----------------------------------------------------------------------
欧州データ保護委員会、GDPRにおける「忘れられる権利」の協調執行を開始(3/11配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・カナダ政府、連邦公共サービスにおけるAI政府戦略を発表
・欧州データ保護委員会、GDPRにおける「忘れられる権利」の協調執行を開始
・米国司法省、中国の標的型攻撃グループAPT27のメンバーおよび請負業者職員など計12名を起訴
・米国NIST、データ匿名化技術「差分プライバシー」を評価するためのガイドラインを公表
----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2025年3月4日 カナダ政府、連邦公共サービスにおけるAI政府戦略を発表
カナダ政府は、連邦公共サービスにおけるAIの安全かつ倫理的で信頼性の高い提供および責任ある利用を促進するためのAI戦略を発表した。
本戦略は、科学技術の発展と労働力の生産性向上、国民へのデジタルサービスの改善を目的とし、4つの主要分野を柱としている。それぞれの柱の目標は(1)AI専門センターの設立、(2)AIの安全かつ責任ある利用の確保、(3)トレーニングと人材開発の強化、(4)透明性を通じた信頼の構築、である。政府は本戦略を2年ごとに更新し、継続的な改善を図る方針を示している。
なお、カナダ政府は本戦略の策定にあたり、2024年5月から10月にかけて国民からの意見を収集し、2025年1月にはその結果をまとめた報告書「What We Heard」を公表していた。また、公務員による生成AIの責任ある活用とリスク評価のためのガイダンスも発表するなど、行政機関におけるAI利用の適正管理を推進する施策を強化している。
https://www.canada.ca/en/treasury-board-secretariat/news/2025/03/canada-launches-first-ever-artificial-intelligence-strategy-for-the-federal-public-service.html
2025年3月5日 欧州データ保護委員会、GDPRにおける「忘れられる権利」の協調執行を開始
欧州データ保護委員会(EDPB)は、EU全域の32のデータ保護当局(DPA)と連携し、一般データ保護規則(GDPR)における「忘れられる権利」の協調執行(CEF)を開始した。本取り組みは、2024年に実施された「アクセス権」の協調行動に続くものであり、データ主体の権利保護の強化を目的としている。
忘れられる権利はGDPRに基づき最も頻繁に行使される権利の一つであり、DPAへの苦情件数も多いことから、執行強化の必要性が指摘されていた。
今回の協調執行では、各DPAが企業や組織を対象に事実調査を実施し、削除要請の対応状況、処理方法、適用される条件や例外の運用実態について検証する。EDPBはこれらの調査結果を集約・分析し、各国およびEUレベルでのフォローアップ措置を講じる予定。
https://www.edpb.europa.eu/news/news/2025/cef-2025-launch-coordinated-enforcement-right-erasure_en
2025年3月5日 米国司法省、中国の標的型攻撃グループAPT27のメンバーおよび請負業者職員など計12名を起訴
米国司法省(DOJ)は、中国を背景とする高度標的型攻撃グループAPT27のメンバーとみられる中国人2名を起訴した。両名は、2011年から現在に至るまで、米国の多数の企業、自治体、政府機関を標的としたサイバースパイ活動に関与していたとみられている。起訴状の公開とともに財務省による制裁を発表し、両名の逮捕に役立つ情報に最大200万ドルの報奨金が設定された。また、司法省は起訴された2人が悪意ある活動に用いていたとみられる複数のドメインと仮想プライベートサーバー(VPS)を押収し、分析を行っている。容疑者らの活動は、APT27(別名:Silk Typhoon、Emissary Panda、UNC5221)と関連する脅威グループに技術基盤を提供するものであったとみられ、2024年の米国財務省への不正アクセス事案での利用も含まれている。
続けて同日、司法省は中国の政府系請負業者であるi-Soon社の幹部および従業員8名と政府職員2名を起訴したと発表した。少なくとも2016年頃から2023年頃まで米国へのサイバースパイ活動に従事したとされ、こちらもAPT27の活動との関連があるとみられている。捜査の背景には、2024年2月にi-Soon社の内部文書が流出し、中国政府とのサイバー攻撃業務請負に関係する情報が明らかになっていたことがある。司法省は、本件の10名の逮捕に有益な情報に対しても最高1,000万ドルの報奨金を設定した。
https://www.justice.gov/usao-dc/pr/chinese-nationals-ties-prc-government-and-apt27-charged-computer-hacking-campaign-profit
https://www.justice.gov/opa/pr/justice-department-charges-12-chinese-contract-hackers-and-law-enforcement-officers-global
2025年3月6日 米国NIST、データ匿名化技術「差分プライバシー」を評価するためのガイドラインを公表
米国国立標準技術研究所(NIST)は、組織が差分プライバシーの適用と保証を評価するためのガイドライン 「差分プライバシー保証の評価のためのガイドライン(NIST SP 800-226)」 を公表した。本ガイドラインは、2023年12月にドラフト版として公開されていたが、寄せられたコメントを反映し、明確性と実用性を向上させた最終版として発表された。差分プライバシーは、個人データを保護しつつ、データ分析を可能にする手法であり、プライバシーとデータ活用のバランスを取る上で重要視されている。
本ガイドラインには、組織が差分プライバシーの保証を評価する際の意思決定を支援するためのインタラクティブツール、フローチャート、サンプルコードが含まれており、これらを活用することでさまざまなノイズレベルがプライバシー保護やデータの有用性に与える影響を評価することができるという。
https://www.nist.gov/news-events/news/2025/03/nist-finalizes-guidelines-evaluating-differential-privacy-guarantees-de
----------------------------------------------------------------------
【3】3月のM&A/IPO情報詳細
----------------------------------------------------------------------
2025年3月6日 米Armis、OT/ICSセキュリティソリューションのOTORIOを買収