ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

中国「サイバーセキュリティ審査規則」改訂パブコメ草案公開、重要な変更あり

2021/07/10、中国国家インターネット情報弁公室が「サイバーセキュリティ審査規則(网络安全审查办法)」の改訂草案を公開した。現行の同規則に対して重要な変更がされているようなので、WinMergeで比較してみた。

www.cac.gov.cn

以下、筆者が個人的にまとめただけなので、実務上の対応は当然ながら専門家への相談が必須。

f:id:todkm:20210710155951j:plain f:id:todkm:20210710160016j:plain f:id:todkm:20210710160026j:plain

まず第一条で、背景となる法律に2021年9月1日施行の「データセキュリティ法」が追加されている。(このブログを書いている時点では公布されたが未施行の状態)

次に第二条で規則の対象に重要な変更がある。

今までは「重要なインフラ施設運営者がネットワーク製品やサービスを購入する場合」が対象だったが、加えて「データ処理者がデータ処理活動を行う場合」が追加された。

これによって本法の規則対象が、何らかのデータ処理を行うすべての事業者へ一気に拡大されている。

第四条の監督機関に、証券監督管理委員会が追加されており、最近の中国政府による国外株式市場への上場取締りと明らかに関係していることが分かる。

第六条はまったく新たな条文として追加されており、「100万ユーザを超える個人情報を保有する運営者が、国外で上場する場合、必ずサイバーセキュリティ審査弁公室に申告し、サイバーセキュリティ審査を受けなければならない」とある。

やはり最近の中国当局による国外株式市場への上場取締りと明らかに連動している。

この第六条が追加されたため、以下、条文の番号が一つずつずれている。

第七条のサイバーセキュリティ審査を受ける際の提出資料として、(三)に「提出予定のIPO資料」が追加。これも国外上場に関連する規制。

第十条のサイバーセキュリティ審査で、国家安全リスクに対するリスク評価で重点的に評価される点として「データ処理活動および国外上場」が追加。

同(一)から、重要データの窃取、漏えい、毀損リスクがリスク評価対象から削除されているが、その代わりに以下の項目が追加されている。

同(五)で、重要データや個人情報の窃取、漏えい、毀損、違法利用、国外に移転されるリスクが評価項目として追加。

同(六)で、国外上場後の重要な情報インフラ施設、重要データ、大量の個人情報が、外国政府の影響、コントロール、悪意の利用を受けるリスクが評価項目として追加された。

このあたりは「データセキュリティ法」や草案審議中の「個人情報保護法」に書かれている国外移転リスクが盛り込まれたと思われる。

同(七)では、リスク評価の対象となる損害の可能性として、「国家安全」の文言が「国家データの安全」に変更されている。これは「データセキュリティ法」が反映されたものだろう。

十三条では、セキュリティ審査時に聴取する部門から、「重要情報インフラ施設の保守作業部門」が削除されている。これはあまり重要性はなさそう。

第十四条では、サイバーセキュリティ特別審査手続きの完了期限として、45営業日が3か月に緩和されている。

第十六条では、サイバーセキュリティ審査機関が審査を実施する場合として、これまでは国家の安全に影響あるいは影響する可能性のある事項に「ネットワーク製品とサービス」のみが書かれていたが、「データ処理活動および国外での上場行為」が追加された。

この点にも、国外上場規制と、データセキュリティ法が反映されている。

第二十条では依拠する法律としてデータセキュリティ法が追加。

第二十一条では、この法律の「ネットワーク製品とサービス」の定義として、今までは以下の項目があったがここに「重要な通信製品(重要通信产品)」が追加されている。

  • 重要なネットワーク設備
  • 高性能コンピュータとサーバー
  • 大容量ストレージ設備
  • ビッグデータとそのアプリケーション
  • ネットワークセキュリティ設備
  • クラウドコンピューティングサービス
  • その他重要な情報インフラ施設のセキュリティに重大な影響をもつネットワーク製品とサービス

なぜわざわざ「重要な通信製品」が追加されたのかはよく分からない。

以上、全体としてデータの越境に対する規制と国外上場規制の考え方が反映された改訂と言えそう。

2021/06/10公布の中華人民共和国データ安全法のつまみ食い

2021/06/10に中華人民共和国データ安全法(数据安全法)が公布されたが、純然たる個人的な見解では、国外のデータ処理活動にかかわる条文だけ見ておけばいい気がする。

施行は2021/09/01から。

权威发布_中国人大网

中华人民共和国数据安全法_中国人大网

第二条

中華人民共和国国内のデータ処理活動および安全管理の展開について、本法を適用する。 中華人民共和国国外のデータ処理活動の展開について、中華人民共和国の国家安全、公共の利益あるいは公民、組織の合法的な権益が棄損される場合、法に基づいて責任を追及する。

第二十五条

国家は国家の安全と利益の維持、国際的な義務の履行に関係する管理事項に属するデータにつき、法に基づいた輸出管理を実施する。

第二十六条

いかなる国家あるいは地区も、データとデータ開発利用技術等に関する投資、貿易等について、中華人民共和国に対する差別的な禁止、制限あるいはその他これに類する措置を採った場合、中華人民共和国は実際の状況に基づいて当該国家あるいは地区に対して対等な措置を採ることができる。

第三十一条

重要な情報基盤の運営者が、中華人民共和国国内での運営において収集し生産した重要なデータの輸出安全管理について、『中華人民共和国サイバーセキュリティ法』の規程を適用する;その他データ処理者が中華人民共和国国内での運営において収集し生産した重要なデータの輸出安全管理方法は、国家サイバースペース管理部門が国務院の関連部門とともに制定する。

第三十六条

中華人民共和国の主管機関は関連する法律と中華人民共和国が締結あるいは参加する国際条約、協定に基づき、あるいは平等互恵の原則に照らし、外国の司法あるいは法執行機関のデータ提供に関する請求を処理する。中華人民共和国の主管機関を経ずして、国外の組織、個人は外国の司法あるいは法執行機関に対して、中華人民共和国国内に保存されているデータを提供してはならない。

第四十六条

本法第三十一条の規定に違反し、国外に重要なデータを提供した場合、関連する主管部門は改善を命令し、警告を与え、ならびに十万元以上百万元以下の罰金を科すことができ、直接の責任を負う主管人員とその他直接の責任者に対して一万元以上十万元以下の罰金を科すことができる;状況が重大である場合は、百万元以上一千万元以下の罰金を科し、ならびに関連する業務の一時停止、業務停止と内部改善を命令し、関連業務の許可証取消しあるいは営業許可証の取消しを行うことができ、責任を負う主管人員とその他直接の責任者に対して十万元以上百万元以下の罰金を科す。

第四十八条

(中略) 本法第三十六条の規定に違反し、主管機関の許可を経ずして外国の司法あるいは法執行機関にデータを提供した場合、関連する主管部門は警告を与え、ならびに十万元以上百万元以下の罰金を科すことができ、直接の責任を負う主管人員とその他直接の責任者に対して一万元以上十万元以下の罰金を科すことができる;重大な結果を生じた場合、百万元以上五百万元以下の罰金を科し、ならびに関連する業務の一時停止、業務停止と内部改善を命令し、関連業務の許可証取消しあるいは営業許可証の取消しを行うことができ、責任を負う主管人員とその他直接の責任者に対して五万元以上五十万元以下の罰金を科す。

GDPRの新版Standard Contractual Clausesが公開された件

GDPRの新版SCC(Standard Contractual Clauses)が2021/6/4にようやく公開された。

こちらはEEA域外移転用の新SCC ec.europa.eu

こちらはデータコントローラ~プロセッサー間の新SCC (域外移転があるかどうかにかかわらず) ec.europa.eu

今後各企業は旧SCCから新SCCへどう移行すればいいのか、以下のサイトが分かりやすかった。 portal.bizrisk.iij.jp

「新SCCについてあなたが知る必要のある10個のこと」 10 Things You Should Know About the New Standard Contractual Clauses | Orrick, Herrington & Sutcliffe LLP - JDSupra

域外移転用の新SCCは、以下の4通りの移転についてモジュラー構成になっているのが斬新。 * コントローラ ⇒ コントローラ * コントローラ ⇒ プロセッサー * プロセッサープロセッサー * プロセッサー ⇒ コントローラ

モジュラー構成になることで、複数の企業・組織が域外移転にかかわっている場合も、一本のSCCで対応でき、後から関与する企業・組織を追加できるようになったようだ。

また、最も重要な関心事は、いわゆるシュレムスII判決が新SCCにどう反映されたかだが、上記IIJの記事によれば新SCCは、旧SCCに書かれていなかった「補完的措置義務」を包含しているが、いずれにせよ措置義務に加えて・・・

移転先国における個人データ保護に関する法制度及びその運用について確認し、その評価結果を文書化し、当局の求めに応じてこのような評価文書を提出することを移転当事者に義務づける

・・・とのこと。実際の域外移転用の新SCCでいうと、Clause 14、Clause 15になる。

移転先の国ごとに、その国の個人データ保護法制を評価しなければいけないとは、非常に面倒くさい。

また、上記「新SCCについてあなたが知る必要のある10個のこと」によると、シュレムスII関連ではEDPBから近日中にrecommendationsが公開されるとのことで、その内容も参照した方がいいようだ。

旧SCCから新SCCへの移行は、旧SCCが3か月後に無効になり、そのあと猶予期間が15か月あるので、あわせて18か月後、つまり、2022年11月末~12月がデッドラインとのこと。

TikTokのプライバシーポリシーが2021/6/2に変更されていたらしい

Zack Whittaker氏のツイートで、TikTokのプライバシーポリシーが2021/06/02に変更されていたと知った。 techcrunch.com

このTechCrunchの記事は米国での変更を問題にしているが、日本向けも変更されている。

個人的にTikTokのヘビーユーザではないので、アプリ側の変更通知には気づかなかったが、TikTok日本語サイトではサイト上部に「プライバシーポリシーが更新されました。引き続きサービスをご利用いただくことで、これらの更新に同意したものとみなされます」という同意取得表示がある。

TikTok日本語版ウェブサイトのプライバシーポリシー更新同意メッセージ

そこで日本語版が一つ前の2021/1更新版からどう変わったのか調べてみた。2021/1版はWayback Machineでは例えば以下のページから閲覧できる(2021/04/13のアーカイブ)。 web.archive.org

以下、TikTokが収集する情報はすべてユーザーの同意を得てということになっており、この点はいちいち書かない。

地域別のプライバシーポリシー

まずプライバシーポリシーが米国、EEA(GDPRの対象地域)、英国、スイス、その他の国・地域で区別されるようになった。

ユーザーに関する情報

ユーザーに関する情報として収集されるものに「ユーザーのパスワード」が追加されている。まさかハッシュ化しないという意味ではないと思われるので、わざわざ追記した理由は不明。

アップロード中止、失敗したコンテンツ

今まではユーザーがコンテンツのアップロードを中止、または何かの理由でアップロードできなければ、そのコンテンツはサーバーから削除されたが、更新後は、アップロード時の「プリロード」時点でコンテンツを取集し、サーバーから削除しなくなる。

身体的特徴

これがZack Whittaker氏がとくに問題にしているらしい部分。更新前には書かれていなかった点で、ユーザーがコンテンツに各種エフェクトをかける場合、以下のコンテンツを新たに収集するとのこと。

  • エフェクトを含まないバージョン
  • 表示される物や風景
  • 顔の画像内の存在や位置および身体的特徴・特質、音声の特質
  • コンテンツ内で話される言葉のテキストを特定したもの

これらを収集する目的も追記されている。

  • 特別な動画エフェクトを可能にするため
  • コンテンツモデレーション
  • 人口統計学的分類
  • コンテンツや広告のレコメンド
  • 個人を特定しないその他の作業
クリップボード内のコンテンツへのアクセス

今回の変更でクリップボード内のコンテンツ(テキスト、画像および動画を含む) に、ユーザーに同意を得た上でアクセスする場合があることが明記された。クリップボード内のコンテンツにアクセスする場合は、「例えば」という例示で書かれている。

  • ユーザーが第三者プラットフォームとコンテンツ共有を開始することを選択した場合
  • コンテンツをクリップボードからTikTokアプリにペーストすることを選択した場合
どのようなフォロワーと交流するかの情報

今までユーザーのTikTok利用に関する情報として収集されていたのは以下の項目。

  • 表示されたコンテンツ
  • 見た広告
  • 閲覧した動画
  • 遭遇した問題に対し、どのように行動するか
  • 好みのコンテンツ
  • 「お気に入り」に保存したコンテンツ
  • フォローしているユーザー

ここにユーザーが「どのようなフォロワーと交流するか」が追加された。

SNSアカウントに関係する情報

FacebookTwitterInstagramGoogleなどSNSアカウントを利用してTikTokに利用登録した場合に収集されていたのは以下の項目。

  • SNSのユーザー名
  • SNSの公開プロフィール

ここに新たに追加されたのは以下の2点。

  • SNSアカウントに関係する可能性のある他の情報
  • 別のサービスにTikTokアカウントをリンクした場合、そのサービスの利用に関する情報

さらにプライバシーポリシーの後半「ビジネスパートナー」の段落で以下の項目が追加されている。

  • 電話番号
  • Eメールアドレス
技術情報

今まで技術情報として収集されていたのは以下の項目。

そして新たに追加されたのは以下の項目。

  • ユーザーエージェント
  • アプリおよびファイルの名称と種類
  • キーストロークのパターンまたはリズム
  • バッテリー状態
  • 音声設定および接続されたオーディオ機器

さらに、これらの「デバイスから収集される情報とお客様を関連付けることもできます」という文言が追加されている。

位置データ

位置データとして収集されていたのは以下の項目。

そして新たに追加されたのは以下の項目。

いずれもユーザーの許可を得た上で収集されるが、GPSの位置データについて「正確な」という形容詞が追加されている。

身元や年齢確認に必要な情報

これは今までなかった項目として新たに追加されている。ライブストリーミングや認証アカウントなどの特定の機能を利用する場合や、「プロアカウント」に申し込む際、利用年齢に達していることを確認する目的で、身元や年齢の証明の提示が求められるとのこと。

クッキーによる複数デバイス横断の広告表示の中止

これは逆に新しいプライバシーポリシーで廃止された項目だが、今までクッキーはユーザーの「複数のデバイスにわたって」ターゲティング広告を表示するために、ユーザーの「すべてのデバイス上」の行動をユーザー情報と結び付けていたが、どうやらこの複数デバイス横断のトラッキングはやめるらしい。

ユーザー情報の利用目的

以上のような収集情報を利用する目的として、以下の2項目が追加されている。

  • 当社のアルゴリズムに情報を提供するため
  • 商品・サービスの販売、販促および購入を促進するため
  • ユーザーサポートを提供するため
三者提供

「ビジネスパートナー」の段落で、第三者提供の場合が明記されるようになった。

サービスプロバイダにマーケティング業者を追加

「サービスプロバイダ」の段落に、ユーザー情報およびコンテンツの提供先として今まで書かれていたのは以下の業者。

ここに以下の業者が追加された。

データへのアクセス権、削除権の追記

「お客様による選択」の段落に「適用法」によって、自分のデータにアクセス、削除する権利が認められる場合があると追記され、それらの権利を行使する場合の問い合わせも追記されている。

ポリシー自体の変更

最後にプライバシーポリシー自体の変更についての記述がかなり変更されている。

今までは重大な変更と、そうでない変更に分かれており、重大な変更は「すべてのユーザーにお知らせします」と書かれていたが、変更後はその区分がなくなり、「適用法で求められるその他の通知」というふうに、通知方法が各国・地域の法律によるようになっている。

利用を継続すると、自動的にポリシーの更新に同意したとみなされるのは従来どおり。

以上、プライバシーの専門家ではないので、差異をまとめるにとどめておく。

米コロニアル・パイプラインのランサムウェア被害、侵入に悪用された漏えい済みアカウントは多要素認証なし

ランサムウェア被害を受けた米コロニアル・パイプライン、攻撃者の侵入方法は漏えい済みパスワードで、多要素認証もなく、「パスワードは特に脆弱だった」とのこと。やはり2018年外部監査のセキュリティ管理についての指摘が改善されていなかったのでは。 edition.cnn.com

侵入に使われたパスワードは使用されていないVPNアカウントで多要素認証がなかったと、同社のフォレンジック調査を行ったFireEye社がCNNに語ったと。コロニアル社CEOジョセフ・ブラント氏は6/7(月)の週に上院、下院の国土安全保障委員会で攻撃の時系列と会社の対応について詳細を証言するとのこと。

コロニアル社のセキュリティ状況に詳しい情報筋は攻撃当時「ドアは大きく開かれ」「パスワードが特に脆弱だった」と。すでに使用されていないアカウントだったにもかかわらず、攻撃者は不正アクセスに成功したらしい。

ライフラインを支える米国の大企業がこのセキュリティレベルというのは、個人的に驚いてしまう。