IT企業の皆さまをサポートすることを目標とし、IT関連法やビジネス関連法に関するレポートを定期的にお送りしています。
取り上げるトピックは、ITやビジネスに関連する事項とし、必ずしも法律だけには限りません。
※IT法レポートの配信(無料)はこちらから
1 2023年11月・12月の概要
2 レポート(サイバー攻撃情報の共有とNDA)
3 IT関連法、スタートアップビジネス関連法の施行・施行予定
4 2023年11月・12月の裁判、事件、行政対応
5 トピック
2023年11月、12月には重要な情報関連の法律の改正はありませんでした。
個別分野については、セキュリティ関連では、「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書案が出ています。サイバー攻撃は、大量に同じ形式の攻撃がなされることも多く、被害情報の共有が新たなインシデントの発生防止に有用でしたが、NDA等によって情報共有が妨げられることがありました。今回の最終報告書案ではNDAにサイバー攻撃があった場合の例外規定を入れることによって対応することを推奨しています。
データ関連では、個情委で、個情法の3年ごとの見直しに向けて、事業者等へのヒアリングが実施されているほか、個人データの越境移転についての実態調査や内部管理体制の整備に関する事例集が公開されています。
AI関連では、10月末にG7で国際指針及び行動規範が採択されたことを受けて、日本国内でもガイドラインの検討が進んでおり、12月20日、AI戦略会議からAI事業者ガイドラインの案が示されています。
経産省は、サイバーアタックに対する被害組織の情報共有について検討していましたが、2023年11月、最終報告書(案)や「攻撃技術情報の取扱い・活用手引き(案)」、秘密保持契約に盛り込むべき条文案などを公開しています(経産省ウェブサイト)。
サイバーアタックに係る情報(以下、「攻撃情報」といいます。)の共有は、サイバーアタックの全体像を解明し、被害の拡大を防止するために重要である一方で、被害組織が攻撃情報を共有する明確なメリットが見えにくいことも指摘されていました。
この点について、検討会では、攻撃情報の共有を行うためには、①秘密保持契約による情報共有への制約、②非秘密情報からの被害組織の特定/推測の可能性が課題となっているとしました。そして、①秘密保持義務については、共有が可能となる条項案を示し、また、②特定の問題については、被害組織が推測可能な情報を非特定化加工した情報を対象とするとして、一定の解決策を示しています。
報告書は、基本的にはセキュリティに関する専門組織(SOC事業者やアンチウィルスベンダー等)を念頭に置いていますが、ファーストレスポンダーとして、インシデント発生の初期に対応を求められる組織も対象とされています。SaaS事業者等、継続的にサービスを提供している事業者は、ユーザーにインシデントが生じた場合にファーストレスポンダーとなる可能性が高く、その場合、攻撃情報の共有を行う必要が出てくることとなるものと思われます。
したがって、SaaS事業者等も、秘密保持条項の提案について、サービス規約等に取り込むことを検討してもよいと思います。
なお、インシデント情報の共有については、既にNISCにおいて検討が行われており、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」が発表されています。本検討会はその際に残った課題を解決するものと位置づけられます。
NISC「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」
今月は特に変更がありませんでした。
IT関連法、スタートアップビジネス関連法の施行・施行予定については、こちら。
取り上げるべき裁判例はありませんでした。
取り上げるべき事例はありませんでした。
セキュリティ分野では、レポートでも取り上げた経産省「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書案が発表されています。
また、インシデント関係では、官公庁がBooking.com利用者へのフィッシング被害に関する注意喚起を行っているほか、LINEヤフーから、不正アクセスによる情報漏えいについて発表がなされています。LINEヤフーのケースは、ヤフーの委託先企業の従業者が所持する PC がマルウェアに感染したことが契機となったとの発表がなされています。ヤフーは情報セキュリティに対して多額の投資を行っているものと思われますが、それでも委託先の管理、特に委託先社員の管理は困難であったことを示しています。委託先社員に対するセキュリティ上の対応策については、偽装請負との関係や優越的地位の濫用の問題があり、どこまでできるのかは議論の余地があるところではありますが、避けて通れない問題であるといえます。
セキュリティに関するガイドライン、法案の審議状況についてはこちら。
データ分野では、個情委が、「個人データの取扱いに関する責任者・責任部署の設置に関する事例集」を公開しています。
また、個人情報データベース等不正提供等罪による検挙が相次いでいることから、個情委は、「個人情報データベース等不正提供等罪の適用事例等を踏まえた安全管理措置及び漏えい等の報告に関する留意点に関する注意喚起について」を公開しています。
さらに、GDPR等海外法令との関係でも、「民間企業における個人データの越境移転、海外法規制対応に関する実態調査」や、GDPR に基づく個人データ侵害通知に関するガイドラインの和訳が公開されています。
越境移転の実態調査では、日本から外国への移転の法的根拠や、外国から日本への移転の法的根拠についても示されています。日本から外国への移転の法的根拠は、①基準適合体制、②本人の同意、③同等水準の制度国の3つがありますが、それぞれほぼ同数となっていました。自社の決定をするにあたって他社の動向を検討するには格好の資料となっています。
データに関するガイドライン、法案の審議状況についてはこちら。
AI関連については、2023年10月末に「高度なAIシステムを開発する組織向けの広島プロセス国際指針」「高度なAIシステムを開発する組織向けの広島プロセス国際行動規範」が公開されたことを受けて、新AIガイドラインの策定に向けて動きが出ています。AI戦略会議では、AI 事業者ガイドライン案が公開されているほか、知財戦略本部でも知財との関係で論点整理案が示されています。
また、AIシステムの開発について、セキュリティの観点から国際的なガイドライン(「セキュアなAIシステム開発のためのガイドライン」)が作成されており、日本でもNISCが署名しています。
AIに関する各省庁の取り組み、国際的な動向についてはこちら。
知的財産権に関するガイドライン、法案の審議状況についてはこちら。
その他情報関連のガイドライン、法案の審議状況についてはこちら。
スタートアップビジネスに関連するガイドライン、法案の審議状況についてはこちら。
(弁護士 安藤 広人)