-----------------------------------------------------------------------------------
【2021年度上半期】海外サイバーセキュリティ・プライバシー政策動向の解説
-----------------------------------------------------------------------------------
JCIC主任研究員 古澤一憲
2021年11月29日
JCICでは、サイバーセキュリティとプライバシー政策に関連した最新の海外動向をまとめ、メールマガジン形式で全会員とオブザーバー組織などに「JCIC海外ニュース」を毎週配信している。
配信したニュースは翌月にJCICのウェブサイト(
Link)に掲載し、広く閲覧できるようにしている。この海外ニュース配信は、基本的にセキュリティ事故や脆弱性情報、技術情報は取り扱うことはせず、海外の政策動向を中心に配信することで、日本企業のビジネス視点での施策検討の一助となることを目的とするものである。
今回のコラムでは、2021年度上半期(2021年4月~2021年9月)に配信した142件のJCIC海外ニュースのトレンドを分析し、下半期の政策動向を占う重要な出来事の解説を行う。
1. 総論 活発な動きを見せたのは米欧そして中国 各国がDXのセキュリティ政策を整備
2021年上半期のJCIC海外ニュースに取り上げたトピックを国別に分析すると以下の通りとなる。
ロシア、韓国は前年集計ではその他に含まれる。また、国際会議など3カ国以上が関与したトピックについては、新たにグローバルという項目での集計を行った。
前年度までと同様に、米国およびEU・英国は引き続きサイバー政策に関連した活発な動きを見せている。本年度上半期はランサムウェアに関連したトピックが特に目立った。米国では石油パイプラインの運行に支障をきたす大型インシデントが発生したこともあり、重要インフラのサイバーセキュリティを強化する政策が積極的に打ち出された。新たにグローバルとして集計した多国間会合等の報道もランサムウェアへの対抗を目的としたものが多かった。こうした取組みは徐々に身を結び、一部のランサムウェア犯罪グループの活動停止やメンバーの逮捕といった成果があがりはじめている。
今年度前半に特に大きな動きが見られたのは中国である。8月に成立した個人情報保護法をはじめ、サイバーセキュリティとプライバシーに関連した法や規制が次々と発表されたことで件数が大きく伸びた。また、中国の国家的関与が疑われている攻撃グループの活動をめぐり、米国・英国・オーストラリアなどとの地政学的緊張の高まりを示すニュースも多かった。7月には米国が同盟国らと共に、中国によるサイバー犯罪行為が各国に深刻な被害を与えていると名指しで非難する一幕もあった。この声明の発出には日本も加わった。
国を問わないトレンドとして、デジタルトランスフォーメーションの推進に適した制度への変遷の狙いを感じさせる報道が多くみられた。ひとつのテーマは、データ活用を念頭においたプライバシー規制の改革である。自国の個人情報保護法をGDPR水準のものに改正する動きやAIを対象にした規制・制度の整備といった取り組みが複数の国で見られた。この他、米中を中心にコネクテッド・カーや宇宙システムなどのサイバー・フィジカル・システムのセキュリティ対策整備の進展を示すニュースが見られたことにも注目すべきである。
総括として、本年度上半期はサイバーセキュリティの国際問題化が大きく進んだ6カ月であったといえる。サイバー空間上の攻防が国境を超えた規模になる一方、地政学上の関係性がサイバー空間にも色濃く反映されはじめた。安全保障の観点からもサイバーセキュリティが重要なテーマとしての存在感を増している。
米国政府は各種のサイバー防御体制強化策とは別に、サイバー人材の数を大幅に増やすための取り組みを強化している。東京五輪を無事に乗り越えた日本企業としては一息つきたいタイミングであるが、下半期にはサイバー関連の国際動向により一層の注意を払い、サイバー脅威への反応速度を高めていくことが求められそうである。
2. 各トレンドの代表的なニュースの振り返り
1) 高度ランサムウェア攻撃の拡大と国際協力による取り締まりの流れ
2021年6月2日 米国ISACA、「コロニアル・パイプライン」の余波とランサムウェア攻撃に関する調査結果を公開
米国でガソリン流通の混乱を引き起こしたコロニアル・パイプライン社へのランサムウェア攻撃に対して、ISACAが米国会員を対象に行った調査結果が公開された。回答者の46%は今後1年で組織に最も高い影響を与えるサイバー脅威はランサムウェアと考えており、全体の84%が今年後半ランサムウェア攻撃は頻繁化すると予想した。回答者の80%が自社は身代金を支払わないと思うと答えており、85%が自社はランサムウェア攻撃に対してある程度の備えができていると答えたが、高度な備えができていると答えたのは32%のみだった。また、回答者の企業の38%はスタッフに対するランサムウェアトレーニングを実施していなかった。
https://www.isaca.org/resources/news-and-trends/newsletters/atisaca/2021/volume-15/isaca-pulse-poll-ransomware-insights-in-the-aftermath-of-colonial-pipeline
2021年6月13日 G7サミットの共同宣言においてランサムウェア対処を明記
英国にて開催されたG7コーンウォール・サミットの共同宣言において、昨今のサイバー攻撃による脅威の高まりを受けて、ランサムウェアの犯罪ネットワークによる脅威の高まりに緊急に対処することがG7首脳の合意文書として明記された。また、ロシアに対して、サイバー犯罪に関する行動を求める文章も記載された。
https://www.mofa.go.jp/mofaj/files/100200009.pdf
https://www.mofa.go.jp/mofaj/files/100200083.pdf
2021年6月16日 ウクライナ警察、ランサムウェア「Clop」の攻撃グループの容疑者を逮捕
ウクライナ警察は、インターポール(IGCI)の支援と調整のもと、韓国と米国の法執行機関と連携してランサムウェア「Clop」の攻撃グループの容疑者を逮捕したことを発表した。逮捕された6人の容疑者は、米国と韓国の企業のサーバーにランサムウェアによる攻撃を行ったとされ、損失の総額は5億ドルに達するとされている。法執行機関の連携により、マルウェアのインフラが停止し、犯罪者が攻撃によって得た暗号通貨を合法化するためのチャネルをブロックしたと述べられている。
https://www.npu.gov.ua/news/kiberzlochini/kiberpolicziya-vikrila-xakerske-ugrupovannya-u-rozpovsyudzhenni-virusu-shifruvalnika-ta-nanesenni-inozemnim-kompaniyam-piv-milyarda-dolariv-zbitkiv/
https://therecord.media/ukrainian-police-arrest-clop-ransomware-members-seize-server-infrastructure/
2021年7月15日 米国CISA、増加するランサムウェア攻撃から企業を守るための新サイトを設立・公開
中小企業の多くはITシステムの管理、データの保存、機密性の高いプロセスのサポートにMSP(マネージド・サービス・プロバイダー)を利用しており、サイバーアクターにとって貴重なターゲットとなっている。Kaseyaランサムウェア攻撃のように、MSPが侵害されると世界的に連鎖的な影響を及ぼし顧客に大きなリスクをもたらすことから、CISAはこうした企業がガイダンスの記載基づきサイバー攻撃緩和策と防御強化を実施し、MSP顧客のネットワーク資産を保護することを強く推奨した。
https://us-cert.cisa.gov/ncas/current-activity/2021/07/15/new-stopransomwaregov-website-us-governments-one-stop-location
https://www.cisa.gov/stopransomware
[研究員コメント]
ランサムウェアを用いたサイバー犯罪の拡散は留まることを知らず、個別の事例の報道以上に統計データを目にする機会が増えてしまったような気さえした。しかし、コロニアル・パイプラインへのランサムウェア攻撃の余波は米国の目の色を変え、次々と対策を進む契機となった。さらに被害国間の国際的な協調関係を背景に、多くのランサムウェア犯罪グループが拠点とするロシアへの圧力を強めたことも奏功し、いくつかのグループが実際に検挙された。下期になってからも有名ランサムウェア犯罪グループ複数に捜査が及んでおり、執行機関による反攻の流れはしばらく続きそうである。JCICコラム「国家のトップが語るサイバーセキュリティ ①米国 ~重要インフラ攻撃がバイデン大統領の本気スイッチを入れた~」も是非参照されたい。(
Link)
2) 米国の重要インフラサイバーセキュリティ政策
2021年4月9日 米大統領、CISA予算の1億1000万ドル増加を要求
米大統領が米国国土安全保障省(DHS)傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の予算を2021年から1億1000万ドル増の21億ドルを議会に求めている。この資金調達により、CISAはサイバーセキュリティツールを強化し、高度な資格を持つ専門家を雇用することで、連邦情報技術システムを保護および防御するためのサービスを利用できるようになるとのこと。
https://www.whitehouse.gov/wp-content/uploads/2021/04/FY2022-Discretionary-Request.pdf
2021年4月20日 米国、電力インフラのサイバーセキュリティ向上のための100日プランを開始
米国エネルギー省(DOE)は、電力インフラのサイバーセキュリティ向上のための100日プランを開始したと発表した。DOEが主導し、電力業界との官民協力で技術向上を図る。このプランでは、「産業用制御システム(ICS)や運用技術(OT)ネットワークにおけるリアルタイムの状況認識や対応能力の展開、体制の強化などが含まれる。
https://www.energy.gov/articles/biden-administration-takes-bold-action-protect-electricity-operations-increasing-cyber-0
2021年7月20日 DHS、重要なパイプラインの所有者と運営者のための新しいサイバーセキュリティ要件を発表
米国国土安全保障省(DHS)の運輸保安庁(TSA)は、パイプラインシステムに対する継続的なサイバーセキュリティの脅威に対応して、第2次セキュリティ指令の発行について公表した。これは、TSAがパイプラインセクター向けに2021年5月に発行した第1次セキュリティ指令の内容に基づいている。
この第2次セキュリティ指令では、TSAが指定する重要なパイプラインの所有者および運営者に対し、ランサムウェア攻撃および情報(IT)と制御・運用(OT)への既知の脅威からシステムを保護するための所定の緩和策の実装、緊急時対応計画と復旧計画を策定・実装、セキュリティアーキテクチャのレビューを求めている。各事業者は、所定の緩和策と現状のギャップおよび改善策を特定し、結果を30日以内にTSAとCISAに報告しなければならない。
https://www.dhs.gov/news/2021/07/20/dhs-announces-new-cybersecurity-requirements-critical-pipeline-owners-and-operators
2021年7月28日 新たな国家安全保障に関する覚書に大統領が署名
米大統領は、同国が直面するサイバー脅威に対抗するため、重要インフラのサイバーセキュリティ向上を目指す覚書(NSM)に署名し、DHSと商務省が明確なセキュリティ基準を設定し、サイバーセキュリティのパフォーマンス目標を策定するように指示した。
両省庁は、国民の安全と安心は、電力・水・交通など国民が依存するサービスを提供する企業の回復力にかかっているといい、重要サービスをサイバー脅威から確実に守るために、重要インフラの所有者・運営者が自主的にガイダンスに従うことを期待すると示したほか、国家安全・経済の安全のためにサイバーセキュリティを積極的に実践・推進すると示した。
https://www.dhs.gov/news/2021/07/28/joint-statement-secretaries-mayorkas-and-raimondo-president-biden-s-new-national
https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/28/national-security-memorandum-on-improving-cybersecurity-for-critical-infrastructure-control-systems/
2021年8月25日 米国ホワイトハウス、米国のサイバーセキュリティ強化に向けた官民連携の取り組みを公表
バイデン大統領は、サイバーセキュリティは国家安全保障・経済安全保障に欠かせない優先事項であるという認識を示し、国を挙げた育成の取り組みについて民間企業や教育機関のリーダーと会談した。
官民合わせて約50万人分のサイバー人材不足対応、産業制御システムのサイバーセキュリティ強化、サプライチェーンセキュリティ対策フレームワークなど様々な議論がおこなわれた。
民間企業としては大手テック企業が揃って参加しており、それぞれのコミットメントについて以下の通り発表した。
・Apple:新プログラムを設立してテクノロジーサプライチェーン全体のセキュリティを継続的に改善
・Google:セキュリティ強化に今後5年間で100億ドルを投資、10万人のデジタルスキル証明書取得を支援
・IBM:今後3年間で15万人に訓練を提供、多様なサイバー人材の育成を発表
・Microsoft:セキュリティ強化に今後5年間で200億ドルを投資、セキュリティ・バイ・デザインの推進と高度なソリューションの提供
・Amazon:従業員向けのセキュリティ啓発トレーニングを無料一般公開
https://www.whitehouse.gov/briefing-room/statements-releases/2021/08/25/fact-sheet-biden-administration-and-private-sector-leaders-announce-ambitious-initiatives-to-bolster-the-nations-cybersecurity/
https://www.whitehouse.gov/briefing-room/speeches-remarks/2021/08/25/remarks-by-president-biden-on-collectively-improving-the-nations-cybersecurity/
[研究員コメント]
バイデン大統領は就任直後から、米国のサプライチェーン強化政策と同時にサイバーセキュリティ政策を推し進めてきたが、様々な実被害が生じたことにより対策推進を大幅に加速した。特に7月28日に署名された国家安全保障に関する覚書では様々なインフラの対策を具体的に推し進めることが宣言された。直近の11月には、インフラ投資法案が可決し、これらの政策を実行する予算も十分に確保されたものと考えられる。また、一連の政策では、官民協調がひとつのキーワードになっており、インフラ企業のみならず大手IT企業も協力姿勢をみせている。
3) 中国政府の積極的なサイバーセキュリティ政策と対米関係の緊張
2021年7月4日 中国国務院、米国市場に上場したDiDiのアプリにサイバーセキュリティ法および国安保違反を通告
今年6月30日に米国取引所に上場した中国の配車サービス大手のDiDiのアプリに対するネットワークセキュリティ審査の開始が、7月2日にインターネット安全審査室から通知された。国家安全保障法と中国サイバーセキュリティ法を根拠とした同審査期間中は、ネットワークセキュリティの見直しとリスク拡大防止を理由に新規ユーザー登録の停止が命じられ、更に2日後の7月4日には、審査の結果、「滴滴出行」アプリには深刻な中国サイバーセキュリティ法違法と不正な個人情報の収集・利用があることが判明したとして、同アプリの販売停止が通告されたほか、DiDiに対する法的要求の遵守と是正が要請された。
http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm
http://www.cac.gov.cn/2021-07/04/c_1627016782176163.htm
2021年7月19日 米国ホワイトハウス、サイバー攻撃について中国の関与を名指しで非難
米国はNATOなどと共に、中国がサイバー空間における犯罪行為をグローバル展開して政府や重要インフラ事業者へ損害を与えていると批判した。また、中国国家安全部(MSS)に所属するサイバー攻撃者が、2021年3月にMicrosoft Exchangeサーバーをゼロデイ攻撃してサイバー諜報活動を行ったと特定したほか、政府系のサイバー運営者がランサムウェアを運用するケースを確認したという。
元MSSのハッカーによるエボラウイルスワクチンの研究盗用例をもとに、知的財産・企業秘密や機密情報の盗用が重要な公衆衛生情報にまで及んでいるとして、経済と国家安全の脅威に対抗するためには、同盟国などと集団的に活動することが重要と主張した。
https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/19/the-united-states-joined-by-allies-and-partners-attributes-malicious-cyber-activity-and-irresponsible-state-behavior-to-the-peoples-republic-of-china/
https://www.whitehouse.gov/briefing-room/press-briefings/2021/07/19/background-press-call-by-senior-administration-officials-on-malicious-cyber-activity-attributable-to-the-peoples-republic-of-china/
https://www.nato.int/cps/en/natohq/news_185863.htm
2021年7月10日 中国国家インターネット情報局、「サイバーセキュリティ評価弁法」修正草案に意見募集開始
国安法・サイバーセキュリティ法・データ安全法などの法令に基づく修正草案の意見募集を開始した。
修正草案の要求事項は次の通り:重要情報インフラ運営者がネットワーク製品・サービスを調達する際の国家安全保障リスク評価・分析報告書の提出(第5条)、100万人以上の個人情報を保有するデータ処理事業者が中国国外市場に公開する際の申告(第6条)、調達文書・IPO資料等の申告(第8条)、重要情報インフラの海外上場により、重要データ・個人情報が外国政府に晒される危険性、国家データ安全や重要情報インフラの事業継続性リスクの考慮(第10条)。
また、7月9日には「滴滴企業版」や「UBER優歩」を始めとする25種類のアプリの違法・削除命令が出されており、法的要求への厳密な準拠が要求されている。
http://www.cac.gov.cn/2021-07/10/c_1627503724456684.htm
http://www.cac.gov.cn/2021-07/09/c_1627415870012872.htm
2021年8月17日 中国国務院、重要情報インフラ安全保護条例の9月1日施行を通告
中国国務院は、2021年4月27日に成立した重要情報インフラ安全保護条例を9月1日から施行することを通告した。
本条例において重要情報インフラとは、重要な産業・分野(通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府、国防科学技術産業など)、およびその他の重要なネットワーク設備や情報システムであり、損傷・機能の喪失・データ漏洩などが国家安全保障、国民生活、公共の利益に深刻な影響を及ぼす可能性があるものとして定義されている。
http://www.gov.cn/zhengce/content/2021-08/17/content_5631671.htm
2021年8月20日 中国、個人情報保護法が成立 11月1日より施行、中国国外へのデータ持ち出しを制限
全人代では、サイバー強国・デジタル中国・スマート社会の構築という要求に基づき、個人情報を合理的かつ効果的に利用することによってデジタル経済を持続的に発展することの必要性が説かれた。一方で、データを新たな生産要素とするデジタル経済において、データをめぐる競争が国際競争の重要分野となっており、個人情報はビッグデータの中核、基盤であることから、個人情報保護法の制定はデジタル経済促進のための重要なステップであるとされた。
こうして8月20日に成立した本法には域外適用の効果が与えられており、中国国内の個人への製品及びサービス提供に加え、個人の行動を分析/評価するために外国で行われる個人情報の処理活動も本法の適用対象となる。
本法の規定によって、中国国外の個人情報処理業者は、個人情報保護に関する事項を担当する専門機関を設置するか、中国国内の代表者の指定することが必要となる。また、重要情報インフラ事業者や大量の個人情報を処理する者は、国外への個人情報提供に際しては、国家ネットワーク情報部門によるセキュリティ評価へ合格することが条件となった。さらに、外国組織または個人が中国国民の個人情報の権利や利益を侵害する活動を行った場合や、中国に対して不当な措置をとる国・地域に対しては、相応の対抗措置が可能であるとの規定が明文化された。
なお、9月1日にはデータ安全法の施行も控えており、中国においてサイバーセキュリティに関連する重要法案の施行が続くこととなる。
http://www.npc.gov.cn/npc/c30834/202108/5891377866c04fd78df8d76d9b76338e.shtml
http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
http://www.npc.gov.cn/npc/c30834/202108/fbc9ba044c2449c9bc6b6317b94694be.shtml
http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
[研究員コメント]
中国は2017年にサイバーセキュリティ法を制定していたが、直近に入りデータ安全法、個人情報法と続けざまにサイバー関連法案を成立、施行している。中国政府はデジタル政策を積極的に推し進めており、サイバー関連法案もこれにあわせて急速に整備されている。米国市場への進出を目論む企業への制限は、米国においてファーウェイなどの中国企業が投資制限や輸出制限の対象となっていることへの対抗措置という見方もできる。サイバーセキュリティをめぐる両国間の対立は経済面にも影響を強めている。
4) グローバル化するプライバシー規制政策
2021年3月30日 欧州委員会、EU・韓国間の十分性認定適用にむけて共同声明を発表
欧州委員会は、EU・韓国間におけるGDPR十分性認定の適用妥当性について韓国個人情報保護委員会との間でジョイントステートメントを発表した。韓国では新個人情報保護法の施行により、GDPRにより近しい制度となったほか個人情報保護委員会の権限が強化されており、EU市民の個人情報やデータの取り交わしをするうえで、欧州と同等程度であるという見解を明らかにした。これにより韓国はEU加盟国のようにEUの市民の個人情報を自由に国内に移転・処理することが可能となる。欧州委は、欧州データ保護委員会と欧州加盟国代表からの意見収集の後、韓国への十分性認定適用を完了する予定で、プロセスは今後数か月で行われるとみられる。
https://ec.europa.eu/commission/presscorner/detail/en/statement_21_1506
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do
2021年9月9日 英国ICO、G7データ保護・プライバシー関連当局会合を開催
英国情報コミッショナーズオフィス(ICO)の主催により、G7データ保護・プライバシー関連当局会合が、9月7日から8日にかけて開催された。
この会合は、2021年4月28日にG7デジタル・テクノロジー大臣が発表した「信頼性のある自由なデータ流通に関する協力のためのロードマップ」と連携したもので、G7当局のカナダ、フランス、ドイツ、イタリア、日本、英国の個人情報保護員会/コミッショナーと米国の連邦取引委員会により構成される。
議題は、国際的なデジタル経済を支援するための規制の枠を超えた連携、オンライン追跡の未来、データ保護に沿ったAI設計、デジタル時代に相応しい救済措置、パンデミック下のイノベーションとデータ保護ストレステスト、政府のアクセスと国際的なデータフローなど多岐にわたり、個人データの越境とG7データ保護当局間の協力にむけたフレームワークづくり等について議論された。
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2021/09/g7-data-protection-and-privacy-authorities-meeting-september-2021/
https://ico.org.uk/media/about-the-ico/documents/4018242/g7-attachment-202109.pdf
2021年9月2日 アイルランドのデータ保護委員会、WhatsAppにGDPR違反で約293億円の制裁金
アイルランドのデータ保護委員会(DPC)は、Facebook傘下のWhatsAppに対して、GDPR違反で約293億円の制裁金を科すことを発表した。発表と同時に公開された決定書によると、WhatsAppが親会社であるFacebookとの電話帳データの共有方法や個人データの処理方法について、EU圏内のアプリ利用者や市民に対して適切に通知されていなかったことが主な問題とされている。
https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-whatsapp-inquiry
https://edpb.europa.eu/system/files/2021-09/edpb_bindingdecision_202101_ie_sa_whatsapp_redacted_en.pdf
2021年9月13日 サウジアラビア議会、個人情報保護法を承認
サウジアラビア議会は、個人情報保護法を承認し、2022年3月の施行を予定している。同法はデータ所有者に対して、個人データの収集が特定の目的を達成するための最小限のデータに限定されること及び個人データの処理が特定の期間に限定されることを要求する権利を保障する。また、ユーザーを直接もしくは間接的に識別する可能性のある個人データ(氏名、ID番号、住所、電話番号、個人記録、財務記録、画像、動画、その他の個人識別データ)が無許可に収集・処理されないよう保護する。サウジアラビアのデジタル化を推進するSDAIA局は、個人情報保護法は同国のデジタル・イノベーション計画「ビジョン2030」を達成するための重要な柱であると述べており、民間ビジネスの成長や海外からの投資の呼び込みの狙いがあるとみられている。
https://iapp.org/news/a/saudi-arabia-approves-personal-data-protection-law/
https://english.aawsat.com/home/article/3190361/saudi-arabia-approves-new-personal-data-protection-system
https://www.saudi-expatriates.com/2021/09/saudiarabia-approves-personal-data-protection-law.html
2021年9月22日 カナダのケベック州、プライバシーに関する新たな州法を制定
デジタル時代への対応をめざし、ケベック州は個人情報保護の枠組みを更新する新しい州法「個人情報の保護に関する立法規定を近代化するための法律」(Bill 64)を制定した。カナダには連邦法として公的部門を規律するプライバシー法と民間部門を規律する個人情報保護および電子文書法(PIPEDA)が制定されているが、唯一のフランス語圏であるケベック州には個人情報保護を目的とする独自の州法が存在する。今回の近代化法はケベック州独自の州法に関するもので、個人情報の収集、使用、公開に関する同意要件の明確化や、個人情報へのアクセスに関する個人の権利の確立、罰金額の引き上げなどを定めている。新たな義務を遵守するための情報やツールは今後同州情報公開委員会により公開予定である。
http://www.assnat.qc.ca/en/travaux-parlementaires/projets-loi/projet-loi-64-42-1.html
[研究員コメント]
データ越境を伴うデジタルビジネスの発展につれ、プライバシー規制の国際化が進展している。これまでの主要国以外にも中東のサウジアラビアやカナダのケベック州の州法がGDPR水準のプライバシー規制への移行を期しており、グローバルなデジタルビジネスを展開するための重要な要件とみなされていることが分かる。
GDPR違反の訴訟は引き続き高額請求が続いており、企業にとってはプライバシー対応の成否がますます事業継続を左右する状況となっている。
5) 社会のデジタル化を見据えたDXセキュリティ政策
2021年4月21日 欧州委員会、初の人工知能(AI)法規制案を公開
欧州委員会はEUレベルでのAI法規制と調整計画により、基本的権利・安全の保証およびAI開発における欧州の主導的地位強化をめざす。全世界の年間売上高の6%の罰金が示唆されている(第71条)をはじめ、リスクの高いAIシステムを管理するための規則や禁止事項が盛り込まれている。例えば人々の安全・生活・権利に対する明らかな脅威とみなされるAIシステムは受け入れられないリスクとなる。
なお、4月19日には米国FTCからも、3つの連邦法によるAI利用規制の注意喚起があった。北米や欧州の一部では、AI顔認識ソフト「Clearview AI」がSNSを無許可でスクレイピングして30億人以上の顔写真を収集した行為に対して違法と判断されている。
https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-european-approach-artificial-intelligence
https://ec.europa.eu/commission/presscorner/detail/en/ip_21_1682
https://www.ftc.gov/news-events/blogs/business-blog/2021/04/aiming-truth-fairness-equity-your-companys-use-ai
2021年5月12日 中国情報安全標準化委員会「5Gサイバーセキュリティ標準化白書」を正式発表
中国情報安全標準化委員会が発行した正式当該白書は、中国移動、中国CERT、アリババクラウド、百度などの15の機関により共同作成され、5Gネットワークセキュリティに関連する政策背景・産業発展状況・技術的特徴、直面するセキュリティリスクと標準化ニーズを、管理・技術・アプリケーションの観点から比較。5Gネットワークセキュリティの標準フレームワークや開発ステップなどが提案されている。昨年の中国の5G基地局は71.8万局と公表されており、今年は60万局(北京は6000局、上海は1万局)が開局予定。広東省では700MHz 5Gネットワークの構築が推進予定。なお、中国通信院の「中国の発展と経済・社会的影響に関する白書」では、2021年は5G産業アプリケーションの導入期であり、徐々の商業ランディングを経て、成長期は2023年以降になると予想。
https://www.tc260.org.cn/front/postDetail.html?id=20210512165851
http://www.caict.ac.cn/kxyj/qwfb/bps/202104/t20210423_374626.htm
2021年5月13日 米国CISA、宇宙システム重要インフラワーキンググループを発足
米国国土安全保障省(DHS)傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、官民の専門家による宇宙システム重要インフラワーキンググループを設立したことを発表した。このワーキンググループの目的は、宇宙システムのリスクを最小化するための国家戦略を策定すること。米国の重要インフラは、宇宙システムに依存していることから、安全性とレジリエンスを高めることが不可欠になっている。
https://www.cisa.gov/news/2021/05/13/cisa-launches-space-systems-critical-infrastructure-working-group
2021年5月19日 NIST、人工知能システムにおけるユーザーの信頼を評価するための方法を提案
米国国立標準技術研究所(NIST)は、人間が人工知能(AI)システムを信頼するための9つの要素を提案した。今回の報告書は、信頼できるAIシステムの進歩を支援するためのもので、AIシステムを使用したり、影響を受けたりする際に、人間がどのように信頼を構築するのかを理解することに焦点を当てている。発行した文章「Trust and Artificial Intelligence(NISTIR 8332)」へのパブリックコメントを2021年7月30日まで受け付けている。
https://www.nist.gov/news-events/news/2021/05/nist-proposes-method-evaluating-user-trust-artificial-intelligence-systems
https://nvlpubs.nist.gov/nistpubs/ir/2021/NIST.IR.8332-draft.pdf
2021年5月25日 欧州ENISA、ICT製品のサイバーセキュリティ認証スキーム候補に関する報告書を公開
ENISAは、欧州サイバーセキュリティ法(第48条2項)に基づく欧州委員会からの要請を受け、既存のICT製品のサイバーセキュリティ認証スキームに代わる後継の準備支援をしている。候補の「EUCCスキーム」はCC(コモンクライテリア)・ISO/IEC15408・ISO/IEC18045などをもとにしており、欧州サイバーセキュリティ法の要求事項(第49条1項、51条、52条、54条)を満たす。公開されたEUCCスキームに関する報告書は、認証維持の仕組み、不適合・不適格および脆弱性の取り扱い、新しいパッチ管理プロセスなどについて解説されている。
https://www.enisa.europa.eu/publications/cybersecurity-certification-eucc-candidate-scheme-v1-1.1
2021年9月15日 中国工業情報化省、コネクテッド・カーのセキュリティ管理強化を通知
中国工業情報化省は、「新エネルギー自動車産業発展計画(2021-2035)」促進のため車載ネットワークとデータセキュリティの管理強化に関する17の要求事項を通知した。中国で急速に発展するコネクテッド・カー産業において、車載ネットワークセキュリティに関するリスクが顕著になっている。
本通知により、コネクテッド・カーの製造者は、車載ネットワーク全体のセキュリティアーキテクチャの設計、車載システムの通信セキュリティ、認証、アクセス制御の強化やサブドメイン分割などを実装し、スプーフィング、リプレイ、インジェクション、サービス拒否などの各種攻撃への対策を行うことが求められる。加えて、脆弱性の発見、検証、分析、修復、報告のための手順を明確化し、運用することが必要になる。
https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2021/art_ba43080de41242e4ab6d6d5fa3218ff9.html
[研究員コメント]
各国で産業システムがDXの次のターゲットと見据えられ、研究開発投資と並びセキュリティ対策の検討が進行している。電力・航空宇宙・自動車といった産業セクター別の検討と、5G・クラウド・AIといった基盤技術毎の検討が並行して行われている状況にある。産業システムに強い日本では、2017年から経済産業省主催の産業サイバーセキュリティ研究会などでこうした議論が行われてきたが、諸外国が急ピッチで検討を進めていることもあり、これまでのDX with Securityの知見を基に国際的な議論においてイニシアチブを握る仕掛けが期待される。
以上
