日本發布《IoT產品資安符合性評鑑制度建構方針》順應國際IoT產品資安政策趨勢
日本經濟產業省於2024年8月23日發布《IoT產品資安符合性評鑑制度建構方針》(IoT製品に対するセキュリティ適合性評価制度構築方針),以順應國際IoT產品資安政策趨勢,因應日益嚴重的資安威脅。
本制度為自願性認證制度,由情報處理推進機構(情報処理推進機構,簡稱IPA)擔任認證機構進行監督。以IoT產品為適用對象,制定共通因應資安威脅之最低標準,再依不同產品特性需求,制定不同符合性評鑑等級,依評鑑結果進行認證,授予認證標章。不同評鑑等級差異如下:
1.等級一:為共通因應資安威脅之最低標準,可由供應商進行自我評鑑,並以評鑑結果檢查清單申請認證標章,IPA僅會針對檢查清單進行形式確認。
2.等級二:係考量產品特性後,以等級一為基礎,制定應加強之標準,與等級一相同係由供應商評鑑,自我聲明符合標準,IPA僅會針對檢查清單進行形式確認。
3.等級三:係以政府機關或關鍵基礎設施業者為主要適用對象,須經過獨立第三方機構評鑑,並以IPA為認證機構進行認證,確保產品值得信賴。
本制度可協助採購者及使用者依資安需求,選用合適的IoT產品,亦有助於日本與國際IoT產品資安符合性評鑑制度進行協作,達成相互承認,減輕IoT產品供應商輸出海外之負擔。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
鄭岱宜
法律研究員 編譯整理
〈IoT製品に対するセキュリティ適合性評価制度構築方針〉,経済産業省,https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/20240823.html(最後瀏覽日期:2024/10/14)。
〈IoT製品に対するセキュリティ要件適合評価・ラベリング制度を開始します〉,独立行政法人情報処理推進機構,https://www.ipa.go.jp/pressrelease/2024/press20240930.html(最後瀏覽日期:2024/10/14)。
周晨蕙,〈日本立法保護及促進重要經濟安全資訊之利用〉,科技法律研究所,2024/08,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=9233(最後瀏覽日︰2024/10/14)。
科技為民眾帶來溝通的便利性,卻因不夠人性化,常使身心障礙人士無法享受無遠弗屆的服務。因此,為了使身障者易於與他人溝通,FCC推動電信轉接服務( (Interstate Telecommunications Relay Service),讓通訊科技更易於使用。藉由電話中繼服務基金(Interstate Telecommunications Relay Service Fund)的支持,提供文字電話轉接(Text Telephone) 、語音轉語音(Speech-to-Speech)、電話字幕服務(Captioned Telephone Service)、視訊轉接服務(VideoRelay Service)與網路轉接字幕電話服務( Internet Protocol Captioned Telephone Service,下述簡稱IPCTS),協助聽障、語言障礙民眾得以享有電信服務。 但是,近幾個月來,FCC發現電信商要求IPCTS的補助與日俱增,從2012年6月起,每個月成長約11%,且導致10月時面臨請求總支出超過預算4百萬美元之危機。為了解決電話中繼服務基金(Interstate Telecommunications Relay Service Fund)面臨嚴重資金不足的威脅,FCC在2013年01月25日公佈FCC 13-13法規制定建議通知(Notice of Proposed Rulemaking),希望藉由下述規定,短暫性解決民眾過度、不當取得服務之問題: 1.禁止推薦獎勵計畫:禁止業者給予獎勵、回報的方式,鼓勵民眾使用網路轉接字幕電話服務。 2.供應商提供IPCTS服務,需符合三要件,方可取得補助: ‧ 每位使用者均需登記方能取得服務。 ‧ 供應商需取得用戶自我認證,才能完成註冊程序。 ‧ 使用者並非使用從政府計畫中取得IPCTS設備,而其設備卻低於75美元時,供應商需從使用者取得公正第三方證明。 3.供應商提供設備與軟體,必須於每通電話完成後,可以自動關閉。亦即消費者每次使用時,均需經過開啟的步驟,以保護隱私。 在FCC適度處理IPCTS不當使用後,可以預見電話中繼服務基金更能發揮所需,此舉不僅使科技更貼近於大眾、減少溝通障礙外,更可落實普世價值,使美國社會福利更加完善。
什麼是「日本Connected Industries」?Connected Industries為日本產業的未來願景,透過人、機器與科技的跨界連接,創造出全新附加價值的產業社會,以達到Society5.0理想目標。例如,物與物的連接形成物聯網(IoT)、人與機器合作拓展智慧與創新、跨國企業合作解決全球議題、跨世代的人與人連繫傳承智慧與技術、生產者與消費者接觸解決商業與社會問題等。 隨著第四次產業革命到來,IoT、大數據及 AI人工製會等技術革新,日本藉由高科技、技術人才及應變能力等優勢與數據技術相結合,目標是邁向以人類為中心、解決問題的新產業社會。Connected Industries的三大支柱分別為: 一、新數據社會(New Digital Society) 消除人與機械系統的對立,實現全新的數位化社會。解決新興科學技術如AI及機器人運用上的困難,並積極活用該技術幫助並強化人類解決問題的能力。 二、多層次合作(Multilevel Cooperation) 區域、世界及全球未來面臨複雜的挑戰,必須透過企業間、產業間及國與國間的連繫合作解決課題。 三、人力資源發展(Human Resource Development) 以人類為中心做思考,積極推展數據技術的人才養成,邁向智慧與技術的數據化時代。
日本「個人編號(マイナンバー)」制度遭受違憲的質疑日本政府基於(1)行政的效率化(2)提升國民便利性及(3)實現公平、公正的社會等目的,於2015年10月以後開始分發記載國民姓名、住址、性別、個人編號等相關資訊的「通知卡(通知カード)」,日本民眾藉著通知卡至各地相關單位申辦正式「個人編號卡(マイナンバーカード)」,並於2016年01月正式開始實行。 然而此項制度在施行之初即爭議不斷,住在東京、大阪等地的156名居民於2015年12月01日向東京、仙台、新潟、金澤、大阪共五個地方法院提起民事訴訟,請求日本政府停止蒐集、利用並且刪除個人編號,同時要求給予每人十萬日圓的損害賠償。原告訴狀以日本年金機構受到網路攻擊而有125萬件個人資料流出為例,認為現今關於個人編號制度的行政機關及民間企業的安全防護對策並不充分,主張有極高洩漏「關於稅務及社會福利個人資料的危險性」,同時主張個人編號制度並未取得本人同意即蒐集個人資訊,侵害憲法第13條保障的「控制自我資訊的權利」,亦即隱私權及人格權。 2003年開始正式啟動的 「住民基本台帳網路系統(住民基本台帳ネットワーク)」先前也被提起類似訴訟,惟最高法院認定「制度或系統尚未不備、並沒有侵害隱私權」而認定合憲。本案原告律師團則認為住民基本台帳網路系統僅有行政機關接觸到個人資料,而個人編號制度則連民間企業都能接觸到個人資料,因此原告律師團的水永誠二律師即表示:「個人編號制度和住民基本台帳網路系統相比規模更大。就算住民基本台帳網路系統被認定合憲,也不構成個人編號制度合憲的理由。」 儘管本件訴訟的勝訴效力僅及於當事人,不會立刻決定個人編號制度存廢。惟若能動搖該制度適用於所有擁有住民票的人的前提,則日本政府將被迫重新檢討個人編號制度,本訴訟的後續發展值得繼續觀察。