----------------------------------------------------------------------
米国とオーストラリア、クラウド法を根拠とした犯罪データ共有で合意（12/21配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・国連機関UNIDO、AIガイダンスを公開
・オランダDPA、GDPR違反でオランダ税務局へ罰金
・ユーロポール、ランサムウェア関連組織に属するルーマニア人を逮捕
・米国CISA、重要インフラ機能に関するリスク管理方法を刷新
・米国とオーストラリア、クラウド法を根拠とした犯罪データ共有で合意
・ノルウェーDPA、出会い系アプリ「Grindr」へのGDPR制裁金を減額
・韓国富川市、AI-CCTV顔認証によるCOVID-19追跡の実証実験を開始

----------------------------------------------------------------------
【2】海外政策動向一覧（2021年12月7日～2021年12月16日）
----------------------------------------------------------------------
2021年12月7日 国連機関UNIDO、AIガイダンスを公開
国連の専門機関である工業開発機関（UNIDO）が、AIガイダンスを公表した。AI技術を導入する中小企業のサイバー脅威への危機意識の低さに警鐘を鳴らしている。
中小企業では、深層学習・AI・クラウドなどの第四次産業革命（4IR）技術の導入に注目が集まっている。なかでもAI映像監視の応用範囲は広く、正確なインシデント発生予測と防御、重要インフラ以外への監視対象の拡大という中小企業の課題解決に貢献している。
今回の発表によると、セキュリティ事業者の87％がビデオ解析、68%がAIによる監視を導入しており、約半数の57%が「監視の効率化」を導入の理由に挙げているという。
一方で、中小企業はサイバーセキュリティの脅威に対する意識が低く技術的対策の水準が不十分であることから、自動化されたサイバー攻撃によって大企業と同様のサイバー脅威にさらされていると指摘している。
https://www.unido.org/news/unidos-groundbreaking-publication-adoption-ai-smes
https://hub.unido.org/sites/default/files/publications/Empowering%20SMEs%20through%204IR%20Technologies.pdf

2021年12月8日 オランダDPA、GDPR違反でオランダ税務局へ罰金
オランダのデータ保護局（DPA）は、オランダ税務局がGDPRに違反したとして275万ユーロ（約3.5億円）の罰金を科すことを発表した。
オランダ税務局は二重国籍を持つオランダ国民の個人データを育児給付申請の審査を行う目的で処理したが、これは​、データ処理が基本的権利を侵害してはならず、国籍データを差別的に処理することは不適切とするGDPRの規則に照らして不要であり違法だと判断された。
今回の事案では、2018年5月に約140万人分のデータがシステムに二重国籍として登録されていた。DPAの調査の後、税務局はシステムをクリーンアップし、2020年夏までにオランダ国民の二重国籍データを完全に削除した。
https://autoriteitpersoonsgegevens.nl/en/news/tax-administration-fined-discriminatory-and-unlawful-data-processing

2021年12月13日 ユーロポール、ランサムウェア関連組織に属するルーマニア人を逮捕
ユーロポールの欧州サイバー犯罪センター （EC3）は、ルーマニア国家警察と米国連邦捜査局（FBI）と共同で、大手ランサムウェア犯罪グループの関連組織に属するルーマニア人を逮捕した。
この容疑者は、小売、エネルギー、公益事業などの顧客にサービスを提供するルーマニアの大手IT企業のネットワークを侵害した疑いがある。
今回の捜査は、犯罪の脅威に対する欧州の学際的プラットフォーム（EMPACT）の枠組み内で実施された。EC3は分析、暗号通貨のトレース、マルウェア分析、フォレンジックサポートなどを支援している。
https://www.europol.europa.eu/media-press/newsroom/news/arrest-in-romania-of-ransomware-affiliate-scavenging-for-sensitive-data

2021年12月15日 米国CISA、重要インフラ機能に関するリスク管理方法を刷新
米国サイバーセキュリティ・インフラ庁（CISA）は、国家的重要機能（NCF）に関係する主な活動の進捗状況をまとめた「Status Update to the Critical Infrastructure Community」を更新した。
CISAの国家リスク管理センター（NRMC）が開発したNCFフレームワークについて説明し、米国内な重要インフラにより明確な優先順位付けを行い、リスク管理活動への体系的なアプローチを行う方針を示した。
今回の進捗報告では、55のNCF全てを一次および二次のサブ機能レベルへと分解するための活動について、過去1年間の成果が説明されている。また、NCFフレームワークを連邦政府に導入するためのCISAの活動計画についても触れられている。
現在のNCFは、接続・配送・管理・供給という4つの領域別に55のNCFが位置付けられていたが、領域内の機能の種別や粒度は整理されていなかった。例えば配送領域では「配電」「送電」「空輸」「鉄道輸送」「陸運」「海運」「サプライチェーンの維持」といった機能が全て並列に扱われていた。
https://www.cisa.gov/blog/2021/12/15/national-critical-functions-reframing-how-risks-are-managed
https://www.cisa.gov/sites/default/files/publications/2021_ncf-status_update_508.pdf

2021年12月15日 米国とオーストラリア、クラウド法を根拠とした犯罪データ共有で合意
米国司法省（DOJ）は、2018年に可決された「Clarifying Lawful Overseas Use of Data Act（別称 クラウド法）」に基づき、米国とオーストラリアが犯罪データ共有協定を締結したことを発表した。
この協定は「法の支配、プライバシー、市民の自由のための強力な保護」の名目で実施され、米国とオーストラリアの間でより効率的に国境を越えたデータ転送を行うための道を開くものとなると司法省は述べる。
また、両国に共通するプライバシーと市民の自由という価値観を守りながら、同時にテロを含む重大犯罪へのより効果的な対処を可能にするという。
これにより両国の法執行機関は、ランサムウェア攻撃を含むさまざまな重大犯罪を「防止、検出、捜査、起訴」する目的で電子データの取引を行うことができるようになるとのこと。
https://www.justice.gov/opa/pr/united-states-and-australia-enter-cloud-act-agreement-facilitate-investigations-serious-crime
https://www.justice.gov/dag/page/file/1153466/download
https://www.congress.gov/bill/115th-congress/house-bill/4943

2021年12月15日 ノルウェーDPA、出会い系アプリ「Grindr」へのGDPR制裁金を減額
ノルウェーのデータ保護局（DPA）は、LGBT向け出会い系アプリ「Grindr」の運営会社へ科していたGDPR制裁金を、同社の売上金と是正措置の履行状況を考慮して減額すると発表した。
2021年1月にDPAは、同アプリがユーザーのHIV感染データを協力会社と無断で共有していたこおとがGDPR違反にあたるとして、運営会社に制裁金1億640万ノルウェーKr（約13.4億円）を科すことを公表していた。
今回の決定により4,140万Kr（約5.2億円）が減額され、最終的な制裁金を6,500万Kr（約8.2億円）となる。罰金の減額理由は、1月に算定根拠とした概算よりも実際の売上が少なかったこと、苦情が提出された後に同アプリが速やかに対処したことが考慮されたことという。
また同局は、商業アプリがユーザーの性的指向に関するデータを共有する際に、マーケティングや広告を目的としたトラッキングやデータを仲介する場合には、同意が必要という考えを示した。これにより、GDPRに違反して処理されていることが判明した個人データの削除が同アプリに要求される。
https://www.datatilsynet.no/en/news/2021/intention-to-issue--10-million-fine-to-grindr-llc2/
https://www.datatilsynet.no/contentassets/da7652d0c072493c84a4c7af506cf293/advance-notification-of-an-administrative-fine.pdf
https://noyb.eu/sites/default/files/2021-12/Administrative%20fine%20-%20Grindr%20LLC_Public%20version.pdf

2021年12月16日 韓国富川市、AI-CCTV顔認証によるCOVID-19追跡の実証実験を開始
韓国富川市は、富川市スマートシティプロジェクトの一環で、AI-CCTV顔認証技術を用いたCOVID-19追跡の実証実験を開始する。
富川市内に設置されているCCTV合計8310台（1平方キロメートル毎に157台）のデータを利用し、AI映像解析技術によってCOVID-19陽性が確定した者の移動経路と接触履歴を把握するシステムを試験稼働させる。
プロジェクトの提案書では、追跡対象者の情報を匿名化・非識別化して元データと処理結果の関連性を絶つため個人の追跡は不可能と記述されている。運営チームの説明では、感染確認者の写真を確保しておき、映像のAI分析結果らから移動経路を追跡することで、CCTV番号、座標値、移動経路を疫学調査官に匿名提供する仕組みだという。
韓国個人情報保護法上、機密情報に分類される顔データは当事者の同意がなければ原則収集不可能だが、疫学調査が目的であり尚且つ匿名化処理が行われれば合法となる。
感染拡大防止アプリのAPIや学習データセットも付加サービスとして提供されることから、市民のプライバシー情報保護への影響が懸念されている。
http://www.bucheon.go.kr/site/homepage/menu/viewMenu?menuid=148006005021
https://news.kbs.co.kr/mobile/news/view.do?ncd=5146011

----------------------------------------------------------------------
【3】先月のM&A/IPO情報詳細
----------------------------------------------------------------------
2021年12月7日　米Cerberus Cyber Sentinel、チリのサイバーセキュリティ企業Arkavia Networks SPAを買収
2021年12月7日　Atos、大手マルチクラウドサービス企業Cloudreachを買収
2021年12月7日　ID認証プラットフォームのJumio、統合データマーケットプレイスの4Stop買収によりAI機能を強化
2021年12月10日　Avast、Evernymを買収　消費者向けサイバーセキュリティと分散型アイデンティティの融合をめざす
2021年12月12日　イスラエルのサイバーセキュリティ企業Orchestra、MSPのNetformxを買収
2021年12月17日　PEファンドのPermira Advisers、クラウドセキュリティのMimecastを買収