日本經產省發布中小企業開發IoT機器之產品資安對策指引
日本經濟產業省(下稱經產省)於2023年6月6日發布中小企業開發IoT機器之產品資安對策指引(IoT機器を開発する中小企業向け製品セキュリティ対策ガイド),本指引彙整企業應該優先推動IoT機器資安對策,經產省提出具體資安對策如下:
1.制定產品資安政策(セキュリティポリシー)並廣為宣導:由企業經營者率先制定資安政策,進行教育宣導,並依實際需求修正調整。
2.建立適當的資安政策體制:確立實施資安政策必要之人員及組織,明確其職務及責任。
3.指定IoT機器應遵守之資安事項,並預測風險:決定IoT機器的預設使用者及使用案例,並於釐清使用者需求後,指定IoT機器應遵守之資安事項,預測衍生風險。
4.考量IoT機器應遵守之資安事項及預測風險,進行設計與開發:以預設IoT機器應遵守之資安事項衍生風險為基礎,從設計與開發階段開始採取風險對策。
5.檢測是否符合資安相關要件:從設計與開發階段開始制定檢測計畫,檢測是否符合資安要件,並依據檢測結果進行改善。
6.於產品出貨後蒐集風險資訊,與相關人員溝通並適時提供支援:蒐集全球資安事故與漏洞資訊,並設置可適時與委外廠商以及用戶溝通之窗口。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
鄭岱宜
法律研究員 編譯整理
〈IoT機器を開発する中小企業向け製品セキュリティ対策ガイド〉,経済産業省,https://www.meti.go.jp/policy/netsecurity/chusyosecurityguide.pdf(最後瀏覽日期:2023/09/25)。
阮韻蒨,〈美國公布實施零信任架構相關資安實務指引〉,科技法律研究所,2022/09,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8885&no=64(最後瀏覽日︰2023/09/25)。
鄭岱宜,〈美國國家安全局發布「軟體記憶體安全須知」〉,科技法律研究所,2023/02,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8956(最後瀏覽日︰2023/09/25)。
歐盟電子通訊隱私指令(Directive 2002/58/EC on Privacy and Electronic Communications, e-Privacy Directive)第五條(3)中對於cookie(即業者為辨別使用者身份而儲存在用戶端上的資料)設置的規範,將於2011年5月全面施行。惟對於cookie之使用,部分網路業者認為如果網路使用者沒有選擇不要裝置cookie (opt-out),那麼就等同於同意裝置,而不需另外取得使用者的同意。針對此點,歐盟第29條資料保護工作小組(Article 29 Data Protection Working Party)於2010年06月22日對於網際行為廣告作出一份意見(Opinion 2/2010 on online behavioural advertising)。 意見中澄清,網際行為廣告係一種透過cookie的使用,追蹤蒐集網路使用者上網行為的資料,其網路資訊將被使用於日後發放與使用者上網行為相對應的廣告之用。除非是屬於網路使用者明白要求使用cookie,或是使用網路服務所『必要』的cookie(例如,沒有cookie就無法顯示或進行至下一個頁面),則不必先行取得使用者的同意外;其他凡經由cookie所儲存的資料,均應被視為『個人資料』,使用上必需先行取得網路使用者的明示同意,以自行選擇(opt-in)的方式接受cookie的使用,後存於網路使用者的個人電腦中。業者不得以搜尋引擎的cookie設定主張視為網路使用者等同已經明示同意使用cookie進行被追蹤及蒐集資料。 該意見受到許多歐盟及國際之網際出版、廣告及商務業者的反彈,業者表示所蒐集的資料並非可辨認性或敏感性資料,此規範的執行將會嚴重衝擊到廣告產業的收益,建議採行自律規範或使用行為守則來取代上述規定。 由於這項規範尚未於歐盟中被執行,歐盟第29條資料保護工作小組對於技術上如何遵循該規範也並沒有提出具體的建議。
美國廣告網路平台服務提供業者針對抑制網路侵權發佈作業準則Google、Microsoft、Yahoo、AOL、24/7 Media、Adtegrity、Condé Nast、SpotXchange數個以美國為主要營運基地的廣告網路平台服務提供者於7月中針對抑制網路侵權聯合發佈一套最佳作業準則,規劃透過減少涉嫌侵權、盜版網站的廣告收益分配,達到抑制網路侵權的效果。 在這個自發性參與的準則中,廣告網路平台服務業者將維持並公告其遏阻與避免販售盜版物品、侵害著作權網站的政策,根據該作業準則,廣告網路平台業者將接受並處理來自權利人有關有疑慮的網站通知、提供合適的通知內容參考指引、指定負責收受侵權通知的窗口,並針對相關控訴採取適當的調查,相關業者將確保其內部處理程序能落實此一作業準則要求。 針對此一發展,著作權產業團體如美國唱片業協會、美國電影協會對此一準則皆大表贊成與歡迎,而公益團體Public Knowledge亦讚許此一準則相當明智,同時也呼籲內容產業團體可以發展其保護網路使用者與媒介的相關作業準則。
政府科研計畫執行與貪污犯罪 歐盟生醫研究積極籌組歐盟研究基礎設施聯盟(ERIC)歐盟自2009年6月通過並於同年8月生效之「第723/2009號歐盟研究基礎設施聯盟法律架構規則」(COUNCIL REGULATION (EC) No 723/2009 of 25 June 2009 on the Community legal framework for a European Research Infrastructure Consortium (ERIC),簡稱第723/2009號規則),其乃希望能促進各會員國間各自分散的研究基礎設施(Research Infrastructures,簡稱RIs)之資源凝聚及共享,讓原本僅為設施設備的RIs整合起來,透過由3個以上歐盟會員國作為某特定ERIC成員之方式,依第723/2009號規則向歐盟執委會提出ERIC設立申請,經執委會同意後,ERIC即可取得獨立法律地位及法律人格,以自己名義獲得、享有或放棄動產、不動產及智慧財產,以及締結契約及作為訴訟當事人,並得豁免無須被課徵加值稅(value added tax)和貨物稅(excise duty)等稅賦。歐盟創設ERIC法律架構之目的,是希望能透過國際合作、彙集國際資源,在歐盟建立起頂尖研發環境,吸引跨國研發活動集中與進駐,利用規模化的大型研究基礎設施導引出世界級研發。 截至目前,由奧地利、比利時、捷克、德國、荷蘭等國作為成員及瑞士作為觀察員所建立之「歐盟健康、老化及退休調查」(The Survey of Health, Ageing and Retirement in Europe,簡稱SHARE),乃是歐盟首次提出申請且正式設立之ERIC。SHARE-ERIC乃一大型的人口老化多國研究資料庫,並已收錄45,000筆以上年齡50歲以上個人之健康、社經地位及社會家庭網絡之跨領域及跨國籍資料,SHARE-ERIC之資料分析除將有助歐盟國家就老化社會之福利系統為規劃,更預期將成為推動其活動及健康老化歐盟創新伙伴試行計畫之重要基石。 除此之外,自2008年起由歐盟撥款500萬歐元籌備成立之「生物銀行及生物分子資源研究基礎機構」(Biobanking and Biomolecular Resources Research Infrastructure,簡稱BBMRI),從2008年至今(2011)年1月底3年籌備期間,已募得30個以上國家之53個會員聯盟以及280個聯繫組織(大部分為生物銀行),預計將建立成為最大的泛歐生物銀行,病患及歐盟人口之樣本與資料之介面,以及頂尖生醫研究之介面,且為了要BBMRI-ERIC,BBMRI指導委員會業已擬定「BBMRI-ERIC備忘錄」提供予有興趣之會員國家簽署,希望能在今年底前成立BBMRI-ERIC。