------------------------------------------------------------------------
JCIC海外動向ニュースクリップ（2019/3/19）
------------------------------------------------------------------------
[コンテンツ]
【1】まとめ
【2】GDPRに対する英国EU離脱（ブレグジット）の影響
【3】海外政策動向一覧
【4】今月のM&A/IPO情報詳細

------------------------------------------------------------------------
【1】まとめ
------------------------------------------------------------------------
・GDPRの観点から見るブレグジットの影響まとめ
・ロシア、サイバーセキュリティ法案に若者を中心に約1.5万人が抗議
・米国上院で「IoTサイバーセキュリティ向上法案」が提出される
・米国ジョージア州ジャクソン郡がランサムウェア解除のために約4400万円を支払う

------------------------------------------------------------------------
【2】GDPRに対する英国EU離脱（ブレグジット）の影響
------------------------------------------------------------------------
英国下院がEU離脱（ブレグジット）の延期をEUに求める政府動議を賛成多数で可決したことで、3月29日に予定されていたブレグジットの行方は、さらに不透明感を増しつつある。最悪の場合、英国とEUの議論が紛糾して延期を固められず、「合意なき離脱」に陥る可能性もなお残っている。今回は、GDPRの観点から見るブレグジットの影響について解説する。

＜合意なき離脱（ノー・ディール）の場合＞
合意なき離脱となった場合、移行期間が設定されず、英国はただちにEUから離脱することになる。物流の税関手続きなどが発生するだけではなく、個人情報の域外移転にも影響が発生する。
・英国向けの域外移転手続きが必要
　EU域内から英国への個人情報の移転が原則禁止となる。そのため、EU個人情報を英国で取り扱う場合、日本企業がGDPR対応で行ったような域外移転手続き（本人同意、SCC（標準契約条項）、BCR（拘束的企業準則））が必要になる。
・英国人以外のデータ保護責任者（DPO）を設置
　英国人のデータ保護責任者（DPO）はGDPRとして認められないため、EU域内のDPOを設置する必要がある。
・インシデント報告プロセスの変更
　英国の情報コミッショナーオフィス（ICO）は、GDPRにおける監督機関とみなされなくなる。個人情報の侵害が発生した場合に報告するEU域内の監督当局を選定し、侵害後72時間以内に報告できるプロセスを見直す必要がある。
・日英間の個人データ移転に関しては影響なし

＜円滑な離脱の場合＞
・影響は僅小
　2020年末までのブレグジット移行期間中は、現在のGDPRの仕組みがそのまま英国でも維持される。また、この移行期間中に、EUから英国がデータ移転に関する十分性認定を受ける可能性が高い。そのため、在英企業は現行の英国データ保護法を確実に遵守する必要がある。また、日英間の個人データ移転に関しても影響はない。

英国には、約1000社の日系企業が拠点を構えており、欧州の拠点として位置付けている企業も多い。ブレグジットは、日本企業への影響が少なからず発生するため、今後の動向に注視したい。

（参考情報）
https://www.jetro.go.jp/ext_images/world/europe/uk/referendum/brexit_legal_20190307.pdf
https://www.ppc.go.jp/enforcement/cooperation/cooperation/brexit_190212/
https://www.mofa.go.jp/mofaj/files/000368753.pdf
https://www.nikkei.com/article/DGXMZO42491280V10C19A3000000/

------------------------------------------------------------------------
【3】海外政策動向一覧（2019年3月9日～2019年3月15日）
------------------------------------------------------------------------
2019年3月10日 ロシア、サイバーセキュリティ法案に若者を中心に約1.5万人が抗議
ロイター通信によると、ロシアでインターネット利用に関する厳しい制約が導入される法案に対して、若者を中心に約1.5万人がモスクワなどで抗議活動を行ったとのこと。この法律が可決されると、インターネットを通じて送受信される情報は国によって管理され、インターネットの自由が制限されることとなる。
https://securitybrief.eu/story/healthcare-breaches-down-but-impacts-more-significant-bitglass

2019年3月11日 米国上院で「IoTサイバーセキュリティ向上法案」が提出される
米国上院のサイバーセキュリティ委員会の超党派グループが、米国政府が調達するIoTデバイスが最低限のセキュリティ要件を満たしていることを求める「IoTサイバーセキュリティ向上法案」を提出した。この法案には、NISTがIoT向けガイドラインを発行し、定期的に更新すること、また脆弱性が発生した時のセキュリティパッチ提供をIoTベンダーに要求することなどが記載されている。
https://www.hassan.senate.gov/news/press-releases/senator-hassan-joins-in-introducing-bipartisan-legislation-to-improve-cybersecurity-of-internet-of-things-devices-

2019年3月11日 Facebook、クイズアプリから情報流出
Fecebookのログインシステムを通して、悪意のあるクイズアプリにより何千ものユーザーの個人情報が流出していたとのこと。クイズのためにインストールしたブラウザ拡張機能によって名前やプロフィール写真、友人のリストに至るまで情報が収集された。インストールされた回数は2016年から2018年10月の間に約63,000回だった。フェイスブック社は、Web Sun Group社で働いていた2人の男性を訴えている。
https://www.bbc.com/news/technology-47524468

2019年3月12日 米国ジョージア州ジャクソン郡がランサムウェア解除のために約4400万円を支払う
米国ジョージア州ジャクソン郡は、群のITシステムがランサムウェアに感染し、3月上旬から2週間にわたり停止した。約4400万円相当のビットコインを身代金として支払ったとのこと。全てのシステムが復旧したかどうかは現時点では不明である。
https://www.securityforum.org/news/georgia-county-pays-400000-to-ransomware-attackers/

2019年3月13日 EU、サイバーセキュリティセンターなどの設立に合意
欧州連合（EU）の常任代表委員会は、「欧州サイバーセキュリティ産業技術研究センター」と「国家調整センターネットワーク」の設立協議を開始する許可を与えた。サイバーセキュリティに関する専門知識を蓄積し、共有することを目的としている。
https://www.consilium.europa.eu/en/press/press-releases/2019/03/13/eu-to-pool-and-network-its-cybersecurity-expertise-council-agrees-its-position-on-cybersecurity-centres/

2019年3月15日 ENISA、プライバシー保護に関するギャップ分析レポートを公開
欧州ネットワーク情報セキュリティ庁（ENISA）は、個人情報保護のための様々な標準化文書（ISOやGDPRなど）のギャップ分析を行ったレポートを公開した。
https://www.enisa.europa.eu/news/enisa-news/privacy-standards-for-information-security

------------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
3月4日 米国メディアのコムキャスト社がAIセキュリティ技術を持つBluVector社を買収
3月5日 NTTセキュリティ株式会社が米国のWhiteHat Security社を買収
3月7日 ID認証サービスを提供するOkta社が企業向けクラウドサービスのAzuqua社を買収
3月13日 英国サイバーセキュリティ企業のNXTsoft社が米国のDigitel社を買収
近日予定 イスラエルのTufin Software Technologies社がニューヨーク証券取引所に上場予定【IPO情報】