Loading...
----------------------------------------------------------------------
インド、データ保護法が成立(8/29配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国国家サイバー局長官など、オープンソースソフトウェアのセキュリティなどに関する情報提供要請書を公開
・インド、データ保護法が成立
・米国CISA、官民共同の遠隔サイバー監視・管理システムの計画を発表
・米国保健福祉省、デジタル医療インフラを保護するプロジェクトを開始
・韓国個人情報保護委員会など、データポータビリティのための「国家マイデータ革新推進戦略」を展開
・IT協会Digital Days 2023 アーカイブ配信のお知らせ
----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2023年8月10日 米国国家サイバー局長官など、オープンソースソフトウェアのセキュリティなどに関する情報提供要請書を公開
国家サイバー局長室(ONCD)は、CISA、全米科学財団、DARPA、行政管理予算局(OMB)と連携し、オープンソースソフトウェアのセキュリティとメモリセーフなプログラミング言語に関する情報提供要請書(RFI)を公表した。
バイデン政権は、重要インフラや連邦政府全体にわたり重要な役割を果たすオープンソースソフトウェアの安全が国家優先事項との立場を示している。
「国家サイバーセキュリティ戦略」とその実施計画に基づいて設立された「オープンソース・ソフトウェア・セキュリティ・イニシアチブ(OS3I)」は、メモリセーフでないプログラミング言語の拡散を減らし、安全でプライバシーを保護可能なセキュリティ認証の実装などを重点事項としており、意見募集によって官民の課題や知見を広く吸い上げるがある。意見募集の具体的な項目としては、潜在的な重点分野と優先度合い、必要予算と実施時期、時間の制約、政府が考慮すべき技術的・政策・経済的課題などが挙げられている。
https://www.whitehouse.gov/oncd/briefing-room/2023/08/10/fact-sheet-office-of-the-national-cyber-director-requests-public-comment-on-open-source-software-security-and-memory-safe-programming-languages/
https://www.whitehouse.gov/wp-content/uploads/2023/08/OS3I-RFI-Embargoed-Until-08102023-0500EST.pdf
2023年8月11日 インド、データ保護法が成立
インドでは同国初となるデータ保護法(DPDP)を成立させた。ただし発効日は現在未定となっている。
DPDPは、インド国内における個人データの処理、および、インド国内での商品・サービス提供を目的として海外でなされる個人データの処理を対象とする。オフラインで収集されたデータは、後にデジタル化された場合に対象となる。
個人データ処理にはデータ主体の事前の同意が必須だが、中央政府に対しては適用が免除される場合がある。保存期間の制限についても同様。また、個人データのインド国外への移転は、中央政府が制限した国以外に対して許可される。
データ保護法の成立にあわせ、データ保護委員会(DPB)の設立が要求されている。規定違反の裁定などを行う予定で、違反が2件以上発生したプラットフォームはDPBと中央政府による制限が加えられる可能性がある。
また、罰金としてデータ漏洩に対しては最高で25億ルピー(約44億円)、データ主体の義務違反に対しては最高約1万ルピー(約2万円弱)が科される。
https://pib.gov.in/PressReleasePage.aspx?PRID=1947264
https://prsindia.org/billtrack/digital-personal-data-protection-bill-2023
https://egazette.gov.in/WriteReadData/2023/248045.pdf
2023年8月16日 米国CISA、官民共同の遠隔サイバー監視・管理システムの計画を発表
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2023年度計画の一環として、産業界と政府のパートナーによる共同サイバー防衛協力(JCDC)を通じて開発した初の計画「遠隔監視および管理(RMM)のためのサイバー防御計画」を発表した。JDCCは、CISAが2021年国防権限法で議会によって付与された新たな権限に従い2021年8月にJCDCを設立した協調の枠組みで、従来の官民パートナーシップをリアルタイムの官民連携運営に変革する狙いがある。
今回のRMMサイバー防御計画は、運用における協力とサイバー防御ガイダンスという2つの基本事項に基づいて構築されており、次の4つの取り組みが含まれている。
1. サイバー脅威および脆弱性情報の共有
米国政府とRMMエコシステム関係者の間でのサイバー脅威および脆弱性情報の共有を拡大する
2. 永続的なRMM運用コミュニティ
大規模なセキュリティへの取り組みを成熟させ続ける永続的なRMM運用コミュニティのための仕組みを実装する
3. エンドユーザー教育
強力なベストプラクティスの採用を促進するためのエンドユーザー教育とサイバーセキュリティガイダンスを開発・改善する
CISA、省庁間パートナー、およびその他のRMMエコシステム関係者による共同の取り組みとして進める
4. 増幅
利用可能な通信回線を活用して、RMMエコシステム内で関連する勧告やアラートを増幅する
https://www.cisa.gov/news-events/news/cisa-publishes-jcdc-remote-monitoring-and-management-systems-cyber-defense-plan
2023年8月17日 米国保健福祉省、デジタル医療インフラを保護するプロジェクトを開始
米国保健福祉省(HHS)の研究支援機関である保健高等研究計画局(Arpa-H)は、米国の医療システムの電子インフラストラクチャを保護する目的でデジタルヘルスセキュリティ (DIGIHEALS) プロジェクトを開始した。
このプロジェクトでは、特定の研究開発のために外部から提案を依頼する際に利用されるBAA(Broad Agency Announcement)という手続きが用いられる。特に、国家安全保障のために開発された実証済みの技術の提案を募り、それらを民間の医療システム、臨床ケア施設、個人用健康機器に適用する予定があるという。
DIGIHEALSは、最先端のセキュリティプロトコル、脆弱性検出、自動パッチ適用などのテーマを重視し、悪意のある者がデジタルヘルスソフトウェアを攻撃する能力を軽減し、大規模なサイバー攻撃を防止することを目指している。
https://arpa-h.gov/news/digiheals/
2023年8月17日 韓国個人情報保護委員会など、データポータビリティのための「国家マイデータ革新推進戦略」を展開
韓国個人情報保護委員会など、データポータビリティのイニシアチブである「国家マイデータ革新推進戦略」の展開について説明した。同国のデータポータビリティ制度「Myデータ」は、デジタルプラットフォーム政府実現計画の主要課題に位置付けられている。
2024年以降に企業や機関による仕切りを取り除くことでデータを融合し、2027年までに同国のデータ市場規模を20%以上追加成長させることを目指すという。優先度の高い保健医療、福祉、通信、エネルギーなどの10大重点部門から順に導入する。
2025年には、個人情報の転送履歴の確認や、望まない転送の中断、転送データの破棄を要請できる「Myデータ支援プラットフォーム」の構築を実現する計画がある。データの流出防止のためには転送段階別のセキュリティガイドラインを策定し、異なる分野間で安全にデータを連携するための認証体系を設ける予定。さらに、異種分野間のデータ移動・連携を促進するインフラとして、分野別に中継専門機関を指定し、Myデータが市場で持続的に拡散できるように、伝送費用、課金体系を樹立して各種支援策の策定を推進するという。中継専門機関は、伝送要求の管理や情報提供者から受け取ったデータを標準化された形式で受信者に送信する役割などを担う予定。
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=9105
----------------------------------------------------------------------
【3】8月のM&A/IPO情報詳細
----------------------------------------------------------------------
2023年8月16日 ルーマニア Bitdefender、シンガポールに拠点を置くHorangi Cyber Security の買収を完了
2023年8月23日 Thoma Bravo、ForgeRockの買収を23億ドル(約3360億円)で完了し非公開会社化へ