、情報発信と周知広報に努めてまいります。

日本政府(個人情報保護委員会)は今回の十分性認定が「相互的」であるにもかかわらず、GDPRの解釈を欧州に丸投げしている。

このことは、欧州個人データが日本へ移転された場合は、GDPRに沿った補完的ルールで対応するが、日本の個人データが欧州へ移転された場合は、GDPRに沿ってどう取り扱われるかは感知しない、と言っているのと同じことだ。

そうでないというなら、日本政府はGDPRの解釈について回答できる必要がある。それができず欧州側に丸投げでは「平等」で「相互的」な十分性認定とは言えない。

このことに理不尽さを感じる日本の企業や組織がなぜ現れないのだろうか?

個人ブログ運営者がGDPR(欧州一般データ保護規則)に大騒ぎしている愚かさ加減

日本語の個人ブログ運用者が、Google Analyticsで閲覧者をトラッキングしているというので、手間をかけてGDPR(EU一般データ保護規則)対応しているが、物事の発生確率について常識的に考えよう。

GDPR違反に制裁金(administrative fines)を課すかどうかはEU各国にある監督機関(supervisory authority)が執行権を持つ。

世界中に無数にある個人ウェブサイトから、あなたのブログを狙い撃ちして、わざわざあなたに英語で少なくない分量の質問書を送信し、状況を詳細に調査し、制裁金を課すべきかどうか、課す場合には金額をいくらにするかを決めるために、あなたと何往復もやり取りすると、あなたは本気で信じているのだろうか。

監督機関は、そんなにヒマではない。

ご自身のブログがEUの監督機関に狙い撃ちされるのを心配して手間をかけるくらいなら、あなたの日常生活にはもっと心配する価値があり、もっと手間を掛ける必要のあることが山ほどあるはずだ。

EUの監督機関が調査するとすれば、最優先なのはEEA域内で一般的に使われている言語および通貨で、EEA域内の自然人に商品やサービスを提供するウェブサイトのうち、多額の制裁金を徴収できそうな大企業だ。

そこから規模やプライバシー侵害リスクの大きそうなウェブサイトで優先順位付けして調査して行くとして、それだけでも何年かかるか分からない。

日本は今年2018年中には欧州委員会から正式に個人データ域外移転に関する十分性認定を受けられる見込みだ。米国の保護貿易傾斜に対抗して欧州が日本とのEPAを急いだおかげの「棚ぼた」で、日本の十分性認定が前倒しになったためだ。

十分性認定を受ければ「何ら追加の安全措置の必要なく」欧州個人データを日本へ移転できる。

結果、あなたが心配すべきことは、あなたのブログが日本の国内法である個人情報保護法を遵守しているかどうかだ。

ところであなたは自分のブログのコメント欄やアンケートフォーム、Google Analyticsで収集している日本人の個人情報が、日本の個人情報保護法に違反していないかを真剣に考えたことがあるだろうか。

単なる一個人が自分のブログについて「GDPRだ!大変だ!」というこの空騒ぎは、いつになったら終わるんだろう。

追記)

ちなみにGDPRのRecital 23では、欧州の個人に商品またはサービスを有償無償にかかわらず提供している場合は、欧州域外の個人や企業にもGDPRはたしかに適用される。

しかし適用されるかどうかの判断基準も書かれており、欧州域内で一般的に使われている言語、または、通貨が使われており、明らかに欧州域内の個人向けだと分かる場合のみに適用される。

したがってRecital 23を読む限りでは日本語の個人ブログはGDPR適用外となる。

ただし、Recital 24に域外適用のもう一つの場合が書かれており、欧州域内個人の欧州域内での行動をモニタリング(monitoring)する場合は域外適用される。

しかしながら、何がモニター(monitor)にあたるかの判断基準も書かれている。欧州域内個人のインターネット上の行動を追跡し、欧州域内個人のプロファイリングをする場合、特に、その個人に関する特定の意思決定や、その個人の嗜好、行動、意見を分析・予測する場合にモニタリングとみなされる。

Google AnalyticsやAdsenseのCookieを心配している個人ブロガーの皆さんは、このRecital 24の域外適用のことを言っている。

書かれているとおり、単にCookieを収集するだけで放置している場合はモニタリングに当たらず、GDPR適用外となる。どうしても心配ならGoogle AlanyticsやAdsenseに限らず、アクセス分析やネット広告サービスはすべて削除する必要がある。

またグローバルIPで欧州からのアクセスを遮断すればよいという記事もたまに見かけるが、GDPRの条文のどこにも、グローバルIPで欧州からのアクセスを遮断しさえすればGDPRの域外適用を免除されるとは書かれていない。

その個人が欧州域内かどうかはインターネット上の技術で決まるわけではなく、物理的に、実際に、欧州域内に存在するかどうかで決まる、としかGDPRには書かれていない。

たとえば、欧州域内の個人がVPNを使って欧州域外の国のグローバルIPからアクセスしてきた場合も、欧州域内の個人がアクセスしてきたことになる。

グローバルIPだけで欧州かどうかを判断する方法ではGDPR適用を逃れることはできない。

また、個人でブログを運営する場合、技術力のある方々は自力でWordpressにプラグインを入れるなどの対応で、Cookie取得についてユーザの事前同意を取ることはできるだろう。

しかしITの知識がほぼない方々が、手軽に始められるブログサービスに乗っかって、そのサービスが自動でアクセス数集計をしてくれるとか、コメント欄があるとか、アンケート機能があるというケースの方が多いはずだ。たとえばアメブロのユーザなど。

個人ブログの運営者で必死になってCookie対策やグローバルIP制限(上述のようにこれは対策にならない)をしている方々は、欧州の監督機関が、例えばすべてのアメブロユーザを摘発しに来るというような事態を本気で信じているのだろうか。

NHKの「偽・佐川」警告記事を批判したIT関係者に徹底反論

NHKが2018/07/27 16:35に公開したこの記事『本物そっくり!?「偽・佐川」に厳重注意を!』(2018/07/27 16:35 NHK)にネット上の批判が集まったらしいが、その批判そのものが間違っていることを徹底的に批判してみる。

それらの批判はこちらの『NHKの「偽・佐川」警告記事に批判集まる。iPhoneが攻撃アプリに感染すると誤解を生む内容』(2018/07/28 20:37 Yahoo!ニュース)という記事でまとめられている。

民間企業でIT技術者として一般社員に情報セキュリティの啓蒙活動をしている立場からすると、上記NHKの記事はきわめて適切である。これを批判した方々は少なくとも啓蒙家としては適性がない。

日本のiPhoneのシェアの異常な高さ

批判の第一点は今回のフィッシングメールでマルウェア感染のリスクがないiPhoneの画面を掲載している点にあった。

しかし日本は世界的に見てiOSのシェアが異常に高い特殊な国である。

こちらがIDCによる2017年日本国内スマートフォンのベンダー別出荷台数だがAppleは約半数を占める。

他方、こちらは全世界の2017年各四半期ベンダー別出荷台数で、サムスンが常に2割強でAppleをしのいでいる。3位以下はHuawei、Xiaomi、OPPOとなっている。

日本人はXiaomi、OPPOなどというメーカーの名前自体知らないだろうし、世界第三位のHuaweiも日本国内のシェアはたった4%だ。

仮にAndroidの画面を使うとして、日本のAndroid端末の画面はキャリア固有アプリのアイコンが並んでいたり、比較的高いシェアのHuaweiはEMUIという独自UI、ASUSは設定画面が独自UIだったりと、そもそも「これが素のAndroidだ」と分かっている一般人などいない。

また一般人がスマホを選ぶとき、iOSとAndroidの違いを理解して機種を選んでいるわけではない。Apple製品の方がデザインが良いとか、友だちや家族にiPhoneを使っている人が多いからなど、技術的観点と無関係な理由で選んでいる。

したがって日本の一般人向けにできるだけ多くの注意を引きとめるために、技術的正確さを犠牲にしてもシェアの観点から「スマホ代表」としてiOS画面を選ぶのは方法論として正しい。

iOSで実害のあるフィッシングメールの存在

今回NHKが取り上げた佐川急便のフィッシングメールはapkファイルのダウンロードへ誘導するもので、たまたまiOSに影響はないだけだ。これが例えば遷移先サイトでApple IDとパスワードを詐取するものであればiOSユーザにも実害がある。

また、一般人は上述のようにiOSとAndroidの違いを技術的に理解しているわけではないため、フィッシングメールの中にiOSに無害なものと、AndroidとiOSの両方に害のあるものといった区別は付かない。

さらに一般人は当然ながら「フィッシング」「マルウェア」などのカテゴリーでサイバー攻撃を認識できない。「なんだか怪しい」という漠然とした不安や恐怖心があるだけだ。

その程度の認識しかない一般人に対して「今回の詐欺はAndroidにしか害がなく、iOSは大丈夫です」と伝えようものなら、まず「Androidって何?」という話になる。運よくその段階をクリアしたとしても「iOSは大丈夫」という間違った安心感を持たせてしまう。

たまたま今回のケースはapkダウンロード型でiOSに害はないが、技術的に正確に「iOSは害がありません」と伝えることで、かえってiOSユーザが別の種類のフィッシングで被害にあうリスクを確実に高める。

今回の啓蒙としては「SMSやメール経由で開いた怪しいサイトには要注意」という、非常にざっくりしたメッセージさえ伝わればよい。

啓蒙活動にかかわる方々は、最も知識レベルの低い聴衆に合わせて情報提供すべきである。そうすればこちらが伝えた内容が正確でないと分かる人たちは喜んで周囲に正しい知識を伝えてくれる。

啓蒙する側としては「スキ」のある内容を伝えた方が情報に伝播力を持たせることができる。まさに今回のNHKの記事にネット上の「専門家」の方々が喜んで食いついたように。

一般ユーザの「怠惰」の正しさ

一般ユーザは技術的なことが分からないので、スマホを購入して使い始めるときにいちいち説明書を読まない。iOSやAndroidの勉強などしない。使いたいアプリがすぐに使い始められさえすれば、OSの設定画面をわざわざ潜っていくなどの手間はかけない。

一般ユーザを致命的なサイバー攻撃から守っているのは、実はこの「怠惰」である。

今回の件もAndroidはデフォルトで提供元不明アプリのインストール許可はオフになっている。ユーザの「怠惰」が正しい結果につながるようにベンダーがフールプルーフ前提の「セキュリティ・バイ・デザイン」をやってくれているからだ。

にもかかわらず、わざわざ「提供元不明アプリのインストール許可はオフにしましょう」などという情報を伝え、それをマジメに聞いてしまった一般人が出てくると、その何割かは確実に逆のことをする。インストール許可をオンにしてしまう。

啓蒙活動においては、相手の情報処理能力に限界を前提として余計な情報を与えないことだ。

余計な情報を与えても何割かの聴衆は30秒後には忘れている。この物忘れの速さも正しい結果につながることがある。

また今回の佐川急便の例では別の面で一般人の「怠惰」が被害を小さくしている。デフォルト設定のAndroidで提供元不明のapkファイルをインストールする手順は非常に面倒だからだ。

間違ってapkファイルのダウンロードボタンをタップしたところで、apkファイルのサイズにもよるが、ダウンロードが終わるまでに別のアプリに移動し、そのうちダウンロードしたことさえ忘れる可能性が高い。これは「怠惰」の成果だ。

仮にダウンロードを待っていたとしても、そもそも提供元不明のアプリをインストールした経験のない一般人は、通知パネルを引き下ろしてダウンロード完了メッセージをタップするという手順が思いつかない。「あれ?さっきボタンを押したけど、ダウンロードしたのはどこ行った?」という程度だ。

この時点で面倒になって「まあどうせ家のポストに不在通知が入るし」とインストールをあきらめるだろう。これも「怠惰」の成果だ。

それでもあきらめずにダウンロード通知を奇跡的にタップできたとすると、提供元不明アプリのインストール警告が現れ、これを受け入れる必要がある。

この時点で「いい加減にしろよ、こっちはそんなにヒマじゃないんだよ。荷物の追跡くらいメールで送ってくればいいだろ」と切れ気味に別のアプリに戻る。これも「怠惰」の勝利だ。

これらはフールプルーフによる「セキュリティ・バイ・デザイン」の成果だ。エンドユーザの「バカ」や「怠惰」を安全な結果へ誘導するための工夫だ。

それを中途半端な啓蒙記事はぶち壊しにする。啓蒙家気取りのみなさんは、少なくともフールプルーフやセキュリティ・バイ・デザインの効果をぶち壊しにしないでほしい。

その効果をぶち壊しても「バカ」で「怠惰」な一般人を啓蒙したいというなら、そういう一般人を1分間以上引き留めるニュース原稿や、10分間以上引き留めるネット記事を書いてみてはどうか。

啓蒙で最も重要なのは知性ではなく感情

まして今回NHKがトレンドマイクロを担ぎ出したことについて、「トレンドマイクロを儲けさせるためだ」とする陰謀論まで出てくる始末だが、NHKがトレンドマイクロを担ぎ出したことも正しい。

無知な一般人に対する啓蒙で最も重要なのは相手の知性に訴えることではなく、感情で釣り上げることだ。

日本人は一般的に権威主義的なので、トレンドマイクロでもシマンテックでもカスペルスキーでも何でもいいので「専門家」を引っ張り出してきて祭り上げ、小難しいことを語らせれば感情で釣り上げることができる。

「なんだかよく分からないけど、偉い人が気を付けろって言ってるから気を付けなきゃ」

ここまでこぎつければ今回の啓蒙活動は成功である。

今回のフィッシングがiOSには害がないとか、Androidの設定画面でどうすれば提供元不明アプリのインストールを防止できるかとか、そうした情報はどうせ聴衆の頭に残らない。

聴衆の感情的なフックを利用してこちらに注意を向けさせ、細かいことは抜きにして危機感さえ持ってもらえれば、その後により正確なことを知ろうという動機づけにつながる。

逆に、最初から技術的に正確なことを伝えようとして「なんだか面倒だ」「よく分からない」とマイナスの動機づけを与えてしまえば、啓蒙活動としては失敗である。

そんなことさえ分からない人たちがツイッターで啓蒙活動っぽいことをやっているのだから、専門家の「裸の王様」具合は滑稽でさえある。

なおこのブログ記事は専門家に向けられたもので、一般人に向けて書かれた啓蒙記事ではない。

GDPR十分性認定で欧州在住日本人と日本在住日本人の権利保護に差別がうまれる件

日本が既存の個人情報保護法に追加ガイドラインを定めることでGDPR十分性認定を得る予定になったが、その結果、日本の国内法が日本国民より欧州人を優遇するという結果になる。(欧州人と書いたが正確には国籍を問わずEEA域内に存在する個人)

追加ガイドラインは「EU域内から十分性認定により移転を受けた個人データ」についてのみ追加の取扱いを定めているので、日本国民の個人データにはその追加の取扱いは適用されない。

例えば欧州人の個人データについては、性生活、性的指向又は労働組合に関する情報が含まれる場合、要配慮個人情報の扱いになるが、日本国民の場合はそうならない。

欧州人の個人データについては、外国にある第三者へ提供するにあたって、その第三者が日本と同水準の個人の権利利益保護を有しているか、契約などの拘束力のある方法で保護措置を連携して実施するかが必要だが、日本国民の個人データについては不要。

欧州人の個人データを匿名化する場合は、匿名化のために用いた加工方法の情報自体を削除する必要があるが、日本国民の個人データの場合は加工情報の情報は適切に管理するだけでよい。

以上のように、日本の個人情報保護法は欧州人に対して、日本国民の個人情報より手厚い保護を与えることになる。

GDPRで言うEEA域内の個人には、EEA域内にいる日本人も含まれるので、同じ日本国民でも欧州滞在中と日本にいるときで個人データの取扱いが変わることになる。

日本国内法が日本国民の権利保護の取扱いに差をつける。これが日本国憲法に違反しないのか興味があります(汗)。