
中国「個人情報保護コンプライアンス監査管理弁法」の概説 個人情報保護コンプライアンス監査で注意すべき点
2025年5月1日に施行された中国の「個人情報保護コンプライアンス監査管理弁法」およびその別紙「個人情報保護コンプライアンス監査ガイドライン」について解説します。
米国立標準研究所(NIST)によって定められたセキュリティガイドライン「NIST SP800-171」は、さまざまな国において準拠することが求められつつあります。このガイドラインに準拠するにあたっては、セキュリティをビジネスリスクの1つとして捉え、計画を立て、対応することが重要です。そして現状と同ガイドラインの要求事項との差を明確にし、リスクを可視化した上で対応方針や対応計画を策定し、実行することが求められます。PwCではNIST SP800-171準拠のアセスメントから対応方針・対応計画の策定、実行までを一貫して支援します。
NIST SP800-171は米国立標準研究所によってセキュリティ基準が定められたガイドラインです。サプライチェーンを通じての情報漏洩を防ぐことを目的に、委託先に求めるセキュリティ対策がまとめられています。
2016年、米国において米国防衛省と取引をする全ての企業は、NIST SP800-171に準拠したITシステムを整備することが義務付けられました。NIST SP800-171への準拠は、米国政府だけの取り組みにとどまらず、他の主要国も追随し始めています。
日本の防衛省も2019年に、調達基準をNIST SP800-171と同等にすることを決定しました。また政府は2023年、中央省庁や独立行政法人の業務委託先となる企業に対し、今後NIST SP800-171に沿ったセキュリティ対策を義務付ける方針であることを明らかにしました。今後、日本の重要インフラ産業や他産業での調達要件として、NIST SP800-171への準拠が標準となる可能性があります。
NIST SP800-171は、CUI(Controlled Unclassified Information)を扱う組織・業務・システムに対して、セキュリティ要件を満たすことを求めています。しかしながら、CUIについては各民間企業で定義する必要があり、またCUI自体の考え方が難しく、CI(Classified Information)との違いが分かりづらいことから、NIST SP800-171への準拠対応を複雑にしています。そのため、米国立公文書記録管理局が管理している「CUIレジストリ情報」などを参考に、保護すべき情報を定義し、アセスメント対象となる会社を選定することが重要となります。
PwCでは、クライアントの現時点での対策状況と、NIST SP800-171のセキュリティ要件を比較することでその差を明確にし、リスクを可視化します。また、アセスメントの結果を基に、対応方針や各施策の優先度を整理し、実施に向けたスケジュールを策定します。
計画を立案するだけでなく、NIST SP800-171の準拠に向けた実行支援も提供可能で、対応方針に基づいてルールの策定や体制の構築、技術施策の具体化をサポートします。
また、対応計画に沿って各関連部門(調達、人事など)への展開や、次年度の対応計画立案、予算の策定なども支援します。
2025年5月1日に施行された中国の「個人情報保護コンプライアンス監査管理弁法」およびその別紙「個人情報保護コンプライアンス監査ガイドライン」について解説します。
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
2023年1月から2025年1月までの2年間にサイバー攻撃に悪用された脆弱性について、仮説をもとに一定の傾向が存在しないか分析した結果について解説します。