Loading...
----------------------------------------------------------------------
コラム「お盆休みに経済安保を身近に感じるおすすめの10冊」(8/6配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICコラム「お盆休みに経済安保を身近に感じるおすすめの10冊」
・米国保健福祉省、テクノロジー・サイバーセキュリティ・データ・人工知能の戦略と政策機能を再編
・韓国個情委、中国系企業に対して個人情報の国外移転規定違反等を理由とする課徴金
・米国Meta社、同意のない顔認識技術の使用についてテキサス州への和解金支払いに合意
・シンガポールCSA、組織のデジタルレジリエンスへの勧告を発表
----------------------------------------------------------------------
【2】JCICコラム:「お盆休みに経済安保を身近に感じるおすすめの10冊」
----------------------------------------------------------------------
有事やグレーゾーン事態、国家レベルの相手による機密情報窃取や事業継続への危機など、民間人には自分事として捉えるための知識や疑似体験はあまりない。そこで、セキュリティ人材の皆さんに役に立つ、経済安保を身近に感じられる本を10冊選んでみた。
全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1c
----------------------------------------------------------------------
【3】海外政策動向一覧
----------------------------------------------------------------------
2024年7月25日 米国保健福祉省、テクノロジー・サイバーセキュリティ・データ・人工知能の戦略と政策機能を再編
米国保健福祉省(HHS)は、テクノロジー・サイバーセキュリティ・データ・人工知能(AI)の戦略および政策機能を合理化し、強化するための組織再編を発表した。
歴史的に、HHSに関連する政策と運営の責任は、国家医療情報技術調整官室 (ONC)、行政次官補(ASA)、および戦略準備対応局 (ASPR)に分散されてきたが、デジタル政策の重要性の高まりを踏まえ次のように再編される。
・ONCは、技術政策担当次官兼医療情報技術国家調整官室 (ASTP/ONC) に改名する。
・テクノロジー・データ・AIのポリシーと戦略の監督は、HHS全体の最高技術責任者・最高データ責任者・最高AI責任者の役割に含められ、ASAからASTPおよびONCに移行する。
・サイバーセキュリティに関する保健分野と連邦政府の官民連携の取り組みはASAからASPRに移行する。ASPRの重要インフラ保護局に存在する保健分野の他のサイバーセキュリティ活動に加わり、保健省の医療サイバーセキュリティに対するワンストップアプローチを推進する。
https://www.hhs.gov/about/news/2024/07/25/hhs-reorganizes-technology-cybersecurity-data-artificial-intelligence-strategy-policy-functions.html
2024年7月25日 韓国個情委、中国系企業に個人情報の国外移転規定違反等を理由とする課徴金
韓国個人情報保護委員会(PIPC)は、個人情報の国外移転に関連する規定違反等を理由として、中国系企業「アリエクスプレス」に対し19億7,800万ウォン(約2億円)の課徴金と過怠料を課すと発表した。韓国個人情報保護法の海外移転に関する規定の違反に基づき課徴金が課される初の事例となった。
本件は、韓国国会国政監査による、国外企業によるサービスの直接利用が韓国国内で急増していることによる個人情報侵害の懸念が大きいという指摘を受け、PIPCが調査を行っていた。アリエクスプレス社は、消費者向けECサイトを運営しており、出店者が購入者に商品を販売する金額の一部を仲介手数料として受け取るモデルを採用していた。調査の結果、商品配送のために18万以上の中国の出店者に対して韓国内の利用者の個人情報が提供されていた。しかし、個人情報保護法に規定される「国外移転先、企業名、連絡先」などが告知されていないなど必要な措置が実施されていなかったほか、会員脱退手続が容易なものでないことなど複数の問題が確認されたという。
これを受け、個人情報の国外移転に対する利用者の同意、国内代理人の公開、個人情報処理方針の改正といった利用者による権利行使の是正が同企業に命じられた。
https://www.gov.kr/portal/ntnadmNews/3966050
2024年7月30日 米国Meta社、同意のない顔認識技術の使用についてテキサス州への和解金支払いに合意
米国Meta社は、利用者による同意がない顔認識技術の使用についてテキサス州へ14億米ドル(約2,250億円)の和解金を支払いに合意した。
テキサス州は、Facebookで使用されていた顔認識技術「タグサジェスト(2021年に廃止)」は、州民の同意を得ることなく約10年間にわたり、同プラットフォームにアップロードされた写真や動画から生体識別情報を自動で収集していたとして、テキサス州法違反であるとして同社を提訴していた。同法の規定では、違反1件につき最高25千米ドル(約375万円)の損害賠償が定められている。
今回の和解金は、各規制当局がMeta社に課した罰則としては最大級となる。最初の支払いの5億米ドル(約7,500万円)の後は、2025年~2028年にかけて毎年2億2500万米ドル(約338億円)ずつ支払われる予定。
https://www.texasattorneygeneral.gov/news/releases/attorney-general-ken-paxton-secures-14-billion-settlement-meta-over-its-unauthorized-capture
https://www.texasattorneygeneral.gov/sites/default/files/images/press/Final%20State%20of%20Texas%20v%20Meta%20Order%202024.pdf
https://texasattorneygeneral.gov/news/releases/paxton-sues-facebook-using-unauthorized-biometric-data
2024年7月31日 シンガポールCSA、組織のデジタルレジリエンスへの勧告を発表
シンガポールサイバーセキュリティ―庁(CSA)は、テクノロジーへの依存度が高まっている環境で組織がデジタルレジリエンスと事業継続性を強化するためリスクベースの戦略を検討すべきとする勧告を発行した。
7月に発生したCrowdStrike社のソフトウェアに起因するグローバルIT障害をうけ、企業がデジタルレジリエンスを強化し、国民への影響を最小限に抑えることが重要であると呼びかけた。また、この件に限らず今後も同様のインシデントは起こりうると考えるべきだという見方を示している。
CSAは、デジタルの世界では、サプライチェーンは常に相互につながっており、サプライチェーンの混乱が組織に与える影響を増幅させる可能性があるため、組織は顧客とのデジタルな信頼関係を構築することで顧客の信頼を維持する必要があるとしている。さらに、デジタルレジリエンスを向上させるための組織のアプローチには、組織としての取り組みにとどまらず、次のようなものが含まれると説明した。
・顧客:顧客との良好なインシデント管理を行い、顧客の信頼とデジタルの信用を維持する
・サプライヤー:サプライヤーを通じた組織への影響を緩和するための強力なサプライヤー管理
・規制当局:関連する規制当局との迅速なコミュニケーション
https://www.csa.gov.sg/alerts-advisories/Advisories/2024/ad-2024-014
----------------------------------------------------------------------
【4】7月のM&A/IPO情報詳細
----------------------------------------------------------------------
2024年7月1日 英Northamber PLC、アイルランドRenaissance Contingency Servicesの買収で欧州事業強化
2024年7月1日 Rapid7、Noetic Cyberの買収でASMソリューションを強化
2024年7月2日 MSP事業を手掛けるMarlink、IT/OTセキュリティソリューションのDivertoを買収
2024年7月14日 Alphabet、クラウドセキュリティスタートアップのWizへ約230億ドル(約3兆6400億円)の買収提案
2024年7月17日 米Neovera、金融・ヘルスケア・政府市場サイバー防衛能力強化のためEmagined Securityを買収
2024年7月26日 AlphabetによるクラウドセキュリティスタートアップWizの買収交渉が決裂