Loading...

Loading...

JCIC海外ニュースクリップ

----------------------------------------------------------------------
英国ICO、AIを利用した採用選考ツールの監査結果を公表(11/12配信)
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・カナダ政府、国家サイバー脅威評価(2025-2026)を公表
・Sophos、5年間にわたる中国からの継続的な攻撃を公表
・欧州ENISA、eヘルスサイバーセキュリティの優先を強調
・英国ICO、AIを利用した採用選考ツールの監査結果を公表

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2024年10月30日 カナダ政府、国家サイバー脅威評価(2025-2026)を公表
カナダのサイバーセキュリティセンターは、カナダの国民や組織が直面するサイバー脅威に分析した「国家サイバー脅威評価 2025-2026」を公表した。
この評価では、過去の国家サイバー脅威評価 2018、2020、2023-2024を踏まえた最新情報が提供され、中間年度の分析と2026年までの予測が示されている。
今年度版での主な判定事項は次の通り。
・カナダの国家敵対勢力は、サイバー作戦を利用して混乱と分断を起こそうとしている
・中国の広範かつ攻撃的なサイバープログラムは、現在カナダにとって最も高度で活発な国家サイバー脅威となっている
・ロシアのサイバープログラムは、カナダとその同盟国と対決し不安定化させようとする
・イランは、エスカレーションのリスクを管理しながら、サイバープログラムを利用して敵対者を威圧し、嫌がらせし、抑圧している
・サイバー犯罪サービス(CaaS)のビジネスモデルは、カナダおよび世界中でサイバー犯罪が継続的に回復するのに貢献していることはほぼ間違いない
・ランサムウェアは、カナダの重要インフラが直面している最大のサイバー犯罪の脅威である
https://www.cyber.gc.ca/en/guidance/national-cyber-threat-assessment-2025-2026

2024年10月31日 Sophos、5年間にわたる中国からの継続的な攻撃を公表
セキュリティベンダーのSophosは、複数の中国国家ハッカー集団が同社のアプライアンス製品に侵入しようと5年にわたって攻撃を試みていたことを報告した。
Sophosは、この活動を「Pacific Rim」と名付け、他のサイバーセキュリティベンダー・政府・法執行機関の協力を得て、さまざまなレベルの信頼度で観察された活動を分析した結果、特定のクラスターの Volt Typhoon、APT31、APT41/Winnti への帰属を認めたという。四川省でエクスプロイトの調査と開発活動が行われていることを高い確信を持って特定したとし、中国脆弱性開示法に従い開発されたエクスプロイトが、異なる目的・能力・エクスプロイト後のツールを持つ複数の異なる国家支援の最前線グループと共有された可能性が高いと評価している。
https://news.sophos.com/en-us/2024/10/31/pacific-rim-neutralizing-china-based-threat/

2024年11月6日 欧州ENISA、eヘルスサイバーセキュリティの優先を強調
ENISAがハンガリーサイバーセキュリティセンターと共同で主催したeHealthセキュリティ会議において、医療のデジタル化と相互接続性の進展がもたらすサイバー脅威について議論が行われた。特に、サイバー犯罪者が医療データを標的にするリスクが強調され、医療情報の保護が喫緊の課題であると指摘された。イベントでは、医療部門に対するNIS2指令の実施に関連する要点を解説し、欧州医療データスベース(EHDS)・AI・その他のeヘルス政策の進展が論じられた。EHDSは欧州委員会の2024年から2029年の政治ガイドラインで注目されており、規制の進展により、医療セクターのサイバーセキュリティやデータ共有の課題が浮き彫りとなっている。
ENISAの2024年脅威ランドスケープレポートによれば、報告された全インシデント中487件が医療セクターに関するものであり、被害の大きさを示している。内訳は、45%がランサムウェア攻撃、28%がデータ侵害に関するものであった。
また、ENISAは同月7日に、NIS2サイバーセキュリティリスク対策に向けたテクニカルガイダンス(草案)を発表し、対策の実装を推進する狙いをみせている。
https://www.enisa.europa.eu/news/prioritising-ehealth-cybersecurity-against-emerging-challenges
https://www.enisa.europa.eu/events/9th-enisa-ehealth-security-conference
https://www.enisa.europa.eu/news/asking-for-your-feedback-enisa-technical-guidance-for-the-cybersecurity-measures-of-the-nis2-implementing-act

2024年11月6日 英国ICO、AIを利用した採用選考ツールの監査結果を公表
英国情報コミッショナー事務局(ICO)は、AIを利用した採用選考ツールの監査結果を公表した。複数社のツールに対し個人情報処理の公正性を評価し、応募者のプライバシーおよびデータ保護に関する問題点を特定している。また、監査結果からAIシステムの開発者・プロバイダー・採用担当者に対し約300件の勧告を行ったという。
指摘された事項の代表例は次の通り。
・一部のプロバイダーでAIツールの正確性のテストが不十分である
・一部のツールは性別や人種などの特性に基づき候補者をフィルタリングする機能を有し、潜在的な差別につながる
・採用担当者は性別や人種などの候補者の特性を応募書類や名前から推測しており法的根拠を欠く
・候補者に対する通知なしに求人サイトやソーシャルメディアからツールを通して必要以上のデータを収集している
・自身をデータ処理者と誤って定義し、データ保護の原則に準拠していないプロバイダーが大部分を占める
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/11/ico-intervention-into-ai-recruitment-tools-leads-to-better-data-protection-for-job-seekers/
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/11/ico-intervention-into-ai-recruitment-tools-leads-to-better-data-protection-for-job-seekers/

----------------------------------------------------------------------
【3】10月のM&A/IPO情報詳細
----------------------------------------------------------------------
2024年11月1日 Kaseya、SaaS Alertsを買収し、MSPサービスラインナップを強化