監査 / 認証: まるちゃんの情報セキュリティ気まぐれ日記

July 2022
Sun	Mon	Tue	Wed	Thu	Fri	Sat
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31

監査 / 認証

2022.07.01

公安調査庁国際テロリズム要覧2022

こんにちは、丸山満彦です。

公安調査庁が1993年（平成5年）から毎年発刊している国際テロリズム要覧が、19回目の今年からウェブでPDF公開されるようになったようです。。。462ページあります。。。

・ 2022.06.28 国際テロリズム要覧2022

「国際テロリズム要覧2022」は、主に2022年1月までのテロ事案やテロ組織の動向に関する国内外の報道のほか、国際機関、諸外国の政府・研究機関等が発表した資料等の公開情報を整理し、取りまとめたものです。
なお、公安調査庁は、テロ組織等を認定又は指定する事務は行っておらず、本要覧中のテロ組織等に係る記述は、公安調査庁の独自の評価を加えたものではなく、上記のとおり、各種公開情報に基づくものです。

・[PDF] 国際テロリズム要覧 2022

各国ごとに記載されています（なのでページ数は多い）

ポイントとしては、次の図が参考になるかもしれません。。。

出典：国際テロリズム2022 001ページ

コラムで、「サイバー空間をめぐるテロの脅威」があります。

出典：国際テロリズム2022 025ページ

要は、

・2021年末時点では、イスラム過激組織（ISIL、アルカイダ等）による組織的かつ大規模なサイバー攻撃事案は確認されていない。

・ISIL については、組織としてサイバー攻撃の実行を呼び掛ける声明や機関誌は特段把握されていない

けど、

・ISIL 等は主として、サイバー空間を自組織の思想の拡散、リクルート活動、テロの計画や準備に関する連絡等の目的で利用している状況がうかがわれる。

・ISIL 等との関連が疑われる個人又はグループによるサイバー攻撃事案については、従前から各国で発生している

・「アルカイダ」は、機関誌「ワン・ウンマ」英語版第 2 号(2020 年 6 月)において、サイバー空間での「ジハード」を「E-Jihad」と位置付けた上で、金融機関、航空システム等の重要インフラに対するサイバー攻撃を呼び掛けている。

2022.07.01 04:18 in 監査 / 認証 | Permalink | Comments (0)
Tweet

2022.06.30

日本公認会計士協会国際会計士倫理基準審議会公開草案「テクノロジー関連のIESBA倫理規程改訂案」に対する意見について

こんにちは、丸山満彦です。

日本公認会計士協会が国際会計士倫理基準審議会公開草案「テクノロジー関連のIESBA倫理規程改訂案」に対する意見を公表していますね。。。

監査法人系の会社によるコンサルティング業務のIT関連ビジネスについての独立性（自己レビュー等）に関係する内容も含まれていますね。。。米国のPCAOBはさらに厳しい規則を課しています。。。

● 日本公認会計士協会

・2022.06.27 国際会計士倫理基準審議会公開草案「テクノロジー関連のIESBA倫理規程改訂案」に対する意見について

・[PDF] 本文（日本語）

なお、元になったのは、、、

● International Ethics Standards Board for Accountants - TECHNOLOGY: ETHICS & INDEPENDENCE CONSIDERATIONS

・2022.02.18 PROPOSED TECHNOLOGY-RELATED REVISIONS TO THE CODE

・[PDF] Proposed Technology-related Revisions to the Code

国際基準とPCAOBの独立性の比較も参考になりますね。。。

・2022.05.06 (press) IESBA STAFF RELEASES BENCHMARKING REPORT COMPARING THE INTERNATIONAL INDEPENDENCE STANDARDS WITH U.S. SEC AND PCAOB INDEPENDENCE RULES

・2022.05.06 SUMMARY: BENCHMARKING THE INTERNATIONAL INDEPENDENCE STANDARDS

2022.06.30 06:23 in 個人情報保護 / プライバシー, in 監査 / 認証, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

公安調査庁「公安調査局長・公安調査事務所長会議」における公安調査庁長官訓示(2022.06.23)

こんにちは、丸山満彦です。

2022.06.23に公安調査庁長官が、公安調査局長・公安調査事務所長会議での訓示が公開されていますね。。。

概要は、

1. 経済安全保障に関する取組の強化・推進（経済安全保障特別調査室を設置）
(1) 官民連携の推進
(2) 国内外の関係機関との更なる連携の強化
(3) 機能・体制の強化

2. サイバー空間における脅威に対する取組の強化・推進（サイバー特別調査室を設置等）

3. 我が国の外交・安全保障に関する各種動向の迅速かつ的確な把握
(1) 北朝鮮
(2) 中国は
(3) ロシア
(4) インフルエンス・オペレーション（偽情報の流布なども含めた活動）
(5) 国際テロ情勢（ISIL、アルカイダなどの国際テロ組織、アフガニスタン）
(6) ウクライナ情勢

4. いわゆるオウム真理教に対する観察処分の適正かつ厳格な実施

ということのようです。。。

サイバーセキュリティ部分...

第二に、サイバー空間における脅威に対する取組の強化・推進についてです。
サイバー攻撃が国内外で常態化し、その手口も巧妙化する中で、特に我が国の周辺国等は、その政治的、軍事的、経済的目的を達成するため、サイバー空間を利用した諜報活動や重要インフラの破壊、偽情報の流布などによる情報操作といったサイバー戦能力を強化しており、我が国の安全保障に与える影響等を注視していかなければなりません。
このような情勢を受け、サイバー攻撃事案等に係る情報収集・分析能力を強化するため、本年４月、サイバー特別調査室を設置しました。サイバー関連情報については、高まる情報ニーズの中、当庁に寄せられる期待にこれまで以上に応える必要があります。各局・事務所においても、サイバー特別調査室と緊密に連携し、同関連調査をより一層推進していただきたいと思います。

● 公安調査庁

・2022.06.23 「公安調査局長・公安調査事務所長会議」における公安調査庁長官訓示

2022.06.30 00:00 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2022.06.28

JIPDEC 将来の脅威に対応できるISMS構築のエッセンス～クラウドセキュリティに役立つISO規格～

こんにちは、丸山満彦です。

一般財団法人日本情報経済社会推進協会 (JIPDEC) が、情報セキュリティ対策を行うためのエッセンスを紹介したガイドブック「将来の脅威に対応できるISMS構築のエッセンス～クラウドセキュリティに役立つISO規格～」を新たにまとめ、発行していますね。。。

12ページでコンパクトにまとめられているということですかね。。。

主なポイントは以下のとおりとのことです。。。

■ テレワークによる職場環境やクラウドサービス活用を含むシステム変更等によって変化するリスクにどう対応するかを解説
■ 情報セキュリティにおけるガバナンスの重要性を解説
■ デジタルトランスフォーメーション（DX）推進に即したセキュリティ対策の考え方を紹介

● JIPDEC

・2022.06.27 JIPDEC クラウドサービス提供＆利用のリスク対応を解説したガイドブックを発行 - 今、そして将来の脅威にどう対応する？ISO規格をもとにISMS構築のエッセンスを解説！

・[PDF] 将来の脅威に対応できるISMS 構築のエッセンス～クラウドセキュリティに役立つISO 規格～

目次...

１はじめに
2 目的に沿った運用にするには
2.1 ガバナンス
2.2 リスクマネジメント
2.3 運用時の注意事項
3 効果的な仕組みづくりのために～ISMS 適合性評価制度の活用～
4 おわりに

2022.06.28 05:17 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド | Permalink | Comments (0)
Tweet

2022.06.27

日本公認会計士協会経営研究調査会研究資料第９号「上場会社等における会計不正の動向（2022年版）」を公表

日本公認会計士協会が、経営研究調査会研究資料第９号「上場会社等における会計不正の動向（2022年版）」を公表していますね。。。

興味深いです！！！

● 日本公認会計士協会 (JICPA)

・2022.06.27 経営研究調査会研究資料第９号「上場会社等における会計不正の動向（2022年版）」の公表について

・[PDF] 本文

Ⅰ 総論
１．本研究資料の作成の背景
２．本研究資料の作成の前提事項

Ⅱ 会計不正の動向
１．会計不正の公表会社数
２．会計不正の類型と手口
３．会計不正の主要な業種内訳
４．会計不正の上場市場別の内訳
５．会計不正の発覚経路
６．会計不正の関与者
７．会計不正の発生場所
８．会計不正の不正調査体制の動向
９．会計不正と内部統制報告書の訂正の関係

【参考】会計不正の定義

今年＋過去分

2022.06.27	経営研究調査会研究資料第９号「上場会社等における会計不正の動向（2022年版）」	PDF
2021.07.29	経営研究調査会研究資料第８号「上場会社等における会計不正の動向（2021年版）」	PDF
2020.07.17	経営研究調査会研究資料第７号「上場会社等における会計不正の動向（2020年版）」	PDF
2019.06.19	経営研究調査会研究資料第６号「上場会社等における会計不正の動向（2019年版）」	PDF
2018.05.16	経営研究調査会研究資料第５号「上場会社等における会計不正の動向」	PDF

まるちゃんの情報セキュリティティ日記

・2021.07.31 日本公認会計士協会経営研究調査会研究資料第８号「上場会社等における会計不正の動向（2021年版）」を公表

・2020.07.20 日本公認会計士協会経営研究調査会研究資料第７号「上場会社等における会計不正の動向（2020年版）」を公表

2022.06.27 16:07 in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

ドイツ BSI TR-03161 ヘルスケア分野でのアプリケーション等に対するセキュリティ要求事項

こんにちは、丸山満彦です。

ドイツが、ヘルスケア分野のアプリケーションについてのセキュリティ要求事項を「モバイルアプリケーション (TR-03161-1)」、「ウェブアプリケーション (TR-03161-2)」、「バックグラウンドシステム (TR-03161-3)」に分けて公表していますね。。。

● Bundesamt für Sicherheit in der Informationstechnik: BSI

プレス...

・2022.06.23 Bundesamt für Sicherheit in der Informationstechnik BSI veröffentlicht Technische Richtlinien zur Sicherheit von Digitalen Gesundheitsanwendungen

BSI veröffentlicht Technische Richtlinien zur Sicherheit von Digitalen Gesundheitsanwendungen	BSI、デジタルヘルス・アプリケーションのセキュリティに関する技術指針を発表
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Sicherheitsanforderungen an Anwendungen im Gesundheitswesen veröffentlicht. Im Rahmen unterschiedlicher explorativer Projekte konnte das BSI in den letzten Jahren Erkenntnisse über den aktuellen Stand der IT-Sicherheit im Gesundheitswesen gewinnen. Um Herstellern und Betreibern mit präventiven Maßnahmen weitere Hilfestellungen geben zu können, wurden Sicherheitsanforderungen für unterschiedliche Teilbereiche von Anwendungen im Gesundheitswesen verfasst. Die Technische Richtlinie (TR) umfasst in mehreren Teilen Anforderungen an mobile Anwendungen (TR-03161-1), Web-Anwendungen (TR-03161-2) und Hintergrundsysteme (TR-03161-3).	ドイツ連邦情報セキュリティ局 (BSI) は、ヘルスケア分野のアプリケーションに対するセキュリティ要件を発表しました。BSIは、さまざまな探索的プロジェクトの枠組みの中で、近年のヘルスケア分野におけるITセキュリティの現状について知見を得ることができました。メーカーやオペレーターに予防策を提供できるよう、ヘルスケア分野のさまざまなアプリケーションのサブエリアについて、セキュリティ要件が作成されています。本技術指針は、モバイルアプリケーション (TR-03161-1) 、ウェブアプリケーション (TR-03161-2) 、バックグラウンドシステム (TR-03161-3) の要件をいくつかのパートに分けて構成しています。
Die Anforderungen basieren auf dem aktuellen Stand der Technik im Gesundheitswesen und den Erkenntnissen aus unterschiedlichen Projekten des BSI. Darüber hinaus repräsentieren sie aus Sicht des BSI das Ergebnis eines regelmäßigen Austauschs mit der Industrie sowie der Beteiligung des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Unter Berücksichtigung der stark fortschreitenden Digitalisierung im Gesundheitswesen und des sich wandelnden Standes der Technik, pflegt das BSI weiterhin einen regelmäßigen Austausch mit Vertretern der Industrie und den zuständigen Behörden. Die sich hieraus ergebenden Erkenntnisse werden im Rahmen einer jährlichen Evaluierung der TR berücksichtigt und in Form von Anpassungen und Erweiterungen mit aufgenommen.	要件は、ヘルスケアにおける現状と、BSIのさまざまなプロジェクトで得られた知見に基づいています。さらに、BSIの観点からは、産業界との定期的な交流や、連邦医薬品・医療機器研究所 (BfArM) 、連邦データ保護・情報自由委員会 (BfDI) の関与の結果であると言えるでしょう。BSIは、急速に進むヘルスケア分野のデジタル化とその状況の変化を考慮し、産業界や所轄官庁の代表者と定期的な交流を続けています。その結果得られた知見は、毎年行われるTRの評価で考慮され、適応や拡張の形で盛り込まれます。
Für den Nachweis der Konformität gegenüber den beschriebenen Sicherheitsanforderungen bietet das BSI jeweils ein Zertifizierungsverfahren nach TR an.	記載されたセキュリティ要件に適合していることを証明するために、BSI は TR に従った認証手続きを提供します。
Digitale Gesundheitsanwendungen (DiGA) nach § 33 a SGB V und digitale Pflegeanwendungen (DiPA) nach § 40 a SGB XI können grundsätzlich als Anwendungen im Gesundheitswesen gewertet werden. Eine Anerkennung der Zertifizierung nach TR für DiGA in Bezug auf § 139 e Absatz 10 SGB V und DiPA in Bezug auf § 78 a SGB XI Absatz 7 als Nachweis der einzuhaltenden Sicherheitsanforderungen obliegt dem BfArM.	33 a SGB Vによるデジタルヘルスアプリケーション (DiGA) と40 a SGB XIによるデジタルケアアプリケーション (DiPA) は、基本的にヘルスケア分野におけるアプリケーションとして評価することができる。満たすべき安全要件の証明として、SGB V §139 e 10 項に関する DiGA および SGB XI §78 a 7 項に関する DiPA の TR による認証の承認は、BfArM の責任です。

・2022.06.23 BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen

BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen	BSI TR-03161 ヘルスケア分野でのアプリケーションに対する要求事項
Gegenstand der Technischen Richtlinie	技術指針の対象
Nach Einschätzung des Bundesministeriums für Gesundheit stehen die Gesundheitssysteme der westlichen Welt vor großen Herausforderungen. Es gilt immer mehr ältere und chronisch kranke Menschen zu behandeln, teure medizinische Innovationen zu bezahlen und strukturschwache ländliche Gebiete medizinisch zu versorgen [BMG-EHI]. Anwendungen im Gesundheitswesen können helfen, solche und andere Herausforderungen besser zu lösen. Sie haben das allgemeine Ziel bei „der Behandlung und Betreuung von Patientinnen und Patienten“ zu unterstützen und ,,die Möglichkeiten [zu] nutzen, die moderne Informations- und Kommunikationstechnologien (IKT) bieten“ [BMG-EH].	連邦保健省によると、欧米の医療制度は大きな課題に直面しています。高齢者や慢性疾患患者が増え、高価な医療技術革新に費用がかかり、構造的に弱い地方に医療を提供しなければならないのです[BMG-EHI]。ヘルスケア・アプリケーションは、このような課題をよりよく解決するために役立ちます。これらは、「患者の治療とケア」を支援し、「現代の情報通信技術 (ICT) が提供する可能性を利用する」ことを一般的な目的としています[BMG-EH]。
Die Familie von Technische Richtlinien (TR) richtet sich an Hersteller von Anwendungen im Gesundheitswesen. Zusätzlich kann sie als Richtlinie für Anwendungen betrachtet werden, welche sensible Daten verarbeiten oder speichern.	技術ガイドライン (TR) ファミリーは、ヘルスケア分野のアプリケーションメーカーを対象としています。また、機密性の高いデータを処理・保管するアプリケーションのガイドラインとしても考慮できる。
Zielsetzung der Technischen Richtlinie	技術指針の目的
Die Digitalisierung aller Lebensbereiche, sei es im Beruf, in Heimumgebungen, im Individual- oder im öffentlichen Personenverkehr, schreitet stetig voran. Bereits im Jahr 2018 überschritt die Anzahl der Internetnutzer die Grenze von vier Milliarden Menschen. Zwei Drittel der zurzeit 7,6 Milliarden Menschen zählenden Weltbevölkerung nutzen ein Mobiltelefon. Mehr als drei Milliarden Menschen nutzen soziale Netzwerke und tun dies in neun von zehn Fällen über ihr Smartphone (vgl. [GDR18]). Diese Entwicklung setzt sich im Gesundheitswesen mit dem Trend zum „Self-Tracking“, aber auch mit der zunehmenden Forderung nach der effizienten Nutzung einmal erhobener medizinischer Daten fort. Insbesondere im Gesundheitswesen ist es dabei komfortabel, dass orts- und zeitunabhängig auf die eigenen medizinischen Daten zugegriffen werden kann. Anwendungen speichern in diesem Fall sensible und persönliche Daten - von der Pulsfrequenz, über Aufzeichnungen des Schlafrhythmus bis hin zu Medikationsplänen sowie ärztlichen Verordnungen und Bescheinigungen. Sie verbinden den Nutzer mit entsprechenden Services und fungieren als Kommunikations-Knotenpunkte. Ein kompromittiertes Endgerät kann somit das gesamte digitale Leben des Nutzers ungewollt offenlegen und zu hohem finanziellen Schaden führen. Das Einhalten von geeigneten Sicherheitsstandards kann dies wesentlich erschweren und möglicherweise sogar verhindern. Schon während der Entwicklungsphase sollten Hersteller sehr verantwortungsvoll planen, wie eine Anwendung personenbezogene und andere sensible Daten verarbeitet, speichert und schützt.	職場、家庭環境、個人、公共交通機関など、生活のあらゆる場面でデジタル化が着実に進行しています。すでに2018年には、インターネット利用者が40億人を突破しています。現在、世界の人口76億人のうち、3分の2が携帯電話を使用しています。30億人以上の人々がソーシャルネットワークを利用し、10件中9件はスマートフォンから利用しています ([GDR18]を参照) 。このような動きは、ヘルスケア分野でも続いており、「セルフトラッキング」の流れに加え、一度収集した医療データの効率的な活用が求められています。特に医療分野では、場所や時間に関係なく自分の医療データにアクセスできるのは便利なことです。この場合、アプリケーションには、脈拍や睡眠リズムの記録、投薬計画、医療処方箋や証明書など、機密性の高い個人情報が保存されます。ユーザーを対応するサービスに接続し、通信ノードとして機能する。エンドデバイスが危険にさらされると、意図せずユーザーのデジタルライフ全体が明らかになり、高額な金銭的損害につながる可能性があるのです。適切なセキュリティ基準を遵守することで、このような事態をより困難なものとし、場合によっては防ぐことができます。開発段階であっても、メーカーはアプリケーションが個人情報やその他の機密情報をどのように処理し、保存し、保護するかについて、非常に責任ある計画を立てる必要があります。
Die IT-Sicherheit verfolgt im Wesentlichen drei Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit.	ITセキュリティは、基本的に3つの保護目標を追求しています。機密性、完全性、可用性。
Gerade bei Anwendungen im Gesundheitswesen ist die Einhaltung dieser Anforderungen von besonderer Wichtigkeit. Insbesondere im Gesundheitswesen ist die Vertraulichkeit von Gesundheitsdaten, die unwillentlich offenbart werden, für immer verloren. Der Patient könnte hierfür zwar Schadensersatz erhalten, die unwillentliche Offenbarung kann allerdings nicht ungeschehen gemacht werden. Darüber hinaus können durch das ungewollte Bekanntwerden von Gesundheitsdaten unerwünschte Folgen mit erheblichen Auswirkungen im sozialen wie auch im beruflichen Umfeld entstehen. Sollte ein Angreifer in der Lage sein, sensible Daten eines Dritten zu manipulieren und damit deren Integrität zu verletzen, könnte er wesentlichen Einfluss auf Therapieentscheidungen und letztlich die Gesundheit des Betroffenen haben.	特に、ヘルスケア分野のアプリケーションでは、これらの要件への適合が重要です。特に医療分野では、意図せず公開された健康データの機密性は永遠に失われます。この場合、患者は補償を受けることができるが、強制的な開示は元に戻すことができません。また、意図せずして健康データが開示されると、社会的・職業的に大きな影響を及ぼし、好ましくない結果になることもあります。万が一、攻撃者が第三者の機密データを操作し、その完全性を侵害した場合、治療の意思決定、ひいては本人の健康に大きな影響を与える可能性があります。
Diese Familie von Technische Richtlinien soll als Leitfaden dienen, um Entwickler von Anwendungen bei der Erstellung sicherer Lösungen zu unterstützen.	この技術ガイドラインファミリーは、アプリケーション開発者が安全なソリューションを作成するためのガイドとして機能することを目的としています。
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 1: Mobile Anwendungen	BSI TR-03161 ヘルスケアアプリケーションの要件 - パート1：モバイルアプリケーション
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 2: Web-Anwendungen	BSI TR-03161 ヘルスケアアプリケーションの要件 - パート2：ウェブアプリケーション
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 3: Hintergrundsysteme	BSI TR-03161 ヘルスケアアプリケーションの要件 - Part 3: バックグラウンドシステム
Biometrie bei mobilen Gesundheitsanwendungen	モバイルヘルスアプリケーションにおけるバイオメトリクス
Neue mobile Gesundheitsanwendungen sehen unter anderem auch eine biometrische Benutzerauthentisierung vor. Allerdings weist der Markt eine hohe Zahl an biometrischen Komponenten für mobile Endgeräte auf, welche sich in Performanz und Fälschungssicherheit deutlich unterscheiden. Um sicherzustellen, dass die biometrischen Authentifizierungsverfahren auf Smartphones für mobile Gesundheitsanwendungen ein ausreichendes Vertrauensniveau erreichen, will das BSI biometrische Authentifikationssysteme auf Smartphones prüfen und im Frühjahr 2022 eine initiale Whitelist geeigneter Geräte veröffentlichen, welche danach in regelmäßigen Abständen aktualisiert werden wird. Eine Verwendung biometrischer Authentisierungsmethoden wird nur für Geräte in dieser Whitelist zulässig sein, alle anderen werden sich auf die klassischen PIN/Passwort-Verfahren beschränken müssen.	モバイルヘルスの新しいアプリケーションには、バイオメトリクスによるユーザー認証が含まれます。しかし、市場にはモバイル機器用の生体認証部品が数多く存在し、その性能や偽造防止性能は大きく異なっているのが現状です。BSIは、モバイルヘルスアプリケーション用のスマートフォンにおける生体認証手順が十分な信頼性を達成できるよう、スマートフォンにおける生体認証システムのテストを行い、2022年春に適切なデバイスの初期ホワイトリストを公開し、その後定期的に更新する予定です。生体認証の使用は、このホワイトリストに登録された機器にのみ許可され、それ以外の機器では従来のPIN/パスワードによる認証に限定されます。
Die Anforderungen für diese Prüfung ergeben sich aus der - derzeit im Finalisierungs- und Veröffentlichungsprozess befindlichen - Technischen Richtlinie TR-03161-1 (Anhang C). Hersteller von Endgeräten, die an einer Listung ihrer Endgeräte in dieser Whitelist interessiert sind, werden gebeten, sich mit dem BSI in Verbindung zu setzen. In diesem Zuge werden die konkreten Prüfanforderungen sowie nähere Informationen zum Prüfprozess bereitgestellt. Die Prüfung besteht dabei im Wesentlichen aus zwei Komponenten. Zunächst benötigt das BSI eine Herstellererklärung, die dokumentiert, dass das jeweilige Endgerät die näher bezeichneten Anforderungen erfüllt und wie diese Prüfung seitens des Hersteller erfolgt ist. Diese Herstellererklärung wird dann im BSI auf Plausibilität geprüft. Darüber hinaus behält sich das BSI eine stichprobenartige praktische Kontrolle der Endgeräte vor.	本テストの要求事項は、現在最終版として発行されている技術指針 TR-03161-1 (Annex C) から導き出されたものです。このホワイトリストへの掲載を希望するエンドデバイスの製造者は、BSI に連絡することが望まれる。本講座では、具体的なテスト要件に加え、テストプロセスに関するより詳細な情報を提供します。このテストは、基本的に2つの要素で構成されています。まず、BSIは、それぞれのエンドデバイスが指定された要件を満たしていること、そしてこのテストが製造者によってどのように実施されたかを文書化した製造者の宣言を要求しています。この製造者の宣言は、BSIでもっともらしいかどうかチェックされる。さらに、BSI は、エンドデバイスのランダムな実地チェックを行う権利を留保します。
Endgeräte werden in die Whitelist aufgenommen, soweit die Angaben in der Herstellererklärung plausibel sind und - sofern einschlägig - eine etwaige stichprobenartige Prüfung des jeweiligen Endgeräts keine Zweifel an der Herstellererklärung aufgeworfen hat. Erfolgt die stichprobenartige Kontrolle nach der initialen Listung des Endgerätes in der Whitelist, kann ein negatives Prüfergebnis zur Entfernung dieses Gerätes von der Whitelist führen. Jeder Eintrag in der Whitelist beinhaltet die Hersteller- und Modellbezeichnung, die zugelassene biometrische Modalität und die ggf. notwendige Konfiguration für ein als geeignet eingestuftes Gerät. Weitere Informationen werden nicht veröffentlicht. Insbesondere ist nicht geplant, eine Art „Blacklist“ mit solchen Geräten, die die Anforderungen nicht erfüllen, zu veröffentlichen.	端末機器は、製造者の宣言に記載されている情報が妥当であり、かつ (該当する場合) 各端末機器のランダムチェックで製造者の宣言に疑義が生じない場合に、ホワイトリストに掲載されます。ホワイトリストにエンドデバイスを最初に登録した後にランダムチェックを実施した場合、テスト結果がよくなければ、このデバイスをホワイトリストから削除することができます。ホワイトリストの各項目には、メーカー名とモデル名、承認された生体認証モダリティ、適切と判断されたデバイスに必要な設定 (ある場合) が含まれています。それ以外の情報は公開されません。特に、要件を満たさないそのような機器の「ブラックリスト」のようなものを公表する予定はない。
Der gesamte Prüf- und Veröffentlichungsprozess erfolgt seitens des BSI unter Wahrung der Vertraulichkeit. Den Herstellern wird zudem - sowohl im Falle einer Aufnahme ihrer Endgeräte in die Whitelist als auch im Falle einer Ablehnung - unter angemessener Fristsetzung Gelegenheit zur Stellungnahme gegeben werden.	テストと公表の全プロセスは、BSIが機密を保持しながら実施します。さらに、製造者は、合理的な期間内に、ホワイトリストにエンドデバイスを含める場合と拒否する場合の両方について、意見を述べる機会を与えられます。
Aufgrund des dargestellten Prüfprozesses erhebt die Whitelist keinen Anspruch auf Vollständigkeit. Aus der fehlenden Listung eines Endgerätes in der Whitelist kann somit nicht zwingend der Schluss gezogen werden, dass dieses Gerät die Prüfanforderungen nicht erfüllt.	上記のような審査のため、ホワイトリストが完全であるとは言えません。ホワイトリストに含まれていないからといって、必ずしもテスト要件を満たしていないとは限りません。

モバイル版 T1

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 1: Mobile Anwendungen

ウェブアプリケーション版 T2

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 2: Web-Anwendungen

バックグラウンドシステム版 T3

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 3: Hintergrundsysteme

目次は共通項目が多いので、、、

		-1	-2	-3
1 Einleitung	1 はじめに	●	●	●
1.1 Gegenstand der Technischen Richtlinie	1.1 技術指針の主題	●	●	●
1.2 Zielsetzung der Technischen Richtlinie	1.2 技術指針の目的	●	●	●
1.3 Übersicht der Technischen Richtlinie	1.3 技術指針の概要	●	●	●
1.3.1 Methodik	1.3.1 方法論	●	●	●
1.3.2 Begriffe	1.3.2 用語の説明	●	●	●
2 Überblick der Sicherheitsanforderungen an Anwendungen im Gesundheitswesen	2 ヘルスケアアプリケーションに求められるセキュリティ要件の概要	●	●	●
2.1 Anwendungskonzepte auf mobilen Endgeräten	2.1 モバイル端末におけるアプリケーションの概念	●	●	●
2.1.1 Native-Anwendungen	2.1.1 ネイティブアプリケーション	●	●	●
2.1.2 Hybride Ansätze	2.1.2 ハイブリッド・アプローチ	●	●	●
2.2 Web-Anwendungen	2.2 ウェブアプリケーション	●	●	●
2.3 Hintergrundsysteme	2.3 バックグラウンド・システム	●	●	●
2.3.1 Selbst gehostete Systeme	2.3.1 セルフホストシステム	●	●	●
2.3.2 Extern gehostete Systeme	2.3.2 外部からホストされるシステム	●	●	●
2.3.3 Cloud Computing	2.3.3 クラウドコンピューティング	●	●	●
2.4 Security Problem Definition	2.4 セキュリティ問題の定義	●	●	●
2.4.1 Annahmen	2.4.1 前提条件	●	●	●
2.4.2 Bedrohungen	2.4.2 脅威	●	●	●
2.4.3 Organisatorische Sicherheitspolitiken	2.4.3 組織的なセキュリティポリシー	●	●	●
2.4.4 Restrisiken	2.4.4 残留リスク	●	●	●
3 Prüfaspekte für Anwendungen im Gesundheitswesen	3 ヘルスケアアプリケーションのためのテストの側面	●	●	●
3.1 Prüfaspekte	3.1 テスト面	●	●	●
3.1.1 Prüfaspekt (1): Anwendungszweck	3.1.1 テスト側面 (1) ：適用目的	●	●	●
3.1.2 Prüfaspekt (2): Architektur	3.1.2 テスト側面 (2) ：アーキテクチャ	●	●	●
3.1.3 Prüfaspekt (3): Quellcode	3.1.3 テスト側面 (3) ：ソースコード	●	●	●
3.1.4 Prüfaspekt (4): Drittanbieter-Software	3.1.4 テスト側面 (4) ：サードパーティソフトウェア	●	●	●
3.1.5 Prüfaspekt (5): Kryptographische Umsetzung	3.1.5 テスト側面 (5) ：暗号化実装	●	●	●
3.1.6 Prüfaspekt (6): Authentifizierung	3.1.6 テスト側面 (6) ：認証	●	●	●
3.1.7 Prüfaspekt (7): Datensicherheit	3.1.7 テスト側面 (7) ：データセキュリティ	●	●	●
3.1.8 Prüfaspekt (8): Kostenpflichtige Ressourcen	3.1.8 テスト側面 (8) ：有償リソース	●	●	●
3.1.9 Prüfaspekt (9): Netzwerkkommunikation	3.1.9 テスト側面 (9) ：ネットワーク通信	●	●
3.1.10 Prüfaspekt (10): Plattformspezifische Interaktionen	3.1.10 テスト側面 (10) ：プラットフォーム固有のインタラクション	●	●
3.1.9 Prüfaspekt (9): Netzwerksicherheit	3.1.9 テスト側面 (9) ：ネットワークセキュリティ			●
3.1.10 Prüfaspekt (10): Organisatorische Sicherheit	3.1.10 テスト側面 (10) ：組織的なセキュリティ			●
3.1.11 Prüfaspekt (11): Resilienz	3.1.11 テスト側面 (11) ：回復力	●	●
4 Prüfschritte einer Anwendung im Gesundheitswesen	4. ヘルスケアアプリケーションのテストステップ	●	●	●
4.1 Anforderungen an die Prüfung	4.1 テスト要件	●	●	●
4.2 Protokollierung der Ergebnisse	4.2 結果の記録	●	●	●
4.3 Testcharakteristika	4.3 テスト特性	●	●	●
4.3.1 Testcharakteristik zu Prüfaspekt (1): Anwendungszweck	4.3.1 テスト側面 (1) に対するテスト特性：適用目的	●	●	●
4.3.2 Testcharakteristik zu Prüfaspekt (2): Architektur	4.3.2 テスト側面 (2) のテスト特性：アーキテクチャ	●	●	●
4.3.3 Testcharakteristik zu Prüfaspekt (3): Quellcode	4.3.3 テスト側面 (3) のテスト特性：ソースコード	●	●	●
4.3.4 Testcharakteristik zu Prüfaspekt (4): Drittanbieter-Software	4.3.4 テスト側面 (4) ：サードパーティソフトウェアに関するテスト特性	●	●	●
4.3.5 Testcharakteristik zu Prüfaspekt (5): Kryptographische Umsetzung	4.3.5 テスト側面 (5) のテスト特性：暗号化実装	●	●	●
4.3.6 Testcharakteristik zu Prüfaspekt (6): Authentifizierung	4.3.6 テスト側面 (6) のテスト特性：認証	●	●	●
4.3.7 Testcharakteristik zu Prüfaspekt (7): Datensicherheit	4.3.7 テスト側面 (7) に対するテスト特性：データセキュリティ	●	●	●
4.3.8 Testcharakteristik zu Prüfaspekt (8): Kostenpflichtige Ressourcen	4.3.8 テスト側面 (8) のテスト特性：有償リソース	●	●	●
4.3.9 Testcharakteristik zu Prüfaspekt (9): Netzwerkkommunikation	4.3.9 テスト側面 (9) のテスト特性：ネットワーク通信	●	●	●
4.3.10 Testcharakteristik zu Prüfaspekt (10): Plattformspezifische Interaktionen	4.3.10 テスト側面 (10) ：プラットフォーム固有のインタラクションに関するテスト特性	●	●	●
4.3.11 Testcharakteristik zu Prüfaspekt (11): Resilienz	4.3.11 テスト側面 (11) のテスト特性：弾力性 (Resilience	●	●
5 Sicherheitsstufen und Risikoanalyse	5 セキュリティレベルとリスク分析	●	●	●
Anhang A: Schutzbedarf sensibler Datenelemente	附属書A：機密データ要素の保護要件	●	●	●
Anhang B: Begutachtungsperspektive	附属書B：評価の視点	●	●	●
B.1. Primäres Designziel	B.1. 設計の主目的	●	●	●
B.2. Schutzmechanismen	B.2. 保護機構	●	●	●
B.3. Sichere Entwicklung	B.3. 安全な開発	●	●	●
B.4. Authentifizierung	B.4. 認証	●	●	●
B.5. Sicherheit der Kommunikation	B.5. 通信セキュリティ	●	●	●
B.6. Weitere Prüfthemen	B.6. その他のテストトピック	●	●	●
Anhang C: Anforderungen an biometrische Authentifizierungs- und Verifizierungsverfahren für Anwendungen im Gesundheitswesen	附属書C：ヘルスケアアプリケーションのためのバイオメトリクス認証および検証方法に関する要求事項	●
C.1. Anforderungen an die Leistung und an die Erkennung von Präsentationsangriffen biometrischer Systeme auf mobilen Endgeräten	C.1. モバイル機器上の生体認証システムの性能とプレゼンテーション攻撃検知の要件	●
C.1.1. Begriffe	C.1.1. 用語	●
C.1.2. [GEN] Allgemeine Anforderungen	C.1.2 [GEN] 一般要求事項	●
Abkürzungsverzeichnis	略語一覧	●	●	●
Literaturverzeichnis	参照情報	●	●	●

参考になるBSIのページ...

・eHealth – Cyber-Sicherheit im Gesundheitswesen

eHealth – Cyber-Sicherheit im Gesundheitswesen	eHealth - ヘルスケア分野でのサイバーセキュリティ
Der Bereich eHealth befasst sich mit der Digitalisierung im Gesundheitswesen. Er wird thematisch in verschiedene Abschnitte aufgeteilt. Zum einen geht es um die elektronische Gesundheitskarte (eGK) und die dazugehörige Telematikinfrastruktur (TI) und zum anderen um die Cyber-Sicherheit von in Deutschland eingesetzter Medizintechnik.	eHealthの分野では、ヘルスケア分野のデジタル化を扱っています。テーマ別に分かれています。一方では、電子健康保険証 (eGK) と関連するテレマティクスインフラ (TI) を扱い、他方では、ドイツで使用されている医療技術のサイバーセキュリティを扱っています。
Moderne Gesundheitsversorgung: digital und sicher	現代の医療：デジタルとセキュア
Medizinische Versorgung in Deutschland wird allen zu Teil. Sie ist ein Gradmesser für den Wohlstand, die Stärke und Solidarität in einer Gesellschaft. Das Gesundheitswesen in unserem Land gilt weltweit als eines der besten – auch, weil es in vielen Bereichen digitalisiert ist. Die elektronische Patientenakte, die Messung, Speicherung und Auswertung von Gesundheitsdaten per App oder die Video-Sprechstunde sind Beispiele für digitale Technologien, die derzeit die deutsche Gesundheitswirtschaft verändern. Von der Digitalisierung profitieren alle Akteure im Gesundheitswesen – von den Patientinnen und Patienten über die Kliniken und Arztpraxen bis hin zu den Krankenkassen. Digitale Gesundheitsfürsorge kann das Leben der Menschen erleichtern, lange Wege und Wartezeiten minimieren und im Krankheits- oder Notfall schnell helfen.	ドイツの医療は誰でも受けられます。社会の繁栄、力強さ、連帯感を測る尺度である。我が国の医療制度は世界でもトップクラスと言われていますが、それは多くの分野でデジタル化されているからです。電子患者ファイル、アプリによる健康データの測定・保存・評価、ビデオ診察などは、現在ドイツの医療業界を変えつつあるデジタル技術の一例です。患者から診療所、医師会、医療保険会社まで、医療システムのすべてのプレーヤーがデジタル化の恩恵を受けています。デジタルヘルスケアは、人々の生活をより快適にし、長時間の移動や待ち時間を最小限に抑え、病気や緊急事態の際には迅速に対応することができます。
Doch alle Vorteile von eHealth sind ohne Informationssicherheit nicht denkbar. Denn die Digitalisierung erhöht auch im Gesundheitswesen das Risiko von IT-Sicherheitsvorfällen und Cyber-Angriffen. Wozu das führen kann, belegen zahlreiche Vorfälle der letzten Monate und Jahre: Krankenhäuser mussten in den Notbetrieb gehen, Millionen sensibler Patientendaten wurden gestohlen oder waren über längere Zeiträume öffentlich ohne Passwortschutz im Internet zugänglich. Hinzu kommen immer wieder Berichte über Schwachstellen in vernetzten Medizingeräten wie Insulinpumpen, Patientenmonitoren oder Beatmungsgeräten. Deren Ausfall oder Manipulation durch unbefugte Dritte kann im Ernstfall unmittelbare Folgen für Gesundheit, Leib und Leben eines Patienten haben.	しかし、eヘルスがもたらすすべてのメリットは、情報セキュリティなしには考えられません。また、デジタル化により、医療分野におけるITセキュリティ事故やサイバー攻撃のリスクも高まっています。ここ数カ月、数年にわたる数々の事件は、このことが何をもたらすかを示しています。病院が緊急操業に入らなければならなくなったり、何百万という患者の機密データが盗まれたり、パスワード保護なしで長期間にわたってインターネット上で一般公開されたりしています。また、インスリンポンプ、患者用モニター、人工呼吸器など、ネットワーク接続された医療機器の脆弱性が繰り返し報告されています。その故障や権限のない第三者による操作は、緊急時に患者の健康、生命、身体に対して直ちに影響を与える可能性があります。
Sichere Digitalisierung gestalten	安全なデジタル化の設計
All diese Vorfälle kann sich eine moderne Gesellschaft nicht leisten. Auch deshalb gehören Einrichtungen des Gesundheitswesens zu den Kritischen Infrastrukturen in Deutschland. Als zentrales Kompetenzzentrum für Informationssicherheit in Deutschland übernimmt das BSI Verantwortung als Gestalter einer sicheren Digitalisierung in diesem für die Gesellschaft so wichtigen Bereich.	現代社会は、このような事件ばかりではいられない。ドイツで医療施設が重要インフラとされる理由のひとつがこれです。BSIは、ドイツにおける情報セキュリティの中央コンピテンスセンターとして、社会にとって重要なこの分野の安全なデジタル化の形成者としての責任を担っています。
Mit dem IT-Sicherheitsgesetz von 2015 hat das BSI die Zuständigkeit als Aufsichtsbehörde für Betreiber Kritischer Infrastrukturen (KRITIS) auch im Sektor Gesundheitswesen erhalten. Kritische Infrastrukturen im Gesundheitswesen sind beispielsweise Krankenhäuser und Kliniken mit mehr als 30.000 stationären Behandlungsfällen pro Jahr oder Pharmahersteller mit mehr als 4,65 Millionen in Verkehr gebrachte Packungen pro Jahr.	2015年のITセキュリティ法により、BSIは医療分野でも重要インフラ (CRITIS) の運用者の監督官庁としての責任を担うことになりました。ヘルスケア分野の重要インフラとは、例えば、年間3万件以上の入院患者を抱える病院や診療所、年間465万個以上の医薬品を上市している製薬会社などを指します。
Als Cyber-Sicherheitsbehörde des Bundes leistet das BSI einen wesentlichen Beitrag bei der Gestaltung der großen Digitalisierungsprojekte im Gesundheitswesen. Das BSI befasst sich mit der Weiterentwicklung der elektronischen Gesundheitskarte, mit dem Notfalldatenmanagement und dem elektronischen Medikationsplan im Zusammenhang mit der Arzneimitteltherapiesicherheit, mit der elektronischen Patientenakte, mit der Telematikinfrastruktur sowie der IT-Sicherheit von Medizinprodukten, beispielweise mit dem Projekt ManiMed - Manipulation von Medizinprodukten. Das BSI hat auch dafür gesorgt, dass die Corona-Warn-App des Bundes ein hohes Maß an Informationssicherheit bietet – nicht zuletzt ein wesentlicher Faktor für die hohe Akzeptanz der App in der Bevölkerung.	連邦政府のサイバーセキュリティ当局として、BSIはヘルスケア分野における主要なデジタル化プロジェクトの形成に大きく貢献しています。BSIは、電子健康カード、緊急時データ管理、薬物療法セキュリティに関連した電子投薬計画、電子患者ファイル、テレマティクス・インフラ、医療機器のITセキュリティのさらなる開発に取り組んでおり、例えば、ManiMedプロジェクト (医療機器の操作性) などがあります。BSIは、連邦政府のコロナ警報アプリが高いレベルの情報セキュリティを提供することを保証しており、このことが、同アプリが国民に高いレベルで受け入れられている重要な要因であることは言うまでもありません。
Das BSI leistet einen wesentlichen Beitrag zur sicheren Digitalisierung im Gesundheitswesen. Davon profitieren Kliniken, Ärztinnen und Ärzte ebenso wie die Patientinnen und Patienten.	BSIは、ヘルスケア分野における安全なデジタル化に大きく貢献しています。これは、クリニック、医師、患者さんのいずれにもメリットがあります。
ARNE SCHÖNBOHM, PRÄSIDENT DES BSI	アルネ・シェーンボーム (BSI会長）
Das BSI unterstützt in den IT-Anwendungsfeldern im Gesundheitsbereich mit Vorgaben, Sicherheitsstandards in Form von Technischen Richtlinien oder IT-Grundschutz-Bausteinen sowie konkreter Hilfestellung und Beratung für Behörden und Unternehmen, um schnell praktikable und zugleich sichere Anwendungen zu realisieren. Wichtig ist dabei die enge Zusammenarbeit des BSI mit Partnern wie der gematik, dem Bundesministerium für Gesundheit (BMG), dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), der Kassenärztlichen Bundesvereinigung (KBV) sowie der Kassenzahnärztlichen Bundesvereinigung (KZBV).	BSIは、医療分野のITアプリケーション分野において、実用的であると同時に安全なアプリケーションを迅速に実装するために、仕様、技術ガイドラインやIT-Grundschutzビルディングブロックの形式によるセキュリティ標準、当局や企業に対する具体的な支援やアドバイスなどのサポートを提供しています。ここでは、BSIとgematik、連邦保健省 (BMG) 、連邦データ保護・情報自由委員会 (BfDI) 、連邦医薬品・医療機器研究所 (BfArM) 、全国法定保険医協会 (KBV) 、全国法定保険歯科医協会 (KZBV) といったパートナーとの密接な連携が重要な意味をもっています。

2022.06.27 15:02 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in IoT | Permalink | Comments (0)
Tweet

中国 TC260 個人情報の国際的な処理活動に関するセキュリティ認証仕様

こんにちは、丸山満彦です。

中国の全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) （TC260）が、個人情報の国際的な処理活動に関するセキュリティ認証仕様を公表していますね。。。

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

・2022.06.24 关于发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》的通知

关于发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》的通知	サイバーセキュリティ基準実務指針-個人情報の越境処理活動に関するセキュリティ認証仕様-」の公表に関する通知
为落实《个人信息保护法》关于建立个人信息保护认证制度的相关要求，指导个人信息处理者规范开展个人信息跨境处理活动，秘书处组织编制了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》。	個人情報保護法の個人情報保護認証制度の確立に関する関連要求事項を実施し、個人情報の国境を越えた処理活動を標準化するために、事務局は「サイバーセキュリティ基準-個人情報の国境を越えた処理活動のセキュリティ認証仕様に関する実践ガイダンス」を作成した。
本《实践指南》提出了个人信息跨境处理活动安全的基本原则，规定了个人信息跨境处理活动的基本要求和个人信息主体权益保障要求。	本実務指針は、個人情報の越境処理活動の安全に関する基本原則を提示し、個人情報の越境処理活動の基本要件及び個人情報主体の権益を保護するための要件を規定するものである。

・[PDF] 网络安全标准实践指南——个人信息跨境处理活动安全认证规范

概要...

摘要

概要

本实践指南依据有关政策法规要求，为落实《个人信息保护法》建立个人信息保护认证制度提供认证依据。申请个人信息保护认证的个人信息处理者应当符合GB/T 35273《信息安全技术个人信息安全规范》的要求;对于开展跨境处理活动的个人信息处理者，还必须符合本实践指南的要求。本实践指南从基本原则、个人信息处理者和境外接收方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求，为认证机构实施个人信息保护认证提供跨境处理活动认证依据，也为个人信息处理者规范个人信息跨境处理活动提供参考。

本実務指針は、関連する政策や法規の要求事項に基づいて、個人情報保護法の施行と個人情報保護認証制度の確立のための認証根拠を提供するものである。個人情報保護認証を申請する個人情報処理者は、GB/T 35273「情報セキュリティ技術個人情報セキュリティ仕様」の要求を遵守しなければならず、国境を越えた処理活動を行う個人情報処理者は、本実務指針の要求も遵守しなければならない。本実務指針は、基本原則、越境処理活動において個人情報取扱事業者及び海外受取人が遵守すべき要件、個人情報主体の権益保護等の観点から要件を定めており、認証機関が越境処理活動に関する個人情報保護認証を実施するための基礎となり、また個人情報取扱事業者が個人情報の越境処理活動を規制するための参考となるものである。

目次...

摘要	概要
1 适用情形	1 該当する状況
2 认证主体	2 認証対象
3 基本原则	3 基本原則
4 基本要求	4 基本要件
4.1 有法律约束力的协议	4.1 法的拘束力のある契約
4.2 组织管理	4.2 組織管理
4.3 个人信息跨境处理规则	4.3 国境を越えた個人情報の取り扱いに関する規定
4.4 个人信息保护影响评估	4.4 個人情報保護影響評価
5 个人信息主体权益保障	5 個人情報主体の権利保護について
5.1 个人信息主体权利	5.1 個人情報の主体の権利
5.2 个人信息处理者和境外接收方的责任义务	5.2 個人情報の処理者およびオフショア受領者の責任と義務

・[DOC] 仮対訳

2022.06.27 06:32 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 監査 / 認証 | Permalink | Comments (0)
Tweet

2022.06.19

NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

こんにちは、丸山満彦です。

NISTが、NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル（ドラフト）を公表し、意見募集をしていますね。。。

● NIST -ITL

・2022.06.17 NISTIR 8425 (Draft) Profile of the IoT Core Baseline for Consumer IoT Products

消費者プロファイルは次のような項目で考えているようです。。。

IoT Product Capabilities	IoT製品の性能
Asset Identification	アセットアイデンティフィケーション
Product Configuration	製品構成
Data Protection	データ保護
Interface Access Control	インターフェースアクセス制御
Software Update	ソフトウェアアップデート
Cybersecurity State Awareness	サイバーセキュリティの状態認識
IoT Product Non-Technical Supporting Capabilities	IoT製品の非技術的なサポート能力
Documentation	文書化
Information and Query Reception	情報および問い合わせの受付
Information Dissemination	情報発信
Product and Education Awareness	製品・教育啓発

NISTIR 8425 (Draft) Profile of the IoT Core Baseline for Consumer IoT Products	NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル
Abstract	概要
This publication documents the consumer profile of NIST’s IoT core baseline and identifies cybersecurity capabilities commonly needed for the consumer IoT sector (i.e., IoT products for home or personal use). It can also be a starting point for small businesses to consider in the purchase of IoT products. The consumer profile was developed as part of NIST’s response to Executive Order 14028 and was initially published in Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products. The consumer profile capabilities are phrased as cybersecurity outcomes that are intended to apply to the entire IoT product. This document also discusses the foundations to developing the recommended consumer profile and related considerations. NIST reviewed a landscape of relevant source documents to inform the consumer profile and engaged with stakeholders across a year-long effort to develop the recommendations.	本書は、NISTのIoTコアベースラインの消費者プロファイルを文書化し、消費者向けIoT分野（家庭用または個人用のIoT製品）に共通して必要なサイバーセキュリティ能力を特定するものである。また、中小企業がIoT製品を購入する際の検討材料とすることもできる。消費者向けプロファイルは、大統領令14028号へのNISTの対応の一環として開発され、当初は「消費者向けIoT（Internet of Things）製品のサイバーセキュリティラベリングに関する推奨基準」で発表された。消費者プロファイルの能力は、IoT製品全体に適用されることを意図したサイバーセキュリティの成果として表現されています。また、この文書では、推奨される消費者プロファイルを開発するための基礎と、関連する考慮事項についても述べている。NIST は、消費者プロファイルに情報を提供するために関連するソース文書をレビューし、推奨事項を策定するために1 年間の取り組みを通じて利害関係者と協力した。

・[PDF] NISTIR 8425 (Draft)

1 Introduction	1 はじめに
2 Consumer Profile of IoT Core Baseline	2 IoT コアベースラインの消費者向けプロファイル
2.1 IoT Product Scope Statement	2.1 IoT製品スコープステートメント
2.2 Consumer Profile	2.2 消費者プロファイル
2.2.1 IoT Product Capabilities	2.2.1 IoT製品の能力
2.2.2 IoT Product Non-Technical Supporting Capabilities .	2.2.2 IoT製品の非技術的なサポート能力.
3 Consumer Sector Considerations Used to Create Profile	3 プロファイル作成に使用した消費者セクターの考慮事項
3.1 Gathering Source Information about Consumer IoT Product Cybersecurity .	3.1 消費者向けIoT製品のサイバーセキュリティに関する情報源の収集.
3.2 Assessing Consumer IoT Product Cybersecurity Sources	3.2 消費者向けIoT製品のサイバーセキュリティの情報源の評価
References	参考文献
List of Appendices	附属書一覧
Appendix A— Acronyms	附属書 A- 略語集
Appendix B— Glossary	附属書 B- 用語集
List of Figures	図一覧
Figure 1 – Capabilities Identified for the Consumer Profile.	図1-消費者プロファイルのために特定された能力
List of Tables	表一覧
Table 1 – Example Consumer IoT Vulnerabilities and the Relevant Capabilities from the Consumer Profile.	表1 - 消費者向けIoT脆弱性の例と、消費者プロファイルの関連機能。
Table 2 – Highlighted Insights and Key Takeaways From the Consumer Profiling Process	表2 - 消費者プロファイリングプロセスから得られた注目すべき洞察と主要な要点

Introduction	はじめに
On May 12, 2021, the President issued Executive Order (EO) 14028 which, among other directives, called for NIST to recommend requirements for a consumer IoT product cybersecurity labeling program. As part of NIST’s response to this directive^[1], a profile of the IoT core baseline^[2] for consumer IoT products was created. This profile served as part of the recommendations that NIST published in response to the EO in February 2022 titled Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products [EO Criteria].	2021年5月12日、大統領は大統領令（EO）14028を発し、他の指令の中で、NISTに消費者向けIoT製品のサイバーセキュリティラベリングプログラムの要件を推奨するよう求めた。この指令[1]に対するNISTの対応の一環として、消費者向けIoT製品のIoTコアベースライン[2]のプロファイルが作成された。このプロファイルは、NISTが2022年2月にEOに対応して発表した「消費者向けIoT（Internet of Things）製品のサイバーセキュリティラベリングに関する推奨基準 [EO Criteria] 」という勧告の一部となったものである。
The profile builds on the NISTIR 8259 series by extending the IoT Core Baseline for consumer	このプロファイルは、NISTIR 8259シリーズをベースに、IoT Core Baselineを消費者向け製品向けに拡張したものである。
IoT products. NISTIR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers [IR8259], provides foundational guidance for IoT device manufacturers pertaining to developing IoT devices that can be used securely by customers. NISTIR 8259 does not target any specific IoT sector but discusses how manufacturers can approach cybersecurity for IoT devices in general. NISTIR 8259A, IoT Device Cybersecurity Capability Core Baseline [IR8259A], and NISTIR 8295B, IoT Non-Technical Supporting Capability Core Baseline [IR8259B] define the IoT device cybersecurity capability core baseline (also referred to as the core baseline), a starting point for manufacturers to use in identifying the cybersecurity capabilities their customers may expect from the IoT devices they create. NISTIR 8259A discusses device cybersecurity capabilities, which are functions or features implemented by the device through its own hardware and software. For example, NISTIR 8259A discusses concepts such as data protection, access control, and software update, among others. NISTIR 8259B discusses non-technical supporting capabilities, which are actions taken by organizations to support the cybersecurity of the device. For example, NISTIR 8259B discusses concepts such as education and awareness, and information and query reception (by manufacturers).	IoT製品に拡張することで、NISTIR 8259シリーズを構築している。NISTIR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers [IR8259]は、顧客が安全に使用できるIoTデバイスの開発に関わるIoTデバイスメーカー向けの基礎的なガイダンスを提供する。NISTIR 8259は、特定のIoT分野を対象としておらず、製造業者がIoTデバイス全般のサイバーセキュリティにどのようにアプローチできるかを論じている。NISTIR 8259A、IoTデバイスサイバーセキュリティ能力コアベースライン [IR8259A]、およびNISTIR 8295B、IoT非技術的支援能力コアベースライン [IR259B] は、IoTデバイスサイバーセキュリティ能力コアベースライン（コアベースラインとも呼ばれる）、製造者がその顧客が作成するIoTデバイスに期待されるサイバーセキュリティ能力を識別するにあたって用いる出発点、を定義している。NISTIR 8259Aは、デバイスが自身のハードウェアとソフトウェアを通じて実装する機能または特徴であるデバイスのサイバーセキュリティ能力について論じている。例えば、NISTIR 8259Aは、データ保護、アクセス制御、ソフトウェア更新などの概念について論じている。NISTIR 8259Bは、非技術的な支援能力について述べており、デバイスのサイバーセキュリティを支援するために組織が取る行動である。例えば、NISTIR 8259Bは、教育や意識向上、（製造業者による）情報や問い合わせの受付といった概念について論じている。
Like NISTIR 8259, these baseline documents do not consider any sector or use case specific considerations, and instead present a starting point for any IoT device. Tailoring the baseline capabilities for a specific sector and/or use case requires a form of profiling. The profiling process using NISTIR 8259/A/B directs a profiler to gather sector-/use case-specific information and interpret the relevant impacts of this information to select the baseline capabilities most applicable to and responsive of the needs and goal of customers for the sector/use case.	NISTIR 8259と同様に、これらのベースライン文書では、セクターやユースケースに特有の考慮事項はなく、代わりにあらゆるIoTデバイスの出発点を提示している。特定のセクターやユースケース向けにベースライン能力を調整するには、一種のプロファイリングが必要である。NISTIR 8259/A/Bを用いたプロファイリングプロセスは、プロファイラーにセクター/ユースケース固有の情報を収集し、この情報の関連する影響を解釈して、セクター/ユースケースの顧客のニーズと目標に最も適用でき、対応するベースライン能力を選択するように指示する。
The rest of this document describes the results of this profiling process for the consumer sector and is organized as follows:	本書の残りの部分では、消費者セクターに関するこのプロファイリングプロセスの結果について説明し、以下のように構成されている。
• Section 2 explains the intended applicability of the consumer profile to consumer IoT products and defines the consumer profile.	・セクション 2 では、消費者プロファイルの消費者向け IoT 製品への意図された適用性を説明し、消費者向けプロファイルを定義している。
• Section 3 describes the process used to develop the consumer profile in more depth.	・セクション 3 では、消費者プロファイルの開発に使用したプロセスをより深く説明する。
• Section 4 explores some additional considerations readers should consider when using the consumer profile.	・セクション 4 では、読者が消費者プロファイルを使用する際に考慮すべき追加事項を探る。
^[1] For more information about NIST’s response to EO 14028’s call for recommendations for a consumer IoT product cybersecurity label, visit [web].	[1] EO 14028 の消費者向け IoT 製品のサイバーセキュリティラベルに関する勧告の募集に対する NIST の回答の詳細については、[web] を参照。
[2] The terms core baseline, IoT core baseline, and IoT device core capability baseline all refer to the set of capabilities presented in NISTIRs 8259A and 8259B.	[2] コアベースライン、IoT コアベースライン、および IoT デバイスコア能力ベースラインという用語はすべて、NISTIRs 8259A および 8259B に示される一連の能力を指す。

● まるちゃんの情報セキュリティ気まぐれ日記

NIST IoT関連の歴史...

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

White Paper

・2022.02.06 NIST ホワイトペーパー：消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

その他NIST。。。

・2022.02.06 NIST ホワイトペーパー：消費者向けIoT製品のサイバーセキュリティラベルの推奨基準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー（ドラフト）：消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために：どうすればいいのか？

・2021.03.31 NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト（Ver.2）を公開していますね。。。

2022.06.19 06:05 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in パブコメ, in IoT | Permalink | Comments (0)
Tweet

2022.06.16

内閣官房デジタル庁総務省経済産業省意見募集「ISMAP-LIUクラウドサービス登録規則（案）」等

こんにちは、丸山満彦です。

内閣官房、デジタル庁、総務省、経済産業省が「ISMAP-LIUクラウドサービス登録規則（案）」等についての意見募集をしていますね。。。

今回検討している、ISMAP-LIUは、機密性 2 情報を扱う SaaS のうち、セキュリティ上のリスクの小さな業務・情報の処理に用いるものに対する仕組みですね。。。

LIUは、「エルアイユー」と呼び、Low-Impact Useの省略形のようです。。。

影響度が小さいかどうかは、関連資料（意見募集対象外）のISMAP for Low-Impact Useにおける業務・情報の影響度評価ガイダンス（案）にガイドがあります。。。「政府機関等の対策基準策定のためのガイドライン（令和３年度版）」第 6 部情報システムのセキュリティ要件の遵守事項 6.1.1(1)(b)に記載の、「オンライン手続において想定されるリスク」を参考としたとのことですね。。。

SaaS の利用において想定されるリスク
①国民に不便、苦痛を与える、又は機関等が信頼を失う
②利用者に金銭的被害や賠償責任が生じるなど、財務上の影響を与える
③機関等の活動計画や公共の利益に対して影響を与える
④個人情報等の機微な情報が漏えいする
⑤利用者の身の安全に影響を与える
⑥法律に違反する

各省庁からの発表...

● 内閣官房サイバーセキュリティセンター

・2022.06.15 「ISMAP-LIUクラウドサービス登録規則（案）」等に対する意見公募手続（パブリックコメント）を開始しました。

● デジタル庁

・2022.06.15 「ISMAP-LIUクラウドサービス登録規則（案）」等に対する意見募集を行います

● 総務省

・2022.06.15 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見募集

● 経済産業省

・2022.06.15 「ISMAP-LIUクラウドサービス登録規則（案）」等に対する意見公募手続（パブリックコメント）を開始しました