日本經產省發布中小企業開發IoT機器之產品資安對策指引

日本經濟產業省(下稱經產省)於2023年6月6日發布中小企業開發IoT機器之產品資安對策指引(IoT機器を開発する中小企業向け製品セキュリティ対策ガイド),本指引彙整企業應該優先推動IoT機器資安對策,經產省提出具體資安對策如下:

1.制定產品資安政策(セキュリティポリシー)並廣為宣導:由企業經營者率先制定資安政策,進行教育宣導,並依實際需求修正調整。

2.建立適當的資安政策體制:確立實施資安政策必要之人員及組織,明確其職務及責任。

3.指定IoT機器應遵守之資安事項,並預測風險:決定IoT機器的預設使用者及使用案例,並於釐清使用者需求後,指定IoT機器應遵守之資安事項,預測衍生風險。

4.考量IoT機器應遵守之資安事項及預測風險,進行設計與開發:以預設IoT機器應遵守之資安事項衍生風險為基礎,從設計與開發階段開始採取風險對策。

5.檢測是否符合資安相關要件:從設計與開發階段開始制定檢測計畫,檢測是否符合資安要件,並依據檢測結果進行改善。

6.於產品出貨後蒐集風險資訊,與相關人員溝通並適時提供支援:蒐集全球資安事故與漏洞資訊,並設置可適時與委外廠商以及用戶溝通之窗口。

相關連結
你可能會想參加
※ 日本經產省發布中小企業開發IoT機器之產品資安對策指引, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9063&no=64&tp=1 (最後瀏覽日:2026/07/03)
引註此篇文章
你可能還會想看
違反荷蘭資料保護法,Google恐遭罰1500萬歐元

  Google為了提供客製化的廣告服務,利用搜尋引擎、Youtube、Gmail及其他服務,在事前未告知並取得使用者同意的情況下,蒐集人們的資料(包括搜尋紀錄、電子郵件、第三方網站軌跡資料、位置資訊及影片觀看紀錄等)。歐洲各國隱私監管機構對此表示憂心,認為Google恐將以前所未有的規模,掌握使用者的一舉一動,紛紛投入調查工作,並相繼認為Google確實已經違反其內國法。   荷蘭資料保護局(Data Protection Authority, DPA)主席Jacob Kohnstamm於2014年12月15日表示,使用者有權知悉他們在某一平台輸入的資料,其他平台也可以利用它們,並要求Google在合併不同服務所取得的個人資料前,應以跳出不同視窗等方式供使用者點選,俾以取得其明示同意(unambiguous consent),僅只透過一般隱私條款,並不足以提供當事人清楚且一致的資訊(clear and consistent imformation)。   DPA希望Google不要再考驗他們的耐心,並揚言對Google處以1500萬歐元罰鍰,除非它在2015年2月底前完成改善。但面對DPA的最後通牒,Google僅回應,他們已經大幅修正了隱私權政策,很遺憾DPA仍作出這樣的決定,但他們將儘快與歐洲各國隱私監管機構就後續修訂方案進行討論。

英國公布「智慧聯網挑戰與機會」政策報告及制訂「智慧聯網科際研究路徑圖」

  對於智慧聯網(IoT)推動政策,英國主要係以科技策略委員會(Technology & Strategy Board)下設智慧聯網特別關注研究小組(IoT Special Interest Group, IoT SIG)為平台,討論智慧聯網(IoT)相關資訊及規劃推動政策。英國智慧聯網特別關注研究小組2013年5月公布「智慧聯網的挑戰與機會」(IoT Challenges and Opportunities - Final Report)報告,對於智慧聯網(IoT)服務的創新發展提出建議,包括應推動:(1)建立操作互通性(interoperability)的框架(2)以人為本的設計(People-centred design)(3)創造強健的智慧聯網(IoT)平台(4)頻譜使用模式的無線電技術等相關政策。   再者,英國智慧聯網特別關注研究小組在2月15日也發表「智慧聯網科際研究路徑圖」(A Roadmap for Interdisciplinary Research on the Internet of Things) 最後報告,內容包含四個子報告,分別對科技、文化創意及設計、經濟及商業、社會科學討論智慧聯網(IoT)未來研究的方向。在「社會、法律及道德子報告」(A Roadmap for Interdisciplinary Research on the Internet of Things: Social Science)中提及應注意的研究問題,包括:隱私及資料保護、自主選擇性(choice)、控制(control)、智慧型個人隨身裝置的社會議題、安全(security) 、所有權及智慧財產權、公眾安全及保護、資料保留(data retention)、行動的停止、過時資料的處理、以及巨量資料、納入公眾意見、服務品質等等。   並且,英國「社會、法律及道德子報告」中透過情境分析的方式,試圖將所提及之相關社會、法制及道德議題盧列出來,希望能在此基礎下進行更系統性的研究探討,以更廣泛含攝模式,嘗試從社會、法律及道德各層面,探究智慧聯網(IoT)相關重要議題。

中國大陸商務部頒布《阻斷外國法律與措施不當域外適用辦法》維護國際經貿發展權益

  中國大陸商務部於2021年1月9日公布《阻斷外國法律與措施不當域外適用辦法》(商務部令2021年第1號,簡稱《辦法》),以保護中國大陸公民、法人或其他組織的合法權益,不受他國法律與措施的不當侵害。過去,美國等國家透過出口管制推行單邊主義,限制中國大陸企業的國際經貿活動空間,顯示外國法律與措施的不當域外適用,對中國大陸經濟發展造成不利影響。《辦法》因此借鑒歐盟於1996年制定《抵制第三國立法域外適用效果及行動條例》(Council Regulation (EC) No 2271/96)的立法經驗,拒絕承認外國法律和措施的域外效力,以維護國際經貿發展權益。《辦法》由國務院商務部負責評估和確認外國法律與措施是否存在不當域外適用情形,發布「不得承認、不得執行、不得遵守有關外國法律與措施禁令」;中國公民、法人或者其他組織若因外國法律與措施的域外適用遭受重大損害,得向中國法院提起訴訟,要求獲益當事人賠償損失,以此作為中國大陸對外貿易之必要反制措施。《辦法》所建立的阻斷工作機制架構說明如下: 及時報告:依據第5條,中國大陸公民、法人或其他組織遇到外國法律與措施不當域外適用,即禁止或限制其與第三國(地區)開展正常經貿及相關活動者,應在30日內報告。 評估確認:依據第6條,關於外國法律與措施是否存在不當域外適用情形,商務部應結合各種因素進行評估確認。 發布禁令:依據第7條,經評估確認外國法律與措施存在不當域外適用情形,商務部得發布「不得承認、不得執行、不得遵守有關外國法律與措施的禁令」。第8條,亦由商務部負責「豁免遵守禁令」申請案之否准。 司法救濟:依據第9條,因外國法律與措施的不當域外適用遭受損失,中國大陸公民、法人或其他組織可在中國大陸國內法院起訴並請求損害賠償。 處罰制度:依據第13條,對違反如實報告義務和不遵守禁令之行為,給予相應警告、責令限期改正,並根據情節輕重處以罰款。

美國聯邦法官指出藥用基改作物之種植應予嚴格管理

  美國聯邦法院最近判決美國聯邦官員在 2001 年及 2003 年,允許四家企業在夏威夷種植基改作物以生產試驗用藥的行為,違反環境法規。該許可內容涉及許可在夏威夷州 Kauai, Maui, Molokai and Oahu 種植玉米或甘蔗。   本案法官 Michael Seabright 判決中特別指出,鑑於夏威夷州乃是許多瀕臨絕種或受到絕種威脅的生物的棲地-該州計有 329 種罕見生物,占全美瀕臨絕種生物及受到絕種威脅生物種類之四分之一,而美國農業部動植物健康檢疫服務( Department of Agriculture's Animal and Plant Health Inspection Service )在許可種植基改作物前,竟未先進行初步的環境檢視( preliminary environmental reviews ),很明顯地已違反該機關依據瀕臨絕種生物法( Endangered Species Act )及國家環境政策法( National Environmental Policy Act )所應盡之義務。   本案原告 EarthJustice 認為,本案是第一件聯法院就 biofarming 所做之判決。所謂 biopharming 係指研究人員利用基改技術將植物用來作為生產藥品、抗體、疫苗等生技藥物的生物反應器( bioreactors )。由於植物可以大量栽種,因而若 biopharming 技術可行,將可有效解決生技藥物供給短缺的問題,嘉惠更多的病患,因而, biopharming 被視為未來可能顛覆傳統的藥物生產的一種生技藥物製造方式。目前, biopharming 廣泛使用的植物包括玉米、煙草等。   biopharming 的構想可以較低的成本解決部分生技藥物生產的問題,但其構想看似極具吸引力,不過發展 biopharming 並非毫無挑戰,尤其是如何就藥用基改植物予以隔離管理,避免基因污染。反對者一般主張,藥用基改植物 並未通過食用安全性測試,並不適合人體食用或是當作家畜飼料, 如果栽種藥用基改植物的隔離管理未做好把關,難保這些本應受到嚴格管制的治療性植物進入到食物供應鏈,影響民眾的身體安全。   在民眾健康及環境生態安全的考量下,反對推展 Biopharming 的力量也越來越大,本案即是一個明顯的例子。

TOP