----------------------------------------------------------------------
欧州ENISA、NIS指令に関連する2023年版の投資報告書を発行（11/28配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・欧州ENISA、NIS指令に関連する2023年版の投資報告書を発行
・韓国個人情報保護委員会、「韓国個人情報保護法施行令の改正案」を立法予告
・ユーロポール、ウクライナ戦争の犯罪捜査を支援するOSINTタスクフォースを設置
・英国NCSC、北朝鮮の国営サイバー攻撃者によるソフトウェアサプライチェーンへの攻撃を警告

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2023年11月16日 欧州ENISA、NIS指令に関連する2023年版の投資報告書を発行
欧州ENISAは、NIS指令に関連する2023年版の投資報告書を発行した。
この報告書は、政策立案者に既存のEUサイバーセキュリティ枠組みの有効性を評価するための証拠を提供することを目的としている。特に、ネットワークと情報のセキュリティに関する欧州連合の指令で重要なサービスの事業者（OES）とデジタル サービス プロバイダー（DSP）がどのように特定されているかに関するデータを通じて、NIS指令によるサイバーセキュリティ予算への投資と、NIS指令が投資にどのような影響を与えたかを説明する。
2022年の主要なサイバーインシデントのコストは2021年と比較して25%増加しているが、NIS指令の範囲内でEU事業者がサイバーセキュリティに充てるIT予算が0.4%しか増加していないことがが明らかとなった。
https://www.enisa.europa.eu/news/cybersecurity-investment-spotlight-on-vulnerability-management
https://www.enisa.europa.eu/publications/nis-investments-2023

2023年11月21日 韓国個人情報保護委員会、「韓国個人情報保護法施行令の改正案」を立法予告
韓国個人情報保護委員会（PIPC）は、「韓国個人情報保護法施行令の改正案」の立法予告を行った。2024年3月15日に施行となる予定の「改正個人情報保護法」の一部条項の基準と手続きの準備を行うための後続措置にあたる。
「完全に自動化されたシステム」で個人情報を処理する場合にも情報主体の拒否・説明等を要求する権利などが保障されるように規定される。個人情報保護責任者（CPO）の資格要件の規定により専門性が強化されるほか、独立性を確保するための遵守事項や規定される。公共機関で使用される個人情報の保護水準を評価するための法的根拠と手続きが確立される。
また、損害賠償の保障の義務対象が情報通信サービス提供者等から個人情報処理者に変更されたことに伴う、 損害賠償責任保障のための保険加入と準備金積立などの義務対象基準の調整や、義務が免除される公共機関や中小企業で個人情報処理を委託した者などに対する基準が設けられた。立法は11月23日から2024年1月2日の間に行われる予定。
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=9553

2023年11月21日 ユーロポール、ウクライナ戦争の犯罪捜査を支援するOSINTタスクフォースを設置
欧州警察機構（ユーロポール）は、ウクライナ戦争の犯罪捜査を支援するOSINTタスクフォースの設置を発表した。
ユーローポールは、2022年2月のロシア軍によるウクライナ侵攻後、インターネットとソーシャルメディアの重要性が高まったとし、新しく設立されたタスクフォース（TF）は、OSINTの収集と分析を通じてウクライナで行われた戦争犯罪に関する捜査、容疑者とその関与の特定などを担う。オランダ警察とドイツ連邦刑事警察の国際犯罪部門が主導し、ユーロポールのプロジェクト（AP CIC）が支援する。
ウクライナやその他の国、国際刑事裁判所からの要請を支援するために、これまでに14カ国*がOSINT TFへの専門能力の割り当てに同意しているほか、今後は非加盟国やNGO、民間企業などに協力を求めることもある。
*ベルギー、フランス、ドイツ、アイルランド、イタリア、リトアニア、オランダ、ポルトガル、スロバキア、スロベニア、スペイン、ノルウェー、英国、米国
https://www.europol.europa.eu/media-press/newsroom/news/europol-sets-osint-taskforce-to-support-investigations-war-crimes-committed-in-ukraine
https://www.europol.europa.eu/crime-areas/genocide-crimes-against-humanity-and-war-crimes

2023年11月23日 英国NCSC、北朝鮮の国営サイバー攻撃者によるソフトウェアサプライチェーンへの攻撃を警告
英国の国家サイバーセキュリティセンター（NCSC）は、韓国の韓国国家情報院（NIS）と共同で、北朝鮮の国営サイバー攻撃者がサードパーティ製ソフトウェアのゼロデイ脆弱性や悪用を利用してソフトウェアサプライチェーンへ攻撃を行っていることを警告した。NCSCとNISは、これらのサプライチェーン攻撃が収益創出、スパイ行為、先端技術の窃盗など、北朝鮮国家のより広範な優先事項を達成するのに大きく貢献するとの考えを示している。
今回の共同勧告は、英国と韓国の間の新たな戦略的サイバーパートナーシップの発表に続き、英国と韓国の間で共通のサイバー脅威に対処するために協力することを約束する新協定の一環として署名された。勧告の内容は以下の3点についてまとめられている。
(1)ソフトウェアサプライチェーン攻撃を実行する北朝鮮国営サイバー攻撃者が使用する手法と戦術を説明する
(2)英国の国家サイバーセキュリティセンターと韓国の国家情報院は、このような攻撃は巧妙かつ量が増えていると警告する
(3)組織は、システムやデータが侵害される可能性を減らすためにセキュリティ対策を講じることが推奨される
https://www.ncsc.gov.uk/news/uk-republic-of-korea-issue-warning-dprk-state-linked-cyber-actors-attacking-software-supply-chains
https://eng.nis.go.kr/ECM/1_3_1_1.do?seq=83¤tPage=1

----------------------------------------------------------------------
【3】11月のM&A/IPO情報詳細
----------------------------------------------------------------------
2023年11月2日 アクセンチュア、スペインの大手サイバーセキュリティ企業Innotec Securityを買収
2023年11月14日 スイスのサイバーセキュリティ企業Boltonshield AG、同国のscanmeterを買収
2023年11月16日 SonicWall、Solutions Granted買収で米国向けのマネージドサービスを拡充
2023年11月16日 米国Yuengling’s Ice Cream、中小企業向けセキュリティサービスのReachOut Technologyを買収