日本成立供應鏈資通安全聯盟(Supply Chain Cybersecurity Consortium)

  日本經濟產業省(下稱經產省)於2020年6月12日發布其國內產業資通安全現況與將來對策(昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性)報告,指出近期針對供應鏈資通安全弱點企業所展開的攻擊,有顯著增長趨勢。為此,該報告建議共組供應鏈的企業間,應密切共享資訊;於關鍵技術之相關資訊有外洩之虞時,應向經產省提出報告;若會對多數利害關係人產生影響,並應公開該報告。遵循該報告之建議要旨,同年11月1日在各產業主要的工商團體引領下,設立了「供應鏈資通安全聯盟(原文為サプライチェーン・サイバーセキュリティ・コンソーシアム,簡稱SC3)」,以獨立行政法人資訊處理推進機構(独立行政法人情報処理推進機構,IPA)為主管機關。其目的在於擬定與推動供應鏈資通安全之整體性策略,而經產省則以觀察員(オブザーバー)的身分加入,除支援產業界合作,亦藉此強化政府與業界就供應鏈資通安全議題之對話。

  只要贊同上述經產省政策方向與聯盟方針,任何法人或個人均得參加SC3。針對產業供應鏈遭遇資安攻擊的問題,經產省與IPA已有建構「資通安全協助隊(サイバーセキュリティお助け隊)」服務制度(以下稱協助隊服務),邀集具相關專長之企業,在其他企業遭遇供應鏈資安攻擊時,協助進行事故應變處理、或擔任事故發生時之諮詢窗口。而SC3則規畫為這些參與提供協助隊服務的企業建立審查認證制度。其具體任務包含擬定認證制度的審查基準草案、以及審查機關基準草案,提供IPA來建構上述基準。依該制度取得認證的企業,將獲授權使用「資通安全協助隊」的商標。同時在業界推廣協助隊服務制度,讓取得認證的中小企業得以之為拓展其業務的優勢與宣傳材料。

本文為「經濟部產業技術司科技專案成果」

相關連結
相關附件
你可能會想參加
※ 日本成立供應鏈資通安全聯盟(Supply Chain Cybersecurity Consortium), 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8567&no=67&tp=5 (最後瀏覽日:2026/07/09)
引註此篇文章
你可能還會想看
歐盟網路與資訊安全局發布「行動支付與電子錢包安全防護」報告

  為因應探討並強化網路安全環境,歐盟網路與資訊安全局(European Union Agency for Network and Information Security , ENISA)2016年12月發布「行動支付與電子錢包安全防護」研究報告(Security of Mobile Payments and Digital Wallets)。歐盟網路與資訊安全局ENISA主要係因,近來行動支付興起,利用行動支付方式買賣貨品,係象徵著朝向數位化轉換趨勢,消費者希望透過更便捷的方式購物避免帶著實體錢包和一堆卡片,增加購物的不便。但是使用電子錢包和行動支付並非全然沒有安全疑慮,根據2015年的一項調查,有百分之20的美國消費者對於行動支付的過程中可能遭到有心人士擷取個人資料,這就表示此乃使用行動支付的主要擔心重點,有13%使用者擔心自己的電話遭到駭客入侵。此外根據另一項調查,針對九百名資安專家所做的調查顯示,僅有23%的的人員認為目前現有的安全機制足以防範個資外洩,但有47%的人員認為現有的機制缺乏安全性,但當中也有百分之30的回覆認為現在的安全機制是否安全不能確定。因此,目前而言,安全防護可謂是消費者最關心的重點,且對於安全的疑慮亦使得行動支付沒有辦法大量推行採用。   因此歐盟網路與資訊安全局ENISA於此報告提出了目前經確認的主要威脅有: 行動用戶的安全威脅:任意裝設惡意軟體、釣魚軟體、社交工程軟體。 行動設備威脅:行動設備遭竊或遺失與不當近用。 行動支付與電子錢包威脅:逆向工程、竄改支付軟體、使用在滲透到系統之後,會隱藏登錄項目、檔案或處理序等資源的一種軟體。 消費者威脅:POS惡意軟體、MiTM、重放攻擊。 付款服務提供者威脅:付款系統與資料連結崩潰的疑慮。 支付網路提供者威脅:代碼服務崩潰、拒絕服務。 發行商威脅:付款授權流程崩潰與代碼資料崩潰。 行動支付軟體提供者威脅:機敏個資外洩、雲端客戶資訊管理遭到入侵、代碼服務拒絕。   因此有鑑於行動支付產業目前仍在新興階段,欠缺明確標準,業者間的自主管理顯得相當重要,所以網路與資訊安全局ENISA提出了一些得以遵循的建議與標準: 消費者在使用行動支付的服務軟體時,必須採取多項最低安全防護措施。 行動主機提供業者應該確保軟體定時更新,並且修補安全上的漏洞,針對安全性與近用用戶資料的可能性部分加強。 行動支付的應用程式提供者,應該再提供服務給消費者時,同時提供消費者資訊,本應用軟體做了何種安全防護,供消費者知悉。 行動支付業者應當建立詐騙監控機制。   網路與資訊安全局ENISA提出上述建議與標準,主要係希望業者採用這樣的標準或好習慣的建議後,可以對於消費者、零售商、銀行等業者產生益處。

法國法院判決:政府獨占賭博事業  違法

  賭博事業之經營是否應由政府獨占之議題,已陸續在歐洲國家產生爭議問題。2007年3月,義大利禁止於英國取得經營賭博事業執照之Stanley公司至義大利提供賭博服務,因此,義大利法院請求歐洲法院判決,以確定此一行為是否違反歐盟自由貿易原則。隨後,歐洲法院做出判決,認定義大利法律禁止未於義大利取得經營執照之公司在義大利境內經營賭博之規定,違反歐盟競爭法及歐盟條約第49條之規定。   2007年7月中旬,法國最高法院逆轉了過去禁止Malta’s Zeturf於法國經營經營賭博的見解,而遵循歐洲法院之判決結果,認為禁止賭博事業係違反了歐盟競爭法,以及歐盟條約第49條保障境內服務自由流通之規定,並基於上述理由判決Malta’s Zeturf取得於法國經營線上賭博遊戲之權利。法國法學專家Credric Manara以為,最高法院該判決將可能打開原來由政府獨占的賭博市場,而讓賽馬及其他運動賭博遊戲能擴及其他歐洲國家。   法國該向判決卻顯示了法國刑法禁止賭博的規定將無法限制歐盟條約中所保障的自由流通原則,然而,這樣的結果,卻也考驗了以刑法禁止賭博的國家對於法規衝突應如何解決以為之因應。

美國「潔淨能源製造推動方案」

  美國的「潔淨能源製造推動方案」(Clean Energy Manufacturing Initiative, CEMI) 係由能源部自2014年起推動,目標是在強化美國製造業之競爭力的同時,促進經濟成長與能源目標及能源安全的達成。潔淨能源製造推動方案係以創新及排除市場障礙為核心目標,相關行動包括:(一)技術研發:能源部在推動方案下針對製造業的研發提高補助金額;(二)新型創新模式:推動方案旨在透過公私夥伴計畫與製造創新量能的提生,促進美國境內潔淨能源製造創新基礎設施之共享;(三)競爭力分析:經由競爭力分析挹注研發投資與確認對於潔淨能源製造而言至關重要之助力與阻力;(四)溝通與意見徵詢:推動方案特別強化與利害關係人間的廣泛對話,以修正其推動策略,並確認政府與民間部門能經由哪些途徑以共同合作來提升美國在潔淨能源製造上之競爭力;(五)能源生產力之技術支援:能源部向製造商進行能源生產力資源上的投資,這當中包括技術支援與市場領銜計畫。在我國之相關發展上,2015年11月26日於北京舉辦之「兩岸工業發展和合作論壇」,經濟部工業局表示,論壇聚焦於智慧製造與綠色製造,兩岸可針對工業發展過程中,例如材料、監控、生產流程等方面,整合雙方技術特點共同解決。

日本發布《資料品質管理指引》,強調歷程存證與溯源,建構可信任AI透明度

2025年12月,日本人工智慧安全研究所(AI Safety Institute,下稱AISI)與日本獨立行政法人情報處理推進機構(Information-technology Promotion Agency Japan,下稱IPA)共同發布《資料品質管理指引》(Data Quality Management Guidebook)。此指引旨於協助組織落實資料品質管理,以最大化資料與AI的價值。指引指出AI加劇了「垃圾進,垃圾出(Garbage in, Garbage out)」的難題,資料品質將直接影響AI的產出。因此,為確保AI服務的準確性、可靠性與安全性,《資料品質管理指引》將AI所涉及的資料,以資料生命週期分為8個階段,並特別強調透過資料溯源,方能建立透明且可檢核的資料軌跡。 1.資料規劃階段:組織高層應界定資料蒐集與利用之目的,並具體說明組織之AI資料生命週期之各階段管理機制。 2.資料獲取階段:此步驟涉及生成、蒐集及從外部系統或實體取得資料,應優先從可靠的來源獲取AI模型的訓練資料,並明確記錄後設資料(Metadata)。後設資料指紀錄原始資料及資料歷程之相關資訊,包含資料的創建、轉檔(transformation)、傳輸及使用情況。因此,需要記錄資料的創建者、修改者或使用者,以及前述操作情況發生的時間點與操作方式。透過強化來源透明度,確保訓練資料進入AI系統時,即具備可驗證的信任基礎。 3.資料準備階段:重點在於AI標註(Labeling)品質管理,標註若不一致,將影響AI模型的準確性。此階段需執行資料清理,即刪除重複的資料、修正錯誤的資料內容,並持續補充後設資料。此外,可添加浮水印(Watermarking)以確保資料真實性與保護智慧財產權。 4.資料處理階段(Data Processing):建立即時監控及異常通報機制,以解決先前階段未發現的資料不一致、錯漏等資料品質問題。 5.AI系統建置與運作階段:導入RAG(檢索增強生成)技術,檢索更多具參考性的資料來源,以提升AI系統之可靠性,並應從AI的訓練資料中排除可能涉及個人資料或機密資訊外洩的內容。 6. AI產出之評估階段(Evaluation of Output):為確保產出內容準確,建議使用政府公開資料等具權威性資料來源(Authoritative Source of Truth, ASOT)作為評估資料集,搭配時間戳記用以查核參考資料的時效性(Currentness),避免AI採用過時的資料。 7.AI產出結果之交付階段(Deliver the Result):向使用者提供機器可讀的格式與後設資料,以便使用者透過後設資料檢查AI產出結果之來源依據,增進透明度與使用者信任。 8.停止使用階段(Decommissioning):當資料過時,應明確標示停止使用,若採取刪除,應留存刪除紀錄,確保留存完整的資料生命週期紀錄。 日本《資料品質管理指引》強調,完整的資料生命週期管理、強化溯源為AI安全與創新的基礎,有助組織確認內容準確性、決策歷程透明,方能最大化AI所帶來的價值。而我國企業可參考資策會科法所創意智財中心發布之《重要數位資料治理暨管理制度規範(EDGS)》,同樣強調從源頭開始保護資料,歷程存證與溯源為關鍵,有助於組織把控資料品質、放大AI價值。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)

TOP