日本發布關鍵基礎設施資訊安全對策第4次行動計畫
為了持續維持日本國內以及與東京奧運舉辦相關的關鍵基礎設施服務的安全性,日本內閣網路中心於2017年4月19日公布關鍵基礎設施資訊安全對策第4次行動計畫。
在第4次行動計畫,關鍵基礎設施防護目的主要是以關鍵基礎設施的功能保證為考量,盡量減少關鍵基礎設施IT故障的發生,並提升從事故中恢復的速度。因此,第4次行動計畫除持續檢討並改善第3次行動計畫原有政策外,較重要的變革為OT(Operation Technology)的重視與風險對應機制整備。在安全基準整備與落實情況方面,要求關鍵基礎設施產業須將OT的觀點融入人才培育。在資訊分享制度方面,分享的資訊範圍應包含IT、OT與IoT的資訊,並排除資訊分享的障礙。而在風險管理部分,日本從功能保證的觀點出發,新增風險情況對應準備的要求,包含事業持續計畫的提出與緊急應變措施的制定等。而在防護基礎強化上,該行動計畫認為關鍵基礎設施產業的IT、OT人員及法務部門必須依其內部資訊安全策略共同為關鍵基礎設施安全而跨組織合作。
另外,第4次行動計畫變更電力領域關鍵基礎設施的重要系統,從原有的運轉監視系統變更為智慧電表,以及新增化學、信用卡與石油三大關鍵基礎設施領域的業者、關鍵系統與因IT故障對關鍵基礎設施可能造成的危害影響。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
蔡淑蘭
法律研究員 編譯整理
重要インフラの情報セキュリティ対策に係る 第4次行動計画,内閣サイバーセキュリティセンター,https://www.nisc.go.jp/active/infra/pdf/infra_rt4.pdf(最後瀏覽日:2017/05/02)。
「重要インフラの情報セキュリティ対策に係る第4次行動計画(案)」に関する意見の募集について(終了しました),内閣サイバーセキュリティセンター,https://www.nisc.go.jp/active/infra/pubcom_ap4.html(最後瀏覽日:2017/05/02)。
日本獨立行政法人情報處理推進機構於2025年7月發布《資料素養指南(下稱《指南》)》,指南分為三大章,第一章為整體資料環境之變化;第二章為資料治理;第三章為資料、數位技術活用案例與工具利用。指南第二章中的資料引領判斷篇,主要為呼籲企業透過資料分析結果改善企業經營。 《指南》資料引領判斷篇指出,在進行資料驅動的判斷流程時,需留意三點事項,分述如下: (一) 提出假說、驗證並進行決策 首先盤點利害關係人,蒐集各自的需求與課題,考量可以適用的技術與服務,並以此為基礎提出與事業相關的假說。其次,盤點必要資料並確認其利用可能性,同時針對所缺乏的資料進行取得可能性之評估。下一步,以所取得的資料為基礎進行假說與資料分析結果之驗證。而後,將假說與資料分析結果的驗證成果提供給利害關係人,並以利害關係人的意見為基礎,進行追加資料的取得並同時修正假說內容。最後,基於資料分析結果進行決策。 (二) 判斷決策所必要之資料的信賴性 企業在盤點必要之資料以進行分析並據此進行決策時,由於資料沒有達到特定數量無法用於分析、資料蒐集需花費時間成本,且判斷時點有時亦有其時效性,因此,在確保必要之資料時,會先檢視企業內部所持有之資料,而後確認政府機關的公開資料,如仍缺乏必要之資料,則會確認從資料市場取得之可能性等。在確保必要之資料後,則會判斷決策所必要之資料的信賴性,其主要分為兩點,一為針對資料本身之信賴性,包含資料是否有偏頗、對於資料產出者的信賴性以及資料取得日期、地區等;一為資料傳輸、編輯的信賴性,包含對於資料仲介者的信賴性、資料編輯程式以及資料整合方針。在無法完全確保資料的信賴性時,則會透過相關聯的資料進行資料正確性的檢驗。 (三) 服務導入與監視 資料分析並不僅侷限於現在資料的分析,亦會涵蓋未來資料的預測。舉例而言,自動駕駛資料不僅會分析車輛狀況以及周圍狀況,亦會預測並自動判斷是否需要剎車。透過資料分析結果導入服務後,亦應透過監視檢視決策成效,方法包含滿意度調查、平均使用時間調查等,並針對調查結果進行改善。 我國企業如欲將其所持有之資料用於分析並依照分析結果進行企業經營決策,除可參考日本所發布之《指南》資料引領判斷篇建立內含PDCA四面向之管理制度以外,亦可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》,針對自身所持有之資料建立包含PDCA四面向之管理制度。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
日本公告修正電業法(電気事業法),將放寬電力工作物定義,並新增電力事業類型日本於2020年(令和2年)6月12日公告修正「電業法」(電気事業法,以下簡稱新電業法),並預計於2022年(令和4年)4月1日正式施行。本次修正有以下兩個重點:(1)調整電力工作物之定義;(2)新增電力事業之種類,以符合國際技術及市場之變遷。 日本新電業法調整了電力工作物之定義,將儲能設備納入了電力工作物之定義中,日本新電業法下所謂電力工作物係指:「為了發電、儲能、變電、輸電、配電或其他以電力使用為目的而設置之機械、器具、水壩、水道、蓄水池、電路、電線或其他工作物(但船舶、車輛或航空器等,則依其他法令定之)。」此外,日本新電業法也於電力事業之種類下,新增了「特定電力批發業」(特定卸供給業)此一新型電力事業。依日本新電業法對於「特定電力批發業」之定義,所謂「特定電力批發業」,係指:「自其他發電及儲能設備設置者(但不包含發電業者)處聚合其發出或放出之電力而再向售電業、一般輸配電業、輸電業、特定輸電業供應電力者。」又依日本經濟產業省規劃,「特定電力批發業」得自行設置儲能設備,自產消合一之用電戶(prosumer)之儲能設備或發電設備(包含但不限於再生能源)購入電力,並轉而再至電力交易市場向其他售電業者販售電力;但「特定電力批發業」不得直接從發電業者或其他售電業購買電力,也不得直接售電予用電戶,故特定電力批發制度實際上是旨在賦予聚合商(アグリゲーター)參與市場之地位。
美國聯邦貿易委員會(FTC)有權監督管理企業資料處理方式2015年8月24日,美國第三巡迴法院做出判決,宣告美國聯邦貿易委員會(the Federal Trade Commission, FTC)本於聯邦貿易委員會法第5章(Section 5 of the Federal Trade Commission Act)之規定,對於侵害個人資料隱私及未盡資料保護安全責任的相關案件有管轄權。未來若經FTC認定有違反資料安全規定的事實,該委員會針對企業違法事實的判定將產生法律效力。 案件起因於2008年及2009年間,飯店集團Wyndham Worldwide Corporation共遭到3次駭客入侵,導致大約60萬筆的客戶資料外洩。FTC介入調查並指控Wyndham Hotels內部缺乏資訊安全管理控制措施才會造成資料被駭客入侵,使客戶權益受損。Wyndham Hotels不服並上訴,表示FTC只有提供企業資料安全保護措施的建議權,無權決定企業是否違反相關法令。Wyndham Hotels還主張FTC並沒有告知該公司何謂正當利用個人資料的判斷標準。 第三巡迴法院駁回Wyndham Hotels提出的2點主張。在此判決中,第三巡迴法院確立了FTC除了有一般建議權外,也有權對於企業利用個人資料的方式、以及企業是否有盡到資料安全保護責任進行監督與管理。另外,第三巡迴法院也表示Wyndham Hotels無權要求FTC提供逐條釋義。換句話說,FTC僅需負一般性的告知義務。 此判決大幅擴張FTC監督管理企業資料安全保護措施的權力,對於廣大個人資料本人而言,可說是一大保障。
大學研發成果商業化評估方法初探