まるちゃんの情報セキュリティ気まぐれ日記

この調査は、英国政府のNational Cyber Security Strategy 2016-2021（国家サイバーセキュリティ戦略2016-2021）におけるデジタル・文化・メディア・スポーツ省の取り組みの一つで、2018年、2020年に実施しているものの2021年更新版という感じですかね。。。

● U.K. Government

・2021.02.18 (press) Record year for UK’s £8.9bn cyber security sector

A new government report shows that the UK's growing cyber industry attracted record investment last year, despite the global pandemic.

英国のサイバーセキュリティ業界の雇用は、昨年に比べて9％増加し、約46,700人分となった。
英国のサイバーセキュリティ企業の数は、昨年に比べて21％増加し、1483社となった。
英国のサイバーセキュリティセクターの市場規模は、昨年に比べて7％増加し、89億ポンド（1.3兆円）となった
英国のサイバーセキュリティセクターに8億ポンド（1,100億円）の投資を呼び込んだ

こういう基礎的な調査は良いですね。。。日本はしていたかなぁ・・・

・2021.02.18 Cyber Security Sectoral Analysis 2021

・[PDF] Cyber Security Sectoral Analysis 2021

・目次

■ 過去の報告書

・2020.01.30 Cyber Security Sectoral Analysis 2020

・[PDF] UK Cyber Security Sectoral Analysis 2020

・[PDF] Sectoral Analysis Questionnaire

・2018.10.30 UK Cyber Security Sectoral Analysis

・[PDF] UK Cyber Security Sectoral Analysis

・[PDF] National Cyber Security Strategy 2016 to 2021

» Continue reading

2021.02.25 01:27 in 情報セキュリティ・サイバーセキュリティ | Permalink | Comments (0)
Tweet

2021.02.24

EU委員会 EUにおける災害リスク管理のための国家リスクアセスメントのための提言

こんにちは、丸山満彦です。

EU委員会のEUサイエンスハブが「EUにおける災害リスク管理のための国家リスク評価のための勧告」を公表していますね。。。13のリスクをあげていますが、サイバーセキュリティもその中に入っていますね。。。表紙も含めて277ページになりますね。。。

● European Commission - EU Science Hub

・2021.02.22 (publication) Recommendations for National Risk Assessment for Disaster Risk Management in EU

・[PDF] Recommendations for National Risk Assessment for Disaster Risk Management in EU - Where Science and Policy
Meet - Version 1

[PDF] Union Civil Protection Mechanism Decision No 1313/2013/EU （EU市民保護メカニズム決定第1313/2013/EU）は、EU加盟国およびUCPM参加国に対し、各国のリスク管理政策を補完・強化するEUのリスク管理政策の策定を支援するため、災害リスク管理活動について欧州委員会に報告することを求めてい流とのことですが、この報告書は、“Reporting Guidelines on Disaster Risk Management, Art. 6(1)d of Decision No.1313/2013/EU,” (2019/C 428/07) （「災害リスク管理に関する報告ガイドライン」）を各国関係当局が利用することを支援することを目的としているとのことのようですね。

“Recommendations for National Risk Assessment for Disaster Risk Management”（「災害リスク管理のための国家リスク評価のための提言」）シリーズの第2弾ということです。この報告書シリーズの目的は、国家リスク評価プロセスの様々な側面に関与する専門家のネットワークを構築することにあるようですね。

リスクの項目としては次の13ですね。。。

1	Floods	洪水
2	Droughts	干ばつ
3	Wildfires	山火事
4	Biodiversity loss	生物多様性の損失
5	Earthquakes	地震
6	Volcano eruptions	火山の噴火
7	Biological disasters	生物災害
8	Natech accidents	自然災害起因の産業事故
9	Chemical Accidents	化学事故
10	Nuclear accidents	原発事故
11	Terrorist attacks	テロ攻撃
12	Critical infrastructure disruptions	重要なインフラの混乱
13	Cybersecurity threats	サイバーセキュリティの脅威
14	Hybrid Threats	ハイブリッドな脅威

Figure 9: The global risk landscape 202045 with the risk addressed in this V1 of Recommendation for NRA

Source: Authors after World Economic Forum Global Risks Perception Survey 2019-2020

■ 参考

● European Commission - EU Science Hub

・2019 Recommendations for National Risk Assessment for Disaster Risk Management in EU

・[PDF] Recommendations for National Risk Assessment for Disaster Risk Management in EU - Approaches for identifying, analysing and evaluating risks - Version 0

● World Economic Forum

・2021.01.19 The World Needs to Wake Up to Long-Term Risks

　・[PDF] The Global Risks Report 2021 16th Edition INSIGHT REPORT

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

報告書の目次は

↓↓↓↓↓↓↓↓↓↓

» Continue reading

2021.02.24 16:38 in 情報セキュリティ・サイバーセキュリティ, in 内部統制・リスクマネジメント, in 危機管理・事業継続 | Permalink | Comments (0)
Tweet

JPCERT/CC Eyes マルウェアEmotetのテイクダウンと感染端末に対する通知

こんにちは、丸山満彦です。

JPCERT/CCのブログ（JPCERT/CC Eyes）で「マルウェアEmotetのテイクダウンと感染端末に対する通知」の記事が掲載されていますね。。。

Emotetは2019年10月移行感染例が日本でも多くありますね。なりを潜めたかと思えば、復活したりしながら長く活動が続いているように思いましたが、2021年1月にEuropolが欧米各国の共同作戦によるEmotetのテイクダウンを発表しましたね。。。各国のCERT組織を通じて被害者への通知を行うことが示されていますが、JPCERT/CCも被害者への通知を行っていますね。。。

● JPCERT/CC Eyes

・2021.02.22 マルウェアEmotetのテイクダウンと感染端末に対する通知 by 佐條研(Ken Sajo)

経済産業省小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0を策定

こんにちは、丸山満彦です。

経済産業省が「小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0」を策定し、公表しましたね。。。

小売電気事業の全面自由化に伴い、小売電気事業者数は約700事業者（2020年12月現在）、全販売電力量に占める新電力の割合は約20％（2020年9月時点)となっているようですね。。。

顧客の利用状況のデータといった個人情報もそうですが、むしろ電力需給情報をベースとした電力の安定供給体制に穴を開けないように、、、ということが重要なんでしょうかね。。。

● 経済産業省

・2021.02.22 小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0を策定しました。

[PDF] 小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0

目次は、、、

１．はじめに
１．１．小売電気事業へのサイバー脅威と本ガイドライン策定の背景
１．２．本ガイドラインの構成と活用方法

２．小売電気事業者のサイバーセキュリティ対策における特徴
２．１．小売電気事業者の事業環境とサイバーセキュリティリスク
２．２．小売電気事業者の情報システム構成と想定されるサイバー攻撃
２．３．サイバーセキュリティ対策における小売電気事業者の類型

３．小売電気事業者における重要１０項目の実践規範
３．１．サイバーセキュリティリスクの管理体制構築
　指示１サイバーセキュリティリスクの認識、組織全体での対応方針の策定
　指示２サイバーセキュリティリスク管理体制の構築
　指示３サイバーセキュリティ対策のための資源（予算、人材等）確保

３．２．サイバーセキュリティリスクの特定と対策の実装
　指示４サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
　指示５サイバーセキュリティリスクに対応するための仕組みの構築
　指示６サイバーセキュリティ対策における PDCA サイクルの実施

３．３．インシデント発生に備えた体制構築
　指示７インシデント発生時の緊急対応体制の整備
　指示８インシデントによる被害に備えた復旧体制の整備

３．４．サプライチェーンセキュリティ対策の推進
　指示９ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握

３．５．ステークホルダーを含めた関係者とのコミュニケーションの推進
　指示１０情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供

（付録）用語集

[PDF] 別紙「小売電気事業者のためのサイバーセキュリティ対策ガイドラインについて（案）」に対する意見公募の実施結果について

・関連リンク

産業サイバーセキュリティ研究会WG1（制度・技術・標準化）電力サブワーキンググループ

2021.02.24 00:00 in 情報セキュリティ・サイバーセキュリティ, in 個人情報保護・プライバシー, in 法律・犯罪, in 内部統制・リスクマネジメント, in 危機管理・事業継続 | Permalink | Comments (0)
Tweet

2021.02.23

日本銀行金融研究顧客情報の利活用に関する行為規範のあり方

こんにちは、丸山満彦です。

日本銀行の「金融研究第４０巻第１号」に「金融サービスにおける顧客情報の利用を巡る法律問題研究会」（神田秀樹先生が座長）による報告書：「顧客情報の利活用に関する行為規範のあり方」が公開されていますね。。。

情報銀行の話など、興味深い内容ですね。。。

● 日本銀行 - 調査・研究 - 金融研究所論文 - 金融研究 - 「金融研究」掲載論文（2021年収録分）

・2021.02.22 「金融サービスにおける顧客情報の利用を巡る法律問題研究会」報告書：顧客情報の利活用に関する行為規範のあり方

要旨

....

　近年、情報通信技術の飛躍的な発展等を背景に、業種・業態を問わず幅広い主体で情報を利用しようとする動きが進展している。こうした変化に対応していく環境を整備するため、2019年に銀行法が改正され、銀行は従前許容されていなかった顧客情報を第三者に提供することを目的とする業務を営むことが可能となった。
　改正銀行法のもとで、顧客の権利利益の保護や利便性の向上を図りつつ、情報の利活用を促進していくためには、銀行がこうした業務を営む際に遵守すべき行為規範を明らかにする必要があると考えられる。そうした行為規範としては、銀行の守秘義務や個人情報保護法に基づくものが想定されるが、改正銀行法における顧客情報の第三者提供業務において、それらがどのように機能するかは、現状、必ずしも明らかではない。この点に関する検討を深めることは、銀行が顧客情報の第三者への提供を行っていくうえでも、重要な視点を提供すると思われる。
　以上のような問題意識を踏まえ、本報告書では、認定情報銀行制度といった足許の顧客情報の第三者提供に関する動きも視野に入れつつ、顧客情報の第三者提供業務の銀行法上の位置付けや同業務における銀行の守秘義務および個人情報保護法の適用関係を整理したうえで、それらの行為規範の内容について検討するとともに、新たな行為規範の必要性およびそのあり方について論じている。

・[PDF]

目次です。。。

要旨

1. はじめに

2. 銀行による顧客情報の第三者提供業務
（1）銀行法改正による第三者提供業務の可能化
イ. 金融審議会「金融制度スタディ・グループ」による報告書
ロ. 改正法の概要
（イ）付随業務としての第三者提供業務
（ロ）対象となる情報の範囲
ハ. 想定される第三者提供業務のイメージ
（イ）マーケティング目的
（ロ）クレジット・スコアリング目的
（2）銀行に課される情報管理規制

3. 個人情報保護法における個人情報の第三者提供等に関する行為規範
（1）個人データの第三者提供に関する行為規範
イ. 個人情報保護法
ロ. 金融ガイドライン
ハ. 「主要行等向けの総合的な監督指針」等
（2）個人データの正確性確保に関する行為規範
（3）認定情報銀行制度と個人情報保護法との関係
イ. 経緯
ロ. 認定指針の概要
ハ. 個人情報保護法との関係

4. 銀行の守秘義務
（1）守秘義務と個人情報保護法の関係
イ. 規制対象の違い
ロ. 規制内容の違い
（2）守秘義務の定義
（3）守秘義務の法的根拠（学説・判例）
イ. 信義則説
ロ. 商慣習説
ハ. 契約説
（4）守秘義務により保護されるべき利益（保護法益）
イ. 個人顧客と法人顧客とで保護法益が異なるという考え方
ロ. 個人顧客と法人顧客とで保護法益が同一であるという考え方
（イ）顧客の情報コントロール権
（ロ）顧客の信頼
（ハ）銀行の固有の利益
（5）守秘義務の対象となる情報の内容
（6）守秘義務の限界

5. 第三者提供業務にかかる守秘義務の解釈
（1）総説
（2）全銀協報告書が提示する判断基準
イ. 判断アプローチロ. 5 つの判断要素
ハ. 本報告書の検討対象との違い
（3）個人顧客情報の場合
（4）法人顧客情報の場合

6. 守秘義務とは異なる行為規範の必要性
（1）銀行固有の守秘義務に関する議論の限界
（2）情報の利活用に関する新たな行為規範の必要性
イ. 情報の正確性を確保する行為規範
ロ. 本人のコントローラビリティを高める行為規範
（3）小括

7. おわりに

2021.02.23 02:26 in 個人情報保護・プライバシー, in 法律・犯罪 | Permalink | Comments (0)
Tweet

2021年の国連の社会正義の日のテーマは「デジタル経済における社会正義の呼びかけ」で、世界経済会議は「デジタル世界において社会正義を如何に実現するかについての4つの視点」を公表していますね。。。

こんにちは、丸山満彦です。

02.20は国連の社会正義の日 (World Day of Social Justice [wiki])となっていますが、2021年のテーマは”A Call for Social Justice in the Digital Economy”（デジタル経済における社会正義の呼びかけ）となっていますね。

● United Nations

・World Day of Social Justice 20 February

World Economic Forumでデジタル世界において社会正義を如何に実現するかについての4つの視点を公表していますね。。。

● World Economic Forum

・2021.02.19 4 views on how to ensure social justice in a digital world

End the digital divide	デジタル・デバイドを終わらせる
Christopher (Chris) Worman, Vice-President, Alliances and Programme Development, TechSoup, and Jochai Ben-Avie, CEO, Connect Humanity	テックソープ・アライアンス・プログラム開発担当副社長クリストファー（クリス）ワーマン氏、Connect Humanity CEO ジョカイ・ベンアビ氏
We must rally together now to build the communities and investment vehicles necessary to deliver meaningful access to all.	すべての人に有意義なアクセスを提供するために必要なコミュニティと投資手段を構築するために、私たちは今、団結しなければならない。
—Chris Worman and Jochai Ben-Avie	・クリス・ワーマンとジョカイ・ベンアビ
Ensure an internet that reflects the multiplicities of being human	人間であることの多様性を反映したインターネットを確保する。
Wafa Ben Hassine, Principal, Responsible Technology, Omidyar Network, USA	ワファ・ベン・ハッシン、責任ある技術担当代表、 Network、米国
Users must be involved in decision-making processes at every level so their realities and rights are accounted for.	ユーザの現実と権利が説明されるように、ユーザはあらゆるレベルの意思決定プロセスに関与しなければならない。
—Wafa Ben Hassine	・ワファ・ベン・ハッシン
Fight disinformation and harmful content	偽情報や有害なコンテンツと戦う
Prof. Michael Posner, Jerome Kohlberg Professor of Ethics and Finance; Director, Center for Business and Human Rights, Stern School of Business	マイケル・ポスナー教授、ジェローム・コールバーグ倫理・金融学教授、スターン・スクール・オブ・ビジネス・人権センター所長
Disinformation distorts the truth and accelerates racial, ethnic and political polarization.	誤報は真実を歪め、人種・民族・政治の二極化を加速させる。
—Michael Posner	・マイケル・ポスナー
Increase civic participation	市民参加を増やす
Renata Avila, Co-Founder <A+> Alliance for Inclusive Algorithms	レナータ・アビラ共同創設者 <A+> アライアンス・フォー・インクルーシブ・アルゴリズム
Design digital systems that are inclusive by design, feminist by default and publicly funded.	設計から多様で、デフォルトではフェミニストであり公的資金が提供されているデジタルシステムを設計しよう。
—Renata Avila, Founder and Chief Executive Officer, POLYLAT	・レナータ・アビラ,POLYLATの創設者兼最高経営責任者

» Continue reading

2021.02.23 00:05 in AI/Deep Learning | Permalink | Comments (0)
Tweet

2021.02.22

U.S. GAOが技術評価ハンドブックを公表していますね

こんにちは、丸山満彦です。

U.S. GAOが技術評価ハンドブックを公表していますね。特定の技術についての話というよりも、技術評価をする場合の進め方についてのフレームワークを示したものですね。。。

社会、組織のイノベーションはテクノロジー起点であることが多いと思います。そういう意味で重要性はましますね。合わせて、その活用についてのAccountabilityも重要となりますね。。。

● U.S. Government Accoutibility Office (GAO)

・2021.02.18 Technology Assessment Design Handbook

・[PDF] TECHNOLOGY ASSESSMENT DESIGN HANDBOOK - Handbook for Key Steps and Considerations in the Design of Technology Assessments

技術評価 (TA) のステップ

Phase	Steps	フェーズ	ステップ
Initiation	• Discussion with congressional requesters, if applicable, regarding scope and focus of the engagementb	導入	・（必要に応じて）議会の要請者との業務の範囲と焦点についての議論
	• Consideration of technology state, relevant stakeholder expertise, and potential policy implications		・技術状態、関連するステークホルダーの専門知識、政策への潜在的な影響の検討
	• Consideration of whether policy options may be appropriate for inclusion		・政策の選択肢に含めることが適切かどうかの検討
Design	• Performance of initial research	設計	・初期調査の成果
	• Consideration of relevant sections of GAO’s quality standards and GAO methodological and technical standards and guides		・ GAOの品質基準とGAOの方法論・技術基準とガイドの関連部分の検討
	• Consultation with GAO subject matter experts and internal stakeholders, as needed		・（必要に応じて）GAOの主題専門家および内部の利害関係者との協議
	• Discussion with agency officials and experts		・機関関係者や専門家との意見交換
	• Identification of and consultation with external experts, such as science, policy, and industry experts, who may also serve as external reviewers		・科学、政策、産業界の専門家など外部の専門家の特定と、外部レビュアーとして機能する可能性のある専門家との協議
	• Identification of possible policy options, if appropriate		・（適切な場合）可能な政策の選択肢の特定
Message development	• Collection and analysis of evidence	メッセージ開発	・証拠の収集と分析
	• Assessment of evidence and research results		・証拠と研究成果の評価
	• Development of draft findings		・所見書案の作成
	• Ongoing engagement with external experts		・外部専門家との継続的な連携
	• Conduct and discuss policy options assessment, if appropriated		・（適切な場合）政策オプション評価の実施と議論
External review	• Request views from relevant third parties, if applicable, and request comments from relevant federal agencies, as appropriate	外部レビュー	・関連する第三者に対する意見の徴収、（必要な場合）関連する連邦政府機関に対するコメントの徴収
External review	• Request comments from external experts, and others as appropriate	外部レビュー	・外部の専門家等への意見の徴収

報告書の目次

↓↓↓↓↓↓↓↓↓↓

» Continue reading

2021.02.22 11:26 in 監査・認証 | Permalink | Comments (0)
Tweet

「規制します! ｷﾘｯ」「そうですか... さようなら!」「えっ!...」

こんにちは、丸山満彦です。

ある国において、企業だけでなく、政府も含めて多くの組織が特定の事業者のビジネスに依存するようになると、政府による規制を有効に機能させるのが難しくなるかもしれませんね。。。

個々の企業や政府機関等が効率性を求めて、クラウド事業者のサービスを利用し始めると、自然と特定の大手のサービスに収斂していき、気づいたらその国の経済活動、安全保障がその企業に依存していくようになるでしょうね。。。そうなると、政府が規制をかけようとしても、その国の経済活動、安全保障を人質にとって抵抗等するでしょうね。。。

そうなると、政府による規制を有効に機能させるのが難しくなるかもしれませんね。。。

2_20210220023001

また、場合によっては、クラウド事業者等の都合によって、政府の政策が限定されたりする可能性もありますね。。。

政府が公衆衛生のために導入したアプリですが、OSを握っている会社の方針に従わざるを得なかったですよね。。。

国と企業の関係が、今後変わっていく感じがしますね。。。

■ 参考オーストラリアの法案に対するFacebookの対応

● Facebook

・2021.02.17 Changes to Sharing and Viewing News on Facebook in Australia

● Australian Competition & Consumer Commission: ACCS（オーストラリア競争消費者委員会）

・Site内でのFacebookの検索

● NHK
・2021.02.18 フェイスブック豪州メディアの記事投稿の制限を発表

● BBC Japan
・2021.02.18 フェイスブック、豪でニュース提供中止　報道機関への支払い法案に反発

● TechCranch
・2021.02.18 フェイスブックが豪州ユーザーのニュースリンク共有・閲覧を禁止へ

● GigaZine
・2021.02.18 Facebookがオーストラリアで「いかなるニュース記事に対しても投稿＆リンクできない」よう仕様変更

● IT Media
・2021.02.18 Facebook、オーストラリアでニュース共有制限へ　メディアへの対価義務付け法案に抗議

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.19 除草剤をまけば強い植物だけが生き残る

・2021.02.17 クラウドは竹クラウド集中リスク

2021.02.22 00:00 in 個人情報保護・プライバシー, in 法律・犯罪, in 危機管理・事業継続, in クラウド | Permalink | Comments (0)
Tweet

2021.02.21

ニューヨーク州金融サービス局がFacebookのプライバシーに関する報告書を公表していますね。。。

こんにちは、丸山満彦です。

ニューヨーク州金融サービス局がFacebookのプライバシーに関する報告書を公表していますね。。。

ビッグデータを扱う事業者は読んでいた方が良いかもです。。。

● New York Department of Financial Services (NYDFS)

・2021.02.18 (press) GOVERNOR CUOMO ACCEPTS REPORT FROM DFS ON FACEBOOK INVESTIGATION

Investigation Finds Facebook Did Little to Prevent Apps from Sharing Sensitive User Data

Although Facebook Has Taken Positive Steps to Remediate Problem in Response to DFS's Inquiry, Internal Controls Need Further Improvement

報告書は、

・[PDF] Report on Investigation of Facebook Inc. Data Privacy Concerns

きっかけは、2019.02.22のThe Wall Street Journal紙がFacebookの少なくとも11のモバイルアプリから、機微な個人データを含む利用者データを受信していたと報じたことのようです。

● The Wall Street Journal

・2019.02.22 You Give Apps Sensitive Personal Information. Then They Tell Facebook.

Wall Street Journal testing reveals how the social-media giant collects a wide range of private data from developers; ‘This is a big mess’

Facebookなのに、金融サービス局が調査をしたのは、Facebookの子会社に金融関連子会社（Facebook Payments, Inc.）があるからですね。。。（しかし、調査をしてみると、Facebook Payments, Inc. は今回のプライバシー問題には無関係だったことがすぐにわかったみたいですが・・・）

調査をしてみると、色々と問題がやはりあったようですね。。。

簡単に翻訳して見ました。。。

・[word] Facebook Inc.の調査報告書 - データのプライバシーに関する懸念

巨大なIT企業についての規制については、目が離せないかもしれませんね。。。

● About Facebook

＊ Facebookポリシー

・コミュニティ基準

・データに関するポリシー

・プライバシー基本ガイド

・Cookieおよびその他のストレージ技術

・利用規約

wikipediaによると2020.08現在は次の通りです（円換算は105 ¥/$でしています）。多少の上下はあるものの、2021.02でもそれほど大きな変化はありません。。。（AmazonとMicrosoftが入れ替わり、ジョンソン＆ジョンソンに代わりテスラが10位に入ってきている感じです。。。）

順位	企業名	国名	主な産業	10億$	兆円
1	アップル	アメリカ	電気機器	2,113	222
2	サウジアラムコ	サウジアラビア	石油・ガス	1,684	177
3	マイクロソフト	アメリカ	情報・通信	1,359	143
4	アマゾン・ドット・コム	アメリカ	小売	1,232	129
5	アルファベット	アメリカ	コングロマリット	920	97
6	フェイスブック	アメリカ	インターネット	583	61
7	アリババグループ	中国	情報・通信	545	57
8	テンセント	中国	情報・通信	509	53
9	バークシャー・ハサウェイ	アメリカ	保険	460	48
10	ジョンソン・エンド・ジョンソン	アメリカ	サービス	395	42

ちなみに、日本で一番時価総額が高いのはトヨタ自動車ですが、それでもアップルの約10分の1です。。。

2021.02.21 00:00 in 個人情報保護・プライバシー, in 法律・犯罪, in 内部統制・リスクマネジメント, in クラウド | Permalink | Comments (0)
Tweet

2021.02.20

Apple Platform Security February 2021

こんにちは、丸山満彦です。

Apple Platform Security February 2021が公表されていますね。。。

Appleがモバイル、デスクトップ、クラウドのエコシステム全体でセキュリティとプライバシーについて、どのように取り組んでいるかを説明したものです。やがて日本語になるとは思っていますが、英語版を・・・

● Apple

・2021.02.18 [PDF] Apple Platform Security February 2021

2021年2月19日現在ですが、日本のサイトは2020年版が掲載されていますね。。。

・Appleプラットフォームのセキュリティ 2020年春

ようこそ
概要
ハードウェアセキュリティと生体認証
システムのセキュリティ
暗号化とデータ保護
Appのセキュリティ
サービスのセキュリティ
ネットワークのセキュリティ
デベロッパキット
安全なデバイス管理
Appleのセキュリティとプライバシーの認証
用語集
改訂履歴
Copyright

2021.02.20 00:00 in 情報セキュリティ・サイバーセキュリティ, in 個人情報保護・プライバシー, in 社会的責任(CSR), in クラウド | Permalink | Comments (0)
Tweet

2021.02.19

除草剤をまけば強い植物だけが生き残る

こんにちは、丸山満彦です。

除草剤をまけば強い植物だけが生き残る。

幅広く影響する規制の強化は大手クラウド事業者の寡占をさらに進める可能性があるように思います。

例えば、プライバシーに関する規制の強化は必要です。技術のシンポと共に、プライバシーに関する規制はより複雑になっていく可能性があります。複雑な規制に対応するためにはより高い技術力が求められます。そうすると、規制に適時に追従する技術を開発できる資金力、人的資源が揃ってきる企業がより生き残りやすくなります。

さまざまな観点から必要は規制をかけて、市場を適正化しようとしていった結果、気づくと生き残った企業というのは、強かった企業（例えば大手クラウド事業者等）ということになり、より寡占が進むかもしれませんね。

だからと言って、規制をするのが悪いというわけではありません。市場の外部性を緩和するための規制の導入は必要です。が、副作用があることを意識する必要があるということだと思います。

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.17 クラウドは竹クラウド集中リスク

2021.02.19 14:17 in 法律・犯罪, in クラウド | Permalink | Comments (0)
Tweet

U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

こんにちは、丸山満彦です。

日本のメディアでも報道されましたが、米国連邦政府司法省が北朝鮮軍のハッカーを起訴したというと発表しましたね。。。

● U.S. Department of Justice

・2021.02.17 Three North Korean Military Hackers Indicted in Wide-Ranging Scheme to Commit Cyberattacks and Financial Crimes Across the Globe

Indictment Expands 2018 Case that Detailed Attack on Sony Pictures and Creation of WannaCry Ransomware by Adding Two New Defendants and Recent Global Schemes to Steal Money and Cryptocurrency from Banks and Businesses while Operating in North Korea, China

”North Korea’s operatives, using keyboards rather than guns, stealing digital wallets of cryptocurrency instead of sacks of cash, are the world’s leading bank robbers.”

北朝鮮の工作員は銃ではなくキーボードを使い、現金袋の代わりに暗号通貨のデジタル財布を盗み、世界有数の銀行強盗である

これからの銀行強盗のスタイルですね。。。現金を運ぶよりもはるかに楽で、リスクも少ないですよね。。。

起訴状は、↓

[PDF] Indictment.pdf

指名手配書 (Wanted by FBI)は、↓

容疑は、

Cyberattacks on the Entertainment Industry: The destructive cyberattack on Sony Pictures Entertainment in November 2014 in retaliation for “The Interview,” a movie that depicted a fictional assassination of the DPRK’s leader; the December 2014 targeting of AMC Theatres, which was scheduled to show the film; and a 2015 intrusion into Mammoth Screen, which was producing a fictional series involving a British nuclear scientist taken prisoner in DPRK.	エンタテインメント業界へのサイバー攻撃：2014年11月に起きた、北朝鮮の指導者暗殺を描いた架空の映画『ザ・インタビュー』への報復としてのソニー・ピクチャーズエンタテインメントへの破壊的なサイバー攻撃、2014年12月には同作の上映が予定されていたAMCシアターを標的にした事件、2015年には北朝鮮に囚われていた英国の核科学者を題材にした架空のシリーズを制作していたマンモススクリーンへの侵入事件が発生しています。
Cyber-Enabled Heists from Banks: Attempts from 2015 through 2019 to steal more than $1.2 billion from banks in Vietnam, Bangladesh, Taiwan, Mexico, Malta, and Africa by hacking the banks’ computer networks and sending fraudulent Society for Worldwide Interbank Financial Telecommunication (SWIFT) messages.	サイバーを利用した銀行からの強盗：2015年から2019年にかけて、ベトナム、バングラデシュ、台湾、メキシコ、マルタ、アフリカの銀行のコンピュータネットワークをハッキングし、詐欺的なSWIFT（Society for Worldwide Interbank Financial Telecommunication）メッセージを送信することで、ベトナム、バングラデシュ、台湾、メキシコ、マルタ、アフリカの銀行から12億ドル以上を盗もうとする試みがありました。
Cyber-Enabled ATM Cash-Out Thefts: Thefts through ATM cash-out schemes – referred to by the U.S. government as “FASTCash” – including the October 2018 theft of $6.1 million from BankIslami Pakistan Limited (BankIslami).	サイバーを利用したATMキャッシュアウトによる盗難：米国政府が「FASTCash」と呼ぶATMキャッシュアウトスキームを通じた窃盗事件 - 2018年10月に発生したBankIslami Pakistan Limited（BankIslami）からの610万ドルの窃盗事件を含め、米国政府が「FASTCash」と呼んでいます。
Ransomware and Cyber-Enabled Extortion: Creation of the destructive WannaCry 2.0 ransomware in May 2017, and the extortion and attempted extortion of victim companies from 2017 through 2020 involving the theft of sensitive data and deployment of other ransomware.	ランサムウェアとサイバーを利用した恐喝：2017年5月に破壊的なランサムウェア「WannaCry 2.0」を作成し、2017年から2020年にかけて、機密データの窃盗やその他のランサムウェアの展開を含む被害企業への恐喝および恐喝未遂を行いました。
Creation and Deployment of Malicious Cryptocurrency Applications: Development of multiple malicious cryptocurrency applications from March 2018 through at least September 2020 – including Celas Trade Pro, WorldBit-Bot, iCryptoFx, Union Crypto Trader, Kupay Wallet, CoinGo Trade, Dorusio, CryptoNeuro Trader, and Ants2Whale – which would provide the North Korean hackers a backdoor into the victims’ computers.	悪質な暗号通貨アプリケーションの作成と展開：2018年3月から少なくとも2020年9月までに、Celas Trade Pro、WorldBit-Bot、iCryptoFx、Union Crypto Trader、Kupay Wallet、CoinGo Trade、Dorusio、CryptoNeuro Trader、Ants2Whaleを含む複数の悪質な暗号通貨アプリケーションを開発し、北朝鮮のハッカーに被害者のコンピュータへのバックドアを提供しました。
Targeting of Cryptocurrency Companies and Theft of Cryptocurrency: Targeting of hundreds of cryptocurrency companies and the theft of tens of millions of dollars’ worth of cryptocurrency, including $75 million from a Slovenian cryptocurrency company in December 2017; $24.9 million from an Indonesian cryptocurrency company in September 2018; and $11.8 million from a financial services company in New York in August 2020 in which the hackers used the malicious CryptoNeuro Trader application as a backdoor.	暗号通貨会社の標的化と暗号通貨の盗難：2017年12月にスロベニアの暗号通貨会社から7500万ドル、2018年9月にインドネシアの暗号通貨会社から2490万ドル、2020年8月にニューヨークの金融サービス会社から1180万ドルなど、数百社の暗号通貨会社を標的にし、数千万ドル分の暗号通貨が盗まれましたが、その中には、ハッカーたちが悪質なCryptoNeuro Traderアプリケーションをバックドアとして使用したものも含まれています。
Spear-Phishing Campaigns: Multiple spear-phishing campaigns from March 2016 through February 2020 that targeted employees of United States cleared defense contractors, energy companies, aerospace companies, technology companies, the U.S.Department of State, and the U.S. Department of Defense.	スピアフィッシングキャンペーン：2016年3月から2020年2月にかけて、米国のクリアランスを持つ国防請負業者、エネルギー企業、航空宇宙企業、テクノロジー企業、米国国務省、米国国防総省の従業員を標的とした複数のスピアフィッシングキャンペーンが行われました。
Marine Chain Token and Initial Coin Offering: Development and marketing in 2017 and 2018 of the Marine Chain Token to enable investors to purchase fractional ownership interests in marine shipping vessels, supported by a blockchain, which would allow the DPRK to secretly obtain funds from investors, control interests in marine shipping vessels, and evade U.S. sanctions.	マリンチェーン・トークンとイニシャルコインのオファリング：ブロックチェーンに支えられた海運船の端数所有権を投資家が購入できるようにする「マリンチェーン・トークン」を2017年と2018年に開発・販売することで、北朝鮮は投資家から密かに資金を得て、海運船の権益をコントロールし、米国の制裁を回避することができるようになります。

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.30 United States, Canada, France, Germany, the Netherlands, and the United Kingdomの捜査機関等が協力してEmotet Botnetを潰したようですね。。。

・2020.11.08 米国 10億US$以上の価値のある暗号通貨を没収するための民事訴訟を提起

・2020.10.27 米国連邦司法省がサイバースペースでの破壊的行為を世界的に行ったことでロシアのGRUの6人を起訴した (2020.10.19)

・2020.10.16 数千万ユーロをマネーロンダリングしたと言われるQQAAZZネットワークに属していると思われる逮捕者が20名になりました

・2020.09.21 イランのハッカー3名が照いから知財を盗んだ理由等を起訴されたね。

・2020.09.17 米国司法省世界中で100名超の被害者に関連するコンピュータ侵入キャンペーンに関わったとしてApt41のメンバーを含む7名が起訴されたようですね

・2020.08.04 FBIがTwitterのアカウントを乗っ取った被疑者３名を起訴したと発表していましたね。。。

・2020.07.23 COVID-19の研究を含む知的財産や営業秘密を標的とするコンピュータ侵入キャンペーンを担当した国務省と協力する中国人ハッカー二人を起訴

・2020.02.12 米司法省(DOJ)が中国軍人4人をEquifax不正侵入で提訴したようですね

2021.02.19 00:00 in 情報セキュリティ・サイバーセキュリティ, in フィッシング, in フォレンジック, in ウイルス, in 法律・犯罪, in 内部統制・リスクマネジメント, in 危機管理・事業継続, in IoT, in 暗号・電子署名・ブロックチェーン | Permalink | Comments (0)
Tweet

2021.02.18

英国ICO データ分析ツールを公表

こんにちは、丸山満彦です。

英国のICOがデータ分析ツールを公表していますね。。。

ICOは個人データのデータ分析を検討している全ての組織がこの新しいツールキットに目を通すように期待しているようですね。データ分析をする場合には、プライバシー・バイ・デザインが重要となりますが、そのためのツールと考えて良いのでしょうかね。。。

ツールキットと合わせて、「AIで下された決定を説明する」ためのガイダンスと、「AIシステムで個人の権利を確保する」ためのガイダンスも紹介されていますね。。。

● U.K. Information Commissioner's Office (ICO)

・2021.02.17 (news) ICO launches data analytics toolkit

ツールキットはこちら、

・Toolkit for organisations considering using data analytics

　・・Which legal framework will my organisation be processing under?

　この後は、組織のタイプと、個人データを処理する理由に応じてそれに応じたツールキットでチェックできるようですね。。。

これで法的適合性を完全に保証するわけではないですが、大きなポイントを見逃さないという意味では良いでしょうね。企業側もこのツールキットで確認をしながら進めることができれば、手戻りも少なそうですし。。。

関連するガイダンスはです。。。

・Explaining decisions made with AI

・How do we ensure individual rights in our AI systems?

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.20 UK ICO 雇用決定にアルゴリズムを使用する際に考慮すべき6つのこと

2021.02.18 09:43 in 個人情報保護・プライバシー, in 法律・犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

デンマーク - データ保護局　Cookieを使用するためのクイックガイド

こんにちは、丸山満彦です。

デンマークのデータ保護局 (Datatilsynet) は、ビジネス省 (Erhvervsstyrelsen) 、デジタルセキュリティ評議会 (Radet for Digital Sikkerhed) とともに、Cookieの使用に関するクイックガイドを公表していますね。デンマーク語ですが・・・

● Denmark: Datatilsynet

・2021.02.12 Ny Quickguide til brugen af cookies（Cookieを使用するための新しいクイックガイド）

Rådet for Digital Sikkerhed, Erhvervsstyrelsen og Datatilsynet udgiver nu sammen en Quickguide til brugen af cookies. Quickguiden kan bruges som tjekliste til organisationer, som sætter cookies, eller som skal have dialog med deres samarbejdspartnere om betingelserne for at der sættes cookies.

・[PDF] Quick-guide til at sætte cookies

■参考

● Erhvervsstyrelsen

・Cookie大統領令

日本語に訳してみました・・・

↓↓↓↓↓↓↓↓↓↓↓

» Continue reading

2021.02.18 00:00 in 個人情報保護・プライバシー | Permalink | Comments (0)
Tweet

2021.02.17

ENISA Remote ID Proofing（ヨーロッパ諸国の遠隔身元証明の現状）

こんにちは、丸山満彦です。

ENISAがヨーロッパ諸国の遠隔身元証明の現状をまとめた報告書、"Remote ID Proofing"を公表していますね。。。

eIDASをサポートする報告書という感じですかね。。。

● ENISA

・2021.02.16 (publication) Remote ID Proofing

・[PDF] REMOTE ID PROOFING - Analysis of Methods to carry out identity proofing remotely

1. INTRODUCTION	1. 序論
2. IDENTITY PROOFING METHODS	2. ID証明方法
2.1 IDENTITY PROOFING PROCESS	2.1 ID証明プロセス
2.2 GENERAL METHODS DESCRIPTION	2.2 一般的な方法の説明
2.3 CURRENT PRACTICE	2.3 現在の実務
3. LEGAL LANDSCAPE & STANDARDS	3. 法的なランドスケープと基準
3.1 OVERVIEW	3.1 概要
3.2 LEGISLATION AT THE INTERNATIONAL AND EU LEVEL	3.2 国際・EUレベルでの法制化
3.3 STANDARDIZATION AT THE INTERNATIONAL AND EU LEVEL	3.3 国際・EUレベルでの標準化
3.4 NATIONAL LEVEL LAWS, REGULATIONS AND GUIDELINES	3.4 各国レベルの法律、規制及びガイドライン
3.5 DATA PROTECTION	3.5 データ保護
3.6 SELF-SOVEREIGN SYSTEMS	3.6 自己防衛システム
4. RISK MANAGEMENT	4. リスク管理
4.1 INTRODUCTION	4.1 はじめに
4.2 RISK IDENTIFICATION	4.2 リスクの特定
4.3 RISK BASED SECURITY	4.3 リスクベースのセキュリティ
5. GAPS AND RECOMMENDATIONS	5. ギャップと推奨事項
5.1 OVERVIEW	5.1 概要
5.2 IDENTIFIED GAPS	5.2 識別されたギャップ
5.3 RECOMMENDATIONS	5.3 推奨事項
6. BIBLIOGRAPHY/REFERENCES	6. 参考/参照文献
A ANNEX: DETAILED SITUATION IN DIFFERENT EU MEMBER STATES	附属書A：EU加盟国別の詳細な状況
B ANNEX: THREATS AND VULNERABILITIES	附属書B：脅威と脆弱性
C ANNEX: SECURITY CONTROLS	附属書C：セキュリティ管理

■ 参考 - eIDASについて

● EUR - Lex

・[HTML] [PDF] Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC

Exective Summary

↓↓↓↓↓↓↓↓↓↓↓

» Continue reading

2021.02.17 13:17 in 情報セキュリティ・サイバーセキュリティ, in 個人情報保護・プライバシー, in クラウド | Permalink | Comments (0)
Tweet

英国デジタルID・属性のフレームワーク案の意見募集

こんにちは、丸山満彦です。

英国がデジタルID・属性のフレームワーク案の意見募集をしていますね。。。

● U.K. Government

・2021.02.11 (Press) Government sets out new plans to help build trust in use of digital identities

The government has today published its draft rules of the road for governing the future use of digital identities.

・2021.02.11 (Policy paper) The UK digital identity and attributes trust framework

The government is inviting feedback on new requirements for organisations wanting to provide or consume digital identity products and services.

本文がこれです↓

・2021.02.11 The UK digital identity and attributes trust framework

使うシーンの例示がわかりやすいです。。。

Ministerial foreword	大臣による序文
Background and context	背景と文脈
1.Introduction	1. 前書き
2.Rules for identity service providers	2. IDサービス提供者のルール
3.Rules for attribute service providers	3. 属性サービス提供者のルール
4.Rules for orchestration service providers and relying parties	4. オーケストレーションサービス提供者とそれに依拠する組織のルール
5.Rules for all trust framework participants	5. トラストフレームワーク参加者全員のルール
Glossary of terms and definitions	用語集と定義

2021.02.17 01:58 in 情報セキュリティ・サイバーセキュリティ, in 個人情報保護・プライバシー, in パブコメ関係, in 暗号・電子署名・ブロックチェーン | Permalink | Comments (0)
Tweet

クラウドは竹クラウド集中リスク

こんにちは、丸山満彦です。

いきなり竹です(^^)

竹はイネ科の植物で、日本には150種とも600種とも言われる竹が自生しています[wikipedia]。竹は日本では様々なところで竹細工として使われていますね。また、京都の嵯峨野の竹林は観光でも有名です。旬の朝掘りのタケノコはとても美味しいですね。。。

これほど身近な竹ですが、実は生態はよくわかっていません。例えば、開花。イネは毎年秋に開花しますが、竹は60年から120年に一度花をつけるようだ、というレベルでしかわかっていません。そして、一斉開花すると竹は枯れてしまいます。最近では部分開花をすることもあることが観察されています。

さて、そんな竹の性質と最近流行りのクラウドサービスの共通性を早期に見越して「クラウドは竹」ということを今から10年以上前にいったのが、明治大学の夏井先生です。まさにその通りだと私も思っています。

杉林はそれぞれが独立した木です。一本の木が枯れても他の木が枯れるとは限りません（もちろん、病気により一斉に杉林が枯れることはあります）。一方、竹は地面からニョキニョキ生えてきていますが、竹林と思っていも地下茎で繋がった一つの生命体という場合があります。なので、竹が枯れると、竹林全体が枯れるということになります。

AWSの上で色々なサービスが立ち上がっているという状況は、AWSという地下茎で繋がった竹林から色々なサービスが個々の竹のようにニョキニョキ伸びているのと同じですよね。AWSが倒れるとその上に立っているサービスは倒れてしまいます。

最近私が気にしているのがこのポイントです。社会全体から見ると「クラウド集中リスク」とでも呼べば良いのでしょうかね。。。

個々の企業や政府機関が効率を目指すとクラウドサービスの利用が進むことになる。さらにクラウドサービス同士もより効率の高いサービスに収斂していくようになり、最終的には片手くらいのクラウドサービス事業者の上で社会の多くのサービスが動いている状況になるのではないかと思います。

金融機関のリスク管理、例えば信用リスクの管理では特定の企業に偏った貸付をしていると、その企業がこけた時の影響が大きくなるので、それを管理することが求められます。信用集中リスクの管理、つまり、集中と分散を適度に保つということが求められます。

いつかどこかで、「クラウド集中リスク」を社会全体のリスクとして議論をしていく必要があるのかもしれませんね。。。

「クラウドは竹」

これは意識しておいた方が良いかもですね。。。

京都地蔵院のFacebook 2019.12.04から

■ 農林水産省 - Aff

・2013.01号　特集1 竹のおはなし

私の高校、大学の同級生の藤井康代教授（京都先端大学）が学生時代、竹の研究をしていましたね。。。

■ 京都先端大学 - 藤井康代教授

・1991.12.20 [PDF] Distribution of Esterified Phenolic Acids in Cell Walls of Immature Bamboo（幼竹細抱盤におけるフェノール酸エステルの分布）

2021.02.17 01:25 in 内部統制・リスクマネジメント, in クラウド | Permalink | Comments (0)
Tweet

2021.02.16

欧州委員会健康データとGDPRに関する加盟国の規則についての調査結果を公開

こんにちは、丸山満彦です。

欧州委員会が健康データとGDPRに関する加盟国の規則についての調査結果を公開していますね。。。

● European Commission - Health and Food Safety Directorate General

・2021.02.12 (news letter) Public Health - Commission publishes study on Assessment of the EU Member States’ rules on health data in the light of GDPR

・[PDF] Assessment of the EU Member States’ rules on health data in the light of GDPR

・[PDF] Country fiches for all EU MS - Annex to the study ‘Assessment of the EU Member States’ rules on health data in the light of GDPR’

これは大作...

目次です。。。専門用語に詳しくないので訳は参考程度で(^^;;

EXECUTIVE SUMMARY	エグゼクティブ・サマリー
1. INTRODUCTION	1. 序論
1.1. Data for sustainable health care	1.1. 持続可能なヘルスケアのためのデータ
1.2. Context	1.2. コンテキスト
1.3. Scope of the study	1.3. 研究の範囲
1.3.1. GDPR as starting point	1.3.1. GDPRを出発点に
1.3.2. Types of health data use	1.3.2. 健康データ利用の種類
1.3.3. Legal aspects of different types of data	1.3.3. 異なるタイプのデータの法的側面
1.3.4. Reading guidance	1.3.4. 読み進め方
2. METHODOLOGY	2. 方法論
2.1. Introduction	2.1. はじめに
2.2. Literature review	2.2. 文献レビュー
2.3. Mapping and legal analysis at national level	2.3. 国家レベルでのマッピングと法的分析
2.4. In-depth case studies of governance models	2.4. ガバナンスモデルの詳細な事例研究
2.5. Workshops	2.5. ワークショップ
2.6. Stakeholder survey	2.6. ステークホルダー調査
2.6.1. Types of stakeholders approached	2.6.1. アプローチしたステークホルダーの種類
2.7. Guidance on how to read and interpret this report	2.7. 本報告書の読み方と解釈の手引き
3. LEGAL FRAMEWORK FOR PATIENT CARE	3. 患者ケアのための法的枠組み
3.1. Introduction	3.1. はじめに
3.1.2 The legal base for data processing for Function 1	3.1.2 機能1のデータ処理の法的根拠
3.1.3 Choosing legal bases	3.1.3 法的根拠の選択
3.2. Legal bases used to legitimate processing of health data for Function 1- care provision	3.2. 機能1-ケア提供のための健康データの正当な処理に使用される法的根拠
3.2.1. Health data processing by the data controller who is intending to provide care	3.2.1. ケアを提供しようとするデータ管理者による健康データ処理
3.2.2. Sharing health data for the purposes of providing care to the data subject	3.2.2. データ対象者にケアを提供するための健康データの共有
3.3. Data processing in the context of the use of digital health solutions	3.3. デジタルヘルスソリューションの利用に伴うデータ処理
3.4. Practical and organisational aspects of data use for care provision	3.4. ケア提供のためのデータ利用の実践的・組織的側面
3.5. Interoperability, security and data quality in the context of care provision	3.5. ケア提供の文脈における相互運用性、セキュリティ、データの品質
3.6. Concluding remarks	3.6. おわりに
4. FRAMEWORK FOR SECONDARY USE OF HEALTH DATA FOR PUBLIC HEALTH PURPOSES	4. 公衆衛生上の目的のための健康データの二次利用のための枠組み
4.1. Introduction	4.1. はじめに
4.2. Management of the health care system	4.2. 健康管理システムの管理
4.2.1. Health data sharing with public bodies	4.2.1. 公的機関との健康データの共有
4.2.2. Health data sharing with insurers	4.2.2. 保険者との健康データの共有
4.3. Market approval of medicines and devices	4.3. 医薬品・デバイスの市場承認
4.4. Pharmacovigilance and medical device safety monitoring	4.4. ファーマコビジランスと医療機器の安全性モニタリング
4.5. Public health threats	4.5. 公衆衛生上の脅威
4.6. Disease registries	4.6. 疾患登録
4.7. Stakeholder views concerning processing of health data for public health purposes	4.7. 公衆衛生目的のための健康データの処理に関する利害関係者の意見
4.8. Concluding remarks	4.8. おわりに
5. SECONDARY USE OF HEALTH DATA FOR SCIENTIFIC OR HISTORICAL RESEARCH	5. 科学的または時系列的研究のための健康データの二次利用
5.1. Introduction: defining function 3 and the legal basis for secondary use of health data for scientific research	5.1. はじめに：機能３の定義と科学研究のための健康データの二次利用の法的根拠
5.1.1. Legal basis for processing -function 3- research	5.1.1. 処理の法的根拠 -機能 3 調査
5.1.2. Lawful bases and safeguards	5.1.2. 合法的なベースとセーフガード
5.2. Survey findings: legal bases used to legitimate processing of health data for Function 3 - Research	5.2. 調査結果：機能3のための健康データの正当な処理に使用される法的根拠 - 調査
5.2.1. Introduction to findings	5.2.1. 所見の紹介
5.2.2. Findings - sectoral legislation or authoritative guidance further specifying the application of article 9(2)(j) in the context of health research	5.2.2. 所見 - 健康研究の文脈における第 9 条(2)項(j)の適用をさらに規定したセクター別の立法又は権威あるガイダンス。
5.2.3. Findings - specific legislation and legal bases used for research by third-party researchers in public and non-public organisations	5.2.3. 調査結果 - 公的機関および非公的機関における第三者研究者による研究に用いられる具体的な法律と法的根拠
5.2.4. Specific legislation and legal bases used for research on genetic data	5.2.4. 5.2.4. 遺伝子データに関する研究に用いられる具体的な法律と法的根拠
5.3. Consent	5.3. 同意
5.4. Stakeholder views concerning processing personal data for research purposes	5.4. 研究目的のための個人データの処理に関する利害関係者の意見
5.5. Concluding remarks	5.5. おわりに
6. DATA SUBJECTS’ RIGHTS	6. データ対象者の権利
6.1. Introduction	6.1. はじめに
6.2. Survey finding on patients’ and data subjects’ rights with respect to health-related data	6.2. 健康関連データに関する患者およびデータ対象者の権利に関する調査結果
6.2.1. Transparency and information	6.2.1. 透明性と情報
6.2.2. Access, rectification and erasure	6.2.2. アクセス、整流、消去
6.2.3. Data Portability	6.2.3. データのポータビリティ
6.3. Concluding remarks	6.3. おわりに
7. DATA GOVERNANCE STRATEGIES AND BODIES	7. データガバナンスの戦略と機関
7.1. Regulatory mechanisms which address the use of health data for research purposes	7.1. 研究目的のための健康データの使用に対処する規制メカニズム
7.1.1. Main types of application procedures for data access	7.1.1. データアクセスのための主な適用手順の種類
7.1.2. Access to data where no centralised national system exists	7.1.2. 国の中央集権システムが存在しない場合のデータへのアクセス
7.2. Access to data where some form of centralised national system exists	7.2. ある種の中央集権的な国家システムが存在する場合のデータへのアクセス
7.2.1. Main characteristics of data access bodies	7.2.1. データアクセス機関の主な特徴
7.3. Key characteristics of data access bodies	7.3. データアクセス機関の主な特徴
7.3.1. Detailed description of the components of Table 7.2	7.3.1. 表7.2の構成要素の詳細な説明
7.3.2. Data Access, including anonymisation and/or pseudonymisatio	7.3.2. 匿名化及び／又は仮名化を含むデータアクセス
7.4. Data altruism	7.4. データ利他主義
7.4.1. What the literature says	7.4.1. 文献に書かれていること
7.4.2. What is taking place in Member States?	7.4.2. 加盟国では何が行われているのか？
7.4.3. What the future may bring	7.4.3. 未来がもたらすかもしれないもの
7.5. Stakeholders views	7.5. 利害関係者の意見
7.6. Concluding remarks	7.6. おわりに
7.7. Within-chapter annex: detailed description of case studies	7.7. 付録：ケーススタディの詳細説明
8. POTENTIAL ACTIONS AT EU LEVEL	8. EU レベルでの潜在的なアクション
8.1. Introduction	8.1. はじめに
8.1.1. An EU level Code of Conduct	8.1.1. EU レベルの行動規範
8.1.2. New sector specific EU level law	8.1.2. 新たな分野別EUレベルの法律
8.1.3. Non-legislative measures including guidance and policy actions	8.1.3. ガイダンスや政策行動を含む非立法的措置
8.2. Exploring Support for Action at EU Level	8.2. EUレベルでの行動支援を探る
8.2.1. Anonymisation and pseudonymisation	8.2.1. 匿名化と仮名化
8.2.2. Security	8.2.2. セキュリティ
8.2.3. Data quality and minimal data sets	8.2.3. データ品質と最小データセット
8.2.4. Interoperability	8.2.4. 相互運用性
8.3. Views on a Code of Conduct	8.3. 行動規範に対する考え方
8.4. Views on future legislation	8.4. 今後の法制化についての見解
8.5. Addressing the practical needs of a European Health Data Space	8.5. 欧州の健康データ空間の実用的なニーズへの対応
8.6. Conclusions and next steps	8.6. 結論と次のステップ
REFERENCES	参考文献
ANNEX 1 TABLES LEGAL AND TECHNICAL SURVEY PER MEMBER STATE	別紙1 加盟国別の法律・技術調査表
ANNEX 2 RESULTS STAKEHOLDER ANALYSIS PER TYPE OF RESPONDENT	別紙2 回答者のタイプ別に見たステークホルダー分析の結果
ANNEX 3 LEGAL AND PRACTICAL SURVEY FOR COUNTRY CORRESPONDENTS	別添3 国別報告者のための法的・実務調査
ANNEX 4 EXPERT AND STAKEHOLDER SURVEY	別添4 エキスパート・ステークホルダー調査
ANNEX 5 ADDITIONAL LEGAL SURVEY	別紙5 追加の法的調査

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.07 EDPB 健康研究を中心としたGDPRの一貫した適用に関する欧州委員会からの明確化要請に対する回答

2021.02.16 11:15 in 情報セキュリティ・サイバーセキュリティ, in 個人情報保護・プライバシー, in 内部統制・リスクマネジメント, in 危機管理・事業継続, in IoT | Permalink | Comments (0)
Tweet

ニューヨーク州金融サービス局（NYDFS）サイバー保険リスクフレームワーク（保険通達2021年第2号）at 2021.02.04

こんにちは、丸山満彦です。

ニューヨーク州金融サービス局（NYDFS）サイバー保険リスクフレームワーク保険通達2021年第2号）を2021.02.04に公表していました。。。

● New York Department of Financial Services (NYDFS)

・2021.02.04 Insurance Circular Letter No. 2 (2021) Cyber Insurance Risk Framework

サイバー保険リスクフレームワークは7つの実践？からなっていますね。。。

原文	仮訳
1. Establish a Formal Cyber Insurance Risk Strategy	1. 正式なサイバー保険リスク戦略の策定
Insurers that offer cyber insurance should have a formal strategy for measuring cyber insurance risk that is directed and approved by senior management and the board of directors, or the governing body if there is no board.[16] The strategy should include clear qualitative and quantitative goals for risk, and progress against those goals should be reported to senior management and the board, or the governing body if there is no board, on a regular basis. The strategy should incorporate the six key practices identified below.	サイバー保険を提供する保険会社は、サイバー保険リスクを測定するための正式な戦略を持つべきである。この戦略には、リスクの質的・量的な目標が明確に含まれているべきであり、目標に対する進捗状況は、定期的に上級管理職と取締役会、取締役会がない場合は運営機関に報告されるべきである。戦略には、以下の6つの重要な実践方法を組み込むべきである。
2. Manage and Eliminate Exposure to Silent Cyber Insurance Risk	2. サイレントサイバー保険リスクの管理と排除
Insurers that offer cyber insurance should determine whether they are exposed to silent or non-affirmative cyber insurance risk, which is risk that an insurer must cover loss from a cyber incident under a policy that does not explicitly mention cyber. Even property/casualty insurers that do not explicitly offer cyber insurance should evaluate their exposure to silent risk and take appropriate steps to reduce their exposure. Silent risk can be found in a variety of combined coverage policies and stand-alone non-cyber policies, including errors and omissions, burglary and theft, general liability and product liability insurance. Cyber risk likely has not been quantified or priced into these policies, which exposes insurers to unexpected losses.	サイバー保険を提供している保険会社は、サイレントリスクとは、明示的にはサイバーに言及していない保険契約の下で、保険会社がサイバー事故による損失をカバーしなければならないリスクである。サイバー保険を明示的に提供していない損害保険会社であっても、サイレントリスクのエクスポージャーを評価し、エクスポージャーを低減するための適切な措置を講じるべきである。サイレントリスクは、過失傷害、強盗・盗難、損害賠償責任保険、製造物責任保険など、さまざまな複合保険や単独のサイバー保険以外の保険に見られる。サイバーリスクは、これらの保険には定量化されておらず、価格設定されていない可能性が高いため、保険会社は予期せぬ損失にさらされている。
Ultimately, insurers should eliminate silent risk by making clear in any policy that could be subject to a cyber claim whether that policy provides or excludes coverage for cyber-related losses. Elimination of this risk will take some time, given the many existing policies that can contain silent cyber risk. Insurers should therefore also take steps to mitigate existing silent risk, such as by purchasing reinsurance.	最終的には、保険者はサイバークレームの対象となる可能性のある保険契約において、その保険契約がサイバー関連損害に対する補償を提供しているか否かを明確にすることで、サイレントリスクを排除すべきである。サイレントサイバーリスクを封じ込めることができる既存の保険が多数存在することを考えると、このリスクを排除するには時間がかかるだろう。そのため、保険者は再保険を購入するなど、既存のサイレントリスクを軽減するための対策を講じるべきである。
3. Evaluate Systemic Risk	3. システミック・リスクの評価
As part of their cyber insurance risk strategy, insurers that offer cyber insurance should regularly evaluate systemic risk and plan for potential losses. Systemic risk has grown in part because institutions increasingly rely on third party vendors and those vendors are highly concentrated in key areas like cloud services and managed services providers. Insurers should understand the critical third parties used by their insureds and model the effect of a catastrophic cyber event on such critical third parties that may cause simultaneous losses to many of their insureds. Examples of such events could include a self-propagating malware, such as NotPetya, or a supply chain attack, such as the SolarWinds trojan, that infects many institutions at the same time, or a cyber event that disables a major cloud services provider. A catastrophic cyber event could inflict tremendous losses on insurers that may jeopardize their financial solvency.	サイバー保険のリスク戦略の一環として、サイバー保険を提供する保険会社は、システミックリスクを定期的に評価し、潜在的な損失に備えた計画を立てる必要があります。システミックリスクが拡大しているのは、金融機関がサードパーティのベンダーに依存するケースが増えていることと、それらのベンダーがクラウドサービスやマネージドサービスプロバイダーなどの重要な分野に集中していることが一因である。保険会社は、被保険者が利用している重要なサードパーティを理解し、多くの被保険者に同時に損害をもたらす可能性のある重要なサードパーティに対する破局的なサイバー事象の影響をモデル化しなければならない。このような事象の例としては、NotPetya のような自己増殖型のマルウェアや、SolarWinds トロイの木馬のようなサプライチェーン攻撃が多くの機関に同時に感染したり、大手クラウド・サービス・プロバイダを不能にするサイバー事象などが考えられる。壊滅的なサイバーイベントは、保険会社に莫大な損失をもたらし、保険会社の財政的な支払能力を危うくする可能性がある。
Insurers also should conduct internal cybersecurity stress tests based on unlikely but realistic catastrophic cyber events. Accurate stress testing requires accounting for both silent and affirmative risk. Moreover, because exposure to catastrophic cyber events varies across business industries and by type and size of the insured, insurers should track the impact of stress test scenarios across the different kinds of insurance policies they offer as well as across the different industries of their insureds. The cyber insurance risk strategy should account for possible losses identified in stress tests.	また、保険会社は、起こりそうもないが現実的な破局的なサイバー事象に基づいて、内部的なサイバーセキュリティのストレステストを実施すべきである。正確なストレステストには、サイレントリスクとアファメーションリスクの両方を考慮する必要がある。さらに、壊滅的なサイバー事象へのエクスポージャーは、業種や被保険者の種類や規模によって異なるため、保険会社は、提供する保険契約の種類や被保険者の業種の違いに応じて、ストレステストシナリオの影響を追跡する必要がある。サイバー保険のリスク戦略は、ストレステストで特定される可能性のある損失を考慮しなければならない。
4. Rigorously Measure Insured Risk	4. 保険リスクの厳格な測定
Insurers that offer cyber insurance should have a data-driven, comprehensive plan for assessing the cyber risk of each insured and potential insured. This commonly starts with gathering information regarding the institution’s cybersecurity program through surveys and interviews on topics including corporate governance and controls, vulnerability management, access controls, encryption, endpoint monitoring, boundary defenses, incident response planning and third-party security policies. The information should be detailed enough for the insurer to make a rigorous assessment of potential gaps and vulnerabilities in the insured’s cybersecurity. Third-party sources, such as external cyber risk evaluations, are also a valuable source of information. This information should be compared with analysis of past claims data to identify the risk associated with specific gaps in cybersecurity controls.	サイバー保険を提供する保険者は、各被保険者および潜在的な被保険者のサイバーリスクを評価するために、データに基づいた包括的な計画を策定しなければならない。これは一般的に、企業統治と統制、脆弱性管理、アクセス制御、暗号化、エンドポイント監視、境界防御、インシデント対応計画、サードパーティのセキュリティポリシーなどのトピックについての調査やインタビューを通じて、その機関のサイバーセキュリティプログラムに関する情報を収集することから始まる。これらの情報は、保険者が被保険者のサイバーセキュリティにおける潜在的なギャップや脆弱性を厳密に評価するのに十分な詳細なものでなければならない。外部のサイバーリスク評価などの第三者の情報源も貴重な情報源である。これらの情報は、過去の保険金請求データの分析と比較して、サイバーセキュリティ対策の特定のギャップに関連するリスクを特定すべきである。
5. Educate Insureds and Insurance Producers	5. 被保険者と保険生産者の教育
Insurers that offer cyber insurance have an important role to play in educating their insureds about cybersecurity and reducing the risk of cyber incidents. Insurers should strive to offer more comprehensive information about the value of cybersecurity measures and facilitate the adoption of those measures. Insurers should also incentivize the adoption of better cybersecurity measures by pricing policies based on the effectiveness of each insured’s cybersecurity program.	サイバー保険を提供する保険者は、被保険者にサイバーセキュリティについて教育し、サイバーインシデントのリスクを軽減する上で重要な役割を担っている。保険者は、サイバーセキュリティ対策の価値についてより包括的な情報を提供し、それらの対策の採用を促進するよう努力すべきである。また、保険者は、各被保険者のサイバーセキュリティ・プログラムの有効性に基づいて保険料を設定することで、より優れたサイバーセキュリティ対策の採用を奨励すべきである。
Several leading insurers already offer their insureds guidance, discounted access to cybersecurity services, and even cybersecurity assessments and recommendations for improvement. We commend these initiatives, and insurers should continue to expand the type, scope and reach of such offerings.	すでにいくつかの大手保険会社は、被保険者にガイダンス、サイバーセキュリティサービスへの割引アクセス、さらにはサイバーセキュリティ評価や改善のための推奨事項まで提供している。我々はこれらの取り組みを称賛するとともに、保険会社はこのような提供の種類、範囲、範囲を拡大し続けるべきである。
Insurers should also encourage and assist with the education of insurance producers who should have a better understanding of potential cyber exposures, types and scope of cyber coverage offered, and monetary limits in cyber insurance policies. Ensuring that the need for, benefits of, and limitations to cyber insurance are well understood and conveyed to insureds and potential insureds will facilitate the growth of a robust cyber insurance market.	保険者はまた、潜在的なサイバー・エクスポージャ、提供されるサイバー保険の種類と範囲、サイバー保険の金額限度額をよりよく理解しておくべき保険会社の教育を奨励し、支援すべきである。サイバー保険の必要性、メリット、制限が十分に理解され、被保険者や潜在的な被保険者に伝えられるようにすることは、強固なサイバー保険市場の成長を促進することになるだろう。
6. Obtain Cybersecurity Expertise	6. サイバーセキュリティの専門知識を得る
Insurers that offer cyber insurance need appropriate expertise to properly understand and evaluate cyber risk. Insurers should recruit employees with cybersecurity experience and skills and commit to their training and development, supplemented as necessary with consultants or vendors.	サイバー保険を提供する保険会社は、サイバーリスクを適切に理解し、評価するための適切な専門知識を必要とする。保険者は、サイバーセキュリティの経験とスキルを持つ従業員を採用し、必要に応じてコンサルタントやベンダーを利用して補完しながら、彼らのトレーニングと開発に取り組むべきである。
7. Require Notice to Law Enforcement	7. 法執行機関への通知を義務付ける
Cyber insurance policies should include a requirement that victims notify law enforcement. Some insurers that offer cyber insurance already engage in this best practice. Notice to law enforcement may be beneficial both to the victim-insured and the public. Law enforcement often has valuable information that may not be available to private sources and can help victims of a cyber incident. Law enforcement can help recover data and funds that were lost. For instance, when funds are stolen through a business email compromise, law enforcement can sometimes block or reverse wire transfers if alerted of the incident promptly. Notice to law enforcement also can enhance a victim’s reputation when its response to a cyber incident is evaluated by its shareholders, regulators, and the public. Finally, information received by law enforcement can be used to prosecute the attackers, warn others of existing cybersecurity threats, and deter future cybercrime.	サイバー保険には、被害者が法執行機関に通知することを義務付けるべきである。サイバー保険を提供する保険会社の中には、すでにこのベストプラクティスを実施しているところもある。法執行機関への通知は、被害者と被保険者の双方にとって有益な場合がある。法執行機関は、民間の情報源では入手できない貴重な情報を持っていることが多く、サイバー事件の被害者を支援することができる。法執行機関は、失われたデータや資金の回収を支援することができる。例えば、企業の電子メールの漏洩によって資金が盗まれた場合、法執行機関は、事件が発生したことを速やかに通知すれば、電信送金をブロックしたり、逆送金したりすることができる場合がある。また、法執行機関への通知は、サイバー事件への対応が株主、規制当局、および一般の人々に評価される際に、被害者の評判を高めることにもなる。最後に、法執行機関が受け取った情報は、攻撃者を訴追し、既存のサイバーセキュリティの脅威を他の人に警告し、将来のサイバー犯罪を抑止するために使用することができる。

2021.02.16 02:14 in 情報セキュリティ・サイバーセキュリティ, in 内部統制・リスクマネジメント, in 危機管理・事業継続 | Permalink | Comments (0)
Tweet

Clubhouseの音声データは中国に流れているのか？

こんにちは、丸山満彦です。

急速に日本でもユーザ数を増やしているAlpha Exploration社のaudio-chat social networking application のClubhouseですが、その音声データが中国本土のサーバを経由している可能性があるとして、話題になりましたね。

● Stanford Internet Observatory Cyber Policy Center - blog

・2021.02.12 Clubhouse in China: Is the data safe?

● REUTERS

・2021.02.13 Clubhouse says reviewing data protection practices after report points to flaws by Reuters Staff

SHANGHAI (Reuters) - U.S. audio app Clubhouse said it is reviewing its data protection practices, after a report by the Stanford Internet Observatory said it contained security flaws that left users’ data vulnerable to access by the Chinese government.

.....

“Over the next 72 hours, we are rolling out changes to add additional encryption and blocks to prevent Clubhouse clients from ever transmitting pings to Chinese servers. We also plan to engage an external data security firm to review and validate these changes.”

その後、中国本土を通らないように設定を変更し、外部専門家に確認をしてもらうということになっているのですが、現在はどうなっているのでしょうかね。。。

音声は録音されているようですので、ちょっとした管理人付き談話室、管理人付き討論会場、管理人付きミニ放送局といった感じになるんでしょうかね。。。プライバシーの問題や、犯罪防止に関する問題もこれから出てくるかもしれませんね。。。

ちなみにこの発表より前に中国本土ではアクセスできないようになっています。

● AU ABC News

・2021.02.10 China bans Clubhouse app as thousands share stories about Xinjiang and Tiananmen Square by Bang Xiao

● BBC

・2021.02.10 Clubhouse discussion app knocked offline in China

● Clubhouse [wiki]

・Blog

・Guidelines

・Privacy

・Terms

2021.02.16 01:35 in 情報セキュリティ・サイバーセキュリティ, in 個人情報保護・プライバシー, in 内部統制・リスクマネジメント, in 危機管理・事業継続 | Permalink | Comments (0)
Tweet

IPA 2018年10月に発刊されたAI白書2019のPDF版を公開

こんにちは、丸山満彦です。

IPAが2018年10月に発刊されたAI白書2019のPDF版を公開しましたね。。。（紙3,600円・電子媒体2,800円の）書籍による提供だったのがPDF無料ということですかね。。。

3年前の情報ということになりますね。。。

3年前の情報であっても陳腐化していない部分も相当あると思います。また、3年前の答え合わせ的に読むというのもありですね。。。意地悪な見方というよりも、どの分野が想定外に伸びたか、伸びなかったか、ということをみてその原因等を考えるといった感じです。。。

あっ、私は電子書籍版をAmazonで買っていました（斜め読みくらいはしています...(^^;;）

● IPA

・2021.02.15 「AI白書2019」PDF版を公開

「AI白書2019　～企業を変えるAI 世界と日本の選択～」

[PDF]

2021.02.16 00:31 in AI/Deep Learning | Permalink | Comments (0)
Tweet

2021.02.15

総務省「テレワークセキュリティガイドライン（第5版）」（案）に対する意見募集

こんにちは、丸山満彦です。

総務省が、「テレワークセキュリティガイドライン（第5版）」（案）に対する意見募集をしていますね。。。

初版は2004年ですから、17年になりますかね。。。すごい歴史です。。。第4版は2018年4月なので、前版から3年。。。

今回の改訂は

【テレワーク環境・セキュリティ動向の変化】

テレワークは「一部の従業員」が利用するものから、Web会議を含め、一般的な業務・勤務形態に
クラウドサービスの普及やスマートフォン等の活用が進むなど、システム構成や利用形態が多様化
標的型攻撃等の高度な攻撃が増え、従来型のセキュリティ対策では十分対応できない状況も発生

を受けた、改定のポイントは

【ガイドライン改定の主要なポイント】

テレワーク方式を再整理した上で、テレワークによって実現する業務の内容や、セキュリティ統制の容易性等から、適した方式を選定するフローチャートを掲載。
経営者・システム管理者・勤務者の立場それぞれにおける役割を明確化。
執るべきセキュリティ対策の分類や内容を全面的に見直し
テレワークセキュリティに関連するトラブルについて、具体的事例を含め全面見直し
（事例紹介のほか、セキュリティ上留意すべき点や、採るべき対策についても明示）

ということのようですね。。。

● 総務省

・2021.02.15 「テレワークセキュリティガイドライン（第5版）」（案）に対する意見募集

・概要 [PDF] 別添1

・改定案 [PDF] 別添2

ガイドラインの構成、目次

↓↓↓↓↓↓↓↓↓↓

» Continue reading

2021.02.15 18:38 in 情報セキュリティ・サイバーセキュリティ, in 個人情報保護・プライバシー, in 内部統制・リスクマネジメント, in 危機管理・事業継続, in クラウド, in パブコメ関係 | Permalink | Comments (0)
Tweet

経済産業省の「我が国のAIガバナンスの在り方 ver. 1.0（中間報告書）」に対する経団連等の意見

こんにちは、丸山満彦です。

経済産業省が2021.01.15にに「我が国のAIガバナンスの在り方 ver. 1.0」のパブコメを2021.02.13まで募集していました（なので、終了しています。。。）が、経団連等が意見を提出していますね。。。

● 経済産業省

・2021.01.15 (news) 「我が国のAIガバナンスの在り方 ver. 1.0（AI社会実装アーキテクチャー検討会中間報告書）」の意見公募手続（パブリックコメント）を開始しました

1．経緯・背景

人間中心のAIの開発・利用を実現するため、2019年にはOECDのAI原則やG20 AI原則のとりまとめが行われ、日本においても、「人間中心のAI社会原則」が取りまとめられました。これらの原則に基づき、AIを構成要素として含むAIシステム、AIシステムの機能を提供するAIサービス、その他付随的サービス、及び、これらを開発、利用、提供する者に関するガバナンスのあり方が、国内外で議論されています。これを受けて、国内ではAI戦略2019フォローアップや統合イノベーション戦略2020において、AI社会原則の実現に向けたAIガバナンスの在り方を検討することが盛り込まれ、国際的にも、2020年6月に設立されたAIに関するグローパル・パートナーシップ（GPAI）において、OECDのAI原則の実装に向けた検討がなされています。

上記の動きを踏まえ、経済産業省では、本年6月から、AIを利活用している企業・利用者・技術者・アカデミア・法律や監査の専門家に御参加いただき、「AI社会実装アーキテクチャー検討会」を開催しています。本検討会では、AIの社会実装を進めるために、AIガバナンスの在り方について、企業実務の観点から検討を行っているところです。

今般、本検討会にて「我が国のAIガバナンスの在り方 ver. 1.0（AI社会実装アーキテクチャー検討会中間報告書）」を、取りまとめました。

● 一般社団法人 日本経済団体連合

・2021.02.12 AI社会実装アーキテクチャー検討会中間報告書「我が国のAIガバナンスの在り方 ver.1.0」に対する意見

● 一般社団法人 電子情報技術産業協会 (JEITA) - 個人データ保護専門委員会

・2021.02.12 [PDF]「我が国の AI ガバナンスの在り方 ver. 1.0 （AI 社会実装アーキテクチャー検討会中間報告書）」に関する意見

私も法的拘束力のないガバナンスコードのようなものが良いとは思います。

そのためには、自律をしっかりしないといけないと思うので、

政府も経団連もそういうものを自ら作成し、実装に対して主導していくことが重要です。

その辺りの決意などが滲み出るようなコメントであればなお、よかったと思いました。。。

» Continue reading

2021.02.15 17:25 in 情報セキュリティ・サイバーセキュリティ, in 個人情報保護・プライバシー, in 内部統制・リスクマネジメント, in 危機管理・事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

ロシアプライバシー法に違反した場合の罰金を引き上げる法案を下院が承認したようですね。。。

こんにちは、丸山満彦です。

ロシアのプライバシー法に違反した場合の罰金を引き上げる法案を下院が承認したようですね。。。この後、上院が承認し、大統領が署名がですが。。。

● Россия（ロシア） - законодательной деятельности (立法支援システム)

・№ 1061159-7О внесении изменений в Кодекс Российской Федерации об административных правонарушениях（ロシア連邦行政犯罪法の改正案の導入について）

(об установлении административной ответственности за отдельные правонарушения в области связи и информации)（通信・情報分野における一定の違反行為に対する行政責任の設置）

下院を通過した法案↓

・2021.02.10 [RTF] Текст законопроекта к третьему чтению (Комитет Государственной Думы по государственному строительству и законодательству)

個人と法人で罰金額に差がつけられていますが、法人でも50万ルーブルですから、約70万円？となりますよね。。。欧州の罰金に慣れているので。。。

■ 報道

● Morgan Lewis

・2021.02.12 RUSSIA APPROVES INCREASED FINES FOR VIOLATION OF DATA PROCESSING REQUIREMENTS

表を2021.02.11のレート（1RUB = 1.4222 yen）で円に換算しました。。。

第13.11条	違反の種類	改正	RUB		Yen
第1項	不法な、データ収集の目的と矛盾する個人データの処理	2倍	60,000	100,000	85,332	142,220
第1.1項（新規）	第13.11条第1項を繰り返した場合	新設	100,000	300,000	142,220	426,660
第2項	データ主体の書面による同意なしの個人データの処理（同意が必要な場合）、またはそのような書面による同意の内容に対する要件への違反	2倍	30,000	150,000	42,666	213,330
第2.1項（新規）	第13.11条第2項を繰り返した場合	新設	300,000	500,000	426,660	711,100
第3項	プライバシーポリシーやその他のデータ処理に関する情報の非公表（またはアクセス不可）	2倍	30,000	60,000	42,666	85,332
第4項	個人データの処理についてデータ主体への非通知	2倍	40,000	80,000	56,888	113,776
第5項	個人データの修正、ブロック、または破棄についてデータ主体の要求への非対応	2倍	50,000	90,000	71,110	127,998
第5.1項（新規）	第13.11条第5項を繰り返した場合	新設	300,000	500,000	426,660	711,100
第6項	個人データを含む物理メディアの保護と機密性の非確保	2倍	50,000	100,000	71,110	142,220

2021.02.15 10:26 in 個人情報保護・プライバシー, in 法律・犯罪 | Permalink | Comments (0)
Tweet

Recent Posts

Recent Comments

Recent Trackbacks

連載 (ITmedia)

ウェブページ

2021.02.25

2021.02.24

2021.02.23

2021.02.22

2021.02.21

2021.02.20

2021.02.19

2021.02.18

2021.02.17

2021.02.16

2021.02.15

ココログ

まるちゃん

関連団体

情報法関連Blog

情報法 Web

セキュリティ Blog

セキュリティ web

内部統制