----------------------------------------------------------------------
JCICレポート「2025年に向けた利便性とセキュリティのリバランス」公開（2/24配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICレポート「2025年に向けた利便性とセキュリティのリバランス」公開
・スウェーデンデータ監視機関、同国警察によるAI顔認識ソフトウェアの取り扱いで罰金約3200万円を発表
・米国NIST、サイバーサプライチェーンリスク管理実装のためのプラクティス集「NISTIR 8276」を発表
・英国政府、デジタルIDと属性の信頼フレームワークのプロトタイプを公開
・欧州委員会、健康データとGDPRに関する加盟国の規則に関する研究を発表
・英国ICO、データ分析用ツールキットを公開
・FBI、世界的なサイバー攻撃と金融犯罪に関わったとされる北朝鮮の軍事ハッカー3人を起訴したことを発表

----------------------------------------------------------------------
【2】JCICレポート「2025年に向けた利便性とセキュリティのリバランス」
----------------------------------------------------------------------
（JCIC会員企業の皆様らとの議論を通じ、情報公開に関するレポートを作成しました。以下、レポートの抜粋です。）

新型コロナウイルス感染症の拡大により、多くの企業や組織では、テレワークを想定していなかった部署にも在宅勤務を推し進めたことで、利便性とセキュリティリスクのバランスが崩れた。来たるべき非接触型社会に向けて、企業は現状の利便性とセキュリティのバランスを見直す必要がある。JCICが各企業の動向についてインタビューや文献調査を実施したところ、各社で利便性とセキュリティ・コントロール（管理）の考え方に大きな違いがあり、4つのタイプに分類できることがわかった。そこで、4つのタイプを整理した「利便性とセキュリティのバランスモデル」を新たに作成した。

全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1a

----------------------------------------------------------------------
【3】海外政策動向一覧（2021年2月11日～2021年2月19日）
----------------------------------------------------------------------
2021年2月11日 スウェーデンデータ監視機関、同国警察によるAI顔認識ソフトウェアの取り扱いで罰金約3200万円を発表
スウェーデンのデータ保護機関（IMY）は、同国の警察当局がデータ管理者の義務を果たさなかったとして、犯罪データ法違反対する罰金25万ユーロ（日本円で約3200万円相当）を課すことが明らかとなった。警察はAI顔認識技術を利用したソフトウェア「Clearview AI」を使用していたが、顔認識に使用された生体データ処理に対して、必要とされるデータ保護影響アセスメントを実施していなかった。Clearview AIはニューヨークを拠点とする企業で、無許可でSNSをスクレイピングし30億人以上の顔写真を収集して物議を醸したことがあり、カナダのプライバシー保護局からも違法と判断された経歴がある。
https://www.imy.se/nyheter/police-unlawfully-used-facial-recognition-app/
https://www.priv.gc.ca/en/opc-news/news-and-announcements/2021/nr-c_210203/?=february-2-2021

2021年2月11日 米国NIST、サイバーサプライチェーンリスク管理実装のためのプラクティス集「NISTIR 8276」を発表
米国国立標準技術研究所（NIST）のInteragency Reports（NISTIR）から、サイバーサプライチェーンリスクマネジメント（C-SCRM）実装のキー・プラクティスに関する報告書「NISTIR 8276」が発表された。世界規模でデジタル化・コネクトされた現代において、組織規模や業務の複雑性に関わらず参考にすることが可能で、24項目にわたるリコメンデーションと、ベスト・プラクティスが盛り込まれている。組織はリコメンデーションに対して、Appendix Aをもとにキー・プラクティスとマッピングをし、Appendix Cをもとに様々なサプライチェーンセキュリティとのマッピングが可能。
https://csrc.nist.gov/publications/detail/nistir/8276/final

2021年2月12日 英国政府、デジタルIDと属性の信頼フレームワークのプロトタイプを公開
英国政府は、デジタルIDと属性の信頼フレームワークのプロトタイプを公開した。このドキュメントでは、将来、信頼フレームワークの認定を受けるために、組織が満たす必要がある要件について説明されている。組織は、既に遵守している他の契約、ポリシー、または法律の規則と共に、これらの要件を満たす必要があると述べられており、2021年3月11日（木）までフィードバックを求めている。
https://www.gov.uk/government/publications/the-uk-digital-identity-and-attributes-trust-framework/the-uk-digital-identity-and-attributes-trust-framework

2021年2月12日 欧州委員会、健康データとGDPRに関する加盟国の規則に関する研究を発表
欧州委員会（EC）は、EU加盟国の健康データに関する規則とGDPRに関する研究を発表した。健康分野におけるGDPRの施行に関連する国レベルの法律の範囲にばらつきがあり、医療提供、医療システム管理、公衆衛生、研究のための国境を越えた協力に悪影響を及ぼす可能性があることを確認した。ヨーロッパの医療システムが健康データを最大限に活用できるようにし、ヨーロッパの健康データスペースの開発をサポートするには、多面的なアプローチで多くの法的および運用上の問題に対処する必要があると述べている。
https://www.dataguidance.com/news/eu-commission-publishes-study-member-states-rules
https://ec.europa.eu/health/sites/health/files/ehealth/docs/ms_rules_health-data_en.pdf

2021年2月17日 英国ICO、データ分析用ツールキットを公開
英国個人情報保護監督機関（ICO）は個人データを使用してデータ分析を実施している組織に対して、テクノロジーやデータをどのように利用しているかについて「社会の信用を得ることが重要である」として、データ分析用ツールキットの利用を促した。本キットはデータ保護の観点から特に重要な個人の権利と自由に関するリスクを確認できる仕組みとなっており、組織が個人データに関係するデータ分析の計画中の場合に特に有効といえる。この他にもICOはチューリング研究所と協業しており、AIに係るガイダンスがリリースされている。
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2021/02/ico-launches-data-analytics-toolkit/
https://ico.org.uk/for-organisations/guide-to-data-protection/key-data-protection-themes/explaining-decisions-made-with-artificial-intelligence/
https://ico.org.uk/for-organisations/guide-to-data-protection/key-data-protection-themes/guidance-on-ai-and-data-protection/how-do-we-ensure-individual-rights-in-our-ai-systems/

2021年2月17日 FBI、世界的なサイバー攻撃と金融犯罪に関わったとされる北朝鮮の軍事ハッカー3人を起訴したことを発表
米連邦捜査局（FBI）が、一連のサイバー攻撃を実施し、金融機関や企業から13億ドル以上の金銭と暗号通貨を盗み出したとされる、北朝鮮のコンピュータプログラマを起訴したことを発表した。起訴された人物は、軍事諜報機関である朝鮮人民軍総局（RGB）の部隊のメンバーであり、犯罪ハッキングに従事していたされる。北朝鮮の軍事ハッキンググループは、LazarusGroupやAdvancedPersistent Threat 38（APT38）など、サイバーセキュリティコミュニティで複数の名前で知られており、ランサムウェア攻撃やフィッシングキャンペーン、デジタル銀行からの搾取や高度なマネーロンダリングなど、金融犯罪やサイバー犯罪を犯したと述べられている。
また、韓国のインテリジェンス組織によると、新型コロナウイルスワクチンと治療に関する情報を盗む目的で、北朝鮮が米国の製薬会社ファイザーをハッキング攻撃したとのこと。ワクチンを狙ったサイバー攻撃は、欧州医薬品庁に対しても昨年末から今年1月にかけても発生している。
https://www.justice.gov/opa/pr/three-north-korean-military-hackers-indicted-wide-ranging-scheme-commit-cyberattacks-and
https://www.cnn.co.jp/world/35166618.html
https://www.ema.europa.eu/en/news/cyberattack-ema-update-4

----------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
2月1日 WISeKey社がAI企業アラゴの51%株数を取得
2月3日 ファイル共有サービスプロバイダーBox社が電子署名企業SignRequestを買収
2月3日 HelpSystems、脆弱性管理および脅威評価ソリューションを提供するDigital Defenseを買収
2月9日 SentinelOne社がクラウドデータ分析プラットフォームのScalyrの買収を発表
2月11日 英国プライベート投資会社Apax社が北米を拠点とするセキュリティ企業Herjavecグループの買収計画を発表
2月15日 Stone and Chalk、AustCyberとして知られるオーストラリアのサイバーセキュリティ産業成長センターを買収
2月16日 Palo Altoネットワークスが、カリフォルニア州を拠点とするクラウドセキュリティ企業Bridgecrewの買収を公表
2月17日 カリフォルニア州を拠点としたマルチクラウドセキュリティのスタートアップ企業vAmourがIPOを公表【IPO情報】
2月18日 CrowdStrike、英国を拠点とするログ分析のスタートアップHumioを買収