日本獨立行政法人情報處理推進機構(IPA/SEC)於2016年3月公佈「聯繫世界之開發指引」,並於2017年5月8日推出「IoT高信賴化機能編」指導手冊,具體描述上開指引中有關技術面之部份,並羅列開發IoT機器、系統時所需之安全元件與機能。該手冊分為兩大部份,第一部份為開發安全的IoT機器和關聯系統所應具備之安全元件與機能,除定義何謂「IoT高信賴化機能」外,亦從維修、運用角度出發,整理開發者在設計階段須考慮之系統元件,並依照開始、預防、檢查、回復、結束等五大項目進行分類。第二部份則列出五個在IoT領域進行系統連接之案例,如車輛和住宅IoT系統的連接、住家內IoT機器之連接、產業用機器人與電力管理系統之連接等,並介紹案例中可能產生的風險,以及對應該風險之機能。IPA/SEC希望上開指引能夠作為日後國際間制定IoT國際標準的參考資料。
本文為「經濟部產業技術司科技專案成果」
英國作為歐洲金融重鎮,不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能,歐盟一般資料保護規則(General Data Protection Regulation,簡稱GDPR)作為歐盟資料保護之重要規則,英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準,英國資訊委員辦公室(Information Commissioner's Office, ICO)即扮演重要推手與協助角色。 英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟(Preparing for the General Data Protection Regulation(GDPR)-12 steps to take now),可供了解GDPR的輪廓與思考未來應如何因應: 認知(Awareness):認知GDPR帶來的改變,與未來將發生的問題與風險。 盤點資料種類(Information you hold):盤點目前持有個人資料,了解資料來源與傳輸流向,保留處理資料的紀錄。 檢視外部隱私政策(Communicating privacy information):重新檢視當前公告外部隱私政策,並及時對GDPR的施行擬定因應計畫。 當事人權利(Individuals'rights):檢視資料處理流程,確保已涵蓋GDPR賦予當事人如:告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。 處理客戶取得資料請求(Subject access requests):GDPR規定不能因為客戶提出取得資料請求而向其收費;限期於1個月內回覆客戶的請求;可對明顯無理或過度的請求加以拒絕或收費;如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。 處理個人資料須立於合法理由(Lawful basis for processing personal data):可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。 當事人同意(Consent):重新檢視初時如何查找、紀錄與管理取得個人資料的同意,思考流程是否需要做出任何改變,如無法符合GDPR規定之標準,則須重新取得當事人同意。 未成年人(Children)保護:思考是否需要制定年齡驗證措施;對於未成年人保護,考慮資料處理活動是否需取得其父母或監護人的同意。 資料外洩(Data breaches):有關資料外洩的偵測、報告與調查,確保已制定適當處理流程。 資料保護設計與影響評估(Data Protection by Design and Data Protection Impact Assessments):GDPR使資料保護設計與影響評估明文化。 資料保護專責人員(Data Protection Officers):須指定資料保護專責人員,並思考該專責人員於組織中的角色與定位。 跨境傳輸(International):如執行業務需跨越數個歐盟會員國境域,企業則須衡量資料監管機關為何。
智慧電表的陷阱美國及歐洲都開始引進附加通訊功能的電表(所謂智慧電表)。這一波動向也真正開始影響到日本。日本國內最大家的東京電力公司將於2010年10月開始進行智慧電表的實際驗證研究。 雖然至今只有關西電力公司與九州電力公司有引進智慧電表,但在10年之後,日本大半以上的電表會是智慧電表。 從短期來看,智慧電表就只具有使用電力的遠距抄表跟遠距截斷的功能。但是就只具有這樣的功能是不足以讓眾多目光聚焦的,它所具有的是期待在未來透過電表跟家電機器等所形成的資訊通信網絡。在目前許多企業打算就先透過網路蒐集使用電力的資訊,之後在提供新的附加服務。 這樣的動向不只是發生在電力公司,在瓦斯及自來水業界也正在發生。例如東京瓦斯公司將於2010年度起,開始實驗運作具有無限通訊功能的瓦斯表,快的話在2012年就會正式更換約1000萬台的瓦斯表。東京瓦斯公司還計畫在之後將用於瓦斯表上的通訊系統擴張到自來水表的抄表上。美國企業如IBM公司也積極投入自來水表的「智慧化」。 但是,在實際引進智慧電表時,美國發生了引進智慧電表的住戶的電費急速增加,產生了不少的訴訟,美國德州Oncor電力公司正面對這樣的訴訟,加州的PG&E公司的顧客也正聲請相關的訴訟。 專家們指出一些會影響電費增加的原因,其中就指出因為引進智慧電表使得「正確測量出電力使用量」這也是因為美國至今所使用的電表太過老舊,無法正確的測量出正確的電力使用量,以致用戶都在付出比實際使用量要少的電費。所以在引進智慧電表測量出正確的電力使用量之後,就產生出「電費增加」的錯覺。 現在美國的電力公司主要把智慧電表用於自動抄表上,這只是利用智慧電表的第一步。若在初始階段無法得到消費者的支持,之後要推廣則會更為困難。使用電力的相關資訊在某種意義上可視為是個人資料的其中一種。隱私權的問題等與消費者保護汲汲相關的議題陸續都會出現。 美國眾議員Edward Markey在眾議院提出了電力公司要將智慧電表所測量的電力使用資訊即時提供給消費者,並有保護該資訊隱私權義務化的法案。在技術面上,有關重視資訊安全的通訊型式的討論亦蓬勃發展起來。
2016年生物支付技術將可能取代傳統支付型態根據美國公共電視台在2016年1月6日的新聞,指出生物支付將可能成為新興支付工具。生物支付之定義為利用生物辨識(biometric)技術驗證個人生物特徵,諸如:指紋、虹膜等進行支付。採用生物支付技術,未來將無須使用信用卡或行動裝置,僅需要個人生物特徵之辨識即可完成交易。此轉變將使未來交易更加快速、便利,但同時,生物支付的安全性卻也不無疑義。 即便生物辨識屬於高層級的資訊安全保護機制,但水能載舟,亦能覆舟。生物辨識利用生物不可變之特性進行身分識別,涉及高度個人隱私,為妥善保護個人資訊安全,需訂立生物辨識相關規範加以管制,否則將衍生許多法律問題。 例如:在2015年6月,美國線上出版商Shutterfly公司被控訴違法蒐集個人資料。原告稱其並非Shutterfly公司之註冊使用者,也從未同意其生物辨識資訊被該公司蒐集,但其面紋(Face print)卻被上傳至該公司網站,並標註姓名,儲存在自動針對相片標記臉部辨識系統之資料庫。 依據BIPA針對生物辨識定義及蒐集規範: 1.第10條: 生物辨識之態樣,包含視網膜、虹膜掃描、指紋或是手部、臉部外觀之掃描,但不包括簽名、照片、用於科學檢測之人體樣本、頭髮顏色等。 2.第15條(a): 規定公司蒐集個人生物特徵資訊應有相關規範供公眾查閱,並應提供生物辨識資訊之保管及銷毀日期及相關資訊。 3.第15條(b)(1): 蒐集生物辨識資訊應告知當事人。 Shutterfly公司提出要求法院不受理之抗辯,主張BIPA規定之臉部外觀,其文意解釋應為物理上個人親自接受掃描所得之資訊,並非原告所主張以照片辨識之臉部外觀,但法院認為Shutterfly之主張並不合理,因此同意受理此案。 觀察該案可發現,儘管生物辨識提高資訊安全之保護,但相關法規範解釋仍待實務完備。另一方面,生物特徵資訊極易被他人蒐集,因此,如何建置蒐集個人辨識資訊及完善相關措施,也是推行生物支付措施所需突破的關口。
日本ICT全球化戰略日本總務省為透過推動社會全體數位化,實現SDGs及Society 5.0目標,自2018年12月起召開「數位變革時代之ICT全球化戰略懇談會」(デジタル変革時代のICTグローバル戦略懇談会)檢討具體對策,並於2019年5月31日公布「ICT全球化戰略」(ICTグローバル戦略)。「ICT全球化戰略」基於社會全體數位化、推廣Society 5.0,以及透過提昇產業構造和勞動環境效率,創造具備豐富多彩價值之社會等理念,提出(1)透過數位化達成SDGs戰略︰公私部門合作推動社會全體之數位化,解決日本及世界社會問題;(2)資料流通戰略︰以確保個人資料之可控性為前提,推動制定國際規範及進行法制環境整備;(3)AI/IoT加值運用戰略︰提出以人類為中心之AI原則,檢討AI時代之資料重要性,推動AI人才培育;(4)網路安全戰略︰因應IoT機器和服務發展,確保網路安全性;(5)ICT海外展開戰略︰因應世界數位市場發展趨勢,檢討如何推動日本企業於海外發展;(6)開放創新戰略︰從利用次世代溝通技術提高生活品質、實現由資料所驅動之社會、建構支援未來之高度化網路等方向出發,推動相關研發計畫等6大戰略。