ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

GDPR、EU域外での個人データ漏えい時の当局に対する通知ガイドライン改訂

EDPB(欧州データ保護会議)が2022/10/10に、個人データ漏えい時の当局に対する通知ガイドライン改訂案を採択、パブコメを開始した。EU域外での個人データ漏えい時の対応がより厳しくなる。 採択されたのは「Guidelines 9/2022 on personal data breach notifi…

2022/08/01施行の中国「インターネットユーザーアカウント情報管理規定」とは

2022/08/01に施行された中国「インターネットユーザーアカウント情報管理規定」とは一体どういう法律なのか、ポイントになる部分だけを日本語抄訳する。 この法律はユーザーが発信するコンテンツに対する規制ではなく、ユーザアカウントに関する情報、つまり…

中国配車アプリ企業DiDi(滴滴)に中国政府が約1600億円もの罰金を科した理由

中国政府が中国のUber的な配車アプリ企業DiDi(滴滴)に約1600億円(80.26億元)もの罰金を科したとのこと。 www.cac.gov.cn 2021/07/02国家サイバースペース管理局は同社に対してサイバーセキュリティ審査を開始すると宣言していたが、今回の処罰はその結果によ…

中国「個人情報保護法」の「特定身份」について大手会計事務所コンサルの訳が間違っていた件

中国「個人情報保護法」第二十八条には「敏感个人信息(センシティブ個人情報)」の定義が次のように書かれている。(太字は筆者) 第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,…

中国データ域外移転セキュリティ評価規則(数据出境安全评估办法)にいう「重要データ」とは何か

2022/09/01より施行される「中国データ域外移転セキュリティ評価規則(数据出境安全评估办法)」について、一部の英語メディアで個人データだけに関する規則だと読める記述を見つけた。 riskybiznews.substack.com このニューズレターの同規則に関する以下の部…

中国データ域外移転セキュリティ評価規則(数据出境安全评估办法)2022/09/01施行

中国サイバースペース管理局が2022/07/07、以前このブログでパブコメ稿をとり上げた「数据出境安全评估办法(データ域外移転セキュリティ評価規則)」を2022/09/01から施行すると発表した。 データ域外移転セキュリティ評価規則のパブコメ開始 - ぬるきゅー(…

個人情報域外移転のための中国版標準契約(SCC)ひな型には何が書いてあるか

2022/06/30、中国サイバースペース管理局(国家互联网信息办公室)が、個人情報の域外移転について中国版SCC(標準契約)規定のパブコメ稿を公開したのは、前回の記事で試訳を公開したとおり。 パブコメ原文はこちらのページにある。 国家互联网信息办公室关于《…

中国政府が個人情報の域外移転について中国版SCC法案のパブコメ開始

2022/06/30、中国サイバースペース管理局(国家互联网信息办公室)が、個人情報の域外移転について中国版SCC(標準契約)規定のパブコメ稿を公開した。 国家互联网信息办公室关于《个人信息出境标准合同规定(征求意见稿)》公开征求意见的通知-中共中央网络安全…

台湾の軍事オタク大学生が公開情報だけから人民解放軍の基地地図を作った件

台湾東呉大学音楽学科の温約瑟さんが、公開情報だけで中国大陸にある人民解放軍基地の地図を作り上げ、ネットに公開したという件。 台湾メディアでは大々的に取り上げられているが、日本で取り上げたのは台湾中央通訊社の日本語版サイトくらいだったようだ。…

中国「インターネットコメントサービス管理規定」2022年改正パブコメ草案は2017年からどう変わったのか

中国サイバースペース管理局(互联网信息办公室 CAC)が、2017年に制定された「インターネットコメントサービス管理規定(互联网跟帖评论服务管理规定)」について、2022/6/17に改定のパブコメ草案を公開した。パブコメとはいえおそらく大きな変更なく施行され…

富山県による情報漏えい事案まとめ(2021/10~2022/5)

2022/05/24富山県が2022年に入って6回目の個人情報漏えいを起したという報道があった。 newsdig.tbs.co.jp こちらの記事にその6件の一覧表がある。 www.chunichi.co.jp 県が発表した対策は「ダブルチェックを徹底し再発防止に努める」とのことだが、対策とし…

マイクロソフトが公開した「プレ・ハイジャッキング攻撃」の調査論文を要約

マイクロソフト・セキュリティーレスポンスセンターが「プレハイジャッキング攻撃」と呼ばれる新種の攻撃について2022/05/20調査論文を公開したとのこと。以下、要約。 msrc-blog.microsoft.com 被害者が登録しそうなウェブサイトに前もって本人のメールアド…

中国CNCERT/CCの月報を読んでみる

中国CNCERT/CCの週報は以前にご紹介しましたが、月報「インターネットセキュリティ脅威レポート(互联网安全威胁报告)」には何が書いてあるかざっくりまとめてみました。 月報のインデックスはこちら。今回読んでみるのは2022年3月分です。 www.cert.org.cn…

米国とEUの個人データ移転に関する基本合意についてシュレムズ氏の反応

2022/03/25、バイデン米大統領とフォンデライエン欧州委員長がブリュッセルで米EU間の個人データ移転ルールで基本合意したとのこと。 www.nikkei.com そもそも米国のSafe Harbor、Privacy Shieldにもとづいて許可されていた欧州から米国への個人データ移転が…

LAPSUS$の攻撃手法についてのMicrosoft社ブログ要約

MicrosoftがLAPSUS$(DEV-0537)という攻撃者の攻撃手法 (Tactics, Techniques and Procedures) について長文ブログを公開したので要約してみます。(以下、呼称はLAPSUS$を使います) www.microsoft.com 同社自身も従業員1名のアカウントを侵害されたものの、ア…

中国データ域外移転セキュリティ評価規則のパブコメ開始

中国サイバースペース管理局が「データ域外移転セキュリティ評価規則(数据出境安全评估办法)」のパブリックコメントを2021/10/28開始した。「サイバーセキュリティ法(网络安全法)」「データセキュリティ法(数据安全法)」「個人情報保護法」にもとづく…

中国「ネットワーク製品セキュリティ脆弱性管理規定」試訳

中国ではセキュリティリサーチャーが脆弱性を政府に報告する義務がある、という誤解が一部にあるようなので、該当の法律「ネットワーク製品セキュリティ脆弱性管理規定」(2021/9/1施行)の全文を試訳する。 ひとことで言うと、政府に対する報告義務があるの…

テンセントの専門家は中国個人情報保護法をどう評価しているか

テンセントの研究員は中国個人情報保護法をどう評価しているか。GoogleアラートでLinkedInの文章がひっかかったので要約してみる。 「中国個人情報保護法」~五つの時代を画する意義 mp.weixin.qq.com 筆者はテンセント研究院主席データ法律政策の専門家王融…

中国データセキュリティ法に基づく地方法が深セン・上海で制定されているらしい

知らない間に中国「データセキュリティ法」を受けた地方法規が出来ているらしい。今のところ深センと上海の2か所。とりあえずこの二市はデータセキュリティ法の具体的な執行についてやる気になっている、ということかどうかは分からない。 例によって筆者は…

気が向いたので中国CNCERTコーディネーションセンターの週報を読んでみた

中国のJPCERT/CCにあたるCNCERTコーディネーションセンターが毎週だしている週報を気が向いたので読んでみた。2021年第39週、2021/09/20~09/26分。 www.cert.org.cn こちらCNCERT/CCトップページの上方中央「安全报告(セキュリティ報告)」に「网络安全信…

「データセキュリティ法」の下位規則「工業情報化分野データセキュリティ管理規則」パブコメ公開

2021/09/30に中国工業情報化部(日本でいう省)が「データセキュリティ法(数据安全法)」にもとづく規則として「工業情報化分野のデータセキュリティ管理規則」のパブコメを公開した。意見募集期限は2021/10/30。 公开征求对《工业和信息化领域数据安全管理…

中国広報協会と外資企業協会が合同で中国個人情報保護法プロモーション会議開催(続き)

先日のブログでご紹介した2021/09/18開催の「中華人民共和国個人情報保護法」プロモーション会議で、外資系企業に対する個人情報保護要求の強化について個別に言及があったらしいので補足。 先日のブログ todkm.hatenablog.com 《个人信息保护法》实施在即——…

中国初のデジタルデータ専門法廷が広州市に開設、専門家を参審員に招聘

中国データセキュリティ法関連ニュース。2021/09/26中国のニュースサイト大洋網によると、広州市に全国初のデジタルデータ専門法廷が開設されたとのこと。 全国首个!涉数据纠纷专业合议庭在穗挂牌成立_广州日报大洋网 そもそも広州市に「広州インターネット…

Emotetのようにメールのやり取りに割り込んでくるマルウェアに要注意

FortiGuard Labsが2021/09/21、Emotetのように返信メールを悪用するタイプのマルウェアSquirrelwaffle(スクウォーレル・ワッフル)の注意喚起をしているようだ。 www.fortiguard.com メールのリンクをクリックすると、不正なVBAマクロを含むオフィスファイ…

個人情報保護法の施行に関わらず2019/11からスマホアプリの処分は始まっている件

2021/09/23、中国産業情報化部が「サイバーセキュリティ法」「電信条例」「電信インターネットユーザー個人情報保護規定」などに基づき、旅行サービス関連アプリを中心に抜き取り検査をしたところ、52個のアプリが改善を終えておらず、2021/09/29までに改善…

中国個人情報保護法公布後、初の民事訴訟

中国個人情報保護法はこの記事を書いている時点で未施行(施行は2021/11/1)だが、公布後初の個人情報漏えいに関する民事訴訟があったというニュース。 なお筆者は法律の専門家でも何でもないので、このブログの内容はゆめゆめ実務に利用されませぬよう。 ht…

「自動車データセキュリティ管理に関する若干の規定(試行)」2021/10/1施行

中国サイバースペース管理局(互联网信息办公室)が2021/08/20に公布していた「自動車データセキュリティ管理に関する若干の規定(汽车数据安全管理若干规定)(試行)」という法律が2021/10/01から施行されるとのこと。 www.cac.gov.cn 中国の法律は「試行…

中国金融業界、匿名化データの活用で個人情報保護とフィンテック発展の両立を目指す

政府と中国金融業界の代表者が集まった会議でプライバシーやデータセキュリティについて議論がなされたとのことで、ご紹介。 finance.huanqiu.com www.scimall.org.cn 2021/09/17「第五回中国フィンテック・イノベーション・プログラム」が清華大学中国金融…

中国広報協会と外資企業協会が合同で中国個人情報保護法プロモーション会議開催

2021/9/18午後、中国広報協会と中国外資企業協会が共同で「中華人民共和国個人情報保護法」プロモーション会議を開催したらしい。 www.cpra.org.cn 中国サイバースペース管理局サイバー法治局(国家互联网信息办公室网络法治局)局長・華清氏、全国人代常務…

中国の個人情報保護は民法典にすでに書かれていたという話

中国個人情報保護法は2021/11/1施行だが、2021/1/1施行されている民法典の第四編 人格権の「第六章 プライバシー権と個人情報保護」にすでに書かれていたという話。 中華人民共和国 民法典 http://www.npc.gov.cn/npc/c30834/202006/75ba6483b8344591abd0791…