----------------------------------------------------------------------
レポート「企業が生成 AI の奔流を乗り越えるためのアジャイルリスク管理」（5/23配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICレポート「企業が生成 AI の奔流を乗り越えるためのアジャイルリスク管理」
・英国NCSC、サイバー攻撃の報告に関する誤解に警鐘
・台湾、個人資料保護法の改正を承認
・米国司法省、重要インフラに対するランサムウェア攻撃に関わったサイバー犯罪者を起訴
・仏CNIL、プライバシーに配慮した生成AIシステムに関する行動計画を公表
・米国FTC、データを不正開示した不妊治療アプリの開発会社に罰金制裁

----------------------------------------------------------------------
【2】JCICレポート「企業が生成 AI の奔流を乗り越えるためのアジャイルリスク管理」
----------------------------------------------------------------------
今回のレポートでは、企業が「生成AIとどう向き合うか」という命題に対して、氾濫する情報の中でより良い方針を決定するためのリスク分析手法を提案する。
急速に変化する対象のリスク管理に適したアジャイル・ガバナンスの考え方に基づき、企業リスクの視点から生成AIリスクの全体像を整理し、管理を実践するための手法を論じる。

全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1a

----------------------------------------------------------------------
【3】海外政策動向一覧
----------------------------------------------------------------------
2023年5月11日 英国NCSC、サイバー攻撃の報告に関する誤解に警鐘
英国国家サイバーセキュリティセンター（NCSC）および英国データ保護機関（ICO）は、組織がサイバー攻撃被害を報告することを妨げる可能性がある6つの誤解を特定し、それらを払拭する取り組みを始めている。背景には特にランサムウェア攻撃が増加する中で、インシデントが十分に報告されていない現状がある。
NCSCらは、被害者からインシデントが適切に報告されないことで、組織がインシデントから学び、将来の攻撃を防ぐ機会が奪われることを懸念している。当局に対してオープンに対応することで専門家から支援や助言を受けることが可能であり、規制に沿った対応を検討する際にも好意的に考慮されると説明している。
NCSCとICOが特定した、サイバー攻撃被害を受けた組織が共通して抱いている6つの「誤解」の詳細は次の通り。
1. 攻撃を隠蔽すれば大丈夫
2. 当局に通報すると、事件が公になる可能性が高くなる
3. 身代金を支払えば事件は解決する
4. 十分なオフラインバックアップがあるので、身代金を支払う必要はない
5. データ盗難の証拠がない場合は、ICOに報告する必要はない
6. データが漏洩した場合にのみ罰金が科される
https://www.ncsc.gov.uk/news/experts-challenge-myths-around-reporting-cyber-attacks-in-bid-to-help-break-cycle-of-crime
https://www.ncsc.gov.uk/blog-post/why-more-transparency-around-cyber-attacks-is-a-good-thing-for-everyone

2023年5月13日 台湾、個人資料保護法の改正を承認
台湾立法院は、規定に違反した民間企業に対する罰金制度を改正する「個人資料保護法」の修正草案を承認した。今回の罰則および罰金額改正の背景には、安全・安心義務違反に対する罰則が低すぎるという世論への対応がある。
現行法では、違反者は最大で5年以下の懲役および100万台湾ドル（約450万円）以下の罰金に処される。新しい罰金制度では、違反の重大性に応じて罰金額が決定され、最大額は200万台湾ドル（約900万円）まで引き上げられる。さらに、所定の期間内に不備を是正しない違反者にはより厳しい罰則が課され、深刻な違反の場合には最大1,500万台湾ドル（約6,700万円）の罰金が科されることになる。
また、同法の所轄官庁は独立した監督機構である個人情報保護委員会となることが明記された。
https://www.ndc.gov.tw/nc_27_36901
https://news.ltn.com.tw/news/politics/breakingnews/4302756

2023年5月16日 米国司法省、重要インフラに対するランサムウェア攻撃に関わったサイバー犯罪者を起訴
米国司法省は、LockBit、Babuk、Hiveという3つのグループのランサムウェア犯罪に共謀した罪でロシア人の男を起訴した。男は「Wazawaka」や「Boriselcin」と名乗り活動していた。世界中の法執行機関、政府機関、病院、学校などが被害に遭っており、3つのグループによる身代金の要求総額は4億ドル（約550億円）に達するとされる。
FBIサイバー部門副長官は、今後も民間部門や国際パートナーとの連携を通じてサイバー攻撃者にコストを課し続け、米国民に対するサイバー犯罪行為を容認しないと述べている。本件の捜査にあたってはユーロポールなどと並び、日本の警察庁からも情報提供が行われたとして司法省からの謝辞が記載されている。
https://www.justice.gov/opa/pr/russian-national-charged-ransomware-attacks-against-critical-infrastructure

2023年5月16日 仏CNIL、プライバシーに配慮した生成AIシステムに関する行動計画を公表
フランス共和国データ保護機関（CNIL）は、個人のプライバシー保護を目的に生成AIシステムに関する4つの行動計画を公表した。
生成AI技術を利用したチャットツール「ChatGPT」や画像生成ツール「DALL-E」など、様々な領域で急速に拡大している生成AIの開発や規制の指針を示すことが目的。
生成AIの訓練と使用に関する明確なルールが必要であるとし、以下の原則を挙げている。
・AIシステムの機能とその機能が人に与える影響を理解する
・プライバシーに配慮したAIの開発を可能にし、指導する
・フランスとヨーロッパのAIエコシステムの革新的な利用者を政府がサポートする
・AIシステムを監査および制御し、人々を保護する
https://www.cnil.fr/en/artificial-intelligence-action-plan-cnil

2023年5月17日 米国FTC、データを不正開示した不妊治療アプリの開発会社に罰金制裁
米国の連邦取引委員会（FTC）は、健康違反通知規則（HBNR）に違反したとして、不妊治療アプリ「Premom」を運営するEasy Healthcare Corporationに10万ドル（約138万円）の罰金を科した。
FTCによると、利用者に無許可で中国の2つの企業を含む第三者と個人情報を共有したほか、米国の2企業には健康データを連携していたという。また、広告目的で健康データを共有することに伴うプライバシーとデータセキュリティのリスクに対処するための措置を講じなかったと指摘されている。
また、司法省が利用者の健康データを広告目的で第三者と共有することを禁じる命令案を提出しており、承認された場合は個人情報がどのように使用されるかを事前に通知する必要がある。
https://www.ftc.gov/news-events/news/press-releases/2023/05/ovulation-tracking-app-premom-will-be-barred-sharing-health-data-advertising-under-proposed-ftc
https://www.ftc.gov/system/files/ftc_gov/pdf/2023186easyhealthcarestipulatedorder.pdf

----------------------------------------------------------------------
【4】5月のM&A/IPO情報詳細
----------------------------------------------------------------------
2023年5月10日 アイルランドのセキュリティ企業Integrity360、スウェーデンのNetsecureを買収
2023年5月11日 ベンチャーキャピタルのCrosspoint Capital、カナダのAbsolute Softwareを8.7億ドル（約1168億円）で買収
2023年5月16日 IBM、イスラエルのデータセキュリティ体制管理 （DSPM）サービス企業Polar Securityを買収