日本經產省發布中小企業開發IoT機器之產品資安對策指引
日本經濟產業省(下稱經產省)於2023年6月6日發布中小企業開發IoT機器之產品資安對策指引(IoT機器を開発する中小企業向け製品セキュリティ対策ガイド),本指引彙整企業應該優先推動IoT機器資安對策,經產省提出具體資安對策如下:
1.制定產品資安政策(セキュリティポリシー)並廣為宣導:由企業經營者率先制定資安政策,進行教育宣導,並依實際需求修正調整。
2.建立適當的資安政策體制:確立實施資安政策必要之人員及組織,明確其職務及責任。
3.指定IoT機器應遵守之資安事項,並預測風險:決定IoT機器的預設使用者及使用案例,並於釐清使用者需求後,指定IoT機器應遵守之資安事項,預測衍生風險。
4.考量IoT機器應遵守之資安事項及預測風險,進行設計與開發:以預設IoT機器應遵守之資安事項衍生風險為基礎,從設計與開發階段開始採取風險對策。
5.檢測是否符合資安相關要件:從設計與開發階段開始制定檢測計畫,檢測是否符合資安要件,並依據檢測結果進行改善。
6.於產品出貨後蒐集風險資訊,與相關人員溝通並適時提供支援:蒐集全球資安事故與漏洞資訊,並設置可適時與委外廠商以及用戶溝通之窗口。
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
鄭岱宜
法律研究員 編譯整理
〈IoT機器を開発する中小企業向け製品セキュリティ対策ガイド〉,経済産業省,https://www.meti.go.jp/policy/netsecurity/chusyosecurityguide.pdf(最後瀏覽日期:2023/09/25)。
阮韻蒨,〈美國公布實施零信任架構相關資安實務指引〉,科技法律研究所,2022/09,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8885&no=64(最後瀏覽日︰2023/09/25)。
鄭岱宜,〈美國國家安全局發布「軟體記憶體安全須知」〉,科技法律研究所,2023/02,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8956(最後瀏覽日︰2023/09/25)。
「敏感科技」的普遍定義,係指若流出境外,將損害特定國家之安全或其整體經濟競爭優勢,具關鍵性或敏感性的高科技研發成果或資料,在部分法制政策與公眾論述中,亦被稱為關鍵技術或核心科技等。基此,保護敏感科技、避免相關資訊洩漏於國外的制度性目的,在於藉由維持關鍵技術帶來的科技優勢,保護持有該項科技之國家的國家安全與整體經濟競爭力。 各國立法例針對敏感科技建立的技術保護制度框架,多採分散型立法的模式,亦即,保護敏感科技不致外流的管制規範,分別存在於數個不同領域的法律或行政命令當中。這些法令基本上可區分成五個類型,分別為國家機密保護,貨物(技術)之出口管制、外國投資審查機制、政府資助研發成果保護措施、以及營業秘密保護法制,而我國法亦是採取這種立法架構。目前世界主要先進國家當中,有針對敏感科技保護議題設立專法者,則屬韓國的「防止產業技術外流及產業技術保護法」,由產業技術保護委員會作為主管機關,依法指定「國家核心科技」,但為避免管制措施造成自由市場經濟的過度限制,故該法規範指定應在必要的最小限度內為之。
歐盟會員國要求分享DNA資料庫歐盟十五個會員國為強化對抗恐怖攻擊、跨邊境犯罪及非法遷徙之國際合作,於2007年3月28日提出有關資料分享的立法草案,以期歐盟能夠建立一套資料分享的機制與架構。立法草案明確規範了各成員國就資料保護所應給予的等級,其必須保證個人資料保護必須達到與1980年歐洲理事會(Council of Europe)通過的「保護自動化處理個人資料公約(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)」及其於2001年通過的附加議定書相同等級。 該立法草案係根據「Prüm條約」而來,其條約簽署背景為2004年馬德里的恐怖組織炸彈攻擊事件,有鑑打擊恐怖攻擊及跨國犯罪之國際合作,歐盟七個會員國於2005年5月27日在德國、比利時及盧森堡邊境的城市Prüm,簽訂了該條約。條約中規定,簽署國之警察及刑事追訴機關執法於恐怖攻擊及跨邊境犯罪時,得向他簽署國處理相關資料之單位請求有關DNA之分析資料、指紋及相關車籍資料。 目前,歐盟資料保護監督機構(European Data Protection Supervisor)已背書支持建立該機制與架構,並且聲明表示,該架構之建立,仍應注意資料保護的相關事項,在追求資料分享更為便利的同時,應給予人民更為足夠的保護,再者,資料處理的權責單位對於不同的資料類型,也應以不同的方式處理之,越敏感性的資料越應限制其使用目的,並且讓越少人得以接觸。
2015年世界智慧財產報告:突破創新與經濟成長在一片低迷的全球經濟成長中,2015年11月11日世界智慧財產權組織(WIPO),公布了最新的「世界智慧財產報告:突破創新與經濟成長( World Intellectual Property Report: Breakthrough Innovation and Economic Growth)」,探討知識產權的角色與創新及經濟成長之關連,並鎖定在突破性創新之影響。該報告除討論具代表性歷史創新技術,另也探討當今具有潛在突破性發展之創新技術,同時敦促各國政府及企業,應增加此三領域創新技術相關之投資。 在過去300年來的創新技術發展,已經觸及人類活動的各個層面,並改變了世界的經濟結構。依據2015年WIPO報告,顯示出三領域歷史創新技術如何觸發當時新的企業活動:即飛機、抗生素和半導體。該報告考量到創新驅動成長及未來展望,另探究了三領域具有潛在突破性發展之當今技術:即3D列印、奈米和機器人技術。調查報告也顯示,日本和美國正帶領著一小群國家,推動此三領域創新技術進行突破研究,正因此三領域前瞻技術,掌握著推動未來經濟增長之潛力。 朝向工業化發展的新興中等收入國家中國大陸,自2005年以來在3D列印和機器人領域的專利申請量占全球四分之一以上,為全球國家中比率最高;在奈米技術方面,中國大陸專利申請人占全球近15%,是第3大申請國,但與其他資深創新國家不同的是,中國大陸的大學和公立研究機構申請案所占比例相當高。 WIPO報告強調,創新生態系統的成功要素有三:政府資助科學技術研究,並協助具前景技術從實驗室走到商品化階段;透過充滿活力的金融市場和健全的法規,以及鼓勵企業創新來加強市場競爭力;促進公、私部門創新單位的連結溝通流暢。 該報告亦說明大學和公立研究機構與創新如何日形密切,和傳統飛機、抗生素和半導體領域相較,學研機構在3D列印、奈米技術和機器人領域的專利申請所占比例較高,尤其是在奈米技術領域,全球的學術機構申請人約占四分之一。另外著作權在技術創新也變得更加常見且緊密相關,包括電腦軟體納入著作權保護標的,及3D物品設計和電腦IC晶片設計等的任何形式數位表達之保護。 WIPO「世界智慧財產報告」每兩年發行一次,每期的重點放在不同的IP領域新趨勢,先前的報告已探討「品牌在全球市場的角色(the role that brands play in a global marketplace)」及「不斷變化的創新(the changing face of innovatio)」。