Loading...
Loading...
----------------------------------------------------------------------
韓国国務院、個人情報保護法施行令の改正を承認(9/12配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国CISAら、ウクライナ軍関係者の携帯端末を標的としたロシアのマルウェア攻撃について報告
・韓国国務院、個人情報保護法施行令の改正を承認 9月15日より一部施行
・米国CISA、K-12向け教育ソフトウェアメーカーとのセキュア・バイ・デザイン誓約を発表
・中国CAC、学術データベースサービスを個人情報保護法違反で行政処分
・CODE BLUE (11月8・9日開催)に関するご案内
----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2023年8月31日 米国CISAら、ウクライナ軍関係者の携帯端末を標的としたロシアのマルウェア攻撃について報告
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、同国の連邦捜査局(FBI)と国家安全保障局(NSA)およびオーストラリア、カナダ、英国、ニュージーランドの各機関と共同でロシアのサイバー攻撃者がウクライナ軍に対して行ったマルウェアキャンペーンに関する報告書を発表した。ウクライナ軍関係者が使用するAndroidデバイスを標的とした新種のマルウェア「Infamous Chisel」の技術的詳細について記載されている。
Infamous Chiselは、侵害されたデバイスに対してファイルスキャンやトラフィック監視などを行い、機密情報を定期的に外部送信するように設計されている。このキャンペーンは今月初めにウクライナの治安機関SBUによって報告されたもので、ロシア軍情報総局GRUを背景とする脅威アクターSandwormによるものと分析されている。
https://www.cisa.gov/news-events/news/us-and-international-partners-release-report-russian-cyber-actors-using-infamous-chisel-malware
https://www.cisa.gov/news-events/analysis-reports/ar23-243a
2023年9月5日 韓国国務院、個人情報保護法施行令の改正を承認 9月15日より一部施行
韓国国務院は同国の個人情報保護法施行令の改正を承認し、9月15日より一部施行することを発表した。
一部施行される「個人情報保護法およびその改正施行令」には、様々な分野にわたる個人情報処理基準を統一する規則が盛り込まれている。個人情報の処理過程で遵守すべき事項に多くの変化が予想されることから、韓国個人情報保護委員会は改正事項を入念に確認するよう注意喚起した。
改正施行令による主な変更点は以下の通り。なお、個人情報の転送要求などの事項は、10月から段階的に立法予告が行われる予定。
1. 公共安全や緊急救助時も情報主体である国民の権利を原則保障
2. 映像およびオン/オフラインの情報処理をデジタル基準に一元化(「同一行為同一規制原則」)
3. 主要公共システム運営機関などにおける個人情報処理の安全性確保措置
4. 個人情報の国外移転と課徴金制度に国際基準を反映(違反に関連した事業の売上から全体売上に基準を変更。中小向けには分割納付を考慮)
デジタル基準への一元化について、デジタル基準では(1)個人情報の利用・提供内容の通知、(2)14歳未満の個人情報の収集、(3)個人情報の流出などの申告・通知、(4)安全措置基準、(5)制裁 の5点が定められている。今回の施行令では、ドローンや自律走行車など移動型映像情報処理機器を通じて業務目的の映像撮影をする際、撮影事実を十分に知らせた場合(案内板、音声などによる告知)には、情報主体が拒否の意思を示さない限り撮影可能とする例が示された。
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=9145
2023年9月5日 米国CISA、K-12向け教育ソフトウェアメーカーとのセキュア・バイ・デザイン誓約を発表
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、年長から高校卒業までの12年間の教育課程(K-12)向けの教育ソフトウェアメーカーとのセキュア・バイ・デザイン誓約を発表した。今回結ばれた誓約は、K-12教育ソフトウェアメーカーがより高いセキュリティを組み込んだ製品の設計を約束する自発的なもの。CISAは、9月1日時点で米国のK-12教育ソフトウェアの最大手プロバイダーを含む6社(PowerSchool、Classlink、Clever、GG4L、Instructure、D2Lなど)から誓約書を受け取ったという。
誓約書に署名した企業は、次の3つの原則を採用することへ公的に同意したことになる。
1. 顧客のセキュリティの成果に責任を持つ
追加料金なしでシングル・サイン・オン(SSO)機能を提供する、追加料金なしでセキュリティ監査ログ取得機能を学校側に提供する
2. 徹底的な透明性と説明責任を受け入れる
セキュア・バイ・デザインのロードマップを公開する、脆弱性開示ポリシーを発行する、脆弱性情報の透明性を重視する、セキュリティ関連の統計と傾向を公開する
3.安全なテクノロジーを企業のリーダーシップの重要な優先事項としてトップから主導する
セキュリティ担当のトップビジネスリーダー(CTOやCISOではない)を公に指名する
https://www.cisa.gov/news-events/news/cisa-announces-secure-design-pledge-k-12-education-technology-providers
https://www.cisa.gov/k-12-education-technology-secure-design-pledge
2023年9月6日 中国CAC、学術データベースサービスを個人情報保護法違反で行政処分
中国サイバースペース管理局(CAC)は、学術データベースプロバイダーの中国国家知識基盤(CNKI)に対し、個人情報を違法に収集・処理したとして5千万元(約10億円)の罰金を科した。処分内容の決定にあたっては「サイバーセキュリティ法」「個人情報保護法」「行政処罰法」などの法令、および持続期間やサイバーセキュリティ審査の状況などが総合的に判断されたという。CNKIは結果を真摯に受け入れるとコメントしている。
2022年半ばから行われたCNKIへの調査結果によると、CNKIの関係会社3社が運営する「知網」「知網閲読」など14種類のアプリは、個人情報の収集と使用に関する規則の開示や表示を行わず、同意を得ないままに必要以上の個人情報を収集していた。また、アカウント解約機能をユーザに提供しておらず、解約後も適時に個人情報を削除していなかった。
http://www.cac.gov.cn/2023-09/06/c_1695654024248502.htm
https://www.reuters.com/article/china-regulation-cnki/update-1-china-cybersecurity-authority-fines-chinese-academic-database-cnki-50-mln-yuan-idINL1N3AI0MD
----------------------------------------------------------------------
【3】9月のM&A/IPO情報詳細
----------------------------------------------------------------------
2023年9月6日 仏THALES、投資顧問THOMA BRAVOからの米IMPERVA買収を36億ドル(5300億円)で完了