----------------------------------------------------------------------
JCICレポート「我が国の情報/サイバーセキュリティ政策の変遷：組織・戦略編」(7/25配信)
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICレポート「我が国の情報/サイバーセキュリティ政策の変遷：組織・戦略編」
・ENISA、医療分野のサイバー脅威状況に関する初のレポートを発表
・欧州委、米国との新データプライバシーフレームワークの十分性を認定、7月11日より発効
・中国国家インターネット情報弁公室ら、「生成式人工知能サービス管理暫定弁法」を発表
・米国ホワイトハウス、スマートデバイス向けサイバーセキュリティラベル表示プログラムを発表
・米国国土安全保障省、請負業者による非機密情報の取り扱いについて最終規則を公布

--------------------------------------------------------------------------
【2】JCICレポート「我が国の情報/サイバーセキュリティ政策の変遷：組織・戦略編」
---------------------------------------------------------------------------
JCICでは「日本のサイバーセキュリティ政策史」に関するオーラルヒストリーの連載を2022年7月より始めました。同年12月に閣議決定された国家安全保障戦略では、能動的サイバー防御の導入や、NISCを発展的改組しサイバー安全保障分野の政策を一元的に総合調整する新たな組織を設置するなどの方針が示されました。政策の検討に資するべく、連載の聞き手である東海大学三角育生教授が我が国のサイバー/情報セキュリティに関する戦略及びそれらの策定・推進組織と根拠を概観します。

全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html

----------------------------------------------------------------------
【3】海外政策動向一覧
----------------------------------------------------------------------
2023年7月5日 ENISA、医療分野のサイバー脅威状況に関する初のレポートを発表
欧州連合サイバーセキュリティ庁（ENISA）は、医療分野のサイバー脅威状況に関する初のレポートを発表した。このレポートでは、2021年1月から2023年3月までのサイバーインシデントを調査することで、医療分野を取り巻く現状に新たな洞察をもたらすことを目的としている。また、過去1年間にわたる医療機関を標的としたサイバー攻撃を分析し、主な脅威、攻撃者、影響、傾向を明らかにしている。
欧州の医療部門でのインシデントの内訳は、医療提供者への攻撃がインシデント全体の53%を占め、特に病院が矢面に立たされており、インシデントの42%が報告された。保健当局、団体、政府機関（14%）、製薬業界（9%）も標的にされていた。また、ランサムウェアは、医療分野における主要な脅威の 1つでインシデント全体の54%を占め、調査対象となった医療分野の組織のうち、専用のランサムウェア防御プログラムを導入しているのは27%にとどまった。
https://www.enisa.europa.eu/news/checking-up-on-health-ransomware-accounts-for-54-of-cybersecurity-threats
https://www.enisa.europa.eu/publications/health-threat-landscape

2023年7月10日 欧州委、米国との新データプライバシーフレームワークの十分性を認定、7月11日より発効
欧州委員会は、米国との間に新たなデータプライバシーフレームワークの十分性を認定した。米国当局が7月3日に最終化した「新たなデータプライバシーの枠組み（新DPF）」を、欧州委が認定した形。新DPFは、米国大統領令（EO.14086）に基づく形で作成されており、欧州委はデータ保護審査裁判所（DPRC）の設置などにより米国の諜報機関による域内の個人データへのアクセスを必要かつ適切なものに制限し、拘束力のある救済措置が導入されていると評価。新DPFは米国に移転される個人データに対して欧州経済領域（EEA）と同等の保護レベルを提供するものであると結論付け、7月11日に発効した。
今後、新DPFに違反してデータ収集されたと米国のDPRCが判断した場合は、当該組織にデータの削除を命じることができる。EUの個人が米国組織により不当にデータが取り扱われたと判断した場合には、無償の解決支援制度や仲裁パネルを利用できる。
新DPFは、この枠組みに参加している米国組織へのデータ移転を対象としている。米国の組織はプライバシーの保護義務を遵守することで参加可能となる。
https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721
https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752
https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en
https://www.dataprivacyframework.gov/s/data-protection-authorities

2023年7月13日 中国国家インターネット情報弁公室ら、「生成式人工知能サービス管理暫定弁法」を発表
中国国家インターネット情報弁公室（CAC）、科学技術部、工業情報化部、公安部など7部門は、生成AIサービスの管理に関する暫定的な行政法規「生成式人工知能サービス管理暫定弁法」を発表した。8月15日より施行される予定。
この弁法は、生成AIのサービス提供・使用、訓練データやデータラベリング要件などを明確化するもの。中国国民に対してコンテンツ（テキスト、画像、音声、映像など）を生成するAI技術を開発・応用・提供する組織に適用される。また、「インターネット情報サービス深層生成管理規定」（2023年1月10日施行）に基づき、生成されたコンテンツへのマーク付け、違法コンテンツの適時処分、セキュリティ評価やアルゴリズムの提出に関する法的責任も定義した。
要件の概要は次の通り：
1. 生成AIサービスの提供・利用にあたっては社会主義の核心価値観を堅持すること
2. アルゴリズム設計、学習データ選択、モデル生成・最適化、サービス提供の各過程において社会にもたらされ得る悪影響を抑制するための効果的な措置を講じること（例：学習データに存在する差別的なコンテンツ、アルゴリズムが特定の特徴値を好むこと、アノテーション担当者の主観的判断などの要因を排除）
3. 知的財産権と他者の正当な権利と利益の尊重
4. 生成AIサービスの透明性を高め、生成されたコンテンツの真正性を保証すること
http://www.cac.gov.cn/2023-07/13/c_1690898326795531.htm
http://www.cac.gov.cn/2023-07/13/c_1690898327029107.htm
http://www.cac.gov.cn/2023-07/13/c_1690898326863363.htm
http://www.cac.gov.cn/2023-07/13/c_1690898363806525.htm

2023年7月18日 米国ホワイトハウス、スマートデバイス向けサイバーセキュリティラベル表示プログラムを発表
米国ホワイトハウスは、米国民が安全でサイバー攻撃に対して脆弱性を持たないスマートデバイスをより簡単に選択できるように目的で、サイバーセキュリティ認証・セキュリティラベル表示プログラムを発表した。
提案された「サイバートラストマーク」プログラムは、スマート冷蔵庫、スマート電子レンジ、スマートテレビ、スマート空調システム、スマートフィットネストラッカーなどを含む消費者向けデバイス全体のサイバーセキュリティの水準を引き上げることが狙い。Amazon、Best Buy、Google、LG Electronics USA、Logitech、Samsung Electronicsなどのデバイスメーカー、小売業者らがプログラムの支持を表明し、推進の取り組みを発表している。
無線通信機器の規制を所掌する連邦通信委員会（FCC）は、プログラムについてのパブリックコメントを募集し、2024年までに実施したいとの考えを示している。
https://www.whitehouse.gov/briefing-room/statements-releases/2023/07/18/biden-harris-administration-announces-cybersecurity-labeling-program-for-smart-devices-to-protect-american-consumers/
https://docs.fcc.gov/public/attachments/DOC-395185A1.pdf

2023年7月21日 米国国土安全保障省、請負業者による非機密情報の取り扱いについて最終規則を公布
米国国土安全保障省（DHS）は、請負業者による非機密情報の取り扱いについての最終規則を公布した。7月21日付けで発効。
連邦政府の請負業者による非機密管理情報（CUI）の取り扱い規則を改訂し、国土安全保障省調達規則（HSAR）に新たに2つの条項を追加した。CUIは「政府が、或いは企業が政府のために、作成または保有する、機密情報を除く情報」と定義される。
同規則では以下の要件を含む対応が新たに義務付けられた。
・請負業者従業員のCUIへのアクセス制限、セキュリティスクリーニングおよび訓練
・CUIインシデントの発生後8時間以内の報告　個人を特定できる情報（PII）または機密PII（SPII）インシデントの場合は発生後1時間以内の報告
・PII/SPIIインシデント発生から5営業日以内の影響を受けた個人に対する通知、および請負業者による信用モニタリングなどのサービス提供
https://www.federalregister.gov/documents/2023/06/21/2023-11270/homeland-security-acquisition-regulation-safeguarding-of-controlled-unclassified-information
https://www.jdsupra.com/legalnews/dhs-issues-final-rule-regulating-1855344/

----------------------------------------------------------------------
【3】6月のM&A/IPO情報詳細
----------------------------------------------------------------------
2023年7月6日 アラブ首長国連邦（UAE）の防衛企業EDGE Group、同国のサイバーセキュリティ企業OryxLabsを買収
2023年7月5日 ドイツのIT企業Bechtle、フランスのサイバーセキュリティ企業Apixitを買収 仏当局の承認待ち
2023年7月5日 米医療系サイバーセキュリティ企業のAnatomy IT、MarsdenAdvisors社の米国向けメディケア事業部門を買収
2023年7月10日 米大手Honeywell、イスラエルのOTサイバーセキュリティ企業SCADAfenceを買収
2023年7月10日 TPG、Forcepointの政府・重要インフラ関連の国際部門を24.5億ドル（約3,386億円）で買収する計画を発表
2023年7月19日 CISO Global、米国の諜報機関・特殊作戦コミュニティのメンバーが設立したSB Cyberを買収