----------------------------------------------------------------------
中国、サイバーセキュリティ法の改正案を公表（10/4配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米司法省、重要インフラへサイバー攻撃を実行した容疑でイラン国籍の3名を起訴
・中国、サイバーセキュリティ法の改正を決定　改正案へ意見募集
・インドネシア議会、データ保護法案を可決
・米国カリフォルニア州、妊娠中絶に関する情報保護を保証する法案に署名
・米国政府説明責任局、国防総省の国家安全保障を評価するレポートを公開
・米国政府説明責任局、連邦政府システムのクラウド移行についてレポートを公開

----------------------------------------------------------------------
【2】海外政策動向一覧（2022年9月14日～2022年9月30日）
----------------------------------------------------------------------
2022年9月14日 米司法省、重要インフラへサイバー攻撃を実行した容疑でイラン国籍の3名を起訴
米国司法省は、米国内の重要インフラへのサイバー攻撃を計画、実行したとしてイラン国籍の容疑者3名を起訴したと発表した。
この3名は「Mansur Ahmadi」の名で知られる攻撃者グループのメンバーと見られている。2020年10月から、米国、英国、イスラエル、イランなどのシステムへの不正アクセス計画を立て、データの窃取とランサムウェア攻撃を実行した。政府機関、中小企業など幅広い組織が被害に遭っており、医療や公共機関などの重要インフラも複数含まれていた。
https://www.justice.gov/usao-nj/pr/three-iranian-nationals-charged-engaging-computer-intrusions-and-ransomware-style

2022年9月14日 中国、サイバーセキュリティ法の改正案を公表
中国の国家インターネット情報弁公室（CAC）は、「中国サイバーセキュリティ法の改正に関する決定」の通知を公開した。あわせて改正案を公開し、9月29日まで意見募集を行った。2017年6月の施行以来初の改正となる。
改正の目的は、複数のサイバー関連法とサイバーセキュリティ法の整合性を高め、主要な法的責任制度を改正サイバーセキュリティ法に集約することと説明されている。「ネットワークの運用に係る安全違反への行政処罰の調整」「重要情報インフラ保護に係る安全違反への行政処罰の整備」「サイバーセキュリティ保護義務への法的責任の整理」「個人情報保護に係る法的責任体制の改定」といった主題について変更案が提示された。
改正案では罰金額の上限も引き上げられた。特に重大な違反があった場合の規定が設けられ、百万元から5千万元（約2千万円から1億円以下）以下、または前年の売上高の5％以下の罰金を科す。加えて、企業に対して営業許可停止やウェブサイトの閉鎖等の措置が、個人に対して就業制限や十万元（約2百万円）以上の罰金が提案されている。また、悪質なネットワークへの不正侵入・妨害・盗聴などに関して、公安当局による資産の差し押さえ、5日から15日間の拘束または十万元から百万元（約2百万円から2千万円）の罰金を科される可能性がある。
なお、これらの違反の基準は、現行のサイバーセキュリティ法の具体的な罰則基準は削除され、個人情報保護法やデータセキュリティ法などの関連法規を参照する形に改められる予定。
http://www.gov.cn/hudong/2022-09/14/content_5709805.htm

2022年9月21日 インドネシア議会、データ保護法案を可決
インドネシア議会は、新たにデータ保護法案を可決した。インドネシア国民に関するデータをより適切に保護することを目的とし、厳しい罰則が設けられる。同法に違反した企業には年間売上高の最大2%が罰金として科される。また、私的な利益のための個人データ改ざんに対しては最大6年、個人データの違法な収集に対しては最大5年の懲役刑が定められている。
また、インドネシア大統領にはデータ保護法の執行を目的とする監視機関を設置する権限が認められる。
https://iapp.org/news/a/indonesian-lawmakers-pass-data-protection-bill/
https://www.reuters.com/world/asia-pacific/

2022年9月23日 豪政府、Optusへのサイバー侵害を受けて法改正を検討
オーストラリアのアルバネーゼ首相は、同国第2位の通信会社Optusへのサイバー侵害事案を受け、サイバーセキュリティ関連法規の改正を予定していることを明かした。
プライバシーおよびサイバーセキュリティ法に基づく罰則の強化や企業が被害者の情報を金融機関に迅速に通知することを求めるデータ侵害通知法の改正などが検討されている。
Optus社は今回の攻撃によって、人口の約40%にあたる一千万人の住所、運転免許証、パスポート番号等が侵害された可能性があり、同国で過去最大級のインシデントであるとされている。
https://www.natlawreview.com/article/privacy-and-cybersecurity-laws-expected-to-undergo-significant-overhaul-wake-optus
https://www.reuters.com/world/asia-pacific/australia-plans-privacy-rule-changes-after-optus-cyber-attack-2022-09-26/
https://www.cisc.gov.au/news-media/archive/article?itemId=945

2022年9月27日 米国カリフォルニア州、妊娠中絶に関する情報保護を保証する法案に署名
米国カリフォルニア州のニューサム知事は、法的機関や企業が妊娠中絶関連データを外部と共有することを禁じる法案へ署名した。
これにより、刑事および民事裁判における情報保護、州外への医療記録の非公開規定等が設けられる。
議会法案第1242号は、カリフォルニア州に本社を置くIT企業に対して州内で施術された合法的な妊娠中絶に関する情報を外部に提供することを禁止する。議会法案第2091号は、医療提供者に対して州内の中絶治療希望者に関する情報を州外の要請に応じて公開することを禁止する。
https://www.gov.ca.gov/2022/09/27/new-protections-for-people-who-need-abortion-care-and-birth-control/
https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=202120220AB1242
https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=202120220AB2091

2022年9月28日 米国政府説明責任局、国防総省の国家安全保障を評価するレポートを公開
米国政府説明責任局（GAO）は、国防総省（DoD）の安全保障任務に対する機会と脅威を評価するレポートを公開した。
敵性国家がサイバー攻撃や偽情報の拡散を強める中で、DoDにおける情報環境の利用と保護について論じている。
DoDの作戦能力はITと電磁波通信（EMS）に依存しており、陸・海・空・宇宙のいずれの物理的領域においても情報環境の保護が生命線となることを指摘している。GAOは、情報環境を情報システムに限らず、人や組織、物理的、認知的な側面を含む広い概念として定義している。
また、先端技術に関する脅威として、中国によるAI研究への莫大な投資と情報処理能力の強化、量子コンピューティングによる既存の暗号方式の危殆化、SNS上の悪意ある情報操作を挙げた。
https://www.gao.gov/products/gao-22-104714

2022年9月28日 米国政府説明責任局、連邦政府システムのクラウド移行についてレポートを公開
米国政府説明責任局（GAO）は、連邦政府機関システムのクラウド移行の状況と課題を整理したレポートを公開した。
連邦政府機関がシステムをクラウドに移行する際に直面する主な課題として、サイバーセキュリティの確保、クラウドサービスの調達、コストの削減と追跡、スキルを持った要員の維持の4点が挙げられている。
また、今回GAOが実施した調査の結果から、ほとんどの機関がFedRAMP認証を取得していないクラウドサービスを現在も利用し続けていることが判明した。さらに、組織のクラウドセキュリティ計画には必要な情報が記載されておらず、評価報告書にはセキュリティテストの結果が含まれていないといった現状が明らかになっている。
https://www.gao.gov/products/gao-22-106195

----------------------------------------------------------------------
【3】9月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年9月2日　英当局、米国NortonLifeLockによる英国Avastの60億ポンド（約9,900億円）での買収を承認
2022年9月6日　米国Cerberus Sentinel、南米全域にマネージドセキュリティサービスを提供するNLT Secureを買収
2022年9月7日　ドバイGulf Business Machines、サイバーインシデント対応サービスのCoordinates Middle Eastを買収
2022年9月12日　Google、サイバーセキュリティ企業Mandiantの約54億ドル（約7,700億円）での買収を完了
2022年9月14日　量子関連技術SaaSのSandboxAQ、暗号分析ソフトウェアベンダーのCryptosenseを買収
2022年9月29日　Zscaler、セキュリティ管理を自動化するShiftRightを買収
2022年9月29日　仏Atos、Onepointによる42億ユーロ（約5,900億円）の買収提案を拒否