日本經產省發布《促進資安攻擊受害資訊共享檢討會最終報告書》,以加速資安情資共享

日本經濟產業省(下稱經產省)於2023年11月22日發布《促進資安攻擊受害資訊共享檢討會最終報告書》(サイバー攻撃による被害に関する情報共有の促進に向けた検討会の最終報告書),主張共享資安攻擊受害資訊,掌握資安攻擊全貌,防止損害範圍擴大。經產省提出具體建議如下:

1.促進各專門組織間之資訊共享:藉由專門組織間的資訊共享,及早採取適當因應措施,避免損害持續擴大,並降低受害成本。所謂專門組織包含資安廠商、資安監控中心(Security Operation Center, SOC)營運商、防毒廠商,與依法令成立從事資安事件諮詢與分析之非營利組織,例如:一般社團法人日本電腦網路危機處理暨協調中心(一般社団法人JPCERTコーディネーションセンター),以及一般財團法人日本網路犯罪對策中心(一般財団法人日本サイバー犯罪対策センター)等。

2.共享無從識別受害組織之資訊:為加快資訊共享,經產省建議將資料去識別化至無從識別受害組織之程度,即可不經受害組織同意而共享資訊。

3.提出《攻擊技術資訊處理與活用指引草案》(攻撃技術情報の取扱い・活用手引き(案)):為提升專門組織共享資訊成效,經產省於指引中彙整受害組織資料去識別化作法,以及各專門組織間共享攻擊技術資訊之具體策略。

4.於保密協議中加入免責條款:經產省建議於受害組織與專門組織簽訂之保密協議中,加入專門組織免責條款,使專門組織具有利用或揭露攻擊技術資訊裁量權,對於利用或揭露資訊,致生受害組織被識別等損害時,非因故意或重大過失不須負擔法律責任,以利推動資訊共享。

相關連結
你可能會想參加
※ 日本經產省發布《促進資安攻擊受害資訊共享檢討會最終報告書》,以加速資安情資共享, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9118&no=55&tp=1 (最後瀏覽日:2026/07/05)
引註此篇文章
你可能還會想看
英國Royal Free國家健康服務基金信託與Google DeepMind間的資料分享協議違反英國資料保護法

  英國資訊委員辦公室(Information Commissioner’s Office, ICO)於2017年7月公告Royal Free國家健康服務基金信託(Royal Free London NHS Foundation Trust)與Google人工智慧研究室DeepMind之間的資料分享協議,違反資料保護法(Data Protection Act)。   該協議之目的在使DeepMind利用Royal Free所提供的醫療資料,開發一款名為Streams的應用程式,透過人工智慧系統分析得知病患惡化之情況,並以手機警示方式通知臨床醫生。由於涉及病患的可識別個人資料且人數多達160萬人,協議的合法性,尤其在資料分享是否經病患同意方面,受到質疑。   Royal Free與DeepMind主張因應用程式是直接對病患進行醫療照護,具有病患默示同意(implied consent)之正當基礎,且資料經加密後才傳給DeepMind。惟經ICO調查結果如下: 就資料將被使用作為應用程式測試一事,病患未獲充分告知亦無合理期待; 雖執行隱私影響評估,惟僅於資料傳給DeepMind後才進行,無法發揮事前評估作用; 應用程式尚在測試階段,無法說明揭露160萬病患紀錄的必要性與手段合理性。   目前Royal Free已承諾改進以確保其行為合法性。ICO之認定突顯創新不應以「減損法律對基本隱私權保障」作為代價。

歐盟執委會發布聲明將協助全球紓困以對抗新冠病毒

  歐盟執委會(European Commission, EC)於2020年4月8日發布新聞稿,說明歐盟將制定紓困計劃,投入資金支援全球盟國對抗新冠肺炎。歐盟的行動將側重於解決急迫的衛生問題以及人道主義需求,加強盟國的健康、供水和公共衛生環境,及協助盟國發展對抗流行病的研究和準備能力,減輕疾病對國家經社之影響。   此次計劃立基於「Team Europe」,「Team Europe」是歐盟執委會因應疫情採取全球及跨境協調的紓困方案,強調整併來自歐盟、歐盟成員國及金融機構──特別是歐洲投資銀行(European Investment Bank, EIB)和歐洲復興開發銀行(European Bank for Reconstruction and Development, EBRD)──的資金,提供全球盟國立即而精準的援助,目前已投資超過156億歐元的資金。而在此次全球紓困中,歐盟短期面提供盟國資金,長期面則協助解決盟國因疫情引發的社會經濟問題。   本次紓困計畫區分為三大部分,分別為: 5.02億歐元用於應急行動(Emergency response actions):包括提供資金生產個人防護設備和醫療設備、降低各國出口障礙以確保供應鏈完整(特別是基本醫療用品和藥品的供應鏈)及支援聯合國和世衛的相關應對政策等; 28億歐元用於支援社會研究、衛生系統與供水系統:支援盟國建立反應快速的衛生和社會保護體系、對疫情嚴重國家進行疫苗配送與補貼、專家培訓和流行病學監測(epidemiological surveillance),並且強化非洲、拉丁美洲、加勒比海地區以及亞太地區的區域衛生組織發展。 122.8億歐元針對疫情後經濟和社會影響進行紓困:提供盟國直接預算和優惠資金、由歐洲投資銀行提供盟國公部門貸款(特別是醫療保健設備用品之貸款)以及透過國際貨幣基金組織(International Monetary Fund, IMF)對西巴爾幹地區及鄰國提供金融援助等。

德國聯邦內政部公布《資訊科技安全法草案》

美國科羅拉多州通過《人工智慧消費者保護法》

2024年5月17日,科羅拉多州州長簽署了《人工智慧消費者保護法》(Consumer Protections for Artificial Intelligence Act,Colorado AI Act,下簡稱本法),其內容將增訂於《科羅拉多州修訂法規》(Colorado Revised Statutes,簡稱CRS)第6篇第17部分,是美國第一部廣泛對AI規範的法律,將於2026年2月1日生效。 本法旨在解決「高風險人工智慧系統」的演算法歧視(Algorithmic Discrimination)的問題 ,避免消費者權益因為演算法之偏見而受到歧視。是以,本法將高風險AI系統(High-risk Artificial Intelligence System)定義為「部署後作出關鍵決策(Consequential Decision)或在關鍵決策中起到重要作用的任何AI系統」。 而後,本法藉由要求AI系統開發者(Developers)與部署者(Deployers)遵守「透明度原則」與「禁止歧視原則」,來保護消費者免受演算法歧視。規定如下: (一)系統透明度: 1.開發者應向部署者或其他開發者提供該系統訓練所使用的資料、系統限制、預期用途、測試演算法歧視之文件以及其他風險評估文件。 2.部署者應向消費者揭露高風險人工智慧系統的預期用途,也應在高風險人工智慧系統做出決策之前向消費者提供聲明,聲明內容應該包含部署者之聯絡方式、該系統的基本介紹、部署者如何管理該系統可預見之風險等資訊。 (二)禁止歧視: 1.開發者應實施降低演算法歧視之措施,並應協助部署者理解高風險人工智慧系統。此外,開發者也應該持續測試與分析高風險人工智慧系統可能產生之演算法歧視風險。若開發者有意修改該系統,應將更新後的系統資訊更新於開發者網站,並須同步提供給部署者。 2.部署者應該實施風險管理計畫,該風險管理計畫應包含部署者用於識別、紀錄降低演算法歧視風險之措施與負責人員,且風險管理計畫應定期更新。在制定風險管理計畫時,必須參考美國商務部國家標準暨技術研究院(National Institute of Standards and Technology, NIST)的《人工智慧風險管理框架》(AI Risk Management Framework, AI RMF 2.0)與ISO/IEC 42001等風險管理文件。 美國普遍認為科羅拉多州的《人工智慧消費者保護法》為目前針對人工智慧系統最全面之監管法規,可作為其他州有關人工智慧法規的立法參考,美國各州立法情況與作法值得持續關注。

TOP