----------------------------------------------------------------------
インド、国立情報センターへのランサムウェア攻撃が医療機関に影響（11/29配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国司法省、元病院職員5人を含むグループを患者情報の売買で起訴
・インド電子情報技術省、デジタル個人データ保護法2022（DPDP）の草案を公開
・米国司法省、暗号資産詐欺に関連するドメインを押収
・米国国防総省、ゼロトラスト戦略とロードマップを正式発表
・インド、国立情報センターへのランサムウェア攻撃が医療機関に影響

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2022年11月10日 米国司法省、元病院職員5人を含むグループを患者情報の売買で起訴
テネシー州にあるメゾジスト病院の元職員5人を含む6人のグループが、患者の健康情報を不正に売買した容疑で米国司法省から起訴された。
主犯格のハーベイ被告は、元職員5人から2017年11月から2020年12月にかけて交通事故に遭った患者のデータを購入し、整体師や弁護士などの第三者に販売したという。この他にも金銭目的で患者情報を入手した7件の余罪で起訴されている。
元職員5人は、ハーベイ被告に対して不法に情報を提供したことがHIPPAへの違反にあたるとして立件された。
https://www.justice.gov/usao-wdtn/pr/five-former-methodist-hospital-employees-charged-hipaa-violations

2022年11月18日 インド電子情報技術省、デジタル個人データ保護法2022（DPDP）の草案を公開
インドの電子情報技術省（MEITY）が 「デジタル個人データ保護法2022（DPDP）」の草案を公開した。12月17日を期限にパブリックコメントを募集している。
DPDPは、2019年個人データ保護法（PDPB）の法案を起草する過程での議論をもとに作成された法案。デジタル個人データは、データ主体からオンラインで収集された個人データ、またはオフラインで収集した後にデジタル化された個人データを指す。法案では、子どもの定義やデータ受託者の概念など、GDPR等の法案とは異なる特徴的な定義も提案されている。
インド領内のデジタル個人データの処理への適用に加え、インド領外から領内の個人に対するプロファイリングや商品・サービスの提供に対して域外適用されるため注意が必要。ただし、人の手による個人情報の処理、オフラインの個人データ、100年以上存在する個人データなどには適用されない。データの越境移転の要件とされることも検討されている。この他、データ保護委員会の設立と50億ルピー以下の罰金などが提案されている。
https://www.meity.gov.in/data-protection-framework
https://www.meity.gov.in/writereaddata/files/The%20Digital%20Personal%20Data%20Potection%20Bill%2C%202022_0.pdf
https://www.meity.gov.in/writereaddata/files/Explanatory%20Note-%20The%20Digital%20Personal%20Data%20Protection%20Bill%2C%202022.pdf

2022年11月21日 米国司法省、暗号資産詐欺に関連するドメインを押収
米国司法省は、「Pig Butchering」の名で知られ、合計一千万ドル（約140億円）以上の被害を生んだ暗号資産犯罪に使用されたドメイン7点を押収した。
犯罪グループは、2022年5月から8月にかけて、出会い系アプリやソーシャルメディア、電話番号の間違いを装ったSMSなどで被害者に接近する手口を用いた。
押収されたドメインは、シンガポール国際通貨取引所になりすましたもので、5人の米国人から金銭を詐取するのに使われていた。
https://www.justice.gov/usao-edva/pr/court-authorizes-seizure-domains-used-furtherance-cryptocurrency-pig-butchering-scheme

2022年11月22日 米国国防総省、ゼロトラスト戦略とロードマップを正式発表
米国国防総省（DOD）は、同省の採用するゼロトラスト戦略とロードマップを正式に発表した。
DoDに属する機関のサイバーセキュリティ投資方針を示すもので、2027年までにゼロトラストベースラインの達成を目指す。
ロードマップには、「ユーザ」「デバイス」「アップリケ－ション」「ワークロード」「データ」「ネットワークと環境」「自動化とオーケストレーション」「可視化と分析」という7つの柱が設定された。ゼロトラストへの統合を支援するため、同省の全職員がゼロトラストの考え方を理解するための訓練を受ける予定。
https://www.defense.gov/News/Releases/Release/Article/3225919/department-of-defense-releases-zero-trust-strategy-and-roadmap/
https://dodcio.defense.gov/Portals/0/Documents/Library/DoD-ZTExecutionRoadmap.pdf
https://dodcio.defense.gov/Portals/0/Documents/Library/DoD-ZTStrategy.pdf

2022年11月25日 インド、国立情報センターへのランサムウェア攻撃が医療機関に影響
インドの国立情報センター (NIC) がランサムウェア攻撃を受け、政府系医療機関の全インド医科大学（AIIMS）とその付属病院のサーバーに被害が生じた。
AIIMSでは、研究活動と診療の双方に影響が出ており、サンプル検査、診療レポート参照、予約システム、診療費請求などのデジタル病院サービスが停止している。現在は、手動のオペレーションによって代替されているが、外来と入院患者の両方に影響が出ているという。
インドの国家インシデント対応チーム (CERT-In)が復旧支援にあたっており、システムの回復後には将来的な予防措置を講じる必要があるとコメントしている。
https://indianexpress.com/article/cities/delhi/aiims-ransomware-attack-services-hit-8285901/?&web_view=true

----------------------------------------------------------------------
【3】11月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年11月3日 1Password、スタートアップ企業のPassage買収でパスワードレス認証を強化
2022年11月3日 Gorilla Technology Group、ビデオ解析技術に強みのSeeQuestor Limitedを買収
2022年11月7日 セキュリティソリューション企業のHUMAN、悪性広告対応のclean.ioを買収
2022年11月17日 Palo Alto Networks、Cider Securityの買収でソフトウェアサプライチェーンセキュリティを強化
2022年11月24日 投資企業Invesis、Daisy Group傘下のAsanti社を買収し、同社の英国データセンター5拠点を取得