----------------------------------------------------------------------
アイルランドのデータ保護委員会、WhatsAppにGDPR違反で約293億円の制裁金（9/7配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・中国「深セン経済特区データ条例」採択、2022年1月1日より施行
・米国司法省、新しいサイバーフェローシッププログラムの創設を発表
・米国CISA、単一要素認証の利用をバッドプラクティスリストへ追加
・アイルランドのデータ保護委員会、WhatsAppにGDPR違反で約293億円の制裁金

----------------------------------------------------------------------
【2】海外政策動向一覧（2021年7月6日～2021年9月3日）
----------------------------------------------------------------------
2021年7月6日 中国「深セン経済特区データ条例」採択、2022年1月1日より施行
本条例は、関連する法令法規の基本原則に従いながら深セン経済特区の状況に合わせて策定されたもので、デジタル経済・社会・政府の構築にむけたデータのオープンフローなどの促進を目的としている。一方で、個人や組織の正当な権利と利益の保護のために、データ処理活動に規制も設けている。
公正な競争の遵守を要求しており、深セン市場監督管理部門や業界の主管部門による是正を拒否した場合には、5万元以上50万元以下（約85万円以上850万円以下）の罰金が科される。
さらに状況が深刻な場合は前年の売上高の5％以上5,000万元（約8億5千万円）以下の罰金が科される。これは中国個人情報保護法の罰金の5倍に相当する。
例えば、データ処理活動を行う主体の正当な権利・利益を侵害したり、取引相手に不利益や差別的な取扱いを生じさせる目的でデータ分析を利用したりした場合は違反とみなされる。
http://www.szrd.gov.cn/rdlv/cwhgb/index/post_706584.html

2021年8月27日 米国司法省、新しいサイバーフェローシッププログラムの創設を発表
米国司法省（DOJ）は、国家安全保障上の脅威へ対処するため、新たなサイバーフェローシッププログラムの創設を発表した。
本フェローシップは、新世代の検察官と弁護士を育成することを目的とし、刑事課、国家安全保障部門、米国内の弁護士事務所など、サイバー脅威から国家を守る複数の部門をローテーションしながら3年間の経験を積むことになる。
プログラム3年目の後半には、自分の興味に合致した部門の職種に応募する機会が与えられる予定だ。プログラムを修了したフェローは、国家支援型サイバー攻撃グループなどの調査を行い起訴することが期待されている。
https://www.justice.gov/opa/pr/deputy-attorney-general-lisa-monaco-announces-creation-new-cyber-fellows-positions

2021年8月30日 米国CISA、単一要素認証の利用をバッドプラクティスリストへ追加
米国CISAは、サイバーセキュリティにおけるリスクの高い慣行として「バッドプラクティス」のリストを公開している。今回、このリストへ「単一要素認証の利用」が追加された。
具体的には、リモートシステムや管理者向けアクセスシステムに単一要素認証を使用することは推奨できないとしている。
単一要素認証が使用されている場合、ユーザ名とパスワードを照合するだけでシステムへアクセスすることが可能であり、セキュリティ強度が低い認証方法になってしまう。
CISAは、バッドプラクティスを参考にしながら対策の議論を行うことを推奨している。
なお、現在バッドプラクティスリストには、単一要素認証の他に「サポートが終了したソフトウェアの使用」と「既知・固定・初期設定のパスワードや認証情報の使用」が掲載されている。
https://us-cert.cisa.gov/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices
https://www.cisa.gov/BadPractices

2021年9月2日 アイルランドのデータ保護委員会、WhatsAppにGDPR違反で約293億円の制裁金
アイルランドのデータ保護委員会（DPC）は、Facebook傘下のWhatsAppに対して、GDPR違反で約293億円の制裁金を科すことを発表した。
発表と同時に公開された決定書によると、WhatsAppが親会社であるFacebookとの電話帳データの共有方法や個人データの処理方法について、EU圏内のアプリ利用者や市民に対して適切に通知されていなかったことが主な問題とされている。
https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-whatsapp-inquiry
https://edpb.europa.eu/system/files/2021-09/edpb_bindingdecision_202101_ie_sa_whatsapp_redacted_en.pdf

----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
8月3日 Deloitte Risk & Financial AdvisoryがaeSolutionsからICT/OTサイバーセキュリティ業務（aeCyberSolutions）を買収
8月3日 SophosがRefactrを買収。セキュリティーオーケストレーション（SOAR）によるマネージドセキュリティサービス強化をめざす
8月4日 フロリダに拠点を置きサイバーセキュリティとデジタルスキル教育事業を手掛けるHackerU、サイバー教育SaaS企業のCybintを買収
8月10日 米国NortonLifeLockがサイバーセキュリティとプライバシーサービスを牽引する英国Avastを買収
8月10日 米国GoVanguardがブティック型サイバーセキュリティファームのGothamセキュリティを買収
8月10日 イスラエル発の農業管理ソフトウェアプラットフォームプロバイダーCropX、ヨーロッパに進出するためにDacom Farm Intelligenceを買収
8月18日 英国の大手データ分析サービス企業Simpson Associatesが、同国のサイバーセキュリティ企業Bleam Cyber Security Limitedを買収
8月19日 オーストラリアを拠点とするTesserentが同国メルボルンを拠点とするLoop Secureを買収
8月24日 英国を拠点とするデータ分析のSimpson Associatesがサイバーセキュリティ企業のBleam Cyber Securityを買収
8月27日 米国IronNet.Inc.がLGL Systems Acquisition Corpと経営統合
8月30日 Check Point Software Technologies、クラウド電子メールのセキュリティ企業であるAvananを買収
8月31日 ソフトウェア投資会社のThoma Bravo、サイバーセキュリティの大手企業であるProofpointを買収
8月31日 XYPRO Technology Corporation、Hewlett Packard Enterpriseからコンプライアンス監視プラットフォームを買収