日本發布關鍵基礎設施資訊安全對策第4次行動計畫
為了持續維持日本國內以及與東京奧運舉辦相關的關鍵基礎設施服務的安全性,日本內閣網路中心於2017年4月19日公布關鍵基礎設施資訊安全對策第4次行動計畫。
在第4次行動計畫,關鍵基礎設施防護目的主要是以關鍵基礎設施的功能保證為考量,盡量減少關鍵基礎設施IT故障的發生,並提升從事故中恢復的速度。因此,第4次行動計畫除持續檢討並改善第3次行動計畫原有政策外,較重要的變革為OT(Operation Technology)的重視與風險對應機制整備。在安全基準整備與落實情況方面,要求關鍵基礎設施產業須將OT的觀點融入人才培育。在資訊分享制度方面,分享的資訊範圍應包含IT、OT與IoT的資訊,並排除資訊分享的障礙。而在風險管理部分,日本從功能保證的觀點出發,新增風險情況對應準備的要求,包含事業持續計畫的提出與緊急應變措施的制定等。而在防護基礎強化上,該行動計畫認為關鍵基礎設施產業的IT、OT人員及法務部門必須依其內部資訊安全策略共同為關鍵基礎設施安全而跨組織合作。
另外,第4次行動計畫變更電力領域關鍵基礎設施的重要系統,從原有的運轉監視系統變更為智慧電表,以及新增化學、信用卡與石油三大關鍵基礎設施領域的業者、關鍵系統與因IT故障對關鍵基礎設施可能造成的危害影響。
蔡淑蘭
法律研究員 編譯整理
重要インフラの情報セキュリティ対策に係る 第4次行動計画,内閣サイバーセキュリティセンター,https://www.nisc.go.jp/active/infra/pdf/infra_rt4.pdf(最後瀏覽日:2017/05/02)。
「重要インフラの情報セキュリティ対策に係る第4次行動計画(案)」に関する意見の募集について(終了しました),内閣サイバーセキュリティセンター,https://www.nisc.go.jp/active/infra/pubcom_ap4.html(最後瀏覽日:2017/05/02)。
近來常聽聞各國以公私夥伴關係(Public-Private Partnership, PPP)之模式發展產業科技,PPP故名思義,係指結合公私部門之力量,以共同達成公共政策目標之合作模式。公部門可借重私部門的專業、經驗與品質,使其服務更有效率,私部門也可得到政府與政策之支持。 如今科技進步程度往往可代表ㄧ國之競爭力,惟科技研發需投入大量成本,因此各國多有針對科研補助之相關政策,從早年的單方補助,到如今強調公私合作進行科研的PPP模式。各國亦提出各種產官學合作研發的模式或組合之立法或相關政策。例如成立獨立非營利法人讓各項研發活動進行更方便、研究設施設備共享更容易的日本「技術研究組合」、芬蘭之SHOKs。荷蘭近來亦大力推行PPP研發之策略。德國之高科技領先戰略計畫( Spitzencluster-Wettbewerb)亦以區域聚落(該區域聚落即包含產業界、大學及其他相關學術機構)為單位,藉競爭給予補助的方式,促成該地區產官之緊密合作。
新加坡通過第一個個人資料保護法制新加坡於2012年10月15日通過該國第一個消費者個人資料保護法案,該法案主要規範私人機關蒐集、利用以及揭露個人資料之行為,將於2013年1月正式施行。 該法案亦成立新加坡個人資料保護委員會(Personal Data Protection Commission, 以下簡稱PDPC),並成立拒絕來電登記處(Do-Not-Call Registry),該處由PDPC進行維運。PDPC將是新加坡主要掌管個人資料保護的主管機關,而且也負責推動個人資料保護法案以及被賦予增進新加坡人民個人資料保護認知之任務。 於該法案之規劃中,資料當事人可以在拒絕來電登記處註冊其位置在新加坡之電話號碼,以防止私人機關為了商業行銷之理由而進行電話行銷。假設資料當事人已完成相關登記卻持續收到行銷電話時,可以向PDPC進行申訴。 除此之外,私人機關於蒐集、儲存個人資料前,必須尋求消費者之同意,而且必須通知當事人資料蒐集之目的。私人機關於傳輸個人資料至新加坡境外時,也必須確保以提供相對安全的個人資料保護作法,例如透過契約或者協議之簽訂等。 違反個人資料保護法規之公司,每一個違反事件可能被科以最高美金820,000元之罰鍰,對於每一個消費者最高可能必須負上美金8200元之賠償責任。法律施行後,企業被賦予18個月的法規遵循準備期間,而停止打來登記處預計將於2014年年中設置完成。
英國Royal Free國家健康服務基金信託與Google DeepMind間的資料分享協議違反英國資料保護法英國資訊委員辦公室(Information Commissioner’s Office, ICO)於2017年7月公告Royal Free國家健康服務基金信託(Royal Free London NHS Foundation Trust)與Google人工智慧研究室DeepMind之間的資料分享協議,違反資料保護法(Data Protection Act)。 該協議之目的在使DeepMind利用Royal Free所提供的醫療資料,開發一款名為Streams的應用程式,透過人工智慧系統分析得知病患惡化之情況,並以手機警示方式通知臨床醫生。由於涉及病患的可識別個人資料且人數多達160萬人,協議的合法性,尤其在資料分享是否經病患同意方面,受到質疑。 Royal Free與DeepMind主張因應用程式是直接對病患進行醫療照護,具有病患默示同意(implied consent)之正當基礎,且資料經加密後才傳給DeepMind。惟經ICO調查結果如下: 就資料將被使用作為應用程式測試一事,病患未獲充分告知亦無合理期待; 雖執行隱私影響評估,惟僅於資料傳給DeepMind後才進行,無法發揮事前評估作用; 應用程式尚在測試階段,無法說明揭露160萬病患紀錄的必要性與手段合理性。 目前Royal Free已承諾改進以確保其行為合法性。ICO之認定突顯創新不應以「減損法律對基本隱私權保障」作為代價。
日本與歐盟達成GDPR適足性認定之合意,預定於今年秋天完成相關程序日本個人情報保護委員會於5月31日與歐盟執行委員會,對於取得之個人資料跨境傳輸相互承認達成實質合意。歐盟今年5月施行之歐盟個人資料保護規則(European Union General Data Protection Regulation,GDPR)對於個人資料之跨境傳輸係採「原則禁止、例外允許」模式,因此只有在符合例外之情形下,個人資料才能進行跨境傳輸,而例外獲得許可的情形包括由企業自主採行符合規範的適當保護措施,或取得個資當事人明確同意等方式。此外,GDPR也規定對第三國或地區個人資料保護水平是否達到GDPR標準,為適足性認定制度,取得此一認定資格者,即可自由與歐盟間進行個人資料跨境傳輸。目前有瑞士等11個國家及地區取得認定,日本則尚未取得。 日本為了減輕企業的負擔,2016年7月個人情報委員會決定處理方針,以取得相互認定承認為目標;於2017年1月歐盟執行委員會政策文書發表,將日本列為適足性認定之優先國家,將持續進行雙方後續對話。自2016年4月自2018年5月為止累計對話協商53次。於2017年5月施行修正之個人資料保護法,新導入域外適用規定,並對於國外執行當局為必要資訊提供為相關規定。依據上述對話意見,今年2月14日審議擬定「個人資料保護法指引-歐盟適足性認定之個人資料傳輸處理編(個人情報の保護に関する法律についてのガイドラインーEU域内から十分性認定により移転を受けた個人データの取扱い編)」草案,於今年4月25日至5月25日完成草案預告及意見徵集程序,預定於今年7月上旬訂定發布。其後,將於今年秋天完成歐盟與日本間相互指定與認定程序。亦即,個人情報保護委員會基於個人資料保護法第24條規定,指定歐洲經濟區(EEA)為與日本有同等水準之個人資料保護制度之外國,而歐盟執行委員會依據GDPR第45條規定,認定日本為具備適足保護水準。相互認定後,日本與歐盟間得相互為個人資料傳輸,如有相互協力必要性發生時,個人情報保護委員會及歐洲執行委員會應相互協議以為解決。