Loading...
Loading...
----------------------------------------------------------------------
レポート「日本の情報セキュリティ対策黎明期の政策立案~NISC立ち上げに参画して~(日本のサイバーセキュリティ政策史第3回)」(3/14配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICレポート「日本の情報セキュリティ対策黎明期の政策立案~NISC立ち上げに参画して~(日本のサイバーセキュリティ政策史第3回)」
・米国、国家サイバーセキュリティ戦略の発表を受け各セクターが反応
・米国超党派議員連盟、外国製技術によるセキュリティ脅威を阻止する法案を提出
・英国、GDPRのデータ保護要件を緩和する計画を発表
・米国オンライン健康保険市場、米議会議員の情報を含む顧客データ侵害を確認
・欧州議会、欧州デジタルIDのルールを改善
----------------------------------------------------------------------
【2】JCICレポート「日本の情報セキュリティ対策黎明期の政策立案~NISC立ち上げに参画して~(日本のサイバーセキュリティ政策史第3回)」
----------------------------------------------------------------------
サイバーセキュリティ政策分野に詳しい三角育生氏が日本の同政策史をひもとくシリーズ。第3回は、内閣官房情報セキュリティセンター(NISC)発足時に基本戦略等の参事官を歴任した小林正彦氏をお迎えし、話をうかがいます。2005年、情報セキュリティへの理解が各国で高まる一方、日本では包括的な情報セキュリティ政策推進体制の整備が十分ではなかった時代に設立されたNISC。情報セキュリティ確保を目指す新たな組織はどのように誕生し、どのような理念で戦略やルールを策定したのか――。
全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1a
----------------------------------------------------------------------
【3】海外政策動向一覧
----------------------------------------------------------------------
2023年3月7日 米国、国家サイバーセキュリティ戦略の発表を受け各セクターが反応
米国で3月2日に発表された国家サイバーセキュリティ戦略を受け、各セクターから様々な反応が見られた。
米国運輸保安局(TSA)は、航空事業者向けの新しいサイバーセキュリティ規制を発表した。TSAの管轄する航空事業者は、サイバーレジリエンス体制の改善や不正アクセス対策向上などについての実装計画の作成が求められる。
また、環境保護局(EPA)は、水道システムの定期監査項目にサイバーセキュリティを含める必要があるという解釈を示した覚書と関連する評価ガイダンス資料を公表した。この他にも、保健社会福祉省(HHS)らが、医療セクターのサイバーセキュリティ対策をNISTサイバーセキュリティフレームワークに則して実装するためのガイドを公開している。
https://www.tsa.gov/news/press/releases/2023/03/07/tsa-issues-new-cybersecurity-requirements-airport-and-aircraft
https://www.epa.gov/waterriskassessment/epa-cybersecurity-water-sector
https://healthsectorcouncil.org/hph-sector-cybersecurity-framework-implementation-guide-health-industry-and-hhs-joint-publication/
2023年3月7日 米国超党派議員連盟、外国製技術によるセキュリティ脅威を阻止する法案を提出
米国上院に所属する12名の議員によるの超党派議員連盟は、「情報通信技術を危険にさらすセキュリティ脅威の発生を抑制する法(RESTRICT法)」を提出した。
外国製技術が国家安全保障上の脅威をもたらす場合に、それらが米国内市場に投入されることを体系的に阻止できるプロセスを開始する法案となっている。
法案を提出した超党派議員たちは「中国共産党の指示に従う企業に、TikTokなどを介して人口の3分の1のデータを収集させるべきではない」「国家安全保障を守るためには戦略的もしくは永続的なメカニズムが必要である」と主張している。
https://www.warner.senate.gov/public/index.cfm/pressreleases?id=A60981F5-0DB9-45E9-BF96-150C22E45B61
2023年3月8日 英国、GDPRのデータ保護要件を緩和する計画を発表
英国政府は、EU一般データ保護規則(GDPR)のデータ保護要件を独自に緩和する計画を発表した。英国内の必要性と習慣に適した調整を行うことを目的としたもの。「正当な利益」のために使用される個人データの処理に関する要件を軽減し、アルゴリズムを利用した意思決定の使用に関する規則を明確にする方針。公共の利益に資する科学的研究のために個人データがデータ主体から直接収集された場合などに管理者の通知義務が免除される予定。
政府は、改正案を採用した場合に今後10年間で40億ポンド(約6,500億円)以上のコンプライアンスコストが節約されると試算している。
一方で、プライバシー権の弱体化や監視強化への懸念も伝えられており、一部テクノロジー企業からも重複規制によるコスト増への批判があるにつながるなど様々な意見が述べられている。
国際プライバシー専門家協会(IAPP)は、GDPRに準拠済みの組織が新たな対応を求められる可能性は低いという見解を示している。
https://bills.parliament.uk/bills/3430
https://www.gov.uk/government/news/british-businesses-to-save-billions-under-new-uk-version-of-gdpr
https://iapp.org/news/a/top-ten-takeaways-from-the-draft-uk-gdpr-reform/
2023年3月8日 米国オンライン健康保険市場、米議会議員の情報を含む顧客データ侵害を確認
ワシントンDCのオンライン健康保険マーケット「DC Health Link」でデータ侵害が発生し、両主要政党の議員や関係者の個人情報に漏えいの可能性があると確認された。
DC Health Linkは、約1万1千人の議員とその関係者を含む10万人近くの顧客にサービスを提供している。特に共和党は2010年に施行された医療費負担適正化法をうけて、議員と個人事務所の職員に対してワシントンのマーケットを通じて健康保険に加入することを義務付けていた。
捜査当局によると、被害の原因や規模などの詳細は調査中だが、数百人の議員や従業員を特定可能な個人情報が含まれている可能性があるという。捜査官がダークウェブ上のサイトで盗難データの購入に成功したと明かしている。
https://www.nbcnews.com/politics/congress/data-breach-hits-lawmakers-staff-capitol-hill-rcna74061
https://www.databreachtoday.com/hackers-sell-us-lawmaker-data-stolen-from-insurance-market-a-21399
2023年3月9日 欧州議会、欧州デジタルIDのルールを改善
欧州議会は、European Digital Identity(eID)に関係するルールの改善を目指し、将来的に公共サービスへのアクセスやオンライン取引が容易になるとの見通しを発表した。
新しいルールの下では、eIDによって各国の電子IDスキームで国境を越えた相互認証が可能になる予定。これによりEU市民は商用プロバイダーに頼ることなくオンラインで身元確認と認証を完了できるようになる。また、eIDカードを使用することでEU圏内の他の国のオンラインサービスにアクセスすることも可能となる。
eIDの利用が予定されている行政サービスとしては、出生証明や転居などの公共サービス、納税申告書の提出、銀行口座の開設、処方箋の管理、運転免許証としての利用、宿泊施設へのチェックインなどが挙げられている。
欧州委員会は、2021年にeIDASフレームワークに基づく提案を提出し、2030年までに少なくとも80%の市民がeIDで主要な公共サービスに国境を越えてアクセスできるようにすることを目指している。3月中旬の本会議で欧州議会が更新案を採択するとみられている。
https://www.europarl.europa.eu/news/en/headlines/society/20230302STO76818/european-digital-identity-easy-online-access-to-key-services
----------------------------------------------------------------------
【4】3月のM&A/IPO情報詳細
----------------------------------------------------------------------
2023年3月2日 Hewlett Packard Enterprise、イスラエルのセキュリティスタートアップAxisSecurityを5億ドル(約680億円)で買収
2023年3月3日 韓国の投資会社EQTグループ、セキュリティコンサルティングファームSK Shieldusを買収
2023年3月9日 イスラエルの投資銀行サービスA-Labs、HUB Cybersecurityへ2千万ドル(約27億円)のPIPE投資を確約
2023年3月9日 カナダCalian Group、米国衛星通信事業者「ハワイパシフィックテレポート」を最大6,200万カナダドル(約61億円)で買収