法律 / 犯罪

2022.12.03

Interpol サイバー化された金融犯罪:インターポールの世界的な警察活動で1億3,000万米ドル(175億円)を阻止 (2022.11.24)

こんにちは、丸山満彦です。

インターポールの世界的な活動である、HAECHI III作戦で1億3,000万米ドル(175億円)の仮想資産を押収し、約1000名を逮捕したと公表していますね。。。

ちなみに、HAECHI III作戦(2022.06.28-11.23)には30カ国が参加していて、日本も参加していますね。。。

確かに銀行強盗をしようとする人はかなり減っていて、金融犯罪というのは、基本的にサイバーですよね。。。

 

Interpol

・2022.11.24 Cyber-enabled financial crime: USD 130 million intercepted in global INTERPOL police operation

 

Cyber-enabled financial crime: USD 130 million intercepted in global INTERPOL police operation サイバー化された金融犯罪:インターポールの世界的な警察活動で1億3,000万米ドルを阻止
Operation HAECHI III cracks down on voice phishing, romance scams, sextortion, investment fraud, business email compromise and money laundering associated with illegal online gambling  「HAECHI III作戦」は、違法なオンライン・ギャンブルに関連する音声フィッシング、ロマンス詐欺、セクストーション、投資詐欺、ビジネス・メール侵害、マネーロンダリングを取り締まるものである。
LYON, France – An INTERPOL police operation to tackle online fraud has seen almost 1000 suspects arrested and the seizure of USD 129,975,440 worth of virtual assets. フランス、リヨン - インターポール(国際刑事警察機構)のオンライン詐欺撲滅作戦により、約1000人の容疑者が逮捕され、1億2997万5440ドル相当の仮想資産が押収された。
Fraud investigators around the world worked together over five months (28 June – 23 November) to intercept money and virtual assets linked to a wide range of cyber-enabled financial crimes and money laundering, assisting countries to recover and return illicitly obtained funds to victims. 世界中の詐欺捜査官が5ヶ月間(6月28日~11月23日)協力し、幅広いサイバー金融犯罪やマネーロンダリングに関連する資金や仮想資産を押収し、各国が不正に入手した資金を回収して被害者に返還できるよう支援した。
Specifically targeting voice phishing, romance scams, sextortion, investment fraud and money laundering associated with illegal online gambling, Operation HAECHI III was coordinated by INTERPOL’s Financial Crime and Anti-Corruption Centre (IFCACC) which supported 30 countries via their respective INTERPOL National Central Bureaus (NCBs). 特に音声フィッシング、ロマンス詐欺、セクストーション、投資詐欺、違法オンラインギャンブルに関連するマネーロンダリングをターゲットとした「オペレーション HAECHI III」は、インターポールの金融犯罪・腐敗防止センター(IFCACC)が調整し、それぞれのインターポール国内中央局(NCB)を通じて30カ国を支援した。
In total, the operation resulted in the arrest of 975 individuals and allowed investigators to resolve more than 1,600 cases. In addition almost 2,800 bank and virtual-asset accounts linked to the illicit proceeds of online financial crime were blocked. この活動により、合計で975人が逮捕され、捜査官は1,600件以上の事件を解決することができた。さらに、オンライン金融犯罪の不正収益に関連する約2,800の銀行口座と仮想資産口座が封鎖された。
Operation HAECHI III investigations generated the publication of 95 INTERPOL Notices and diffusions, and the detection of 16 new crime trends. HAECHI III作戦の捜査により、95件のインターポール・ノーティスが発行され、拡散され、16件の新しい犯罪動向が検出された。
Taking the profit out of financial crime 金融犯罪から利益を得る
Operation HAECHI III brought together law enforcement agencies, Financial Intelligence Units, asset recovery offices, prosecutors and private sector financial experts to identify illicit funds and money mules, detect money laundering activities and deactivate associated bank accounts. HAECHI III作戦は、法執行機関、金融情報部門、資産回収事務所、検察、民間の金融専門家を集め、不正資金やマネー・ミュールの特定、マネー・ローンダリング活動の検出、関連銀行口座の無効化などを行いた。
“The success of this operation is based on two key elements for law enforcement, follow the money and cooperation via INTERPOL. We have highlighted the need for greater efforts to deprive criminals of their illegal gains and this operation has seen member countries doing just that.” Jürgen Stock, INTERPOL Secretary General 「この作戦の成功は、法執行機関にとって2つの重要な要素、資金の追跡とインターポールを通じた協力に基づくものである。私たちは、犯罪者から違法な利益を奪うためにさらなる努力が必要であることを強調してきたが、この作戦によって、加盟国はまさにそれを実践している」ユルゲン・ストックINTERPOL事務局長
International police cooperation during Operation HAECHI III unveiled several emerging online financial crime trends, particularly variations on impersonation scams, romance frauds, sextortion and investment frauds. HAECHI III」作戦における国際警察の協力により、オンライン金融犯罪の新たなトレンド、特になりすまし詐欺、ロマンス詐欺、セクストーション、投資詐欺のバリエーションが明らかにされた。
Investigators also reported a surge in fraudulent investment schemes committed through the use of instant messaging apps where encrypted information is exchanged promoting the use of cryptocurrency wallets for payment. また、暗号化された情報をやり取りするインスタントメッセージングアプリを利用した詐欺的な投資スキームが急増しており、暗号通貨ウォレットを使った支払いを促進していると報告されている。
In one investigation, two Red Notice fugitives wanted by Korea for suspected involvement in a global Ponzi scheme were arrested in Greece and Italy after embezzling EUR 28 million from 2,000 Korean victims. ある捜査では、世界的なねずみ講への関与が疑われ、韓国から指名手配されていた2人のレッドノーティスの逃亡者が、韓国の被害者2000人から2800万ユーロを横領した後、ギリシャとイタリアで逮捕された。
In another case, the Austrian and Indian NCBs identified a group of online criminals who had been impersonating INTERPOL officers, persuading victims to transfer some USD 159,000 through financial institutions, cryptocurrency exchanges and online gift cards. Indian authorities raided the call centre, seizing four cryptocurrency wallets and other crucial crime evidence. 別の事例では、オーストリアとインドのNCBが、INTERPOLの職員になりすまし、金融機関、暗号通貨取引所、オンラインギフトカードを通じて約15万9000米ドルを送金するよう被害者を説得していたネット犯罪者のグループを特定した。インド当局はコールセンターを急襲し、4つの暗号通貨ウォレットとその他の重要な犯罪証拠を押収した。
"As we look to the future, we recognize the importance for decisive and concerted law enforcement action across borders.  This year’s leg of Operation HAECHI III speaks volumes of IFCACC’s dedicated coordination and the strong commitment of participating countries, all of which foretell of new law enforcement victories ahead," said Hyung Se Lee, Head of NCB Seoul. 「私たちは将来を見据え、国境を越えた断固とした協調的な法執行活動の重要性を認識している。  今年の「オペレーション HAECHI III」は、IFCACCの献身的な調整と参加国の強いコミットメントを物語っており、これらはすべて今後の新たな法執行の勝利を予見させるものである」とNCB SeoulのHyung Se Lee代表は述べている。
From test pilot to live policing tool: ARRP テストパイロットから実際の取り締まりツールへ:ARRP
After several months of pilot testing, Operation HAECHI III saw investigators launch INTERPOL’s new global stop-payment mechanism, known as the Anti-Money Laundering Rapid Response Protocol (ARRP), which  enables countries to work together to submit and handle requests to restrain criminal proceeds. 数カ月にわたるパイロットテストの後、HAECHI III作戦では、捜査官がインターポールの新しいグローバルな支払停止メカニズムであるアンチ・マネー・ローンダリング迅速対応プロトコル(ARRP)を立ち上げた。
Among many ARRP successes during the operation, NCBs Manchester and Dublin worked together to trace and seize some EUR 1.2 million lost to business email scams perpetrated in Ireland.  The funds were returned in full to the victim’s Irish bank account, and investigations continue. この活動では、ARRPの多くの成功例の中で、マンチェスターとダブリンのNCBが協力して、アイルランドで行われたビジネスメール詐欺で失われた約120万ユーロを追跡・押収した。  資金は被害者のアイルランドの銀行口座に全額返還され、捜査が続けられている。
Since January 2022, in total the ARRP has helped member countries recover more than USD 120 million in criminal proceeds from cyber-enabled fraud. 2022年1月以降、ARRPは合計で1億2千万米ドル以上のサイバー対応詐欺の犯罪収益回収を加盟国に支援してきた。
HAECHI III participating countries : Australia, Austria, Brunei, Cambodia, Cote d’Ivoire, France, Ghana, Hong Kong (China), India, Indonesia, Ireland, Japan, Korea, Kyrgyzstan, Laos, Malaysia, Maldives, Nigeria, Philippines, Poland, Romania, Singapore, Slovenia, South Africa, Spain, Sweden, Thailand, United Arab Emirates, United Kingdom, United States. HAECHI III参加国: オーストラリア、オーストリア、ブルネイ、カンボジア、コートジボワール、フランス、ガーナ、香港(中国)、インド、インドネシア、アイルランド、日本、韓国、キルギスタン、ラオス、マレーシア、モルジブ、ナイジェリア、フィリピン、ポーランド、ルーマニア、シンガポール、スロベニア、南アフリカ、スペイン、スウェーデン、タイ、アラブ首長国連邦、英国、米国。
The HAECHI III Operation is global in scope, conducted under the aegis of a three-year project to tackle cyber-enabled financial crime supported by the Republic of Korea, with the participation of INTERPOL member countries on every continent. HAECHI III作戦は、韓国が支援するサイバー金融犯罪に対処するための3年間のプロジェクトの庇護のもと、全大陸のインターポール加盟国の参加を得て実施されるグローバルな作戦である。

Interpol

 


 

● まるちゃんの情報セキュリティきまぐれ日記

・2022.10.15 警察庁 金融庁 NISC 北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

・2022.06.21 米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

・2022.04.21 総務省 経済産業省 警察庁、内閣官房 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催

・2022.04.17 公安調査庁 サイバー空間における脅威の概況2022

・2022.04.12 警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について (2022.04.07)

・2022.03.23 米国 FBI 2021年インターネット犯罪レポート

・2022.01.31 警察法改正案 情報通信局からサイバー警察局へ他

・2021.12.19 警察庁 サイバーセキュリティ政策会議 【令和3年度】サイバー局等新組織において取り組む政策パッケージ

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.06.25 警察庁 サイバー事案への対処能力の強化のために警察庁にサイバー局を設置?

・2021.05.17 Interpol 英国の資金でアフリカのサイバー犯罪と戦うためのイニシアティブを始めた

・2021.04.23 警察庁から「犯罪インフラ化するSMS認証代行への対策について」が公表されていますね

・2020.12.13 Interpolによって調整されたFirst Light作戦2020により電話・インターネット詐欺犯を2万人以上を逮捕し、約160億円を押収したようですね。

 

 

一気に10年前に飛びます(^^)

・2012.07.22 警察庁 警察庁長官官房審議官(サイバーセキュリティ戦略担当)の設置

・2012.06.12 警察庁 CSIRT設置

・2010.07.27 警察庁 マネー・ローンダリング対策のための事業者による顧客管理の在り方に関する懇談会報告書

・2010.03.23 警察庁 情報技術解析平成21年報

・2010.02.08 警察庁 確定 国家公安委員会が所管する事業分野における個人情報保護に関する指針

・2008.04.09 警察庁 Winny等ファイル共有ソフトを用いた著作権侵害問題とその対応策について(平成19年度総合セキュリティ対策会議 報告書)

・2007.03.08 警察庁 暗号化ソフト開発

・2007.02.22 警察庁 DNA型記録検索システム

・2005.10.22 警察庁 有害ネットの自動監視システム構築へ?

・2005.08.19 警察庁 平成17年上半期の犯罪情勢

・2005.07.22 警察庁 サイバー犯罪防止広報パンフレット

・2005.06.29 警察庁とマイクロソフトが技術協力

・2005.06.17 警察庁 インターネット安全・安心相談システムを開始

・2005.06.21 政府の情報セキュリティ機関

・2005.06.11 奥菜恵さんをインターネット安全大使に任命

・2005.04.07 警察庁 情報セキュリティ対策の実態調査

・2005.04.01 警察庁セキュリティビデオ 「サイバー犯罪事件簿~姿なき侵入者~」

・2005.03.01 サイバー犯罪といえば詐欺

・2005.02.24 サイバー犯罪といえば児童ポルノ

・2004.12.24 @policeの世界のセキュリティ情報

・2004.12.17 警察庁発表 振り込め詐欺対策

・2004.12.02 フィッシングって・・・と、その対策

・2004.11.25 政府のセキュリティサイトを訪ねてみよう

 

コンピュータ犯罪に関する白浜シンポジウム関係

・2022.05.27 第26回サイバー犯罪に関する白浜シンポジウム 顕在化する国境なきサイバー犯罪に立ち向かうために~ ランサムウェアの脅威を考える ~

・2021.05.22 第25回サイバー犯罪に関する白浜シンポジウムが終了しました。。。

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

あのJIPDECの昭和57年発行の本をベースに発表した資料があります↓

・2016.08.11 コンピュータ・セキュリティ -犯罪対策と災害対策-

・2012.05.27 白浜シンポおわりました! 今年で16回目

・2011.05.14 まもなく白浜シンポ! 今年で15回目

・2011.04.16 第15回サイバー犯罪に関する白浜シンポジウム

・2010.06.04 第14回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2010.04.11 第14回サイバー犯罪に関する白浜シンポジウム

・2009.06.05 第13回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2008.10.01 白浜シンポ 経済産業大臣表彰「情報セキュリティ促進部門」

・2008.06.07 白浜シンポ無事終了。来年もできるように。

・2008.06.05 今日から「第12回サイバー犯罪に関する白浜シンポジウム」です。。。

・2008.04.15 第12回サイバー犯罪に関する白浜シンポジウム

・2007.06.09 白浜シンポ 無事終了・・・

・2007.06.09 白浜シンポ 無事、二日目終了・・・

・2007.06.08 白浜シンポ 無事、初日終了・・・

・2007.06.07 本日より・・・第11回サイバー犯罪に関する白浜シンポジウム

・2007.03.29 第11回サイバー犯罪に関する白浜シンポジウム

・2006.05.25 本日より・・・第10回コンピュータ犯罪に関する白浜シンポジウム

・2006.04.03 受付開始! 第10回コンピュータ犯罪に関する白浜シンポジウム

・2005.05.21 第9回コンピュータ犯罪に関する白浜シンポジウム無事終了!

・2005.04.03 コンピュータ犯罪に関する白浜シンポジウム 2005

 

 

 

| | Comments (0)

ENISA サイバーセキュリティ市場分析をするためのディスカッション

こんにちは、丸山満彦です。

規制というのは、(寡占、公害といった外部不経済、情報の偏りなどの理由で)完全競争市場ではない市場において生じている社会全体の利潤の減少を補正し、完全競争市場であれば得られたであろう利潤に持っていくための手段なのだろうと思っています。なので、今ある市場がどのような状態であるのかということを理解することは、どのような補正をすれば、社会的に利潤が最大化するかを理解する上で重要なことだとおもっています。。。

また、企業にとっても市場を正しく理解することは、今後の製品、サービス開発にとっても重要なインプットとなりますね。。。

ということで、ENISAはサイバーセキュリティ市場をどのようにすれば適切に理解できるのかという市場分析の手法について、さまざまな立場の有識者を交えたディスカッションを通じて理解しようとしていますね。。。(今年の4月には暫定版の報告書も公開し、配電網分野のIoTセキュリティ市場での調査結果も公表しています。。。)

日本の政策決定課程との大きな違いかもですね。。。(政策を入れた時の社会への影響分析も欧米ではしますよね。。。日本ではあまり見たことないですが。。。)。日本の場合は、大きな声(利権に関わるので自然と声が大きくなる)の人の意見がより大きく政策に影響され、かえって市場が歪められていたりして。。。で、その結果、国際的な競争力を失っていたりして。。。 知らんけど。。。

さて、ENISAが11月23日ー24日にクラウドサービスを中心に行ったディスカッションのメモ...

結論...

  1. サイバーセキュリティの市場分析には、セクターの特異性を捉えるように設計された方法論を採用すべきである。
  2. サイバーセキュリティ・レジリエンス法は、サイバーセキュリティ市場の透明性を高める画期的な法律案である。同時に、域内市場、サイバーセキュリティ、レジリエンス政策を含む領域をシームレスにカバーするために、他の法律との整合性を確保することが重要である。
  3. EUのサイバーセキュリティ市場を改善し、できればその潜在能力を最大限に発揮させるためには、スキルギャップを解消することが必要である。
  4. 欧州のサイバーセキュリティ市場におけるクラウドセキュリティインフラへの投資レベルは、他の地域(例:米国)の取り組みに比べると遅れている。
  5. 政府は、(国家による攻撃など)必要なときにサイバーセキュリティサービスを利用できるEU市場で活動するサービスプロバイダの目録を保持する必要がある。
  6. サイバーセキュリティの認証制度は、中小企業の投資の可能性に見合ったものである必要がある。

Enisa_20221203060901

 

ENISA

・2022.12.01 Going to the market for Cybersecurity Market Analysis

Going to the market for Cybersecurity Market Analysis サイバーセキュリティ市場分析のために市場へ出向く
The European Union Agency for Cybersecurity (ENISA) organised its first conference on cybersecurity market analysis last week for EU cybersecurity market stakeholders to share experiences and initiate the debate on how to best perform EU cybersecurity market analysis. 欧州連合サイバーセキュリティ機関(ENISA)は先週、EUサイバーセキュリティ市場の関係者を対象に、サイバーセキュリティ市場分析に関する初の会議を開催し、EUサイバーセキュリティ市場分析の最善の実行方法について経験を共有し、議論を開始した。
The objective of the market conference held in Brussels on 23-24 November during the Certification week organised by ENISA, was to promote a policy debate in the area of cybersecurity market analysis. It allowed stakeholders to share their experiences and views on aspects of cybersecurity and what they perceive to be the EU market thereof. ENISAが主催する認証週間中の11月23日から24日にかけてブリュッセルで開催された市場会議の目的は、サイバーセキュリティ市場分析の分野における政策論争を促進することでした。この会議では、関係者がサイバーセキュリティの側面とそのEU市場に関する認識について、それぞれの経験や見解を共有することができた。
Focusing primarily on cloud services, suppliers and users of cybersecurity services, national and European regulators, and research organisations shared the main cybersecurity market trends. They also addressed the questions raised by the evolution of the European cybersecurity regulatory framework and the impact it is likely to have on their affairs and businesses. Such feedback is essential to identify current gaps in the market, seize business opportunities and assess the impact of the cybersecurity requirements. 主にクラウドサービスに焦点を当て、サイバーセキュリティサービスのサプライヤーとユーザー、国内および欧州の規制当局、研究機関が、サイバーセキュリティ市場の主要な動向を共有した。また、欧州のサイバーセキュリティ規制の枠組みの進化によって生じる疑問や、それが自分たちの業務やビジネスに与えるであろう影響についても取り上げた。このようなフィードバックは、市場における現在のギャップを特定し、ビジネスチャンスを掴み、サイバーセキュリティ要件がもたらす影響を評価するために不可欠なものである。
Lorena Boix Alonso is Director for Digital Society, Trust and Cybersecurity inat the European Commission’s Directorate General for Communications Networks Content and Technology (DG CONNECT), stated: "The EU Cybersecurity sector grows fast to match increased digitisation and cyber threats. The European Cyber Competence Center and the EU Agency for Cybersecurity-ENISA are instrumental to increase the EU cyber posture, respectively contributing to strategic investments on cyber capabilities and operational guidance on cyber resilience. We already have a strong research basis on cyber in the EU, but lag behind on turn that research into market impact. We also suffer from a shortage of skilled cyber workers, which is why the Commission will work with others to build a European Cybersecurity Skills Academy." 欧州委員会の通信ネットワーク・コンテンツ・技術総局(DG CONNECT)のデジタル社会・信頼・サイバーセキュリティ担当ディレクターであるロリーナ・ボワ・アロンソは、次のように述べている。「EUのサイバーセキュリティ部門は、デジタル化の進展とサイバー脅威の増大に合わせて急速に成長している。欧州サイバーコンピテンスセンターと欧州サイバーセキュリティ機関(ENISA)は、それぞれサイバー能力に関する戦略的投資とサイバーレジリエンスに関する運用指針に貢献し、EUのサイバー態勢の強化に寄与している。EUには、サイバーに関する強力な研究基盤がすでにあるが、その研究を市場にインパクトのあるものにすることについては遅れをとっている。また、熟練したサイバー従事者の不足にも悩まされている。だからこそ、欧州委員会は他の機関と協力して、欧州サイバーセキュリティ技能アカデミーを設立するのである」。
ENISA Executive Director, Juhan Lepassaar said: "We need to make sure our cybersecurity market is fit for our purpose to make the EU cyber resilient. The market analysis framework developed by ENISA will help identify potential loopholes and map synergies at work. With the right tools and insights from the experience of all our stakeholders across the EU Member States, cybersecurity market analysis will allow us to better understand where to apply our efforts to improve our efficiency." ENISAのJuhan Lepassaar事務局長は、次のように述べた。 「我々は、EUのサイバーレジリエンスを高めるために、サイバーセキュリティ市場が我々の目的に適合していることを確認する必要がある。ENISAが開発した市場分析フレームワークは、潜在的な抜け穴を特定し、作業中の相乗効果をマッピングするのに役立つ。適切なツールとEU加盟国中のすべての関係者の経験からの洞察により、サイバーセキュリティ市場分析では、どこに我々の努力を適用して効率を向上させるべきかをよりよく理解できるようになる。」
Outcomes 成果
During the event, speakers and participants engaged in a lively discussion concerning a host of cybersecurity market aspects. Key conclusions include the following: イベント期間中、講演者と参加者は、サイバーセキュリティ市場の多くの側面について、活発な議論を行った。主な結論は以下の通りである。
・Cybersecurity market analysis should adopt methodologies, that are designed to capture sectoral specificities. ・サイバーセキュリティの市場分析には、セクターの特異性を捉えるように設計された方法論を採用すべきである。
・The Cybersecurity Resilience Act is a ground-breaking piece of draft legislation, which enhances transparency in the cybersecurity market. At the same time, it is important to ensure alignment with other pieces of legislation to seamlessly cover the spectrum that includes, internal market, cybersecurity and resilience policies. ・サイバーセキュリティ・レジリエンス法は、サイバーセキュリティ市場の透明性を高める画期的な法律案である。同時に、域内市場、サイバーセキュリティ、レジリエンス政策を含む領域をシームレスにカバーするために、他の法律との整合性を確保することが重要である。
・It is necessary to close the skills gap in order to improve and hopefully unleash the full potential of the EU cybersecurity market. ・EUのサイバーセキュリティ市場を改善し、できればその潜在能力を最大限に発揮させるためには、スキルギャップを解消することが必要である。
・The level of investment in cloud security infrastructure in the European cybersecurity market lags the efforts across other regions (e.g. US). ・欧州のサイバーセキュリティ市場におけるクラウドセキュリティインフラへの投資レベルは、他の地域(例:米国)の取り組みに比べると遅れている。
・Governments should hold an inventory of the service providers operating in the EU market that make available cybersecurity services when needed (e.g. state-sponsored attacks). ・政府は、(国家による攻撃など)必要なときにサイバーセキュリティサービスを利用できるEU市場で活動するサービスプロバイダの目録を保持する必要がある。
・Cybersecurity certification schemes need to remain proportionate to the investment potential of SMEs. ・サイバーセキュリティの認証制度は、中小企業の投資の可能性に見合ったものである必要がある。
Background 開催背景
The conference that mobilised about 35 speakers, was organised across a range of discussion panels covering the following 6 key topics: 本コンファレンスでは、約35名の講演者が参加し、以下の6つの主要なトピックについて、様々なディスカッションパネルが構成されました。
1. Overview of the EU regulatory approach on cybersecurity; 1. サイバーセキュリティに関するEUの規制アプローチの概要
2. EU digital single market: cybersecurity requirements; 2. EUのデジタル単一市場:サイバーセキュリティの要件
3. Current Practices in Market Analysis and interplay with cybersecurity; 3. 市場分析における現在の実践とサイバーセキュリティとの相互作用。
4. Cybersecurity market: cooperation, innovation and investment strategies; 4. サイバーセキュリティ市場:協力、イノベーション、投資戦略。
5. Strengths, weaknesses, opportunities and threats for the EU cloud cybersecurity market; 5. EUクラウドサイバーセキュリティ市場の強み、弱み、機会、脅威。
6. Cybersecurity certification – driver for the EU cybersecurity market. 6. サイバーセキュリティ認証 - EUのサイバーセキュリティ市場のドライバー。
A sound market analysis can help market players and regulators make informed decisions on cybersecurity devices or services to use, policy initiatives and research and innovation funding. 健全な市場分析は、市場関係者や規制当局が、使用するサイバーセキュリティ機器やサービス、政策的取り組み、研究・イノベーションへの資金提供について、十分な情報に基づいた決定を下すのに役立つ。
For this purpose, ENISA developed a framework to carry out cybersecurity market analysis and it applied it already to the market of the Internet of Things (IoT) distribution grid. The focus shifted to cloud services in 2022. この目的のために、ENISAはサイバーセキュリティ市場分析を行うためのフレームワークを開発し、すでにモノのインターネット(IoT)配電網の市場に適用している。2022年にはクラウドサービスに焦点が移った。
A dedicated Ad Hoc Working Group (AHWG) on the EU Cybersecurity Market has been of assistance to ENISA. EUサイバーセキュリティ市場に関する専門のアドホック・ワーキング・グループ(AHWG)は、ENISAを支援している。
Target audience 対象者
・EU institutions, bodies and Agencies; ・EUの機関、団体、機関
・Member States/public authorities; ・加盟国/公的機関
・ENISA stakeholder groups; ・ENISAのステークホルダー・グループ
・Service providers; ・サービスプロバイダー
・Independent experts; ・独立した専門家
・Industry and industry associations; ・産業界および業界団体
・Research institutions and research related entities; ・研究機関及び研究関連団体
・Consumer organisations/associations. ・消費者組織・団体
Further information その他の情報
Cybersecurity Market Analysis Framework – ENISA report 2022 サイバーセキュリティ市場分析フレームワーク - ENISAレポート2022年版
EU Cybersecurity Market Analysis – IoT in Distribution Grids – ENISA report 2022 EUサイバーセキュリティ市場分析-配電網のIoT-ENISAレポート2022年版

 

サイバーセキュリティ市場分析フレームワークのページ...

● ENISA - Topics - MarketCybersecurity Market Analysis Framework

・Detail

The ENISA Cybersecurity Market Analysis Framework is a “cookbook” on how EU cybersecurity market analyses can be performed. is the cornerstone of ENISA activities in analysing the EU cybersecurity market, as it is used within ENISA to scope, customise and perform market analyses ENISAサイバーセキュリティ市場分析フレームワークは、EUサイバーセキュリティ市場分析をどのように行うことができるかについての「料理本」である。 は、ENISA内で市場分析の範囲、カスタマイズ、実行に使用されており、EUサイバーセキュリティ市場の分析におけるENISA活動の基礎となるものである。
Cybersecurity Market Analysis Framework サイバーセキュリティ市場分析フレームワーク
It is based on existing market analysis good practices and proposes improvements towards covering cybersecurity products, services and processes. In this context, in 2021 ENISA has developed an initial version of a cybersecurity analysis method. This work resulted in the initial version of the ENISA Cybersecurity Market Analysis Framework (ECSMAF)[1]. 既存の市場分析のグッドプラクティスに基づき、サイバーセキュリティ製品、サービス、プロセスをカバーする方向で改善を提案している。この文脈で、2021年、ENISAはサイバーセキュリティ分析手法の初期版を開発した。この作業の結果、初期バージョンのENISAサイバーセキュリティ市場分析フレームワーク(ECSMAF)が誕生した[1]。
Essentially, this framework is aimed at those who need a market analysis for a cybersecurity market product, service and processe. It explains what the market analyst should do to describe the cybersecurity market segment (for example, a specific technology) and have an informed view of the demand and supply sides of the cybersecurity market in that segment. 基本的に、このフレームワークは、サイバーセキュリティ市場の製品、サービス、プロセスについて市場分析を必要とする人を対象としている。サイバーセキュリティ市場のセグメント(例えば、特定の技術)を説明し、そのセグメントにおけるサイバーセキュリティ市場の需要側と供給側の情報に基づいた見解を持つために、市場分析が何をすべきかを説明している。
More specifically, ECSMAF has several aims such as to 具体的には、ECSMAFには以下のような狙いがある。
・help identify gaps and opportunities in the European cybersecurity market; ・欧州のサイバーセキュリティ市場におけるギャップと機会の特定を支援する。
・serve as a template or model or guide for putting together a cybersecurity market analysis that can be used for assessing the prospects for any new cybersecurity product, service or process; ・新しいサイバーセキュリティ製品、サービス、プロセスの見通しを評価するために使用できるサイバーセキュリティ市場分析をまとめるためのテンプレートまたはモデル、ガイドとして機能する。
・support the European cybersecurity market by applying more rigour and a more comprehensive, structured approach to the analysis of the market prospects for new products, services and/or processes; ・新しい製品、サービス、プロセスの市場見込みの分析に、より厳密で、より包括的、構造化されたアプローチを適用することによって、欧州のサイバーセキュリティ市場を支援する。
・complement other related work in ENISA (e.g., in risk assessment, research and innovation, cybersecurity index, policy development, cybersecurity certification) and outside ENISA (e.g., national market observatories and statistics organisations); ・ENISA の他の関連業務(例:リスク評価、研究・イノベーション、サイバーセキュリティ指標、政策立案、サイバーセキュリティ認証)および ENISA の外部(例:各国の市場観測機関、統計機関)を補完する。
・help the cybersecurity market analyst prepare a credible market analysis for new cybersecurity products, services and/or processes; ・サイバーセキュリティ市場分析が、新しいサイバーセキュリティ製品、サービス、および/またはプロセスのための信頼できる市場分析を準備するのを支援する。
・establish comparability and quality compliance among the results achieved within a single organisation (inter-organisation consistency); ・単一の組織内で達成された結果間の比較可能性と品質コンプライアンスを確立する(組織間の整合性)。
・establish comparability and quality compliance among results achieved by various analysts of various organisations (intra-organisation consistency); ・様々な組織の様々な分析が達成した結果間の比較可能性と品質コンプライアンスを確立する(組織内一貫性)。
・increase re-usability of material developed within various analysis surveys. ・様々な分析調査において開発された資料の再利用性を高める。
Currently, ECSMAF is used by ENISA within performed cybersecurity market analyses, while it is subject of continuous improvements to enhance its applicability and usefulness for a variety of stakeholders who might be interested in performing their own cybersecurity market analyses. Examples of these stakeholders are: 現在、ECSMAFは、ENISAが実施したサイバーセキュリティ市場分析で使用されているが、独自のサイバーセキュリティ市場分析を実施することに関心を持つ様々な利害関係者にとって、その適用性と有用性を高めるために、継続的な改善が行われている。これらの利害関係者の例としては
・EU institutions, bodies and agencies (e.g., DG-CNECT, DG-GROW, DG-JRC, DG-RTD, DG-TRADE, European Cybersecurity Competence Centre - ECCC, Eurostat, etc.). EU regulation and impact assessments often take into account market issues. Market analyses are important to help policymakers understand trends as well as related demand and supply issues. Market analyses can also help shape future calls in Horizon Europe and other EU programmes where there are market gaps. ・EUの機関、団体、機関(例:DG-CNECT, DG-GROW, DG-JRC, DG-RTD, DG-TRADE, European Cybersecurity Competence Centre - ECCC, Eurostat, etc.):EUの規制や影響評価は、しばしば市場の問題を考慮に入れている。市場分析は、政策立案者がトレンドや関連する需要や供給の問題を理解するために重要である。また、市場分析は、市場にギャップがある場合、ホライゾンヨーロッパや他のEUプログラムにおける将来の募集を形成するのに役立つことがある。
・Public authorities, especially cybersecurity authorities. Cybersecurity market surveillance is subject to regulation (e.g., CSA). The framework and its application may help in comparative market analyses and identifying shared efforts between the Member States. ・公的機関、特にサイバーセキュリティ当局。サイバーセキュリティの市場サーベイランスは規制の対象である(例:CSA):このフレームワークとその適用は、市場比較分析や加盟国間の共有努力の特定に役立つ可能性がある。
・ENISA stakeholder groups (e.g., European Cybersecurity Certification Group (ECCG) composed of Member States, Stakeholder Cybersecurity Certification Group, ENISA Advisory Group). The framework may support decision-making for prioritising certification efforts and spotting market gaps. ・ENISA の関係者グループ(例:加盟国で構成される欧州サイバーセキュリティ認証グループ(ECCG)、関係者サイバーセキュリティ認証グループ、ENISA アドバイザリーグループ):フレームワークは、認証の取り組みの優先順位付けや市場のギャップを見出すための意思決定を支援することができる。
・Industry associations [e.g., Ecosystem of Certification, EU TIC Council, the European Cyber Security Organisation (ECSO), the Information Security Forum (ISF)]: Industry and professional associations can use the framework to identify market opportunities, trends, challenges and vulnerabilities and the creation of competitive advantages to EU industry players. ・業界団体[例:認証のエコシステム、EU TIC 協議会、欧州サイバーセキュリティ組織(ECSO)、情報セキュリティフォーラム(ISF)]:業界団体や専門家団体は、市場の機会、傾向、課題、脆弱性を特定し、EUの業界関係者に競争上の優位性を創出するために、このフレームワークを利用することができる。
・Consumer organisations/associations. By using the framework, such organisations may assess the needs and requirements of consumers for cybersecurity products and services and their prospects in the European cybersecurity market. ・消費者団体/協会:このような組織は、フレームワークを使用することで、サイバーセキュリティ製品とサービスに対する消費者のニーズと要件、および欧州のサイバーセキュリティ市場における消費者の見通しを評価することができる。
・Research institutions may use the proposed methodology to assess the maturity of existing products and markets and guide the development of new technologies and services. ・研究機関:研究機関は、既存の製品や市場の成熟度を評価し、新しい技術やサービスの開発を指導するために、提案された方法論を使用することができる。
・Companies providing cybersecurity products, services and/or processes (supply side). The European Council has estimated that there are 60,000 such companies in Europe. Some are major companies who already conduct sophisticated market analyses, but by far the majority could benefit from some market analysis advice. For some companies, cybersecurity is their principal business; for others, it is just one line of business among others. ・サイバーセキュリティ製品、サービス、および/またはプロセスを提供する企業(供給側):欧州理事会は、欧州にそのような企業が6万社あると推定している。中には、すでに高度な市場分析を行っている大手企業もあるが、圧倒的に多くの企業が何らかの市場分析アドバイスを受けることができるだろう。サイバーセキュリティが主要な事業である企業もあれば、他の事業の中の1つに過ぎない企業もある。
・Companies who need cybersecurity products, services and/or processes (demand side). Such companies may have information security professionals and/or procurement officials who need to improve their companies’ cybersecurity. Hence, they need to find out what is available in the market to meet their needs and requirements. ・サイバーセキュリティの製品、サービス、および/またはプロセスを必要とする企業(需要側):このような企業には、自社のサイバーセキュリティを改善する必要がある情報セキュリティ専門家や調達担当者がいるかもしれない。したがって、彼らは、自分たちのニーズと要件を満たすために、市場で何が利用可能であるかを見つける必要がある。
In its current version, ECSMAF can be found HERE[2]. ECSMAFの現在のバージョンはこちら[2]。
[1] url [1]
[2] url [2]
LATEST PUBLICATIONS 最新出版物
ENISA Cybersecurity Market Analysis Framework (ECSMAF) ENISAサイバーセキュリティ市場分析フレームワーク(ECSMAF)
This document is the cornerstone of ENISA activities in analysing the EU cybersecurity market: it presents a cybersecurity market analysis framework as a “cookbook” on how EU cybersecurity market analyses can be performed. この文書は、EUサイバーセキュリティ市場の分析におけるENISA活動の基礎となるもので、EUサイバーセキュリティ市場の分析をどのように行うことができるかについての「料理本」としてサイバーセキュリティ市場分析フレームワークを提示している。
[PDF] [PDF]
EU Cybersecurity Market Analysis - IoT in Distribution Grid EUサイバーセキュリティ市場分析-配電網のIoT化
This report analyses demand and supply of IoT cybersecurity in distribution grids. It provides detailed indications on how this market might further develop in the future. The conclusions provided in the report are related to the envisaged scope, being thus non-exhaustive with regard to the entire smart-grid infrastructure. 本報告書では、配電網におけるIoTサイバーセキュリティの需要と供給について分析している。この市場が今後どのように発展していくかについて、詳細な示唆を与えている。本レポートで提供される結論は、想定される範囲に関連しており、したがってスマートグリッドインフラ全体に関して網羅的ではない。
[PDF] [PDF]

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.11 ENISA サイバーセキュリティビジネスの意思決定を支援するサイバーセキュリティ市場分析のフレームワーク

 

 

 

| | Comments (0)

2022.12.01

欧州議会 一般製品安全規則 (GPSR) 案が合意に達したようですね。。。

こんにちは、丸山満彦です。

2021.06.30に欧州委員会から公表された一般製品安全規則 (General Product Safety Regulation: GPSR) 案が政治的合意に達したと、欧州議会が発表していますね。。。2023年3月の欧州議会と欧州委員会の決議で決定という感じですかね。。。

現在は2002年に施行された一般製品安全指令 (General Product Safety Directive: GPSD) が適用されていますね。。。GPSDは、製造事業者などに安全な製品のみを市場に供給する義務を課す消費者保護規制ですね。。。別に規制されている食品や医療機器以外のすべての消費者が利用しうる製品が対象となるので、製造事業者にとってその影響は大きいでしょうね。。。

この改正の背景は、COVID-19の影響もおそらくあるのでしょうね。。。サイバーセキュリティーなどのリスクやオンライン販売などにも対応し、統合的な規制となっているようです。。。

 

欧州議会の発表

European Parliament

・2022.11.30 Deal on EU rules to better protect online shoppers and vulnerable consumers

Deal on EU rules to better protect online shoppers and vulnerable consumers オンラインショッピングの利用者と弱い立場の消費者をより良く保護するためのEU規則に関する合意
・More effective procedures for product recalls and removal of dangerous goods online ・製品リコールや危険物品の撤去のための、より効果的なオンライン手続き
・Risks for the most vulnerable consumers, like children, to be taken into account ・子供のような最も弱い立場にある消費者のリスクも考慮される。
・Costs of preventable accidents from unsafe products estimated at 11.5 billion euro per year ・安全でない製品による事故を防ぐためのコストは、年間115億ユーロと推定される。
The agreed rules aim to ensure that all kinds of products in the EU, whether sold online or in traditional shops, comply with the highest safety requirements. 合意された規則は、EU域内のあらゆる種類の製品が、オンライン販売であれ、従来の店舗での販売であれ、最高の安全要件に適合することを目指すものである。
On Monday night, negotiators from Parliament and Council reached a provisional political agreement to update the EU’s rules on product safety of non-food consumer products. The new regulation on General Product Safety (GPSR) aims to address product safety challenges in online shopping (in 2021, 73% consumers bought products online). 月曜日の夜、欧州議会と理事会の交渉担当者は、非食品消費財の製品安全に関するEUの規則を更新するための暫定的な政治合意に達した。一般製品安全(GPSR)に関する新規則は、オンラインショッピングにおける製品安全の課題に対処することを目的としている(2021年、73%の消費者がオンラインで製品を購入した)。
Obligations of economic operators and safety assessment 経済事業者の義務および安全性評価
Under the agreed rules, a product can be sold only if there is an economic operator (such as the manufacturer, importer, distributоr) established in the EU, who is responsible for its safety. When assessing product safety, Parliament included measures to guarantee that risks to the most vulnerable consumers (e.g. children), gender aspects and cybersecurity risks are taken into account. 合意された規則では、EU域内に設立された経済事業者(製造者、輸入者、流通業者など)がその安全性に責任を持つ場合にのみ、製品を販売することができる。製品の安全性を評価する際、議会は、最も脆弱な消費者(子供など)に対するリスク、ジェンダーの側面、サイバーセキュリティーのリスクなどが考慮されることを保証する措置を盛り込んだ
Removal of dangerous goods online オンラインでの危険物品の撤去
The GPSR introduces obligations for online marketplaces, as those under the Digital Services Act, including designating a single point of contact for national surveillance authorities and consumers. National surveillance authorities will be able to order online marketplaces to remove or disable access to offers of dangerous products without undue delay and in any event within two working days. Providers of online marketplaces will have to make reasonable efforts to check randomly for dangerous products. GPSRは、デジタルサービス法に基づく義務と同様に、オンラインマーケットプレイスに対しても、各国の監視当局と消費者のための単一の連絡窓口を指定するなどの義務を導入している。各国の監視当局は、オンラインマーケットプレイスに対し、不当な遅延なく、いかなる場合でも2営業日以内に危険物の提供の削除またはアクセス不能にするよう命令することができるようになる。オンラインマーケットプレイスのプロバイダーは、危険な製品を無作為にチェックするための合理的な努力をしなければならない。
Recall, replacement and refunds リコール、交換、払い戻し
The agreed legislation improves the products recall procedure, as return rates remain low, with an estimated third of EU consumers continuing to use recalled products. EUの消費者の3分の1はリコールされた製品を使い続けていると推定され、返品率が低いことから、合意された法律では製品のリコール手続きが改善される。
In case of a safety recall or warning, economic operators and online marketplaces will now be required to inform all affected consumers they can identify and widely disseminate the information. Recall notices should avoid expressions that can decrease consumers’ perception of risk (e.g. “voluntary”, “precautionary”, “in rare/specific situations”). 安全性に関するリコールや警告があった場合、経済事業者やオンラインマーケットプレイスは、特定できる影響を受けるすべての消費者に通知し、その情報を広く普及させることが義務付けられるようになった。リコール通知は、消費者のリスク認識を低下させるような表現(例:「自主的」、「予防的」、「稀な/特殊な状況において」)を避けるべきである。
Consumers will be clearly informed of their right to repair, a replacement or an adequate refund (at least equal to the initial price). They will also have a right to file complaints or launch collective actions. The rapid alert system for dangerous products (“Safety Gate” portal) will be modernised to allow unsafe products to be detected more effectively and will be more accessible for persons with disabilities. 消費者は、修理、交換、適切な返金(少なくとも初期価格と同額)を受ける権利について明確に知らされる。また、苦情や集団訴訟を提起する権利も与えられる。危険な製品の迅速な警告システム(「セーフティゲート」ポータル)は、安全でない製品をより効果的に検出できるよう近代化され、障害者がより利用しやすくなる。
Quote 引用
The rapporteur Dita Charanzová (Renew, CZ) said: “Today's agreement is a big victory for European consumers - it gives them a reason to feel safe buying any product within the EU. Products will be safer in general, but more importantly dangerous products will be removed more quickly, including from online marketplaces. And you will no longer learn about recalls by chance, but instead you will be informed directly whenever possible and given options to repair, replace, or get your money back. These are practical benefits for our citizens”. 報告者のDita Charanzová (Renew, CZ)は次のように述べた。「本日の合意は、欧州の消費者にとって大きな勝利であり、EU域内のあらゆる製品を安心して購入できる根拠となる。一般的に製品はより安全になるが、より重要なのは、危険な製品がオンライン市場を含め、より迅速に撤去されることである。また、リコールについては偶然知るのではなく、可能な限り直接知らされ、修理、交換、返金などのオプションが与えられるようになる。これらは、国民にとって現実的なメリットである」。
Next steps 次のステップ
Parliament (in March 2023) and Council need to endorse the agreement, before its publication in the EU Official Journal and entry into force. The GPSR would apply 18 months after its entry into force. EU官報に掲載され、発効する前に、議会(2023年3月)および理事会がこの協定を承認する必要がある。GPSRは発効から18ヶ月後に適用される。
Background 背景
In June 2021, the Commission presented its proposal to update the 2001 General Product Safety Directive to address challenges linked to new technologies and online sales. 2021年6月、欧州委員会は、新技術やオンライン販売に関連した課題に対処するため、2001年の一般製品安全指令の更新案を提示した。
The new rules are projected to save EU consumers around 1 billion euro in the first year and approximately 5.5 billion over the next decade. By reducing the number of unsafe products on the market, the new measures should reduce the harm caused to EU consumers due to preventable, product-related accidents (estimated today at 11.5 billion euro per year) and cost of healthcare (estimated at 6.7 billion euro per year). この新しい規則により、EUの消費者は初年度に約10億ユーロ、今後10年間で約55億ユーロを節約できると予測されている。市場に出回る安全でない製品の数を減らすことにより、新しい措置は、予防可能な製品関連事故(現在の推定年間115億ユーロ)および医療費(推定年間67億ユーロ)によるEU消費者の損害を減らすはずである。

 

GDPR案...

European Commission(欧州委員会

・2021.06.30 [PDF] COM(2021) 346 final 2021/0170 (COD) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on general product safety, amending Regulation (EU) No 1025/2012 of the European Parliament and of the Council, and repealing Council Directive 87/357/EEC and Directive 2001/95/EC of the European Parliament and of the Council

20221201-61000

 

HTML、DOCでも見れます...

EUR-LEX

Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on general product safety, amending Regulation (EU) No 1025/2012 of the European Parliament and of the Council, and repealing Council Directive 87/357/EEC and Directive 2001/95/EC of the European Parliament and of the Council

・EN [HTML] [DOC] [PDF]

 

・[DOCX] 一部仮対訳

 

 

改訂の背景等...

European Commission(欧州委員会

The General Product Safety Directive

 

 

| | Comments (0)

2022.11.29

尼崎市 個人情報を含むUSBメモリーの紛失事案について

こんにちは、丸山満彦です。

尼崎市が契約している事業者の無断再々委託先従業員が、個人情報が入ったUSBメモリーを一時的に紛失した事案についての、尼崎市 USB メモリー紛失事案調査委員会の報告書が公表されていますね。。。

櫻庭先生が委員会のメンバーですね。。。

 

尼崎市

・2022.11.28 個人情報を含むUSBメモリーの紛失事案について

・[PDF] 尼崎市 USB メモリ―紛失事案に関する調査報告書  [downloaded]

20221129-63824

 

・尼崎市 USB メモリー紛失事案調査委員会

 ・小林 孝史(当委員会委員長) 関西大学総合情報学部准教授
 ・櫻庭 信之(当委員会委員・同委員長職務代理) 弁護士
 ・大高 利夫(当委員会委員) 藤沢市総務部情報システム課

結構、読み応えあります。。。

 

| | Comments (0)

EU連合理事会 NIS2成立

こんにちは、丸山満彦です。

NIS2がEU連合理事会で可決されたようですね。。。

 

● European Council/Council of the European Union

・2022.11.28 EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation

EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation EU、サイバーセキュリティとレジリエンスをEU全域で強化することを決定。理事会、新たな法案を採択
The Council adopted legislation for a high common level of cybersecurity across the Union, to further improve the resilience and incident response capacities of both the public and private sector and the EU as a whole. 欧州連合(EU)理事会は、官民およびEU全体のレジリエンスとインシデント対応能力をさらに向上させるため、EU全体で高い共通レベルのサイバーセキュリティを実現するための法案を採択した。
The new directive, called ‘NIS2’, will replace the current directive on security of network and information systems (the NIS directive). 「NIS2」と呼ばれるこの新しい指令は、ネットワークと情報システムのセキュリティに関する現行の指令(NIS指令)に取って代わるものである。
There is no doubt that cybersecurity will remain a key challenge for the years to come. The stakes for our economies and our citizens are enormous. Today, we took another step to improve our capacity to counter this threat. サイバーセキュリティが今後数年間、重要な課題であり続けることに疑いの余地はない。私たちの経済と市民にとって、そのリスクは計り知れない。今日、私たちはこの脅威に対抗する能力を向上させるための新たな一歩を踏み出した。
Ivan Bartoš, Czech Deputy Prime Minister for Digitalization and Minister of Regional Development チェコ共和国デジタル化担当副首相兼地域開発大臣 イワン・バルトシュ氏
Stronger risk and incident management and cooperation リスクマネジメント、インシデントマネジメント、協力体制の強化
NIS2 will set the baseline for cybersecurity risk management measures and reporting obligations across all sectors that are covered by the directive, such as energy, transport, health and digital infrastructure. NIS2は、エネルギー、運輸、健康、デジタルインフラなど、指令の対象となるすべてのセクターにおけるサイバーセキュリティのリスクマネジメント対策と報告義務のベースラインを設定することになる。
The revised directive aims to harmonise cybersecurity requirements and implementation of cybersecurity measures in different member states. To achieve this, it sets out minimum rules for a regulatory framework and lays down mechanisms for effective cooperation among relevant authorities in each member state. It updates the list of sectors and activities subject to cybersecurity obligations and provides for remedies and sanctions to ensure enforcement. 改正指令は、異なる加盟国でのサイバーセキュリティ要件とサイバーセキュリティ対策の実施を調和させることを目的としている。これを実現するために、規制の枠組みに関する最低限のルールを定め、各加盟国の関係当局間の効果的な協力のためのメカニズムを定めている。また、サイバーセキュリティの義務の対象となる部門と活動のリストを更新し、強制力を確保するための救済措置と制裁措置を規定している。
The directive will formally establish the European Cyber Crises Liaison Organisation Network, EU-CyCLONe, which will support the coordinated management of large-scale cybersecurity incidents and crises. この指令は、大規模なサイバーセキュリティ事件や危機の協調的管理を支援する欧州サイバー危機連絡組織ネットワーク(EU-CyCLONe)を正式に設立する予定である。
Widening of the scope of the rules 規則の適用範囲の拡大
While under the old NIS directive member states were responsible for determining which entities would meet the criteria to qualify as operators of essential services, the new NIS2 directive introduces a size-cap rule as a general rule for identification of regulated entities. This means that all medium-sized and large entities operating within the sectors or providing services covered by the directive will fall within its scope. 旧NIS指令では、加盟国はどの事業者が必須サービスの事業者として認定される基準を満たすかを決定する責任を負っていたが、新NIS2指令では、規制対象事業者の特定に関する一般規則として、規模制限規則を導入している。これは、この指令の対象となる分野で活動する、あるいはサービスを提供するすべての中堅・大企業がその範囲に含まれることを意味する。
While the revised directive maintains this general rule, its text includes additional provisions to ensure proportionality, a higher level of risk management and clear-cut criticality criteria for allowing national authorities to determine further entities covered. 改正指令はこの一般規則を維持する一方で、その条文には、国家当局がさらに対象企業を決定できるように、比例性、より高いレベルのリスクマネジメント、明確な重要性の基準を確保するための追加条項が含まれている。
The text also clarifies that the directive will not apply to entities carrying out activities in areas such as defence or national security, public security, and law enforcement. Judiciary, parliaments, and central banks are also excluded from the scope. また、防衛や国家安全保障、公安、法執行といった分野での活動には、この指令は適用されないことも明確化されている。司法、議会、中央銀行も対象から外されている。
NIS2 will also apply to public administrations at central and regional level. In addition, member states may decide that it applies to such entities at local level too. NIS2は、中央および地域レベルの行政機関にも適用される。さらに、加盟国は、地方レベルの行政機関にも適用することを決定することができる。
Other changes introduced by the new law 新法が導入するその他の変更点
Moreover, the new directive has been aligned with sector-specific legislation, in particular the regulation on digital operational resilience for the financial sector (DORA) and the directive on the resilience of critical entities (CER), to provide legal clarity and ensure coherence between NIS2 and these acts. さらに、この新しい指令は、特に金融セクターのデジタル運用のレジリエンスに関する規則(DORA)や重要な事業体のレジリエンスに関する指令(CER)といったセクター固有の法律と整合され、法的明確性を提供し、NIS2とこれらの法律間の一貫性を確保するようになっている。
A voluntary peer-learning mechanism will increase mutual trust and learning from good practices and experiences in the Union, thereby contributing to achieving a high common level of cybersecurity. 自主的なピアラーニングの仕組みは、相互信頼を高め、EUにおける優れた実践や経験から学ぶことで、高い共通レベルのサイバーセキュリティの達成に貢献する。
The new legislation also streamlines the reporting obligations in order to avoid causing over-reporting and creating an excessive burden on the entities covered. また、新法は、過剰な報告や対象事業者の過度な負担を避けるために、報告義務を合理化している。
Next steps 次のステップ
The directive will be published in the Official Journal of the European Union in the coming days and will enter into force on the twentieth day following this publication. この指令は、近日中に欧州連合官報に掲載され、掲載後20日目に発効する予定である。
Member states will have 21 months from the entry into force of the directive in which to incorporate the provisions into their national law. 加盟国は、指令の発効から21カ月以内に、この規定を自国の国内法に組み込む必要がある。
Directive on measures for a high common level of cybersecurity across the Union (PE-CONS 32/22) 欧州連合全体におけるサイバーセキュリティの高い共通レベルのための措置に関する指令(PE-CONS 32/22)
20221129-03247
[DOCX]

仮訳

 

Draft directive on measures for a high common level of cybersecurity across the Union – Council general approach EU全域で共通レベルの高いサイバーセキュリティのための措置に関する指令案 - 理事会一般的アプローチ
Cybersecurity: how the EU tackles cyber threats (background information) サイバーセキュリティ:EUはどのようにサイバー脅威に対処しているか(背景情報)
A digital future for Europe (background information) 欧州のデジタルな未来(背景情報)
How the EU responds to crises and builds resilience EUはどのように危機に対処し、レジリエンスを構築しているか?
Visit the meeting page 会議のページ

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022

・2022.11.13 欧州議会 NIS2とデジタル・オペレーショナル・レジリエンス法を可決

・2021.03.15 欧州データ保護監督官 (EDPS) が欧州のサイバーセキュリティ戦略とネットワークおよび情報システムのセキュリティに関する改訂された指令(NIS 2.0)を歓迎すると表明

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16


| | Comments (0)

2022.11.28

NIST サイバーセキュリティ50周年 - NISTサイバーセキュリティプログラムの歴史と年表

こんにちは、丸山満彦です。

NIST(1988年までは旧NBS)は1972年から50年にわたり、サイバーセキュリティの研究を行い、産官学のためのサイバーセキュリティ・ガイダンスを開発してきていますが、主要な研究プロジェクト、プログラム、そして最終的にはNISTのサイバーセキュリティの歴史をざっと見るための年表を公表していますね。。。

興味深いです。。。

 

NIST - NIST Cybersecurity Program History and Timeline

米国標準局 (NBS) のコンピュータ科学技術研究所が、コンピュータ セキュリティ プログラムを確立したところから始まります...

1973年11月に発行された、

・[PDF] NBS Technical Note 809 Government Looks at Privacy and Security in Computer Systems

20221127-45130

 

・[PDF] NBS Special Publication 404 Approaches to Privacy and Security in Computer Systems

20221127-45947

 

1974年には、Privacy Act of 1974

そして、1976年は、

・1976.02.15 [PDF] FIPIS PUB 39 Glossary for Computer Sysytems Security

20221127-50714

用語ですが、あまり大きな違いはないのかもしれません。。。

 

・・・と続いていきます。。。

 


古い話であれば、私のブログにも。。。最近、サイバーセキュリティ業界に入ってきたかたは過去の歴史を知ることが意外と重要かもしれないので、、、

まるちゃんの情報セキュリティ気まぐれ日記

・2016.08.11 コンピュータ・セキュリティ -犯罪対策と災害対策-

・2006.04.25 米国 30年前のIT適用業務処理統制の項目

・2006.04.24 米国 30年前のIT全般統制の項目

 

| | Comments (0)

2022.11.25

欧州データ保護委員会 パブコメ コントローラ用 拘束的企業準則 (BCR-C) (2022.11.15)

こんにちは、丸山満彦です。

欧州データ保護委員会がコントローラ用拘束的企業準則 (BCR-C) を公開し、意見募集をしていますね。。。既存のガイダンスをCJEUのSchrems II判決の要件に一致させるための改訂という感じですね。。。

日本では、IIJがBCRを活用していますね。。。

 

European Data Protection Board: EDPB

・2022.11.15 EDPB adopts Recommendations on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules

EDPB adopts Recommendations on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules EDPB、承認申請とコントローラ用 拘束的企業準則の要素および原則に関する勧告を採択
During its November plenary, the EDPB adopted Recommendations on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules (BCR-C). These recommendations form an update of the existing BCR-C referential, which contain criteria for BCR-C approval, and merge it with the standard application form for BCR-C. The new recommendations build upon the agreements reached by data protection authorities in the course of approval procedures on concrete BCR applications since the entering into application of the GDPR. The recommendations provide additional guidance and aim to ensure a level playing field for all BCR applicants. The recommendations also bring the existing guidance in line with the requirements in the CJEU’s Schrems II ruling. EDPBは、11月の総会において、コントローラ用 拘束的企業準則 (BCR-C)の承認申請および要素・原則に関する勧告を採択した。この勧告は、BCR-C承認のための基準を含む既存のBCR-Cリファレンスを更新し、BCR-Cの標準申請書と統合するものである。この新しい勧告は、GDPRの適用開始以来、具体的なBCR申請に関する承認手続きの過程でデータ保護当局が達成した合意に基づいている。この勧告は、追加のガイダンスを提供し、すべてのBCR申請者に公平な競争の場を保証することを目的としている。また、この勧告は、既存のガイダンスをCJEUのSchrems II判決の要件に一致させるものである。
BCR-Cs are a transfer tool that can be used by a group of undertakings or enterprises, engaged in a joint economic activity, to transfer personal data outside the European Economic Area to controllers or processors within the same group. BCRs create enforceable rights and set out commitments to establish a level of data protection essentially equivalent to the one provided by the GDPR. BCR-Cは、共同経済活動を行う企業グループが、欧州経済領域外の個人データを同じグループ内の管理者または処理者に移転するために使用できる移転手段である。BCRは、強制力のある権利を創出し、GDPRが提供するものと本質的に同等のデータ保護レベルを確立するためのコミットメントを定めている。
The aim of these recommendations is to: 本勧告の目的は、以下のとおりである。
・provide an updated standard application form for the approval of BCR-Cs; ・BCR-Cの承認のための標準的な申請書の更新を提供する。
・clarify the necessary content of BCR-Cs and provide further explanation; ・BCR-Cの必要な内容を明確にし、さらなる説明を提供する。
・make a distinction between what must be included in a BCR-C and what must be presented to the BCR lead data protection authority in the BCR application; ・BCR-Cに含まれなければならないものと、BCR申請においてBCRリードデータ保護当局に提示しなければならないものを区別する。
A second set of recommendations for BCR-processors is currently being developed. プロセッサー用BCRに対する第2の勧告は、現在策定中である。
The recommendations will be subject to public consultation until 10 January 2023 勧告は、2023年1月10日まで公開協議の対象となる予定である。

 

・2022.11.17 Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)

Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR) 承認申請に関する勧告1/2022、及びコントローラー用拘束的企業準則(GDPR第47条)に見出されるべき要素及び原則に関する勧告
The European Data Protection Board welcomes comments on the Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR). 欧州データ保護委員会は、承認申請に関する勧告1/2022およびコントローラー拘束力のある企業規則(GDPR第47条)に見出される要素および原則に関するコメントを歓迎する。
Such comments should be sent 10th January 2023 at the latest using the provided form. このようなコメントは、遅くとも2023年1月10日までに、所定のフォームを使用して送信すること。
Please note that, by submitting your comments, you acknowledge that your comments might be published on the EDPB website. なお、コメントを送信することにより、あなたのコメントがEDPBのウェブサイトに掲載される可能性があることを了承したものとみなされる。
The EDPB Secretariat staff screens all replies provided before publication (only for the purpose of blocking unauthorised submissions, such as spam), after which the replies are made available to the public directly on the EDPB public consultations’ page. Unauthorised submissions are immediately deleted. The attached files are not altered in any way by the EDPB. EDPB事務局では公開前に全ての返信を審査し(スパムなど不正な投稿をブロックする目的のみ)、その後EDPB公開協議のページで直接公開される。無許可の投稿は直ちに削除されます。添付されたファイルは、EDPBによって一切変更されない。
Please, note that regardless the option chosen, your contribution may be subject to a request for access to documents under Regulation 1049/2001 on public access to European Parliament, Council and Commission documents. In this case the request will be assessed against the conditions set out in the Regulation and in accordance with applicable data protection rules. なお、どのオプションを選択したかにかかわらず、あなたの投稿は、欧州議会、理事会、欧州委員会の文書への一般アクセスに関する規則1049/2001に基づく文書アクセス要求の対象となる可能性があることを了承すること。この場合、要求は同規則に規定された条件と、適用されるデータ保護規則に従って評価される。
All legal details can be found in our Specific Privacy Statement (SPS). すべての法的な詳細は、当社の特定個人情報保護方針(SPS)に記載されている。

 

・2022.11.17 [PDF] Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)

20221125-10958

・[DOCX] 仮訳

 

 

| | Comments (0)

2022.11.24

ノルウェイ フランス ドイツ オランダ等 ワールドカップが開催されているカタールのアプリについての警告 (2022.11.14-)

こんにちは、丸山満彦です。

FIFA World Cup 2022では、日本がドイツに2-1で勝ち、わいているところですが、、、

Fifa

ノルウェイ フランス ドイツ オランダ等の個人データ保護委員会がワールドカップが開催されているカタールのアプリ (ワールド カップの公式アプリである「Hayya」、感染追跡アプリ「Ehteraz」) について、電話通話履歴を取得している等、広範囲な個人データを取得している可能性があるので、使い捨て携帯にアプリをダウンロードして利用をすることを推奨するなど、警告を出していますね。。。

ノルウェイ

Datatilsynet

Datatilsynet

・2022.11.14 Apper under Qatar-VM

Apper under Qatar-VM カタール ワールド カップ期間中のアプリ
Alle som reiser til Qatar for å følge fotball-VM, kan bli bedt om å laste ned to qatarske apper. Appene kan potensielt brukes til å overvåke de tilreisende. Vi har laget noen råd om hva du kan gjøre i denne situasjonen. FIFA ワールド カップを観戦するためにカタールに旅行する人は誰でも、2 つのカタール アプリをダウンロードするよう求められる。アプリは、訪問者を監視するために使用できる可能性がある。このような状況であなたができることについて、いくつかのアドバイスを用意した。
Tilreisende til Qatar-VM blir bedt om å laste ned appen Hayya, den offisielle VM-appen. Denne har fått kritikk blant annet for å overvåke brukernes lokasjon. カタール ワールド カップの来場者は、ワールド カップの公式アプリである Hayya アプリをダウンロードするよう求められる。これは、とりわけ、ユーザーの位置を監視するため、批判を受けている。
Dersom du trenger å oppsøke helsehjelpfasiliteter i Qatar, vil du også bli bedt om å laste ned appen Ehteraz, en smittesporingsapp. Ehteraz har mottatt sterk kritikk fordi appen kan brukes til å hente ut personopplysninger fra brukernes mobiltelefoner (nrk.no). Den norske ambassaden i Abu Dhabi (De forente arabiske emirater), som er sideakkridert til Qatar, har gjort oss oppmerksom på at obligatorisk forhåndsregistrering i denne appen ble opphevet i starten av november 2022. カタールの医療施設を訪問する必要がある場合は、感染追跡アプリである Ehteraz アプリのダウンロードも求められる。 Ehteraz は、このアプリを使用してユーザーの携帯電話から個人データを抽出できるため、強い批判を受けている (nrk.no)。カタールに認可されているアブダビ (アラブ首長国連邦) のノルウェー大使館は、このアプリでの必須の事前登録が 2022 年 11 月の初めに解除されたことを通知した。
Vide tilganger 広いアクセス
Datatilsynet vet ikke hva disse appene faktisk gjør eller hva brukernes personopplysninger eventuelt vil bli brukt til. ノルウェーのデータ保護機関は、これらのアプリが実際に何をするのか、ユーザーの個人データが何に使用される可能性があるのか​​を知らない。
- Vi er foruroliget over de vide tilgangene appene krever. Det er en reell mulighet for at tilreisende til Qatar, og særlig utsatte grupper, blir overvåket av qatarske myndigheter. Datatilsynet har ikke mulighet til å gripe inn mot dette, sier seksjonsjef for internasjonal seksjon i Datatilsynet, Tobias Judin. ・私たちは、アプリが必要とする広範なアクセスに警戒している。カタールへの訪問者、特に脆弱なグループがカタール当局によって監視される可能性が現実にある。ノルウェイのデータ保護機関の国際セクションの責任者であるトビアス・ジュディンは次のように述べている。「ノルウェイのデータ保護機関には、これに対して介入する機会がない。」
Det finnes imidlertid forhåndsregler du kan ta som reisende. ただし、旅行者としてできる注意事項がある。
Råd for privatpersoner som er bekymret 気になるという個人へのアドバイス
Når du reiser med private enheter uten tilgang til jobbsystemer, er det opp til deg hvilken risiko du er komfortabel med, hvorvidt du ønsker å iverksette tiltak og hvilke tiltak du eventuelt iverksetter. 仕事用のシステムにアクセスしない私用デバイスを持って旅行する場合、どのようなリスクを許容できるか、行動を起こすかどうか、そしてもしあればどのような行動を取るかは、あなた次第である。
Et lavterskeltiltak er å ikke gi appen Hayya tilgang til lokasjonen din. Sjekk innstillingene i appen og på telefonen dersom du er i tvil om appen har slik tilgang. Appens personvernerklæring (qatar2022.qa) gir inntrykk av at appen fremdeles fungerer selv om du nekter tilgang til lokasjon. 敷居の低い対策は、Hayya アプリに位置情報へのアクセスを許可しないことである。アプリにそのようなアクセス権があるかどうか疑問がある場合は、アプリと電話の設定を確認すること。アプリのプライバシー ポリシー (qatar2022.qa) を見ると、位置情報へのアクセスを拒否してもアプリは機能するようである。
Før avreise er det vanskelig å vite om du havner i en situasjon der du blir bedt om å laste ned Ehteraz. Dersom du skal reise til Qatar og er bekymret for personvernet, kan du for eksempel vurdere å ha med to mobiltelefoner: en tom lånetelefon som Ehteraz (og Hayyat) eventuelt installeres på, og din vanlige mobiltelefon ved siden av. Det er lurt å passe ekstra godt på din vanlige mobiltelefon, og i den forbindelse kan du for eksempel vurdere følgende tiltak: 出発前に、Ehteraz のダウンロードを求められる状況に陥るかどうかを知ることは困難である。カタールに行く予定があり、プライバシーが心配な場合は、たとえば、2 台の携帯電話を持ち込むことを検討すると良い。Ehteraz (および Hayyat) をインストールする可能性のある空の代替電話と、通常の携帯電話である。通常の携帯電話を特別に管理することを推奨する。これに関して、たとえば、次の対策を検討できる。
・Før avreise, ta sikkerhetskopi av telefonen din i fall det senere blir nødvendig å gjenopprette den. ・後で復元する必要が生じた場合に備えて、出発する前に電話をバックアップする。
・Unngå å koble til åpne eller usikre WiFi-nettverk. ・公開またはセキュリティで保護されていない WiFi ネットワークへの接続は避ける。
・Ha mobiltelefonen på deg til enhver tid, og unngå å legge den igjen i hotellsafer og liknende. ・携帯電話は常に携帯し、ホテルの金庫などに置きっぱなしにしない。
・Unngå å bruke USB-ladeporter på hotellrom, kollektivtransport, flyplass og liknende. Bruk medbrakt lader med veggstøpsel. ・ホテルの部屋、公共交通機関、空港などでは USB 充電ポートを使用しない。付属の充電器と壁のプラグを使用する。
・Unngå å installere noe under reisen. Automatiske app- og programvareoppdateringer kan skrus av, og det samme gjelder automatisk sikkerhetskopiering. ・移動中は何も設置しない。自動バックアップと同様に、アプリとソフトウェアの自動更新をオフにすることができる。
Hvis ønsker å iverksette tiltak, men ikke har adgang til en tom lånetelefon eller ønsker en enda sikrere løsning, kan du for eksempel tømme mobiltelefonen din før og etter reisen: 行動を起こしたいが空の貸し出し電話にアクセスできない場合、またはさらに安全なソリューションが必要な場合は、たとえば、旅行の前後に携帯電話を空にすることができる。
1. Før avreise, ta sikkerhetskopi av telefonen din. 1. 出発する前に、電話をバックアップする。
2. Slett og nullstill telefonen slik at den er helt tom. 2. 電話を消去してリセットし、完全に空白にする。
3. Installer de qatarske appene. 3. Qatari アプリをインストールする。
4. Husk at alt du bruker telefonen til mens appene er installert, potensielt kan overvåkes. 4. アプリのインストール中に電話を使用することはすべて監視される可能性があることに注意する。
5. Så snart du forlater Qatar, ta eventuelt vare på bilder, og slett og nullstill deretter telefonen på nytt. 5. カタールを出たらすぐに写真を保存し、携帯電話を消去してリセットする。
6. Gjenopprett telefonen fra sikkerhetskopien du tok før avreise. 6. 出発前に取ったバックアップから電話を復元する。
Strenge regler for jobbrelatert utstyr 作業関連設備の厳格なルール
Når arbeidstakere reiser med jobbutstyr eller utstyr som har tilgang til jobbsystemer, har virksomheten ansvar etter personvernforordningen for å sikre at virksomhetens personopplysninger beskyttes under reisen. Hvis ikke tilstrekkelige informasjonssikkerhetstiltak iverksettes, kan det føre til at personopplysninger som virksomheten behandler kommer på avveier, misbrukes, manipuleres eller blir utilgjengeliggjort. 従業員が業務用機器または業務用システムにアクセスできる機器を持って移動する場合、企業はデータ保護規則に基づき、移動中に企業の個人データが保護されるようにする責任がある。適切な情報セキュリティ対策が実施されていない場合、会社が処理する個人データが紛失、誤用、操作、または利用できなくなる可能性がある。
Derfor er det viktig at virksomhetene har oversikt dersom arbeidstakere skal reise til Qatar-VM med jobbutstyr eller utstyr med tilgang til virksomhetens systemer. I slike tilfeller må virksomheten gjennomføre gode risikovurderinger for reisen og iverksette sikkerhetstiltak som står i forhold til den identifiserte risikoen. したがって、従業員が作業用機器または企業のシステムにアクセスできる機器を持ってカタールに移動する場合、企業は概要を把握しておくことが重要である。このような場合、企業は出張の適切なリスク評価を実施し、特定されたリスクに見合ったセキュリティ対策を実施する必要がある。

 

フランス

CNIL

Cnil

・2022.11.14 Voyager en dehors de l’UE : la checklist de la CNIL pour protéger votre téléphone, ordinateur ou tablette

Voyager en dehors de l’UE : la checklist de la CNIL pour protéger votre téléphone, ordinateur ou tablette EU圏外への渡航:携帯電話、コンピュータ、タブレットを保護するためのCNILのチェックリスト
Pour voyager en dehors de l’Union européenne en toute sérénité, n’oubliez pas de protéger vos données ! La CNIL propose une checklist pour sécuriser votre téléphone, votre ordinateur ou votre tablette. EU圏外へ安心して旅行するために、データの保護もお忘れなく! CNILは、あなたの携帯電話、パソコン、タブレットを保護するためのチェックリストを提供している。
Pourquoi protéger ses appareils avant de partir en voyage ? なぜ旅行前にデバイスを保護するのか?
Avant de voyager dans un autre pays, il est essentiel de sécuriser vos téléphones, ordinateurs portables et tablettes. 海外に渡航する前に、携帯電話、ノートパソコン、タブレット端末のセキュリティ確保は必須である。
En France et dans l’Union européenne, vos données sont protégées par le règlement général sur la protection des données (RPGD), mais celui-ci ne vous protègera pas nécessairement si vous visitez un autre pays. フランスおよび欧州連合では、個人のデータは一般データ保護規則(GDPR)により保護されているが、個人が他の国を訪問された場合、必ずしも保護されるとは限らない。
La checklist de la CNIL CNILチェックリスト
・Avant le départ, informez-vous sur les règles applicables aux données personnelles et à la vie privée dans le pays dans lequel vous vous rendez, notamment sur le site du ministère de l'Europe et des Affaires étrangères. ・下記のチェックリストに加えて、欧州外務省のホームページに記載されている渡航先の領事館の番号を常に携帯することを忘れないようにする。

・ Ne dévoilez pas vos absences ou le lieu de votre destination et verrouillez vos comptes sociaux. ・不在や行き先を明かさず、ソーシャルアカウントをロックする。
・ Si le pays en question vous impose de télécharger une application spécifique, quelle qu’en soit la raison : ・当該国が、何らかの理由で特定のアプリケーションのダウンロードを要求している場合、
・・ Installez l’application au dernier moment avant le départ ou sur place. ・・出発前の最後の瞬間、または現場でアプリケーションをインストールする。
・・ Limitez les autorisations systèmes à celles strictement nécessaires. ・・システムの権限を厳密に必要なものに限定する。
・・ Supprimez l’application dès le retour en France. ・・フランスに帰国後、すぐにアプリケーションを削除する。
・ Si possible, voyagez avec un téléphone vierge ・可能であれば、空の携帯電話を持って旅行する。
・・ Faites une sauvegarde de vos messages et photos puis remettez à zéro votre téléphone (restauration d’usine). ・・メッセージや写真のバックアップをとってから、携帯電話をリセット(工場出荷状態に戻す)する。
・・ Restaurez la sauvegarde au retour. ・・帰国後、バックアップを復元する。
・・ ou mieux, utilisez un ancien téléphone remis à zéro si vous en avez un. ・・あるいは、古いリセットされた携帯電話があれば、それを使うのもよい。
・ Gardez votre téléphone avec vous en permanence et ne laissez personne l’utiliser. ・携帯電話は常に持ち歩き、誰にも使わせないようにする。
・ Limitez au strict nécessaire la connexion en ligne à des services nécessitant une authentification, même s’ils semblent officiels. ・認証が必要なオンラインサービスでは、たとえそれが正式なものであっても、ログインは必要な範囲にとどめる。
・ Protégez l’accès à votre smartphone par un mot de passe fort. ・スマートフォンへのアクセスは、強力なパスワードで保護する。
・ Sur place, attention aux photographies que vous prenez. Il peut être interdit de prendre une personne en photo sans son consentement ou des bâtiments publics. ・現地で撮影する写真には注意が必要である。人物を無断で撮影したり、公共の建物を撮影することは違法となる場合がある。
・En ligne ou hors ligne, ne dévoilez jamais d’informations sur vous qui pourraient vous mettre en difficulté selon votre pays de destination, notamment des données sensibles comme vos opinions politiques ou religieuses, ou encore votre orientation sexuelle. ・ オンライン、オフラインを問わず、政治的、宗教的見解、性的指向などの機密情報を含め、渡航先によってはトラブルに巻き込まれる可能性のある情報は絶対に明かさないようにする。
Que se passe-t-il si vous rencontrez des difficultés sur place ? 目的地で困ったことが起こったら?
En dehors de la checklist ci-dessus, pensez à toujours conserver sur vous le numéro de la permanence consulaire du pays de destination, comme indiqué sur le site du ministère de l'Europe et des Affaires étrangères. 上記のチェックリストとは別に、欧州外務省のホームページに記載されている渡航先の領事館の電話番号を常に携帯しておくことを忘れないようにする。
Ce contact vous sera utile, par exemple en cas de vol, perte ou altération de votre téléphone, tablette ou ordinateur. この連絡先は、たとえば、携帯電話、タブレット、パソコンが盗難、紛失、破損した場合などに役立つ。

 

ドイツ

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)

Bfdi_20221124014901

・2022.11.15 Hinweise zum Umgang mit den Apps Ehteraz und Hayya

Hinweise zum Umgang mit den Apps Ehteraz und Hayya アプリ「Ehteraz」「Hayya」の使用方法について
Der BfDI wurde durch Anfragen darauf aufmerksam gemacht, dass für die Einreise zur Fußball-Weltmeisterschaft 2022 in Katar die Installation der Apps "Ehteraz" und "Hayya" verpflichtend ist. Mit den ihm zur Verfügung stehenden Ressourcen hat der BfDI eine erste Analyse beider Apps vorgenommen. BfDIは、2022年サッカーワールドカップ・カタール大会の入場には、アプリ「Ehteraz」「Hayya」のインストールが必須であることを問い合わせにより知った。BfDIは、そのリソースを活用して、両アプリの初期分析を実施した。
Die Apps "Ehteraz" und "Hayya" sind in den gängigen App-Stores in Europa verfügbar und können damit auch außerhalb von Katar heruntergeladen und "genutzt" werden. Von Seiten des BfDI konnte festgestellt werden, dass die Datenverarbeitungen beider Apps wahrscheinlich deutlich weiter gehen, als es die Beschreibungen der Datenschutzhinweise und Verarbeitungszwecke in den App-Stores angeben. アプリ「Ehteraz」と「Hayya」は、ヨーロッパの通常のアプリストアで入手できるため、カタール国外でもダウンロードして「使用」することが可能である。BfDIは、両アプリのデータ処理が、アプリストアのデータ保護通知や処理目的の記述から推測されるよりもはるかに進んでいることを立証することができた。
So wird bei einer der Apps unter anderem erhoben, ob und mit welcher Nummer ein Telefonat geführt wird. Hierbei handelt es sich um mitunter sensible Telekommunikationsverbindungsdaten, die in Deutschland unter das Fernmeldegeheimnis fallen. Die andere App verhindert unter anderem aktiv, dass das Gerät, auf dem sie installiert wird, in den Schlafmodus wechselt. Es ist zudem naheliegend, dass die von den Apps verwendeten Daten nicht nur lokal auf dem Gerät verbleiben, sondern an einen zentralen Server übermittelt werden. 例えば、あるアプリでは、どの番号に電話をかけたか、というデータを収集している。これは、ドイツでは通信の秘密に該当する、機密性の高い通信接続データである。中でも、もう一つのアプリは、インストールされた端末がスリープモードに切り替わるのを積極的に阻止する。また、アプリが使用するデータは、端末のローカルに残るだけではなく、中央のサーバーに送信されることも明らかとなった。
Der BfDI rät daher dazu, die beiden Apps nur dann zu installieren, wenn es absolut unumgänglich ist. Zudem sollte erwogen werden, für die Installation ein eigenes Telefon zu verwenden, das ausschließlich für die Apps genutzt wird. Insbesondere sollten auf diesem Gerät keine weiteren personenbezogenen Daten, wie etwa Telefonnummern, Bild- oder Tondateien gespeichert sein. Im Nachgang der Nutzung der Apps sollten auf dem verwendeten Telefon, das Betriebssystem und sämtliche Inhalte vollständig gelöscht werden. そのため、BfDIでは、やむを得ない場合にのみ、この2つのアプリをインストールすることを勧めている。また、インストールする携帯電話は、アプリ専用に別のものを使用するなどの配慮が必要である。特に、電話番号、画像や音声ファイルなど、その他の個人情報をこのデバイスに保存してはいけません。アプリを使用した後は、使用した携帯電話のオペレーティングシステムとすべてのコンテンツを完全に削除する必要がある。
Hinsichtlich der mit der Nutzung der Apps verbundenen datenschutzrechtlichen Problematik hat der BfDI auch das Bundesamt für Sicherheit in der Informationstechnik und das Auswärtige Amt kontaktiert. BfDIは、アプリの使用に関連するデータ保護の問題について、連邦情報セキュリティ局および連邦外務省にも問い合わせをした。

 

オランダ

Autoriteit Persoonsgegevens

Ap_20221124015201

・2022.11.17  AP waarschuwt WK-gangers voor Qatarese apps

AP waarschuwt WK-gangers voor Qatarese apps AP、W杯観戦者にカタール製アプリを警告
De Autoriteit Persoonsgegevens (AP) raadt bezoekers van het WK voetbal in Qatar aan om goed op hun digitale veiligheid te letten. Wie het WK bezoekt, is verplicht een aantal apps op de mobiele telefoon te installeren. De AP raadt Qatar-bezoekers aan daarvoor een telefoon te gebruiken die zij voor niets anders gebruiken. 個人情報保護局(AP)は、カタール・ワールドカップの来場者に対し、デジタル・セキュリティに細心の注意を払うよう勧告している。ワールドカップに参加される方は、携帯電話にいくつものアプリをインストールする必要がある。APは、カタールの訪問者に、他のことに使わない携帯電話をこの目的のために使うようアドバイスしている。
Eerder waarschuwden de Duitse, Franse, Noorse en Deense privacytoezichthouders al voor deze apps. Met name de Duitse toezichthouder heeft een analyse van de apps uitgevoerd. De AP sluit zich aan bij de waarschuwing van de Europese collega-toezichthouders. 先に、ドイツ、フランス、ノルウェー、デンマークの個人情報保護規制当局が、これらのアプリに対して警告を発している。特に、ドイツの規制当局がアプリの分析を実施した。APは、同じ欧州の規制当局からの警告に加わる。
De betreffende apps heten Ehteraz – een coronatracker – en Hayya, een speciale WK-app. Privacytoezichthouders uit verschillende Europese landen wijzen erop dat de apps waarschijnlijk informatie over gebruikers verzamelen zonder dat gebruikers hiervan op de hoogte zijn.  問題のアプリは、コロナトラッカー「Ehteraz」とワールドカップ専用アプリ「Hayya」と呼ばれるものである。欧州数カ国の個人情報保護規制当局は、アプリがユーザーの知らないところでユーザーの情報を収集している可能性が高いと指摘している。 
Bijvoorbeeld met wie een gebruiker gebeld heeft en welke apps er allemaal op de telefoon staan. Dus ook of het bijvoorbeeld gaat om een dating-app waaruit iemands seksuele voorkeur blijkt. Ook is het vermoedelijk mogelijk dat de apps toegang hebben tot de foto’s van de gebruiker. 例えば、ユーザーが誰と通話したのか、どのアプリがすべて電話に入っているのか、などである。また、例えば出会い系アプリで誰かの性的指向を明らかにするものなのかどうかもそうである。また、アプリがユーザーの写真にアクセスする可能性も考えられる。

 


ちなみに、FIFA Qatarのプライバシーポリシー

FIFA World Cup Qatar 2022

Fifa

 

 

 

 

 

 

 

Privacy Policy

Hayya に関係しそうなところ...

Annex C 附属書C
App アプリ
Additional information that we collect about you 我々があなたについて収集する追加情報
When you register for an account to use the App, we may collect: あなたが本アプリを使用するためにアカウントを登録する際、我々は以下の情報を収集することがある。
Basic information about yourself, such as your name, date of birth, address, email address, telephone or mobile number; 氏名、生年月日、住所、電子メールアドレス、電話番号または携帯電話番号などのあなたに関する基本情報。
Information about your Tournament itinerary, such as the matches which you have ticket(s) to attend; あなたが入場券をお持ちの試合など、大会の日程に関する情報。
Information about your preferences, such as tourist attractions you might like to visit whilst you are in Qatar; カタール滞在中に訪れたいと思う観光地など、あなたの好みに関する情報
Location data, if you have enabled location tracking within the App; and あなたが本アプリ内で位置情報の追跡を有効にしている場合、位置情報
Sensitive personal data, for example, information relating to your needs at the stadium (e.g. requests for disabled access), should you choose to provide us with that information. 機密性の高い個人情報、例えば、スタジアムでのあなたのニーズに関する情報(例:身体障害者用のアクセスのリクエスト)(あなたがその情報を我々に提供することを選択した場合)。
​​​​​​​We may collect this information both by way of you providing it to us (for example, through forms and questionnaires on the App), or through your browsing history on the App. 我々は、あなたが我々に情報を提供する方法(例えば、本アプリ上のフォームやアンケートなど)、またはあなたの本アプリの閲覧履歴を通じて、この情報を収集することがある。
Additional purposes of use その他の利用目的
​​​​​​​To provide you with updates and recommendations ► To provide you with information about recommended travel routes (e.g. based on traffic and crowding), changes to match schedules, and other information relevant to your stay in Qatar and attendance at the Tournament(s). Separately, we may provide you with marketing materials where you have chosen to receive these (see the section titled “What we do with your information?” in the main Privacy Policy). 最新情報やおすすめ情報を提供するため ► おすすめの移動経路(例:交通渋滞や混雑状況に基づく)、試合日程の変更、その他カタールでの滞在や大会への参加に関連する情報を提供するため。これとは別に、我々は、あなたがマーケティング資料を受け取ることを選択された場合、あなたにマーケティング資料を提供することがある(プライバシーポリシーの「あなたの情報をどう扱うか」の項を参照すること)。
Lawful bases: consent, legitimate interests (to keep you updated with news in relation to your stay in Qatar and attendance at the Tournament(s)) 合法的根拠:同意、正当な利益(カタールでの滞在および大会への参加に関連した最新情報を提供するため)。
​​​​​​​For crowd control and tournament management purposes ► If you have enabled location tracking, we may combine this data with that of other Fans to identify areas which are at risk of overcrowding, and release announcements recommending that Fans avoid those areas or use alternative routes. 混雑管理および大会運営のため ►あなたが位置情報の追跡を有効にした場合、我々は、このデータを他のファンのデータと組み合わせて、混雑のおそれのあるエリアを特定し、そのエリアを避けるか、別のルートを使用するよう勧めるアナウンスを流すことがある。
Lawful bases: consent, legitimate interests (to ensure the safety and security of attendees at the Tournaments) 合法的根拠:同意、正当な利益(トーナメント参加者の安全と安心を確保するため)。
   
​​​​​​​Annex D 附属書D
Hayya Card Hayya カード
Additional information that we collect about you 我々があなたについて収集する追加情報
When you use or carry your Hayya Card, we may collect: あなたがハイヤカードを使用又は携帯する場合、我々は以下の情報を収集することがある。
Details of your check-ins, for example, the location (e.g. the gantry number) and time at which you check into one of our stadiums for a Tournament, using your Hayya Card; and チェックインに関する詳細(例:大会のために我々のスタジアムにチェックインした場所(例:ガントリー番号)及び時間);及び
Details of your travel journeys made using your Hayya Card (e.g. mode of transport and time of journey). あなたのHayyaカードによる移動の詳細(例:移動手段、移動時間)。
Additional purposes of use その他の利用目的
​​​​​​​To verify your identity and access rights ► When you scan or present your Hayya Card, for example, at a gantry, we will use that data to confirm that you have a valid ticket to the match in question, or to access public transport during the Tournament(s). 本人確認とアクセス権の確認 ► 例えば、ガントリーでHayyaカードをスキャンまたは提示した場合、我々はそのデータを使用して、当該試合の有効なチケットを持っていることを確認したり、トーナメント開催中に公共交通機関にアクセスするために利用します。
Lawful bases: contract performance, legitimate interests (to enable us to perform our obligations and provide our services to you) 合法的根拠:契約の履行、正当な利益(我々が義務を履行し、あなたにサービスを提供できるようにするため)。
​​​​​​​For crowd control and tournament management purposes ► We may combine location data from your Hayya Card data with that of other Fans to identify areas which are at risk of overcrowding, and release announcements recommending that Fans avoid those areas or use alternative routes. 混雑管理および大会運営のため►我々は、あなたのHayyaカードの位置情報と他のファンの位置情報を組み合わせて、混雑のおそれがあるエリアを特定し、そのエリアを回避したり、別のルートを使用するよう推奨するアナウンスを流すことがある。
Lawful bases: legitimate interests (to ensure the safety and security of attendees at the Tournaments) 合法的根拠:正当な利益(大会参加者の安全と安心を確保するため)
   
Annex E 附属書E
Hayya Portal Hayya ポータル
Additional information that we collect about you 我々があなたについて収集する追加情報
When you use the Hayya Portal to apply for a Hayya Card, we may ask you to provide: あなたがHayyaポータルを利用してHayyaカードを申請する際、我々はあなたに以下の提供をお願いすることがある。
Basic information about yourself, such as your name, date of birth, address, email address, telephone or mobile number; 氏名、生年月日、住所、電子メールアドレス、電話番号または携帯電話番号などの基本情報。
Details about your nationality and passport (e.g., passport number, expiry date); 国籍、パスポートの詳細(パスポート番号、有効期限など)。
Details of any ticket(s) you may have to the Tournaments; あなたが持っているトーナメントチケットの詳細。
Sensitive personal data, for example, information about whether you have any symptoms of an infectious disease, particularly where there is an ongoing epidemic or pandemic. We may also collect biometric information in your passport as needed to apply for an entry visa on your behalf. If you provide us with information relating to your needs at the Tournaments (e.g., requests for disabled access), we will also keep a record of that information. 機密性の高い個人情報、例えば、感染症の症状を持っているかどうかに関する情報(特に、現在進行中の流行病またはパンデミックが存在する場合)。また、我々は、あなたに代わって入国ビザを申請するために、必要に応じて、あなたのパスポートの生体情報を収集することがある。あなたがトーナメントでのあなたのニーズに関する情報(例:身体障害者用のアクセスの要求)を我々に提供した場合、我々はその情報の記録も保管します。
We may also receive information about you from the following third parties: また、我々は、以下の第三者からあなたに関する情報を受け取ることがある。
Immigration information ► The Qatar Ministry of Interior (http://www.moi.gov.qa) may send us information that may inform our decision on whether to accept or reject your application for a Hayya Card; an 出入国情報 ► カタール内務省(http://www.moi.gov.qa)は、あなたのHayyaカードの申請を受理するか否かの判断に役立つ情報を我々に送付することがある。
Ticket information ► FIFA (https://www.fifa.com/) may share with us information about the ticket(s) which you have purchased to the Tournaments, including ticket number and information about you as the purchaser of the ticket. チケット情報 ► FIFA (https://www.fifa.com/) は、チケット番号及びチケット購入者としてのあなたに関する情報を含む、あなたが購入した大会のチケットに関する情報を我々と共有することがある。
Single Sign-On (SSO) ► SSO is in place across FIFA’s ticketing portal (www.fifa.com) and SC’s Hayya Portal and Accommodation Portal. This means that if you sign into FIFA’s portal using your username and password, you will automatically be able to access the Hayya Portal and Accommodation Portal without having to re-enter your sign-in details. However, aside from the login username and password, and the ticket information described above, no other personal information is shared between the FIFA and SC portals using the SSO mechanism. シングルサインオン(SSO) ► FIFAのチケットポータル(www.fifa.com)およびSCのHAYYAポータルおよび宿泊ポータルにおいて、SSOが導入されています。これは、ユーザー名とパスワードを使用してFIFAのポータルにサインインすると、サインイン情報を再入力することなく、自動的にHayyaポータルおよび宿泊ポータルにアクセスできるようになることを意味しています。ただし、ログインユーザー名とパスワード、および上述のチケット情報以外には、SSOの仕組みを利用してFIFAとSCのポータル間で個人情報が共有されることはない。
Additional purposes of use その他の利用目的
​​​​​​​To consider your application for a Hayya Card ► To carry out all necessary checks regarding your application; to liaise with relevant government agencies to obtain approval for your visit to Qatar; to issue and deliver your Hayya Card. Hayyaカードの申請を検討するため ► 申請に関して必要なすべてのチェックを行うため、カタール訪問の承認を得るために関連政府機関と連絡を取るため、Hayyaカードを発行し交付するため。
Lawful bases: contract performance, legitimate interests (to enable us to consider your application and provide our services to you) 合法的根拠:契約の履行、正当な利益(我々があなたの申請を検討し、あなたに我々のサービスを提供することを可能にするため)。

 

 


 

報道...

POLITICO

・2022.11.15 Don’t download Qatar World Cup apps, EU data authorities warn

 

Info Security

・2022.11.16 Euro Authorities Warn World Cup Fans Over Qatari Apps

 

Gigazine

・2022.11.17 カタールW杯の参加者にインストールが求められるアプリ「Hayya」「Ehteraz」についてデータ保護当局が警告、使い捨てスマホの使用を推奨

| | Comments (0)

2022.11.23

中国 個人情報保護認証制度が始まりますね...中国版Pマーク?

こんにちは、丸山満彦です。

中華人民共和国で、個人情報保護認証制度が始まりますね。。。中国版Pマークのようなものでしょうかね。。。個人情報の越境移転の有無でマークが変わりますね。。。認証のクライテリアは、

  1. GB/T 35273「情報セキュリティ技術個人情報セキュリティ仕様」
  2. TC260-PG-20222A「個人情報の越境処理活動に関する安全認証仕様」

ということのようです。。。

越境移転がない場合は、1. だけ、越境移転がある場合は、1.と2. に準拠する必要がありますね。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.11.18 关于实施个人信息保护认证的公告

关于实施个人信息保护认证的公告 個人情報保護認証の実施に関する通知
为贯彻落实《中华人民共和国个人信息保护法》有关规定,规范个人信息处理活动,促进个人信息合理利用,根据《中华人民共和国认证认可条例》,国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力。从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动,并按照《个人信息保护认证实施规则》(见附件)实施认证。 中華人民共和国個人情報保護法の関連規定を実施し、個人情報処理活動を規制し、個人情報の合理的な使用を促進するため、「中華人民共和国認証認可条例」に基づき、国家市場監督管理総局と国家サイバースペース管理局は、個人情報保護認証を実施し、個人情報処理者が認証を通じて個人情報保護能力を高めることを奨励することにした。 個人情報保護の認証に携わる認証機関は、「個人情報保護認証実施規則」(別紙参照)に基づき、当該認証活動を行うことを承認され、認証を実施するものとする。
特此公告。 発表
附件:个人信息保护认证实施规则 別紙:個人情報保護認証の実施規定
国家市场监督管理总局 国家互联网信息办公室 国家市場監督管理局 国家サイバースペース管理局

 

・2022.11.18 个人信息保护认证实施规则

​个人信息保护认证实施规则 個人情報保護認証実施規則
1 适用范围 1 適用範囲
本规则依据《中华人民共和国认证认可条例》制定,规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。 この規則は、「中華人民共和国認証認定条例」に基づいて制定され、個人情報の収集、保存、使用、処理、伝送、提供、開示、削除及び越境処理などの処理活動を行う個人情報処理業者の認証に関する基本原則と要件を定めている。
2 认证依据 2 認証根拠
个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求。 個人情報取扱事業者は、GB/T 35273「情報セキュリティ技術個人情報セキュリティ仕様」の要求事項を遵守しなければならない。
对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。 また、越境処理活動を行う個人情報取扱事業者は、TC260-PG-20222A「個人情報の越境処理活動に関する安全認証仕様」の要求事項に適合しなければならない。
上述标准、规范原则上应当执行最新版本。 上記の規格・仕様は、原則として最新版で実施するものとする。
3 认证模式 3 認証モデル
个人信息保护认证的认证模式为: 個人情報保護認証の認証モデルは、以下の通りである。
技术验证 + 现场审核 + 获证后监督 技術検証+現地査定+認証取得後の監督
4 认证实施程序 4 認証実施手順
4.1 认证委托 4.1 認証委員会
认证机构应当明确认证委托资料要求,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。 認証機関は、認証委託者の基本資料、認証委託書、関連する補足資料等を含むが、これらに限定されない認証委託情報の要件を規定する。
认证委托人应当按认证机构要求提交认证委托资料,认证机构在对认证委托资料审查后及时反馈是否受理。 認証委託者は、認証機関の要求に応じて認証委託情報を提出し、認証機関は審査後、認証委託情報の受理についてフィードバックする。
认证机构应当根据认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等,并通知认证委托人。 認証機関は、個人情報の種類と量、関与する個人情報処理活動の範囲、技術検証機関情報などの認証委託情報に基づいて認証方式を決定し、認証本部に通知する。
4.2 技术验证 4.2 技術検証
技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告。 技術認証機関は、認証スキームに従って技術認証を実施し、認証機関及び認証主体に技術検証報告書を発行する。
4.3 现场审核 4.3 現地査定
认证机构实施现场审核,并向认证委托人出具现场审核报告。 認証機関は、現地査定を実施し、認証主体に現地査定報告書を発行する
4.4 认证结果评价和批准 4.4 認証結果の評価と承認
认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的,以书面形式通知认证委托人终止认证。 認証機関は、認証委員会の情報、技術検証報告書、現地査定報告書と包括的な評価のための他の関連情報に応じて、認証の決定を行う。認定要件が満たされている場合、認定証明書が発行される。当分の間、認定要件を満たしていない場合、認証委員会は、期限の是正を求めることができる。修正後も満たしていない場合、認証の解除を認証委託者に通知するための書面を発行する。
如发现认证委托人、个人信息处理者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时,认证不予通过。 認証委託者または個人情報処理者が、偽り、情報の隠蔽、故意の認証要件違反、その他認証の実施に重大な影響を与える行為を行ったことが判明した場合は、認証を付与することはできない。
4.5 获证后监督 4.5 認証取得後の監督
4.5.1 监督的频次 4.5.1 監督の頻度
认证机构应当在认证有效期内,对获得认证的个人信息处理者进行持续监督,并合理确定监督频次。 認証機関は、認証の有効期間中、認証された個人情報取扱事業者に対する継続的な監督を行い、その頻度を合理的に決定するものとする。
4.5.2 监督的内容 4.5.2 監督の内容
认证机构应当采取适当的方式实施获证后监督,确保获得认证的个人信息处理者持续符合认证要求。 認証機関は、認証された個人情報処理機関が認証要件を継続して満たしていることを確認するために、認証後の監督を実施する適切な手段を採用するものとする。
4.5.3 获证后监督结果的评价 4.5.3 認証取得後の監督結果の評価
认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。 包括的な評価のための認証取得後の監督の所見とその他の関連情報に基づき評価が渡され、認証証明書を維持し続けることができる。認証機関は、処理の証明書を一時停止または取り消すために、対応する状況に応じて、対応しなければならない。
4.6 认证时限 4.6 認証取得時期
认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成。认证委托人应当对认证活动予以积极配合。 認証機関は、明確な規定を設けるために、時間的要件に従って作業が完了するよう、あらゆる側面から認証を受けるべきである。 認証委託者は、認証活動に積極的に協力することが望ましい。
5 认证证书和认证标志 5 認証証明書と認証マーク
5.1 认证证书 5.1 認証証明書
5.1.1 认证证书的保持 5.1.1 認証証明書の維持管理
认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。 認証証明書の有効期限は3年間である。 有効期間中、認証機関の認証後の監督を通じて、認証の有効性を維持する。
证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。 認証が失効し、更新が必要な場合、認証委託者は、失効日の6ヶ月前以内に認証委託書を提出する。 認証機関は、認証後の監督を利用して、委員会の認証要件を満たし、新たな認証書を発行するものとする。
5.1.2 认证证书的变更 5.1.2 認証証明書の変更
认证证书有效期内,若获得认证的个人信息处理者名称、注册地址,或认证要求、认证范围等发生变化时,认证委托人应当向认证机构提出变更委托。认证机构根据变更的内容,对变更委托资料进行评价,确定是否可以批准变更。如需进行技术验证和/或现场审核,还应当在批准变更前进行技术验证和/或现场审核。 認証証明書は有効であり、認証された個人情報取扱事業者の名称、登録住所、または認証要件、認証範囲などが変更された場合、認証委託者は認証機関に委託内容の変更を提案する必要がある。 認証機関は、変更内容に応じて変更委託情報を評価し、変更承認の可否を判断する。 技術検証および/または現地査定の場合、また、技術検証および/または現地査定の変更前に承認される必要があります。
5.1.3 认证证书的注销、暂停和撤销 5.1.3 認証の取消し、一時停止及び取消し
当获得认证的个人信息处理者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。 認証された個人情報処理事業者が認証要件を満たさなくなった場合、認証機関は、認証が取り消されるまで、速やかに認証の停止を行うものとする。 認証主体は、認証書の有効期間内に認証書の停止および抹消を申請することができる。
5.1.4 认证证书的公布 5.1.4 認証証明書の発行
认证机构应当采用适当方式对外公布认证证书颁发、变更、暂停、注销和撤销等相关信息。 認証機関は、適切な手段を用いて、発行した認証書、変更、停止、取消しおよび関連情報の撤回を公表するものとする。
5.2 认证标志 5.2 認証マーク
不含跨境处理活动的个人信息保护认证标志如下: 越境処理活動を伴わない個人情報保護に関する認証マークは以下の通りである。
16703999366581291670399936859756
包含跨境处理活动的个人信息保护认证标志如下: 越境処理活動を含む個人情報保護に関する認証マークは、以下の通りである。
16703999366581291670399936872313
“ABCD”代表认证机构识别信息。 ABCD は認証機関の識別情報を表す。
5.3 认证证书和认证标志的使用 5.3 認証書および認証マークの使用について
在认证证书有效期内,获得认证的个人信息处理者应当按照有关规定在广告等宣传中正确使用认证证书和认证标志,不得对公众产生误导。 認定個人情報処理事業者は、認定証の有効期間中、関連規定に従って、認定証及び認定マークを広告その他の宣伝に正しく使用し、誤解を与えないようにしなければならない。
6 认证实施细则 6 認証実施規則
认证机构应当依据本规则有关要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。 認証機関は、これらの規則の関連要件に基づいて、認証の実装手順、科学的、合理的かつ運用認証と実装のルールの開発、および実装の公表を洗練するものとする。
7 认证责任 7 認証責任
认证机构应当对现场审核结论、认证结论负责。 認証機関は、現地審査の結論と認証の結論に責任を持つ。
技术验证机构应当对技术验证结论负责。 技術的検証機関は、技術的検証の結論に責任を持つ。
认证委托人应当对认证委托资料的真实性、合法性负责。 認証委託者は、認証委託情報の真正性、適法性について責任を負う。

 

 


 

越境移転の場合に追加されるクライテリアについてはこちら(仮対訳あり)...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.27 中国 TC260 個人情報の国際的な処理活動に関するセキュリティ認証仕様

 

 

| | Comments (0)

2022.11.22

経団連 web3推進戦略 (2022.11.15)

こんにちは、丸山満彦です。

経団連が、「web3推進戦略」を公表していますね。。。賛否両論色々あるのだろうと思いますが、、、まずは、落ち着いて読んでみましょうね。。。

とは、いえ。。。。

ーーーーー

Ⅲ.直ちに取り組むべきこと

  1. トークンの保有を促進
  2. トークンへの投資を促進
  3. トークンの流通を促進

ーーーーー

というのは、ゾワゾワしますね。。。

 

日本経済団体連合会

・2022.11.15 web3推進戦略- Society 5.0 for SDGs実現に向けて -

20221122-154703

 

 

目次...

Ⅰ.はじめに- Society 5.0 for SDGs実現に向けたweb3活用の可能性 -

  1. わが国の現状
  2. Society 5.0 for SDGs実現に向けたweb3活用の可能性

Ⅱ.web3先進国への変貌に向けたステップ

  1. 目指すべきweb3先進国の姿
  2. 具体的なステップ

Ⅲ.直ちに取り組むべきこと

  1. トークンの保有を促進
  2. トークンへの投資を促進
  3. トークンの流通を促進

Ⅳ.今後求められる関連分野の施策

  1. NFT
  2. DAO
  3. メタバース

Ⅴ.おわりに

【関連用語集】

 


 

Ⅲ.直ちに取り組むべきこと

「web3鎖国」脱却に向け直ちに取り組むべきこと

 

| | Comments (0)

より以前の記事一覧