日本經產省發布中小企業開發IoT機器之產品資安對策指引
日本經濟產業省(下稱經產省)於2023年6月6日發布中小企業開發IoT機器之產品資安對策指引(IoT機器を開発する中小企業向け製品セキュリティ対策ガイド),本指引彙整企業應該優先推動IoT機器資安對策,經產省提出具體資安對策如下:
1.制定產品資安政策(セキュリティポリシー)並廣為宣導:由企業經營者率先制定資安政策,進行教育宣導,並依實際需求修正調整。
2.建立適當的資安政策體制:確立實施資安政策必要之人員及組織,明確其職務及責任。
3.指定IoT機器應遵守之資安事項,並預測風險:決定IoT機器的預設使用者及使用案例,並於釐清使用者需求後,指定IoT機器應遵守之資安事項,預測衍生風險。
4.考量IoT機器應遵守之資安事項及預測風險,進行設計與開發:以預設IoT機器應遵守之資安事項衍生風險為基礎,從設計與開發階段開始採取風險對策。
5.檢測是否符合資安相關要件:從設計與開發階段開始制定檢測計畫,檢測是否符合資安要件,並依據檢測結果進行改善。
6.於產品出貨後蒐集風險資訊,與相關人員溝通並適時提供支援:蒐集全球資安事故與漏洞資訊,並設置可適時與委外廠商以及用戶溝通之窗口。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
鄭岱宜
法律研究員 編譯整理
〈IoT機器を開発する中小企業向け製品セキュリティ対策ガイド〉,経済産業省,https://www.meti.go.jp/policy/netsecurity/chusyosecurityguide.pdf(最後瀏覽日期:2023/09/25)。
阮韻蒨,〈美國公布實施零信任架構相關資安實務指引〉,科技法律研究所,2022/09,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8885&no=64(最後瀏覽日︰2023/09/25)。
鄭岱宜,〈美國國家安全局發布「軟體記憶體安全須知」〉,科技法律研究所,2023/02,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8956(最後瀏覽日︰2023/09/25)。
美國聯邦通訊委員會(Federal Communications Commission, FCC)於2015年2月26日公布了新版的網路中立命令後,由於新版方案揭櫫了禁止提供快車道(fast lane)予特定服務業者的重要原則,因此被外界預測將遭到各大網路服務供應商的反彈,一如外界所預期的,美國電信協會(United States Telecom Association, USTelecom)於2015年3月23日在美國華盛頓特區聯邦巡迴上訴法院對FCC的新版法案提起訴訟,USTelecom認為,新版的網路中立法案中,賦予監理機構──亦即FCC太多裁量權限,將使得FCC的權力難以控制,在此同時,德州的一家網路服務業者Alamo (Alamo Broadband Inc.)也基於相類似的理由,於美國紐奧良聯邦巡迴上訴法院對FCC提起訴訟。而實際上,在前開電信業者向法院提起訴訟時,FCC的新版網路中立方案甚至尚未刊登於美國聯邦政府公報(Federal Register),自然也無從討論法律生效時點的問題,這個訴訟程序的瑕疵也立即引起各界的注意,論者咸認這些訴訟都將會遭到法院的駁回,但USTelecom宣稱他們的訴訟標的是生效後的法案。 對於各大電信業者、網路服務供應商的大動作,FCC似乎已經準備好面對這些法律論戰,2015年4月1日,FCC正式將新版的網路中立方案提交予美國聯邦政府公報刊登,依據相關規定,此項行政命令將會在刊登2個月後正式產生法律效力,這也意味著在命令生效後,前開訴訟標的之爭議將不復存在,此後再行提起的訴訟,勢必也將正式地透過司法途徑解決。
法國科學家現正積極研究奈米碳管的毒性評估方式法國國家研究會議﹙French National Research Council﹙CNRS﹚﹚的科學家,過去三年持續投入奈米碳管的毒性研究,包括奈米管在環境中所引起的污染反應、其對人體的危害,以及如何以較清潔的方式從事奈米碳管的生產製造。這個研究計畫將側重於目前常為產業利用的各式奈米管。 目前,奈米碳管在全球的製造量高達每年數百噸之譜。優越的機械及電子性能,促使奈米碳管被大量運用在平面螢幕及汽車產業當中,甚至利用在運動產品之上。然而,除了擴增的應用領域之外,其對人體健康及環境的影響迄今尚未受到重視。使用奈米管的物質通常被當做一般廢棄物來處理,就其對於環境的影響,人們更是一無所知。 法國CNRS的科學家希望能夠釐清這樣的問題。目前,研究人員的觀察重點將在奈米碳管如何影響水生環境﹙aquatic environments﹚,以及兩棲生物在奈米管流佈的環境中如何生存及反應。此外,科學家們同時觀察奈米材料如何影響人體健康:他們正在觀察及研究巨嗜球﹙macrophage cells﹚如何與奈米碳管互動,以及在這種暴露環境下,實驗用鼠的肺部是否會產生發炎症狀。經由初步的實驗,科學家們發現人體會將奈米管視為異物,進而引發發炎反應。 接下來,CNRS會進一步研究如何以更清潔且對環境友善的方式來製造奈米管。
日本「個人編號(マイナンバー)」制度遭受違憲的質疑日本政府基於(1)行政的效率化(2)提升國民便利性及(3)實現公平、公正的社會等目的,於2015年10月以後開始分發記載國民姓名、住址、性別、個人編號等相關資訊的「通知卡(通知カード)」,日本民眾藉著通知卡至各地相關單位申辦正式「個人編號卡(マイナンバーカード)」,並於2016年01月正式開始實行。 然而此項制度在施行之初即爭議不斷,住在東京、大阪等地的156名居民於2015年12月01日向東京、仙台、新潟、金澤、大阪共五個地方法院提起民事訴訟,請求日本政府停止蒐集、利用並且刪除個人編號,同時要求給予每人十萬日圓的損害賠償。原告訴狀以日本年金機構受到網路攻擊而有125萬件個人資料流出為例,認為現今關於個人編號制度的行政機關及民間企業的安全防護對策並不充分,主張有極高洩漏「關於稅務及社會福利個人資料的危險性」,同時主張個人編號制度並未取得本人同意即蒐集個人資訊,侵害憲法第13條保障的「控制自我資訊的權利」,亦即隱私權及人格權。 2003年開始正式啟動的 「住民基本台帳網路系統(住民基本台帳ネットワーク)」先前也被提起類似訴訟,惟最高法院認定「制度或系統尚未不備、並沒有侵害隱私權」而認定合憲。本案原告律師團則認為住民基本台帳網路系統僅有行政機關接觸到個人資料,而個人編號制度則連民間企業都能接觸到個人資料,因此原告律師團的水永誠二律師即表示:「個人編號制度和住民基本台帳網路系統相比規模更大。就算住民基本台帳網路系統被認定合憲,也不構成個人編號制度合憲的理由。」 儘管本件訴訟的勝訴效力僅及於當事人,不會立刻決定個人編號制度存廢。惟若能動搖該制度適用於所有擁有住民票的人的前提,則日本政府將被迫重新檢討個人編號制度,本訴訟的後續發展值得繼續觀察。
歐盟提出雲端服務層級標準化指導原則2014年6月26日歐盟執委會提出電信網路層級服務協議標準化指導原則(Cloud Service Level Agreement Standardisation Guidelines)。網路服務提供業者通常會與消費者簽訂契約,內容約定有服務之等級,稱之為電信服務層級契約(SLAs),在雲端運算服務中,通常橫跨不同的管轄領域,適用的法律要件亦產生變化,而在雲端部分所儲存的個人資料保護部分尤其重要。不同的雲端服務與模式所需要的協議約定亦不同,這些都增加訂定的複雜性。 指導原則之提出將幫助專業的雲端服務業者在契約訂定時應該注意的內容,其中主要相關項目包括: 1.雲端服務的可利用性與真實性 2.從雲端服務提供業者中可取得服務的品質 3.安全層級 4.在雲端中如何妥善管理資料 指導原則首先明定原則,以做為雲端運算服務契約之參考。並同時針對不同的名詞定義解是,亦針對不同的契約與法律議題說明,包括業者在依據所訂定的契約中處理個人資料時,應符合歐盟資料保護之規範。 在指導原則提出之後,執委會將與雲端使用者,特別是一些小型企業進行檢視,後續並朝向通過國際ISO之認證。