日本於2018年7月25日發布關鍵基礎設施資訊安全對策第4次行動計畫修正版

  日本內閣網路安全中心(内閣サイバーセキュリティセンター)於2018年7月25日發布關鍵基礎設施資訊安全策略第4次行動計畫修正版。此次修正重點,係將「機場(空港)」新增為關鍵基礎設施領域,其目的在於確保機場安全、提供機場乘客與相關人員快速且正確的資訊、避免飛機行李的檢查與運送停止或延遲。

  而確保「機場」資安的關鍵基礎設施事故報告與服務維持的指南,則為2018年4月1日發布之「確保機場資訊安全的安全指南第1版(空港分野における情報セキュリティ確保に係る安全ガイドライン第1版)」。

  該確保機場資訊安全的安全指南,係參考日本於2015年5月發布之關鍵基礎設施資訊安全對策優先順位參考指南(重要インフラにおける情報セキュリティ対策の優先順位付けに係る手引書第1版)制定,以規劃(Plan)—執行(Do)—查核(Check)—行動(Action)的觀點建立管理與應變對策,將IT障礙分為故意(接收可疑的郵件、內部員工的故意行為、偽造使用者ID、DDos攻擊、非法取得資訊等)、偶發(使用者操作錯誤、使用者管理錯誤、外部受託方的管理錯誤、機器故障、執行可疑的檔案、閱覽可疑的網站、系統的脆弱性、受到其他關鍵基礎設施事故的波及)、環境(災害、疾病)等三大原因,並訂定日本主要的機場與機場大樓業者的責任範圍、適用的個資保護制度、IT安全評估與認證制度、資安稽核制度、資安管理政策及資安控制措施的建議事項。

相關附件
你可能會想參加
※ 日本於2018年7月25日發布關鍵基礎設施資訊安全對策第4次行動計畫修正版, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8086&no=57&tp=1 (最後瀏覽日:2026/07/05)
引註此篇文章
你可能還會想看
英國發布衛星直連終端服務許可規範,完善次世代通訊法規環境

英國通訊管理局(Office of Communications, Ofcom)於2026年2月17日發布了「衛星直連終端服務許可規範(The final regulations for the authorisation of satellite Direct to Device services)」,並於2026年2月25日正式生效,為「衛星直連終端(Direct to Device, D2D)服務」確立了完備的許可框架,允許行動電話等終端設備直接與太空中的衛星基地臺進行通訊。 過去,衛星通訊服務需要透過專用的衛星電話終端在特定的衛星通訊頻段下運作,而Ofcom正式突破了這個規範架構,允許 D2D 服務直接使用既有的行動通訊頻段。 在終端設備方面,Ofcom 免除一般消費者的行動裝置在使用 D2D 服務時的個別執照授權要求;而在服務端,行動通訊業者僅需向Ofcom申請變更既有的無線電頻率執照,履行相關的干擾防制標準與協調義務,即可使用既有行動通訊頻率提供D2D服務,目前Telefonica UK(VMO2)已率先獲准此項變更(與 Starlink 合作)。未來,Ofcom也能透過修訂開放頻段拓展適用範圍,目前開放的是1710.1-1715.9 MHz與1805.1-1810.9 MHz頻段。而為降低衛星與地面通訊共用頻率的干擾風險,Ofcom也訂定了防干擾限制標準,如對終端設備訂定25 dBm(3G、4G 與 5G)與 30 dBm(2G)的總輻射功率限制。 本次變革對行動通訊服務的發展具有深遠的進步意義,透過促進 D2D 服務的合法導入,業者可以在地理環境極端等地面基地臺建設成本過於高昂的偏遠地區近一步拓展涵蓋,有機會達成100% 的國土涵蓋,政府亦能透過活化頻率資源與活絡電信基礎設施的跨界投資與創新,為衛星通訊服務提供公平競爭的市場環境,進而帶動整體行動通訊產業的升級。 對民眾而言,D2D 服務的導入更是強化國家通訊韌性的關鍵,除確保偏遠地區享有基本的語音、簡訊與數據通訊服務,在地面基地臺因遭遇災害而癱瘓失效時,D2D 服務能發揮關鍵的備援功能,維持通訊服務的可用性,也為全域連結、地星整合的次世代行動網路(6G)佈建預先備妥適當的法規環境。

FCC推動電線寬頻上網(BPL, broadband over power line)服務

  FCC日前發佈一份關於電線寬頻上網之備忘錄命令及意見(MO&O, Memorandum Opinion and Order),除了再度確認FCC於2004年時就接取電線寬頻上網系統所為之決議外,同時也否決業餘無線電社群、電視廣播業者、航空工業等所提出限制電線寬頻上網之要求,但FCC採納保護無線電天文台以及航空站使免於電線寬頻上網干擾之規定。 FCC表示,推動電線寬頻上網可以幫助居住於鄉村地區之美國民眾接取高速網路,而且目前寬頻網路市場的主導者有線電視網路上網(cable)業者及數位用戶迴路業者(DSL)亦將會因電線寬頻上網之發展而被迫降價,讓消費者可以更低廉的價格接取寬頻網路。不過,FCC委員Michael Copps 提醒,雖然眼前FCC在電線寬頻上網以及可能產生之干擾間似乎已達成平衡,但FCC仍應繼續密切關注電線寬頻上網對其他使用者之干擾問題,尤其在卡崔那(Katrina)颶風的慘痛經驗中已證實業餘無線電之發展與貢獻具有高度價值,因此,對於電線寬頻上網可能對業餘無線電用戶之干擾部分應格外注意。

英國實行個人健康和社會照護資訊連結服務(care.data)

  隨著英國國家健康服務(National Health Service, NHS)的改革,英國於去(2012)年3月27日通過衛生和社會照護法(The Health and Social Care Act 2012)。當中一項主要的變革即是成立衛生與社會照護資訊中心(The Health and Social Care Information Centre, HSCIC)作為醫療健康資料的專責機構。而這樣的變革,也影響過去病歷資料的蒐集、分享和分析方式。依據衛生和社會照護法的規定,HSCIC若受到衛生部長(Secretary of State for Health)指示、或來自照護品質委員會(Care Quality Commission, CQC)、英國國家健康與臨床卓越研究院(National Institute for Health and Clinical Excellence, NICE)、醫院監管機構Monitor的命令要求時,在這類特定情況之下,可以無需尋求病患同意,而從家庭醫師(GP Practice)處獲得病患的個人機密資料(Personal Confidential Data, PCD)。   今(2013)年3月獲NHS授權, 由HSCIC於6月開始執行的care.data服務,即是依據前述立法所擬定之方案。care.data藉由定期蒐集醫療照護過程中的相關資料,對病患於國內所為的各項健康和社會照護資訊(例如病患的住院、門診、意外事故和緊急救護記錄)進行具延續性之連結。以提供即時、正確的NHS治療和照護資訊給民眾、門診醫師和相關部門之官員,進而達到care.data所設定的六項目標,支援病患進行治療的選擇、加強顧客服務、促進資訊透明性、優化成果產出、增加問責性,並驅動經濟成長。   然而,由於care.data是以英國民眾就醫行為中,屬於基礎醫療的家庭醫師(General Practitioner, GP)系統為基礎,所提取的資料包括家族歷史、接種疫苗、醫師診斷、轉診記錄、生理指標,以及所有NHS處方。其次,care.data在進行初級和次級資料連結時,將會透過NHS號碼、生日、性別和郵遞區號,這四項可識別資料的比對。因此雖然care.data在涉及敏感性資料時會加以排除,但此項服務仍引起社會上相當大的爭議。包括部分醫師、隱私專家和的社會團體皆提出質疑,質疑care.data是否有充分告知病人、HSCIC所宣稱的匿名性是否足夠、此項服務對醫病關係的衝擊、該服務所宣稱的資料分享退出機制(opt-out)並未妥善等。   care.data是NHS所推出的創新資料現代化服務,但同時也涉及病患隱私權保護之議題。反觀我國近來所推動的醫療健康資訊加值再利用政策,英國的案例值得我們持續觀察其發展。

歐盟執委會公布《關於標示與標籤AI生成內容之實踐守則》第二版草案,簡化第一版以促進AI生成內容之透明度

歐盟執委會於2026年3月5日公布《關於標示與標籤AI生成內容之實踐守則》(Code of Practice on Marking and Labelling of AI-generated content)第二版草案,主要分為兩大部分,針對不同對象設定規範: 一、AI提供者(Provider)的標示義務 要求AI輸出內容須以「可被機器辨識」的方式標示,包含: (1)應滿足四大要件:標示應滿足有效性、互操作性、穩健性與可靠性四要件,若無法透過單一技術完成標示,則應採取多重標示的方式為之。 (2)偵測機制:建立部署者與終端用戶偵測標示的機制。 (3)技術提升:訂定規範確保標示技術達標,並鼓勵合作開發。 (4)法遵:產品於市場推出後,AI提供者應於實際環境下對標示結果持續進行測試,並適時更新測試方法,以確保產品符合法遵要求。 (5)培訓:並對工作人員進行教育訓練。 二、AI部署者(Deployer)的標籤義務 部署者應將其透過AI生成內容中加以標籤,此義務聚焦使用深偽內容(Deepfake)於涉及公共利益之內容: (1)標籤要求:標籤須包含「AI」字樣、維持特定比例並放置於清楚位置,鼓勵使用歐盟統一標籤。 (2)藝術創意類作品仍應適時揭露:藝術創作倘若包含深偽內容,部署者仍應於適當處完成標籤,揭露其作品中包含深偽內容(對應《歐盟人工智慧法》(Artificial Intelligence Act, AI Act)第50條第4項後段)。 (3)審查與問責:針對已公開作品,應記錄相關人工審查之作業;未公開作品則應說明何人具備編輯控制權,以利後續問責。 相較於第一版,歐盟執委會已將此版本內容大幅刪減,以提升規範落實之彈性。

TOP