------------------------------------------------------------------------
JCIC海外動向ニュースクリップ（2018/2/27）
------------------------------------------------------------------------

[コンテンツ]
【1】まとめ
【2】研究員コメント
【3】海外政策動向一覧
【4】今月のM&A/IPO情報詳細

------------------------------------------------------------------------
【1】まとめ
------------------------------------------------------------------------
・オーストラリアで、1.7億円の罰金を含む改正個人情報保護法が2月22日から施行された。
この改正法では、個人情報を含むあらゆるデータ侵害の強制報告制度が導入され、重大事故の場合は、30日以内に調査を終えて被害を受けた人に通知する必要がある。
・米国証券取引委員会（SEC）がサイバーリスクに関する情報開示に関する新指針を発表した。
・コニカミノルタ、デンソー、日商エレクトロニクスが、米国のサイバーセキュリティスタートアップ企業への出資等を発表した。

-----------------------------------------------------------------------
【2】研究員コメント
------------------------------------------------------------------------
日本では昨年5月に「改正個人情報保護法」が、中国では6月に「中国サイバーセキュリティ法」が施行された。また、EUでは2018年5月に「一般データ保護規則（GDPR）」が施行される予定であり、情報漏えい検知後72時間以内に当局へ通知する義務等が課され、違反した企業は高額の制裁金対象となる。（なお、日本の個人情報保護法の罰則は、「6ヶ月以下の懲役または30万円以下の罰金」である。）
世界で続々と法整備が進む中、オーストラリアの法改正で特徴的な点は、30日以内の調査報告書の提出義務である。日本年金機構の情報流出事案では報告書公開まで3か月以上を要したことを踏まえると、1か月以内に調査を完了し報告書を提出することは企業にとってきわめて負担が大きい。
グローバルに事業を展開する日本企業は、現地の法規制を十分に理解し、情報保護対策と同時に、セキュリティ事故発生を想定した管理態勢の強化を行うことが重要となる。

------------------------------------------------------------------------
【3】海外政策動向一覧（2018年2月17日～2月23日）
------------------------------------------------------------------------
2018年2月20日 米国司法省、サイバーセキュリティタスクフォースを設立
米国の司法長官は、司法省のサイバーセキュリティタスクフォースを設立するように指示を出した。タスクフォースには同省と米連邦捜査局（FBI）、連邦保安官局、麻薬取締局等の治安当局が参加する。個人情報や企業の機密情報の盗難のほか、インフラへの攻撃や過激思想の流布・勧誘等のテロ対策にも対策を講じる。
https://www.justice.gov/opa/pr/attorney-general-sessions-announces-new-cybersecurity-task-force

2018年2月21日 米国証券取引委員会（SEC）、サイバーリスクの情報開示に関する新指針を発表
米証券取引委員会（SEC）は、上場企業がサイバーリスクやデータ流出を開示すべき方法と時期について、新たなガイダンスを発表した。企業がサイバーセキュリティのリスクを迅速に評価し、情報公開のポリシーを定めること、また経営者が自社へのサイバー攻撃に関する非公開の情報を持っている場合は自社株の取引を控えるべきだとしている。
https://www.sec.gov/news/public-statement/statement-clayton-2018-02-21

2018年2月22日 オーストラリア、個人情報保護法の改正法が施行
オーストラリアでは、個人情報保護法（Privacy Act 1988（Cth））の改正法が2月22日に施行され、情報漏えい事故の強制報告制度が導入された。対象となるのは、年間売上高が3百万ドル以上の全てのオーストラリア企業、非営利団体、政府機関等であり、個人情報を含むあらゆるデータ侵害をオーストラリア情報委員会（OAIC）報告することを要求している。違反を報告しなかった場合、最大200万ドル（約1.7億円）の罰金が科せられる可能性がある。また、重大事故の場合は、30日以内に調査を終え、データ流出の被害を受けた人に通知する必要がある。
https://www.oaic.gov.au/agencies-and-organisations/guides/data-breach-preparation-and-response
https://www.techradar.com/news/australian-businesses-now-legally-obliged-to-report-data-breaches-or-cop-hefty-fines

------------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
2月5日 KDDIとラック、総合セキュリティソリューションを提供する合弁会社を設立
2月5日 SKOUT SECURE INTELLIGENCEがOxford Solutionsの事業を統合
2月6日 ProofpointがWombat Security Technologiesの買収で合意
2月9日 NEC、南アフリカのICTソリューション企業XON社を子会社化
2月12日 ゼネラル・ダイナミクス、ITサービスのCSRAを68億ドルで買収
2月14日 ラック、セキュリティ事業拡大に向けアジアンリンク社を子会社化
2月14日 ヴイエムウェア、クラウドセキュリティ強化に向け新興企業CloudCoreo買収
2月15日 オラクルがDDoS対策のZenedgeの買収を発表
2月20日 Fulcrum IT Servicesが、PTR Groupを買収
2月22日 コニカミノルタ、米国サイバーセキュリティコンサルティングのVioPointの資産を取得
2月22日 デンソー、米国でサイバーセキュリティ技術を開発するDellFer社に出資
2月22日 日商エレクトロニクス、AIセキュリティ事業のVectra Networks社へ出資
2月26日 アルグス・サイバー・セキュリティがエリクソンと提携