Loading...
------------------------------------------------------------------------
JCIC海外動向ニュースクリップ(2019/9/10)
------------------------------------------------------------------------
[コンテンツ]
【1】まとめ
【2】個人情報保護法案の審議再開へ インド
【3】JCIC特別講演会「伝え方:話し方」に焦点をあてた講演会
【4】海外政策動向一覧
【5】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
【1】まとめ
------------------------------------------------------------------------
・インド個人情報保護法案の進捗状況と概要について解説
・元NHKアナウンサー松本和也さんをお招きしたJCIC特別講演会の概要
・米国国防総省(DOD)、サイバーセキュリティ成熟度モデルの草案を公開
・EUのECSOがサイバーセキュリティ認証制度に関するレポートを公開
・パロアルトネットワークス社がIoTセキュリティのZingbox社を買収予定
------------------------------------------------------------------------
【2】個人情報保護法案の審議再開へ インド
------------------------------------------------------------------------
インドで個人情報保護法案の審議が進む見通しだ。電子技術情報省長官が語ったところによると、政府は今冬の国会に草案の新版を提出する[1]。
同長官が8月下旬開催のイベント「IoT India Congress-2019」の基調講演で進捗を説明した。次期国会で審議される法案は、プライバシーを同国憲法第三部の基本権として保護された、生命と自由にかかわる固有の権利であるとする最高裁判所の判断[2]に適合した内容。同時に、デジタル分野のイノベーションを促進する道を示すものを目指しているという。
現時点で参照しうる2018年版の法案によると、同法案はインド国内所在、または国内で商品/サービスを提供する州と法人、個人に適用される。事業者の規模やデータ処理形態(小規模事業者による手動処理)に応じて、一部の規定の適用が除外される。
データ越境に関する規定では、一部のデータはインド国内で保管することとされ、その種類は政府が別途定めることとなっている。
同法侵害時の罰則をみると、違反条項等により事業者の年間売上高の2%または4%の罰金が規定されている[3]。なお、金融分野では、決済システム提供事業者に対し、決済システムデータを原則としてインド国内でのみ保管する旨中央銀行が通達、適用を開始している[4]。
既に発効済みのIT法では、コンピュータ上に保管されるデータの取り扱いと保護が定められている。個人情報の取り扱いに特化した法案では、データの分類や処理等に関してさらに踏み込んだ規則が盛り込まれる見込みで、企業等では追加的対応が必要となると予想される。インドの個人情報や従業員情報を取り扱う企業は、IT関連部門だけでなく、広く規制対応、リスク管理を扱う部門との連携が求められる。
(参考情報)
[1]"Govt working towards tabling data protection bill in winter session: Official", livemint, 22 August 2019, https://www.livemint.com/politics/policy/govt-working-towards-tabling-data-protection-bill-in-winter-session-official-1566482085077.html.
Suparna Goswami, "Data Protection Bill: Is A Vote Finally Approaching?", Bankinfosecurity, 28 August 2019, https://www.bankinfosecurity.asia/data-protection-bill-vote-finally-approaching-a-12988
[2]Krishnadas Rajagopal, "Right to privacy is 'intrinsic to life and liberty,' rules SC",The Hindu, 24 August 2017, https://www.thehindu.com/news/national/privacy-is-a-fundamental-right-under-article-21-rules-supreme-court/article19551224.ece
[3]The Personal Data Protection Bill, 2018, the Ministy of Electronics & Information Technology, https://meity.gov.in/writereaddata/files/Personal_Data_Protection_Bill,2018.pdf
[4]FAQ on Storage of Payment System Data, Reserve Bank of India, https://rbi.org.in/Scripts/FAQView.aspx?Id=130
------------------------------------------------------------------------
【3】JCIC特別講演会「伝え方:話し方」に焦点をあてた講演会
------------------------------------------------------------------------
JCICでは、2019年9月2日に「伝え方:話し方」に焦点をあてた講演会を開催しました。当日は、元NHKアナウンサー松本和也さん(株式会社マツモトメソッド主宰)をお招きし、「経営陣にサイバーセキュリティをわかってもらう」というテーマで約1時間半に渡り、レクチャーしていただきました。
当日は、松本さんの視点から、どうすればサイバーセキュリティの重要性を相手に伝えることができるかという、その場でしか聞けない秘訣をお話いただきました。また、質疑応答では、参加者の悩みに応じたコツやテクニックについても教えていただきました。
講演会の様子については、近日中にJCICウェブサイトで公開予定です。
------------------------------------------------------------------------
【4】海外政策動向一覧(2019年8月31日~2019年9月6日)
------------------------------------------------------------------------
2019年9月4日 米国国防総省(DOD)、サイバーセキュリティ成熟度モデルの草案を公開
米国国防総省(DOD)は、防衛関連企業のサイバーセキュリティ成熟度モデル(Cybersecurity Maturity Model;CMMC)の草案を公開した。NISTやISOなどのサイバーセキュリティ関連フレームワークから防衛装備に関するベストミックスとしてまとめ、370個のプラクティスに対して5段階で評価するもの。2020年1月にバージョン1.0を公開する予定。
https://www.acq.osd.mil/cmmc/draft.html
2019年9月4日 米国NIST、サイバー・レジリエンス・システムの構築に関する最終ドラフトを発表
米国国立標準技術研究所(NIST)は、標的型攻撃に対する組織的対策支援を目的としたシステムエンジニアリングフレームワークを提供するガイドライン「SP800-160 Volume2」の最終ドラフトを発表した。このガイドラインでは、サイバーレジリエンス(攻撃・侵入の早期検知・対処によりIT環境を復元すること)に焦点を当てており、サイバーレジリエンス実現のためのハンドブックと位置付けている。パブリックコメントの締切は11月1日。
https://csrc.nist.gov/news/2019/nist-releases-final-public-draft-sp-800-160-vol-2
2019年9月5日 EUのECSOがサイバーセキュリティ認証制度に関するレポートを公開
NPO法人である欧州サイバーセキュリティ機構(European Cyber Security Organisation;ECSO)は、EUサイバーセキュリティ法に基づいた「サイバーセキュリティ認証制度」に関する評価のベストプラクティスを公開した。自己評価、第三者評価、国による評価などの評価タイプの説明や評価手法などがまとめられている。また、レポートの巻末には、認定書の例が掲載されている。
https://ecs-org.eu/documents/publications/5d6fbbd00cfe7.pdf
2019年9月5日 オーストラリア政府、サイバーセキュリティ戦略2020のディスカッションペーパーを公開
オーストラリア政府は、2016年版の後継となる「サイバーセキュリティ戦略2020」のディスカッションペーパーを公開した。政府の役割の変化、民間企業の対策、人材育成、啓発活動などの視点で意見を求めている。また、2016年版の戦略の政策評価と進捗状況もわかりやすく掲載されている。
https://www.homeaffairs.gov.au/reports-and-publications/submissions-and-discussion-papers/cyber-security-strategy-2020
------------------------------------------------------------------------
【5】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
8月5日 CyberRisk Alliance(CRA)がセキュリティ情報配信のSC Mediaを買収
8月8日 半導体メーカーのBroadcomがシマンテックの企業向けセキュリティ事業を買収予定
8月20日 マカフィーがセキュリティプラットフォームを提供するNanoSecを買収
8月22日 MSP事業を提供するNuMSP社がNTConnections社を買収
8月22日 VMwareがエンドポイントセキュリティのCarbon Black社とソフト開発ツールのPivotal社を買収予定
8月26日 オランダのElastic N.V.社がスレットハンティング事業者のPerched社を買収
9月4日 パロアルトネットワークス社がIoTセキュリティのZingbox社を買収予定
コンテンツデリバリーネットワーク(CDN)などを提供するCloudflare社が上場予定【IPO情報】
IDマネジメントを提供するPing Identity社が上場予定【IPO情報】