Skip to Content
Home
Summary
NEWS & PUBLICATIONS

Cybersecurity, Data Protection & Privacy </br >(サイバーセキュリティ、個人情報保護及びプライバシー)

News & Publications
  • 量子コンピューティングの時代に備えて
    ― 暗号技術の将来のゆくえと、企業が検討すべき課題
    05/09/2025

    • 量子コンピューティングは、サイバーセキュリティに重大な変革を引き起こすことになりますが、企業の幹部や法務担当者はこれを看過することはできません。
    • 現代のデジタル社会において、暗号技術はセキュリティの基盤であり、メッセージの送信、パスワードの入力、オンライン取引をするたびに、データの秘匿性を保つために暗号化が使用されています。暗号化とは、情報を特定の鍵によってのみ復号可能な不可読の形式に変換するプロセスを指します。最も広く使用されている暗号方式には、対称暗号と非対称暗号の2種類があり、それぞれ異なる目的に応じて用いられています。
    • 量子コンピューティングが理論段階から近い将来に現実化する中で、各国政府は、データセキュリティに対する重大なリスクに備え、積極的な対応を始めています。政策立案者は、将来的に量子技術が現在の暗号方式を無効化し、機密性および整合性(integrity)を脅かす可能性があることを認識しています。これを見越して、EUおよび米国などでは、量子コンピュータに対抗できる暗号技術への移行を支援するために、法的枠組みの策定、技術基準の設定、政策ガイダンスの発表といった取り組みが進められています。

  • 米国における包括的な連邦プライバシー法成立に向けた再度の動き
    07/02/2024

    • 米国プライバシー権法(American Privacy Rights Act、以下APRA)として知られるこの法案は、継ぎ接ぎの既存の米国プライバシー法制を調和させることを目的としています。
    • APRAは消費者に新たなプライバシーの権利を創設し、データ収集の最小化を求め、データ侵害などに基づく広範な民事訴訟を提起する権利を規定します。
    • この法案は、遂にプライバシーに関する全米共通の基準を定めるための手段となるかもしれません。

  • 国際ランサムウェア対策イニシアチブ、政府の身代金支払い停止を誓約、ただし例外も
    -米国では、当該誓約は連邦政府による支払いのみを制限し、州政府や地方政府、民間企業による支払いは制限されず
    12/20/2023

    • 10月30日から11月1日にかけて、ワシントンD.C.で国際ランサムウェア対策イニシアチブ(CRI)第3回年次総会が行われ、ランサムウェア攻撃に対する集団的な強靭性を構築することを再確認しました。
    • CRIのメンバーは、ランサムウェア攻撃者の意欲を削ぎ、ランサムウェア攻撃によってもたらされる金銭的インセンティブを弱めるために、政府機関はランサムウェア恐喝の金銭支払に応じるべきではない、という共同声明(誓約)を発表しました。
    • 米国では、上記誓約は連邦政府による支払いのみを制限するものであり、州政府や地方政府、民間団体による支払いは制限されません。また誓約には、政府が必要と判断した場合に身代金の支払いを認める緊急時の例外が規定されています。

  • バイデン氏、安心、安全で信頼できるAIに関する待望の大統領令を発令
    12/15/2023

    • バイデン政権は、大統領令により、AIの安全性とセキュリティ、プライバシー保護、公平性と市民権、消費者と労働者の権利およびイノベーションと競争に向けた新しいガイドラインを策定します。
    • 大統領令の規定は、国家安全保障、経済安全保障または公衆衛生と公共の安全に影響を与える可能性のあるAI製品を開発する一定の企業に対し、国防生産法の権限を利用して、モデルのトレーニングとセキュリティ対策に関する定期的な報告を政府に提出させ、また、すべてのレッドチームの安全性テストの結果を共有させることを要求します。
    • 先日、議会は2023年人工知能推進法案を提出しました。この法案は、人工知能のバグバウンティプログラムを創設し、様々なAI利用の事例に関する報告と分析を要求するものです。

  • バイデン政権、サイバーセキュリティ戦略において大幅な方向転換を提案
    -「脆弱でリスクの高い」ソフトウェア開発者には責任を課す方向へ
    05/09/2023

    • 本戦略は、ソフトウェア開発者の負う法的責任について、サイバーセキュリティ市場の根本的な変更もたらす提案をしています。
    • 提案されている法律は、ソフトウェア開発者が独自の責任を限定する手段を制限し、他方で、新たなセーフハーバープログラムを通じて、ソフトウェア開発者に一定の基準を満たすインセンティブを与えることを目的としています。
    • 連邦調達規則におけるソフトウェアセキュリティの責任強化の推進など、議会の承認を要さないものからこの提案の則った対応を始める可能性があるので、企業はこれに備える必要があります。

  • 英国、ブレグジット後のデータ改革法案を発表
    -英国におけるGDPR終結の兆しか、それとも単なるアプローチの見直か?
    06/14/2022

    • 英国政府は、いわゆるブレグジットの恩恵を得ることを目的とした一連の法改正の一環として、新たにデータ改革法案 (Data Reform Bill) について発表しました。
    • 同法案は、昨年デジタル・文化・メディア・スポーツ省(DCMS)が、一般からのコメントを求める目的で提案した、「データ:新しい方向性」に基づくものです。
    • 同法案の草案はまだ公開されていませんが、現在の慣行から逸脱する場合は、英国のEUとのデータ保護法の下での十分性認定(adequacy status)が損なわれないよう、慎重に検討がなされる必要があります。

  • 米国におけるディスカバリを利用した発信者情報開示手続の概要
    07/20/2021

    • インターネット上で、会社の名誉・評判を毀損するような虚偽の投稿がなされ、そのサーバーが米国にある場合、米国のディスカバリ手続を利用して、投稿者の氏名・住所などの情報を入手することが認められています。
    • 日本の発信者情報開示手続(2021年改正含みます)と比較し、米国のディスカバリ手続は、一般に、より緩やかな条件で、より多くの情報を、より実効性のある方法で、より迅速に収集できる場合が多いと考えられます。

  • バイデン大統領、広範囲にわたる新たなサイバーセキュリティ改革を発表
    06/23/2021

    • 2021年5月12日、バイデン大統領は、国家サイバーセキュリティの向上に関する大統領令を発表し、連邦政府のサイバーセキュリティの最新化を目的とする広範囲な改革を提案しました。今回の発表は、最近頻発しているサイバー攻撃やランサムウェアに関し、連邦政府のみならず、政府調達契約に基づいて連邦政府に納入する業者のサイバーセキュリティを強化することを目的としています。
    • この大統領令には、ゼロトラスト・アーキテクチャ、エンドポイントでの検知及び対応、データの暗号化並びに多要素認証の更なる普及推進が含まれています。
    • この大統領令は、重要なソフトウェアに対する新たなサイバーセキュリティ要件の策定を指示するとともに、必要なアップデートがなされない場合には、レガシーソフトウェアを削除することも義務付けています。

  • 欧州からのデータ移転につき、新SCCの最終版が発表
    -欧州委員会が2021年6月4日に行った決定により、EEAからの個人データ移転のための新SCCが確定しました。
    06/17/2021

    • 欧州司法裁判所が、EU及び米国間のプライバシーシールドを無効化した後、多くの企業が、データ移転にあたって、標準契約条項(SCC)に依拠するようになりました。今回の決定により、現行のSCCはすべて無効となり、新SCCに置き換えられることになります。
    • 新SCCは、モジュール方式を採用し、GDPR28条3項及び4項に基づく処理者の権利及び義務を規定しています。これにより、SCCを利用中の企業は、契約の再締結作業が必要になります。
    • 企業は、あと3か月間、現行のSCCを使用することができますが、18か月後には、国際的なデータ移転の際には、新SCCのみが適用されることになります。

  • イギリス・EU間でのデータ移転につき、重要な「十分性」の決定に到達
    03/22/2021

    • 欧州委員会は、イギリスがGDPRと実質的に同等のデータ保護レベルを確保していると結論付けた「十分性」の決定案を発表しました。
    • 欧州委員会がこの十分性の決定を正式に採用するまでには、まだ承認プロセスが残っています。
    • イギリスの企業及びイギリスの事業体を介してビジネスを行う国際的な企業は、引き続き油断しないよう注意する必要があります。

  • 注目すべき新たなDSA及びDMA電子商取引規則:欧州がデジタルサービス及びデジタル市場の規制を全面的に見直し
    01/26/2021

    • DSA及びDMAの導入は、ドットコム・ブーム以降の電子商取引規則を大きく変えることになります。
    • これらの新しいデジタルサービスの法律の適用を受ける企業は、多くの新しい義務及び要件の対象になります。
    • GDPRと同様に、DSA及びDMAはいずれもEU域外にも効力を有するため、EU域内で対象サービスを提供する日本企業及びその他EU域外企業も適用を受けます。

  • カリフォルニア州消費者プライバシー法 (CCPA)の改正法であるカリフォルニア州プライバシー権法 (CPRA)の概要
    01/22/2021

    • 2020年11月3日の住民投票でカリフォルニア州消費者プライバシー法(CCPA)の改正法案であるカリフォルニア州プライバシー権法 (CPRA)が可決されました。CPRAのうち、大部分の規定は、2023年1月1日から施行されます。また、改正法により、人事関連及びBtoB取引関連の個人情報に関する一部の規定の適用猶予は、2022年12月31日まで延長されることになりました。
    • CPRAでは、必要な期間を超えて個人情報を保有することが禁じられ、また、センシティブ個人情報の利用に一定の制限が加えられるなど、多くの改正がなされています。
    • CPRAでは、個人情報の取得時の通知内容及びプライバシーポリシーの内容についても変更があり、また、個人情報の売却先や委託先との間で特定の内容を含む契約を締結することが義務付けられました。

  • 国際的な圧力がサイバーセキュリティへの脅威を高める
    02/19/2020

    • ニュース又は企業方針が、サイバーセキュリティの脅威を高める場合、その脅威に対処することが重要です。本稿では、そのような対策案について紹介します。
    • サイバーセキュリティ対策で、2020年3月21日に施行される、ニューヨーク州民のデータを有する全ての事業に対して幅広いサイバーセキュリティ要件を課す、ニューヨーク州SHIELD法が遵守されていることも確認しましょう。

  • ニューヨーク州の新サイバーセキュリティ・データ侵害防止法は州内外の雇用主に影響
    11/21/2019

    • ニューヨーク州居住者に関する個人情報を受領、収集又はその他の方法で保有する雇用主は、その所在地や規模に関係なく、ニューヨーク州の新データ侵害防止法を順守する必要があります。
    • ニューヨーク州に居住する従業員を雇用していない雇用主でも、オンライン上の採用プロセスを通じて収集した情報に基づき同法が適用される可能性があります。
    • 当該情報を保有する雇用主は、同法の規定に準拠したサイバーセキュリティデータに関するセーフガードを採用しなければならず、また、データ侵害の際に通知が求められます。

  • カリフォルニア州消費者プライバシー法施行へのカウントダウン(その4): 新たな適用除外規定が追加された修正法案に知事が署名
    10/30/2019

    • 施行から1年間、CCPA は、対象事業者により従業員について収集された情報又はBtoB取引において収集された情報には適用されないことになりました。
    • 公正信用報告法(FCRA)が適用される事業者が同法に従って利用する適格性情報も当該CCPAの適用除外の対象となります。
    • ディーラーとメーカーの間で共有される、新車及び所有者の情報の一部は、CCPAの適用の範囲外となりました。

  • カリフォルニア州消費者プライバシー法施行へのカウントダウン(その3): プライバシーポリシーの更新
    07/30/2019

    • 新法により付与された権利と、消費者がこれをどのように行使できるかを開示しなければなりません。
    • 新たな開示対象は、収集した情報の範囲、情報源、ビジネス目的で販売・共有された情報のカテゴリーです。
    • 新たなプライバシーポリシーは、2020年1月1日までに表示し、その後毎年更新しなくてはなりません。

  • カリフォルニア州消費者プライバシー法施行へのカウントダウン(その2): CCPAとGDPRのコンプライアンスは似て非なるもの
    06/10/2019

    • CCPAはカリフォルニア州の「住民」に一定の権利を付与していますが、この「住民」とはカリフォルニア州所得税の賦課対象となる「住民」の定義によっています。
    • CCPAのもとでプライバシーポリシー上開示が求められる事項の範囲は、GDPRよりも広いです。
    • 一定の事項について消費者から請求があった場合、GDPRの開示対象外の請求でもCCPAのもとでは応じなければならない場合があります。

  • カリフォルニア州消費者プライバシー法施行へのカウントダウン
    -会社内のデータがどこにあるか把握できていますか?
    05/16/2019

    • 2020年1月1日に発効するカリフォルニア州消費者プライバシー法(CCPA)においては、個人情報に関して消費者に5つの新たな権利が付与されることになります。
    • CCPAのもとで情報開示を求められることになるタイプの情報を含めたデータ「在庫」管理の仕組みを構築しておくことが、同法の遵守に向けた妥当な第一歩になります。

  • 批評家や「荒らし」、そして若干のクレーマー:
    ソーシャルメディアの時代におけるレピュテーションの管理について
    12/19/2018

    あらゆる人がソーシャルメディアにアカウントを持ち、批評家として世界中に発信することが可能な時代ともなると、レピュテーションを管理するのは大変です。いずれの企業 も、幾年もの熟慮を重ねた投資や交流を通じて苦労して築き上げた信用が、たった一つのネガティブなソーシャルメディアでの投稿によって破壊されてしまうかもしれないという不安と戦わなければなりません。ソーシャルメディアのプラットフォームによって各企業がターゲットとなる客層に効率的に情報発信することが可能となる一方で、ソーシャルメディアの場があることで、そのユーザーが容易に根拠のない不平不満や中傷合戦等の風評被害の対象となってしまうこともあります。投稿が一気に拡散する可能性があること、一度投稿されるとインターネット上に永久に残りうること、及びソーシャルメディアのユーザーは自身の素性を秘匿することができてしまうことが、各企業にとってオンラインの風評被害による悪影響を制限することを難しくしています。ただし、かかる風評被害の被害者にも頼れる手段が何もないわけではありません。一般に、ネガティブなソーシャルメディアの投稿に対する対応には4つの選択肢があります。

  • 米国証券取引委員会(SEC)、サイバーセキュリティの開示に関するガイダンスを再び発表
    03/27/2018

    • 会社は、重要なサイバーセキュリティインシデントを正確かつ適時に開示する手続きを確立し、維持する必要があります。
    • 会社は、サイバーセキュリティに関する未公表情報の誤用や一部のみの開示を防止する必要があります。

  • サイバー攻撃についての新常態(ニュー・ノーマル)
    10/03/2017

    • サイバー攻撃による被害を受けた企業は、同情を受けることはなく、規制当局による調査の対象となることに留意する。
    • 会社役員賠償責任(D&O)保険により、訴訟費用だけでなく、調査費用もカバーすることができ得ることに留意する。
    • 会社役員賠償責任(D&O)保険及びエラーズ・アンド・オミッション(E&O)保険の契約条項如何により、想定されるリスクを軽減することができる。

  • 最近の身代金ウイルスなどのサイバー攻撃、サイバー保険の重要性を再認識させる契機に
    06/26/2017

    要点

    • 身代金ウイルスによる大規模なサイバー攻撃は、しっかりしたサイバー保険の重要性を明確にしました。
    • サイバー保険の補償範囲にサイバー恐喝を含めることは、今日のビジネス社会におけるリスクマネジメントのベストプラクティスとして広まりつつあります。
    • 加入しているサイバープライバシー保険の内容を確認し、見直すことが今求められています。

  • 新たな米国連邦法、商品等の悪評コメントに対する検閲・修正を禁止
    05/11/2017

    要点

    • 連邦法上、消費者の会社や商品・サービスに関するコメントの掲載を制限したり妨げたりすること、またはこれに罰則を適用することは禁止されることになりました。
    • 同新法により、会社が、コメントを掲載する個人に対し、そのコメントに含まれる知的財産の譲渡を要求することも違法とされることになりました。
    • ユーザー・コメントに関する契約条項を定型契約や、諸規程、その他に含めている会社は、それらの条項が新法に違反するものでないかにつき、速やかに検討する必要があります。