------------------------------------------------------------------------
JCIC海外動向ニュースクリップ（2019/8/27）
------------------------------------------------------------------------
[コンテンツ]
【1】まとめ
【2】欧州でeプライバシー規則案の議論続く
【3】海外政策動向一覧
【4】今月のM&A/IPO情報詳細

------------------------------------------------------------------------
【1】まとめ
------------------------------------------------------------------------
・欧州のeプライバシー規則、cookie規制に関する最新動向
・シンガポールMAS、金融機関のサイバー攻撃対策を義務化
・米国サイバー司令局がマルウェアのサンプル群を新たに公開
・クラウド大手各社がセキュリティに特化した業界団体を設立
・大手企業のM&A相次ぐ（Broadcomがシマンテック企業向け事業を買収、マカフィーがNanoSecを買収、VMwareがCarbon Black社を買収）

------------------------------------------------------------------------
【2】欧州でeプライバシー規則案の議論続く
------------------------------------------------------------------------
EU GDPR（General Data Protection Regulation: 一般データ保護規則）の施行から1年あまりが経過した。EUでは、GDPRに立脚するePrivacy Regulation（ePR）法案の内容に関する議論が続けられている。

同法案は欧州経済領域における通信のプライバシーと秘密性を規定するもの。現行のePrivacy指令から範囲をひろげ、域内で提供されるオンラインサービス全般を対象とするルールを規則として制定する。欧州委員会は、同法案の趣旨を「デジタル単一市場におけるトラストとセキュリティを強化する」こととしている。電子通信データは秘密とされ、通信サービス等の提供者は、特定の要件を満たす場合のみデータを処理することができる。2017年1月以降、加盟各国と閣僚理事会による法案の検討が続いており、2019年7月に議長国フィンランドが新たなドラフトを提出した。

ePR法案について、国内ではしばしばウェブアクセス管理に使用されるcookieに対する規制が話題にされてきた。特定の要件を満たす場合を除き、エンドユーザ以外のものによる端末装置の処理・保存機能の使用や端末装置からの情報収集が禁止されるためだ。7月の案では、cookieの使用が可能となる条件に以下の項目が追加された。
（1）情報サービスのセキュリティ維持・復旧、詐欺の防止や技術的問題の検知のために必要な場合
（2）ソフトウェアアップデートのために必要な場合（充足要件3件あり）
（3）エンドユーザが緊急通報（112番あるいは各国の指定する番号への通報）を発したため、端末装置の位置を特定する必要がある場合

ePR法案は一般法にあたるGDPRに優先される特別法と位置付けられており、違反時の罰則規定にはGDPRが準用される。つまり、違反の内容によって事業者の全世界年間売上高の2％もしくは1,000万ユーロのいずれか高い方、または全世界年間売上高の4％もしくは2,000万ユーロのいずれか高い方を上限とする制裁金が課される。

ePRは当初、GDPRと同時発効を目指して制定が進められていたが、2019年8月時点では年内に欧州議会の審議を再開できる見通しとされている。規則が成立すれば、EEA域内でオンラインサービスを提供する事業者にはさまざまな対応が求められる。今後も立法過程を注視したい。

（参考情報）
Council of EU, Presidency,11291/19, https://data.consilium.europa.eu/doc/document/ST-11291-2019-INIT/en/pdf

------------------------------------------------------------------------
【3】海外政策動向一覧（2019年8月3日～2019年8月23日）
------------------------------------------------------------------------
2019年8月6日 シンガポールMAS、金融機関のサイバー攻撃対策を義務化
シンガポール金融管理局（MAS；中央銀行）は、金融機関に対するサイバーセキュリティ基準を引き上げ、来年2020年8月6日から新しい規程を導入すると発表した。セキュリティ対策強化に向けては既に技術リスク管理のガイドラインを発行しているが、今回は規程として義務化する。具体的な義務化の要件は以下の6指針である。
・堅固なITシステムのセキュリティの確立および施行
・システムセキュリティの欠陥が見つかった場合に即時対処するための最新版ソフトウエアの適用
・不正なネットワークトラフィックを制限するためのセキュリティデバイスの設置
・マルウェア感染のリスク軽減のための対策の実施
・不正アクセスを防止するための特権を持つシステムアカウントの使用
・重要なシステムおよび顧客情報へのアクセスに使用されるシステムのユーザー認証の強化
https://www.mas.gov.sg/news/media-releases/2019/mas-issues-new-rules-to-strengthen-cyber-resilience-of-financial-industry

2019年8月14日 米国サイバー司令局がマルウェアのサンプル群を新たに公開
米国サイバー・ナショナル・ミッション・フォース（CNMF）が新たなマルウェアのサンプル群をVirusTotal（マルウェアなどのデータベース）に公開した。報道によると、北朝鮮のサイバー攻撃者と関連するマルウェアが公開されているとのこと。
https://twitter.com/CNMF_VirusAlert/status/1161727314658562048
https://techcrunch.com/2019/08/15/cyber-command-north-korea-malware/

2019年8月22日 クラウド大手各社がセキュリティに特化した業界団体を設立
Linux Foundationは、「Confidential Computing Consortium（CCC）」を設立することを発表した。メモリ内にあるデータ保護などの技術である「コンフィデンシャルコンピューティング」の技術標準策定や普及を目的に掲げている。創設メンバーとして、Alibaba、Arm、Baidu、Google Cloud、IBM、Intel、Microsoft、Red Hat、Swisscom、Tencentなどが名を連ねている。
https://www.linuxfoundation.org/press-release/2019/08/new-cross-industry-effort-to-advance-computational-trust-and-security-for-next-generation-cloud-and-edge-computing/
https://confidentialcomputing.io/

------------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
8月5日 CyberRisk Alliance（CRA）がセキュリティ情報配信のSC Mediaを買収
8月8日 半導体メーカーのBroadcomがシマンテックの企業向けセキュリティ事業を買収予定
8月20日 マカフィーがセキュリティプラットフォームを提供するNanoSecを買収
8月22日 MSP事業を提供するNuMSP社がNTConnections社を買収
8月22日 VMwareがエンドポイントセキュリティのCarbon Black社とソフト開発ツールのPivotal社を買収予定
コンテンツデリバリーネットワーク（CDN）などを提供するCloudflare社が上場予定【IPO情報】