----------------------------------------------------------------------
中国「データ安全法」が国会通過、今年9月1日から施行（6/15配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・欧州委員会（EC）、EU域内で共通利用可能な、安全で信頼できるデジタルIDウォレット計画を提案
・欧州委員会（EC）、EU/EEA域外へのデータ移転について、GDPRに基づく標準契約条項（SCC）を発行
・英国NCSC、英国教育機関へのランサムウェア攻撃について注意喚起
・米国司法省、ラトビア人を国家横断のサイバー犯罪活動の疑いで起訴
・米国司法省、ランサムウェアの攻撃者へ支払われた暗号通貨230万ドルの押収を発表
・ユーロポール、海外法執行機関と連携して暗号化されたチャットプラットフォームに対する史上最大の法執行活動を実施
・中国「データ安全法」が国会通過、今年9月1日から施行
・機械学習を活用したサイバーセキュリティ企業SentinelOne社がニューヨーク証券取引所へ上場予定【IPO情報】

----------------------------------------------------------------------
【2】海外政策動向一覧（2021年6月3日～2021年6月11日）
----------------------------------------------------------------------
2021年6月3日 欧州委員会（EC）、EU域内で共通利用可能な、安全で信頼できるデジタルIDウォレット計画を提案
ECは、EU加盟国市民がボタンタップだけで身分証明や電子文書を共有できるデジタルIDウォレット「European Digital Identity」計画を発表した。導入に向けて2022年9月までにアーキテクチャやガイドラインを含むツールボックスを準備し、加盟国へ提供をする。スマートフォン上でデジタルIDが運転免許証や銀行口座などと紐付けられるようになることから、利用者は自身の身元証明のために取扱いに注意が必要な個人情報を第三者と直接共有する必要がなくなる。一方、EU加盟国はサービス提供の義務を負うことにため大規模なプラットフォームの準備が必要となる。
https://ec.europa.eu/commission/presscorner/detail/en/IP_21_2663

2021年6月4日 欧州委員会（EC）、EU/EEA域外へのデータ移転について、GDPRに基づく標準契約条項（SCC）を発行
ECは、EU/EEA域内の管理者またはGDPRの対象となる処理者から、EU/EEA域外に設立された管理者またはGDPRの対象でない処理者へデータを移転をする際に利用可能なSCCを発行した。今回のGDPRに基づくSCCは、これまで運用されていた旧データ保護指令95/46に基づく3組のSCCからより近代化された形となる。SCCの役割は国際的なデータ移転に向けた枠組みの提供であるものの、利用するためには管理者・処理者によってデータ保護のための適切なセーフガードが実施されていることが要求される。
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en

2021年6月4日 英国NCSC、英国教育機関へのランサムウェア攻撃について注意喚起
英国の国家サイバーセキュリティセンター（NCSC）は、今年5月下旬～6月にかけて英国の教育機関を狙ったランサムウェア攻撃が再び増加していると注意喚起を発出した。同局によれば英国教育機関を狙ったランサムウェア攻撃は2020年8月～9月と2021年2月にかけても増加傾向にあったという。教育分野の組織に対して同局は、予め届け出されたドメインやIPに対する悪意ある活動についてを通知するNCSCの無料サービス「早期警戒サービス」への登録を推奨しているほか、今年3月に更新された「マルウェアとランサムウェア対策ガイダンス」の遵守も推奨している。ガイダンスはランサムウェアの攻撃経路の遮断や、回復ステップについて詳しく説明している。
https://www.ncsc.gov.uk/news/alert-targeted-ransomware-attacks-on-uk-education-sector
https://www.ncsc.gov.uk/guidance/mitigating-malware-and-ransomware-attacks
https://www.ncsc.gov.uk/information/early-warning-service

2021年6月4日 米国司法省、ラトビア人を国家横断のサイバー犯罪活動の疑いで起訴
米司法省は、ラトビア人を国家横断のサイバー犯罪活動の疑いで起訴したことを発表した。このラトビア人は「Trickbot」として知られるマルウェアを展開した犯罪組織に参加したとして、47件の起訴状のうち19件で起訴されている。起訴状によると、当人は、Trickbotグループのマルウェア開発者として働き、ランサムウェアの管理、展開、支払いに関連するコードを書いたとされている。Trickbotは世界中の数百万台のコンピュータに感染し、銀行の資格情報を取得や、ランサムウェアを提供するために使用されていた。
https://www.justice.gov/opa/pr/latvian-national-charged-alleged-role-transnational-cybercrime-organization

2021年6月7日 米国司法省、ランサムウェアの攻撃者へ支払われた暗号通貨230万ドルの押収を発表
米司法省は、ランサムウェアの攻撃者へ支払われた暗号通貨230万ドルの押収を発表した。これらの資金は、コロニアルパイプラインを標的としたDarkSideとして知られるサイバー攻撃グループへの身代金支払いであり、支払った金額の約半分を今回押収したとされる。法執行機関はビットコインの移動を追跡し、被害者の身代金支払いのビットコインが特定のアドレスへの転送を特定したとしている。
https://www.justice.gov/opa/pr/department-justice-seizes-23-million-cryptocurrency-paid-ransomware-extortionists-darkside

2021年6月8日 ユーロポール、海外法執行機関と連携して暗号化されたチャットプラットフォームに対する史上最大の法執行活動を実施
欧州刑事警察機構（ユーロポール）は、海外法執行機関と連携して暗号化されたチャットプラットフォームに対する史上最大の法執行活動の実施を発表した。米国連邦捜査局(FBI)、オーストラリア連邦警察、オランダ国家警察、スウェーデン警察当局など、米国麻薬取締局(DEA)および他の16カ国と協力して、ANOMと呼ばれる暗号化された暗号化されたチャットプラットフォームを戦略的に開発、運営し、18か月間の捜査により、2,700万件のメッセージから犯罪者に関係する情報を入手したとされる。それらの情報をもとに、犯罪者の動向を捜査し、700件以上の家宅捜索が行われ、 800人以上の逮捕、様々な通貨と暗号通貨で4,800万ドル以上の押収などが実施された。
https://www.europol.europa.eu/newsroom/news/800-criminals-arrested-in-biggest-ever-law-enforcement-operation-against-encrypted-communication

2021年6月10日 中国、「データ安全法」が国会通過、今年9月1日から施行
「データセキュリティに関する中華人民共和国法律」が第84号国家主席令を以て成立し、2021年9月1日に発効となる。全人代は「データは戦略的国家資源であり、データの安全性なくして国家安全は成立しない」という見解を示しており、同法はデータ分野だけでなく国家安全保障分野における重要法律となる。
国家安全保障の概念を総合的に実現すべく、同法はデータセキュリティにおけるリスクや脅威に焦点を当てており、国家によるデータセキュリティ業務の強化、データの分類と管理、データセキュリティの審査とリスク評価、監視と早期警報、緊急対応を確立する。厳格なデータ輸出管理と関連主体の義務と責任も明確化された。
以下、条文から一部を抜粋：
（第25条）国家の安全と利益の維持および国際的義務の遂行に関連するデータについて、法律に基づく輸出管理を実施する。
（第26条）データおよびデータ開発・利用技術に関する投資、貿易、その他の事項について、中国に対して差別的な禁止、制限、その他類似の措置をとる国／地域に対しては、実際の状況に応じて相互に措置をとることができる。
（第45条）国家主権、安全、発展の利益を危うくした者は、200万元～1,000万元以下の罰金が課され、違反行為が犯罪に該当する場合は、刑事責任が追及される。
http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml

----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
6月1日 米国コロラド州のセキュリティ企業Coalfireが米国サンアントニオを拠点とするDenimグループを買収
6月2日 米国MicrosoftがファームウェアセキュリティのReFirm Lab社を買収
6月2日 FireEyeの製品事業をSymphony Technology Group（STG）が率いるコンソーシアムに売却
6月3日 機械学習を活用したサイバーセキュリティ企業SentinelOneがニューヨーク証券取引所へ上場予定【IPO情報】
6月7日 Deloitte & Touche LLPがクラウドセキュリティ管理のCloudQuest, Inc.を買収
6月8日 ベインキャピタルとクロスポイントキャピタルがネットワーク検出とIRのExtraHopを買収