IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
デジタルサービス法(Digital Services Act)への対応支援
2023-01-23
デジタルサービス法(DSA:Digital Services Act)が欧州評議会において2022年10月に採択され、2024年2月に全面施行されることとなりました。DSAはEUのデジタル戦略の一環として適用される新しい法令です。PwCは、クライアント企業のデジタルサービスの類型および要件の特定から、対応方針の策定、対応策のデジタルサービスへの導入まで、幅広い支援を提供します。
DSAの目的:デジタルスペースにおける基本権の保護
2022年10月に欧州評議会で採択されたDSAは、デジタル市場法(DMA:Digital Markets Act)とともに、“A Europe fit for the Digital Age”として知られるEUのデジタル戦略の一環として適用される新しい法令です。2018年に施行された欧州一般データ保護規則(GDPR)が、オンライン・オフラインを問わず基本権の個人情報の保護を目的としている一方で、DSAはオンラインの基本権全体の保護を目的としています。具体的には「オフラインで違法なものはオンラインでも違法であるべき」という原則に従い、これまでにないデジタル世界の急速な変化に追随し、違法コンテンツの拡散からデジタル空間を保護し、ユーザの基本的権利の保護を確保することや、安全でオープンなデジタルスペースをEU全体に築くことを目的としています※1。
図表1:DSAの目的※2
一般市民向け(For citizens)
- 基本的権利のより良い保護
(Better protection of fundamental rights) - より多くの選択肢、低価格
(More choice, lower prices) - 違法コンテンツへの露出が少ない
(Less exposure to illegal content)
サービス提供者向け(For providers)
- 確実な法令順守、ルールとの調和
(Legal certainty, harmonization of rules) - 欧州でのスタートアップとスケールアップが容易
(Easier to start-up and scale-up in Europe)
ビジネス利用者向け(For business users)
- より多くの選択肢、低価格
(More choice, lower prices) - プラットフォームを通じて EU 全体の市場にアクセス
(Access to EU-wide markets through platforms) - 違法コンテンツの提供者に対する公正な競争の場
(Level-playing field against providers of illegal content)
社会向け(For society)
- 体系的なプラットフォームに対するより民主的な管理と監視
(Greater democratic control and oversight over systemic platforms) - 操作や偽情報などのシステミック リスクの軽減
(Mitigation of systemic risks, such as manipulation or disinformation)
DSAの対象:EU域内のユーザへ提供されているデジタルサービス
DSAは、欧州に居住しているユーザ向けのデジタルサービスを提供している全てのオンライン仲介業者に適用されます。また、デジタルサービスの性質や総ユーザ数に応じて、サービスの種別や課される要件が決まり、その範囲はウェブサイト、インターネットインフラストラクチャ、オンラインプラットフォームなど幅広いものとなっています※3。
図表2:DSAの対象事業者※2
仲介サービス
ネットワークインフラストラクチャ(インターネットアクセスプロバイダー、ドメインネーム登録機関)。以下の事業者(ホスティングサービス、オンライン・プラットフォーム、超大規模オンライン・プラットフォーム)も含まれる。
ホスティングサービス
クラウドやウェブホスティングサービス。以下の事業者(オンライン・プラットフォーム、超大規模オンライン・プラットフォーム)も含まれる。
オンライン・プラットフォーム
売り手と消費者を結び付けるサービス。オンラインマーケットプレイス、アプリストア、共同経済プラットフォーム、ソーシャルメディアプラットフォームなど。
超大規模オンライン・プラットフォーム
違法なコンテンツの流布や社会的被害という特定のリスクをもたらす。欧州の4億5,000万人の消費者の10%以上にリーチするプラットフォームについては、特定の規則が課される。
DSAの要件:「利用者保護」「利用規約」「コンテンツ等対応」「オンライン広告」「説明責任・透明性等」
要件
DSAで課される要件は「利用者保護」「利用規約」「コンテンツ等対応」「オンライン広告」「説明責任・透明性等」の5つのカテゴリに分類することができます(図表3参照)。オンラインプラットフォームにはより多くの要件が課され、特に超大規模オンラインプラットフォームに対してはユーザへのきめ細かな配慮や、欧州委員会による独占的監督権限や罰金など、より厳格な要件が課されることになります※2。
図表3:DSAで課される要件と企業に求められる対応
未成年者の保護
ユーザー向けの連絡窓口の設置、ユーザーが損害賠償を求める権利、ダークパターン等の禁止、未成年者の保護、サードパーティーサプライヤーの確認、違法サービスの通知等
オンライン広告
ユーザーへ表示される広告の透明性、ターゲティング広告の説明・同意取得、センシティブ情報を用いたプロファイリング、未成年者に対するプロファイリングに基づく広告の禁止等
利用規約の作成
ユーザーフレンドリー(未成年者でも理解可能、アクセスしやすい、機械可読な形式等)な利用規約の作成、基本権の保護と自由の行使を確保等
説明責任・透明性およびその他に関する義務
月間平均アクティブユーザー数(MAU)の公表、違法コンテンツの通知件数・内訳、当局からの命令件数・内訳、オンライン広告・アクセシビリティの行動規範の作成
コンテンツ等対応
苦情処理システムの整備、レコメンダーシステムのパラメータの明示、刑事犯罪の疑いの当局への通知・情報提供、デジタルサービス調整官(DSC)による信頼された旗手の付与等
サービス内容
PwCは、仲介サービス、ホスティングサービス、オンラインプラットフォーム、オンライン検索エンジンといった幅広いデジタルサービス業者に対して、サービスの洗い出しから、Gapアセスメント、DSA対策の洗い出し、DSA対策の実装まで支援します。また、GDPRと類似した要件(データ主体の権利対応、通知・同意、データ保護影響評価<DPIA>)については、既存GDPR対策を踏まえてDSA対策を策定し、必要に応じて既存GDPR対策を見直すことに貢献します。
※1 European Council, “Digital Services Act: Council and European Parliament provisional agreement for making the internet a safer space for European citizens”.
https://www.consilium.europa.eu/en/press/press-releases/2022/04/23/digital-services-act-council-and-european-parliament-reach-deal-on-a-safer-online-space/,(参照2022年12月1日)
※2 European Commission. “The Digital Services Act: ensuring a safe and accountable online environment”.
https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/digital-services-act-ensuring-safe-and-accountable-online-environment_en, (参照2022年12月1日)
※3 European Commission. “The Digital Services Act package”.
https://digital-strategy.ec.europa.eu/en/policies/digital-services-act-package, (参照2022年12月1日)
サイバーセキュリティ・プライバシー法規制のトレンドと企業に求められる対応
20 results
Loading...
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
望ましいサイバーセキュリティの未来(銀行業界編)
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
Loading...
インサイト/ニュース
20 results
Loading...
米国の船舶および港湾のサイバーセキュリティ法規制最新動向
グローバルでは近年、船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。
事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
望ましいサイバーセキュリティの未来(銀行業界編)
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
サイバーセキュリティ分野におけるセキュリティ・クリアランス制度の諸外国の活用動向調査
日本では経済安全保障分野におけるセキュリティ・クリアランス制度の運用開始に向け、具体的な運用に関する政令などの制定に向けた準備が進行中です。諸外国のセキュリティ・クリアランスに関わる組織運営の事例を踏まえ、国内組織で想定される準備策や留意点をまとめました。
Loading...
