日本發布網路安全相關法令問答集
日本國家網路安全中心(内閣サイバーセキュリティセンター,或稱National Information Security Center, NISC)於2020年3月2日發布「網路安全相關法令問答集」(サイバーセキュリティ関係法令Q&Aハンドブック),以回應日本內閣在2017年7月27日通過的「網路安全戰略」(サイバーセキュリティ戦略)中所提及應整理相關法制,以利企業實施網路安全措施與對策之決定。因此,內閣網路安全戰略本部(サイバーセキュリティ戦略本部)普及啟發‧人才培育專門調查會(普及啓発・人材育成専門調査会)於同年10月10日成立工作小組,針對網路安全相關法令進行推動與調查工作。
本問答集內容涉及13項法律議題,包括議題如下:
- 說明網路安全基本法(サイバーセキュリティ基本法)網路安全之定義與概要;
- 以公司法為核心,從經營體制觀點說明董事義務,例如建立內部控制機制,以確保系統審核與資料揭露之適當性;
- 以個人資料保護法為核心,例如說明個人資料的安全管理措施;
- 以公平交易法(不正競争防止法)為核心,說明在營業秘密的保護範圍內,利用提供特定資料與技術手段,來實施迴避行為係屬無效;
- 以勞動法規為核心,說明企業採取網路安全措施之組織與人為對策;
- 以資通訊網路、電信業者等為中心,說明IoT相關法律問題;
- 以契約關係為中心,說明電子簽章、資料交易、系統開發、雲端應用服務等議題;
- 網路安全相關證照制度,例如資訊處理安全確保支援人員;
- 說明其他網路安全議題,例如逆向工程、加密、訊息共享等;
- 說明發生網路安全相關事故之因應措施,例如數位鑑識;
- 說明當網路安全糾紛有涉民事訴訟時應注意之程序;
- 說明涉及網路安全之刑法規範;
- 描述日本企業在實施網路安全措施時,應注意之相關國際規範,例如歐盟一般資料保護規則(General Data Protection Regulation, GDPR)與資料在地化(Data Localization)等議題。
此外,隨著網路與現實空間的融合,各產業發展全球化,相關法規也日益增加,惟網路安全相關法規,在原無網路安全概念與相關法制的日本法上,卻鮮少有較為系統化的概括性彙編與解釋文件。因而盤點並釐清網路安全相關法令則成為首要任務,故研究小組著手進行調查研究,並將調查結果—「網路安全法律調查結果」(サイバーセキュリティ関係法令・ガイドライン調査結果)與「第四次關鍵基礎設施資訊安全措施行動計畫摘要表」(重要インフラの情報セキュリティ対策に係る第4次行動計画)作為本問答集之附錄文件以資參酌。最後,NISC期待透過本問答集,可作為企業實施具體網路安全對策之實務參考。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
江敔菲
副法律研究員 編譯整理
内閣官房内閣サイバーセキュリティセンター,サイバーセキュリティ関係法令 Q&Aハンドブック,Ver1.0,https://www.nisc.go.jp/security-site/files/law_handbook.pdf (最後瀏覽日:2020/05/12)。
從2006年開始,FCC所推出的「偏遠地區醫療照護領航計畫」 (Rural Health Care Pilot Programs),扶植其國內50個不同的醫療照護寬頻網路。此計畫不僅強化了美國對於遠距醫療照護技術的需求,更被寄望發展成為一高效能之寬頻服務。而計畫中「聯盟」 (consortium-focused)的概念,更促進了城鄉醫療團隊的合作(rural-urban collaboration)。除了減低申請普及服務補助時所需花費之行政成本外,更提升了醫療業者購買所需頻寬時的議價地位。 不過美國政府並不以此為滿足,為進一步改善整體計畫的實施效益, FCC於2012年12月再次針對醫療照護普及服務進行新階段的革新,並提出「醫療照護網路基金」 (Healthcare Connect Fund),以取代原有之領航計畫(Pilot Program)。「醫療照護網路基金」規劃的目的,在於提供計畫參與者更多的彈性,以規劃其本身的網路。業者可透過購買所需之寬頻服務、自行佈建寬頻基礎建設或混合上述兩種方式,取得所需之頻寬。不過FCC亦訂定資格限制以及審查機制。目前僅有具備一定經濟規模的醫療聯盟,可自行佈建寬頻基礎建設,獨立醫療業者並不具佈建之資格。另外,FCC亦要求醫療業者須提出詳細證明,以供主管機關審查。審查文件中需證實所得頻寬資源,是透過公正的招標機制後,所採行最具成本效益之決定。 普及服務的延伸就如同規劃渠道,將水源引向一片匱乏與困境的孤島。美國在面對偏遠地區醫療資源的匱乏,以及該地醫療業者的困境時,運用寬頻網路來傳遞病患所需的服務,也透過城鄉醫療業者的結盟,讓城市醫療團隊所發展的技術,得以與偏遠地區藉提供服務後所得的實證資料,透過網路互通流通,甚至允許醫療業者佈建基礎寬頻建設,以提供更完善的服務。普及服務的概念,不應該偏離電信基礎建設的佈建,但更上一層樓的是以滿足人民基礎生存權利之必須所主導的概念。
綠色管制風潮與挑戰 經濟部中小企業處推動輔導計畫歐盟於2003年通過WEEE及RoHS兩項環保指令,分別為有關「廢電子電機產品回收」(Waste from Electronic and Electrical Equipment, WEEE)及「禁用物質防制」(Restriction on the Use of Hazardous Substances, RoHS)兩項指令,明確規定行銷歐洲市場之電機電子產品,自去(2005)年8月及今年7月起,必須符合WEEE及RoHS禁用六項有害物質(鉛、鎘、汞、六價鉻、PBB及PBDE) 兩指令之規定,才能進入歐洲市場。簡單來說,WEEE係為確保在產品到達壽命終結時,其廢棄的零組件不致污染環境,同時部分材料還要能回收再利用;RoHS旨在規範產品的上游設計及中游製造段必須符合嚴格的環保規範,此兩項環保指令勢必對台灣每年輸往歐洲的電機電子產品,產生相當程度的衝擊,若是產品不符合相關規定,最嚴重將遭受到產品下架的處分。 對此,經濟部擬訂了「我國產業因應歐盟環保指令行動方案」,以今年6月底前輔導輸歐產值80%廠商符合RoHS指令要求為目標,而為了協助台灣中小企業因應新規定,中小企業處將輔導320家中小企業進入綠色材料與供應鏈體系,並與國際綠色供應鏈接軌,提高中小企業綠色競爭力。
美國政府與業者合作補助低收入戶學童低價的寬頻網路與電腦美國聯邦通訊委員會FCC於2011年12月13日宣布新的補助計畫,提供低價的寬頻網路及電腦給計百萬戶之低收入戶,以消除數位落差。 美國聯準會(Federal Reserve)的研究報告指出,在同樣條件下,家裡擁有電腦與寬頻網路的學生比未擁有的學生,畢業率高出6%至8%。由此可見數位發展普及化的重要性。 與新加坡和南韓高達90%的寬頻普及率相比,美國現今仍有將近三分之一的人口,亦即約一億名美國民眾無法在家使用寬頻網路,因此FCC與相關業者成立一個名為「Connect to Compete」的非營利組織(private and nonprofit sector partnership),以提高寬頻網路的普及,並改善弱勢團體與一般民眾的落差。且此一計畫所需的經費非由政府支出、全民買單,而是全數由業者負擔。 此項計畫的補助標準為,任何符合公立學校午餐補助資格的家庭即可受補助,其每個月補助9.95美元以接取寬頻網路,並可購買最高150美元的電腦、並獲得免費的數位知識訓練。 此計畫規劃自2012年春季開始實施,部份城市率先執行,並預計於2012年9月前延伸至全國各個城市實施。
歐盟NIS 2指令生效,為歐盟建構更安全與穩固的數位環境歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union, NIS 2 Directive)於2023年1月16日正式生效,其於《網路與資訊系統安全指令》(Directive on Security of Network and Information Systems, NIS Directive)之基礎上,對監管範圍、成員國協調合作,以及資安風險管理措施面向進行補充。 (1)監管範圍: NIS 2納入公共電子通訊網路或服務供應、特定關鍵產品(如藥品與醫療器材)製造、社交網路平台與資料中心相關數位服務、太空及公共行政等類型,並以企業規模進行區分,所有中大型企業皆須遵守NIS 2之規定,而個別具高度安全風險之小型企業是否需要遵守,則可由成員國自行規範。 (2)成員國協調合作: NIS 2簡化資安事件報告流程,對報告程序、內容與期程進行更精確的規定,以提升成員國間資訊共享的有效性;建立歐洲網路危機聯絡組織網路(European cyber crisis liaison organisation network, EU-CyCLONe),以支持對大規模資安事件與危機的協調管理;為弱點建立資料庫及揭露之基本框架;並引入更嚴格的監督措施與執法要求,以使成員國間之裁罰制度能具有一致性。 (3)資安風險管理措施: NIS 2具有更為詳盡且具體之資安風險管理措施,包含資安事件回報與危機管理、弱點處理與揭露、評估措施有效性的政策與程序、密碼的有效使用等,並要求各公司解決供應鏈中的資安風險。