Loading...
----------------------------------------------------------------------
欧州委員会と中国政府、EU・中国間の新しい越境データフロー促進メカニズムを開始(9/3配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・オランダ個人情報保護局、GDPR違反でUberに2億9千万ユーロの罰金
・欧州委員会と中国政府、EU・中国間の新しい越境データフロー促進メカニズムを開始
・米国CISAら、米国組織へのランサムウェア攻撃を行うイラン拠点のサイバー攻撃者へ勧告
----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2024年8月26日 オランダ個人情報保護局、GDPR違反でUberに2億9千万ユーロの罰金
オランダの個人情報保護局(AP)は、米Uber Technologies社が欧州経済領域(EEA)内の運転手の個人データを米国に転送する際、十分な保護措置を取らなかったとして、2億9千万ユーロ(約465億円)の罰金を科した。
調査によると、Uberは運転手のアカウント詳細・免許証情報・位置情報・写真・支払情報・身分証明書・犯罪履歴・医療データなどの機密情報を収集し、2年以上にわたり米国本社に転送し、同国内のサーバに保存していたいう。AP局長は、EEA域内の個人データが非EU政府によって大規模に傍受される可能性があるとして、域外データ移転時に追加的な保護措置を講じる重要性を強調した。
また、2020年に「EU-米国間のプライバシーシールド」の無効化宣言がなされて以降、EEA外への個人データの移転に必要とされる「標準契約条項(SCC)」をUberが使用していなかった点が問題視された。なお、2023年末からは同社はプライバシーシールドの後継である「データプライバシーフレームワーク(DPF)」を採用している。
https://autoriteitpersoonsgegevens.nl/actueel/ap-legt-uber-boete-op-van-290-miljoen-euro-om-doorgifte-data-chauffeurs-naar-vs
https://autoriteitpersoonsgegevens.nl/themas/internationaal/doorgifte-binnen-en-buiten-de-eer/modelcontract-voor-doorgifte
https://www.dataprivacyframework.gov/s/participant-search
2024年8月27日 欧州委員会と中国政府、新しいEU・中国間の越境データフロー促進メカニズムを開始
欧州委員会と中国政府は、両地域間の新たな越境データフロー促進メカニズムを開始した。この取り組みは、2023年に行われたEU・中国ハイレベルデジタルおよび経済貿易対話に基づく協力体制の一環である。また、2023年のEU・中国首脳会議で欧州委員長から提起された「中国における非個人データの転送制限によるEU投資家にとっての困難・不確実性の増大と対中投資の信頼低下」への解決策としても位置づけられている。
中国法における「重要データ」の概念は曖昧に定義されており、何をもって「重要データ」とするのかに不明確な部分がある。このため、EU企業は広範なデータが「重要データ」と見なされ、その転送にセキュリティ承認が必要となる可能性を懸念している。特に「2022年データ輸出安全評価措置法」の採択以降、この規制の影響が強まっており、EU企業の事業展開においてさらなるリスクをもたらしているという批判があった。
今回新しいメカニズムは、両地域間でのデータフローの円滑化と信頼関係の強化を目指し、透明性と予見性の向上を図るものである。
https://policy.trade.ec.europa.eu/news/eu-and-china-launch-cross-border-data-flow-communication-mechanism-2024-08-28_en
2024年8月28日 米国CISAら、米国組織へのランサムウェア攻撃を行うイラン拠点のサイバー攻撃者へ勧告
米国サイバーセキュリティ・社会基盤安全保障庁(CISA)は、連邦捜査局(FBI)および国防総省サイバー犯罪センター(DC3)と連携し、米国組織へのランサムウェア攻撃を行うイラン拠点のサイバー攻撃者への勧告文書を発表した。2024年8月現在、イランを拠点とするサイバー攻撃者グループ(Pioneer Kitten、Fox Kitten、UNC757、Parisite、RUBIDIUM、Lemon Sandstormとして知られる)は、教育・金融・医療・防衛・地方自治体などの複数の米国セクターを標的に攻撃を実行している。また、イスラエル、アゼルバイジャン、アラブ首長国連邦を含むその他の国々の組織も攻撃対象になっているとみられている。
FBIは、これらのサイバー攻撃者グループがイラン政府と関係があると見ており、これらの攻撃グループがランサムウェア攻撃のみならず、イラン政府を支援するためのサイバー諜報活動を行っていると評価している。例として、イスラエルおよびアゼルバイジャンの組織に対する機密技術データの盗難を目的としたネットワーク侵入を挙げている。今回の勧告は、これらの脅威に対する防御策を強化し、米国内および国際的な協力を促進するためのものである。
https://www.cisa.gov/news-events/alerts/2024/08/28/cisa-and-partners-release-advisory-iran-based-cyber-actors-enabling-ransomware-attacks-us
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a
----------------------------------------------------------------------
【3】8月のM&A/IPO情報詳細
----------------------------------------------------------------------
2024年8月7日 スウェーデンのPEファンドEQT、スイスのサイバーセキュリティ企業Acronisを買収
2024年8月7日 重要インフラ防護サービスのOPSWAT、サイバーセキュリティ企業のInQuestを買収
2024年8月21日 多国籍テック企業Nortal、英国軍およびインテリジェンス機関の認定サプライヤー3DOT Solutionsを買収
2024年8月23日 TAC Security、ニューメキシコ州へのITサービスで独占契約を保有するCyber Sandiaを買収
2024年8月26日 Cisco、AIセキュリティ強化のためRobust Intelligenceを買収する意向を発表
2024年8月27日 Check Point、Cyberint Technologiesを買収 脅威インテリジェンスの強化をめざす