談美國GMO管理規範之修法趨勢－從「全有全無」到「多階分級」許可管理之制度轉換

在勒索軟體攻擊快速進化、供應鏈弱點成為主要攻擊途徑的背景下，英國於10月24日發布「全球性供應鏈勒索軟體防護指引」（Guidance for Organisations to Build Supply Chain Resilience Against Ransomware），該指引係由英國與新加坡共同領導的「反勒索軟體倡議」（Counter Ransomware Initiative, CRI）框架下推動，旨在協助各國企業降低勒索軟體事件的發生率與衝擊。該指引獲得CRI 67個成員國與國際組織的支持，標誌國際社群在供應鏈資安治理上的最新進展。 英國內政部（UK Home Office）指出，勒索軟體已成全球關鍵基礎設施與企業最主要的威脅之一。根據IBM發布之2025年資料外洩報告（Cost of a Data Breach Report 2025）估計，單一勒索攻擊的全球平均成本高達444萬美元。隨著攻擊手法演進，勒索攻擊已由單點入侵擴大為透過供應鏈滲透，攻擊者常以第三方服務供應商為跳板，一旦供應商遭入侵，即可能向上或向下影響整體產業鏈。英國2024年醫療檢驗服務供應商Synnovis遭勒索軟體攻擊事件，即造成數千次門診與手術延誤，凸顯供應鏈風險的實質衝擊。 該指引從供應鏈角度提出四大防護方向，英國政府與CRI強調，企業應在營運治理、採購流程與供應商管理中系統性導入相關措施，包括： 一、理解供應鏈風險的重要性 在高度互聯的數位環境中，供應鏈已成為勒索軟體攻擊的主要目標，企業應將供應鏈資安視為營運韌性與組織治理的核心要素。 二、辨識關鍵供應商與其資安成熟度 企業應建立完整的供應商清冊，評估其資安控管措施、過往資安事件紀錄、營運與備援能力、保險安排，以及其可存取之系統與資料範圍。 三、在採購與合約中落實資安要求 企業應要求供應商具備基本資安控制措施，包括多因素驗證、系統更新與修補管理、網路分段、安全設定及惡意程式防護等。 同時，合約中應納入資安事件通報義務、稽核權限、營運復原計畫及違規處置機制，並鼓勵供應商採用國際資安標準，例如Cyber Essentials與ISO/IEC27001。 四、持續檢討並更新防護措施 企業應與供應商共同檢討已發生事件及未實際造成損害但已暴露潛在風險之情形（Near Miss，即近乎事故），不論是否構成正式資安事件，均應納入檢討範圍；並定期進行資安演練、共享威脅情資，依攻擊趨勢滾動修正合約與內部規範。 指引同時指出，供應鏈常見弱點包括過度依賴少數供應商、缺乏供應鏈可視性，以及資安稽核與驗證機制不足。英國政府與CRI亦強調，雖然網路保險可作為風險管理工具之一，但無法取代基本且持續的資安防護措施。 該指引適用範圍涵蓋科技、資訊服務、能源、公用事業、媒體與電信等多個產業，顯示供應鏈資安已成全球營運安全的共同課題。英國與新加坡呼籲企業及早建立制度化的供應鏈資安治理架構，以強化全球數位經濟的整體韌性，降低勒索軟體攻擊帶來的系統性風險。

　　硬碟製造商日立全球儲存科技公司（Hitachi Global Storage Technologies）聲明該公司已於2004年12月28日於北加州地方法院對中國大陸硬碟製造商南方匯通微型硬碟科技股份有限公司（GS Magicstor of China）及其位於加州Milpitas之聯合研究機構GS Magic and Riospring of Milpitas, CA提起專利侵權訴訟，主張南方匯通侵害日立對於生產硬碟所擁有的多項專利權，並希望獲得財產上損害賠償並永久禁止GS Magic繼續於美國製造、利用、進口、販售該侵權產品，求償額度目前尚未公佈。 　　日立所生產的一吋硬碟已被裝配於Apple的iPod Mini MP3隨身聽，該公司更計畫於今年開發更小的微型硬碟。

　　日本國會於本會期（2015年1月）中，進行個人資料保護法修正草案（個人情報保護法の改正案）的審議。修正草案研擬之際，歷經多次討論，IT總合戰略本部終於在2014年6月公布修正大綱，後於同年12月公布其架構核心。 　　本次修正，主要目標之一，是使日本成為歐盟（EU）所認可之個人資料保護程度充足的國家，進而成為歐盟所承認得為國際傳輸個人資料的對象國；為此，此次修正新增若干強化措施，包含（1）設立「個人資料保護委員會」;（2）明訂敏感資料（包含種族、病歷、犯罪前科等）應予以嚴格處理；（3）明訂資料當事人就其個人資料得行使查詢或請求閱覽等權利。 　　本次修正的另一個目標，則是促進個人資料利用及活用的可能性。2014年中，日本內閣府提出「有關個人資料利活用制度修正大綱」，提倡利用、活用個人資料所帶來的公共利益，並指出，過往的法規僅建構於避免個人資料被濫用的基礎，已不符合當今需求，且易造成適用上的灰色地帶，應透過修法予以去除；未來應推動資料的利用與活用相關制度，來提升資料當事人及公眾的利益。本次修正因此配合鬆綁，允許符合下述法定條件下，得變更個人資料之利用目的：（1）於個人資料之蒐集時，即把未來可能變更利用目的之意旨通知資料當事人；（2）依個人資料保護委員會所訂規則，將變更後的利用目的、個人資料項目、及資料當事人於變更利用目的後請求停止利用的管道等，預先通知本人；（3）須使資料當事人容易知悉變更利用目的等內容；（4）須向個人資料保護委員會申請。 　　目標間的兩相衝突，使得該案提送國會審議時，引發諸多爭議。論者指出：允許在特定條件上變更個人資料的利用目的，雖顧全資料利用的價值，但似不符合歐盟個人資料保護指令對於個人資料保護的基準，恐使日本無法獲得歐盟認可成為資料保護程度充足的國家，亦徹底喪失此次修正的最重要意義。