------------------------------------------------------------------------
JCIC海外動向ニュースクリップ（2018/9/11）
------------------------------------------------------------------------
[コンテンツ]
【1】まとめ
【2】研究員コメント
【3】JCICコラム「韓国のサイバーセキュリティ政策の現状」
【4】海外政策動向一覧
【5】今月のM&A/IPO情報詳細

------------------------------------------------------------------------
【1】まとめ
------------------------------------------------------------------------
・米国NIST、新たなプライバシーフレームワークの開発に着手
・欧州委員会、日本の個人情報保護の十分性認定の採択に着手
・ENISA、ATMキャッシュアウト攻撃に対する推奨事項を公表
・JCICのコラムをウェブサイトに掲載

------------------------------------------------------------------------
【2】研究員コメント
------------------------------------------------------------------------
米国国立標準技術研究所（NIST）は、消費者のプライバシー保護のための「新たなプライバシーフレームワーク」の開発に着手すると発表した。

この背景には、Facebookの8,700万人分の情報が不正に流出し、米国全体でプライバシー保護に対する懸念を引き起こしたことが考えられる。また、今年6月、カリフォルニア州では、州法としてデータプライバシー法を成立させたが、州単位で法規制にばらつきが出ると、消費者も企業も混乱を招くことも懸念されていた。
既にNISTのサイバーセキュリティフレームワーク（CSF）は米国で約3割の民間企業が利用しており（ガートナー調査）、日本企業でも採用する企業が徐々に増えてきているが、このプライバシーに関するフレームワークも個人情報管理の事実上の標準となる可能性がある。

注目すべき点は、個人情報の米国国外への移転を制限する「データローカライゼーション」の要素が盛り込まれるかという点だ。EUのGDPRや中国のサイバーセキュリティ法のように、国外・域外移転を規制された場合、日本政府や日本企業に多大な影響が出るだろう。
10月にテキサス州でワークショップが開かれるが、今後の米国のプライバシー規制動向について注視する必要がある。米国自国主義的なフレームワークを検討しているようであれば、日本政府や日本企業が協力して積極的に意見を出すべきであろう。

------------------------------------------------------------------------
【3】JCICコラム 「韓国のサイバーセキュリティ政策の現状」
------------------------------------------------------------------------
（JCIC主任研究員によるコラムをウェブサイトに掲載しました。以下、コラムの抜粋です。）

サイバーセキュリティの海外事例として、米国や英国、更にはイスラエルやエストニアのケースが多く引用されますが、韓国のサイバーセキュリティに関する有益な情報は意外にも少ないと感じています。しかし、地政学的に見ても隣国の政策や動向を理解することは、日本政府や民間企業の責任者が今後のサイバーセキュリティを考えるうえで、非常に有益になると考えています。

IT化が進む韓国において、IT化とサイバーセキュリティのバランスをどのように保っているのかについて、現地でヒアリングを行いました。その結果、韓国の人口は日本の約半分ということを差し引いても、「監視体制の一元化」や「国民サポート」の観点で、日本政府や地方自治体、民間企業にとって大変参考になる情報を得ました。このコラムでは、韓国のサイバーセキュリティの現状について、紹介します。

全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/column/SouthKorea-Cybersecurity-Policy.html

------------------------------------------------------------------------
【4】海外政策動向一覧（2018年9月1日～9月7日）
------------------------------------------------------------------------
2018年9月2日 NATOのサイバー演習に日本が参加へ
産経新聞の報道によると、日本政府は北大西洋条約機構（NATO）のサイバー防衛演習に本格的な参加を検討している。日本政府が想定しているのは、NATOサイバー防衛協力センター（CCDCOE）が毎年行っている世界最大のサイバー防衛演習「ロックト・シールズ」への参加であり、以前はオブザーバー参加であったが、次回から本格参加となるとのことで、政府のコミットメントレベルが増している。
https://www.sankei.com/politics/news/180902/plt1809020001-n1.html

2018年9月4日 NIST、新たなプライバシーフレームワークの開発に着手すると発表
米国国立標準技術研究所（NIST）は、消費者のプライバシー保護のための新たなプライバシーフレームワークの開発に着手すると発表した。このフレームワークは、個人情報を保有する米国の組織に対して、適切かつ柔軟なプライバシー保護施策を策定するための手助けになることを目的としている。なお、10月16日にテキサス州でワークショップを開催し、様々な意見を取り入れる予定である。
https://www.nist.gov/news-events/news/2018/09/department-commerce-launches-collaborative-privacy-framework-effort

2018年9月5日 米国、ナショナルサイバーセキュリティ啓発月間を10月1日から開始
米国国土安全保障省（DHS）と官民連携非営利団体のNCSA（National Cyber Security Alliance）は、米国内でナショナルサイバーセキュリティ啓発月間を10月1日から開始すると発表した。この啓発月間の期間中、各種イベントやオンライン上での啓発PR等が行われる。
https://staysafeonline.org/press-release/15th-annual-ncsam-launches-oct-1/

2018年9月5日 ENISA、ATMキャッシュアウト攻撃に対する推奨事項を公表
欧州ネットワーク情報セキュリティ庁（ENISA）は、金融機関のネットワークを通じてATM（現金自動預け払い機）にマルウェアを感染させて不正送金する「ATMキャッシュアウト攻撃」の攻撃手法や対策の推奨事項を発表した。8月にインドのCosmos BankでATMが不正アクセスを受け、約14億円が不正送金されたことから、注意喚起を行っている。
https://www.enisa.europa.eu/publications/info-notes/atm-cash-out-attacks/

2018年9月5日 欧州委員会、日本の個人情報保護の十分性認定の採択に着手
欧州連合（EU）の欧州委員会は、EU域内の個人データの域外持ち出しを例外的に認める移転先として、日本を承認する手続きに入った。十分性認定の採択には、欧州データ保護委員会（EDPB）の意見招請とEU加盟国の代表から構成される委員会等の合意を得る必要がある。
http://europa.eu/rapid/press-release_IP-18-5433_en.htm

2018年9月6日 ニールセン・ホールディングスの株主がGDPR対応に関する集団訴訟を実施
消費者視聴行動分析を提供するニールセン・ホールディングスのCEOとCFOは、GDPR準備状況について誤解を招く発言をしたとして、同社の株主から集団訴訟が行われている。同社のビジネスモデルは、Facebook等からのデータ提供に依存しているが、GDPRによる影響を過小評価し、業績や株価に影響を与えた。
http://www.kleinstocklaw.com/pslra-c/nielsen-holdings-plc

2018年9月6日 米国司法省、北朝鮮人のサイバー攻撃者を訴追
米国司法省は、ランサムウェア「WannaCry」、ソニーピクチャーズやバングラディッシュ中央銀行に対するサイバー攻撃等、過去4年間の重大なサイバー犯罪に関与したとして、北朝鮮人のコンピュータプログラマーを訴追した。
https://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and

------------------------------------------------------------------------
【5】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
8月1日 MSS事業を提供するNuMSP社がthinkIT Solutions社を買収
8月2日 Cisco社がクラウドベースの認証ソリューションを提供するDuo Security社を買収
8月8日 ADT Cybersecurity社がMSS事業を提供するSDI社（Secure Designs Inc.）を買収
8月13日 Webサイトセキュリティを提供するImperva社によるPrevoty社の買収完了
8月17日 英国Shearwater GroupがネットワークセキュリティのBrookcourt Solutions社を買収
8月17日 イスラエルのITセキュリティプロバイダーであるSafe-T Group社がナスダックに上場 【IPO情報】
8月20日 インテルがAIスタートアップのVertex.aiを買収
8月20日 株式会社ブロードバンドセキュリティがジャスダックへ上場予定（上場予定日：9月26日）【IPO情報】
8月20日 英国でMSS事業を提供するAdEPM社がShift F7社を買収
8月24日 クラウドセキュリティのZscalerがマシンラーニングのTrustPathを買収
9月5日 アイルランドのKaseya社がセキュリティソフト等を提供するRapidFire Tools社を買収
9月6日 英国のSearch Consultancy社がHenderson Scottを買収
9月予定 サイバーセキュリティのログ分析等を提供するElastic社がナスダックに上場予定 【IPO情報】