« 欧州データ保護委員会 (EDPB)・欧州データ保護監督官 (EDPS) データガバナンス法に関する共同意見を採択 | Main | 欧州データ保護委員会 (EDPB) コネクテッド・カーおよびモビリティ関連アプリケーションにおける個人データの処理に関するガイドラインの最終版を公表 »

2021.03.15

欧州データ保護監督官 (EDPS) が欧州のサイバーセキュリティ戦略とネットワークおよび情報システムのセキュリティに関する改訂された指令(NIS 2.0)を歓迎すると表明

こんにちは、丸山満彦です。

欧州データ保護監督官 (EDPS) が欧州のサイバーセキュリティ戦略とネットワークおよび情報システムのセキュリティに関する改訂された指令(NIS 2.0)を歓迎すると表明していますね。。。

European Data Protection Supervisor: EDPS 

・2021.03.12 EDPS welcomes EU Cybersecurity update

Wojciech Wiewiórowski, EDPS, said: EDPSのWojciech Wiewiórowski氏は、次のように述べています。
 “It is essential that privacy and data protection are embedded in the proposed Directive and in all future initiatives stemming from the EU’s Cybersecurity Strategy. This will allow a holistic approach when managing cybersecurity risks and protecting individuals’ personal data. In addition, to ensure that the Cybersecurity Strategy, and, by extension, the proposed Directive are effective, it is necessary to fully integrate the EU institutions, offices, bodies and agencies in the overall EU-wide cybersecurity framework to achieve a uniformed level of protection”.  「プライバシーとデータ保護を、提案されている指令や、EUのサイバーセキュリティ戦略に由来する今後のすべてのイニシアチブに組み込むことが不可欠です。これにより、サイバーセキュリティのリスクを管理し、個人個人それぞれの個人データを保護するための全体的なアプローチが可能になります。さらに、サイバーセキュリティ戦略、ひいては提案されている指令が効果的であることを確実にするためには、統一されたレベルの保護を実現するために、EUの機関、事務所、団体、行政機関をEU全体のサイバーセキュリティの枠組みに完全に統合することが必要です。」

 

・2021.03.11 EDPS Opinion on the Cybersecurity Strategy and the NIS 2.0 Directive

・[PDF

 

20210314-101851

Executive Summary エグゼクティブ・サマリー
On 16 December 2020, the European Commission has adopted a proposal for a Directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union, repealing Directive (EU) 2016/1148 (‘the Proposal’). In parallel, the European Commission and the High Representative of the Union for Foreign Affairs and Security Policy issued a Joint Communication to the European Parliament and the Council, titled ‘The EU's Cybersecurity Strategy for the Digital Decade’ (‘the Strategy’). 2020年12月16日、欧州委員会は、指令(EU)2016/1148を廃止し、EU全体で高い共通レベルのサイバーセキュリティのための措置に関する欧州議会および欧州理事会の指令の提案(以下、「本提案」)を採択した。これと並行して、欧州委員会と外務・安全保障政策担当上級代表は、欧州議会と理事会に向けて「デジタルの10年のためのEUのサイバーセキュリティ戦略」(以下、「戦略」)と題した共同コミュニケーションを発表した。
The EDPS fully supports the overall objective of the Strategy to ensure a global and open internet with strong safeguards for the risks to security and the fundamental rights, recognising the strategic value of the Internet and its governance and reinforcing the Union action therein, in a multi-stakeholders model. EDPSは、インターネットとそのガバナンスの戦略的価値を認識し、複数の利害関係者によるモデルで、安全保障と基本的権利に対する強力なセーフガードを備えたグローバルで開かれたインターネットを確保するという、本戦略の全体的な目的を全面的に支持する。
The EDPS therefore equally welcomes the aim of the Proposal to introduce systemic and structural changes to the current NIS Directive in order to cover a wider set of entities across the Union, with stronger security measures, including mandatory risk management, minimum standards and relevant supervision and enforcement provisions. In this regard, the EDPS considers that it is necessary to fully integrate Union institutions, offices, bodies and agencies in the overall EU-wide cybersecurity framework for achieving a uniform level of protection, by including Union institutions, offices, bodies and agencies explicitly in the scope of the Proposal. したがって、EDPSは、現行のNIS指令にシステム的・構造的な変更を導入して、義務的なリスク管理、最低基準、関連する監督・執行規定を含む、より強力なセキュリティ対策で、EU全体のより広範な事業体をカバーするという提案の目的を同様に歓迎する。これに関連して、EDPSは、提案の範囲に組合機関、事務所、団体、機関を明示的に含めることにより、均一の保護レベルを達成するために、組合機関、事務所、団体、機関をEU全体のサイバーセキュリティの枠組みに完全に統合することが必要であると考えている。
The EDPS further highlights the importance of integrating the privacy and data protection perspective in the cybersecurity measures stemming from the Proposal or from other cybersecurity initiatives of the Strategy in order to ensure a holistic approach and enable synergies when managing cybersecurity and protecting the personal information they process. It is equally important that that any potential limitation of the right to the protection of personal data and privacy entailed by such measures fulfil the criteria laid down in Article 52 of EU Charter of Fundamental Rights, and in particular that they be achieved by way of a legislative measure, and be both necessary and proportionate. EDPSはさらに、サイバーセキュリティを管理し、自らが処理する個人情報を保護する際に、全体的なアプローチを確保し、相乗効果を可能にするために、提案または戦略の他のサイバーセキュリティ・イニシアチブから生じるサイバーセキュリティ対策に、プライバシーとデータ保護の観点を統合することの重要性を強調している。同様に重要なのは、このような措置によって個人データとプライバシーの保護に対する権利が制限される可能性がある場合、EU基本権憲章第52条に定められた基準を満たすこと、特に立法措置によって達成されること、そして必要かつ比例的であることである。
It is the expectation of the EDPS that the Proposal does not seek to affect the application of existing EU laws governing the processing of personal data, including the tasks and powers of the independent supervisory authorities competent to monitor compliance with those instruments. This means that all cybersecurity systems and services involved in the prevention, detection, and response to cyber threats should be compliant with the current privacy and data protection framework. In this regard, the EDPS considers it important and necessary to establish a clear and unambiguous definition for the term “cybersecurity” for the purposes of the Proposal. EDPSは、本提案が、個人データの処理を規定する既存のEU法の適用に影響を与えようとしないことを期待する。これには、これらの法律の遵守を監視する権限を有する独立監督機関の任務と権限が含まれる。つまり、サイバー脅威の予防、検知、対応に関わるすべてのサイバーセキュリティシステムとサービスは、現行のプライバシーとデータ保護の枠組みに準拠する必要がある。これに関連して、EDPSは、本提案の目的上、「サイバーセキュリティ」という用語について明確かつ曖昧さのない定義を確立することが重要かつ必要であると考えている。
The EDPS issues specific recommendations to ensure that the Proposal correctly and effectively complements the existing Union legislation on personal data protection, in particular the GDPR and the ePrivacy Directive, also by involving the EDPS and the European Data Protection Board when necessary, and establishing clear mechanisms for the collaboration between competent authorities from the different regulatory areas. EDPSは、本提案が、個人データ保護に関する既存のEU法、特にGDPRとeプライバシー指令を正しく効果的に補完し、必要に応じてEDPSと欧州データ保護委員会を関与させ、異なる規制分野の管轄当局間の協力のための明確なメカニズムを確立するよう、具体的な提言を行っている。
Furthermore, the provisions on managing internet Top Level Domain registries should clearly define the relevant scope and conditions in law. The concept of the proactive scans of network and information systems by the CSIRTs equally requires further clarifications on the scope and the types of personal data processed. Attention is drawn to the risks for possible non-compliant data transfers related to the outsourcing of cybersecurity services or the acquisition of cybersecurity products and their supply chain. The EDPS welcomes the call for the promotion of the use of encryption, and in particular end-to-end encryption, and reiterates his position on encryption as a critical and irreplaceable technology for effective data protection and privacy, whose circumvention would deprive the mechanism of any protection capability due to their possible unlawful use and loss of trust in security controls. To this end, it should be clarified that nothing in the Proposal should be construed as an endorsement of weakening end-to-end encryption through “backdoors” or similar solutions. さらに、インターネットのトップレベルドメイン登録機関の管理に関する条項では、関連する範囲と条件を法律で明確に定義する必要がある。CSIRT によるネットワークと情報システムのプロアクティブなスキャンのコンセプトも、処理される個人データの範囲と種類についてさらに明確化する必要がある。サイバーセキュリティサービスの外注、サイバーセキュリティ製品の購入とそのサプライチェーンに関連して、コンプライアンスに反するデータ移転の可能性があることに注意が必要である。EDPSは、暗号化、特にエンド・ツー・エンドの暗号化の使用を促進する呼びかけを歓迎し、暗号化は効果的なデータ保護とプライバシーのための重要でかけがえのない技術であり、その回避は、違法な使用の可能性やセキュリティ管理の信頼性の喪失により、メカニズムから保護能力を奪うことになるという立場を改めて表明するものである。このため、本提案のいかなる内容も、「バックドア」や同様のソリューションによってエンド・ツー・エンドの暗号化を弱めることを推奨するものと解釈されるべきではないことを明確にしておく。
   
1. INTRODUCTION 1. イントロダクション
2. GENERAL COMMENTS 2. 総論
2.1. ON THE CYBERSECURITY STRATEGY 2.1. サイバーセキュリティ戦略について
2.2. ON THE PROPOSAL 2.2. 提案について
2.3. ON THE SCOPE OF THE STRATEGY AND OF THE PROPOSAL TO THE UNION INSTITUTIONS, OFFICES, BODIES AND AGENCIES 2.3. 戦略の範囲と、組合の機関、事務所、団体、機関への提案について
3. SPECIFIC RECOMMENDATIONS 3. 具体的な提案
3 1. RELATIONSHIP TO EXISTING UNION LEGISLATION ON PERSONAL DATA PROTECTION 3 1. 個人データ保護に関する既存の欧州法との関係
3.2. THE DEFINITION OF CYBERSECURITY 3.2. サイバーセキュリティ(cybersecurity)の定義
3.3. DOMAIN NAMES AND REGISTRATION DATA (‘WHOIS DATA’) 3.3. ドメイン名と登録データ(「Whoisデータ」) 
3.4. ‘PROACTIVE SCANNING OF NETWORK AND INFORMATION SYSTEMS’ BY CSIRTS 3.4. CSIRTによる「ネットワークおよび情報システムの積極的なスキャン」。
3.5. OUTSOURCING AND SUPPLY CHAIN 3.5. アウトソーシングとサプライチェーン
3.6. ENCRYPTION 3.6. 暗号化(ENCRYPTION
3.7. CYBERSECURITY RISK MANAGEMENT MEASURES 3.7. サイバーセキュリティのリスク管理対策
3.8. PERSONAL DATA BREACHES 3.8. 個人情報漏洩
3.9. COOPERATION GROUP 3.9. 協力団体
3.10. JURISDICTION AND TERRITORIALITY 3.10. 司法権と地域性
4. CONCLUSIONS 4. 最後に
Notes 備考

|

« 欧州データ保護委員会 (EDPB)・欧州データ保護監督官 (EDPS) データガバナンス法に関する共同意見を採択 | Main | 欧州データ保護委員会 (EDPB) コネクテッド・カーおよびモビリティ関連アプリケーションにおける個人データの処理に関するガイドラインの最終版を公表 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 欧州データ保護委員会 (EDPB)・欧州データ保護監督官 (EDPS) データガバナンス法に関する共同意見を採択 | Main | 欧州データ保護委員会 (EDPB) コネクテッド・カーおよびモビリティ関連アプリケーションにおける個人データの処理に関するガイドラインの最終版を公表 »