----------------------------------------------------------------------
Facebook、顔識別システムの停止と10億人以上の顔写真削除を決定（11/9配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・欧州ENISA、サイバー脅威動向レポート2021年版を公表
・中国の個人情報保護法が施行
・Facebook、顔識別システムの停止と10億人以上の顔写真削除を決定
・米国FBI、M&A情報を悪用したランサムウェア攻撃を警告
・米国商務省、サイバー関連の外国企業4社を輸出管理対象に追加
・米国CISA、既知の脆弱性の悪用による深刻なリスクを低減するための指令
・IBM、AIを利用した脅威検出製品を提供するReaQtaの買収計画を発表

----------------------------------------------------------------------
【2】海外政策動向一覧（2021年10月27日～2021年11月5日）
----------------------------------------------------------------------
2021年10月27日 欧州ENISA、サイバー脅威動向レポート2021年版を公表
欧州ネットワーク情報セキュリティ庁（ENISA）は、サイバー脅威動向の年次報告書「ENISA Threat Landscape 2021（ETL）」を公表した。
本レポートは、2020年4月から2021年7月までのENISAへの報告を対象に、主な脅威・攻撃者グループ・攻撃技術の傾向を特定し、緩和措置について説明している。
トップ9の脅威として、以下が挙げられている。
「1. ランサムウェア」「2. マルウェア」「3. クリプトジャッキング」「4. 電子メール関連の脅威」「5. データに対する脅威」
「6. 可用性と完全性に対する脅威」「7. 偽情報、誤情報」「8. 悪意のない脅威（人為的なミス、設定ミスなど）」「9. サプライチェーン攻撃」
https://www.enisa.europa.eu/news/enisa-news/hackers-for-hire-drive-the-evolution-of-the-new-enisa-threat-landscape
https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021

2021年11月1日 中国の個人情報保護法が施行
本年8月に成立した中国個人情報保護法（PIPL）が、11月1日に予定通り施行された。早くも各所で同法による規制強化の影響が確認され始めている。
ビジネスSNSのLinkedInが10月をもって中国事業を停止したほか、米Yahooも11月1日付けで中国でのサービスを全面的に終了した。事業環境やコンプライアンス要件が厳しいことが理由に挙げられている。
データ利活用の促進と個人の権利保護の強化を目的とするPIPLには、国家安全や公共利益の保護に関する要件も規定されている。
以下はその一例：
（第10条）国の安全、公共の利益を脅かすような個人情報処理活動に従事してはならない
（第38条）個人情報処理者は業務等の必要により、中国国外に個人情報を提供する確かな必要性がある場合、国家インターネット情報機関による安全評価への合格、同機関の規定に基づき専門機関による個人情報保護認証を実施、標準契約の締結などの条件を満たすこと
（第39条）国外へデータを転送する場合のデータ主体への告知と個別の同意取得
（第40条）重要情報のインフラ運営者及び処理する個人情報が規定量を超える個人情報処理者の国内保存義務
（第42条）国家安全と公共利益を脅かす個人情報処理活動従事者への禁止措置
（第43条）中国に差別的措置をとる国家・地域への類似対抗措置
http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
https://blog.linkedin.com/2021/october/14/china-sunset-of-localized-version-of-linkedin-and-launch-of-new-injobs-app
https://new.qq.com/omn/20211102/20211102A06Z1X00.html

2021年11月2日 Facebook、顔識別システムの停止と10億人以上の顔写真削除を決定
Facebookは、顔識別技術の使用に対する懸念の高まりを受け、同社の顔識別システムの停止とユーザー10億人以上の顔写真を削除することを決定した。
Facebookを運営するMeta社は、現在顔認識関連技術の使用に関するルールは規制当局による検討の段階にあり、具体的な見通しが立つまではユースケースを狭い範囲に限定することが適切であると述べた。
同サービスは長年にわたり他人が投稿した写真や動画に自分が写っていた際に自動的に通知される機能や、名前のタグ付けを推奨する機能を提供していたが、これらに使用される顔識別システムは停止された。今後は、顔識別の設定を有効化した人も写真やビデオで自動的に認識されなくなり、その人物を識別するために使用されていた顔識別テンプレートも削除される。
なおFacebookは本年3月に、タグ付け提案機能が通知や同意なしに個人の顔のデジタルスキャンを収集・保存しており、イリノイ州生体情報保護法違反にあたるとして集団訴訟をうけていた。この訴訟は、Facebookがイリノイ州のユーザー約160万人へ合計約738億円（6億5千万米ドル）を支払うことで和解の合意に達している。
https://about.fb.com/news/2021/11/update-on-use-of-face-recognition/
https://cdn.vox-cdn.com/uploads/chorus_asset/file/22333300/In_re_Facebook_Biometric_Information_Privacy_Litigation_final_order.pdf

2021年11月3日 米国FBI、M&A情報を悪用したランサムウェア攻撃を警告
米国連邦捜査局（FBI）は、ランサムウェア犯罪グループがM&Aなどの重要財務イベント情報を攻撃に悪用している可能性が高いと警告した。
あらかじめ標的企業に関する経営情報を公開、非公開を問わず調査し、被害者が迅速に身代金を支払わない場合は調査情報を公開すると脅迫しているとのこと。情報が公開された場合、投資家の反発を招く可能性がある。
FBIは、犯罪者に身代金を支払うことを推奨していないが、企業が機能不全に陥った場合、経営陣が株主・従業員・顧客を守るためにあらゆる選択肢を検討することを理解していると述べた。
https://www.ic3.gov/Media/News/2021/211101.pdf

2021年11月3日 米国商務省、サイバー関連の外国企業4社を輸出管理対象に追加
米国商務省産業安全保障局（BIS）は、米国の国家安全保障または外交政策の利益に反する活動を行っているとして、外国企業4社を輸出管理規則（EAR）上のエンティティリスト（EL）に追加することを発表した。
ELに追加されたのは、イスラエルのNSO GroupとCandiru、ロシアのPositive Technologies、シンガポールComputer Security Initiative Consultancy PTE. LTDである。
これらの企業が追加された理由としては、スパイウェアを開発・供給して政府高官や企業関係者などを対象に悪用したり、不正アクセスツールを取引して個人や組織のプライバシーと安全を脅かしたことを挙げている。
https://www.commerce.gov/news/press-releases/2021/11/joint-readout-cooperation-between-us-department-commerce-and-innovation
https://www.jetro.go.jp/biznews/2021/11/b2aea69999b66f93.html

2021年11月3日 米国CISA、既知の脆弱性の悪用による深刻なリスクを低減するための指令
米国サイバーセキュリティインフラセキュリティ庁（CISA）は、インターネットに面する連邦情報システム上を対象に、CISAが特定した重大なリスクを伴う脆弱性の修正要件を扱うBOD19-02指令を強化することを発表した。
今回の決定の理由として、既に深刻な悪用が確認されている脆弱性をCISAがカタログとして管理し、修復要件を確立することが必要不可欠であると述べられている。
指令の適用対象は連邦政府の保有するすべてのソフトウェアおよびハードウェアとされており、政府機関が直接管理するシステムと第三者が設置運用する連邦情報システムのどちらも対象となる。
各省庁は指令発行から60日以内に脆弱性管理手順の見直しと更新を行うこと、カタログに記載された脆弱性のうち未修正のものに対応することが求められる。対応期限は2021年以前に割り当てられたCVE IDを持つ脆弱性については6か月以内、それ以外については2週間以内とされた。
https://www.cisa.gov/news/2021/11/03/cisa-releases-directive-reducing-significant-risk-known-exploited-vulnerabilities
https://cyber.dhs.gov/bod/22-01/
https://www.cisa.gov/known-exploited-vulnerabilities-catalog

----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
2021年11月1日　CrowdStrike、ゼロトラストによるデータ保護のためSecureCircleを買収
2021年11月1日　ブロックチェーンセキュリティ技術のSollensys、金融サービスITプロバイダCeleritを買収
2021年11月2日　IBM、AIを利用した脅威検出製品を提供するReaQtaの買収計画を発表