Loading...
----------------------------------------------------------------------
中国、個人情報保護法が成立。11月1日より施行、中国国外へのデータ持ち出しを制限(8/24配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・中国CERT、2021年上半期サイバーセキュリティ分析報告書を公開
・英国NCSC、詐欺ウェブサイトの報告ツールを公開
・中国工業情報技術省、「インテリジェント・コネクテッドカー製造企業および製品のアクセス管理強化」に関する意見募集を開始
・ナイジェリア中央銀行(CBN)、サイバー攻撃から他の金融機関を保護するためのフレームワークを発表
・米国国家サイバーセキュリティアライアンス、サイバーセキュリティ教育とキャリアリソースライブラリを発表
・中国国務院、重要情報インフラ安全保護条例の9月1日施行を通告
・中国、個人情報保護法が成立。11月1日より施行、中国国外へのデータ持ち出しを制限
----------------------------------------------------------------------
【2】海外政策動向一覧(2021年7月31日~2021年8月20日)
----------------------------------------------------------------------
2021年7月31日 中国CERT、2021年上半期サイバーセキュリティ分析報告書を公開
中国国家コンピュータネットワーク緊急対応センター(CNCERT/CC)は、2021年上半期の「サイバーセキュリティ監視データ分析報告書」を公開した。
本報告書によると、中国に向けて送信される悪意のあるコードの集計値は、2020年上半期には一日当たり約483万件であったが、2021年上半期は一日約582万件余りに増加したという。
主な悪意のあるコードの送信元は米国、インド、日本であるとされ、その内訳は米国からの発信は2020年上半期の57.4%から49.0%に減少した一方、日本からの発信は1.6%から4.0%に増加したとされている。
また、中国に対するDDoS攻撃に使用された指令サーバは1,455台で、そのうち97.1%が米国、ドイツ、オランダなど中国以外の地域にホストされていたという。
https://www.cert.org.cn/publish/main/8/2021/20210731090556980286517/20210731090556980286517_.html
※参考:前回(2020年下半期)公表分
https://www.cert.org.cn/publish/main/8/2020/20200926085042652505447/20200926085042652505447_.html
2021年8月9日 英国NCSC、詐欺ウェブサイトの報告ツールを公開
英国国家サイバーセキュリティセンター(NCSC)は、詐欺サイトを報告するための新たなツールを英国民に向けて公開した。
本サービスを利用することで、詐欺目的で作成された可能性があるウェブサイトのリンクを、サイトにたどり着いた経路を意識することなくNCSCへ送信することができる。
NCSCが報告されたサイトを分析し、悪意のあるサイトと認められた場合は、ホスティングプロバイダーに通知を発行しサイトを削除するなど被害防止に向けた活動が行われる。
https://www.ncsc.gov.uk/news/scam-website-reporting-tool
2021年8月12日 中国工業情報技術省、「インテリジェント・コネクテッドカー製造企業および製品のアクセス管理強化」に関する意見募集を開始
中国工業情報技術省は、習近平の「新時代の中国の特色ある社会主義思想」を指針とし、インテリジェント・コネクテッドカー産業の発展促進を目指し、自動車のデータとサイバーセキュリティ及び機能の安全性の管理強化と製品品質の一貫性を確保するための方針案を公表し、意見募集を開始した。
本案では、企業や組織に対してサイバーセキュリティ法並びにデータ安全法等にもとづき、車両ネットワークセキュリティ管理システムの構築とサイバーリスクの監視、セキュリティ上の欠陥や脆弱性の発見・処理などといったサイバー攻撃から自動車の機能を保護するための技術的手段を整備することを求めている。企業や組織は、責任部署と担当者を定めてデータ資産管理台帳を整備し、データの分類や等級管理に応じた個人情報・重要データの保護を強化することが求められる。また、コネクテッドカーの利用者に対しても、車両に使用するネットワークカードの実名登録管理を要求をしている。
https://wap.miit.gov.cn/zwgk/zcwj/wjfb/yj/art/2021/art_bf9a399907d94b8c9ac9f79f2045fe14.html
2021年8月13日 ナイジェリア中央銀行(CBN)、サイバー攻撃から他の金融機関を保護するためのフレームワークを発表
ナイジェリア中央銀行(CBN)は、サイバー攻撃から他の金融機関(OFI)を保護するためのフレームワークを発表した。
本フレームワークの目的として、以下の4つが示されている。
1. 情報システムのセキュリティをサポートすることで、OFIサブセクターの安定性を促進し、より安全なサイバー環境をつくりあげる
2. OFIサブセクターにおけるサイバー犯罪の防止に貢献する
3. OFIによるベストプラクティスと適切なサイバーセキュリティ標準の採用と実装を促進する
4. OFIサブセクターに対する国民の信頼と促進を維持する
この目的に準じて、サイバーリスクを軽減するための戦略、ポリシー、手順、及びその開発と実装において、OFIが遵守する必要のある最小要件の概要が示されている。
https://www.cbn.gov.ng/Out/2021/OFISD/Exposure%20draft%20of%20the%20risk-based%20cyber-security%20framework_August%202021%20PDF.pdf
2021年8月16日 米国国家サイバーセキュリティアライアンス、サイバーセキュリティ教育とキャリアリソースライブラリを発表
米国国家サイバーセキュリティアライアンスは、サイバーセキュリティ教育とキャリアリソースライブラリプログラムの立ち上げを発表した。
このプログラムは、主要な公的機関とパロアルトネットワークス社などの民間パートナーによって共同設立されたもので、サイバーセキュリティ業界の多様性を拡大し、サイバーセキュリティ専門家の深刻な不足に対処できるように設計されている。
リソースライブラリは、K-12サイバーセキュリティカリキュラムの概要、高等教育プログラムガイド、キャリアチェンジャーやベテランのための職業訓練情報など、豊富なマテリアルを提供する。これを利用者が活用することで、サイバーセキュリティ業界全体のの多様性を強化し、サイバーセキュリティの労働力の更なる拡大が期待できるとのこと。
また、米国国土安全保障省(DHS)傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と米国国立標準技術研究所(NIST)も、本件とは異なるK12向けのサイバーセキュリティ啓発キャンペーンを立ち上げている。
https://staysafeonline.org/press-release/national-cyber-security-alliance-unveils-cybersecurity-education-and-career-resource-library/
https://staysafeonline.org/cybersecurity-education-career-resources/
https://www.cisa.gov/blog/2021/08/09/back-school-campaign
2021年8月17日 中国国務院、重要情報インフラ安全保護条例の9月1日施行を通告
中国国務院は、2021年4月27日に成立した重要情報インフラ安全保護条例を9月1日から施行することを通告した。
本条例において重要情報インフラとは、重要な産業・分野(通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府、国防科学技術産業など)、およびその他の重要なネットワーク設備や情報システムであり、損傷・機能の喪失・データ漏洩などが国家安全保障、国民生活、公共の利益に深刻な影響を及ぼす可能性があるものとして定義されている。
代表的な条文の要旨は以下の通り。
・保護・責任体制の不備、セキュリティ機関の不在、年1回以上のセキュリティテストおよびリスクアセスメントが実施されていない場合、また国の定める規制に従ったセキュリティ規則およびNDAが締結されていない場合は、約2,000万円(100万元)以下の罰金が発生する(39条)
・事業者が製品やサービスの調達時にセキュリティ審査を実施せず国家安全保障に影響を与える可能性に繋がった場合は、調達額の10倍以下の罰金が発生する(41条)
・重要情報インフラへの違法な侵入、干渉、損害、安全を脅かす行為には、罰金の他5日以上の拘留が発生する。その結果、公安管理処罰を受けた者は、5年間ネットワーク管理・運用の要職に就けず、刑事処罰を受けた者は、生涯にわたって要職に就くことができない(43条)
http://www.gov.cn/zhengce/content/2021-08/17/content_5631671.htm
2021年8月20日 中国、個人情報保護法が成立。11月1日より施行、中国国外へのデータ持ち出しを制限
全人代では、サイバー強国・デジタル中国・スマート社会の構築という要求に基づき、個人情報を合理的かつ効果的に利用することによってデジタル経済を持続的に発展することの必要性が説かれた。
一方で、データを新たな生産要素とするデジタル経済において、データをめぐる競争が国際競争の重要分野となっており、個人情報はビッグデータの中核、基盤であることから、個人情報保護法の制定はデジタル経済促進のための重要なステップであるとされた。
こうして8月20日に成立した本法には域外適用の効果が与えられており、中国国内の個人への製品及びサービス提供に加え、個人の行動を分析/評価するために外国で行われる個人情報の処理活動も本法の適用対象となる。
本法の規定によって、中国国外の個人情報処理業者は、個人情報保護に関する事項を担当する専門機関を設置するか、中国国内の代表者の指定することが必要となる。また、重要情報インフラ事業者や大量の個人情報を処理する者は、国外への個人情報提供に際しては、国家ネットワーク情報部門によるセキュリティ評価へ合格することが条件となった。さらに、外国組織または個人が中国国民の個人情報の権利や利益を侵害する活動を行った場合や、中国に対して不当な措置をとる国・地域に対しては、相応の対抗措置が可能であるとの規定が明文化された。
なお、9月1日にはデータ安全法の施行も控えており、中国においてサイバーセキュリティに関連する重要法案の施行が続くこととなる。
http://www.npc.gov.cn/npc/c30834/202108/5891377866c04fd78df8d76d9b76338e.shtml
http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
(個人情報保護法の全文)
http://www.npc.gov.cn/npc/c30834/202108/fbc9ba044c2449c9bc6b6317b94694be.shtml
(個人情報保護法の全人代解説)
http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
8月3日 Deloitte Risk & Financial AdvisoryがaeSolutionsからICT/OTサイバーセキュリティ業務(aeCyberSolutions)を買収
8月3日 SophosがRefactrを買収。セキュリティーオーケストレーション(SOAR)によるマネージドセキュリティサービス強化をめざす
8月4日 フロリダに拠点を置きサイバーセキュリティとデジタルスキル教育事業を手掛けるHackerU、サイバー教育SaaS企業のCybintを買収
8月10日 米国NortonLifeLockがサイバーセキュリティとプライバシーサービスを牽引する英国Avastを買収
8月10日 米国GoVanguardがブティック型サイバーセキュリティファームのGothamセキュリティを買収
8月10日 イスラエル発の農業管理ソフトウェアプラットフォームプロバイダーCropX、ヨーロッパに進出するためにDacom Farm Intelligenceを買収
8月18日 英国の大手データ分析サービス企業Simpson Associatesが、同国のサイバーセキュリティ企業Bleam Cyber Security Limitedを買収