2022.10.01

国防総省 監察官室 国防総省内部関係者脅威管理・分析センターへの国防総省構成機関の内部関係者の脅威報告に関する監査

こんにちは、丸山満彦です。

国防総省監察官室が、「国防総省内部関係者脅威管理・分析センターへの国防総省構成機関の内部関係者の脅威報告に関する監査」を公表しています。国防総省の内部監査報告書です。一部黒塗り...

インサイダー(内部関係者)、つまり正当な権限を持っている者による、ある意味裏切り行為によるリスクをどうするか?これは難しい問題です。情報漏洩の文脈でここでは述べられていますが、財産的価値に対する内部関係者のリスクについても同じようなものかもしれないと思っています。いわゆる内部不正対策です。いろんな組織で同じ問題があるのでしょう。

 

Department of Defense Office of Inspector General

・2022.09.28 Audit of the DoD Component Insider Threat Reporting to the DoD Insider Threat Management and Analysis Center (DODIG-2022-141)

Audit of the DoD Component Insider Threat Reporting to the DoD Insider Threat Management and Analysis Center
(DODIG-2022-141) 
国防総省内部関係者脅威管理・分析センターへの国防総省構成機関の内部関係者の脅威報告に関する監査
(DODIG-2022-141) 
Publicly Released: September 30, 2022 2022年9月30日公開
Objective 目的
The objective of this audit was to determine whether DoD Components reported insider threat incidents to the DoD Insider Threat Management and Analysis Center (DITMAC) in accordance with DoD guidance. この監査の目的は、国防総省コンポーネントが国防総省の指針に従って国防総省内部脅威管理・分析センター(DITMAC) に内部脅威事件を報告したかどうかを判断することである。
Background 背景
DoD Directive 5205.16 defines a DoD insider as any person (DoD personnel, contractors, and other non‑DoD individuals) to whom the DoD has, or once had, granted eligibility for access to classified information or to hold a sensitive position. The Directive defines an insider threat as a threat that insiders pose to the DoD and Federal Government installations, facilities, personnel, missions, and resources, that can result in damage to the United States through espionage, terrorism, and unauthorized disclosure of national security information. The FY 2017 National Defense Authorization Act revised the definition of a DoD insider (also known as a covered person) to include any person who has, or once had, authorized access to DoD information, facilities, networks, or other resources. According to DoD officials, DoD Directive 5205.16 is being updated to reflect the revised definition of a DoD insider. 国防総省指令 5205.16 は、国防総省の内部関係者を、国防総省が機密情報へのアクセスや機密職への就任資格を与えている、あるいはかつて与えていたあらゆる人物(国防総省職員、契約業者、その他の非国防総省個人) であると定義している。同指令では、内部脅威を、内部関係者が国防総省および連邦政府の施設、設備、人員、任務、資源にもたらす脅威であり、スパイ活動、テロ、国家安全保障情報の不正な開示を通じて米国に損害を与える可能性があると定義している。2017年度国防権限法は、DoD内部関係者(対象者とも呼ばれる) の定義を、DoDの情報、施設、ネットワーク、その他のリソースへのアクセスを許可された者、またはかつて許可された者を含むように改定した。国防総省職員によると、国防総省指令5205.16は、国防総省の内部関係者の定義の改訂を反映するよう更新されている。
DoD insiders have caused high-profile disclosures and breaches of data critical to national security. For example, since 2001, some of the most noted disclosures were made by former National Security Agency (NSA) contractors Edward Snowden and Harold Martin. DoD insiders were also responsible for the mass shootings at Fort Hood, Texas, in 2009 and at the Washington Navy Yard in Washington, D.C., in 2013. 国防総省の内部関係者は、国家安全保障にとって重要なデータの重大な開示と侵害を引き起こしてきた。例えば、2001年以降、最も注目された情報公開は、元国家安全保障局(NSA) の契約者であるエドワード・スノーデン氏とハロルド・マーティン氏によるものである。また、2009年にテキサス州フォートフッドで起きた銃乱射事件や、2013年にワシントンD.C.のワシントン海軍基地で起きた銃乱射事件は、国防総省の内部関係者が引き起こしたものである。
After the Navy Yard shooting in 2013, the Secretary of Defense commissioned independent panels to review gaps and deficiencies in DoD security programs, policies, and procedures. In response to recommendations made in the panel reports, the Secretary of Defense approved the formation of DITMAC to provide a centralized capability to manage and analyze DoD insider threat data. DITMAC helps prevent, deter, detect, and mitigate the potential threat that DoD insiders may pose to the United States. 2013年のネイビーヤード銃乱射事件の後、国防長官は独立したパネルに委託し、国防総省のセキュリティプログラム、政策、手続きのギャップや不備を検証させた。国防長官は、パネルの報告書に記載された提言を受けて、国防総省の内部脅威データを管理・分析するための一元的な機能を提供するDITMACの設立を承認した。DITMACは、国防総省の内部関係者が米国にもたらす可能性のある脅威を防止、抑止、検知、緩和するのに役立つ。
In 2016, the Under Secretary of Defense for Intelligence and Security (USD[I&S]) , who serves as the DoD senior official responsible for overseeing the DoD Insider Threat Program, established DITMAC within the Defense Counterintelligence and Security Agency. The USD(I&S) also directed that all DoD Components report insider threats to DITMAC. DoD Components are required to report to DITMAC through their Component’s insider threat analysis center, known as an Insider Threat Hub. DoD military, civilian, and contractor personnel are required to report any incidents that involve a covered person (DoD insider) and meet one or more of the 13 reporting thresholds established by DITMAC. Examples of reportable incidents involve sexual assault, violent acts, questionable allegiance to the United States, unauthorized disclosure of classified information, and terrorism. DITMAC receives insider threat incidents from the Hubs electronically through the DITMAC System of Systems or e-mail. 2016年、国防総省の内部関係者脅威プログラムを監督する責任を負う国防次官(USD[I&S]) は、国防防諜・保安局内にDITMACを設立した。また、国防総省はすべての国防構成機関に、内部関係者脅威をDITMACに報告するよう指示した。国防総省の各部門は、内部脅威ハブとして知られる各部門の内部脅威分析センターを通じて、DITMAC に報告することが要求されている。国防総省の軍人、文民、請負業者の職員は、対象となる人物(国防総省の内部関係者) が関与し、DITMAC が定めた 13 の報告基準値のうち 1 つ以上に該当するあらゆる事件を報告することが義務付けられている。報告すべき事件の例としては、性的暴行、暴力行為、米国への忠誠を疑うような行為、機密情報の無許可開示、テロリズムなどが挙げられる。DITMACは、DITMACシステム・オブ・システムズまたは電子メールを通じて、ハブから内部脅威インシデントを電子的に受け取っている。
Finding 調査結果
The Army, Navy, Marine Corps, Defense Logistics Agency, and Defense Health Agency Component Hubs did not consistently report to DITMAC insider threat incidents that involved a covered person and met one or more of the reporting thresholds. Specifically, of the 215 insider threat incidents we reviewed from those Hubs, 200 incidents involved a covered person and met one or more of the thresholds. Of those 200 incidents, 115 were reported to DITMAC, but the other 85 were not. Furthermore, of the 115 insider threat incidents that were reported to DITMAC, the time it took the Hubs to report the incidents ranged from 1 day to over 2 years. 陸軍、海軍、海兵隊、国防物流局、および国防保健局の各ハブは、対象者が関与し、かつ1つ以上の報告基準を満たす内部関係者脅威事件を、一貫してDITMACに報告していない。具体的には、我々がレビューした215の内部関係者脅威インシデントのうち、200のインシデントが対象者を巻き込み、1つ以上の閾値を満たしていた。この200件のうち、115件はDITMACに報告されたが、残りの85件は報告されていない。さらに、DITMACに報告された115件の内部関係者脅威インシデントのうち、ハブがインシデントを報告するのに要した時間は、1日から2年以上と幅があった。
The inconsistent reporting to DITMAC occurred because the USD(I&S) did not: DITMACへの一貫性のない報告は、USD(I&S) が以下を行わなかったために発生した。
・develop an oversight program to periodically verify that the Hubs reported insider threat incidents that involved a covered person and met one or more of the reporting thresholds; or ・ハブが、対象者を巻き込んだ内部関係者脅威のインシデントを報告し、一つ以上の報告基準を満たしたことを定期的に確認するための監視プログラムを開発すること、または
・establish timelines for reporting insider threat incidents to DITMAC. ・DITMACに内部関係者脅威事件を報告するためのタイムラインを確立していない。
Insider threat incidents have resulted in harm to the United States and the DoD through espionage, terrorism, unauthorized disclosure of national security information, and the loss or degradation of DoD resources and capabilities. Unless the DoD Component Hubs consistently report insider threat incidents to DITMAC as required, DITMAC cannot fully accomplish its mission to provide the DoD with a centralized capability to identify, mitigate, and counter insider threats and reduce the harm to the United States and the DoD by malicious insiders. 内部関係者脅威事件は、スパイ活動、テロ、国家安全保障情報の不正な開示、国防総省の資源と能力の損失や劣化を通じて、米国と国防総省に損害を与えてきた。国防総省の各ハブが、要求された通りに内部関係者脅威事件を一貫してDITMACに報告しない限り、DITMACは、内部関係者脅威を特定、緩和、対抗する集中的な能力を国防総省に与え、悪意のある内部関係者による米国と国防総省への損害を軽減するという任務を完全に達成することができない。
Recommendations 提言
We recommend that the USD(I&S) implement a process for assessing DoD Component compliance with insider threat reporting requirements, develop timelines for DoD Components to report insider threat incidents to DITMAC, and submit the FY 2021 annual report on the DoD Insider Threat Program to the Secretary of Defense as required. 我々は、国防総省が内部関係者脅威報告要件を遵守しているかどうかを評価するプロセスを導入し、国防総省がDITMACに内部関係者脅威事件を報告するためのタイムラインを策定し、2021年度の内部関係者脅威プログラムに関する年次報告書を要求に従って国防長官に提出することを提言する。
We also recommend that the Secretary of the Army, the Secretary of the Navy, and the Defense Health Agency Director require that their Hub Directors review the insider threat incidents that we determined should have been reported to DITMAC and report those incidents as required. Lastly, we recommend that the NRO Director, USCYBERCOM Commander, and the NSA/Central Security Service Director require that their Hub Directors review the insider threat incidents received since the establishment of their Hubs or the 2016 DoD Component reporting requirement was initiated and report any of the incidents that involve a covered person and meet one or more of the reporting thresholds. また、陸軍長官、海軍長官、防衛衛生庁長官は、私たちがDITMACに報告すべきであったと判断した内部関係者脅威事件を各ハブディレクターに確認させ、それらの事件を要求通りに報告するよう要求することを勧告する。最後に、NRO長官、USCYBERCOM司令官、NSA/Central Security Service長官は、ハブが設立されて以来、あるいは2016年のDoD Component報告要件が開始されて以来受け取った内部関係者脅威事件を見直し、対象者が関与し一つ以上の報告基準値を満たす事件のいずれかを報告するよう、そのハブディレクターに求めることを提言する。
Management Comments and Our Response 執行陣のコメントと当局の対応
The DoD Counter-Insider Threat Deputy Director, responding for the USD(I&S) , agreed to implement a process for assessing DoD Component compliance with insider threat reporting requirements, develop timelines for DoD Components to report insider threat incidents to DITMAC, and submit the DoD Insider Threat Program annual report to the Secretary of Defense. 国防総省の内部関係者脅威対策副局長は、内部関係者脅威報告要件に対する国防総省構成組織のコンプライアンスを評価するプロセスを実施し、国防総省構成組織がDITMACに内部関係者脅威事件を報告するためのタイムラインを開発し、国防長官にDoD内部関係者脅威プログラム年次報告書を提出することに同意したと回答している。
The Under Secretary of the Army, responding for the Secretary of the Army, and the Deputy Under Secretary of the Navy for Intelligence and Security, responding for the Secretary of the Navy, agreed to report the incidents identified in this report to DITMAC. In addition, the USCYBERCOM Chief of Staff, responding for the USCYBERCOM Commander, agreed. 陸軍次官(陸軍長官の代理として回答) と海軍次官(情報・安全保障担当) は、本報告書で確認された事案をDITMACに報告することに同意した。さらに、USCYBERCOM司令官の代理であるUSCYBERCOM参謀長も同意した。
The NRO Director and the NSA Chief of Staff for Workforce Support Activities, responding for the NSA/Central Security Service Director, disagreed. NRO長官とNSA/中央セキュリティ局長の代理として回答したNSA労働力支援活動担当参謀長は同意しなかった。
We disagree. The FY 2017 National Defense Authorization Act revised the definition of a DoD insider (covered person) to include any person who has, or once had, authorized access to DoD information, facilities, networks, or other resources. Therefore, the recommendations to NRO and NSA are unresolved, and we request that the NRO Director and the NSA/Central Security Service Director provide comments on the final report. 我々は同意しない。2017年度国防権限法は、DoD内部関係者(対象者) の定義を、DoDの情報、施設、ネットワーク、その他のリソースへの権限を持つ、またはかつて持っていたすべての人を含むよう改定した。したがって、NRO と NSA に対する勧告は未解決であり、NRO 長官と NSA/中央セキュリティ局長は、最終報告書に対するコメントを提供するよう要請する。
The Defense Health Agency Director did not provide comments on the draft report; therefore, we request that the Defense Health Agency provide comments on the final report. 防衛省衛生局長は報告書案に対してコメントを出さなかったので、最終報告書に対して防衛省衛生局長からコメントをもらうよう要請する。
This report is a result of Project No. D2020-D000CP-0074.000. 本報告書は、プロジェクト番号 D2020-D000CP-0074.000 の成果である。

 

・2022.09.30 [PDF] (U) Audit of the DoD Component Insider Threat Reporting to the DoD Insider Threat Management and Analysis Center

20221001-35448

目次...

(U) Introduction (U) はじめに
(U) Objective (U) 目的
(U) Background (U) 背景
(U) Review of Internal Controls (U) 内部統制のレビュー
(U) Finding.  DoD Component Hubs Did Not Consistently Report Insider Threat Incidents toDITMAC (U) 発見事項:国防総省の各ハブは、内部関係者脅威事件を一貫してDITMACに報告していなかった。
(U) DoD Component Hubs Did Not Follow Insider Threat Reporting Guidance (U) 国防総省の各ハブは内部脅威の報告ガイダンスに従っていなかった。
(U) USD(I&S) Did Not Provide Oversight of the DoD Insider Threat Program (U) USD(I&S) は国防総省の内部関係者脅威プログラムを監督していなかった。
(U) USD(I&S) Did Not Establish Timelines for Reporting Insider Threat Incidents to DITMAC (U) 米国農務省は、DITMACへの内部脅威インシデントの報告のためのタイムラインを確立していなかった。
(CUI) XXXXXXXXX (CUI) XXXXXXXXX
(U) The DoD Is at Risk of Not Identifying or Mitigating Critical Insider Threats (U) 国防総省は重要な内部関係者脅威を特定または軽減しない危険にさらされている。
(U) Other Matters of Interest (U) その他の関心事項
(U) Recommendations, Management Comments, and Our Response (U) 推奨事項、執行陣のコメント、我々の回答
(U) Appendixes (U) 附属書
(U) Appendix A.  Scope and Methodology (U) 附属書A. スコープ及び方法論
 (U) Use of Computer-Processed Data   (U) コンピュータ処理データの使用について 
 (U) Use of Technical Assistance   (U) 技術支援の利用 
 (U) Prior Coverage  (U) 過去の調査結果
(U) Appendix B.  DoD Insider Threat Incidents (U) 附属書B.  国防総省の内部関係者脅威事件
(U) Appendix C.  DITMAC Reporting Thresholds (U) 附属書C. DITMACの報告閾値
(U) Management Comments (U) 執行陣のコメント
(U) Department of the Army (U) 陸軍省
(U) Department of the Navy (U) 海軍省
(U) Under Secretary of Defense for Intelligence and Security (U) 国防総省情報・安全保障担当次官
(U) DoD Insider Threat Management and Analysis Center (U) 国防総省内部脅威管理・分析センター
(U) U.S. Cyber Command (U) 米国サイバー軍
(U) National Reconnaissance Office  (U) 米国国家偵察局
(U) National Security Agency (U) 国家安全保障局
(U) Acronyms and Abbreviations (U) 頭字語および省略形

 

| | Comments (0)

2022.09.30

日本ファクトチェックセンター

こんにちは、丸山満彦です。

AI等を利用したFake画像、動画は本物と偽物の区別が直ちにわからないくらいに精巧に作られるようになってきた。そのようなFake画像、動画が何らかの意図を持って拡散され、それで世論を意図した方向に導こうとする者もいるかもしれません。その意図は、単なる悪戯心の場合もあるだろうし、国家転覆を企んでいることもあるかもしれません。しかし、その意図は簡単にはわからない。

拡散されている情報が本物か、偽物かを見極められるようにすることは時には非常に重要となりそうです。

このような情報のFACTチェックをする団体が設立されましたね(一般社団法人セーファーインターネット協会(SIA) 内に)。。。

今後の活躍に期待したいところですし、このような活動を海外にも広げて欲しいですね。。。

 

日本ファクトチェックセンター

・[PDF] ファクトチェックガイドライン

Profile_683e0bd45f506a3161f3d60279dbbac8

| | Comments (0)

欧州委員会 AI責任指令案

こんにちは、丸山満彦です。

欧州委員会から、AI責任指令の案が公表されていますね。。。AI法の審議は別途進んでいます。AIの責任についての規制は、RegulationではなくDirectiveです。。。各国の責任に関する法律の違いが大きいのが理由のようです。

立証責任の問題は確かに難しい問題なのかもしれません。。。

 

EU Commission

・2022.09.28 New liability rules on products and AI to protect consumers and foster innovation

New liability rules on products and AI to protect consumers and foster innovation 消費者を保護し、イノベーションを促進するための製品およびAIに関する新たな責任ルール
Today, the Commission adopted two proposals to adapt liability rules to the digital age, circular economy and the impact of global value chains. Firstly, it proposes to modernise the existing rules on the strict liability of manufacturers for defective products (from smart technology to pharmaceuticals). The revised rules will give businesses legal certainty so they can invest in new and innovative products and will ensure that victims can get fair compensation when defective products, including digital and refurbished products, cause harm. Secondly, the Commission proposes for the first time a targeted harmonisation of national liability rules for AI, making it easier for victims of AI-related damage to get compensation. In line with the objectives of the AI White Paper and with the Commission's 2021 AI Act proposal, setting out a framework for excellence and trust in AI – the new rules will ensure that victims benefit from the same standards of protection when harmed by AI products or services, as they would if harm was caused under any other circumstances. 本日、欧州委員会は、デジタル時代、循環型経済、グローバルなバリューチェーンの影響に賠償責任規則を適応させるための2つの提案を採択した。まず、欠陥製品(スマートテクノロジーから医薬品まで)に対する製造者の厳格責任に関する現行の規則を近代化することを提案している。改正された規則は、企業に法的確実性を与えて、新製品や革新的な製品への投資を可能にするとともに、デジタル製品や再生製品を含む欠陥製品が損害を与えた場合に、被害者が公正な補償を受けられるようにするものである。第二に、欧州委員会は、AIに関連する損害の被害者が補償を受けることを容易にするため、AIに関する各国の責任規則を的を絞って調和させることを初めて提案する。AI白書の目的と、AIにおける卓越性と信頼のための枠組みを定めた欧州委員会の2021年AI法の提案に沿って、新規則は、AI製品やサービスによって被害を受けた場合、被害者が他の状況で被害を受けた場合と同じ水準の保護の恩恵を受けられることを保証するものである。
Revised Product Liability Directive, fit for the green and digital transition and global value chains グリーン・デジタル移行とグローバル・バリューチェーンに適合する製造物責任指令の改訂版
The revised Directive modernises and reinforces the current well-established rules, based on the strict liability of manufacturers, for the compensation of personal injury, damage to property or data loss caused by unsafe products, from garden chairs to advanced machinery. It ensures fair and predictable rules for businesses and consumers alike by: 改正された指令は、製造者の厳格責任に基づき、ガーデンチェアから高度な機械まで、安全でない製品によって引き起こされた人身事故、物的損害、データ損失の補償に関する、現在確立されている規則を近代化し、強化するものである。これにより、企業と消費者双方にとって、公平で予測可能なルールが保証される。
•  Modernising liability rules for circular economy business models: by ensuring that liability rules are clear and fair for companies that substantially modify products. ・循環型経済ビジネスモデルのための責任ルールの近代化:製品を大幅に改良する企業にとって、責任ルールが明確かつ公正であることを保証すること。
•  Modernising liability rules for products in the digital age: allowing compensation for damage when products like robots, drones or smart-home systems are made unsafe by software updates, AI or digital services that are needed to operate the product, as well as when manufacturers fail to address cybersecurity vulnerabilities. ・デジタル時代の製品のための責任ルールの近代化:ロボット,ドローン,スマートホームシステムなどの製品が、製品の操作に必要なソフトウェアアップデート、AI、デジタルサービスによって安全でなくなった場合や、メーカーがサイバーセキュリティの脆弱性に対処しなかった場合の損害賠償を可能にする。
•  Creating a more level playing field between EU and non-EU manufacturers: when consumers are injured by unsafe products imported from outside the EU, they will be able to turn to the importer or the manufacturer's EU representative for compensation. ・EU域外のメーカーとの間により公平な競争条件を設ける:EU域外から輸入された安全でない製品によって消費者が損害を受けた場合、輸入業者またはメーカーのEU代理店に賠償を求めることができるようになる。
•  Putting consumers on an equal footing with manufacturers: by requiring manufacturers to disclose evidence, by introducing more flexibility to the time restrictions to introduce claims, and by alleviating the burden of proof for victims in complex cases, such as those involving pharmaceuticals or AI. ・消費者を製造業者と対等な立場に置く:製造業者に証拠の開示を義務付けること、請求権導入の時間的制約をより柔軟にすること、医薬品やAIなど複雑なケースにおける被害者の立証負担を軽減することで製造業者と対等な立場に置く。
Easier access to redress for victims AI Liability Directive 被害者の救済へのアクセスを容易にする AI責任指令
The purpose of the AI Liability Directive is to lay down uniform rules for access to information and alleviation of the burden of proof in relation to damages caused by AI systems, establishing broader protection for victims (be it individuals or businesses), and fostering the AI sector by increasing guarantees. It will harmonise certain rules for claims outside of the scope of the Product Liability Directive, in cases in which damage is caused due to wrongful behaviour. This covers, for example, breaches of privacy, or damages caused by safety issues. The new rules will, for instance, make it easier to obtain compensation if someone has been discriminated in a recruitment process involving AI technology. AI責任指令の目的は、AIシステムによる損害に関連して、情報へのアクセスや立証責任の軽減に関する統一ルールを定め、(個人・企業を問わず)被害者の保護を拡大し、保証を増やすことでAI分野を育成することである。不正行為により損害が生じた場合の製造物責任指令の範囲外の請求に関する一定のルールを調和させることになる。これは、例えば、プライバシーの侵害や、安全性の問題による損害などを対象としている。新しい規則により、例えば、AI技術を含む採用プロセスで差別を受けた場合、賠償金を得ることが容易になる。
The Directive simplifies the legal process for victims when it comes to proving that someone's fault led to damage, by introducing two main features: first, in circumstances where a relevant fault has been established and a causal link to the AI performance seems reasonably likely, the so called ‘presumption of causality' will address the difficulties experienced by victims in having to explain in detail how harm was caused by a specific fault or omission, which can be particularly hard when trying to understand and navigate complex AI systems. Second, victims will have more tools to seek legal reparation, by introducing a right of access to evidence from companies and suppliers, in cases in which high-risk AI is involved. この指令は、2つの主要な特徴を導入することにより、誰かの過失が損害につながったことを証明する際の被害者の法的手続きを簡素化する:第一に、関連する過失が立証され、AIの性能との因果関係が合理的にありそうな状況では、いわゆる「因果関係の推定」が、被害者が経験する、特定の過失によってどのように被害が生じたかを詳細に説明しなければならない困難さに対処することになり、これは複雑なAIシステムを理解し操作しようとすると特に困難となる場合がある。第二に、リスクの高いAIが関与している場合に、企業やサプライヤーから証拠を入手する権利を導入することで、被害者は法的賠償を求めるための手段をより多く得ることができるようになる。
The new rules strike a balance between protecting consumers and fostering innovation, removing additional barriers for victims to access compensation, while laying down guarantees for the AI sector by introducing, per instance, the right to fight a liability claim based on a presumption of causality. 新ルールは、消費者保護とイノベーションの促進を両立させ、被害者が賠償にアクセスするための新たな障壁を取り除く一方で、例えば因果関係の推定に基づく賠償請求に対抗する権利を導入するなど、AI分野への保証を定めている。
Members of the College said: 同カレッジのメンバーは次のように述べている。
 Vice-President for Values and Transparency, Věra Jourová said: “We want the AI technologies to thrive in the EU. For this to happen, people need to trust digital innovations. With today's proposal on AI civil liability we give customers tools for remedies in case of damage caused by AI so that they have the same level of protection as with traditional technologies and we ensure legal certainty for our internal market.”  価値と透明性担当の副学長であるVěra Jourováは、次のように述べている。 「私たちは、AI技術がEUで繁栄することを望んでいる。そのためには、人々がデジタル・イノベーションを信頼する必要があります。本日のAIの民事責任に関する提案により、我々はAIによって損害が発生した場合の救済のためのツールを顧客に提供し、顧客が従来の技術と同じレベルの保護を受けられるようにするとともに、我々の域内市場の法的確実性を確保する。」
Commissioner for Internal Market, Thierry Breton, said: “The Product Liability Directive has been a cornerstone of the internal market for four decades. Today's proposal will make it fit to respond to the challenges of the decades to come. The new rules will reflect global value chains, foster innovation and consumer trust, and provide stronger legal certainty for businesses involved in the green and digital transition.” ティエリ・ブルトン域内市場担当委員は、次のように述べている。 「製造物責任指令は、40年にわたり、域内市場の礎となってきた。本日の提案により、今後数十年の課題に対応できるようになる。新しい規則は、グローバルなバリューチェーンを反映し、イノベーションと消費者の信頼を育み、グリーンおよびデジタル移行に関わる企業により強い法的確実性を提供することになる」
 Commissioner for Justice, Didier Reynders, said: “While considering the huge potential of new technologies, we must always ensure the safety of consumers. Proper standards of protection for EU citizens are the basis for consumer trust and therefore successful innovation. New technologies like drones or delivery services operated by AI can only work when consumers feel safe and protected. Today, we propose modern liability rules that will do just that. We make our legal framework fit for the realities of the digital transformation.”  ディディエ・レインダース司法担当委員は、次のように述べている。 「新技術の大きな可能性を考慮する一方で、我々は常に消費者の安全を確保しなければならない。EU市民のための適切な保護基準は、消費者の信頼、ひいてはイノベーションの成功の基礎となるものである。ドローンやAIによる配送サービスなどの新技術は、消費者が安全で守られていると感じて初めて機能するものである。本日、私たちは、まさにそれを実現する近代的な責任ルールを提案します。私たちは、法的枠組みをデジタル変革の現実に適合させるのである。」
Next steps 次のステップ
The Commission's proposal will now need to be adopted by the European Parliament and the Council. 欧州委員会の提案は、今後、欧州議会と理事会で採択される必要がある。
It is proposed that five years after the entry into force of the AI Liability Directive, the Commission will assess the need for no-fault liability rules for AI-related claims if necessary. AI責任指令の発効から5年後に、欧州委員会は、必要に応じて、AI関連の請求に対する無過失責任規則の必要性を評価することが提案されている。
Background 背景
The current EU rules on product liability, based on the strict liability of manufacturers, are almost 40 years old. Modern rules on liability are important for the green and digital transformation, specifically to adapt to new technologies, like Artificial Intelligence. This is about providing legal certainty for businesses and ensuring consumers are well protected in case something goes wrong. 製造者の厳格責任に基づく現行のEUの製造物責任に関する規則は、約40年前に制定されたものである。グリーン・デジタルトランスフォーメーション、具体的には人工知能のような新しい技術に適応するためには、責任に関する最新の規則が重要である。これは、企業に法的確実性を提供し、何か問題が発生した場合に消費者が十分に保護されるようにするためである。
In her Political Guidelines, President von der Leyen laid out a coordinated European approach on Artificial Intelligence. The Commission has undertaken to promote the uptake of AI and to holistically address the risks associated with its uses and potential damages. フォン・デル・ライアン委員長は、政治的指針の中で、人工知能に関する欧州の協調的アプローチを打ち出した。欧州委員会は、AIの普及を促進し、その利用に伴うリスクと潜在的な損害に総合的に対処することを約束した。
In its White Paper on AI of 19 February 2020, the Commission undertook to promote the uptake of AI and to address the risks associated with some of its uses by fostering excellence and trust. In the Report on AI Liability accompanying the White Paper, the Commission identified the specific challenges posed by AI to existing liability rules. 2020年2月19日付のAI白書において、欧州委員会は、卓越性と信頼を育むことにより、AIの取り込みを促進し、その用途の一部に関連するリスクに対処することを約束した。同白書に添付された「AI責任に関する報告書」の中で、欧州委員会は、既存の責任規定に対してAIがもたらす具体的な課題を特定した。
The Commission adopted its proposal for the AI Act, which lays down horizontal rules on artificial intelligence, focusing on the prevention of damage, in April 2021. The AI Act is a flagship initiative for ensuring safety and trustworthiness of high-risk AI systems developed and used in the EU. It will guarantee the safety and fundamental rights of people and businesses, while strengthening AI uptake, investment and innovation. Today's AI liability package complements the AI Act by facilitating fault-based civil liability claims for damages, laying down a new standard of trust in reparation. 欧州委員会は、損害の防止を中心に人工知能に関する水平的なルールを定めた「AI法」の提案を2021年4月に採択した。AI法は、EU域内で開発・利用される高リスクのAIシステムの安全性と信頼性を確保するための旗印となる取り組みである。これは、人々と企業の安全性と基本的権利を保証するとともに、AIの取り込み、投資、イノベーションを強化するものである。本日のAI責任パッケージは、過失に基づく民事上の損害賠償請求を容易にすることでAI法を補完し、賠償における信頼の新しい基準を打ち立てるものである。
The AI Liability Directive adapts private law to the new challenges brought by AI. Together with the revision of the Product Liability Directive, these initiatives complement the Commission's effort to make liability rules fit for the green and digital transition. AI責任指令は、AIがもたらす新たな課題に私法を適応させるものである。製造物責任指令の改正と合わせて、これらの取り組みは、グリーンおよびデジタル移行に適した責任規則を作ろうとする欧州委員会の取り組みを補完するものである。
For More Information 詳細はこちら
Proposal for a Directive on adapting non contractual civil liability rules to artificial intelligence    非契約上の民事責任規則を人工知能に適応させるための指令の提案   
Proposal: Revision of the Product Liability Directive 提案 製造物責任指令(Product Liability Directive)の改正
Questions & Answers: AI Liability Directive 質問と回答 AI賠償責任指令
Questions & Answers: Product Liability Directive 質問と回答 製造物責任指令
Liability rules on Artificial Intelligence 人工知能に関する責任規定
Liability of defective products  欠陥製品の責任 
Commission White Paper on Artificial Intelligence - A European approach to excellence and trust 人工知能に関する欧州委員会の白書 - 卓越性と信頼に対する欧州のアプローチ
Commission Report on the safety and liability implications of Artificial Intelligence, the Internet of Things and robotics 人工知能、モノのインターネット、ロボット工学の安全性と責任への影響に関する欧州委員会の報告書
Expert Group report on Liability for artificial intelligence and other emerging digital technologies 人工知能およびその他の新興デジタル技術に対する責任に関する専門家グループの報告書
Comparative Law Study on Civil Liability for Artificial Intelligence 人工知能の民事責任に関する比較法研究

 

Proposal for a Directive on adapting non contractual civil liability rules to artificial intelligence

・[PDF

20220929-172825

 


ちょっと関連...

 

AI法案

・2021.04.21 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL - LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS

 

 

AIに関する調査(人工知能の活用に関する欧州の企業調査)

・2020.09.04 [PDF] (downloaded) European enterprise survey on the use of technologies based on artificial intelligence

20220929-234112

 

AI白書(人工知能に関する白書-卓越性と信頼に対する欧州のアプローチ)

・2020.02.19 [PDF] WHITE PAPER On Artificial Intelligence - A European approach to excellence and trust

20220930-00411


・人工知能、モノのインターネット、ロボット工学の安全性と責任に関する欧州委員会から欧州議会、理事会、経済社会委員会への報告書

・2020.02.19 [PDF] REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT, THE COUNCIL AND THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE - Report on the safety and liability implications of Artificial Intelligence, the Internet of Things and robotics

20220930-02102



 

まるちゃんの情報セキュリティ気まぐれ日記

 

AI責任指令関係...

・2022.09.25 英国 Ada Lovelace 協会 欧州におけるAI責任:EUのAI責任指令の先取り

 

AI法関係...

・2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

・2022.06.18 英国 Ada Lovelace 協会: EUのAI法について説明 (2022.04.11)

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

 

AIの保証関係...

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定



 

| | Comments (0)

2022.09.29

IPA ビジネスメール詐欺(BEC)対策特設ページ

こんにちは、丸山満彦です。

IPAがビジネスメール詐欺(BEC)対策特設ページを開設しています。

IPA

・2022.09.28 ビジネスメール詐欺(BEC)対策特設ページ

 

前から気になっているのが、ビジネスメール詐欺対策の解説です。

多くの解説では、

・普段と異なるメールに注意するとか

・セキュリティ対策(ウイルス対策・不正アクセス対策など)

が強調されるわけですが、、、

最も本質的な対策は、送金についての内部統制なのだろうと思うんですよね。。。

販売周りの不正は、利益調整のための不正、予算達成のための不正が多いのに対して、

購買回りの不正は、金銭不正が多いように思います。

これは昔から。。。内部者が、自分(や自分がコントロールしている他人)の口座に、商品や固定資産等の購入代金を支払わせるという方法や、購買先と結託して、水増し請求をしてもらい、水増しした金額で支払い、購買先から水増し分の一部のキックバックをもらうという方法など、いくつかパターンがあります。

で、ビジネスメール詐欺の対策ですが、最も大事なのは、この支払い段階の不正を無くすことです。

そのためによく取られている対策は、実在性、評価の妥当性、期間配分の適切性を確認するために、

(1)発注部門の承認

(2)経理部門の承認(発注部門での不正を、経理部門が見つける)

(3)支払いのためのアプリケーション統制

となりますね。。。そして、不正が行われないようにするためによく行っている対策は、

・(3)の一部にある、支払い先のマスター管理です。つまり、支払いはあらかじめ登録した口座(支払口座マスターに登録されている口座)にしか払えないようにすることです。例外が生じる場合があると思うのですが、その場合は、取引先への確認(あらかじめ登録されている電話やメールアドレス等に対して)行うことです。

で、これってJ-SOXの業務処理統制ですから、少なくとも財務報告に係る内部統制が有効になっている企業においてはBEC被害はほぼないはずです。逆にいうと高額なBEC詐欺の被害を受けた企業は、財務報告に係る内部統制の不備の結果であることを認識してもらう必要があるかも知れません。。。

サイバーの目線だけで考えると適切なソリューションが見つかりませんね。。。

 

ちなみに、BEC被害はこの2年ほどは下がってきています。。。

● 警察庁

サイバー空間をめぐる脅威の情勢等

3_20220929014901

(出典:警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について, 2022.04.07, https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf から作成)

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.22 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「サイバー空間の安全に向けて: All for one, One for all」

| | Comments (0)

ドイツ BSI標準200-4 BCM第2次コミュニティドラフト(CD 2.0)

こんにちは、丸山満彦です。

ドイツのBSIが事業継続管理に関する標準 (BS-Standard 200-4 BCM)の第2次ドラフトを公表し、意見募集をしていますね。。。

Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2022.09.19 Zweiter Community Draft (CD 2.0) zum BSI-Standard 200-4 BCM veröffentlicht

Zweiter Community Draft (CD 2.0) zum BSI-Standard 200-4 BCM veröffentlicht BSI標準200-4 BCM第2次コミュニティドラフト(CD 2.0)の発行
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die überarbeitete Version des BSI-Standards 200-4 BCM zur Kommentierung veröffentlicht. Die Entwicklungen im Cyber-Raum der letzten Jahre und globale Krisen haben gezeigt, wie wichtig eine gute Vorbereitung auf diese und Notfälle aller Art ist. Der aktualisierte BSI-Standard 200-4 BCM zeigt auf, wie sich Institutionen auf solche Fälle vorbereiten können. ドイツ連邦情報セキュリティ庁(BSI)は、BSI標準200-4 BCMの改訂版を公開し、コメントを求めています。近年のサイバー空間の発展や世界的な危機は、これらやあらゆる種類の緊急事態に十分備えておくことがいかに重要であるかを示しています。更新されたBSIスタンダード200-4 BCMは、このようなケースに機関がどのように備えることができるかを示しています。
Das BSI hatte bereits den ersten Community Draft des BSI-Standards 200-4 zur Kommentierung zur Verfügung gestellt. Durch das Feedback konnte der Standard weiter verbessert werden. Die grundlegende Methodik und Dokumentenstruktur des ersten Community Drafts des BSI-Standards 200-4 wurde beibehalten. Jedoch haben sich die Struktur des Standards und inhaltliche Details in der aktuellen Version geändert. Daher wird der Standard erneut als Community Draft CD 2.0 zum Download bereitgestellt. BSIは、すでにBSI標準200-4の最初のコミュニティドラフトを公開し、コメントを求めていた。フィードバックにより、この標準はさらに改善される可能性があります。BSI標準200-4の最初のコミュニティドラフトの基本的な方法論と文書構成はそのまま踏襲された。しかし、現行版では標準の構成や内容の詳細が変更されています。そこで、今回もコミュニティドラフト CD 2.0として標準をダウンロードできるようにしました。
Der Community Draft kann bis zum 30. November 2.02.2. kommentiert werden. Derzeit ist geplant, die finale Version des BSI-Standards 200-4- nach Einarbeitung der Kommentare im ersten Quartal des nächsten Jahres zu veröffentlichen. コミュニティ・ドラフトは、2.02.2.年11月30日までコメントを受け付けています。現在、BSI Standard 200-4は、コメントを反映した最終版を来年の第1四半期に発行する予定です。
Zusätzlich stellt das BSI auf seinen Webseiten zahlreiche Hilfsmittel zum Thema BCM bereit. Als weiteres Hilfsmittel wird im Oktober der zum Standard dazugehörige Anforderungskatalog bereitgestellt, der die Anforderungen des Standards listenartig wiedergibt, damit sich Personen mit BCM-Erfahrung ohne Erklärungen direkt auf diese fokussieren können. また、BSIはBCMをテーマとした数多くのツールをホームページで提供しています。また、10月に公開されるもう一つのツールは、標準に付随する要求事項カタログで、BCM経験者が説明なしに直接集中できるように、標準の要求事項を一覧にしています。

 

・2022.09.19 BSI-Standard 200-4 Business Continuity Management - Community Draft

BSI-Standard 200-4 Business Continuity Management - Community Draft BSI標準200-4 事業継続マネジメント(BCM) - コミュニティドラフト
Modernisierter BSI-Standard 200-4 Business Continuity Management BSI標準200-4「事業継続マネジメント」改訂版
Im IT-Grundschutz ist das Thema Business Continuity Management (BCM) bereits seit Jahren fest verankert und bietet mit dem bisherigen BSI-Standard 100-4 zum Notfallmanagement eine fundierte Hilfestellung. Die fortlaufenden Entwicklungen und Erfahrungen in den Bereichen BCM, Notfallmanagement und (IT-)Krisenmanagement sowie mit den angrenzenden BSI-Standards zur Informationssicherheit haben jedoch den Bedarf aufgezeigt, den BSI Standard 100-4 grundsätzlich zu modernisieren. Die Ziele der Modernisierung bestehen vornehmlich darin: 事業継続管理(BCM)は、長年にわたりIT業界の中で確固たる地位を築いており、緊急事態管理に関する従来のBSI標準100-4は、十分な根拠に基づいた支援を行っています。しかし、BCM、緊急事態管理、(IT)危機管理の分野や、情報セキュリティに関する隣接するBSI標準の発展や経験が、BSI標準100-4を根本的に近代化する必要性を示しています。近代化の目標は、主に以下の通りです。
01_20220928125101
Quelle Bundesamt für Sicherheit in der Informationstechnik 出典 連邦情報セキュリティ局
Der BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Institution aufzubauen und zu etablieren. Er ermöglicht so insbesondere unerfahrenen BCM-Anwenderinnen und -Anwendern einen leichten Einstieg in die Thematik. Für erfahrene BCM-Anwenderinnen und -Anwender wird ein normativer Anforderungskatalog zur Verfügung gestellt. Derzeit ist noch keine Zertifizierung zu dem Standard geplant. BSI標準200-4は、自機関の事業継続マネジメントシステム(BCMS)を立ち上げ、確立するための実践的な手順を示しています。特に、BCMの経験が浅い方でも簡単に始められるように配慮しています。BCMの経験者向けに、要求事項の規範的なカタログが提供されています。現在のところ、この標準の認証取得は予定していません。
Der BSI-Standard 200-4 steht unter folgendem Link als Community Draft 2.0 (CD 2.0) zum Download zur Verfügung: BSI標準200-4は、Community Draft 2.0 (CD 2.0)として、以下のリンクからダウンロードすることができます。
BSI-Standard 200-4 – Business Continuity Management CD 2.0 BSI Standard 200-4 - Business Continuity Management CD 2.0.
Auf Basis des Feedbacks zum Community Draft 1.0 des BSI-Standards 200-4 wurden umfangreiche Änderungen vorgenommen und der Community Draft 2.0 des BSI-Standards 200-4 erstellt. Dieser kann bis zum 30.11.2.02.2. kommentiert werden. So möchte das BSI allen Anwendern die erneute Möglichkeit geben, die Änderungen, die sich aus dem bisherigen Feedback ergeben, zu kommentieren, bevor der BSI-Standard 200-4 final veröffentlicht wird. BSI標準200-4のコミュニティドラフト1.0に対するフィードバックを基に、大幅な変更を加え、BSI標準200-4のコミュニティドラフト2.0が作成されました。2.02.2.年11月30日までコメント可能です。このように、BSIはBSI標準200-4の最終発行に先立ち、これまでに寄せられた意見に基づく変更点について、利用者の皆様に改めてコメントをいただく機会を設けたいと考えています。
Übersicht über wesentliche Weiterentwicklungen zum ersten Community Draft 第1次コミュニティ・ドラフトと比較した、さらなる重要な進展の概要
Neue Kapitelstruktur: 新しい章構成:
Der BSI-Standard 200-4 CD 2.0 ist umstrukturiert und so im Umfang deutlich reduziert. Er beschreibt den Aufbau eines BCMS pro Prozessschritt, statt anhand der Stufen Reaktiv-, Aufbau- und Standard-BCMS. Bei den Kapitelüberschriften wird nun differenziert, für welche Stufe die jeweiligen Kapitel benötigt werden, so dass die Stufe auch weiterhin gut erkennbar ist. Hierdurch ist der BSI-Standard 200-4 noch übersichtlicher und es konnten viele Redundanzen entfernt werden. BSI Standard 200-4 CD 2.0は再構築されたため、範囲が大幅に縮小されました。反応型BCMS、構造型BCMS、標準型BCMSという段階を使わず、プロセスステップごとにBCMSの構造を記述しています。各章の見出しは、どのレベルの章が必要かを区別し、レベルがわかりやすいようにしました。これにより、BSI標準200-4はさらに明確になり、多くの冗長性が取り除かれる可能性があります。
Methodik im Wesentlichen unverändert: 方法論は基本的に変更しない:
Aufgrund des positiven Feedbacks und um eine einfache Migration vom bestehenden BSI-Standard 100-4 zu ermöglichen, bleiben die prinzipielle Methodik und die damit verbundene Vorgehensweise sowie das zugrundeliegende Dokumentationsmodell unverändert. Auch die bereits veröffentlichten Hilfsmittel werden nicht wesentlich verändert, sodass die hiermit bereits begonnene Dokumentation leicht fortgeführt werden kann. 好評でもあり、既存のBSI標準100-4からの移行を容易にするため、基本的な手法と関連手順、および基本的な文書モデルは変更されていません。また、すでに公開されているツールも大きくは変更されませんので、これですでにスタートしたドキュメントも容易に継続することができます。
Outsourcing: アウトソーシング:
Die Inhalte des Kapitels 7. „BCM im Rahmen des Outsourcings und von Lieferketten“ aus dem ersten CD sind größtenteils in das Hilfsmittel BC-Strategien (wird derzeit überarbeitet) verschoben. Sie stehen dort gleichwertig neben anderen BC-Strategien im Fall von zeitkritischen Dienstleistungen. Im BSI-Standard 200-4 selbst ist das Thema in den BCM-Prozessen an geeigneten Stellen integriert (BC-Strategien, Soll-Ist-Vergleich, Überprüfungen, etc.), sodass das ursprüngliche Kapitel 7. „BCM im Rahmen des Outsourcings und von Lieferketten“ entfallen konnte. 第1弾CDの第7章「アウトソーシングとサプライチェーンの文脈におけるBCM」の内容は、BC戦略ツール(現在改訂中)にほぼ移管されています。そこで、タイムクリティカルなサービスの場合、他のBC戦略と対等に立ち回ることができる。BSI標準200-4自体では、適切な箇所(BC戦略、目標・実績比較、レビューなど)でBCMプロセスに組み込まれ、当初の第7章「アウトソーシングとサプライチェーンの文脈におけるBCM」を削除することが可能できました。
Weitere Änderungen: その他の変更点:
Neben dem grundsätzlichen, positiven Feedback gab es auch eine Vielzahl, an konstruktiven Kommentaren, die wiederum zu einer Vielzahl von Veränderungen im Detail geführt haben. Diese Änderungen werden hier nicht im Detail aufgezeigt. 基本的でポジティブな意見に加え、建設的な意見も多く、その結果、細部の変更も多く見られました。これらの変更点の詳細については、ここでは記載していません。
An dieser Stelle sei allen Anwenderinnen und Anwendern für die zahlreichen konstruktiven Anmerkungen gedankt. Über Updates zum BSI-Standard 200-4 informiert u.a. der BCM-Newsletter. この時点で、利用者の皆様から数々の建設的なご意見をいただいたことに感謝いたします。BSI Standard 200-4の更新情報は、BCMニュースレターでご覧いただけます。
Bis zur Veröffentlichung des finalen neuen BSI-Standard 200-4 bleibt der BSI-Standard 100-4 gültig. Anwender und Anwenderinnen können ihr BCMS bereits an den aktuellen CD des BSI-Standards 200-4 ausrichten, da in der 2. Kommentierungsphase keine wesentlichen Änderungen der Methodik oder Dokumentation erwartet werden. 最終的な新しい BSI 標準 200-4 が発行されるまでは、BSI 標準 100-4 が引き続き有効です。第2次コメント段階では、方法論や文書に大きな変更はないため、既に、利用者はBSI規格200-4の現行CDとBCMSを整合させることが可能です。
Hilfsmittel zum BSI-Standard 200-4 BSI標準200-4に対する補足
Um den Anwenderinnen und Anwendern die Arbeit und Umsetzung des BSI-Standards 200-4 zu erleichtern, werden zu diesem Standard zahlreiche Hilfsmittel veröffentlicht, wie z. B. weiterführende Aspekte zur Bewältigung oder eine Dokumentvorlage für Wiederanlaufpläne. Diese umfangreichen, bereits im BSI-Standard 200-4 referenzierten Hilfsmittel und die normativen Dokumente werden kontinuierlich auf der Webseite BSI-Standard 200-4 Hilfsmittel veröffentlicht. BSI標準200-4の作業と実施を利用者のために容易にするために、この標準のために、対処のためのさらなる側面や復旧計画のための文書テンプレートなど、多くの補足が公表されています。BSI標準200-4で既に参照されているこれらの広範な補足と、規範となる文書は、BSI標準200-4補足のウェブサイトで継続的に公開されています。

 

・[PDF] BSI-Standard 200-4 Business Continuity Management -Community Draft 2.0-

20220928-130046

目次...

1.Einleitung 1.はじめに
1.1. Adressatenkreis 1.1. 想定読者
1.2. Zielsetzung 1.2. 目標
1.3. Anwendungsweise 1.3. 適用方法
2. Einführung in das BCM 2. BCMの概要
2.1. Begriffe 2.1. 用語
2.2. Grundlagen eines Managementsystems 2.2. マネジメントシステムの基本
2.3. Ablauf der Bewältigung 2.3. マネジメントのプロセス
2.4. Abgrenzung und Synergien 2.4. 限界とシナジー効果
2.5. Überblick über Normen und Standards 2.5. 規範・標準の概要
2.6. BCMS Stufenmodell 2.6. BCMSステージモデル
3. Initiierung des BCMS durch die Institutionsleitung (R+AS) 3. 機関の経営層によるBCMSの開始(R+AS)
3.1. Übernahme der Verantwortung durch die Leitungsebene (R+AS) 3.1.経営層による責任分担(R+AS)
3.2. Zielsetzung (R+AS) 3.2. 目標 (R+AS)
3.3. Geltungsbereich (R+AS) 3.3. 適用範囲 (R+AS)
3.4. Entscheidung für Vorgehensweise (R+AS) 3.4. 手続きの決定 (R+AS)
3.5. Ernennung des BC-Beauftragten (R+AS) 3.5. 事業継続責任者の選任 (R+AS)
4. Konzeption und Planung des BCMS (R+AS) 4. BCMSの設計・計画(R+AS)
4.1. Definition und Abgrenzung (R+AS) 4.1. 定義と区切り(R+AS)
4.2. Analyse der erweiterten Rahmenbedingungen (AS) 4.2. 拡張フレームワーク条件の分析(AS)
4.3. Definition der BC-Aufbauorganisation (R+AS) 4.3. 事業継続組織体制の定義(R+AS)
4.4. Dokumentation (R+AS) 4.4. 文書化(R+AS)
4.5. Ressourcenplanung (R+AS) 4.5. リソースプランニング(R+AS)
4.6. Schulung (R+AS) 4.6. トレーニング(R+AS)
4.7. Sensibilisierung (R+AS) 4.7. 啓発(R+AS)
4.8. Leitlinie BCMS (R+AS) 4.8. ガイドラインBCMS(R+AS)
5. Aufbau und Befähigung der BAO (R+AS) 5. BAOの仕組みとエンパワーメント(R+AS)
5.1. Aufbau der BAO (R+AS) 5.1. BAOの構造(R+AS)
5.2. Detektion, Alarmierung und Eskalation (R+AS) 5.2. 検出、アラート、エスカレーション(R+AS)
5.3. Definition von Sofortmaßnahmen (R+AS) 5.3. 当面の対策の定義(R+AS)
5.4. Festlegung der Grundsätze zur Stabsarbeit (R) 5.4. スタッフワークの原則の定義(R)
5.5. Definition der Geschäftsordnung des Stabs (AS) 5.5. スタッフの手続き規則の定義(AS)
5.6. Herstellung der Fähigkeit zur Stabsarbeit (R+AS) 5.6. スタッフの能力の確立(R+AS)
5.7. NuK-Kommunikation (R+AS) 5.7. NUC通信(R+AS)
5.8. Nacharbeiten und Deeskalation (R+AS) 5.8. 再開とエスカレーションの解除(R+AS)
5.9. Analyse der Bewältigung (R+AS) 5.9. 対処法分析(R+AS)
6. Voranalyse (R+A) 6. 事前対応 (R+A)
6.1. Vorbereitung der Voranalyse (R+A) 6.1. 事前分析の準備(R+A)
6.2. Konkretisierung des Begriffs zeitkritisch (R+A) 6.2. タイムクリティカルという用語の具体化(R+A)
6.3. Durchführung der Voranalyse (R+A) 6.3. 予備解析の実施(R+A)
6.4. Konsolidierung und Vorstellung der Ergebnisse (R+A) 6.4. 成果の集約と発表(R+A)
6.5. Systematische Erweiterung des Prozessumfangs im Rahmen des Aufbau-BCMS (A) 6.5. 構築したBCMSの枠組みの中における計画的プロセス範囲の拡大(A)
7. Business Impact Analyse (R+AS) 7. 事業影響分析 (BIA)(R+AS)
7.1. Vorbereitung der BIA (R+AS) 7.1. BIAの準備(R+AS)
7.2. Durchführung der BIA (R+AS) 7.2. BIAの実施(R+AS)
7.3. Auswertung (R+AS) 7.3. 評価(R+AS)
8. Soll-Ist-Vergleich (R+AS) 8. 目標性能比較 (R+AS)
8.1. Identifizierung der Ressourcenzuständigen (R+AS) 8.1. リソース担当者の特定(R+AS)
8.2. Durchführung des Soll-Ist-Vergleichs (R+AS) 8.2. 目標と実績の比較の実施(R+AS)
8.3. Auswertung und Freigabe der Ergebnisse (R+AS) 8.3. 結果の評価と承認(R+AS)
9. BCM-Risikoanalyse (AS) 9. BCMリスク分析(AS)
9.1. Auswahl einer geeigneten Risikoanalyse-Methode (AS) 9.1. 適切なリスク分析手法の選択(AS)
9.2. Vorarbeiten zur Risikoanalyse (AS) 9.2. リスク分析のための予備作業(AS)
9.3. Erstellung einer Gefährdungsübersicht (AS) 9.3. ハザード・オーバービューの作成(AS)
9.4. Risikoeinschätzung (AS) 9.4. リスクアセスメント(AS)
9.5. Risikobewertung (AS) 9.5. リスク評価(AS)
9.6. Risikobehandlung (AS) 9.6. リスク対応(AS)
10. Business-Continuity-Strategien und Lösungen (AS) 10. 事業継続戦略とソリューション(AS)
10.1. Identifikation möglicher BC-Strategien (AS) 10.1. 考えられる事業継続戦略の特定(AS)
10.2. Bewertung von BC-Strategien (AS) 10.2. 事業継続戦略の評価(AS)
10.3. Auswahl der BC-Strategien durch die Institutionsleitung (AS) 10.3. 機関の経営層による事業継続戦略の選択(AS)
10.4. Umsetzung der BC-Strategien und Lösungen (AS) 10.4. BC戦略・ソリューションの実施(AS)
11.Geschäftsfortführungsplanung (R+AS) 11. 事業継続計画(R+AS)
11.1. Vorbereitung der GFPs (R+AS) 11.1. 事業継続計画の作成(R+AS)
11.2. Erstellung der GFPs (R+AS) 11.2. 事業継続計画の作成(R+AS)
11.3. Qualitätssicherung und Freigabe (R+AS) 11.3. 品質保証とリリース(R+AS)
12. Wiederanlauf- und Wiederherstellungsplanung (AS) 12.再稼働と復旧計画(AS)
12.1. Vorbereitung der WAPs (AS) 12.1. 再稼働計画の準備(AS)
12.2. Erstellung der WAPs (AS) 12.2. 再稼働計画の作成(AS)
12.3. Qualitätssicherung und Freigabe der WAPs (AS) 12.3. 品質保証と再稼働計画の開始(AS)
12.4. Wiederherstellungsplanung im Rahmen des BCM (AS) 12.4. BCMの枠組みにおける復旧計画(AS)
13. Üben und Testen (R+AS) 13. 実践と検証(R+AS)
13.1. Rahmenbedingungen zum Üben im Reaktiv-BCMS (R) 13.1. 受動的BCMSを実践するための枠組み条件(R)
13.2. Festlegung der Rahmenbedingungen zum Üben (AS) 13.2. 訓練フレームワークの確立(AS)
13.3. Erstellung einer Jahresübungsplanung (R+AS) 13.3. 年間演習計画の作成(R+AS)
13.4. Vorbereitung und Durchführung einer Übung (R+AS) 13.4. 演習の準備と実行(R+AS)
13.5. Auswertung und Nachbereitung von Übungen (R+AS) 13.5. 演習の評価とフォローアップ(R+AS)
14. Leistungsüberprüfung und Berichterstattung (AS) 14. パフォーマンスレビューと報告(AS)
14.1. Überwachung, Messung, Analyse und Bewertung (AS) 14.1.モニタリング、測定、分析、評価 (AS)
14.2. Bewertung und Überwachung von externen Dienstleistern (AS) 14.2. 外部サービスプロバイダーの評価と監視(AS)
14.3. Interne und externe Überprüfungen (AS) 14.3. 内部・外部レビュー(AS)
14.4. Managementbewertung (AS) 14.4. マネジメントレビュー(AS)
15. Aufrechterhaltung und Verbesserung (R+AS) 15. 保守・改善(R+AS)
15.1. Vorbereitung eines BCM-Maßnahmenplans (R+AS) 15.1.BCMアクションプランの作成(R+AS)
15.2. Ableitung von Korrektur- und Verbesserungsmaßnahmen (R+AS) 15.2. 是正処置及び改善処置の導出(R+AS)
15.3. Umsetzung und Überwachung von Korrektur- und Verbesserungsmaßnahmen (AS) 15.3. 是正・改善措置の実施とモニタリング(AS)
15.4. Weiterentwicklung des Reaktiv-BCMS (R) 15.4. 受動的BCMSのさらなる発展(R)
Anhang A: Anforderungskatalog 附属書A:要求事項のカタログ
Anhang B: Hinweise zu den Hilfsmitteln 附属書B:ツールに関する注意事項
Literaturverzeichnis 書誌情報

 

BSI 200-4補足資料

・ BSI-Standard 200-4: Hilfsmittel

・サンプルテキストを含む文書テンプレート

[DOCX] Leitlinie ガイドライン
[PPTX] Beispiel für eine BCM-Organisation BCM組織の例
[PPTX] Präsentationsvorlage zur Business-Impact-Analyse 事業影響分析用プレゼンテーションテンプレート
[PPTX] Übersicht über Schadensszenarien und -kategorien 損失シナリオとカテゴリの概要
[XLSX] Bewertungstabelle BC-Strategien 評価表 事業継続戦略
[DOCX] Notfallvorsorgekonzept 防災の考え方
[DOCX] Notfallhandbuch 緊急時対応マニュアル
[PPTX] Beispiel Verhaltenskodex 行動規範の例
[PPTX] Schaubild Eskalations- und Alarmierungspfade エスカレーションとアラートパスの図
[DOCX] Geschäftsfortführungsplan (GFP) 事業継続計画(CFP)
[DOCX] Wiederanlauf- / Wiederherstellungsplan (WAP/WHP) 再稼働/復旧計画(WAP/WHP)
[DOCX] Übungskonzept 訓練のコンセプト
[XLSX] BCM-Maßnahmenplan BCMアクションプラン
[DOCX] Grundanforderungskatalog für Outsourcing und Lieferketten アウトソーシングとサプライチェーンのための基本要件カタログ

 

 

現在のBS-Standard 100-4

BSI-Standard 100-4 Notfallmanagement

BSI-Standard 100-4 Notfallmanagement BSI標準100-4 緊急事態管理
Mit dem BSI-Standard 100-4 wird ein systematischer Weg aufgezeigt, ein Notfallmanagement in einer Behörde oder einem Unternehmen aufzubauen, um die Kontinuität des Geschäftsbetriebs sicherzustellen. Aufgaben eines Notfallmanagements sind daher, die Ausfallsicherheit zu erhöhen und die Institution auf Notfälle und Krisen adäquat vorzubereiten, damit die wichtigsten Geschäftsprozesse bei Ausfall schnell wieder aufgenommen werden können. Es gilt, Schäden durch Notfälle oder Krisen zu minimieren und die Existenz der Behörde oder des Unternehmens auch bei einem größeren Schadensereignis zu sichern. BSI標準100-4は、公共機関や企業において、事業の継続性を確保するための緊急事態管理システムを構築するための体系的な方法を示しています。したがって、緊急管理システムの課題は、フェイルセーフを高め、緊急事態や危機に対して十分に備え、障害が発生した場合に最も重要なビジネスプロセスを迅速に再開できるようにすることである。緊急事態や危機による被害を最小限に抑え、大きな被害が発生した場合でも当局や企業の存続を確保することを目的としています。

 

・[PDF] BSI-Standard 100-4 Notfallmanagement
 
20220928-142521

Inhaltsverzeichnis 目次
1.Einleitung 1.はじめに
1.1.Versionshistorie 1.1.改訂履歴
1.2. Zielsetzung 1.2. 目標
1.3. Adressatenkreis 1.3. 対象者
1.4. Anwendungsweise 1.4. 適用方法
1.5. Literaturverzeichnis 1.5. 書誌事項
2. Notfallmanagement und IT-Grundschutz 2. 緊急事態管理とIT化
2.1.Einordnung in die BSI-Standards 2.1.BSI標準における分類
2.2. Begriffe 2.2. 用語
2.3. Weitere Standards für Notfallmanagement 2.3. その他の緊急事態管理に関する標準
3. Der Notfallmanagement-Prozess 3. 緊急事態管理プロセス
3.1.Überblick 3.1.概要
3.2. Dokumentation 3.2. ドキュメント
3.2.1.Mindestanforderung an die Kennzeichnung der Dokumente zum Notfallmanagement 3.2.1.緊急事態管理文書のラベル付けに関する最低要件
3.2.2. Detailtiefe 3.2.2. 詳細レベル
3.2.3. Änderungsmanagement 3.2.3. 変更管理
3.2.4. Dokumentationsmedium 3.2.4. ドキュメント媒体
3.3. Sicherheit und Datenschutz 3.3. セキュリティとデータ保護
4. Initiierung des Notfallmanagement-Prozesses 4. 緊急事態管理プロセスの開始
4.1.Übernahme von Verantwortung durch die Leitungsebene 4.1.経営層による責任の分担
4.2. Konzeption und Planung des Notfallmanagement-Prozesses 4.2. 緊急管理プロセスの設計と計画
4.2.1.Definition des Notfallmanagements 4.2.1.緊急事態管理の定義
4.2.2. Festlegung des Geltungsbereichs 4.2.2. 適用範囲の決定
4.2.3. Rechtliche Anforderungen und sonstige Vorgaben 4.2.3. 法的要求事項およびその他の仕様
4.2.4. Zielsetzung und Anforderung an das Notfallmanagement 4.2.4. 緊急事態管理の目的および要件
4.2.5. Planungsprinzip 4.2.5. 計画の原則
4.3. Schaffung organisatorischer Voraussetzungen 4.3. 組織的要求事項の作成
4.3.1.Rollen in der Notfallvorsorgeorganisation 4.3.1.緊急時対応組織における役割
4.3.2. Rollen in der Notfallbewältigungsorganisation 4.3.2. 緊急事態管理組織における役割
4.3.3. Zusammenspiel mit dem Informationssicherheitsmanagement 4.3.3. 情報セキュリティ管理との相互作用
4.4. Erstellung einer Leitlinie zum Notfallmanagement 4.4. 緊急時対応ガイドラインの作成
4.5. Bereitstellung von Ressourcen 4.5. リソースの提供
4.5.1.Kosteneffiziente Notfallstrategie 4.5.1.費用対効果の高い緊急対策
4.5.2. Ressourcen für die Notfallmanagement-Organisation 4.5.2. 緊急事態管理組織のためのリソース
4.5.3. Ressourcen für Vorsorgemaßnahmen und deren Betrieb 4.5.3. 備え対策のための資源とその運用
4.5.4. Zusammenarbeit mit anderen Management-Systemen 4.5.4. 他のマネジメントシステムとの協働
4.6. Einbindung aller Mitarbeiter 4.6. 全スタッフの参画
4.6.1.Sensibilisierung und Schulung 4.6.1.意識改革とトレーニング
4.6.2. Einbindung, Risikokommunikation und Früherkennung 4.6.2. 関与、リスクコミュニケーション、早期発見
5. Konzeption 5. 設計
5.1.Die Business Impact Analyse 5.1.ビジネスインパクトの分析
5.1.1.Überblick 5.1.1.概要
5.1.2. Durchführung einer Business Impact Analyse 5.1.2. ビジネスインパクト解析の実施
5.1.2.1.Stammdaten und Geschäftsprozesse 5.1.2.1.マスターデータおよびビジネスプロセス
5.1.2.2. Auswahl der einzubeziehenden Organisationseinheiten und Geschäftsprozesse 5.1.2.2. 対象とする組織単位及び業務プロセスの選定
5.1.2.3. Schadensanalyse 5.1.2.3. ダメージ解析
5.1.2.4. Festlegung der Wiederanlaufparameter 5.1.2.4. 再起動パラメータの決定
5.1.2.5. Berücksichtigung von Abhängigkeiten 5.1.2.5. 依存関係への配慮
5.1.2.6. Priorisierung und Kritikalität der Geschäftsprozesse 5.1.2.6. ビジネスプロセスの優先順位付けと重要性
5.1.2.7. Erhebung der Ressourcen für Normal- und Notbetrieb 5.1.2.7. 平常時および緊急時のオペレーションに必要なリソースの調査
5.1.2.8. Kritikalität und Wiederanlaufzeiten der Ressourcen 5.1.2.8. リソースのクリティカリティと再起動時間
5.1.3. BIA-Bericht 5.1.3. BIAレポート
5.2. Risikoanalyse 5.2. リスク分析
5.2.1.Risikoidentifizierung 5.2.1.リスクの特定
5.2.2. Risikobewertung 5.2.2. リスクアセスメント
5.2.3. Gruppierung und Szenarienbildung 5.2.3. グループ分けとシナリオの構築
5.2.4. Risikostrategie-Optionen identifizieren 5.2.4. リスク戦略オプションの特定
5.2.5. Risikoanalyse-Bericht 5.2.5. リスク分析報告書
5.3. Aufnahme des Ist-Zustandes 5.3. 現状の記録
5.4. Kontinuitätsstrategien 5.4. 継続戦略
5.4.1.Entwicklung von Kontinuitätsstrategien 5.4.1.継続戦略の策定
5.4.2. Kosten-Nutzen-Analyse 5.4.2. コストベネフィット分析
5.4.3. Konsolidierung und Auswahl der Kontinuitätsstrategien 5.4.3. 継続戦略の整理と選択
5.5. Notfallvorsorgekonzept 5.5. 緊急事態への備えの考え方
5.5.1.Feinkonzeption, Sicherheit und Kontrollen 5.5.1.詳細設計、セキュリティ、コントロール
5.5.2. Inhalt 5.5.2. コンテンツ
5.5.3. Bekanntgabe und Verteilung des Notfallvorsorgekonzepts 5.5.3. 緊急事態への備えの考え方の発表と配布
5.5.4. Aktualisierung des Notfallvorsorgekonzepts 5.5.4. 緊急事態への備えの考え方の更新
6. Umsetzung des Notfallvorsorgekonzepts 6. 緊急事態への備えの考え方の実施
6.1.Kosten- und Aufwandsschätzung 6.1.コストと工数の見積もり
6.2. Festlegung der Umsetzungsreihenfolge der Maßnahmen 6.2. 施策の実施順序の決定
6.3. Festlegung der Aufgaben und der Verantwortung 6.3. 課題と責任の定義
6.4. Realisierungsbegleitende Maßnahmen 6.4. 実施に伴う措置
7. Notfallbewältigung und Krisenmanagement 7. 緊急対応・危機管理
7.1.Ablauforganisation 7.1.プロセスの構成
7.1.1.Meldung, Alarmierung und Eskalation 7.1.1.通知、警告、エスカレーション
7.1.2. Sofortmaßnahmen 7.1.2. 緊急対策
7.1.3. Krisenstabsraum 7.1.3. 危機管理室
7.1.4. Aufgaben und Kompetenzen des Krisenstabs 7.1.4. 危機管理チームの任務と能力
7.1.5. Geschäftsfortführung, Wiederanlauf und Wiederherstellung 7.1.5. 事業の継続、再開、回復
7.1.6. Rückführung und Nacharbeiten 7.1.6. 回復と再作業
7.1.7. Analyse der Notfallbewältigung 7.1.7. 緊急時の対応に関する分析
7.1.8. Dokumentation in der Notfallbewältigung 7.1.8. 緊急事態管理における文書化
7.2. Psychologische Aspekte bei der Krisenstabsarbeit 7.2. 危機管理チーム活動の心理的側面
7.3. Krisenkommunikation 7.3. 危機コミュニケーション
7.3.1.Interne Krisenkommunikation 7.3.1.社内危機コミュニケーション
7.3.2. Externe Krisenkommunikation 7.3.2. 社外危機コミュニケーション
7.4. Notfallhandbuch 7.4. 緊急時対応マニュアル
7.4.1.Sofortmaßnahmenplan 7.4.1.緊急時行動計画
7.4.2. Krisenstabsleitfaden 7.4.2. 危機管理チームガイド
7.4.3. Krisenkommunikationsplan 7.4.3. 危機コミュニケーション計画
7.4.4. Geschäftsfortführungspläne 7.4.4. 事業継続計画
7.4.5. Wiederanlaufpläne 7.4.5. 復旧計画
8. Tests und Übungen 8. テストと演習
8.1.Test- und Übungsarten 8.1.テストと演習の種類
8.2. Dokumente 8.2. 文書化
8.2.1.Übungshandbuch 8.2.1.演習マニュアル
8.2.2. Übungsplan 8.2.2. 演習計画
8.2.3. Test- und Übungskonzept 8.2.3. テストと演習の考え方
8.2.4. Test- und Übungsprotokoll 8.2.4. テストと演習のプロトコル
8.3. Durchführung von Tests und Übungen 8.3. テストと演習の実施
8.3.1.Grundsätze 8.3.1.原則
8.3.2. Rollen 8.3.2. 役割
8.3.3. Ablauf 8.3.3. 手続き
9. Aufrechterhaltung und kontinuierliche Verbesserung 9. メンテナンスと継続的改善
9.1.Aufrechterhaltung 9.1.メンテナンス
9.2. Überprüfungen 9.2. レビュー
9.3. Informationsfluss und Managementbewertung 9.3. 情報の流れとマネジメントの見直し
10. Outsourcing und Notfallmanagement 10. アウトソーシングと緊急事態管理
10.1.Planung und Vertragsgestaltung 10.1.企画・契約設計
10.2. Berücksichtigung bei der Konzeption 10.2. 設計上の配慮
11.Tool-Unterstützung 11.ツール支援
12. Glossar 12. 用語集
Anhang A Strategieoptionen 附属書A 戦略オプション
A.1.Arbeitsplätze A.1. 職場
A.2. Personal A.2. 人員
A.3. Informationstechnik A.3. 情報技術
A.4. Komponentenausfälle A.4. コンポーネントの不具合
A.5. Informationen A.5. 情報
A.6. Externe Dienstleister und Lieferanten A.6. 外部サービスプロバイダーとサプライヤー
Anhang B Präventive Maßnahmen 附属書B 予防措置
B.1.Meldetechnik B.1. レポート作成技術
B.2. Datensicherung B.2. データのバックアップ
B.3. Vereinbarungen mit externen Dienstleistern B.3. 外部サービスプロバイダーとの契約
B.4. Festlegung von Ausweichstandorten und deren Anforderungen B.4. 代替手段とその要求事項の決定
Anhang C Gliederung Notfallhandbuch 附属書C 緊急時対応マニュアルの概要
Anhang D Gliederung Geschäftsfortführungsplan 附属書D 事業継続計画の概要
Dankesworte 謝辞

 

 

| | Comments (0)

米国 中小企業庁監察官室 COVID-19と災害支援情報システムセキュリティコントロール

こんにちは、丸山満彦です。

米国中小企業庁監察官室が「COVID-19と災害支援情報システムセキュリティコントロール」についての内部監査報告書を公表しています。勧告が10もありますが、興味深いのは経営陣が2つの勧告(勧告6, 勧告7)に同意しなかったことですね。。。また、1つの勧告(勧告3)については、同意とも不同意とも意見を言っていないです。。。あまり、お目にかからないです。。。また、1つは、パンデミックに特有な問題なので、繰り返されることはない、、、という感じです。

日本の省庁には内部監査部門がないので、こういう報告がないのが残念です。。。

 

Oversight.Gov

・2022.09.27 COVID-19 and Disaster Assistance Information Systems Security Controls

COVID-19 and Disaster Assistance Information Systems Security Controls
COVID-19と災害支援情報システムセキュリティコントロール
This report presents the results of our audit to determine whether the U.S. Small Business Administration (SBA) maintained effective management control activities and monitoring of the design and implementation of third-party operated SBA systems. SBA needed information technology systems from third-party service providers that could improve the system efficiency and productivity to process high transaction volumes, transmit data between other information systems, and safeguard the integrity and confidentiality of the personally identifiable information processed by the programs. We found the agency’s entity-level control environment was not designed in accordance with federal guidance at the beginning of the COVID-19 assistance programs. The agency allowed the third-party systems to be put into service without conducting the baseline assessments. With no baseline, the agency could not perform effective continuous monitoring. Also, we found that control processes did not identify, communicate, and capture privacy and identity risks on an enterprise-wide basis. We made 10 recommendations to strengthen the agency’s entity-level IT control environment. The areas addressed included cybersecurity risk and privacy controls, system development life cycle, continuous monitoring, and the supply chain risk management processes. SBA management fully agreed with seven recommendations, disagreed with two recommendations, and stated one recommendation was specific to the pandemic and will not likely be repeated. While the agency agreed to implement seven recommendations, management’s planned corrective actions did not fully address identified control issues. 本報告書は、米国中小企業庁(SBA)が、第三者が運営するSBAシステムの設計および実装について、効果的な管理統制活動および監視を維持していたかどうかについて、我々の監査結果を提示するものである。SBAは、大量のトランザクションを処理し、他の情報システム間でデータを伝送し、プログラムによって処理される個人識別情報の整合性と機密性を保護するために、システムの効率性と生産性を向上できる第三者サービスプロバイダーからの情報技術システムを必要としていた。我々は、COVID-19支援プログラム開始当初、同機関の事業体レベルの統制環境が連邦政府のガイダンスに従って設計されていないことを発見した。同機関は、ベースライン評価を実施することなく、第三者機関のシステムの稼働を許可した。ベースラインがないため、効果的な継続的監視を行うことができなかった。また、管理プロセスが、プライバシーとアイデンティティのリスクをエンタープライズ規模で特定、伝達、把握できていないことも分かった。我々は、同庁の事業体レベルのIT統制環境を強化するため、10の勧告を行った。対象となった分野は、サイバーセキュリティリスクとプライバシーコントロール、システム開発ライフサイクル、継続的モニタリング、サプライチェーンリスクマネジメントプロセスなどである。SBAの経営陣は、7つの勧告に全面的に同意し、2つの勧告に同意せず、1つの勧告はパンデミックに特有であり、繰り返されることはないだろうと述べている。7 つの勧告の実施には同意したが、経営陣の計画した是正措置は、特定された管理上の問題に完全には対処できていなかった。
1. Ensure the existing SBA System Development Methodology is updated to include supply chain risk-management practices as required by OMB Circular A-130 and high-value asset system designation guidance. Also, ensure high-value asset system risks are incorporated into the enterprise risk management framework, as recommended by OMB M-19-03 and SBA SOP 90 47 6. 1. OMB Circular A-130および高価値資産システム指定ガイダンスで要求されるサプライチェーンリスクマネジメントを含むように、既存のSBAシステム開発方法論を更新することを確実にする。また、OMB M-19-03 および SBA SOP 90 47 6 が推奨するように、高価値資産システムリスクがエンタープライズのリスクマネジメントの枠組みに組み込まれるよう確認する。
2. Communicate and enforce the SBA System Development Methodology in which a traceability matrix is used to ensure that system requirements can be tested and demonstrated in the operational system. Ensure all requirements are aligned with the contractual acceptance criteria. 2. システム要件が運用システムでテストされ実証されることを保証するためにトレーサビリティマトリクスが使用されるSBAシステム開発方法論を伝え、実施する。すべての要件が契約上の受け入れ基準と整合していることを確認する。
3. Implement in updated agency guidance, the requirements of OMB Circular No. A-123 that stipulate a SOC 1 Type 2 report is needed for all new and existing financial systems. This guidance should also require confirmation at least annually that the controls are functioning as designed. 3. OMB Circular No.A-123の要件である、すべての新規および既存の財務システムにSOC 1 Type 2レポートが必要であることを規定する、更新された機関ガイダンスで実施する。また、このガイダンスでは、統制が設計通りに機能していることを少なくとも年1回確認することを義務付けるべきである。
4. Enforce the requirement to establish and implement internal controls to ensure appropriate program officials perform and document contract reviews to ensure that information security is appropriately addressed in the contracting language, as required by OMB Circular A-130 and SBA SOP 90 47 6. 4. OMB Circular A-130及びSBA SOP 90 47 6で要求されているように、情報セキュリティが契約文言に適切に対処されていることを確認するため、適切なプログラム担当者が契約レビューを実施し、文書化するよう内部統制を確立し、実施する要件を実施する。
5. In conjunction with the Enterprise Risk Management Board, implement enterprise-wide privacy risk mitigation practices that can be assimilated into new and existing system program designs. 5. 企業リスクマネジメント委員会と連携し、新規及び既存のシステムプログラムの設計に組み込むことができる、企業全体のプライバシーリスク緩和策を実施する。
6. Complete an initial assessment and authorization for each information system and all agency-designated common controls before operation. 6. 運用開始前に、各情報システム及び機関指定の共通管理の初期評価と認可を完了させる。
7. Transition information systems and common controls to an ongoing authorization process (when eligible for such a process) with the formal approval of the respective authorizing officials or reauthorize information systems and common controls as needed, on a time or event-driven basis in accordance with agency risk tolerance, as required by OMB Circular No. A-130 and SOP 90 47 6. 7. OMB Circular No. A-130 及び SOP 90 47 6 の要求に従い、各権限者の正式な承認を得て、情報システム及び共通制御を 継続的な承認プロセスに移行するか(そのプロセスの対象となる場合)、または情報システム 及び共通制御を必要に応じて、機関のリスク許容度に応じて時間またはイベント駆動型に再承認する。
8. Review and update POA&Ms at least quarterly as required by SOP 90 47 6. 8. SOP 90 47 6 の要求に従い、少なくとも四半期毎に POA&M を見直し、更新する。
9. Ensure data-sharing agreements are reviewed annually as required by SBA SOP 90 47 6. 9. SBA SOP 90 47 6 の要求に従い、データ共有契約が毎年見直されるようにする。
10. Implement an automated process to document and monitor system changes as recommended by NIST SP 800-53 Rev. 5. 10. NIST SP 800-53 Rev. 5 で推奨される、システム変更を文書化し監視する自動化されたプロセスを導入する。

 

・[PDF] SBA-OIG-Report-22-19.pdf

20220928-234323

 

 

| | Comments (0)

2022.09.28

経済産業省 デジタルガバナンス・コード 2.0 (2022.09.13)

こんにちは、丸山満彦です。

デジタルガバナンス・コード 2.0 が策定されていたのを忘れていました...

経済産業省 - デジタルガバナンス・コード

・2022.09.13 [PDF] デジタルガバナンス・コード2.0

20220927-224312

 

・[PDF] デジタルガバナンス・コード改訂のポイント

20220927-224638

 

  • 情報処理の促進に関する法律及びその指針に紐付くデジタルガバナンス・コードは、2年 に⼀度、⾒直しについて議論をすることとされており、策定時(202011⽉)から 約2年が経つ今回のタイミングで改訂の議論を実施。

  • 有識者会議において議論を⾏ったところ、今回の改訂においては、DX銘柄やDX認定等 の普及促進の観点から⼤幅な変更は⾏わず、デジタル⼈材の育成・確保やSX/GXとの 関わり等の新たなトピックを踏まえて「デジタルガバナンス・コード2.0」として企業のDXの 更なる促進に向けたメッセージを発信することとした。

 


 

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.09.05 経済産業省 意見募集 デジタルガバナンス・コード2.0(案) (2022.08.10)

・2022.04.09 経済産業省 中小企業のDXに役立つ「手引き」と「AI導入ガイドブック」

・2021.05.26 サイバーセキュリティ対策推進議員連盟 サイバーセキュリティ対策に関する提言を取りまとめ

 

| | Comments (0)

2022.09.27

米国 GAO 遠隔医療:監視を強化し、プロバイダーがプライバシーとセキュリティのリスクについて患者を教育するために必要な行動

 

 

Medicare Telehealth: Actions Needed to Strengthen Oversight and Help Providers Educate Patients on Privacy and Security Risks 遠隔医療:監視を強化し、プロバイダーがプライバシーとセキュリティのリスクについて患者を教育するために必要な行動
GAO-22-104454 GAO-22-104454
Fast Facts  概要
To help patients access care during the pandemic, Medicare temporarily waived restrictions on telehealth—health care services delivered via phone or video. The use of telehealth services rose tenfold: 53 million telehealth visits in Apr.-Dec. 2020 vs. 5 million during the same period in 2019. パンデミック時に患者がケアにアクセスできるよう、メディケアは電話やビデオで提供される遠隔医療サービスに関する制限を一時的に免除した。遠隔医療サービスの利用は10倍に増え、2020年4月~12月の遠隔医療訪問は5,300万件で、2019年の同時期には500万件であった。
But Medicare hasn't comprehensively assessed the quality of care patients received, and lacks data on telehealth services delivered in patients' homes or via phone. Patients may also be unaware that their private health information could be overheard or inappropriately disclosed during their video appointment. しかし、メディケアは患者が受けたケアの質を包括的に評価しておらず、患者の自宅や電話で提供された遠隔医療サービスに関するデータが不足している。また、患者はビデオ予約中に自分の個人的な健康情報が盗み聞きされたり、不適切に開示される可能性があることを知らない可能性がある。
Our recommendations address these issues. 我々の提言は、これらの問題に対処するものである。
Highlights  ハイライト
What GAO Found GAOの発見事項
In response to the COVID-19 pandemic, the Department of Health and Human Services (HHS) temporarily waived certain Medicare restrictions on telehealth—the delivery of some services via audio-only or video technology. Use of telehealth services increased from about 5 million services pre-waiver (April to December 2019) to more than 53 million services post-waiver (April to December 2020). Total utilization of all Medicare services declined by about 14 percent post-waiver due to a 25 percent drop in in-person service use. GAO also found that, post-waiver, telehealth services increased across all provider specialties, and 5 percent of providers delivered over 40 percent of services. Urban providers delivered a greater percentage of their services via telehealth compared to rural providers; office visits and psychotherapy were the most common services. COVID-19の大流行を受けて、保健社会福祉省(HHS)は一時的に遠隔医療(音声のみあるいはビデオ技術による一部のサービスの提供)に関するメディケアの制限を免除した。遠隔医療サービスの利用は、免除前(2019年4月~12月)の約500万サービスから、免除後(2020年4月~12月)の5,300万サービス以上に増加した。対面サービスの利用が25%減少したため、メディケアの全サービスの利用総額は放棄後に約14%減少した。GAOはまた、権利放棄後、遠隔医療サービスはすべての医療機関の専門分野で増加し、5%の医療機関が40%以上のサービスを提供していることを明らかにした。都市部のプロバイダーは、地方のプロバイダーと比較して、遠隔医療経由でサービスを提供する割合が高く、診察と心理療法が最も一般的なサービスであった。
Telehealth and In-Person Utilization, by Month, April 2019–December 2020 遠隔医療と対面診療の利用状況(月別)、2019年4月~2020年12月
01_20220927043101
The Centers for Medicare & Medicaid Services (CMS) within HHS took actions to monitor some program integrity risks related to the telehealth waivers. However, CMS lacks complete data on the use of audio-only technology and telehealth visits furnished in beneficiaries' homes. This is because there is no billing mechanism for providers to identify all instances of audio-only visits. Moreover, providers are not required to use available codes to identify visits furnished in beneficiaries' homes. Complete data are important, as the quality of these services may not be equivalent to that of in-person services. Also, CMS has not comprehensively assessed the quality of telehealth services delivered under the waivers and has no plans to do so, which is inconsistent with CMS' quality strategy. Without an assessment of the quality of telehealth services, CMS may not be able to fully ensure that services lead to improved health outcomes. HHS内のメディケア&メディケイドサービスセンター(CMS)は、遠隔医療免除に関連するいくつかのプログラムインテグリティ・リスクを監視するための行動をとった。しかし、CMSは、受益者の自宅で提供される音声のみの技術および遠隔医療訪問の使用に関する完全なデータを欠いている。これは、プロバイダが音声のみの訪問のすべての事例を識別するための請求メカニズムがないためである。さらに、プロバイダーは、受益者の自宅で提供された訪問を識別するために利用可能なコードを使用することを要求されない。これらのサービスの質は、対面式サービスと同等でない可能性があるため、完全なデータが重要である。また、CMSは免除措置の下で提供される遠隔医療サービスの質を包括的に評価しておらず、その計画もないが、これはCMSの品質戦略と矛盾している。遠隔医療サービスの質の評価が行われなければ、CMSはサービスが健康アウトカムの改善につながることを十分に保証できないかもしれない。
In March 2020, HHS's Office for Civil Rights (OCR) announced that it would not impose penalties against providers for noncompliance with privacy and security requirements in connection with the good faith provision of telehealth during the COVID-19 public health emergency. OCR encouraged covered providers to notify patients of potential privacy and security risks. However, it did not advise providers of specific language to use or give direction to help them explain these risks to their patients. Providing such information to providers could help ensure that patients understand potential effects on their protected health information in light of the privacy and security risks associated with telehealth technology. 2020年3月、HHSの公民権局(OCR)は、COVID-19公衆衛生緊急時の誠意ある遠隔医療提供に関連して、プライバシーおよびセキュリティ要件の不遵守に対してプロバイダーに対する罰則を課さないことを発表した。OCRは、対象となるプロバイダーに対し、潜在的なプライバシーとセキュリティのリスクについて患者に通知するよう奨励した。しかし、プロバイダーがこれらのリスクを患者に説明するのを助けるために、使用すべき特定の言語をアドバイスしたり、指示を与えることはなかった。プロバイダーにそのような情報を提供することは、患者が遠隔医療技術に関連するプライバシーとセキュリティのリスクに照らして、保護された健康情報への潜在的な影響を理解することを確実にするのに役立つ可能性がある。
Why GAO Did This Study GAOがこの調査を行った理由
By law, Medicare pays for telehealth services under limited circumstances—such as only in certain (mostly rural) geographic locations. The waivers and other flexibilities that HHS issued in March 2020 (including under its own regulatory authority) have allowed services to be safely delivered and received during the pandemic. There is stakeholder interest in making these changes permanent. GAO and others have noted that extending them may increase spending and pose new risks of fraud, waste, and abuse. 法律では、メディケアは特定の(主に地方の)地理的な場所だけといった限られた状況下で遠隔医療サービスに支払っている。HHSが2020年3月に発行した免除措置やその他の柔軟性(独自の規制権限に基づくものも含む)により、パンデミックの間もサービスを安全に提供・受信することができた。これらの変更を恒久化することに利害関係者の関心が集まっている。GAOなどは、これらの延長は支出を増やし、不正・無駄・濫用の新たなリスクをもたらす可能性があると指摘している。
GAO was asked to review telehealth services under the waivers. This report describes, among other issues, (1) the utilization of telehealth services, (2) CMS efforts to identify and monitor risks posed by Medicare telehealth waivers, and (3) a change OCR made to its enforcement of regulations governing patients' protected health information during the COVID-19 public health emergency. GAOは、免除措置の下での遠隔医療サービスを検討するよう依頼された。本報告書は、特に、(1)遠隔医療サービスの利用、(2)メディケア遠隔医療免除がもたらすリスクを特定し監視するCMSの取り組み、(3)COVID-19公衆衛生緊急時に患者の保護医療情報を管理する規制の施行にOCRが行った変更について記述している。
GAO analyzed Medicare claims data from 2019 through 2020 (the most recently available data at the time); reviewed federal statutes, CMS documents (including its assessment of risks posed by telehealth waivers), and OCR guidance; and interviewed agency officials. GAOは、2019年から2020年までのメディケア請求データ(当時入手可能な最新のデータ)を分析し、連邦法、CMS文書(遠隔医療放棄がもたらすリスクの評価を含む)、およびOCRガイダンスを検討し、政府機関職員にインタビューした。
Recommendations 勧告
GAO is making three recommendations for CMS to strengthen its telehealth oversight, and one for OCR to provide additional direction to providers to explain privacy and security risks to patients. HHS neither agreed nor disagreed with the three CMS recommendations and concurred with the OCR recommendation. GAOは、CMSに対して遠隔医療の監視を強化するよう3つの勧告を、OCRに対して患者にプライバシーとセキュリティのリスクを説明するようプロバイダーに追加の指示を提供するよう1つの勧告を行っている。HHSはCMSの3つの勧告に同意も反対もせず、OCRの勧告に同意した。
Recommendations for Executive Action 行政措置に関する勧告
Agency Affected 影響を受ける機関
Centers for Medicare & Medicaid Services メディケア&メディケイドサービスセンター
The Administrator of CMS should develop an additional billing modifier or clarify its guidance regarding billing of audio-only office visits to allow the agency to fully track these visits. (Recommendation 1) CMS長官は、音声のみの診察の請求に関する追加の請求修飾子を開発するか、またはガイダンスを明確にして、これらの診察を完全に追跡できるようにすべきである。(勧告1)
The Administrator of CMS should require providers to use available site of service codes to indicate when Medicare telehealth services are delivered to beneficiaries in their homes. (Recommendation 2) CMS長官は、メディケアの遠隔医療サービスが受益者の自宅で提供される場合に、利用可能なサービス部位コードを使用するようプロバイダに要求すべきである。(提言2)。
The Administrator of CMS should comprehensively assess the quality of Medicare services, including audio-only services, delivered using telehealth during the public health emergency. Such an assessment could include leveraging evidence from related efforts led by other HHS agencies. (Recommendation 3) CMS長官は、公衆衛生上の緊急事態の間、遠隔医療を使用して提供された音声のみのサービスを含むメディケアサービスの質を包括的に評価するべきである。そのような評価には、他のHHS機関が主導する関連する取り組みからの証拠の活用を含むことができる。(勧告3)
Office for Civil Rights for the Department of Education 教育省市民権局
OCR should provide additional education, outreach, or other assistance to providers to help them explain the privacy and security risks to patients in plain language when using video telehealth platforms to provide telehealth services. (Recommendation 4) OCRは、ビデオ遠隔医療プラットフォームを使用して遠隔医療サービスを提供する際に、プライバシーとセキュリティのリスクを患者に分かりやすく説明できるよう、プロバイダーに追加の教育、アウトリーチ、その他の支援を提供する必要がある。(推奨事項4)
When we confirm what actions the agency has taken in response to this recommendation, we will provide updated information. この勧告に対して同省がどのような行動をとったか確認できた場合、最新の情報を提供する。

 

・[PDF] Highlights Page

20220927-43707

 

・[PDF] Full Report

20220927-43722

 

Letter レター
Background 背景
Utilization of and Spending on Telehealth Services Increased Under Waivers; Services Were Concentrated Among 5 Percent of Providers and Beneficiaries 遠隔医療サービスの利用と支出は免除の下で増加したが、サービスは5%のプロバイダーと受益者に集中した
CMS Identifies and Monitors Some Program Integrity Risks but Lacks Complete Data about Telehealth Delivery and Has Not Assessed Care Quality CMSはいくつかのプログラム・インテグリティ・リスクを特定し監視しているが、テレヘルスの提供に関する完全なデータがなく、ケアの質も評価していない
Patients May Be Unaware that OCR’s March 2020 Telehealth Policy May Not Protect Patient Privacy OCRの2020年3月のテレヘルスポリシーが患者のプライバシーを保護しない可能性があることを、患者は知らない可能性がある
Stakeholders Believe Telehealth Waivers Enabled Access but Noted Limitations; Most Support Extension 関係者は遠隔医療免除によってアクセスが可能になったと信じているが、限界も指摘しており、ほとんどの関係者は延長を支持している
Conclusions 結論
Recommendations for Executive Action 行政措置への提言
Agency Comments and Our Evaluation 政府機関のコメントと我々の評価
Appendix I Objectives, Scope, and Methodology 附属書 I 目的、範囲、および方法論
Appendix II Additional Information on Telehealth Utilization 附属書 II 遠隔医療利用についての追加情報
Appendix III Overview of Health Insurance Portability and Accountability Act of 1996 Privacy, Security, Enforcement, and Breach Notification Rules 附属書 III 1996年医療保険の相互運用性と説明責任に関する法律のプライバシー、セキュリティ、施行、および侵害通知規則の概要
Appendix IV Comments from the Department of Health and Human Services 附属書 IV 保健福祉省からのコメント
Appendix V GAO Contact and Staff Acknowledgments 附属書 V GAOの連絡先とスタッフへの謝辞

| | Comments (0)

米国 White House ハリス副大統領、岸田首相との会談

こんにちは、丸山満彦です。

安倍元首相がなくなり、本日27日国葬が行われますね。。。何事についても賛否両論があると思います。ただ、一人の人間が亡くなったということについて、弔意を示すことは当然でしょう。それぞれの関係の中でそれぞれのやり方で。。。もし国を挙げて弔意を示し、葬儀をしたいというのであれば、国民の代表者からなる国会での承認を取れば良かったのかも知れません。

さて、この国葬を捉えて弔問外交という話もありますね。弔意を示す場を政治的に利用するというのは、どうかという話もありますが、これも政治家の葬儀なので、そういうことになるのでしょう。私たち庶民の葬儀でも、規模は違うけれども、似たような話があるかも知れません。

The White House

・2022.09.26 Readout of Vice President Harris’s Meeting with Prime Minister Kishida of Japan

Readout of Vice President Harris’s Meeting with Prime Minister Kishida of Japan ハリス副大統領、岸田首相との会談を読み解く
STATEMENTS AND RELEASES 声明およびリリース
Vice President Kamala Harris today met with Prime Minister Kishida Fumio in Tokyo, Japan. The Vice President conveyed condolences over the assassination of former Prime Minister Abe Shinzo and they discussed his legacy in advance of tomorrow’s state funeral, for which the Vice President is leading the U.S. Presidential Delegation. The Vice President praised former Prime Minister Abe as a champion of the U.S.-Japan Alliance and a free and open Indo-Pacific, and affirmed the United States’ commitment to continue building on that legacy. カマラ・ハリス副大統領は本日、日本の東京で岸田文雄首相と会談した。副大統領は、安倍晋三元首相が暗殺されたことに哀悼の意を表し、副大統領が米国大統領代表団を率いて参列する明日の国葬を前に、その遺志を語り合った。副大統領は、日米同盟と自由で開かれたインド太平洋の擁護者として安倍元首相を称賛し、その遺産を引き続き築いていくという米国のコミットメントを確認した。
The Vice President underscored that the U.S.-Japan Alliance is the cornerstone of peace and stability in the Indo-Pacific, and they discussed efforts to promote a free and open Indo-Pacific. The Vice President reaffirmed the United States’ ironclad commitment to Japan’s defense. They discussed the People’s Republic of China’s recent aggressive and irresponsible provocations in the Taiwan Strait, and reaffirmed the importance of preserving peace and stability across the Taiwan Strait. The leaders condemned recent ballistic missile launch by the Democratic People’s Republic of Korea (DPRK) and pledged to work together to address the threats posed by DPRK’s nuclear and ballistic weapons program. They discussed the importance of resolving the issue of Japanese citizens abducted by the DPRK. The Vice President welcomed our growing space cooperation, across commercial, civil, and security sectors, and discussed opportunities to expand our partnership in these areas. In particular, they discussed the need to develop international rules and norms and finalize foundational documents to govern bilateral space cooperation.   副大統領は、日米同盟がインド太平洋の平和と安定の礎であることを強調し、自由で開かれたインド太平洋を促進するための努力について議論した。副大統領は、日本の防衛に対する米国の完全なコミットメントを再確認した。両首脳は、中華人民共和国による最近の台湾海峡における攻撃的で無責任な挑発行為について協議し、台湾海峡の平和と安定を維持することの重要性を再確認した。両首脳は,朝鮮民主主義人民共和国(DPRK)による最近の弾道ミサイル発射を非難し,DPRKの核及び弾道兵器プログラムがもたらす脅威に対処するために協力することを約束した。両氏は、北朝鮮による日本人拉致問題の解決の重要性について議論した。副大統領は、商業、民事及び安全保障の各分野にわたる我々の宇宙協力の拡大を歓迎し、これらの分野における我々のパートナーシップを拡大する機会について議論した。特に、国際的なルールや規範を整備し、二国間の宇宙協力を規定する基礎文書を確定させる必要性について議論した。 
The Vice President thanked the Prime Minister for Japan’s leadership on regional and global issues. The Vice President and the Prime Minister reviewed recent developments regarding Russia’s invasion of Ukraine, and the Vice President recognized the Prime Minister’s decisive action to ensure Russia is held accountable. They emphasized the importance of enhancing cooperation in Southeast Asia, the Pacific Islands, and Latin America. The Vice President underscored the benefits of U.S-Japan-Republic of Korea trilateral cooperation given our shared security concerns and welcomed progress toward closer Japan-Republic of Korea bilateral ties. 副大統領は、地域的・世界的な問題に対する日本のリーダーシップについて、首相に謝意を表明した。副大統領と首相は、ロシアのウクライナ侵攻に関する最近の動向を検討し、副大統領は、ロシアの責任追及を確保するための首相の果断な行動を認識した。両者は、東南アジア、太平洋諸島およびラテンアメリカにおける協力強化の重要性を強調した。副大統領は、安全保障上の懸念を共有する日米韓3カ国協力の利点を強調し、日韓2国間関係の緊密化に向けた前進を歓迎した。

 

この訪日+訪韓に先立って記者会見も行われています。。。

・2022.09.22 Background Press Call Previewing the Vice President’s Upcoming Travel to Japan and the Republic of Korea

訪日の目的は3つと言っていますね。。。

  1. 安倍首相の遺産を尊重し、安倍首相暗殺の悲劇を悼む日本国民を支援すること
  2. ますます複雑化する安全保障環境において、同盟国に対する米国のコミットメントを再確認すること
  3. インド太平洋地域への全体的な関与を深めること

その一方、岸田総理は、国連総会ハイレベル・ウィークで先週訪米していますね。。。

 

● フィリピン大統領

・2022.09.22 Readout of President Biden’s Meeting with Philippine President Ferdinand Marcos Jr.

● 岸田首相

・2022.09.21 Readout of President Joe Biden’s Meeting with Prime Minister Kishida of Japan

Readout of President Joe Biden’s Meeting with Prime Minister Kishida of Japan ジョー・バイデン大統領と岸田外相との会談の要旨
President Joseph R. Biden, Jr. met today with Prime Minister Kishida of Japan on the margins of the United Nations General Assembly in New York. The two leaders discussed the importance of advancing a free and open Indo-Pacific, emphasizing the importance of strengthening and modernizing their security alliance. During the meeting, President Biden thanked Prime Minister Kishida for Japan’s historic $1.08 billion pledge to the Global Fund’s Seventh Replenishment. ジョセフ・R・バイデン大統領は本日、ニューヨークで開催中の国連総会の傍ら、日本の岸田首相と会談した。両首脳は、自由で開かれたインド太平洋を進めることの重要性について議論し、両国の安全保障同盟を強化し、近代化することの重要性を強調した。会談の中でバイデン大統領は、世界基金の第7次増資に対する日本の歴史的な10.8億ドルの拠出誓約について岸田首相に謝意を表明しました。

● 韓国・ソクヨル大統領

・2022.09.21 Readout of President Joe Biden’s Meeting with President Yoon Suk Yeol of the Republic of Korea

● 仏国・マクロン大統領

・2022.09.21 Readout of President Joe Biden’s Meeting with President Emmanuel Macron of France

● 英国・トラス首相

・2022.09.21 Readout of President Joe Biden’s Meeting with Prime Minister Liz Truss of the United Kingdom

 

Fig1_20210802074601

 


さて、日本側の説明、、、

官邸

・2022.09.26 ハリス米国副大統領による岸田総理大臣表敬及び岸田総理大臣と米国代表団との夕食会

国連総会ハイレベル・ウィーク

・2022.09.22 米国訪問についての内外記者会見

 

| | Comments (0)

2022.09.26

米国 GAO 情報環境:DODの国家安全保障ミッションに対する機会および脅威 (2022.09.21)

こんにちは、丸山満彦です。

米国のGAOが国防総省の国家安全保障ミッションに対する機会および脅威に関する報告書を公表していますね。。。

● U.S. Government Accountability Office; GAO

・2022.09.21 Information Environment:Opportunities and Threats to DOD's National Security Mission

 

Information Environment:Opportunities and Threats to DOD's National Security Mission 情報環境:DODの国家安全保障ミッションに対する機会および脅威
GAO-22-104714 GAO-22-104714
Fast Facts 概要
To offset U.S. conventional warfighting advantages, opponents try to use the information environment, including information technology and social media. Actions can range from trying to plant malware in weapons to spreading disinformation on social media. 米国の通常戦の優位性を相殺するために、敵対勢力はITやソーシャルメディアなどの情報環境を利用しようとする。その行動は、兵器にマルウェアを仕掛けるものから、ソーシャルメディア上での偽情報の拡散に至るまで、多岐にわたる。
This report describes DOD's use and protection of the information environment. We profile 6 areas—such as threats and emerging technologies—and offer questions for further oversight. For example, DOD components identified threats like collecting intelligence, influencing decision-making, degrading electromagnetic spectrum capabilities, and cyberattacks. 本報告書は、DODの情報環境の利用と保護について記述している。脅威や新技術など6つの分野を取り上げ、さらなる監視のための質問を提示する。例えば、DODの構成要素は、情報収集、意思決定への影響、電磁波スペクトル能力の低下、サイバー攻撃などの脅威を特定した。
Information Environment Threats 情報環境の脅威
01_20220926142201
Highlights ハイライト
What GAO Found GAOの発見事項
Given the ubiquitous nature of the information environment, both DOD and adversaries can conduct operations and activities in the information environment from anywhere in the world. Additionally, with DOD capabilities dependent on IT and the electromagnetic spectrum (EMS), its ability to conduct operations and activities in any of the physical domains (land, maritime, air, and space) is reliant on protecting the information environment. Based on a review of DOD strategies, questionnaires, interviews, and guidance documents, GAO found: 情報環境のユビキタス性を考えると、DODも敵対者も世界のどこからでも情報環境での作戦や活動を行うことができる。さらに、DODの能力がITと電磁スペクトル(EMS)に依存しているため、物理的領域(陸、海、空、宇宙)のいずれでも作戦や活動を行う能力は、情報環境の保護に依存している。DODの戦略、アンケート、インタビュー、ガイダンス文書のレビューに基づき、GAOは以下のことを明らかにした。
Ubiquitous and Malign Information. The fusion of ubiquitous information and technology has granted individuals, organizations, and nation-states the ability to target the cognitive foundations of individuals—beliefs, emotions, and experiences—for purposes either benign or malign. The proliferation of ubiquitous information, misinformation, disinformation, and malinformation has prompted defense experts to begin examining the concept of cognitive security. ユビキタス情報と有害情報。 ユビキタス情報とテクノロジーの融合は、個人、組織、国家に、個人の認知的基盤-信念、感情、経験-を良性または悪性の目的のために標的とする能力を与えている。ユビキタス情報、誤情報、偽情報、悪意ある情報の急増は、防衛専門家に認知的安全保障の概念の検討を促した。
Relationship between Misinformation, Disinformation, and Malinformation 誤情報、偽情報、悪意ある情報の関係
02
DOD Missions and Functions. Technology, the EMS, and the sharing of data are integral to accomplishing DOD's missions in the information environment. DOD components consistently identified the conduct of military operations, communications, command and control decision-making, and others, as missions and functions affected by the information environment. DODの任務と機能 技術、EMS、データの共有は、情報環境におけるDODの任務達成に不可欠である。DODの各部門は一貫して、軍事作戦の実施、通信、指揮統制の意思決定、その他を、情報環境の影響を受ける任務と機能として挙げている。
Threat Actors. National and DOD strategies recognize that nation-states—such as China, Russia, Iran, and North Korea—have demonstrated that they are threat actors in the information environment, employing malicious cyber, EMS, and influence activities against DOD interests. Additionally, nonstate actors—such as insider threats, foreign terrorists, transnational criminal organizations, and others—pose a threat to DOD personnel at home and abroad. 脅威の主体。 国家と国防省の戦略は、中国、ロシア、イラン、北朝鮮のような国家が、国防省の利益に対して悪意のあるサイバー、EMS、影響力活動を採用し、情報環境における脅威行為者であることを示してきたと認識している。さらに、非国家主体-内部脅威、外国人テロリスト、多国籍犯罪組織、その他-は国内外の国防総省職員に脅威を与えている。
Threat Actions. DOD components highlighted a variety of cyberspace threats, information or intelligence collection threats, influence threats, and EMS threats that adversely affect DOD personnel and capabilities (see figure below). 脅威の行動 DOD の構成要素は DOD の人員と能力に悪影響を与える様々なサイバースペースの脅威、情報または情報収集の脅威、影響の脅威、EMS の脅威を強調した(下図を参照)。
Institutional Challenges. National and DOD strategies and documents identify a number of institutional challenges that DOD must address. The challenges include a lack of leadership emphasis, lack of resources, the implications of new technologies, and dated processes. DOD components identified personnel, funding, IT, organization, and training as the most important institutional challenges they face related to the information environment. 制度的な課題。 国家と国防総省の戦略や文書は、国防総省が対処しなければならない多くの制度的課題を明らかにしている。その課題とは、指導者の強調不足、資源の不足、新技術の影響、そして時代遅れのプロセスなどである。DODの構成要素は、情報環境に関連して直面する最も重要な組織的課題として、人材、資金、IT、組織、およびトレーニングを挙げている。
Emerging Technologies. DOD components identified a variety of technologies that may present either opportunities for or threats to DOD in the information environment: artificial intelligence and machine learning, quantum computing, social media platforms, and bots. Additionally, relevant reports and subject matter experts have identified extended reality, fifth-generation wireless telecommunications, and the Internet of Things as technologies that could have either positive benefits or negative consequences for DOD. 新たなテクノロジー DODの構成要素は、情報環境においてDODに機会または脅威を与える可能性のある様々な技術を特定した:人工知能と機械学習、量子コンピューティング、ソーシャルメディアプラットフォーム、およびボット。さらに、関連するレポートや主題専門家は、拡張現実、第5世代無線通信、およびモノのインターネットを、DODにプラスの利益またはマイナスの結果のいずれかをもたらす可能性のある技術として認識している。
Past and Planned DOD Actions. Achieving and sustaining an advantage requires DOD to undertake and plan actions across multiple areas, including doctrine, organization, and training. For example, DOD elevated the concept of "information" and has been revising its doctrine publications to reflect the fundamental nature of information in joint operations. 過去および計画されたDODの行動。 優位性を達成し維持するためには、DOD は教義、組織、訓練を含む複数の領域で行動を起こし、計画することが必要である。例えば、DODは「情報」の概念を高め、統合作戦における情報の基本的な性質を反映するために、教義書の改訂を進めている。
Threat Actions in the Information Environment 情報環境における脅威の行動
03
Why GAO Did This Study GAOがこの調査を行った理由
Today's information environment poses new and complex challenges for national security as the world has shifted from an industrial age to an information age. Advances in information technology, wireless communications, and social media have increased the speed and range of information, diffused power over information, and shifted socio-cultural norms. The United States' competitors and adversaries are taking advantage of these advances and the subsequent effects in the information environment to offset the U.S.'s conventional warfighting advantages. 今日の情報環境は、世界が工業化時代から情報化時代へと移行したため、国家安全保障に新たな複雑な課題を突きつけている。情報技術、無線通信、ソーシャルメディアの進歩は、情報の速度と範囲を拡大し、情報に対する力を拡散させ、社会文化的規範を変化させた。米国の競争相手や敵対勢力は、これらの進歩とそれに伴う情報環境の影響を利用し、米国の通常戦の優位性を相殺しようとしている。
The Department of Defense (DOD) defines the information environment as the aggregate of individuals, organizations, and systems that collect, process, disseminate, or act on information— consisting of physical, informational, and cognitive dimensions, as shown in the figure below. 国防総省(DOD)は、情報環境を、情報を収集、処理、普及、行動する個人、組織、システムの集合体として定義しており、下図に示すように、物理的、情報的、認知的側面から構成されている。
Three Dimensions of the Information Environment 情報環境の3つの次元
04
To illustrate and better inform Congress and DOD officials, this report describes DOD's use and protection of the information environment through the following six key elements—ubiquitous and malign information, effects on DOD's mission, threat actors, threat actions, institutional challenges, and emerging technologies that can enable or adversely affect DOD's missions. This report also describes DOD actions taken and planned to use and protect the information environment. 議会とDOD職員に説明し、より良く伝えるために、この報告書はDODの情報環境の利用と保護を次の6つの主要要素-偏在する悪意ある情報、DODの任務への影響、脅威の行為者、制度的課題、DODの任務に有効または悪影響を与える新技術-を通じて説明する。本報告書はまた、情報環境を利用し保護するためにとられたDODの行動と計画についても記述している。
To prepare this report, among other things, GAO administered questionnaires to 25 DOD organizations involved in the information environment. GAO staff also interviewed officials and subject matter experts; reviewed 35 documents on strategy, policy, doctrine, and other guidance from DOD and other federal agencies; and reviewed studies and other documents. この報告書を作成するために、GAOは特に、情報環境に関与する25のDOD組織にアンケートを実施した。また、GAOスタッフは関係者や主題専門家にインタビューを行い、DODや他の連邦機関の戦略、政策、ドクトリン、その他のガイダンスに関する35の文書を検討し、研究およびその他の文書も検討した。

 

情報環境の脅威

コンポーネントの情報システムに対する悪質なサイバー行為 意思決定を低下させることを目的とした指揮統制情報システムの操作
構成員の任務、業務、または人員を理解するための情報または諜報活動の収集 DODロジスティクス請負業者の活動や軍人のソーシャルメディアや携帯電話の使用状況の変化から配備スケジュールを特定する。
軍人や職員の士気や意思決定を標的としたり、影響を与えようとしたりすること。 ソーシャルメディア上の誤報や偽情報により、士気や即応性を低下させる。
DODの能力を低下させたり、損害を与えるための電磁スペクトル(EMS)の悪意ある使用。 GPS 信号または通信の EMS 妨害

 

誤情報、偽情報、悪意ある情報

誤情報 偽情報 悪意ある情報
写真のキャプション、日付、統計、翻訳、または風刺を真に受けた場合など、意図しない間違い。 捏造された、または意図的に操作されたオーディオ/ビジュアルコンテンツ、意図的に作られた陰謀論や風説。 非常に正確な情報であり、現実に即しているが、個人、組織、または国に損害を与えるために、文脈にそぐわない形で提示される可能性のある情報。

 

情報環境の3つの次元

認知的次元 情報的次元 物理的次元
人間中心 データ中心 有形物、現実にあるもの
信念、規範、脆弱性、動機、経験、モラル、教育、メンタルヘルス、アイデンティティ、イデオロギーなど 指揮統制が行われ、指揮官の意図が伝達される場所と方法に関する情報の収集、処理、保管、伝達、および保護 人間、指揮統制施設、新聞、書籍、通信塔、コンピュータ・サーバー、ノートパソコン、スマートフォン、タブレット端末

 

・[PDF] Hilights Pages

20220926-152844

 

・[PDF] Full Report

20220926-152901

 

| | Comments (0)

米国 GAO 核兵器のサイバーセキュリティ:NNSAはサイバーセキュリティの基礎的なリスクマネジメントを完全に実施すべき

こんにちは、丸山満彦です。

米国のGAOというのは、やはり相当な権限がありますね。。。このGAOの強力な権限というのが、議会による政府の監督を実効あらしめ、ひいては国民の信頼を得るという構造に貢献しているのだろうと思いました。。。

 

さて、国家核安全保障局(NNSA)およびその契約先は、6つあるサイバーセキュリティの基礎的なリスクマネジメントのうち、いくつを改善する必要があるということのようです。。。

組織全体のサイバーセキュリティ・リスクマネジメント・プログラムを確立するための基礎的なサイバーセキュリティ・リスクマネジメントの実践

実践 1 リスクマネジメントのためのサイバーセキュリティの役割と責任を特定し、割り当てる。 サイバーセキュリティリスクが組織全体で取り組まれていることを確認するために、米国標準技術局(NIST)の特別刊行物(SP)800-37は、組織が個人またはグループを特定し、特定の役割と責任を割り当てるべきであると述べている。この実践の意図は、サイバーセキュリティリスク活動を組織全体で監督し、利害関係者間の協力とサイバーセキュリティリスクマネジメント戦略の一貫した適用を促進することである。
実践 2 組織のサイバーセキュリティリスクマネジメント戦略を確立し、維持する。 米国行政管理予算局(OMB)Circular A-130、NIST SP 800-37、国家安全保障システム委員会(CNSS)ポリシー22によると、組織はリスクマネジメント戦略を策定し、維持する必要があるとしている。NIST SP 800-37は、リスクマネジメント戦略の9つの要素について説明している。CNSSの命令1253は、組織に対して、少なくとも年1回はリスクマネジメント戦略を見直し、更新することを求めている。さらに、NIST SP 800-53によると、組織は組織の変化に対応するために、戦略を見直し、更新する必要がある。この実践の意図は、サイバーセキュリティリスクを管理するための基盤を構築し、リスクベースの決定のための境界を明確にすることであり、サイバーセキュリティリスクの枠組み、評価、対応、監視の方法を知らせることである。
実践 3 サイバーセキュリティプログラムの方針と計画を文書化し、維持する。 OMB Circular A-130 によると、政府機関は、連邦職員と請負業者が組織のサイバーセキュリティ要件とポリシーを遵守する責任を負うために、組織全体のサイバーセキュリティプログラムと計画を文書化して維持しなければならない。
実践 4 組織全体のサイバーセキュリティリスクを評価し、更新する。 NIST SP 800-37によると、組織は組織全体のサイバーセキュリティリスクを評価し、継続的に結果を更新する必要がある。CNSSポリシー22は、組織にリスク評価を実施し、組織全体の観点からサイバーセキュリティリスクを特定するよう指示している。この実践の意図は、機関がその情報システムの運用と使用から派生するすべてのサイバー関連リスクを考慮することを可能にすることである。
実践 5 情報システムまたはプログラムが継承可能な制御を指定する。 OMB Circular A-130、NIST SP 800-37、CNSSポリシー22によると、組織は、情報システムまたはプログラムが継承できるコントロールを特定し、文書化し、公表する必要がある。この実践の意図は、複数の情報システムまたはプログラムに継承できるコスト効率の良いサイバーセキュリティ能力を提供することである。
実践 6 組織全体のリスクを継続的に監視するための戦略を策定し、維持する。 OMB Circular A-130、NIST SP 800-37、CNSS Policy 22によると、組織は継続的な監視戦略を策定し維持する必要がある。また、同通達は、組織が定義した頻度に従って、戦略を更新することを機関に求めている。さらに、NISTのガイダンスでは、継続的な監視戦略の7つの要素について説明している。この実践の意図は、組織のサイバーセキュリティ態勢を継続的に監視し、新たなサイバー脅威に効率的かつ費用対効果の高い方法で対応することである。

 

● U.S. Government Accountability Office; GAO

・2022.09.22 Nuclear Weapons Cybersecurity:NNSA Should Fully Implement Foundational Cybersecurity Risk Management Practices

Nuclear Weapons Cybersecurity: NNSA Should Fully Implement Foundational Cybersecurity Risk Management Practices 核兵器のサイバーセキュリティ:NNSAはサイバーセキュリティの基礎的なリスクマネジメントを完全に実施すべき
GAO-22-104195 GAO-22-104195
Fast Facts 概要
The National Nuclear Security Administration (NNSA) is increasingly relying on advanced computers and integrating digital systems into weapons and manufacturing equipment. But, these systems could be hacked. 国家核安全保障局(NNSA)は、高度なコンピュータへの依存度を高め、兵器や製造装置にデジタルシステムを組み込んでいる。しかし、これらのシステムはハッキングされる可能性がある。
Federal laws and policies suggest 6 key practices to set up a cybersecurity management program, such as assigning risk management responsibilities. However, NNSA and its contractors haven't fully implemented these practices. 連邦法および政策は、リスクマネジメントの責任を割り当てるなど、サイバーセキュリティ管理プログラムを設定するための6つの重要な実践方法を提案している。しかし、NNSAとその請負業者は、これらの実践を完全に実施していない。
Additionally, NNSA and its contractors rely on subcontractors for services and equipment, but we found that oversight of subcontractors' cybersecurity was inconsistent. Our recommendations address these issues. さらに、NNSAとその請負業者は、サービスや機器を下請け業者に依存していますが、下請け業者のサイバーセキュリティに対する監視は一貫していないことが分かった。我々の提言は、これらの問題に対処するものである。
National Nuclear Security Administration Digital Environments 国家核安全保障局のデジタル環境
01_20220926013901

Highlights  ハイライト
What GAO Found GAOの発見事項
The National Nuclear Security Administration (NNSA) and its contractors have not fully implemented six foundational cybersecurity risk practices in its traditional IT environment. NNSA also has not fully implemented these practices in its operational technology and nuclear weapons IT environments. 国家核安全保障局(NNSA)とその請負業者は、従来のIT環境において6つの基本的なサイバーセキュリティ・リスクの実践を完全には行っていない。NNSAはまた、運用技術や核兵器のIT環境でも、これらの実践を十分に実施していない。
Organization-wide Foundational Practices to Manage Cybersecurity Risk サイバーセキュリティリスクをマネジメントするための組織的な基礎的実践
Practice 1 Identify and assign cybersecurity roles and responsibilities for risk management. 実践 1 リスクマネジメントのためのサイバーセキュリティの役割と責任を特定し、割り当てる。
Practice 2 Establish and maintain a cybersecurity risk management strategy for the organization. 実践 2 組織のサイバーセキュリティリスクマネジメント戦略を確立し、維持する。
Practice 3 Document and maintain policies and plans for the cybersecurity program. 実践 3 サイバーセキュリティプログラムの方針と計画を文書化し、維持する。
Practice 4 Assess and update organization-wide cybersecurity risks. 実践 4 組織全体のサイバーセキュリティリスクを評価し、更新する。
Practice 5 Designate controls that are available for information systems or programs to inherit. 実践 5 情報システムまたはプログラムが継承可能な制御を指定する。
Practice 6 Develop and maintain a strategy to monitor risks continuously across the organization. 実践 6 組織全体のリスクを継続的に監視するための戦略を策定し、維持する。
Source: GAO analysis based on Office of Management and Budget, National Institute of Standards and Technology, and Committee on National Security Systems guidance. | GAO-22-104195 出典 管理予算局、米国標準技術研究所、国家安全保障システム委員会のガイダンスに基づくGAOの分析。| 参考資料:GAO-22-104195
The traditional IT environment includes computer systems used for weapons design. NNSA fully implemented four of six practices and partially implemented two. NNSA contractors had fully implemented three of six practices and did not fully implement three. For example, both NNSA and its contractors had not fully implemented a continuous monitoring strategy because their strategy documents were missing key recommended elements. Without such elements, NNSA and its contractors lack a full understanding of their cybersecurity posture and are limited in their ability to effectively respond to emerging cyber threats. 従来のIT環境には、兵器設計に使用されるコンピュータシステムも含まれる。NNSAは、6つの実践のうち4つを完全に実施し、2つを部分的に実施した。NNSAの請負業者は、6つの実践のうち3つを完全に実施し、3つを完全に実施していなかった。例えば、NNSAとその請負業者の両方は、戦略文書に重要な推奨要素が欠けていたため、継続的監視戦略を十分に実施していなかった。このような要素がなければ、NNSAとその請負業者はサイバーセキュリティの姿勢を完全に理解することができず、新たなサイバー脅威に効果的に対応する能力が制限される。
The operational technology environment includes manufacturing equipment and building control systems with embedded software to monitor physical devices or processes. NNSA has not yet fully implemented any foundational risk management practices in this environment, and it is still developing specific guidance for contractors. This is partially because NNSA has not yet determined the resources it needs to implement practices and develop guidance. 運用技術環境には、物理デバイスやプロセスを監視するためのソフトウェアが組み込まれた製造装置やビル制御システムなどがある。NNSAは、この環境における基礎的なリスクマネジメントをまだ完全に実施しておらず、請負業者向けの具体的なガイダンスもまだ開発中である。これは部分的には、NNSAが実践の実施とガイダンスの作成に必要なリソースをまだ決定していないためである。
The nuclear weapons IT environment includes IT in or in contact with weapons. NNSA has implemented or taken action consistent with implementing most of the practices in this environment and is developing specific guidance for contractors. However, NNSA has not developed a cyber risk management strategy to address nuclear weapons IT-specific threats. The absence of such a strategy likely constrains NNSA's awareness of and responses to such threats. 核兵器のIT環境には、兵器に含まれる、あるいは兵器と接触するITが含まれる。NNSAは、この環境における実践のほとんどを実施、または実施と一致する行動をとっており、請負業者向けの具体的なガイダンスを開発しているところである。しかし、NNSAは、核兵器IT特有の脅威に対処するためのサイバーリスクマネジメント戦略を策定していない。このような戦略がないため、NNSAはこのような脅威に対する認識と対応に制約があると思われる。
NNSA's cybersecurity directive requires contractors to oversee their subcontractors' cybersecurity measures, but contractors' efforts to provide such oversight are mixed, and three of seven contractors do not believe it is a contractual responsibility. An NNSA official proposed adding an evaluation of such oversight to its annual contractor performance evaluation process, but NNSA could not provide evidence that it had done so. These oversight gaps, at both the contractor and NNSA level, leave NNSA with little assurance that sensitive information held by subcontractors is effectively protected. NNSAのサイバーセキュリティ指令は、請負業者に下請け業者のサイバーセキュリティ対策を監督するよう求めているが、請負業者のこうした監督への取り組みはまちまちで、7社中3社は、それが契約上の責任だとは考えていない。NNSAの担当者は、請負業者の年次業績評価プロセスにそのような監督の評価を加えることを提案したが、NNSAはそれを行ったという証拠を提供できなかった。請負業者とNNSAの両レベルにおけるこれらの監視のギャップにより、NNSAは、下請け業者が保有する機密情報が効果的に保護されているという保証をほとんど得られないままである。
Why GAO Did This Study GAOがこの調査を行った理由
NNSA and its site contractors integrate information systems into nuclear weapons, automate manufacturing equipment, and rely on computer modeling to design weapons. However, cyber systems are targets of malicious actors. To protect against such threats, federal law and policies require that NNSA establish a program to manage cybersecurity risk, which includes the implementation of six foundational practices. NNSA contractors are required to oversee subcontractors' cybersecurity. NNSAとそのサイト契約者は、核兵器に情報システムを統合し、製造装置を自動化し、兵器の設計にコンピュータ・モデリングに依存している。しかし、サイバーシステムは悪意ある行為者の標的となる。このような脅威から保護するため、連邦法と政策により、NNSAはサイバーセキュリティのリスクを管理するプログラムを確立することが求められており、これには6つの基礎的実践の実施が含まれている。NNSAの請負業者は、下請け業者のサイバーセキュリティを監督することが義務付けられている。
The Senate committee report accompanying the National Defense Authorization Act for Fiscal Year 2020 included a provision for GAO to review NNSA's cybersecurity practices and policies, and GAO was also asked to perform similar work. GAO's report examines the extent to which (1) NNSA and its seven site contractors implemented foundational cybersecurity risk management practices and (2) contractors oversee subcontractor cybersecurity. 2020年度国防権限法に伴う上院委員会報告書には、GAOがNNSAのサイバーセキュリティの実践と方針を審査する条項が含まれており、GAOも同様の作業を依頼された。GAOの報告書は、(1)NNSAとその7つのサイトの請負業者が基礎的なサイバーセキュリティのリスクマネジメントを実施しているか、(2)請負業者が下請けのサイバーセキュリティを監督しているかを調査したものである。
GAO reviewed NNSA and contractor documents, compared NNSA's efforts with federal and agency requirements for risk management practices, and interviewed NNSA officials and contractor representatives. GAOは、NNSAと請負業者の文書を調査し、NNSAの取り組みをリスクマネジメントの実施に関する連邦政府および機関の要件と比較し、NNSA職員と請負業者の代表者にインタビューを行った。
Recommendations 勧告
GAO is making nine recommendations to NNSA, including that it fully implement an IT continuous monitoring strategy; determine needed resources for operational technology efforts; create a nuclear weapons risk strategy; and enhance monitoring of subcontractor cybersecurity. NNSA agreed with GAO's recommendations. GAOはNNSAに対し、IT継続監視戦略の完全実施、運用技術の取り組みに必要なリソースの決定、核兵器リスク戦略の策定、下請け業者のサイバーセキュリティの監視強化など、9項目の勧告を行っている。NNSAはGAOの勧告に同意した。
Recommendations for Executive Action 行政措置に関する勧告
Agency Affected 影響を受ける機関
National Nuclear Security Administration 国家核安全保障局
The NNSA Administrator should promptly finalize its planned revision of Supplemental Directive 205.1, Baseline Cybersecurity Program, to include the most relevant federal cybersecurity requirements and review the directive at least every 3 years. (Recommendation 1) NNSA長官は、最も関連性の高い連邦サイバーセキュリティ要件を含むように、補足指令205.1「ベースライン・サイバーセキュリティ・プログラム」の改訂計画を速やかに確定し、少なくとも3年ごとに同指令を見直すこと。(勧告 1)
The NNSA Administrator should direct NNSA's Office of Information Management, and the site contractors that have not done so, to develop and maintain cybersecurity continuous monitoring strategies that address all elements from NIST guidance. (Recommendation 2) NNSA長官は、NNSAの情報管理室と、そうしていないサイトコントラクターに対して、NISTガイダンスのすべての要素に対応するサイバーセキュリティ継続監視戦略を策定し維持するよう指示すること。(勧告 2)
The NNSA Administrator should direct NNSA's Office of Information Management, and the site contractors that have not done so, to identify and assign all risk management roles and responsibilities called for in NIST guidance. (Recommendation 3) NNSA長官は、NNSAの情報管理室と、そうしていないサイトコントラクターに対して、NISTガイダンスで求められているすべてのリスクマネジメントの役割と責任を特定し、割り当てるように指示すること。(勧告 3)
The NNSA Administrator should direct that the site contractors that have not done so maintain a site-wide cybersecurity risk management strategy that addresses all elements from NIST guidance and perform periodic reviews at least annually. (Recommendation 4) NNSA長官は、NISTガイダンスの全要素に対応したサイト全体のサイバーセキュリティリスクマネジメント戦略を維持し、少なくとも年1回の定期的なレビューを行うよう、そうしていないサイトコントラクターに指示すること。(勧告 4)
The NNSA Administrator should direct the Office of Information Management to identify the needed resources to implement foundational practices for the OT environment, such as by developing an OT activity business case for consideration in NNSA's planning, programming, budgeting, and evaluation process. (Recommendation 5) NNSA長官は、情報管理室に対し、NNSAの計画、立案、予算、評価プロセスで検討するためのOT活動ビジネスケースを開発するなど、OT環境のための基礎的実践を実施するために必要なリソースを特定するよう指示すること。(勧告 5)
The Director of NNSA's Office of Defense Programs should establish a cybersecurity risk management strategy for nuclear weapons information technology that includes all elements from NIST guidance. (Recommendation 6) NNSAの防衛計画局長は、NISTガイダンスの全要素を含む、核兵器情報技術に関するサイバーセキュリティ・リスクマネジメント戦略を策定すること。(勧告 6)
The Director of NNSA's Office of Acquisition and Project Management should clarify and reinforce to the M&O contractors, such as by a policy flash or other communication, that they are required to monitor subcontractor's cybersecurity measures. (Recommendation 7) NNSAの取得・プロジェクト管理室長は、M&Oコントラクターに対し、下請け業者のサイバーセキュリティ対策を監視する必要があることを、ポリシーフラッシュやその他のコミュニケーションによって明確にし、強化すること。(勧告 7)
The Director of NNSA's Office of Acquisition and Project Management should include performance criteria evaluating contractor oversight of subcontractor cybersecurity measures in the annual M&O contractor performance evaluation process. (Recommendation 8) NNSAの取得・プロジェクト管理局長は、下請け業者のサイバーセキュリティ対策の監視を評価するパフォーマンス基準を、毎年のM&Oコントラクターパフォーマンス評価プロセスに含めること。(勧告 8)
The NNSA Administrator should direct Information Management and the Office of Acquisition and Project Management to ensure that Supplemental Directive 205.1 contains language requiring third-party validation of contractor and subcontractor cybersecurity measures. (Recommendation 9) NNSA長官は、補足指令205.1に請負業者と下請け業者のサイバーセキュリティ対策の第三者による検証を要求する文言が含まれるように、情報管理部と取得・プロジェクト管理部に指示すること。(勧告 9)
When we confirm what actions the agency has taken in response to this recommendation, we will provide updated information. この勧告に対し、同機関がどのような行動を取ったか確認できた場合、最新の情報を提供する。

 

・[PDF] Full Report

20220926-14348

 

・[PDF] Highlight

20220926-14517

 

| | Comments (0)

書籍紹介 保証型システム監査の実践—システム監査業務のさらなる深化に向けて

こんにちは、丸山満彦です。

特定非営利活動法人情報システム監査普及機構さんが、「保証型システム監査の実践—システム監査業務のさらなる深化に向けて」を発行されていますね。。。献本いただきました。。。ありがとうございます。。。

 

01_20220925160002

目次

第1章 システム監査の全容と保証型システム監査の位置付け
1 監査とは
(1) 監査の三者関係
(2) 監査の必須条件
(3) 監査の前提
(4) 監査の定義
(5) 監査の本質
2 システム監査とは
(1) システム監査の目的
(2) システム監査の対象
(3) システム監査の必要性
(4) システム監査の効果
3 助言型システム監査と保証型システム監査
(1) 助言型システム監査
(2) 保証型システム監査

第2章 保証型システム監査とは
1 保証型システム監査の必要性
2 言明書と保証の意味について
(1) 言明書とは
(2) 保証の意味
3 保証型システム監査の分類定義
(1) 経営者主導方式
(2) 委託者主導方式
(3) 受託者主導方式
(4) 社会主導方式
4 保証型システム監査を実施するための前提条件
(1) 保証型システム監査が可能であること
(2) 言明書があること
(3) 言明書のもととなるシステム管理基準が作成されていること
(4) 適切なシステム監査チームを組織化すること
5 システム監査人に求められる能力と育成
6 保証型システム監査の流れ
コラム 「基準」と「規準」

第3章 保証型システム監査の契約まで
1 事前協議フェーズ
(1) 事前インタビュー
(2) 保証型システム監査の理解促進
(3) 言明書の理解促進
(4) 必要情報の存在確認
(5) 可監査性の確認
2 依頼フェーズ
(1) 言明書の作成
(2) 依頼書の作成
3 提案フェーズ
(1) 依頼内容検討
(2) 提案書の作成
(3) 提案書の提出
4 契約フェーズ
(1) 監査契約書で合意すべき項目
(2) システム監査人の倫理
(3) 機密保持に関する準備
コラム システム監査契約書

第4章 保証型システム監査の実施
1 計画フェーズ
(1) 監査計画の策定と合意
(2) 監査手続と監査手続書の作成
(3) 監査計画の見直し
2 調査フェーズ
(1) 情報収集
(2) 現地調査
(3) 調査作成
3 分析フェーズ
(1) 監査資料の整理/検出事項の抽出・個別評価
(2) 検出事項の整理
(3) 監査意見の形成
コラム KJ法とはどのようなものか
4 報告フェーズ
(1) 監査報告省案の作成
(2) 被監査組織との意見交換会
(3) 監査報告書の最終版の作成
(4) 監査報告会の開催
コラム 保証型システム監査と助言型システム監査の目的とその実施方針の違い

参考文献

システム監査用語集

索引

 

なかなか野心的な本だと思います。

システム監査人が保証型監査を理解しやすいように書かれているように思います。契約締結からしっかりと書かれているところが実践的だと思います。

全部を詳細には読んでいませんが、気になった点

・保証型監査の説明は、この本の本質に関わるところなので、もっと詳細に説明があったらよいと思いました。

・特に監査意見形成の部分は保証型監査のクライマックスであるのに記載がないように思いました。

・保証型システム監査の分類定義で(1) 経営者主導方式、(2) 委託者主導方式、(3) 受託者主導方式、(4) 社会主導方式が記載されているが、三者関係の中で整理すればよりわかりやすいだろうと思いました。

・監査のための規準は目的にあわせて自由に設計できるとあるが、規準として満たす要件があるので、それにも触れたほうが良かったように思いました。

ちなみに、今年私が、情報セキュリティ大学院大学で行った、情報セキュリティ・システム監査の授業で使った保証業務についてのテキスト的なもの。。。

・2022.07.23 [PDF] 保証業務

しかしながら、いずれにしてもしても、保証型システム監査のための第一歩として書籍にまとめたのは非常に大きな意義があると思います。

 

 

 

 

 

| | Comments (0)

2022.09.25

経済産業省 デジタルプラットフォームの透明性・公正性に関するモニタリング会合

こんにちは、丸山満彦です。

「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律 (e-Gov)」に基づき、経済産業省で開催されている「デジタルプラットフォームの透明性・公正性に関するモニタリング会合」が開催されていますが、2022.09.22までに3回に分けた、Amazon、楽天、Apple、Google、Yahoo! Japanのヒアリングが終わったようですね。。。

● 経済産業省 - 審議会・研究会 - ものづくり/情報/流通・サービス - デジタルプラットフォームの透明性・公正性に関するモニタリング会合

各回の資料です。並び順をちょっと変えていますが。。。

 

第1回 第2回 第3回
2021.12.24 2022.03.14 2022.08.25
議事次第 議事次第 議事次第
議事要旨 議事要旨 議事要旨
議事録 議事録 議事録
資料1 デジタルプラットフォームの透明性・公正性に関するモニタリング会合の開催について 資料1 デジタルプラットフォーム利用事業者向けアンケート調査結果(オンラインモール・アプリストア) 資料1 事務局提出資料
資料2 本会合の議事の取扱い等について(案) 資料2 事務局提出資料 資料2 特定デジタルプラットフォーム提供者による報告書(抜粋)
資料3 事務局提出資料   資料2-1 アマゾンジャパン合同会社提出資料
    資料2-2 楽天グループ株式会社提出資料
    資料2-3 ヤフー株式会社提出資料
    資料2-4 Apple Inc.及びiTunes株式会社提出資料
    資料2-5 Google LLC提出資料
    資料3 特定デジタルプラットフォーム提供者に対する質問・確認事項について(各社からの回答)
    参考資料 利用事業者からの声/規約等の概要(第2回会合資料から抜粋)

 

各社へのヒアリング...

第4回 第5回 第6回
2022.09.13 2022.09.21 2022.09.22
  議事次第 議事次第
議事要旨 議事要旨 議事要旨
     
資料1 ヒアリングの公開・非公開について 資料1 ヒアリングの公開・非公開について 資料1 ヒアリングの公開・非公開について
資料2 アマゾンジャパン合同会社提出資料(発表資料) 資料2 Apple Inc. 及び iTunes 株式会社提出資料(発表資料) 資料2 ヤフー株式会社提出資料(発表資料)
資料3-1 楽天グループ株式会社提出資料(発表資料)   資料3 Google LLC提出資料(発表資料)
資料3-2 楽天グループ株式会社提出資料(苦情及び紛争の件数等)    
参考資料1 特定デジタルプラットフォーム提供者による報告書(抜粋) 参考資料1 特定デジタルプラットフォーム提供者による報告書(抜粋)Apple Inc.及びiTunes 株式会社(第3回会合提出資料) 参考資料1 特定デジタルプラットフォーム提供者による報告書(抜粋)
参考資料1-1 アマゾンジャパン合同会社(第3回会合提出資料)   参考資料1-1 ヤフー株式会社(第3回会合提出資料)
参考資料1-2 楽天グループ株式会社(第3回会合提出資料)   参考資料1-2 Google LLC(第3回会合提出資料)
参考資料2 質問・確認事項に対する各社からの回答(第3回会合提出資料) 参考資料2 質問・確認事項に対する各社からの回答(第3回会合提出資料) 参考資料2 質問・確認事項に対する各社からの回答(第3回会合提出資料)

 

Meti


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.07 デジタル市場競争会議 ワーキンググループ 第38回 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に関する意見募集に寄せられた御意見等

 

デジタルサービス法、デジタル市場法

・2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

・2022.07.20 欧州理事会 欧州連合理事会 デジタル市場法 (DMA) 案を採択

・2022.07.11 欧州議会 デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2022.03.26 欧州理事会 欧州連合理事会 デジタル市場法(DMA)が理事会・欧州議会で合意されたようですね。。。

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

| | Comments (0)

英国 Ada Lovelace 協会 欧州におけるAI責任:EUのAI責任指令の先取り

こんにちは、丸山満彦です。

2022.09.28 にEU委員会が「AI責任指令」案を発表する予定のようですが、AIの責任に関する論考ですかね。。。なお、AI法はEU議会で議論中ですね。。。

AI法と違って、AIの責任についての規制は、RegulationではなくDirectiveとなるようですね。。。各国の責任に関する法律の違いが大きいのが理由なのかも知れませんね。。。

 

Ada Lovelace Institute - Library - Reports

・2022.09.22 AI liability in Europe: anticipating the EU AI Liability Directive

AI liability in Europe: anticipating the EU AI Liability Directive 欧州におけるAI責任:EUのAI責任指令の先取り
An explainer to provide legal context and analysis on how liability law could support a more effective legal framework for AI 責任法がAIのより効果的な法的枠組みをどのようにサポートし得るかについて、法的背景と分析を提供するための解説書
The EU Commission will publish its AI Liability Directive on 28 September. This explainer will be helpful to anyone interested in AI policy and understanding the significance of the Directive. EU委員会は、9月28日にAI責任指令を発表する予定である。本解説書は、AI政策に関心を持ち、同指令の意義を理解する人にとって有益なものとなるであろう。
It also describes how liability law can potentially provide answers to questions on the legal consequences of harms caused by AI systems. また、AIシステムによって引き起こされた被害の法的帰結に関する疑問に対して、責任法がどのように答えを提供できる可能性があるのかを解説している。
It provides five reasons for EU legislators to act, with three illustrative scenarios and three policy options to address under-compensation, and a commentary on AI liability beyond traditional accident scenarios. EUの立法者が行動すべき5つの理由を、3つの例示シナリオと補償不足に対処するための3つの政策オプション、そして従来の事故シナリオを超えたAI責任に関する解説を提供している。
It will be particularly useful for EU, UK and global policymakers who are interested in the progress of the AI Act, and in understanding how liability could support a more effective legal framework for AI. AI法の進展に関心を持ち、賠償責任がAIのより効果的な法的枠組みをどのように支えることができるかを理解しようとするEU、英国、世界の政策立案者にとって、特に有益なものとなるだろう。
Read Ada’s policy briefing which provides specific recommendations for EU policymakers for changes to be implemented into the final version of the AI Act. This policy briefing builds on the expert opinion paper commissioned from Professor Lilian Edwards, a leading academic in the field of internet law, which addresses substantial questions about AI regulation in Europe, looking towards a global standard. Adaの政策説明書では、AI法の最終版に実装されるべき変更について、EUの政策立案者に具体的な推奨事項を提示している。この政策説明書は、インターネット法分野の主要な学者であるリリアン・エドワーズ教授に依頼した専門家意見書に基づいており、欧州におけるAI規制に関する実質的な疑問を解決し、世界標準に目を向けている。

 

20220925-61432

目次的なもの...

Introduction はじめに
Timeline タイムライン
Why do we need a new regime of AI liability? なぜAI責任に関する新しい制度が必要なのか?
1. Avoiding under-compensation for injured parties 1. 損害を被った当事者に対する過少補償の回避
2. Enhancing enforcement of the AI Act and similar legislation 2. AI法および類似の法律の執行強化
3. Increasing public trust in new technologies 3. 新技術に対する国民の信頼の向上
4. Ensuring a level playing field and innovation-friendly climate for businesses 4. 企業にとって公平な競争条件とイノベーションに適した環境の確保
5. The ‘Brussels effect’ 5. ブリュッセル効果
Understanding under-compensation: Why might AI leave injured parties worse off? 補償不足を理解する:なぜAIは被害者をより不幸にするのか?
Scenario 1: fully self-driving vehicles シナリオ1:完全な自動運転車
Scenario 2: autonomous AI-enabled devices – lawnmowers or cleaning robots シナリオ2:AI搭載の自律型機器 - 芝刈り機や掃除ロボット
Scenario 3: credit scoring AI シナリオ3:信用スコアリングAI
Three policy options to avoid under-compensation for accidents 事故に対する過少補償を回避するための3つの政策オプション
Strict liability and/or mandatory insurance 無過失責任と保険加入の義務化
Addressing proof-related issues with product liability 製造物責任における証明に関する問題への対応
Addressing proof-related issues with fault liability 過失責任における証明に関する問題への対応
AI liability beyond traditional ‘accident scenarios’ 従来の「事故シナリオ」を超えるAI責任
Conclusions and reflections 結論と熟考
Footnotes 脚注

 

・[DOCX] 仮対訳

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

AI法関係...

・2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

・2022.06.18 英国 Ada Lovelace 協会: EUのAI法について説明 (2022.04.11)

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

 

AIの保証関係...

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

 

| | Comments (0)

米国 CISA アラート(AA22-265A) 制御システムの防御 相手を知る

こんにちは、丸山満彦です。

米国CISAが、アラート(AA22-265A) 制御システムの防御 相手を知るを公表してますね。

簡潔にまとまっていて、わかりやすいかもしれません。

 

CISA - Alerts  

・2022.09.22 Alert (AA22-265A) Control System Defense: Know the Opponent

Alert (AA22-265A) Control System Defense: Know the Opponent アラート(AA22-265A) 制御システムの防御 相手を知る
Summary 概要
Traditional approaches to securing OT/ICS do not adequately address current threats. OT/ICSを保護するための従来のアプローチでは、現在の脅威に適切に対処できない。
Operational technology/industrial control system (OT/ICS) assets that operate, control, and monitor day-to-day critical infrastructure and industrial processes continue to be an attractive target for malicious cyber actors. These cyber actors, including advanced persistent threat (APT) groups, target OT/ICS assets to achieve political gains, economic advantages, or destructive effects. Because OT/ICS systems manage physical operational processes, cyber actors’ operations could result in physical consequences, including loss of life, property damage, and disruption of National Critical Functions. 日々の重要なインフラストラクチャや産業プロセスを運用、制御、監視する運用技術/産業制御システム(OT/ICS)資産は、悪意のあるサイバー行為者にとって魅力的な標的であり続けている。高度持続的脅威(APT)グループを含むこれらのサイバー攻撃者は、政治的利益、経済的利益、または破壊的効果を得るためにOT/ICS資産をターゲットにしている。OT/ICSシステムは物理的な運用プロセスを管理するため、サイバー行為者の操作は、人命の損失、物的損害、国家重要機能の中断を含む物理的な結果をもたらす可能性がある。
OT/ICS devices and designs are publicly available, often incorporate vulnerable information technology (IT) components, and include external connections and remote access that increase their attack surfaces. In addition, a multitude of tools are readily available to exploit IT and OT systems. As a result of these factors, malicious cyber actors present an increasing risk to ICS networks. OT/ICSの機器や設計は一般に公開されており、脆弱な情報技術(IT)コンポーネントを組み込んでいることが多く、外部接続やリモートアクセスにより攻撃対象が拡大する。さらに、ITおよびOTシステムを悪用するための多数のツールが容易に入手可能である。これらの要因により、悪意のあるサイバーアクターがICSネットワークにもたらすリスクは増大している。
Traditional approaches to securing OT/ICS do not adequately address current threats to those systems. However, owners and operators who understand cyber actors’ tactics, techniques, and procedures (TTPs) can use that knowledge when prioritizing hardening actions for OT/ICS. OT/ICSを保護するための従来のアプローチでは、これらのシステムに対する現在の脅威に適切に対処することはできない。しかし、サイバー攻撃者の戦術、技術、手順(TTP)を理解している所有者と運用者は、OT/ICSのハードニング・アクションに優先順位をつける際にその知識を活用することができる。
This joint Cybersecurity Advisory, which builds on previous NSA and CISA guidance to stop malicious ICS activity and reduce OT exposure [1] [2], describes TTPs that malicious actors use to compromise OT/ICS assets. It also recommends mitigations that owners and operators can use to defend their systems. NSA and CISA encourage OT/ICS owners and operators to apply the recommendations in this CSA. この共同サイバーセキュリティ勧告は、悪意のあるICS活動を阻止し、OTのエクスポージャーを低減するための、これまでのNSAおよびCISAガイダンスに基づいており [1] [2] 、悪意のある行為者がOT/ICS資産を侵害するために用いるTTPsについて説明している。また、所有者と運用者がシステムを保護するために使用できる緩和策を推奨している。NSA と CISA は、OT/ICS の所有者と運用者が本 CSA の推奨事項を適用することを推奨する。

 

目次的なこと...

Summary 概要
Technical Details 技術的な詳細
Malicious actors’ game plan for control system intrusions 悪意ある行為者による制御システム侵入のゲームプラン
Establish intended effect and select a target 意図する効果の確立とターゲットの選定
Collect intelligence about the target system ターゲット・システムに関する情報の収集
Develop techniques and tools 技術やツールの開発
Gain initial access to the system システムへの初期アクセスの獲得
Execute techniques and tools to create the intended effects 意図した効果を生み出すための技術やツールの実行
Mitigations 緩和措置
Limit exposure of system information システム情報のエクスポージャーの抑制
Identify and secure remote access points リモート・アクセス・ポイントの特定と保護
Restrict tools and scripts ツールやスクリプトの制限
Conduct regular security audits 定期的なセキュリティ監査の実施
Implement a dynamic network environment 動的なネットワーク環境の構築
Conclusion 結論
Disclaimer of endorsement 推奨の免責事項
Purpose 目的
Contact Information 連絡先
References 参考文献
Revisions 改訂履歴

 

PDF版もあります...

・[PDF]

20220924-223217

 

 

| | Comments (0)

2022.09.24

NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

こんにちは、丸山満彦です。

NISTが「NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル」と「NISTIR 8431 NISTの基礎の上に構築するワークショップ概要報告:IoTセキュリティの次のステップ」を公表していますね。。。

NIST - ITL

・2022.09.20 NISTIR 8425 Profile of the IoT Core Baseline for Consumer IoT Products

NISTIR 8425 Profile of the IoT Core Baseline for Consumer IoT Products NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル
Abstract 概要
This publication documents the consumer profile of NIST’s IoT core baseline and identifies cybersecurity capabilities commonly needed for the consumer IoT sector (i.e., IoT products for home or personal use). It can also be a starting point for small businesses to consider in the purchase of IoT products. The consumer profile was developed as part of NIST’s response to Executive Order 14028 and was initially published in Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products. The consumer profile capabilities are phrased as cybersecurity outcomes that are intended to apply to the entire IoT product. This document also discusses the foundations to developing the recommended consumer profile and related considerations. NIST reviewed a landscape of relevant source documents to inform the consumer profile and engaged with stakeholders across a year-long effort to develop the recommendations. 本書は、NISTのIoTコアベースラインの消費者プロファイルを文書化し、消費者向けIoT分野(家庭用または個人用のIoT製品)に共通して必要なサイバーセキュリティ能力を特定したものである。また、中小企業がIoT製品を購入する際の検討材料とすることもできる。コンシューマプロファイルは、大統領令14028号へのNISTの対応の一環として開発され、当初は「Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products」で発表された。消費者プロファイルの能力は、IoT製品全体に適用されることを意図したサイバーセキュリティの成果として表現されている。また、この文書では、推奨される消費者プロファイルを開発するための基礎と、関連する考慮事項についても述べている。NISTは、消費者プロファイルに情報を提供するために関連するソース文書をレビューし、推奨事項を策定するために1年にわたる取り組みで利害関係者と協力した。

 

・[PDF] NISTIR 8425

20220924-45239

・[DOCX] 仮訳

 

 

・2022.09.20 NISTIR 8431 Workshop Summary Report for “Building on the NIST Foundations: Next Steps in IoT Cybersecurity”

 

NISTIR 8431 Workshop Summary Report for “Building on the NIST Foundations: Next Steps in IoT Cybersecurity” NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書
Abstract 概要
This report summarizes the feedback received on the work of the NIST Cybersecurity for the Internet of Things (IoT) program on IoT product cybersecurity criteria at a virtual workshop in June 2022. The purpose of this workshop was to obtain feedback on specific considerations—and techniques for addressing those considerations—around cybersecurity in IoT products. These considerations have broad applicability across IoT product sectors, including the consumer IoT products sector and the industrial IoT sector. For consumer IoT, these considerations arose in moving the criteria presented in Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products into draft NIST IR 8425, Profile of the IoT Core Baseline for Consumer IoT Products, along with a discussion paper on the complexity of risk identification for IoT published before the workshop. 本報告書は、2022年6月に開催された仮想ワークショップにおいて、IoT製品のサイバーセキュリティ基準に関するNIST Cybersecurity for the Internet of Things(IoT)プログラムの作業について受け取ったフィードバックをまとめたものである。このワークショップの目的は、IoT製品のサイバーセキュリティに関する具体的な検討事項とその検討事項に対処するための技術についてフィードバックを得ることであった。これらの考慮事項は、民生用IoT製品分野や産業用IoT分野など、IoT製品分野に広く適用可能なものです。消費者向けIoTについては、「Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products」に示された基準を、NIST IR 8425「Profile of the IoT Core Baseline for Consumer IoT Products」に移行するにあたってこれらの検討事項が生まれ、さらにワークショップ前に発表したIoTにおけるリスク識別の複雑性に関する討議文書も合わせて発表された。

 

・[PDF] NISTIR 8431

20220924-45307

 

 

| | Comments (0)

2022.09.23

⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

こんにちは、丸山満彦です。

一般社団法人⽇欧産業協⼒センターが、5月から2ヶ月に一度、「欧州デジタル政策」という簡単なレポートを公表しています。。。今、EUでは、デジタル市場法 (DMA) 、デジタルサービス法 (DSA) 、データ法、データガバナンス法、AI法と次々と法案が議論されている状況です(デジタル市場法とデジタルサービス法は2022.07.05にEU議会で承認されています)。

このような法案が出てきている背景や、法案の概要等を簡潔にまとめていてわかりやすいです。。。

次回が楽しみですね。。。

 

⽇欧産業協⼒センター

欧州デジタル政策

Vol.1 2022/05 EUのデジタル政策の⽅向性 20220923-14617
Vol.2 2022/07 EUにおけるオンライン・プラットフォーム規制(デジタル・マーケット法・デジタル・サービス法) 20220923-14646
Vol.3 2022/09 EUのデータ政策 20220923-14707

 

法文案等へのリンクはこちら。。。

    Wiki EUR-Lex   Document
Data Act データ法 2022.02.23 COM(2022)68 final 52022PC0068
Data Governance Act データガバナンス法 2020.11.25 COM(2022)767final 52020PC0767
      2022.06.03   32022R0868
Artificial Intelligence Act AI法 2021.04.21 COM(2021) 206 final 52021PC0206
Digital Services Act デジタルサービス法 2020.12.15 COM/2020/825 final 52020PC0825
Digital Markets Act デジタル市場法 2020.12.15 COM/2020/842 final 52020PC0842

 


まるちゃんの情報セキュリティ気まぐれ日記

データ法

・2022.03.01 欧州委員会 データ法の提案

データガバナンス法

・2021.12.05 欧州 欧州議会とEU加盟国間でデータガバナンス法について政治的合意 (欧州データガバナンス法成立が近づきましたね。。。)

・2021.03.14 欧州データ保護委員会 (EDPB)・欧州データ保護監督官 (EDPS) データガバナンス法に関する共同意見を採択

・2020.11.29 EU データガバナンス法案

AI法

・2022.06.18 英国 Ada Lovelace 協会: EUのAI法について説明 (2022.04.11)

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

デジタルサービス法、デジタル市場法

・2022.07.20 欧州理事会 欧州連合理事会 デジタル市場法 (DMA) 案を採択

・2022.07.11 欧州議会 デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2022.03.26 欧州理事会 欧州連合理事会 デジタル市場法(DMA)が理事会・欧州議会で合意されたようですね。。。

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

 

| | Comments (0)

経済産業研究所 人工知能への信頼-リハビリテーション・ロボットを例に

こんにちは、丸山満彦です。

独立行政法人経済産業研究所が、「人工知能への信頼-リハビリテーション・ロボットを例に」という報告書を公表していますね。。。

その要旨から。。。


要旨

...本稿では、利用に際して複数の当事者がかかわる医療機器であるリハビリテーション・ロボットを取り上げ、その信頼について論じる。医師、療法士、ロボット開発者、患者の四者関係を踏まえ、それぞれの立場からみた信頼できる AI の要素をアンケート調査から分析した結果を報告する。結論として、患者・医師・療法士が求める「低費用」を技術者は求めていないなど、「信頼できるロボット」の要素には四者間で相違があり、また、新型コロナウイルスなどの疫病が流行している時点とそうでない平常時において、それぞれが求める要素にも違いが出ることが示された。少子高齢化に歯止めがかからず、医療分野の人手不足を補うために必要不可欠となるリハビリテーション・ロボットの今後の技術開発に際して、日本ではこのような齟齬を政策的に埋めていく必要があろう。


患者、医師、療法士、技術者に対するサンプル調査をしていてなかなか面白い研究だと思いました。

Trustという言葉について、Relianceと比較した説明があります。。。


倫理学においては、 Trust は、日本語で信頼と訳されることがある Relianceとは異なるとされる(Baier, 1986)。人は、Trust が失われたときには「裏切られた」と感じるが、Reliance が失われたときには「失望した」だけで済む、という差異があるという。Reliance より Trust のほうがより強い期待を伴う信頼であると考えられる。


財務諸表監査においては、「内部統制に依拠する」という言葉を使うことがあるが、その場合の依拠は、"rely on"と言います。Relianceの動詞ですね。。。確かに、内部統制に依拠しようとして、実は依拠できないと分かった時、監査人は「失望」はしますが、「裏切られた」とまでは思わないですね。。。なるほどです。。。

 

独立行政法人経済産業研究所

・2022.09.21 人工知能への信頼-リハビリテーション・ロボットを例に

・[PDF] 人工知能への信頼-リハビリテーション・ロボットを例に

20220923-01010

 

| | Comments (0)

IPA 「産業用制御システム向け侵入検知製品の実装技術の調査」調査報告書

こんにちは、丸山満彦です。

IPAが、「産業用制御システム向け侵入検知製品の実装技術の調査」調査報告書を公表していますね。。。

検知手法としては、

  1. シグネチャー型
  2. ルールベース
  3. 振る舞い検知型
    1. 量的解析(フローベース)
    2. 質的解析(コンテンツベース)
  4. サンドボックス型
  5. ステートフルプロトコル解析

検知方法としては、

  1. ネットワーク監視型
    1. インライン型
    2. 受動型
      1. スパニングポートを利用した監視
      2. ネットワークタップを利用した監視
      3. ロードバランサを利用した監視
  2. エージェント型
  3. ヒストリアン型

が挙げられていますね。。。

産業用制御システム向け侵入検知製品の利用例として、

  1. 不動産・ビル業界
  2. 運輸・交通業界
  3. 石油・エネルギー業界

が、挙げられていますね。。。

参考になりますね。。。

 

IPA

・2022.09.20 産業用制御システム向け侵入検知製品の実装技術の調査」調査報告書の公開

20220922-232520

 

1. 本調査の概要
1.1.
本調査の背景と目的
1.2.
侵入検知技術の説明資料の作成の概要
1.3.
侵入検知技術の利用動向調査の概要

2. 産業用制御システムにおける侵入検知製品の技術の分類・整理結果
2.1.
検知手法
 2.1.1.
シグネチャー型
 2.1.2. ルールベース(仕様ベース)
 2.1.3. 振る舞い検知型
  2.1.3.1. 量的解析(フローベース)
  2.1.3.2. 質的解析(コンテンツベース)
 2.1.4. サンドボックス型
 2.1.5. ステートフルプロトコル解析

2.2.
検知方法
 2.2.1.
ネットワーク監視型
  2.2.1.1. インライン型
  2.2.1.2. 受動型
   2.2.1.2.1. スパニングポートを利用した監視
   2.2.1.2.2. ネットワークタップを利用した監視
   2.2.1.2.3. ロードバランサを利用した監視
 2.2.2. エージェント型
 2.2.3. ヒストリアン型

2.3.
侵入検知製品の付加機能
 2.3.1.
資産管理機能
 2.3.2. 脆弱性診断機能
 2.3.3. 攻撃経路予測機能
 2.3.4. モニタリング・他のデバイスとの通信状況の可視化機能
 2.3.5. フォレンジック分析機能
 2.3.6. パケットキャプチャ・保存機能
 2.3.7. コンプライアンス監査機能
 2.3.8. 他社ネットワーク機器・SIEM 連携機能
 2.3.9. 管理コンソール機能

APPENDIX. ドイツの政府系サイバーセキュリティ機関であるBSIの ICS におけるアノマリー検知に関するガイドライン
A.1.
アノマリーの具体的な例
 A.1.1.
ネットワークにおける通常とは異なる、あるいは、異常なアクティビティ
 A.1.2. 実運用環境のログに記録された異常なイベント
 A.1.3. 通常とは異なるプロセスデータ(センサーデータ、コントロールデータ等)の変化

A.2.
アノマリー検知システムに必要な機能に関する要件
 A.2.1.
一般的な要件
 A.2.2. 通常とは異なる、あるいは、異常なネットワークアクティビティに関する要件
 A.2.3. 実運用環境のログにおいて典型的な異常なイベントに関する要件
 A.2.4. プロセスデータ(センサーデータ、制御データ)の通常とは異なる変化に関する要件

3. 侵入検知技術の利用動向調査結果
3.1.
不動産・ビル業界の調査結果から参考になるポイント
 3.1.1.
侵入検知製品の利用概要
  3.1.1.1. システムの構成
  3.1.1.2. 侵入検知製品の適用範囲
  3.1.1.3. 採用している侵入検知製品技術
  3.1.1.4. 採用している侵入検知製品の付加機能
  3.1.1.5. 侵入検知製品と既存のセキュリティ対策技術の組み合わせ
 3.1.2. 導入にあたって参考となる事例
  3.1.2.1. 導入に至った背景
  3.1.2.2. 導入に向けた検討
  3.1.2.3. チューニング、試用期間
 3.1.3. 運用にあたって参考となる事例
  3.1.3.1. 侵入検知製品の運用・監視体制
  3.1.3.2. 侵入を検知した際の対処方策
  3.1.3.3. 運用時のメリット・デメリット
  3.1.3.4. 明らかになった課題
  3.1.3.5. 今後のセキュリティに関する展望等

3.2.
運輸・交通業界の調査結果から参考になるポイント
 3.2.1.
侵入検知製品、不正な端末の接続検知製品・不正なソフトウェア検知製品の利用概要
  3.2.1.1. システムの構成
  3.2.1.2. 侵入検知製品・不正な端末の接続検知製品・不正なソフトウェア検知製品の適用範囲
  3.2.1.3. 採用している侵入検知製品・不正な端末の接続検知製品・不正なソフトウェア検知製品技術
  3.2.1.4. 採用している侵入検知製品・不正な端末の接続検知製品・不正なソフトウェア検知製品の付加機能
  3.2.1.5. 侵入検知製品・不正な端末の接続検知製品・不正なソフトウェア検知製品と既存のセキュリティ対策技術の組み合わせ
 3.2.2. 導入にあたって参考となる事例
  3.2.2.1. 導入に至った背景
  3.2.2.2. 導入に向けた検討
  3.2.2.3. チューニング、試用期間
 3.2.3. 運用にあたって参考となる事例
  3.2.3.1. 侵入検知製品の運用・監視体制
  3.2.3.2. 侵入を検知した際の対処方策
  3.2.3.3. 運用時のメリット・デメリット
  3.2.3.4. 明らかになった課題
  3.2.3.5. 今後のセキュリティに関する展望等

3.3.
石油・エネルギー業界の調査結果から参考になるポイント
 3.3.1.
侵入検知製品の利用概要
  3.3.1.1. システムの構成
  3.3.1.2. 侵入検知製品の適用範囲
  3.3.1.3. 採用している侵入検知製品技術
  3.3.1.4. 採用している侵入検知製品の付加機能
  3.3.1.5. 侵入検知製品と既存のセキュリティ対策技術の組み合わせ
 3.3.2. 導入にあたって参考となる事例
  3.1.2.1. 導入に至った背景
  3.3.2.2. 導入に向けた検討
  3.3.2.3. チューニング、試用期間
 3.3.3. 運用にあたって参考となる事例
  3.3.3.1. 侵入検知製品の運用・監視体制
  3.3.3.2. 侵入を検知した際の対処方策
  3.3.3.3. 運用時のメリット・デメリット
  3.3.3.4. 明らかになった課題
  3.3.3.5. 今後のセキュリティに関する展望等

4. 調査結果のまとめ
4.1.
各業界における侵入検知製品の導入状況に関する考察
 4.1.1.
不動産・ビル業界における侵入検知製品の導入状況に関する考察
 4.1.2. 運輸・交通業界における侵入検知製品の導入状況に関する考察
 4.1.3. 石油・エネルギー業界における侵入検知製品の導入状況に関する考察

4.2.
導入システムや導入場所、導入製品、監視・対処体制に関する考察

5. 侵入検知製品の導入を検討する事業者において参考となる事例
5.1.
侵入検知製品を導入し運用していく上での課題
5.2.
課題の解決のための創意工夫が見られる事例の取りまとめ

用語集

 

| | Comments (0)

2022.09.22

ドイツ BSI (連邦情報セキュリティ局):自動車業界状況報告2021/2022

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局が自動車業界の情勢報告2021/2022を公表していますね。。。「サイバーセキュリティが鍵」というメッセージですね。これは、昨年に2021.09.07に発表された報告書に続く、第2版です。

Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2022.09.19 Cyber-Sicherheit als Schlüssel: BSI stellt Automotive-Lagebild 2021/2022 vor

Cyber-Sicherheit als Schlüssel: BSI stellt Automotive-Lagebild 2021/2022 vor サイバーセキュリティが鍵:BSIが自動車業界状況報告2021/2022を発表
Die Digitalisierung moderner Autos schreitet weiter schnell voran. Mitunter sind über 100 einzelner digitaler Steuerungsgeräte in heutigen Autos verbaut, die miteinander verbunden sind oder zentral gesteuert werden können. Durch das autonome Fahren und den Einsatz Künstlicher Intelligenz wird die Komplexität der Software-Architektur in Fahrzeugen weiterhin rasant zunehmen. Und auch die Unternehmen selbst sind mehr denn je auf sichere IT-Systeme angewiesen. Dies stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in der zweiten Ausgabe seines Branchenlagebilds Automotive fest. 現代のクルマのデジタル化は急速に進み続けている。現在の自動車には、100個以上の個別のデジタル制御装置が搭載され、それらが相互に接続されたり、集中的に制御されたりすることもある。自律走行や人工知能の活用により、自動車に搭載されるソフトウェア・アーキテクチャの複雑さは今後も急速に増していくだろう。そして、企業自体も、安全なITシステムへの依存度がこれまで以上に高まっている。これは、連邦情報セキュリティ局(BSI)が、自動車産業の状況報告書の第2版で述べている。
BSI-Präsident Arne Schönbohm: „Das BSI gestaltet Informationssicherheit in der Digitalisierung für Staat, Gesellschaft und auch Wirtschaft. Die Automobilindustrie nimmt dabei auf Grund ihrer volkswirtschaftlichen Bedeutung und ihrer umfangreichen Lieferketten eine besondere Stellung ein. Mit dem Lagebild Automotive 2021/22 wird einmal mehr deutlich, dass Cyber-Sicherheit in allen Gliedern der Lieferkette mitgedacht werden muss – von Anfang an bis zum fertigen Produkt. Cyber-Sicherheit ist der Schlüssel für eine funktionierende Automobilindustrie.“ BSIのアルネ・シェーンボーム会長:「BSIは、国家、社会、そして経済のために、デジタル化における情報セキュリティを形成している。自動車産業は、その経済的重要性と広範なサプライチェーンから、特別な位置を占めている。「自動車業界状況報告2021/2022」は、サイバーセキュリティはサプライチェーンのすべてのリンク(最初から最終製品まで)で考慮されなければならないことを改めて明確にしている。サイバーセキュリティは、自動車産業が機能するための鍵である。」
Das Branchenlagebild Automotive 2021/2022 ist die zweite Ausgabe eines branchenspezifischen Überblicks aus Sicht des BSI zur Lage der Cyber-Sicherheit im Bereich „Automotive“, sowohl hinsichtlich der Produktion, als auch der Fahrzeuge selbst. Es macht deutlich, dass künftige Automobile noch viel stärker als heute schon von IT-Funktionen abhängig sein werden. Die Steuerung des Fahrzeugs selbst, aber auch die Vernetzung mit der Infrastruktur (car-to-x) wird rasant digitalisiert. So wurde in Deutschland im vergangenen Jahr die weltweit erste Genehmigung für ein automatisiertes KFZ (Spurhaltesystem) erteilt. Daher ist es aus Sicht des BSI von besonderer Bedeutung, dass die dazu notwendigen, neuen Technologien nicht manipulierbar sein dürfen und mögliche Cyber-Angriffe keinen Einfluss auf die Fahrsicherheit haben dürfen. Das BSI begrüßt daher, dass die Hersteller Cyber-Sicherheit frühzeitig im Entwicklungszyklus neuer Fahrzeugmodelle berücksichtigen und die Umsetzung nach EU-Typgenehmigungsrecht auch nachweisen müssen. 「自動車業界状況報告2021/2022」は、「自動車」セクターのサイバーセキュリティ状況について、生産と車両自体の両面からBSIの視点でセクター別にまとめた第2版である。これからの自動車は、今以上にIT機能への依存度が高まることが明らかである。車両自体の制御はもちろん、インフラとのネットワーク化(car-to-x)も急速にデジタル化されている。例えば、昨年はドイツで世界初の自動運転車(車線維持システム)の認可が下りた。そのため、BSIの観点からは、このために必要な新技術が操作可能であること、起こりうるサイバー攻撃が運転の安全性に影響を与えないことが特に重要であるとしている。したがって、BSIは、メーカーが新車種の開発サイクルの早い段階でサイバーセキュリティを考慮し、さらにEU型式認証法に従って実装を証明しなければならないという事実を歓迎する。
Im Berichtszeitraum waren erneut mehrere Automobilzulieferer von Ransomware-Vorfällen betroffen. Dadurch kam es bei den Betroffenen zu massiven Unterbrechungen der Leistungserbringung. Die durch das BSI grundsätzlich festgestellte Tendenz, dass Dritte mittelbar ebenfalls von IT-Sicherheitsvorfällen in Mitleidenschaft gezogen werden, bestätigt sich auch hier. So war auch ein weltweit führender Automobilhersteller von Ransomware-Angriffen bei Zulieferern betroffen und musste seinerseits seine Produktion drosseln. Im Hinblick auf die operative Cyber-Sicherheit in den Betrieben stellen Ransomware-Angriffe aus Sicht des BSI aktuell die größte Bedrohung dar. Neben den bestehenden Auswirkungen der COVID‑19-Pandemie, insbesondere in den Bereichen von Zulieferteilen, -produkten oder –dienstleistungen, wird die Lage maßgeblich durch den Krieg in der Ukraine und den damit verbundenen wirtschaftlichen, aber zunehmend auch cyber-sicherheitsrelevanten Auswirkungen auf die deutsche Automobilindustrie geprägt. Dies sind u. a. Verfügbarkeitsangriffe auf Webseiten durch DDoS-Angriffe sowie intensive Hacktivisten-Aktivitäten. 報告書の期間中、いくつかの自動車部品メーカーが再びランサムウェアの被害を受けた。そのため、被災組織ではサービスの提供に大規模な支障をきたすことになった。BSIが確認した、ITセキュリティ事故の影響を第三者も間接的に受けるという一般的な傾向は、ここでも確認されている。例えば、世界的な大手自動車メーカーも、サプライヤーへのランサムウェア攻撃の影響を受け、生産縮小を余儀なくされました。企業における運用上のサイバーセキュリティについては、BSIの観点では、現在、ランサムウェア攻撃が最大の脅威となっている。COVID 19の大流行による既存の影響、特にサプライヤーの部品、製品、サービスの分野に加え、ウクライナ戦争とそれに伴う経済的な影響、さらにはドイツの自動車産業に対するサイバーセキュリティ関連の影響によって、状況は大きく変化している。DDoS攻撃によるWebサイトへの可用性攻撃や、ハクティビストによる集中的な活動などである。
Um die Cyber-Sicherheit für den Wirtschafts- und Automobilstandort Deutschland zu erhöhen, arbeitet das BSI in Fragen der Cyber-Sicherheit eng mit dem Kraftfahrtbundesamt (KBA), dem Verband der Automobilindustrie (VDA) sowie weiteren Behörden und aus der Wirtschaft betroffenen Unternehmen zusammen. ビジネスや自動車の拠点としてのドイツのサイバーセキュリティを高めるため、BSIは連邦自動車交通局(KBA)、ドイツ自動車工業会(VDA)、その他の当局やサイバーセキュリティ問題の影響を受ける企業と緊密に連携している。

 

・2022.09.19 Branchenlagebild Automotive 2021/2022

Branchenlagebild Automotive 2021/2022 自動車業界状況報告 2021/2022
Die zweite Auflage des Branchenlagebild Automotive 2021/2022 gibt einen branchenspezifischen Überblick zur Lage der Cyber-Sicherheit im Bereich „Automotive“. Sie zeigt vielfältige und komplexe Herausforderungen auf - sowohl hinsichtlich der Produktion als auch der Fahrzeuge selbst. Die Publikation verdeutlicht, wie wichtig diese Aufgabe bei Herstellern, Zulieferern, Entwicklern und anderen Dienstleistern der Automobilindustrie ist und stellt das Engagement des BSI in diesem Sektor dar. 「自動車業界状況報告2021/2022」の第2版では、自動車業界のサイバーセキュリティの状況を分野別にまとめている。生産面でも車両面でも、多様で複雑な課題が浮き彫りになっている。本書は、自動車産業のメーカー、サプライヤー、開発者、その他のサービスプロバイダーにとって、このタスクがいかに重要であるかを説明し、この分野に対するBSIのコミットメントを提示している。

 

・[PDF]

20220922-62925

・[DOCX] 仮訳

 

 

 

1 Einleitung 1 はじめに
2 Managementübersicht zur Gesamtlage 2 経営の全体像の把握
3 Cyber-Sicherheit in der Automobilbranche 3 自動車産業におけるサイバーセキュリティ
3.1 Branchenüberblick 3.1 業界の概要
3.2 Auswirkungen durch den Angriffskrieg auf die Ukraine 3.2 ウクライナへの侵略戦争による影響
3.3 Gefahren durch Cybercrime 3.3 サイバー犯罪による脅威
3.4 Bedeutung der Informationssicherheit in der Supply Chain 3.4 サプライチェーンにおける情報セキュリティの重要性
3.5 Qualifizierung von Schlüsselpersonal 3.5 主要な人材の資格
4 Cyber-Sicherheit im Fahrzeug sowie in digitalen Produkten 4 自動車およびデジタル製品におけるサイバーセキュリティ
4.1 Vernetztes Fahren 4.1 コネクテッド・ドライブ
4.2 Automatisierung und Künstliche Intelligenz 4.2 オートメーションと人工知能
5 Cyber-Sicherheit in Produktionsanlagen und -prozessen 5 生産工場・プロセスにおけるサイバーセキュリティ
5.1 Digitalisierung als Herausforderung in der Produktion 5.1 生産現場の課題としてのデジタル化
5.2 Schwachstellenmanagement 5.2 脆弱性管理
5.3 Dienstleister und Fernservices 5.3 サービスプロバイダーとリモートサービス
6 Maßnahmen und Aktivitäten 6 施策と活動
6.1 Informationssicherheit im Unternehmen 6.1 企業における情報セキュリティ
6.2 Regulierung und Standardisierung - Vorgaben zur Cyber-Sicherheit 6.2 規制と標準化 - サイバーセキュリティ要件
6.3 Neuregelungen für Unternehmen im besonderen öffentlichen Interesse (UBI) 6.3 特別公益法人(UBI)に対する新たな規制
6.4 Zusammenarbeit und Aktivitäten des BSI 6.4 BSIの協力と活動
7 Chancen und Risiken: Ein Blick in die nahe Zukunft 7 チャンスとリスク:近未来への展望
Literaturverzeichnis 書誌情報
Impressum インプリント

 

 

 


 

昨年度

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.08 独国 BSI 自動車業界におけるサイバーセキュリティ

Bundesamt für Sicherheit in der Informationstechnik: BSI

 ・2021.09.07 Crashtest für Cyber-Sicherheit – BSI stellt Automotive-Lagebild vor

 ・2021.09.07 Branchenlagebild Automotive

 ・[PDF] Branchenlagebild Automotive - Cyber-Sicherheit in der Automobilbranche

 20210908-61137

 

| | Comments (0)

2022.09.21

米国 デジタル資産の責任ある開発に関する包括的フレームワーク (2022.09.16)

こんにちは、丸山満彦です。

米国が、デジタル資産の責任ある開発に関する包括的フレームワークを発表していますね。。。

暗号資産の規制とデジタルドルに関する内容も含まれているようです。。。

2022.09.21現在では、フレームワークの報告書?へのリンクが切れているようなんですよね。。。

 

White House

・2022.09.16 Statement by NEC Director Brian Deese and National Security Advisor Jake Sullivan on Digital Assets Framework

Statement by NEC Director Brian Deese and National Security Advisor Jake Sullivan on Digital Assets Framework デジタル資産フレームワークに関するNECのブライアン・ディース局長とジェイク・サリバン国家安全保障アドバイザーの声明
At the direction of President Biden and after 180 days of determined work across the Biden-Harris administration, we are releasing the first-ever comprehensive federal digital assets framework– positioning us to keep playing a leading role in the innovation and governance of the digital assets ecosystem at home and abroad and in a way that protects consumers, is consistent with our democratic values, and advances U.S. global competitiveness. バイデン大統領の指示のもと、バイデン-ハリス政権全体の 180 日間に及ぶ決意の作業の後、我々は史上初の包括的な連邦デジタル資産フレームワークを発表する。これは、国内外のデジタル資産エコシステムの革新とガバナンスにおいて、消費者を守り、民主主義の価値と一致し、米国の国際競争力を高める形で、我々が主導的役割を演じ続けるためのものである。
First, consistent with the President’s directive to place the “highest urgency” on research and development of a U.S. central bank digital currency (CBDC), the Administration encourages the Federal Reserve to continue its research and experimentation. We will also launch an interagency working group to support Federal Reserve efforts by the considering policy implications of a potential CBDC, especially for our national security. The leadership of the Federal Reserve, the National Economic Council, the National Security Council, the Office of Science and Technology Policy, the Treasury Department, and other agencies as appropriate, will meet regularly to discuss updates and progress. Second, the Administration will execute a comprehensive action plan with priority steps to mitigate key risks of cryptocurrencies—among others, money laundering and financing for terrorism. Agencies have developed recommendations to improve our ability to track, trace, and counter illicit cryptocurrency use, and urge further steps to redouble U.S. sanctions enforcement. Third, the reports propose critical measures to protect consumers, investors, and businesses—a top priority for President Biden. The reports encourage regulators, as they deem appropriate, to scale up investigations into digital asset market misconduct, redouble their enforcement efforts, and strengthen interagency coordination. To accomplish all the above steps, the reports call for continued engagement with allies and partners on these issues, which will reinforce U.S. technological and financial leadership globally. 第一に、米国の中央銀行デジタル通貨(CBDC)の研究開発に「最高の緊急性」を置くという大統領の指示と一致し、政権は連邦準備制度が研究と実験を継続することを奨励する。我々はまた、潜在的なCBDCの政策的影響、特に我々の国家安全保障への影響を考慮することにより、連邦準備銀行の努力を支援するための省庁間作業部会を立ち上げる予定である。連邦準備制度理事会、国家経済会議、国家安全保障会議、科学技術政策室、財務省、その他適宜の機関の指導者は、最新情報と進捗状況を議論するために定期的に会合を開く予定である。第二に、暗号通貨の主要なリスク(特にマネーロンダリングとテロリズムへの融資)を軽減するための優先的なステップを含む包括的な行動計画を実行することである。各機関は、暗号通貨の不正使用を追跡、追跡、および対策する能力を向上させるための勧告を作成し、米国の制裁執行を強化するためのさらなる措置を促した。第三に、報告書は、バイデン大統領の最優先事項である消費者、投資家、企業を保護するための重要な手段を提案している。報告書は、規制当局が適切と考える場合には、デジタル資産市場の不正行為に関する調査を拡大し、執行努力を倍加させ、省庁間の調整を強化するよう促している。上記のすべてのステップを達成するために、報告書は、これらの問題に関して同盟国やパートナーとの継続的な関与を求め、それによって米国の技術および金融における世界的なリーダーシップが強化されるとしている。
Together, we are laying the groundwork for a thoughtful, comprehensive approach to mitigating digital assets’ acute risks and—where proven—harnessing their benefits. We remain committed to working with allies, partners, and the broader digital asset community to shape the future of this ecosystem. 我々は共に、デジタル資産の深刻なリスクを軽減し、実証されている場合にはその利点を活用するための、思慮深い包括的なアプローチの基礎を築きつつある。我々は、このエコシステムの将来を形作るために、同盟国、パートナー、そしてより広いデジタル資産コミュニティと協力していくことを約束する。

 

・2022.09.16 FACT SHEET:  White House Releases First-Ever Comprehensive Framework for Responsible Development of Digital Assets

FACT SHEET:  White House Releases First-Ever Comprehensive Framework for Responsible Development of Digital Assets ファクトシート:ホワイトハウス、デジタル資産の責任ある開発に関する史上初の包括的フレームワークを発表
Following the President’s Executive Order, New Reports Outline Recommendations to Protect Consumers, Investors, Businesses, Financial Stability, National Security, and the Environment 大統領の大統領令を受け、消費者、投資家、企業、金融安定、国家安全保障、環境を保護するための推奨事項をまとめた新レポートを発表
The digital assets market has grown significantly in recent years. Millions of people globally, including 16% of adult Americans, have purchased digital assets—which reached a market capitalization of $3 trillion globally last November. Digital assets present potential opportunities to reinforce U.S. leadership in the global financial system and remain at the technological frontier.  But they also pose real risks as evidenced by recent events in crypto markets. The May crash of a so-called stablecoin and the subsequent wave of insolvencies wiped out over $600 billion of investor and consumer funds. 近年、デジタル資産市場は大きく成長している。米国人の成人の16%を含む世界中の何百万人もの人々がデジタル資産を購入しており、昨年11月にはその時価総額が世界で3兆ドルに達した。デジタル資産は、世界の金融システムにおける米国のリーダーシップを強化し、技術的なフロンティアを維持するための潜在的な機会を提供する。  しかし、最近の暗号市場で起こった出来事が示すように、デジタル資産は現実的なリスクもはらんでいる。5月のいわゆるステーブルコインの暴落とそれに続く倒産の波は、6000億ドル以上の投資家と消費者の資金を一掃した。
President Biden’s March 9 Executive Order (EO) on Ensuring Responsible Development of Digital Assets outlined the first whole-of-government approach to addressing the risks and harnessing the potential benefits of digital assets and their underlying technology. Over the past six months, agencies across the government have worked together to develop frameworks and policy recommendations that advance the six key priorities identified in the EO: consumer and investor protection; promoting financial stability; countering illicit finance; U.S. leadership in the global financial system and economic competitiveness; financial inclusion; and responsible innovation. バイデン大統領が3月9日に発表した「デジタル資産の責任ある開発の確保に関する大統領令(EO)」は、デジタル資産とその基盤技術のリスクに対処し、潜在的利益を活用するための初の政府全体によるアプローチを概説している。過去6カ月間、政府機関は協力して、EOで特定された6つの主要な優先事項(消費者と投資家の保護、金融安定の促進、不正資金対策、国際金融システムにおける米国のリーダーシップと経済競争力、金融包摂、責任あるイノベーション)を推進するための枠組みや政策提言を作成した。
The nine reports submitted to the President to date, consistent with the EO’s deadlines, reflect the input and expertise of diverse stakeholders across government, industry, academia, and civil society. Together, they articulate a clear framework for responsible digital asset development and pave the way for further action at home and abroad. The reports call on agencies to promote innovation by kickstarting private-sector research and development and helping cutting-edge U.S. firms find footholds in global markets. At the same time, they call for measures to mitigate the downside risks, like increased enforcement of existing laws and the creation of commonsense efficiency standards for cryptocurrency mining. Recognizing the potential benefits and risks of a U.S. Central Bank Digital Currency (CBDC), the reports encourage the Federal Reserve to continue its ongoing CBDC research, experimentation, and evaluation and call for the creation of a Treasury-led interagency working group to support the Federal Reserve’s efforts. EO の期限内に大統領に提出された 9 つの報告書は、政府、産業界、学界、市民社会の多様な関係者の意見や専門知識を反映したものである。これらの報告書は、責任あるデジタル資産開発のための明確な枠組みを明示し、国内外でのさらなる行動への道を開くものである。これらの報告書は、民間部門の研究開発を促進し、米国の最先端企業がグローバル市場で足掛かりを見つけるのを支援することで、イノベーションを促進するよう各機関に求めている。同時に、既存法の執行強化や暗号通貨マイニングの常識的な効率基準の策定など、マイナス面のリスクを軽減するための施策も求めている。米国中央銀行デジタル通貨(CBDC)の潜在的な利益とリスクを認識し、報告書は連邦準備制度理事会(FRB)に現在進行中のCBDCの研究、実験、評価の継続を奨励し、FRBの努力を支援する財務省主導の省庁間作業部会の創設を呼びかけている。
Protecting Consumers, Investors, and Businesses 消費者、投資家、企業の保護
Digital assets pose meaningful risks for consumers, investors, and businesses. Prices of these assets can be highly volatile: the current global market capitalization of cryptocurrencies is approximately one-third of its November 2021 peak. Still sellers commonly mislead consumers about digital assets’ features and expected returns, and non-compliance with applicable laws and regulations remains widespread. One study found that almost a quarter of digital coin offerings had disclosure or transparency problems—like plagiarized documents or false promises of guaranteed returns. Outright fraud, scams, and theft in digital asset markets are on the rise: according to FBI statistics, reported monetary losses from digital asset scams were nearly 600 percent higher in 2021 than the year before. デジタル資産は、消費者、投資家、企業にとって重大なリスクをもたらす。暗号通貨の現在の世界的な時価総額は、2021年11月のピーク時の約3分の1であり、これらの資産の価格は非常に不安定である。また、販売者はデジタル資産の特徴や期待リターンについて消費者に誤解を与えることが多く、適用される法律や規制の非遵守が依然として蔓延している。ある調査によると、デジタルコインオファリングの約4分の1が、文書の盗用やリターンの保証に関する虚偽の約束など、情報開示や透明性に問題があることが判明している。FBIの統計によると、2021年に報告されたデジタル資産詐欺による金銭的損失は、前年比で約600%増加している。
Since taking office, the Biden-Harris Administration and independent regulators have worked to protect consumers and ensure fair play in digital assets markets by issuing guidanceincreasing enforcement resources, and aggressively pursuing fraudulent actors. As outlined in the reports released today, the Administration plans to take the following additional steps: バイデン=ハリス政権と独立規制当局は、就任以来、ガイダンスの発行、執行リソースの増強、詐欺師の積極的な追及により、消費者の保護とデジタル資産市場における公正な取引の確保に取り組んできた。本日発表された報告書に概説されているように、同政権は以下の追加措置を講じる予定である。
・The reports encourage regulators like the Securities and Exchange Commission (SEC) and Commodity Futures Trading Commission (CFTC), consistent with their mandates, to aggressively pursue investigations and enforcement actions against unlawful practices in the digital assets space. ・証券取引委員会(SEC)や商品先物取引委員会(CFTC)などの規制当局が、それぞれの権限に基づき、デジタル資産分野での違法行為に対する調査や強制措置を積極的に推進するよう奨励する。
・The reports encourage Consumer Financial Protection Bureau (CFPB) and Federal Trade Commission (FTC), as appropriate, to redouble their efforts to monitor consumer complaints and to enforce against unfair, deceptive, or abusive practices. ・消費者金融保護局(CFPB)と連邦取引委員会(FTC)に対し、消費者からの苦情を監視し、不公正、欺瞞的、または不正な行為に対して執行する努力を強化するよう促している。
・The reports encourage agencies to issue guidance and rules to address current and emergent risks in the digital asset ecosystem. Regulatory and law enforcement agencies are also urged to collaborate to address acute digital assets risks facing consumers, investors, and businesses.  In addition, agencies are encouraged to share data on consumer complaints regarding digital assets—ensuring each agency’s activities are maximally effective. ・報告書は、デジタル資産のエコシステムにおける現在および将来のリスクに対処するためのガイダンスや規則を発行するよう各機関に促している。また、規制当局と法執行機関は、消費者、投資家、企業が直面するデジタル資産の深刻なリスクに対処するために協力するよう要請されている。さらに、各機関はデジタル資産に関する消費者の苦情に関するデータを共有し、各機関の活動が最大限に効果的であることを保証することが奨励される。
・The Financial Literacy Education Commission (FLEC) will lead public-awareness efforts to help consumers understand the risks involved with digital assets, identify common fraudulent practices, and learn how to report misconduct. ・金融リテラシー教育委員会(FLEC)は、消費者がデジタル資産に関わるリスクを理解し、一般的な詐欺行為を特定し、不正行為を報告する方法を学ぶことができるよう、一般啓発活動を主導することになる。
Promoting Access to Safe, Affordable Financial Services 安全で安価な金融サービスへのアクセス促進
Today, traditional finance leaves too many behind. Roughly 7 million Americans have no bank account. Another 24 million rely on costly nonbank services, like check cashing and money orders, for everyday needs. And for those who do use banks, paying with traditional financial infrastructure can be costly and slow—particularly for cross-border payments. 今日、伝統的な金融は多くの人々を置き去りにしている。約700万人の米国人が銀行口座を持っていない。さらに2,400万人が、日常的なニーズに応じて、チェックキャッシングやマネーオーダーなど、費用のかかるノンバンクサービスに頼っている。また、銀行を利用している人たちにとっても、従来の金融インフラでの支払いは、特に国境を越えた支払いでは、コストがかかり、時間もかかる。
The digital economy should work for all Americans. That means developing financial services that are secure, reliable, affordable, and accessible to all. To make payments more efficient, the Federal Reserve has planned the 2023 launch of FedNow—an instantaneous, 24/7 interbank clearing system that will further advance nationwide infrastructure for instant payments alongside The Clearinghouse’s Real Time Payments system. Some digital assets could help facilitate faster payments and make financial services more accessible, but more work is needed to ensure they truly benefit underserved consumers and do not lead to predatory financial practices. デジタル経済は、すべてのアメリカ人のために機能するものでなければならない。つまり、安全で、信頼性が高く、手頃な価格で、誰もが利用できる金融サービスを開発することである。連邦準備制度理事会は、決済をより効率的にするために、2023年にFedNow(24時間365日即時決済可能な銀行間決済システム)の立ち上げを計画しており、クリアリングハウスのリアルタイム決済システムとともに、即時決済のための全国的インフラをさらに発展させる予定である。デジタル資産の中には、より迅速な決済を促進し、金融サービスをより利用しやすくするものもあるが、サービスが十分でない消費者に真に恩恵を与え、略奪的な金融慣行につながらないようにするためには、より多くの作業が必要である。
To promote safe and affordable financial services for all, the Administration plans to take the following steps: すべての人にとって安全で手頃な金融サービスを促進するため、行政は以下の措置を講じる予定である。
・Agencies will encourage the adoption of instant payment systems, like FedNow, by supporting the development and use of innovative technologies by payment providers to increase access to instant payments, and using instant payment systems for their own transactions where appropriate – for example, in the context of distribution of disaster, emergency or other government-to-consumer payments
.
・各省庁は、FedNow のような即時決済システムの採用を奨励する。これは、即時決済へのアクセスを向上させるため、決済プロバイダーによる革新的な技術の開発と利用を支援し、適切な場合には、例えば、災害時、緊急時、その他の政府から消費者への支払いの配布という観点から、自らの取引に即時決済システムを使用することによって行われる。
・The President will also consider agency recommendations to create a federal framework to regulate nonbank payment providers. ・大統領はまた、ノンバンクの決済事業者を規制するための連邦政府の枠組みを作るための省庁の提言も検討することになる。
・Agencies will prioritize efforts to improve the efficiency of cross-border payments by working to align global payments practices, regulations, and supervision protocols, while exploring new multilateral platforms that integrate instant payment system. ・各省庁は、グローバルな決済実務、規制、監督プロトコルの整合性を図りながら、インスタント決済システムを統合する新たな多国間プラットフォームを模索し、国境を越えた決済の効率化に優先的に取り組むことになるであろう。
・The National Science Foundation (NSF) will back research in technical and socio-technical disciplines and behavioral economics to ensure that digital asset ecosystems are designed to be usable, inclusive, equitable, and accessible by all. ・全米科学財団(NSF)は、デジタル資産のエコシステムが、使いやすく、包括的で、公平で、誰もがアクセスできるように設計されるよう、技術・社会技術分野と行動経済学の研究を支援する。
Fostering Financial Stability 金融安定化の促進
Digital assets and the mainstream financial system are becoming increasingly intertwined, creating channels for turmoil to have spillover effects. Stablecoins, in particular, could create disruptive runs if not paired with appropriate regulation. The potential for instability was illustrated in May 2022 by the crash of the so-called stablecoin TerraUSD and the subsequent wave of insolvencies that erased nearly $600 billion in wealth. In October, the Financial Stability Oversight Council (FSOC) will publish a report discussing digital assets’ financial-stability risks, identifying related regulatory gaps, and making additional recommendations to foster financial stability. デジタル資産と主流の金融システムはますます絡み合うようになり、混乱が波及する経路を生み出している。特にステーブルコインは、適切な規制と組み合わされなければ、破壊的な暴走を引き起こす可能性がある。不安定化の可能性は、2022年5月、いわゆるステーブルコインのTerraUSDの暴落と、その後の約6000億ドルの富を消し去った債務超過の波によって示された。10月には、金融安定監督評議会(FSOC)が、デジタル資産の金融安定化リスクについて議論し、関連する規制のギャップを特定し、金融安定化を促進するための追加提言を行う報告書を発表する予定である。
The Biden-Harris Administration has long recognized the need for regulation to address digital assets’ stability risks. For example, in 2021, the President’s Working Group on Financial Markets recommended steps for Congress and regulators to make stablecoins safer. Building on this work, the Administration plans to take the additional following steps: バイデン=ハリス政権は、以前からデジタル資産の安定リスクに対処するための規制の必要性を認識してきた。例えば、2021年、大統領の金融市場に関する作業部会は、ステーブルコインをより安全にするために議会と規制当局がとるべき措置を提言した。この作業を踏まえ、行政はさらに以下のステップを踏む予定である。
・The Treasury will work with financial institutions to bolster their capacity to identify and mitigate cyber vulnerabilities by sharing information and promoting a wide range of data sets and analytical tools. ・財務省は、金融機関と協力し、情報を共有し、幅広いデータセットと分析ツールを推進することにより、金融機関のサイバー脆弱性を特定・軽減する能力を強化する。
・The Treasury will work with other agencies to identify, track, and analyze emerging strategic risks that relate to digital asset markets. It will also collaborate on identifying such risks with U.S. allies, including through international organizations like the Organization for Economic Co-operation and Development (OECD) and the Financial Stability Board (FSB). ・財務省は他の省庁と協力し、デジタル資産市場に関連する新たな戦略的リスクを特定、追跡、分析する。また、経済協力開発機構(OECD)や金融安定理事会(FSB)のような国際機関を通じて、米国の同盟国とそのようなリスクを特定するために協力する予定である。
Advancing Responsible Innovation 責任あるイノベーションの推進
U.S. companies lead the world in innovation. Digital asset firms are no exception. As of 2022, the United States is home to roughly half of the world’s 100 most valuable financial technology companies, many of which trade in digital asset services. 米国企業はイノベーションで世界をリードしている。デジタル資産企業も例外ではありません。2022年現在、世界で最も価値のある金融テクノロジー企業100社の約半数が米国にあり、その多くがデジタルアセットサービスを取引している。
The U.S. government has long played a critical role in priming responsible private-sector innovation. It sponsors cutting-edge research, helps firms compete globally, assists them with compliance, and works with them to mitigate harmful side-effects of technological advancement. 米国政府は、民間の責任あるイノベーションを促進するために、長い間重要な役割を担ってきた。米国政府は、最先端の研究を支援し、企業が国際的に競争できるようにし、コンプライアンスを支援し、技術進歩による有害な副作用を軽減するために協力する。
In keeping with this tradition, the Administration plans to take the following steps to foster responsible digital asset innovation: この伝統に従って、行政は責任あるデジタル資産のイノベーションを促進するため、以下のステップを踏む予定である。
・The Office of Science and Technology Policy (OSTP) and NSF will develop a Digital Assets Research and Development Agenda to kickstart fundamental research on topics such as next-generation cryptography, transaction programmability, cybersecurity and privacy protections, and ways to mitigate the environmental impacts of digital assets. It will also continue to support research that translates technological breakthroughs into market-ready products. Additionally, NSF will back social-sciences and education research that develops methods of informing, educating, and training diverse groups of stakeholders on safe and responsible digital asset use. ・科学技術政策局(OSTP)とNSFは、次世代暗号、取引のプログラマビリティ、サイバーセキュリティとプライバシー保護、デジタル資産の環境への影響を緩和する方法といったテーマに関する基礎研究を開始するため、「デジタル資産研究開発アジェンダ」を策定する。また、技術的なブレークスルーを市場に出せる製品に変換する研究も引き続き支援する。さらに、NSFは、デジタル資産の安全かつ責任ある利用について、多様なステークホルダーに情報を提供し、教育し、訓練する方法を開発する社会科学・教育研究を支援する。
・The Treasury and financial regulators are encouraged to, as appropriate, provide innovative U.S. firms developing new financial technologies with regulatory guidance, best-practices sharing, and technical assistance through things like tech sprints and Innovation Hours. ・財務省と金融規制当局は、新しい金融技術を開発する革新的な米国企業に対し、技術スプリントやイノベーションアワーのようなものを通じて、適宜、規制上のガイダンス、ベストプラクティスの共有、技術支援を行うことが推奨される。
・The Department of Energy, the Environmental Protection Agency, and other agencies will consider further tracking digital assets’ environmental impacts; developing performance standards as appropriate; and providing local authorities with the tools, resources, and expertise to mitigate environmental harms. Powering crypto-assets can take a large amount of electricity—which can emit greenhouse gases, strain electricity grids, and harm some local communities with noise and water pollution. Opportunities exist to align the development of digital assets with transitioning to a net-zero emissions economy and improving environmental justice. ・エネルギー省、環境保護庁、その他の機関は、デジタル資産の環境への影響をさらに追跡し、必要に応じてパフォーマンス基準を策定し、環境被害を軽減するためのツール、リソース、専門知識を地元当局に提供することを検討する。暗号資産を動かすには大量の電力を必要とする。この電力は温室効果ガスを排出し、電力網に負担をかけ、騒音や水質汚染で地域社会に害を与える可能性がある。デジタル資産の開発を、ネット・ゼロ・エミッション経済への移行や環境正義の改善と整合させる機会は存在する。
・The Department of Commerce will examine establishing a standing forum to convene federal agencies, industry, academics, and civil society to exchange knowledge and ideas that could inform federal regulation, standards, coordinating activities, technical assistance, and research support. ・商務省は、連邦政府機関、産業界、学術界、市民社会が、連邦政府の規制、基準、調整活動、技術支援、研究支援に役立つ知識やアイデアを交換するために招集する常設フォーラムの設立を検討する。
Reinforcing Our Global Financial Leadership and Competitiveness グローバル金融のリーダーシップと競争力の強化
Today, global standard-setting bodies are establishing policies, guidance, and regulatory recommendations for digital assets. The United States is working actively with its partners to set out these policies in line with our goals and values, while also reinforcing the United States’ role in the global financial system. Similarly, the United States has a valuable opportunity to partner with countries still developing their digital assets ecosystems, helping to ensure that countries’ financial, legal, and technological infrastructures respect core values including data privacy, financial stability, and human rights. 今日、世界的な標準化団体が、デジタル資産に関する政策、指針、規制勧告を策定している。米国はパートナーと積極的に協力し、我々の目標や価値観に沿ったこれらの政策を打ち出すと同時に、グローバルな金融システムにおける米国の役割を強化している。同様に、米国はデジタル資産のエコシステムを開発中の国々と提携し、各国の金融、法律、技術インフラがデータプライバシー、金融の安定、人権を含む中核的価値を尊重するよう支援する貴重な機会を持っている。
To reinforce U.S. financial leadership and uphold U.S. values in global digital asset markets, the Administration will take the following steps outlined in the framework for international engagement released by the Treasury Department earlier this summer: 世界のデジタル資産市場において米国の金融リーダーシップを強化し、米国の価値を維持するために、政権は今夏初めに財務省が発表した国際的関与のための枠組みで説明されている以下のステップを踏む予定である。
・U.S. agencies will leverage U.S. positions in international organizations to message U.S. values related to digital assets. U.S. agencies will also continue and expand their leadership roles on digital assets work at international organizations and standard-setting bodies—such as the G7, G20, OECD, FSB, Financial Action Task Force (FATF), and the International Organization for Standardization. Agencies will promote standards, regulations, and frameworks that reflect values like data privacy, free and efficient markets, financial stability, consumer protection, robust law enforcement, and environmental sustainability. 米国機関は、国際機関における米国の立場を活用し、デジタル資産に関連する米国の価値観を発信していく。 米国機関はまた、G7、G20、OECD、FSB、金融活動作業部会(FATF)、国際標準化機構などの国際機関や標準設定団体において、デジタル資産に関する業務で指導的役割を継続・拡大する。各省庁は、データプライバシー、自由で効率的な市場、金融の安定、消費者保護、強固な法執行、環境の持続可能性といった価値を反映した基準、規制、フレームワークを推進する。
・The State Department, the Department of Justice (DOJ), and other U.S. enforcement agencies will increase collaboration with—and assistance to—partner agencies in foreign countries through global enforcement bodies like the Egmont Group, bilateral information sharing, and capacity building. ・国務省、司法省(DOJ)、その他の米国執行機関は、エグモント・グループのような世界的な執行機関、二国間の情報共有、能力開発を通じて、外国のパートナー機関との協力、およびパートナー機関への援助を強化する。
・The State Department, Treasury, USAID, and other agencies will explore further technical assistance to developing countries building out digital asset infrastructure and services. As appropriate, this assistance may include technical assistance on legal and regulatory frameworks, evidence-gathering and knowledge-sharing on the impacts, risks, and opportunities of digital assets. ・国務省、財務省、USAID、その他の機関は、デジタル資産のインフラとサービスを構築する発展途上国への技術支援をさらに検討する。 この支援には、必要に応じて、法的規制の枠組みに関する技術支援、デジタル資産の影響、リスク、機会に関する証拠収集と知識の共有が含まれる場合がある。
・The Department of Commerce will help cutting-edge U.S. financial technology and digital asset firms find a foothold in global markets for their products. ・商務省は、米国の最先端の金融技術およびデジタル資産企業が、その製品の世界市場における足掛かりを見出すのを支援する。
Fighting Illicit Finance 不正金融との戦い
The United States has been a leader in applying its anti-money laundering and countering the financing of terrorism (AML/CFT) framework in the digital asset ecosystem. It has published relevant guidance, engaged in regular public-private dialogue, used its enforcement tools, and led in setting international AML/CFT standards. While our efforts have strengthened the U.S. financial system, digital assets— some of which are pseudonymous and can be transferred without a financial intermediary —have been exploited by bad actors to launder illicit proceeds, to finance terrorism and the proliferation of weapons of mass destruction, and to conduct a wide array of other crimes. For example, digital assets have facilitated the rise of ransomware cybercriminals; narcotics sales and money laundering for drug trafficking organizations; and the funding of activities of rogue regimes, as was the case in the recent thefts by the Democratic People’s Republic of Korea (DPRK)- affiliated Lazarus Group. 米国は、マネーロンダリング防止およびテロ資金調達対策(AML/CFT)の枠組みをデジタル資産のエコシステムに適用する上で、リーダー的存在となっている。米国は、関連するガイダンスを発表し、定期的に官民の対話に参加し、執行手段を活用し、国際的なAML/CFT基準の設定を主導してきた。私たちの努力によって米国の金融システムは強化されましたが、デジタル資産(その一部は仮名であり、金融仲介者を介さずに移転可能)は、不正な収益の洗浄、テロリズムや大量破壊兵器の拡散の資金調達、その他さまざまな犯罪を行うために悪用されてきた。例えば、デジタル資産は、サイバー犯罪者のランサムウェアの台頭、麻薬密売組織の麻薬販売とマネーロンダリング、朝鮮民主主義人民共和国(DPRK)系のLazarus Groupによる最近の盗難事件のような不正政権の活動資金調達を促進させてきた。
It is in the national interest to mitigate these risks through regulation, oversight, law enforcement action, and the use of other United States Government authorities. To fight the illicit use of digital assets more effectively, the Administration plans to take the following steps: 規制、監視、法執行、その他の米国政府当局の利用を通じて、これらのリスクを軽減することは国益に適う。デジタル資産の不正利用をより効果的に阻止するため、政権は以下の措置を講じる予定である。
・The President will evaluate whether to call upon Congress to amend the Bank Secrecy Act (BSA), anti-tip-off statutes, and laws against unlicensed money transmitting to apply explicitly to digital asset service providers—including digital asset exchanges and nonfungible token (NFT) platforms. He will also consider urging Congress to raise the penalties for unlicensed money transmitting to match the penalties for similar crimes under other money-laundering statutes and to amend relevant federal statutes to let the Department of Justice prosecute digital asset crimes in any jurisdiction where a victim of those crimes is found. ・大統領は、銀行機密保護法(BSA)、反チップオフ法、無許可の資金移動に対する法律を改正し、デジタル資産取引所や非可溶性トークン(NFT)プラットフォームを含むデジタル資産サービス・プロバイダーに明確に適用するよう議会に要請するかどうかを検討する。また、無許可の金銭授受に対する罰則を、他のマネーロンダリング法における同様の犯罪に対する罰則と同等に引き上げること、および関連する連邦法を改正し、デジタル資産犯罪の被害者がいる司法管轄区域で司法省が起訴できるよう議会に働きかけることも検討する予定である。
・The United States will continue to monitor the development of the digital assets sector and its associated illicit financing risks, to identify any gaps in our legal, regulatory, and supervisory regimes.  As part of this effort, Treasury will complete an illicit finance risk assessment on decentralized finance by the end of February 2023 and an assessment on non-fungible tokens by July 2023. ・米国は、デジタル資産分野の発展とそれに関連する不正資金調達のリスクを引き続き監視し、我々の法律、規制、監督体制におけるあらゆるギャップを特定する。  この努力の一環として、財務省は2023年2月末までに分散型金融に関する不法金融リスク評価を、2023年7月までに非可溶性トークンに関する評価を完了させる予定である。
・Relevant departments and agencies will continue to expose and disrupt illicit actors and address the abuse of digital assets.  Such actions will hold cybercriminals and other malign actors responsible for their illicit activity and identify nodes in the ecosystem that pose national security risks. ・関係省庁は引き続き、不正行為者の摘発と破壊、デジタル資産の乱用への対処を行う。  こうした行動は、サイバー犯罪者やその他の悪質な行為者の不法行為に対する責任を追及し、国家安全保障上のリスクをもたらすエコシステム内のノードを特定する。
・Treasury will enhance dialogue with the private sector to ensure that firms understand existing obligations and illicit financing risks associated with digital assets, share information, and encourage the use of emerging technologies to comply with obligations.  This will be supported by a Request for Comment published to the Federal Register for input on several items related to AML/CFT. ・財務省は、企業がデジタル資産に関連する既存の義務や不正資金調達のリスクを理解し、情報を共有し、義務を遵守するための新技術の利用を奨励するよう、民間企業との対話を強化する。  これは、AML/CFTに関連するいくつかの項目に関する意見を求めるために連邦官報に掲載される意見募集によって支援されるであろう。
Informing the above recommendations, the Treasury, DOJ/FBI, DHS, and NSF drafted risk assessments to provide the Administration with a comprehensive view of digital assets’ illicit-finance risks. The CFPB, an independent agency, also voluntarily provided information to the Administration as to risks arising from digital assets. The risks that agencies highlight include, but are not limited to, money laundering; terrorist financing; hacks that result in losses of funds; and fragilities, common practices, and fast-changing technology that may present vulnerabilities for misuse. 上記の提言を受けて、財務省、DOJ/FBI、DHS、NSFは、デジタル資産の違法金融リスクに関する包括的な見解を行政に提供するため、リスク評価を起草した。独立機関であるCFPBも、デジタル資産から生じるリスクについて、自主的に行政に情報を提供した。各機関が指摘するリスクには、マネーロンダリング、テロ資金調達、ハッキングによる資金流出、脆弱性、一般的な慣習、急速に変化する技術による不正利用の脆弱性などが含まれるが、これらに限定されない。
Exploring a U.S. Central Bank Digital Currency (CBDC) 米国の中央銀行デジタル通貨(CBDC)の検討
A U.S. CBDC – a digital form of the U.S. dollar – has the potential to offer significant benefits. It could enable a payment system that is more efficient, provides a foundation for further technological innovation, facilitates faster cross-border transactions, and is environmentally sustainable. It could promote financial inclusion and equity by enabling access for a broad set of consumers. In addition, it could foster economic growth and stability, protect against cyber and operational risks, safeguard the privacy of sensitive data, and minimize risks of illicit financial transactions. A potential U.S. CBDC could also help preserve U.S. global financial leadership, and support the effectiveness of sanctions. But a CBDC could also have unintended consequences, including runs to CBDC in times of stress. 米国中央銀行デジタル通貨(CBDC)は、米ドルのデジタル化であり、大きな利益をもたらす可能性がある。より効率的な決済システム、さらなる技術革新のための基盤、国境を越えた取引の迅速化、そして環境的に持続可能なシステムを実現できるかもしれない。また、幅広い消費者のアクセスを可能にすることで、金融包摂と公平性を促進することができる。さらに、経済成長と安定性を促進し、サイバーリスクやオペレーショナルリスクから保護し、機密データのプライバシーを保護し、不正な金融取引のリスクを最小化することができる。また、米国の潜在的な CBDC は、米国の国際金融のリーダーシップを維持し、制裁の有効性を支 持することができる。しかし、CBDC は、ストレスのあるときに CBDC に逃げ込むなど、意図しない結果をもたらす可能性もある。
Recognizing the possibility of a U.S. CBDC, the Administration has developed Policy Objectives for a U.S. CBDC System,which reflect the federal government’s priorities for a potential U.S. CBDC. These objectives flesh out the goals outlined for a CBDC in the E.O. A U.S. CBDC system, if implemented, should protect consumers, promote economic growth, improve payment systems, provide interoperability with other platforms, advance financial inclusion, protect national security, respect human rights, and align with democratic values. But further research and development on the technology that would support a U.S. CBDC is needed.  The Administration encourages the Federal Reserve to continue its ongoing CBDC research, experimentation, and evaluation. To support the Federal Reserve’s efforts and to advance other work on a potential U.S. CBDC, the Treasury will lead an interagency working group to consider the potential implications of a U.S. CBDC, leverage cross-government technical expertise, and share information with partners. The leadership of the Federal Reserve, the National Economic Council, the National Security Council, the Office of Science and Technology Policy, and the Treasury Department will meet regularly to discuss the working group’s progress and share updates on and share updates on CDBC and other payments innovations. 米国政府は、米国版 CBDC の可能性を認識し、米国版 CBDC のための政策目標(Policy Objectives for a U.S. CBDC System)を策定し、米国版 CBDC に対する連邦政府の優先順位を反映した。これらの目的は、大統領令で示された CBDC の目標を具体化したものである。米国 CBDC システムが実現されれば、消費者保護、経済成長の促進、決済システムの改善、他のプラットフォームとの相互運用性、金融包摂の促進、国家安全保障の保護、人権の尊重、民主的価値との一致を実現するはずである。しかし、米国の CBDC をサポートする技術に関するさらなる研究開発が必要である。  政府は、連邦準備制度理事会が現在行っている CBDC の研究、実験、評価を継続するよう奨励する。連邦準備銀行の努力を支援し、米国の潜在的なCBDCに関する他の作業を進めるために、財務省は、米国のCBDCの潜在的な意味を検討し、政府間の技術的専門知識を活用し、パートナーと情報を共有するための省庁間の作業グループを主導する。連邦準備制度理事会、国家経済会議、国家安全保障会議、科学技術政策室、財務省の指導者が定期的に会合を持ち、作業部会の進捗状況を議論し、CDBCやその他の決済技術革新に関する最新情報を共有する。

 

・2022.09.16 Background Press Call by Senior Administration Officials on the First-Ever Comprehensive Framework for Responsible Development of Digital Assets

 

Background Press Call by Senior Administration Officials on the First-Ever Comprehensive Framework for Responsible Development of Digital Assets 背景 デジタル資産の責任ある開発のための史上初の包括的フレームワークに関する政権高官によるプレスコール
MODERATOR:  Thank you, everyone, and thanks for joining.  Today we’re doing a press call on the new Comprehensive Framework for Responsible Development of Digital Assets.  司会:皆さん、ご参加ありがとうございます。  本日は、「デジタル資産の責任ある発展のための包括的枠組み」に関するプレス・コールを行います。 
The first part of the call is on the record so we’re going to go ahead and get that started.  And I’m going to turn it over to Director of the National Economic Council Brian Deese.  Over to you. 最初の部分は記録されますので、それを先に始めたいと思います。  国家経済会議ブライアン・ディース局長にバトンタッチします。 どうぞ、よろしくお願いします。
MR. DEESE:  Thanks, and thank you all for joining here today.  I’ll be brief at the top and them I’m going to turn it over to my colleagues, Secretary Yellen and Director Nelson. ディーン局長:今日はお集まりいただきありがとうございます。  私は冒頭で簡潔に述べ、同僚のイエレン長官とネルソン局長に引き継ぎます。
Just to start, the bottom line here is that the responsible development of digital assets is vital for American interests, from the well-being of consumers and investors to the safety and stability of our financial system, and for our financial and technological leadership around the world.  まず最初に、デジタル資産の責任ある開発は、消費者や投資家の福利から金融システムの安全性と安定性まで、アメリカの利益にとって不可欠であり、世界の金融と技術のリーダーシップにとって重要です。 
And we’ve seen in recent months substantial turmoil in cryptocurrency markets, and these events really highlight how, without proper oversight, cryptocurrencies risk harming everyday American’s financial stability and our national security.  And it is why this administration believes that now more than ever prudent regulation of cryptocurrencies is needed if digital assets are going to play a role that we believe they can in fostering innovation and supporting our economic and technological competitiveness. ここ数カ月、暗号通貨市場で大きな混乱が起きていますが、こうした出来事は、適切な監視がなければ、暗号通貨がいかに日常的な米国人の金融安定性と国家安全保障に害を及ぼす危険性があるかを如実に示しています。  だからこそ、デジタル資産がイノベーションを促進し、経済的・技術的競争力を支える役割を果たすためには、暗号通貨に対する慎重な規制がこれまで以上に必要であると考えています。
This starts back — to, you know, dial the clock back to last March when the President recognized with the issuing of EO 14067 that this needed to be a priority for the entirety of the executive branch.  And that executive order tasked agencies with doing deep analysis of digital assets’ risks and opportunities in submitting policy recommendations so that we can build a framework that harnesses the potential benefits while decisively mitigating the risks.  これは、昨年3月に大統領が大統領令 14067を発出し、行政府全体の優先事項であるべきだと認識したことから始まります。  この大統領令は、デジタル資産のリスクと機会を深く分析し、リスクを決定的に軽減しながら潜在的な利益を活用する枠組みを構築するための政策提言を提出するよう、各省庁に命じています。 
And I — you know, what we’re here today to do is to mark, after 180 days of work, where we are and, in particular, to highlight the release of many of the reports contemplated under that executive order.  そして、今日、私たちがここにいるのは、180日間の作業の後、私たちがどこにいるか、特に、この大統領令の下で計画された多くの報告書が発表されたことに注目するためなのです。 
Across the government — Department of Treasury, Commerce, Justice, and the White House Office of Science and Technology Policy had been the primary authors and drivers of these reports, and they are the result of an extensive interagency process that reflect input and expertise of diverse stakeholders across government, industry, academia, and civil society.  And I want to thank all of our partners for their contributions. これらの報告書は、財務省、商務省、司法省、ホワイトハウスの科学技術政策室など、政府全体が主体となって作成し、推進したもので、政府、産業界、学界、市民社会など多様なステークホルダーの意見と専門知識を反映した、広範囲にわたる省庁間のプロセスの結果です。  そして、すべてのパートナーの貢献に感謝したいと思います。
I’m just going to very quickly highlight a couple of the topline findings from these reports before turning it over to our leaders who can highlight the findings in more detail.  私は、この報告書から得られた主要な知見を簡単に紹介し、その後で、より詳細な知見を紹介するリーダーたちに引き継ぎたいと思います。 
Three quick points.  First, these reports underscore and advance our understanding of the policy implications and technical choices surrounding a potential U.S. Central Bank Digital Currency should one be deemed to be in the national interest, and they facilitate further analysis and experimentation.  As an administration, as Secretary Yellen will detail, we encourage the Federal Reserve to continue its ongoing research and experimentation around a potential CBDC, and we look forward to continuing the work at the technical level with our interagency partners to support this effort.  And that the team’s principals and deputies at the Federal Reserve, the National Economic Council, the National Security Council, OSTP, and the Treasury Department will meet regularly to discuss the working group’s progress and share updates on CBDC and other payment innovations.  簡単に3つのポイントを挙げます。  第一に、これらの報告書は、米国の中央銀行デジタル通貨が国益に適うと判断された場合の政策的意味合いと技術的選択肢について、我々の理解を深め、前進させるものであり、さらなる分析と実験を促進するものです。  政権として、イエレン長官が詳述するように、我々は連邦準備制度理事会が潜在的なCBDCに関する進行中の研究と実験を続けることを奨励し、この努力を支援するために我々の省庁間パートナーと共に技術レベルでの作業を続けることを期待しています。  そして、連邦準備制度理事会、国家経済会議、国家安全保障会議、OSTP、財務省のチームの主要人物と代理人が定期的に会合を持ち、作業部会の進捗状況を話し合い、CBDCやその他の決済技術革新に関する最新情報を共有することを約束します。 
The report that is being released also calls for continued and more engagement with international partners on CBDC systems, which is a critical priority.  And as an administration, we will prioritize those engagements.  今回発表された報告書では、CBDCシステムに関する国際的なパートナーとの継続的かつより多くの関与も求められており、これは重要な優先事項です。  そして、政権として、そのような関与に優先順位をつけていきます。 
Second, today’s report articulates a comprehensive strategy for mitigating digital assets’ harms, especially the harms to consumers and the environment.  I want to highlight that the report’s proposed steps for countering cryptocurrencies use in illicit finance activity in particular, and these steps reflect the administration’s focus on illicit finance threats and builds on the progress of prior work with agencies including with our international partners.  For example, we convened a counter-ransomware initiative with over 30 countries this month for a virtual summit addressing global strategies to disrupt ransomware activities.  第二に、本日の報告書は、デジタル資産の害、特に消費者と環境に対する害を軽減するための包括的な戦略を明示しています。  特に、暗号通貨が不正な金融活動に利用された場合の対策として、本報告書が提案するステップを強調したいと思います。これらのステップは、不正金融の脅威に対する政権の焦点を反映し、国際パートナーを含む各省庁との事前の作業の進展を踏まえたものとなっています。  例えば、私たちは今月、30カ国以上からなるランサムウェア対策イニシアチブを招集し、ランサムウェアの活動を妨害するための世界的な戦略について話し合うバーチャルサミットを開催しました。 
And third, the reports provide a roadmap for reaping the fruits of responsible innovation and digital asset development, and to do so — and to advance innovation, the reports call for the federal government to craft a digital asset research and development agenda.  Through that initiative, government agencies will kick start new scientific and technical research, collaborating with key partners in academia, industry, and civil society.  第三に、報告書は責任あるイノベーションとデジタル資産開発の成果を得るためのロードマップを提供しており、そのために、そしてイノベーションを促進するために、報告書は連邦政府に対してデジタル資産の研究開発アジェンダを作成するよう求めています。  そのイニシアチブを通じて、政府機関は、学界、産業界、市民社会の主要なパートナーと協力しながら、新しい科学技術研究を始めます。 
And additionally, we will develop cross-government strategies for proactive global leadership on digital assets, as I mentioned.  And we believe that continued global leadership will reinforce the pivotal role that the U.S. plays in the world financial system and help global digital asset development proceed in a way that reflects American values.  さらに、先ほど申し上げたように、デジタル資産に関する積極的なグローバルリーダーシップを発揮するための政府横断的な戦略を策定します。  そして、グローバルなリーダーシップを発揮し続けることが、世界の金融システムにおいて米国が果たす極めて重要な役割を強化し、世界のデジタル資産の発展が米国の価値観を反映した形で進むことにつながると考えています。 
Each of these steps — these are just three steps — many others outlined in the report helps to make progress toward responsible development of digital assets, which is our core goal, as I started with.  And they lay the groundwork for what we believe can be a thoughtful and comprehensive approach to mitigating the risks and, where proven, harness the benefits.  And we look forward to continuing this work.  これらの各ステップは - これらは3つのステップに過ぎないが - 報告書に概説されている他の多くのステップは、冒頭で述べたように、我々の中核的目標であるデジタル資産の責任ある開発への前進を助けるものです。  そして、リスクを軽減し、実証済みであれば利益を活用するための思慮深い包括的なアプローチとなり得ると私たちが信じるものの土台を築くものである。  そして、私たちはこの作業を継続することを楽しみにしている。 
I will end by saying: Consistent with the President’s direction in the executive order, we will continue to prioritize this critical work across the executive branch.  最後に、こう申し上げたいと思う。大統領令の指示に従い、私たちは行政機関全体でこの重要な仕事に優先順位をつけていきます。 
So with that, let me turn it over to Secretary Yellen, who can provide more detail around the Treasury Department’s report being released.  Thank you. それでは、イエレン長官に代わって、財務省が発表する報告書について、より詳しいお話を伺いたいと思います。  ありがとうございました。
SECRETARY YELLEN:  Thank you very much, Brian.  And I’d first like to recognize President Biden’s leadership on digital assets and for convening experts from across the administration to ensure a coordinated and comprehensive approach to digital assets policy.  And I’d like to thank him for charging the Treasury Department with a leadership role in this work by calling on us to develop reports that address fundamental issues in this new and rapidly evolving area.  イエレン長官:ブライアン、ありがとう。  まず、バイデン大統領がデジタル資産に関してリーダーシップを発揮し、デジタル資産政策への協調的かつ包括的なアプローチを確保するために、政権全体から専門家を招集したことを評価したいと思います。  そして、この新しく、急速に発展する分野の基本的な問題を扱う報告書を作成するよう、財務省に要請し、この仕事における指導的役割を担わせてくれたことに感謝します。 
Innovation is one of the hallmarks of a vibrant financial system and economy.  But as we’ve painfully learned from history, innovation without adequate regulation can result in significant disruptions and harm to the financial systems and individuals.  And this is especially true for communities that are most vulnerable to these risks.  イノベーションは、活力ある金融システムと経済の特徴の一つです。  しかし、歴史から痛切に学んだように、適切な規制のないイノベーションは、金融システムと個人に大きな混乱と損害をもたらす可能性があります。  そしてこれは、こうしたリスクに対して最も脆弱な地域社会にとって、特に当てはまります。 
Tomorrow, the Treasury Department will be releasing three reports on key issues surrounding the responsible development of digital assets for financial services.  The reports clearly identify the real challenges and risks of digital assets used for financial services.  At the same time, if these risks are mitigated, digital assets and other emerging technologies could offer significant opportunities.  明日、財務省は、金融サービスのためのデジタル資産の責任ある開発をめぐる重要な問題に関する3つの報告書を公表します。  これらの報告書は、金融サービスに利用されるデジタル資産の現実的な課題とリスクを明確に示しています。  同時に、これらのリスクを軽減することができれば、デジタル資産やその他の新興技術は大きな機会を提供する可能性があります。 
The first report is about the future of the U.S money and payment system.  Right now, some aspects of our current payment system are too slow or too expensive.  The report encourages continued work on innovations to promote a system that is more competitive, efficient, and inclusive, and that also helps maintain and build on the United States global financial leadership.  最初の報告書は、米国の貨幣・決済システムの将来についてです。  現在、米国の決済システムには、スピードが遅すぎたり、コストが高すぎたりする面があります。  この報告書は、より競争力があり、効率的で、包括的なシステムを促進し、さらに米国の世界金融のリーダーシップを維持・構築するのに役立つ革新的な取り組みを継続するよう奨励しています。 
The report makes several recommendations to achieve these objectives.  The first recommendation is to advance policy and technical work on a potential central bank digital currency, or CBDC, so that the United States is prepared if a CBDC is determined to be in the national interest.  本報告書は、これらの目標を達成するためにいくつかの提言を行なっています。  第一の提言は、中央銀行デジタル通貨(CBDC)に関する政策的・技術的作業を進め、CBDCが国益に適うと判断された場合に米国が準備できるようにすることです。 
To advance this work, Treasury will lead an interagency working group to coordinate and consider questions necessary for a potential CBDC.  The working group will leverage expertise from across the administration and support the ongoing work of the Federal Reserve on the CBDC.  It will engage in information sharing with our allies and partners to promote responsible development of CBDCs.  この作業を進めるために、財務省は、潜在的なCBDCに必要な質問を調整・検討するための省庁間作業部会を主導します。  この作業部会は、政府内の専門知識を活用し、連邦準備制度理事会が現在行っている CBDC に関する作業を支援します。  作業部会は、CBDC の責任ある開発を促進するために、同盟国やパートナーとの情報交換を行います。 
The report also encourages the use of instant payment systems and efforts to improve cross-border payments.  The report recommends establishing a federal framework for payments regulation to protect users and the financial system while supporting responsible innovations.  この報告書はまた、即時決済システムの利用や国境を越えた決済を改善するための努力も奨励しています。  報告書は、責任ある革新を支援しつつ、利用者と金融システムを保護するために、決済規制のための連邦政府の枠組みを確立することを推奨しています。 
The second report reviews current use cases for crypto assets and their effects on consumers, investors, and businesses.  And this includes effects on underserved communities and those who are most vulnerable for the risks of crypto assets.  As we’ve seen over the past few months, risks stemming from improper conduct related to the trading of crypto assets continue to present an especially grave area of concern.  This includes frauds, thefts, and scams.   第二の報告書では、暗号資産の現在の使用事例と、消費者、投資家、企業への影響について検証しています。  そして、これには、十分なサービスを受けていないコミュニティや、暗号資産のリスクに対して最も脆弱な人々への影響も含まれています。  過去数カ月に見られたように、暗号資産の取引に関連する不適切な行為に起因するリスクは、引き続き特に重大な懸念分野となっています。  これには、詐欺、窃盗、詐欺が含まれます。 
We recommend that agencies continue to rigorously pursue their enforcement efforts focused on the crypto-asset sector.  Agencies should use existing authorities to issue additional supervisory guidance and rules to address current and emerging risks.  Further, we recommend that agencies work to ensure that American consumers, investors, and businesses have access to trustworthy information on crypto assets. 我々は、各機関が暗号資産分野に焦点を当てた執行活動を引き続き厳格に推進することを推奨する。  また、当局は既存の権限を活用し、現在および新たに発生するリスクに対応するため、追加の監督指針および規則を発行する必要がある。  さらに、米国の消費者、投資家、企業が暗号資産に関する信頼できる情報にアクセスできるよう、各機関が努力することを提言する。
The third report builds on the foundation established by the National Illicit Finance Strategy and the National Risk Assessments published earlier this year.  It carries forward the principles of the strategy and lays out a more detailed, illicit finance action plan.  第三の報告書は、今年初めに発表された「国家不正金融戦略」と「国家リスク評価」によって確立された基盤の上に構築されています。  同戦略の原則を継承し、より詳細な不正金融行動計画を打ち出しています。 
The action plan lays out seven priority actions.  These actions will guide our longstanding efforts to prevent digital assets from being used for financial crimes, such as money laundering and terrorism financing.  The actions include strengthening U.S. AML/CFT supervision of virtual asset activities, disrupting illicit actors, expanding public-private dialogue, and improving global regulation and enforcement of international standards.  The action plan also recommends continued monitoring of emerging risks in the digital asset sector to identify potential gaps in our regulatory regime.  行動計画では、7つの優先行動を定めています。  これらの行動は、デジタル資産がマネーロンダリングやテロ資金供与などの金融犯罪に利用されることを防ぐための我々の長年の努力の指針となるものです。  アクションには、仮想資産活動に対する米国のAML/CFT監督の強化、不正行為者の排除、官民対話の拡大、国際基準の規制と執行の改善などが含まれています。  また、行動計画では、デジタル資産分野における新たなリスクを継続的に監視し、我々の規制体制における潜在的なギャップを特定することを推奨しています。 
Overall, I believe that these reports, as well as others that we have consulted on with our interagency partners, provide a strong foundation for policymakers as we work to realize the potential benefits of digital assets and to mitigate and minimize the risks.  全体として、これらの報告書や、我々が省庁間パートナーと協議してきた他の報告書は、デジタル資産の潜在的利益を実現し、リスクを軽減・最小化するために取り組む政策立案者に強力な基盤を提供すると確信しています。 
These reports are in addition to the Framework for International Engagement on Digital Assets, which Treasury released in early July.  これらの報告書は、財務省が7月初旬に発表した「デジタル資産に関する国際的関与のための枠組み」に追加されるものです。 
And we will supplement this work soon; the Financial Stability Oversight Council will release a report on digital asset financial stability risks and regulations as required by the executive order.  And I will have more to share on the substance of that report once it’s released.  金融安定監視委員会は、行政命令で義務付けられているデジタル資産の金融安定リスクと規制に関する報告書を発表する予定であり、我々はこの作業をまもなく補足する。  その報告書の内容については、発表され次第、またお話ししたいと思います。 
So thank you for joining us on that call and let me now turn it over to Director Alondra Nelson, from OSTP. それでは、お電話にご参加いただきありがとうございました。次はOSTPのアロンドラ・ネルソン局長にお願いします。
DR. NELSON:  Thank you very much, Secretary Yellen.  Thank you, also, Director Deese.  Thank you both for your leadership and your partnership in this whole-of-government approach to digital assets.  And thank you to our colleagues in journalism for being with us.  ネルソン局長:イエレン長官、ありがとうございました。  ディーン局長もありがとうございました。  デジタル資産に対する政府全体のアプローチにおいて、お二人のリーダーシップとパートナーシップに感謝します。  そして、報道記者の皆様たちも、ご列席いただきありがとうございます。 
Before I start, I want to just recognize the teams at the Office of Science and Technology Policy, OSTP, for their incredibly hard work on, in particular, two of the really rigorous digital asset reports (inaudible) briefly for you while we’re on the call this afternoon.  始める前に、科学技術政策局(Office of Science and Technology Policy, OSTP)のチームの、特に2つの非常に厳密なデジタル資産レポートに関する非常に懸命な作業を評価したいと思います(聞き取れません)。 
As our moderator noted at the top, I lead the Office of Science and Technology Policy.  And our job really and our mandate from Congress since 1976 and from the President is to maximize the benefits of science and technology to advance health, prosperity, security, environmental quality, and justice for all of the American public.  司会者が冒頭で述べたように、私は科学技術政策局を率いている。  私たちの仕事は、つまり1976年以来、議会と大統領から与えられた使命は、科学技術の恩恵を最大限に生かし、アメリカ国民全員の健康、繁栄、安全、環境の質、そして正義を向上させることです。 
In addition to this, by our founding mandate, OSTP is the office in the Executive Office of the President that’s really kind of focused on the future.  So a lot of our work is engaged with tackling tough challenges of today, endeavoring to anticipate the unknown opportunities and obstacles that lie ahead, and really trying to drive boldly the country and the nation towards solutions.  これに加えて、OSTP は大統領府の中でも特に未来に焦点を当てたオフィスです。  ですから、私たちの仕事の多くは、今日の厳しい課題に取り組み、その先にある未知の機会や障害を予測する努力をし、国と国を解決に向けて大胆に推進しようとするものです。 
So this work means often taking a hard look at today’s innovations and technologies and things that are just cresting on the edge of new technologies, and evaluating their potential to either shape or hinder a safe, equitable, and flourishing future for all of us.  つまり、この仕事は、今日のイノベーションとテクノロジー、そして新しいテクノロジーの端にあるものを厳しく見つめ、私たち全員にとって安全で公平、かつ豊かな未来を形作る、または妨げる可能性を評価することを意味します。 
So the two reports I mentioned.  One, last week, we released a report on the Climate and Energy Implications of Crypto Assets.  In our climate report, we found that crypto assets consumed between 1 percent and 2 percent of all U.S. electricity each year.  We also found that crypto asset activity produces between 0.4 to 0.8 percent of U.S. greenhouse gas emissions.  That’s similar to the emissions from iron and steel production in the United States by way of comparison. 今お話した2つの報告書。  1つは、先週、暗号資産の気候およびエネルギーへの影響に関する報告書を発表しました。  気候に関する報告書では、暗号資産は毎年、米国の全電力の1%から2%を消費していることがわかりました。  また、暗号資産の活動は、米国の温室効果ガス排出量の0.4~0.8パーセントを生み出していることがわかりました。  これは、比較のために言うと、米国の鉄鋼生産による排出量と同様です。
The crypto asset industry is expanding rapidly using more electricity and producing more emissions.  And crypto mining affects local communities with noise pollution, as well as air and water pollution from direct fossil-fired electricity.  These local community impacts can exacerbate environmental justice issues for communities that are already burdened by other pollutants.  We need to make sure that crypto asset operations do not impede our goals to protect communities, reduce greenhouse gas emissions, and achieve a carbon pollution-free electricity grid.  暗号資産産業は急速に拡大しており、より多くの電力を使用し、より多くの排出物を生み出しています。  そして、暗号マイニングは、化石燃料を直接使用する電力による大気汚染や水質汚染だけでなく、騒音公害で地域社会に影響を与えます。  こうした地域コミュニティへの影響は、すでに他の汚染物質によって負担を強いられているコミュニティにとって、環境正義の問題を悪化させる可能性があります。  私たちは、暗号資産の運用が、地域社会の保護、温室効果ガスの排出削減、炭素汚染のない電力網の実現という目標を阻害しないようにする必要があります。 
The recommendations in our report align with these goals while also recognizing that innovations in this technology could help with climate monitoring and mitigation.  我々の報告書の提言は、これらの目標に沿うものであると同時に、この技術の革新が気候の監視と緩和に役立つ可能性があることを認識するものであります。 
Earlier this week, we saw a major crypto player begin transitioning to a less energy-intensive model, a good first step that we should encourage others to consider. 今週初め、私たちは、主要な暗号プレイヤーがエネルギー集約度の低いモデルへの移行を開始するのを見ました。これは良い第一歩であり、私たちは他のプレイヤーに検討を促すべきでしょう。
Innovation in the financial sector has the potential to transform money and payments.  This transformation may reach the core of our financial system through the introduction of a Central Bank Digital Currency — or CBDC.  金融セクターにおけるイノベーションは、お金と決済を変える可能性があります。  この変革は、中央銀行デジタル通貨(CBDC)の導入を通じて、金融システムの中核に到達する可能性があります。 
Our second report provides a technical evaluation for a potential U.S. CBDC system.  In theory, a U.S. CBDC system could facilitate efficient and low-cost transactions, might provide greater access to the financial system, and could help preserve U.S. global financial leadership.  第二の報告書では、米国におけるCBDCシステムの技術的な評価を行います。  理論的には、米国のCBDCシステムは効率的で低コストの取引を促進し、金融システムへのアクセスを向上させ、米国の世界的な金融リーダーシップを維持するのに役立つ可能性があります。 
At the Office of Science and Technology Policy, we believe that the best technology policy is specific about the policy objectives we hope to achieve, as well as the technology we’re using to achieve these objectives.  科学技術政策局では、最良の技術政策は、達成したい政策目標と、その目標を達成するために使用する技術について具体的であると信じています。 
That’s why we’ve worked across the federal government, gathering input from dozens of offices and an interagency process to develop a list of specific U.S. policy objectives for CBDCs, including safeguarding privacy and advancing equity.  そのため、私たちは連邦政府全体で協力し、数十の部署から意見を集め、省庁間のプロセスを経て、プライバシー保護や公平性の向上を含むCBDCに関する米国の特定の政策目的のリストを作成しました。 
Our colleagues at the Federal Reserve have also been doing experimentation and research on whether to pursue a CBDC as outlined in their January 2022 discussion paper.  連邦準備制度の同僚たちも、2022年1月のディスカッションペーパーで示されたように、CBDCを追求するかどうかについて実験と研究を行ってきました。 
While no decisions have been made to issue a CBDC, our report will help policymakers understand the technical design choices of a CBDC system, and how those choices can best align with the values of the Biden-Harris administration.  CBDCの発行は決定されていませんが、私たちの報告書は、政策立案者がCBDCシステムの技術的な設計の選択と、その選択がバイデン=ハリス政権の価値観とどのように最も調和することができるかを理解するのに役立つと思っています。 
These two reports and the larger suite of reports that Secretary Yellen just mentioned are only the beginning.  We need to continue working across the federal government to implement the recommendations.  この2つの報告書とイエレン長官が言及した一連の報告書は、始まりに過ぎません。  我々は、勧告を実施するために、連邦政府全体で作業を続ける必要があります。 
As we take action, we look forward to supporting innovation while prioritizing equity, inclusion, and national security.  We will work to expand the benefits of technological innovations for all the American public while reducing harmful financial practices like predatory inclusion of underserved communities.  私たちは、公平性、包括性、国家安全保障を優先させながら、イノベーションを支援することを期待しています。  私たちは、技術革新の恩恵をすべての米国民に拡大する一方で、十分なサービスを受けていないコミュニティに対する略奪的な取り込みのような有害な金融慣行を削減するために取り組んでいくつもりです。 
It’s going to take a broad coalition of stakeholders to do this, working together, but we can achieve these goals.  And we really appreciate your interest today and this policy work.  これを実現するには、幅広いステークホルダーの連合が必要であり、協力し合わなければなりませんが、私たちはこれらの目標を達成することができます。  本日の皆さんの関心と、この政策活動に本当に感謝します。 
With that I turn things back over to you. それでは、皆さんに話を戻します。
MODERATOR:  Thank you.  Thanks to our speakers for their remarks.  This concludes the on-the-record portion of the call.  司会:ありがとうございました。  スピーカーの皆さん、ご発言ありがとうございました。  これでオン・ザ・レコードの部分は終わりである。 
We’re going to now switch to on background, attributable to “senior administration officials” for the question-and-answer session of the call. これからは、質疑応答セッションのために、「政府高官」に起因するバックグラウンドに切り替わります。
For your awareness and not for reporting, the speakers on the call are [senior administration officials].  ご承知おきください。この通話の発言者は[政府高官]です。 
So, Operator, could you please queue up the directions to ask a question?  We’re going to take as many questions as we can in the time that we have. それでは、オペレーターの方、質問の指示を列挙していただけませんでしょうか。  時間内にできるだけ多くの質問をお受けするつもりです。
Q    (Inaudible) what you might say to somebody who is hungry for action — who sees what you’re doing and the methodical process, yet feels like it’s not commensurate with where we are in the evolution of these assets and has seen the implosion of a stable coin — so-called stable coin, recently; the precipitous drop in Bitcoin; and how leveraged this industry is becoming (inaudible) it’s becoming; and sees you plodding through this but not getting to anything actionable.  Q(聞き取り不能) 行動に飢えている人、つまり、あなたがやっていることや整然としたプロセスを見て、しかしそれがこれらの資産の進化における我々の位置に見合っていないと感じ、最近安定コイン-いわゆる安定コイン-の崩壊、ビットコインの急落、そしてこの業界がいかにレバレッジが効いてきているか(聞き取り不能)見てきて、あなたがこの中でのろのろとしているが何も行動に移していないのを見てきた人にあなたはどう言うのでしょう。 
I wonder what you would say in response to that, and also, when we might see steps that would be that — would be, say, the recommendation whether or not to do a CBDC.  More concrete steps than just more reports and more research. また、CBDCを行うかどうかの推奨など、そのようなステップをいつ見ることができるのでしょうか。  報告書や調査を増やすだけでなく、もっと具体的なステップはないのでしょうか。
SENIOR ADMINISTRATION OFFICIAL:  Hi, this is (senior administration official).  I’ll take the question because your question is fundamentally around the risks and it sounds like particularly the risks around consumer protection.  政府高官: ハイ、こちら(上級行政官)です。  ご質問は基本的にリスクに関するもので、特に消費者保護に関するリスクと思われますので、私がお受けします。 
There are some key recommendations on actions regarding consumer protection.  There are actions regarding asking agencies to particularly — I’ll just pull that up quickly here.  消費者保護に関する行動については、いくつかの重要な提言があります。  特に各省庁への要請に関するアクションがあるが、ここではそれを手短に引き出します。 
First, on the congressional side.  As you know, Congress is debating legislative steps in that way.  But with regard to actually pursuing further work, it calls on agencies to follow up and do the work, to assess the use by consumers.  まず、議会についてです。  ご存知のように、議会はそのような立法措置について議論しています。  しかし、実際にさらなる作業を進めることに関しては、各省庁に対して、消費者による利用を評価するためのフォローアップと作業を行うよう求めています。 
And frankly, in addressing criminal activity, we’ve put a lot of work into existing law enforcement tools.  And for example, DOJ shut down Hydra, a Russian language dark net marketplace.  Hydra that uses trade cryptocurrency for illicit goods and services. 率直に言って、犯罪行為に対処するために、私たちは既存の法執行ツールに多くの労力を費やしてきました。  例えば、司法省はロシア語のダークネット市場であるHydraを閉鎖しました。  Hydraは、暗号通貨を不正な商品やサービスのために取引するものです。
And we’re doing additional work as well for agencies to invest in training their personnel and acquiring the most advanced analytic tools for the digital ecosystem.  また、捜査機関には、職員の訓練やデジタル・エコシステム用の最先端の分析ツールの入手に投資するための追加作業も行っています。 
So I think, to your point, we have significant concerns.  We’re asking agencies to double down on their work on enforcement of existing regulations, treating these as digital assets, and also looking carefully to say what additional work is needed in the space and watching for the work happening on the Hill to add additional regulation that may be needed as well. ですから、ご指摘の通り、私たちには大きな懸念がある。  そして、この分野でどのような追加作業が必要かを慎重に検討し、必要な追加規制を追加するために議会で起きている作業も注視している。
MODERATOR:  Thank you.  Do any of our other speakers have any comments before we move to the next question? 司会:ありがとうございました。  次の質問に移る前に、他の発言者から何かコメントはありますか?
SENIOR ADMINISTRATION OFFICIAL:  Yes.  This is (senior administration official).  So I reinforce what (senior administration official) just said.  One of the reports on the consumer use cases and protections looks exactly at what the current use cases are, identifies areas of misconduct, risks to market integrity, and reinforces with recommendations for the agencies that have already taken enforcement actions to continue to aggressively pursue those actions to address the instances of frauds and scams and other misconduct.  政府高官: はい。  こちらは(上級行政官)です。  今、(上級行政官)が言ったことを補足します。  消費者の利用事例と保護に関する報告書の1つは、現在の利用事例を正確に調べ、不正行為や市場の健全性に対するリスクの領域を特定し、すでに執行措置を取っている機関に対し、詐欺や不正行為などの事例に対処するためにそれらの措置を引き続き積極的に追求するよう勧告して補強しているものです。 
At the same time, it highlights that there are some potential use cases for this technology, especially like distributed ledger technology that could allow more automated transactions, peer to peer, faster settlement and clearing.  同時に、この技術、特に分散型台帳技術によって、より自動化された取引、ピアツーピア、高速な決済や清算が可能になるなど、いくつかの潜在的な利用事例があることも強調しています。 
And so, you’re trying to just make recommendations to address misconduct, risk to market integrity while at the same time reserving some space for innovation to be able to continue.  つまり、不祥事や市場の健全性に対するリスクに対処するための勧告を行うと同時に、イノベーションを継続できるようなスペースを確保しようとしているわけです。 
On your point about Central Bank Digital Currency, the report makes a recommendation to advance further work on policy and technical issues, you know, so that the U.S. is in a position to issue one should it be determined in the national interest.  ご指摘の中央銀行デジタル通貨については、報告書では、国益のために米国がデジタル通貨を発行できるように、政策と技術的な問題についてのさらなる作業を進めるよう勧告しています。 
But I would start with thinking about Central Bank digital currency.  It is just the country’s sovereign currency in digital form.  It is not — it’s a special type of financial asset; it is not just the consumer financial asset.  しかし、私はまず中央銀行のデジタル通貨について考えることから始めたいと思います。  これは、その国の主権通貨をデジタル化したものに過ぎません。  単なる消費者金融資産ではなく、特殊な金融資産です。 
There are many considerations to con- — to consider, many factors to consider.  On the one hand, it’s for competition and innovation and payments, financial inclusion.  But there are some risks as well, including the effects on the private intermediation sector, especially in times of stress. 検討すべき、多くの要素があります。  一方では、競争とイノベーション、そして決済、ファイナンシャル・インクルージョンがあります。  しかし、民間仲介部門への影響、特にストレスのかかる時期には、リスクもあります。
So, I think it is a question that needs to be seriously considered by — by many across the government.  And I think — so the recommendation is to advance that and have a sequence of regular meetings to discuss the merits of the policies and the technological features of a CBDC — of a potential CBDC. ですから、この問題は、政府全体で真剣に検討する必要があると思う。  そして、私は、--ですから、提言は、それを進めて、CBDCの--潜在的なCBDCの--政策と技術的特徴の利点を議論する一連の定期的な会議を持つことだと思います。
MODERATOR:  Thank you.  Anyone else?  All right.  Let’s go to our second question, please. 司会:ありがとうございました。  他にどなたかいらっしゃいますか?  わかりました。  では、2番目の質問をどうぞ。
Q    Hi, thank you.  Thank you for taking questions.  I really appreciate it.  I have — I have a couple questions.  The first being: After doing all of this information collecting and all of this research, is there any rulemaking through the agencies that the speakers would deem appropriate in the foreseeable future that seem, you know, common sense and obvious given how the industry is evolving? Q ハイ、ありがとう。  質問を受けてくださってありがとうございます。  本当に感謝しています。  いくつか質問があります。  1つ目は このような情報収集と調査をすべて行った上で、講演者の皆さんが当面適切と思われる、業界の発展を考えると常識的で明白な、省庁を通じた規則制定はありますか?
And then I have another question.  We’ve seen a couple — a few legislative proposals on what would be regulation for digital assets.  And is there — given what we’re talking about today through the executive branch, is there a concern that lawmakers pursuing their own sort of legislation, along with the executive branch pursuing research and eventually giving its own recommendation, there could potentially be any kind of inconsistency in the regulation of the market? それから、もう1つ質問があります。  デジタル資産に関する規制について、いくつかの立法案を目にしました。  今日、行政機関を通して話していることを考えると、議員たちが独自の法案を追求し、行政機関が研究を進め、最終的に独自の勧告をすることで、市場の規制に何らかの矛盾が生じる可能性はないのでしょうか。
SENIOR ADMINISTRATION OFFICIAL:  I can start with that. This current set of reports does not ask for specific legislative recommendations.  政府高官:その点からお話ししましょう。今回の報告書は、具体的な立法勧告を求めるものではありません。 
You may be familiar with a report that had been issued by the President’s Working Group on Financial Markets with the OCC and the FDIC to recommend legislation for stable coin, where the work had identified some regulatory gap.  So they’re — that had been a legislative recommendation.  皆さんは、OCCとFDICを含む金融市場に関する大統領作業部会が、安定したコインのための法律を推奨するために発行した報告書をご存じかもしれませんが、その作業では、何らかの規制上のギャップが確認されました。  つまり、この報告書は立法による勧告だったのです。 
There is — as [senior administration official] had mentioned, there is another report that Treasury lead — as leading the Financial Stability Oversight Council, will issue in several weeks.  And in that report, they were tasked to look at the current regulations and identify any regulatory gaps.  So that that work is still ongoing; the council members are discussing that. [政府高官]が言及したように、財務省が金融安定化監視委員会を率いて、数週間以内に発表する別の報告書があります。  その報告書では、現在の規制を調べ、規制上のギャップを特定するよう命じられています。  この作業はまだ進行中で、審議会のメンバーが議論しているところです。
So — but in this case, these reports — that had not been the task.  But there is still plenty to do, just to be clear. The — you know, one of the recommendations in the consumer and investor protection report was to ask the agencies to carefully review their sets of authorities, what they’re using for enforcement, what kinds of authorities they have for guidance, and whether in a coordinated manner the regulatory agencies have — can address the risks of these activities. しかし、今回の報告書では、それが任務ではありません。  はっきり言って、まだやることはたくさんあります。消費者・投資家保護に関する報告書での提言のひとつは、各機関に一連の権限を注意深く見直すよう求めるものでした。執行に何を使っているか、指導にどんな権限があるか、規制当局が協調してこうした活動のリスクに対処できるか、などです。
Now, these activities are often financial; they provide financial services.  Financial services have been provided in this country for a long time, it’s — but the underlying technology has changed.  But it seems the regula- — the regulations often address the function and the service and are indifferent to the technology.  So much of what the existing laws and authorities can address much of the problem.  And one the question — and we — we recommend enforcing compliance and applying the authorities, and especially in a coordinated way if that expands the reach. これらの活動は、多くの場合、金融サービスを提供するものです。  金融サービスは長い間、この国で提供されてきたが、基盤となる技術は変化してきました。  しかし、規制はしばしば機能やサービスを取り上げ、技術には無関心なようです。  ですから、既存の法律や当局が問題の多くに対処することができる。  私たちは、コンプライアンスを強化し、権限を適用すること、そして、特に、それが範囲を広げるのであれば、協調して適用することをお勧めします。
MODERATOR:  Thank you.  Anyone else have any other thoughts before we go to our next question?  All right, let’s go to our third question please. 司会:ありがとうございました。  次の質問に移る前に、他にご意見のある方はいらっしゃいますか?  それでは、3番目の質問をお願いします。
Q    Hi, thanks for — thanks for doing this.  My question is: I understand in the executive order, one of the reports relating to a Central Bank digital currency was going to be focused on the question of whether legislation would be necessary or — for the creation of a digital dollar.  And so, I guess my question is basically a practical one of, is that report — I guess, what is the finding of that report from DOJ?  Will — is it necessary for Con- — to act on a (inaudible) to create a digital dollar or what the status of that is? Q ハイ、ありがとうございます。  今回の大統領令では、中央銀行のデジタル通貨に関する報告書の中で、デジタル・ドルの創設のために法案が必要かどうかという問題に焦点が当てられていますね。  そこで質問なのですが、その報告書、つまり司法省からの報告書の所見はどうなっているのでしょうか?  デジタル・ドル創設のためにコン・・・が行動する必要はあるのでしょうか、それともその状況はどうなのでしょうか。
SENIOR ADMINISTRATION OFFICIAL:  Hi, Andrew.  I’ll take that one.  We’re not going to get ahead of ourselves now while the Fed studies the issue.  We believe it’s important to work with Congress on this like we have been and are continuing to do. 政府高官: こんにちは、アンドリュー。  それは私が受け持つことにします。  FRBがこの問題を研究している間、私たちは今、先走るつもりはありません。  私たちは、これまでと同様、そしてこれからも、この問題について議会と協力していくことが重要だと考えています。
MODERATOR:  I think we can go to our next question please. 司会:次の質問へどうぞ。
Q    Hi.  Yes, thanks for taking these questions.  Talking about in the executive — in the summary here about balancing financial innovation with consumer protection and other factors, are there examples of innovation in the private sector that you can identify that are furthering the goals of financial inclusion, reducing costs, and that sort of thing?  And are there ways in which you recommend maybe easing off on regulations that you might have recommended because you want to foster that innovation? Q ハイ。  質問を受けてくださってありがとう。  金融イノベーションと消費者保護やその他の要因のバランスをとることについて、この要旨に書かれていますが、民間企業におけるイノベーションの例で、金融包摂の目標を促進し、コストを削減するようなものはあるでしょうか?  また、そのようなイノベーションを促進するために、これまで推奨してきた規制を緩和するような方法はあるのでしょうか?
SENIOR ADMINISTRATION OFFICIAL:  I think the — I think there are definitely examples of private-sector innovations exploring the use of distributed ledger technology for applications.  政府高官:私は、分散型台帳技術の応用を模索する民間企業のイノベーションの例は、間違いなくあると思います。 
So you — there are financial institutions that have internal clearing and settlement systems, and this can speed it up, make it faster, instantaneous, so that — for example, balances you have to hold for end-of-day settlement, it reduces sort of the holding costs of various securities.  There are numbers of examples where private firms are testing this internally. 金融機関には内部清算・決済システムがあるが、これを高速化し、即時性を高めることで、例えば、終日決済のために保有しなければならない残高を減らし、さまざまな有価証券の保有コストを削減することができるのである。  民間企業が社内でテストしている例はいくつもあります。
I think the potential for distributed ledger technology to — for more broader consumer uses is still being tested.  And what we’ve seen over the last couple of years is that most of the consumer use has been kind of more trading and lending and borrowing.  And, you know, as I said, we — you know, are many cases of misconduct and fraud.  分散型台帳技術の消費者向け用途への可能性は、まだ検証中だと思います。  ここ数年、消費者向けには取引や貸し借りに使われることが多いようです。  そして、先ほども申し上げたように、不正行為や詐欺の事例がたくさんあります。 
And so, we would — we definitely recommend we want to, you know, aggressively pursue those and enforce current authorities. ですから、私たちは、そうした事例を積極的に追及し、現行の規制を強化することを強くお勧めします。
But I don’t — I think we’re starting from a place where a new technology is finding new places to test.  And we can anticipate where some products look like they could present risks, such as stable coin, and try to regulate in anticipation of them becoming large and more potentially pose larger risks to financial stability.  But I can’t cite an example that you cited of pulling back on something at this point. しかし、私たちは、新しい技術が新しいテスト場所を見つけるところから始めているのだと思います。  安定したコインなど、リスクをもたらす可能性のある商品を予測し、それが大きくなって金融の安定に大きなリスクをもたらす可能性があることを見越して規制しようとすることは可能です。  しかし、今のところ、あなたが挙げたような、何かに引き戻された例を挙げることはできません。
MODERATOR:  Thank you. I think we can go to our next question please. 司会:ありがとうございました。次の質問に行きましょう。
Q    Hey, there.  Thanks for the time.  So, you know, I’ve heard — it seems like more and more lawmakers these days are criticizing the SEC specifically in its — with regard to its mission to facilitate capital formation by updating its rules in light of this technology.  And the industry, similarly, has been asking for some kind of path so they can know if we take these steps — you know, we’re — we’re within guidelines.  Q どうも、こんにちは。  お時間をいただきありがとう。  最近、ますます多くの議員たちが、SECの、このテクノロジーに照らして規則を更新することによって資本形成を促進するという使命に関して、特に批判しているようですね。  同様に、業界も、私たちがこのようなステップを踏めば、ガイドラインの範囲内であることが分かるように、何らかの道筋を示すことを求めています。 
So I’m just curious: Is the administration’s position that some kind of regulatory update is needed for blockchains?  Or do you — does it agree with SEC Chair Gensler that the existing guidance for coin and token issuers is adequate already? そこで質問ですが、ブロックチェーンについて何らかの規制の更新が必要だというのが政権の見解なのでしょうか。  それとも、コインやトークンの発行者に対する既存のガイダンスはすでに十分であるというゲンスラーSEC委員長の意見に同意するのでしょうか?
SENIOR ADMINISTRATION OFFICIAL:  So I’ll jump in.  This is [senior administration official].  One of the recommendations — that regulators will issue new rules and guidance to resolve confusion and close gaps related to existing financial regulations applications to cryptocurrency.  政府高官: では、私が飛び入り参加しましょう。  こちらは[政府高官]です。  提言の1つ--規制当局は、暗号通貨への既存の金融規制の適用に関する混乱を解消し、ギャップを埋めるために新しい規則やガイダンスを発行する、というものです。 
So that’s a recognition that we see work needed in this space.  And that’s work that we intend — obviously, regulators operate independently, but that’s a clear recommendation coming out of the studies that were done. これは、私たちがこの分野で必要な作業を認識しているということです。  もちろん、規制当局は独自に動いていますが、今回の調査から明らかになった提言です。
MODERATOR:  Thank you.  Let’s go to our next question, please. 司会:ありがとうございました。  次の質問に行きましょう。
Q    Hi, thank you so much for holding this.  I wanted to follow up on Brady’s question just now.  We’re hearing increasingly from a lot of crypto companies that the lack of clarity on how to register and provide disclosure is becoming a major issue for them in terms of, you know, figuring out how to legally operate within the U.S.  Q ハイ、この場をお借りしてありがとうございました。  先ほどのBradyの質問の続きをしたいと思う。  多くの暗号関連企業から、登録や情報開示の方法が明確でないことが、米国内で合法的に事業を行う方法を考える上で大きな問題になっているという話を聞くことが増えている。 
With the — with the acknowledgement that the SEC and the CFTC are independent regulators, would the administration consider or does it plan to try and create a perhaps more clear definition of, you know, just where the line is between what could be deemed security and what could be deemed a commodity, and just — you know, how that would apply in, you know, 2022 given how many cryptocurrency projects there are out there at this point? SECとCFTCが独立した規制機関であることを認めた上で、政権は、証券とみなされるものと商品とみなされるものの境界線はどこか、そして、現時点では多くの暗号通貨プロジェクトが存在する中で、それが2022年にどう適用されるかについて、おそらくもっと明確な定義を作ろうと考えていますか、あるいは計画していますか?
MODERATOR:  [Senior administration official], do you want to take that one? 司会者:(上級行政官)、その質問に答えられますか?
SENIOR ADMINISTRATION OFFICIAL:  So I think — 政府高官:だから、私は、...
MODERATOR: Go ahead.  司会:どうぞ。 
SENIOR ADMINISTRATION OFFICIAL:  Just going back to your original point being the SEC and the CFTC being independent agencies, we need to start with from there.  The point of these reports was to assess, you know, the broader digital assets space in terms of risks and how they — risks and potential benefits, and how they achieved inclusion, equity, privacy, national security, global leadership.  政府高官:SECとCFTCが独立した機関であるという最初のポイントに戻りますが、そこから始める必要があります。  これらの報告書のポイントは、より広範なデジタル資産空間を、リスクと、リスクと潜在的な利益と、インクルージョン、公平性、プライバシー、国家安全保障、グローバル・リーダーシップをどのように達成するか、という観点から評価することでした。 
Some of those issues, the recommendation is for the agencies to clarify, review their rules, clarify, coordinate.  And I think that their view is, as they have expressed — and I’m just saying what they have said — they have the necessary authorities.  It is that many of the firms are not complying with their existing rules. これらの問題のいくつかは、各省庁が規則を明確化し、見直し、明確化し、調整するよう勧告しています。  そして、彼らの見解は、彼らが表明したように(私は彼らが言ったことをそのまま言っているだけですが)、彼らは必要な権限を持っているということだと思います。  多くの企業が既存の規則を遵守していないということです。
Q    Hi, thank you for doing the call.  I’m actually a bit confused by the last two responses.  Because on the one hand, it sounds like the administration is making some recommendations to agencies to provide more clarity to the industry, and especially since so much of what is in the kind of factsheet is focused on maintaining U.S. leadership and innovation.  At the same time, you just said that the agencies have said that they have, you know, all the authorities they need and that these firms are just not in compliance.  And those two things seem a little — those two messages that we’re hearing from you seem a bit at odds.  So could you, I guess, give us a little more clarity on what exactly it is that the report says or recommends to agencies like the SEC and the CFTC? Q ハイ、電話をありがとうございました。  実は、最後の2つの回答で少し混乱しています。  というのも、一方では、政権が業界をより明確にするために各省庁に提言しているように聞こえ、特にこのファクトシートの内容の多くが、米国のリーダーシップとイノベーションを維持することに焦点をあてているからです。  同時に、政府機関は必要な権限はすべて持っており、これらの企業はコンプライアンスを遵守していないだけだとも述べていますね。  この2つのことは、私たちが聞いている2つのメッセージと少し矛盾しているように思えます。  そこで、この報告書がSECやCFTCのような機関に対して述べていること、あるいは推奨していることについて、もう少し明確にしていただけませんか。
SENIOR ADMINISTRATION OFFICIAL:  The exact recommendation is that the agencies should continue to do — so, for example, to issue guidance and rules to address current and emerging risks in products and services for consumers, investors, and businesses.  And agencies should work collaboratively to promote consistent and comprehensive oversight.  政府高官:正確には、各機関は引き続き、例えば、消費者、投資家、企業向けの製品やサービスにおける現在および将来のリスクに対処するためのガイダンスやルールを発行するべきだという勧告です。  そして、各機関は、一貫性のある包括的な監督を促進するために協力し合うべきです。 
I think you’re pointing to a tension which is that this is a new and very rapidly developing product space, and we — it needs to — regulations need to be able to adjust to these new products and activities that are being offered.  So I don’t really think there is a tension.  It’s just the nature of the development of this technology — the rapid development of the technology. この分野は新しく、非常に急速に発展しているため、規制は新しい商品や活動に適応していく必要があります。  ですから、私は緊張感はないと思っています。  ただ、この技術の発展の性質、つまり、技術の急速な発展がそうさせるのです。
SENIOR ADMINISTRATION OFFICIAL:  Hi, this is [senior administration official].  So I’ll jump in, you know, to the question you asked.  So there were two sets of recommendations.  政府高官: ハイ、こちらは(政府高官)です。  このたびのご質問にお答えします。  提言は2つありました。 
The first one, building on [senior administration official]’s comments, were that financial regulators — like the SEC and CFTC, as well as law enforcement agencies — should redouble their investigations and enforcement actions against illicit, fraudulent, or deceptive digital asset practices under their jurisdictions, as they already have the mandate to do.  This includes scaling-up people, training, and technological capacity like blockchain analysis capabilities.  And the CFPB and FTC will do the same with their response to and investigations of consumer complaints.  1つ目は、[政府高官]のコメントを基に、金融規制当局(SECやCFTC、法執行機関など)は、その管轄下で違法、詐欺、欺瞞的なデジタル資産業務に対する調査や執行措置を強化すべきだというもので、すでにその権限が与えられているものである。  これには、人材、トレーニング、ブロックチェーン分析能力のような技術的能力の拡大が含まれます。  そして、CFPBとFTCは、消費者からの苦情への対応や調査についても同じことを行うでしょう。 
And in addition — building on that, we ask that agencies — the recommendation was that agencies pursue initiatives to promote consumer educational literacy about digital assets.  And the Financial Literacy and Education Commission will coordinate those efforts.  さらに--それを踏まえて、各機関に--勧告では、デジタル資産に関する消費者教育リテラシーを促進するためのイニシアチブを追求するよう求めている。  そして、金融リテラシー教育委員会がそのような取り組みを調整することになります。 
A second set of recommendations were that regulators will issue new rules and guidance to resolve confusion and close gaps related to existing financial regulations applications to cryptocurrency.  第二の提言は、暗号通貨に関する既存の金融規制の適用に関する混乱を解消し、ギャップを埋めるために、規制当局が新たな規則やガイダンスを発行することです。 
But what’s an overriding piece and the sum takeaway is that until now the approach to digital assets has been very much an agency-by-agency approach.  しかし、この提言で最も重要なことは、これまでデジタル資産に対するアプローチは、各省庁ごとに行われてきたということです。 
Now the White House is saying, the President’s direction is that we bring the various goals we have here — around climate and environment, international engagement, illicit finance, financial stability, consumer protection, and domestic innovation — and integrate the recommendations, which in some cases are competing, so that we have a holistic approach to digital assets, along with working with the Hill closely — as we are — to ensure that we’re working that arm in arm for the Hill’s independent opportunity to legislate with what can be done under executive authority, or by agencies pursuing digital assets under existing authorities for financial tools but with updates to the way they approach it because they often require, frankly, training and capabilities within government to do that, that may not already be in place or may need to be augmented. 現在、ホワイトハウスは、気候・環境、国際的関与、不正金融、金融安定、消費者保護、国内イノベーションといったさまざまな目標を掲げ、場合によっては競合する提言も統合し、デジタル資産に対する全体的なアプローチをとることが大統領の指示であるとしています。また、行政の権限でできることは行政が独自に法制化し、金融ツールの既存の権限でデジタル資産を追求する機関が、その方法を更新し、私たちは、行政権のもとでできることと、議会が独自に立法する機会を確保するために、緊密に連携して取り組んでおり、あるいは、金融ツールの既存の権限でデジタル資産を追求する機関が、そのアプローチ方法を更新することもできます。なぜなら、そのためには政府内の訓練や能力が必要で、それがまだ整備されていなかったり、増強される必要があったりするからです。
MODERATOR:  Thank you both.  We have time for just one more question.  So could we do our last question, please? 司会:お二人ともありがとうございました。  もう1つだけ質問の時間があります。  では、最後の質問をお願いします。
Q    Yeah, this last question is going to be a bit anticlimactic compared to the other ones.  The readout that we got mentions FedNow and the potential utility of FedNow as an instantaneous, 24/7 interbank clearing system.  I’m wondering to what extent the administration views this as something that could address many of the needs that a CBDC might meet or might address?  I know that there are some folks at the Fed who have made that point in the past.  Q ええ、この最後の質問は、他の質問と比べると少し拍子抜けするようなものになりそうです。  配布された資料には、FedNowと、24時間365日即時利用可能な銀行間決済システムとしてのFedNowの潜在的な有用性について触れられています。  CBDCが満たす可能性のある、あるいは取り組む可能性のある多くのニーズに対応できるものとして、行政はこれをどの程度に見ているのでしょうか。  FRB には過去にそのような指摘をした人たちがいることは知っています。 
SENIOR ADMINISTRATION OFFICIAL:  So for the FedNow or instant payment system is clearly a technological development that can make the payment system faster and cheaper, more efficient, and could — by lowering costs — address some of the financial inclusion considerations that are important for — under this EO and for this administration.  政府高官:FedNow や即時決済システムは、明らかに、決済システムをより速く、より安く、より効率的にすることができる技術開発で、コストを下げることによって、この 大統領令 や政権にとって重要である金融包摂の検討事項に対応することができる。 
A CBDC is somewhat — is different in the sense of yes, it is also a payment mechanism; it is money.  But it’s also, you know, the — it’s a liability — a direct liability of the central bank.  So it has — it is — you would choose a CBDC not only for the purposes of making payments more efficient, but for a number of other reasons.  CBDCは、確かに決済メカニズムでもあり、お金でもあるという意味で、多少 - 異なっています。  しかし同時に、中央銀行の負債、つまり直接の負債でもあります。  ですから、CBDCを選ぶのは、決済をより効率的にするためだけでなく、他にもいろいろな理由があるのです。 
And one could imagine a system where you would have instant payments and a CBDC.  They don’t have to be substitutes, but they both can improve a payment system.  But the CBDC has other attributes and potentially different sets of risks that need to be considered, which is why this sort of recommendation to continue to advance the research on a CBDC. インスタント・ペイメントとCBDCがあるようなシステムも想像できます。  両者は代替物である必要はありませんが、どちらも決済システムを改善することができます。  しかし、CBDCには他の特性もあり、考慮すべきリスクも異なる可能性があるため、CBDCの研究を進めるようこのように勧告しています。
SENIOR ADMINISTRATION OFFICIAL:  Hi, I’ll make a few comments to build on that.  You know, to the question Chris asked earlier regarding what is the value-add of cryptocurrencies and, in this case specifically, of the CBDC, and potentially could be faster settlements, particularly faster cross-border settlements.  政府高官:こんにちは、私は、いくつかのコメントをします。  先ほどクリスが質問した、暗号通貨と、この場合は特にCBDCの付加価値は何かということですが、潜在的には決済の高速化、特にクロスボーダー決済の高速化である可能性があります。 
And FedNow — and you saw the commitments that the Vice Chairman of the Fed recently rolled out for spring of 2023 — makes real progress on moving to a more rapid settlement bank to bank within the U.S., which is critical.  Right?  That’s a foundational step.  FedNowは、FRB副議長が最近発表した2023年春のコミットメントをご覧になった方もいらっしゃると思いますが、米国内の銀行間決済をより迅速に行うための実質的な前進であり、これは非常に重要なことなのです。  これは非常に重要なことである。これは基礎的なステップです。
So even as we continue to pursue the research and technology — the R&D around a CBDC, we make progress in parallel with the FedNow rollout.  And one of the key attributes of that, which is more rapid settlement: We participate in pilots with some of our international partners and what that might look like from a global perspective as well.  CBDCの研究開発を進めながら、FedNowの展開も並行して進めています。  その重要な特質のひとつは、より迅速な決済です。私たちは、国際的なパートナーとともに、グローバルな視点からどのようなことができるか、試験的な取り組みを行っています。 
Thank you. ありがとうございました。
MODERATOR:  All right.  Thank you so much.   Any other last thoughts from our speakers on the call?  司会:わかりました。  ありがとうございました。   それでは、最後にご発言がありましたらお願いします。 
Okay, great.  Well, thank you, everyone, for joining us today.  OK、素晴らしい。  では、みなさん、本日はありがとうございました。 
As a reminder, this entire call — both the on-the-record and on-background portion — is under embargo.  The embargo will lift tomorrow, Friday, September 16th, 6:00 a.m. Eastern.  この電話会議全体は、オン・ザ・レコードとオン・バックグラウンドの両部分とも、禁輸措置がとられている。  禁止措置は明日、9月16日(金)午前6時(東部時間)に解除されます。 
If you did not receive our factsheet, please let me know and we’ll make sure to get that to you all.  Thanks, everyone.  Have a great day. もし、ファクトシートを受け取っていない方がいらっしゃいましたら、私にお知らせください。  皆さん、ありがとうございました。  良い一日をお過ごしください。
END 終了

 

Fig1_20210802074601

| | Comments (0)

2022.09.20

米国 ITI AIシステムの透明性を実現するためのグローバルな政策原則 (2022.09.15)

こんにちは、丸山満彦です。

Information Technology Industry Council (ITI) [wikipedia]、日本語で言えば、IT産業協議会ですかね、、、が、AIシステムの透明性を実現するためのグローバルな政策原則を公表していますね。。。

透明性が重要と言っていますね。。。ただ、全てのAIシステムにそれが必要というわけではなく、特定のリスクの高いAIシステムの用途に透明性要件を適用することであると説明していますね。。。特定のリスクの高いAIシステムの用途というのは、特に健康、安全、自由、差別、人権に関連し、負の結果が人々に大きな影響を与える可能性がある用途という感じですね。。。

  1. 透明性要求の究極の目的は何かを検討する。
  2. 透明性要求の対象者と、AIシステムのライフサイクルのどの時点で適用されるかを検討する。
  3. 要求事項を検討する際には、透明性に関してリスクベースのアプローチをとる。
  4. 規制や政策提案の文脈で、透明性とは何を意味するのか、明確な定義を含める。
  5. 透明性にアプローチし、信頼を向上させるには様々な方法があり、説明可能性は1つの要素に過ぎないことを考慮する。
  6. 基本的権利に悪影響を及ぼす可能性のある AI システムの決定を理解するために十分な情報を利用者に提供し、利用者がそのような決定を見直し、異議を申し立てることができるようにすることを意図した規定を、法律内に含めることを検討する。
  7. 透明性要件が、機密性の高いIPやソースコードの開示、あるいは機密性の高い個人データの開示を企業に要求しないことを確認する。
  8. 様々なAIの透明性要件の相互運用性を維持するために、可能な限り任意の国際基準を活用する。
  9. AIシステムが利用者と直接対話する場合、その事実を容易に発見できるようにすべきであり、開示要件がこれを促進するのに役立つことを考慮する。
  10. 開示に係る規制は柔軟であるべきであり、含まれるべき特定の情報や技術的な詳細を規定することは避けるべきである。
  11. AIシステムの実際の導入者のみが情報開示の責任を負うべきである。

 

Information Technology Industry Council (ITI) 

・2022.09.15 ITI Publishes Global Policy Principles for Enabling Transparency of AI Systems

ITI Publishes Global Policy Principles for Enabling Transparency of AI Systems ITI、AIシステムの透明性を実現するためのグローバルな政策原則を発表
WASHINGTON – Today, global tech trade association ITI published new Policy Principles for Enabling Transparency of AI Systemsto help inform and guide policymaking. In its principles, ITI underscores that transparency is a critical part of developing accountable and trustworthy AI systems and avoiding unintended outcomes or other harmful impacts. At the highest level, transparency is about being clear about how an AI system is built, operated, and functions. When executed well, AI transparency can help to analyze outputs and hold appropriate AI stakeholders accountable. ワシントン - 本日、世界的な技術業界団体である ITI は、政策立案の情報提供と指針として、AI システムの透明性を実現するための新しいポリシー原則を発表した。ITIはその原則の中で、透明性は、説明可能で信頼できるAIシステムを開発し、意図しない結果やその他の有害な影響を回避するための重要な要素であることを強調している。最も高いレベルでは、透明性とは、AIシステムがどのように構築され、運用され、機能するかを明確にすることである。うまく実行されれば、AIの透明性は、アウトプットを分析し、適切なAI関係者に説明責任を負わせるのに役立つ。
Among its principles, ITI recommends policymakers empower users by including provisions within legislation that provide sufficient information to understand decisions of an AI system that may negatively affect users’ fundamental rights and give them the ability to review and/or challenge such decisions. ITI also outlines the need to make it clear to users when they are interacting directly with an AI system. ITIは、その原則の中で、政策立案者が利用者の基本的権利に悪影響を及ぼす可能性のあるAIシステムの決定を理解するのに十分な情報を提供し、そのような決定を見直し、異議を申し立てる能力を与える条項を法律内に盛り込むことによって、利用者に権限を与えることを推奨している。また、ITIは、利用者がAIシステムと直接対話する際に、それを明確にする必要があることを概説している。
“Transparency of AI systems has rightfully been a prime focus for policymakers in the U.S. and across the globe,” said ITI’s President and CEO Jason Oxman. “Regulations must effectively mitigate risk for users while preserving innovation of AI technologies and encouraging their uptake. ITI’s Policy Principles for Enabling Transparency of AI Systems offer a clear guide for policymakers to learn about and facilitate greater transparency of AI systems.” ITIの会長兼CEOであるJason Oxmanは、「AIシステムの透明性は、米国および世界中の政策立案者にとって当然のことながら主要な焦点となっている」と述べている。 「規制は、AI技術のイノベーションを維持し、その普及を促進しながら、利用者のリスクを効果的に軽減するものでなければならない。ITIの「AIシステムの透明性を実現するための政策原則」は、政策立案者がAIシステムについて学び、その透明性を高めることを促進するための明確な指針を提供する。"と述べている。
AI systems are comprised of sets of algorithms, which are capable of learning and evolving, whereas an algorithm alone is usually more simplistic, often executing a finite set of instructions. ITI’s Policy Principles for Enabling Transparency of AI Systems suggest that the most effective way to approach policymaking around transparency is to apply transparency requirements to specific, high-risk uses of AI systems – which are applications in which a negative outcome could have a significant impact on people — especially as it pertains to health, safety, freedom, discrimination, or human rights. AIシステムは、学習と進化が可能なアルゴリズムの集合で構成されているが、アルゴリズムだけでは通常もっと単純で、有限の命令セットを実行することが多い。ITIのAIシステムの透明性を実現するためのグローバルな政策原則は、透明性に関する政策立案にアプローチする最も効果的な方法は、特定のリスクの高いAIシステムの用途に透明性要件を適用することであると示唆している。これは、特に健康、安全、自由、差別、人権に関連し、負の結果が人々に大きな影響を与える可能性がある用途のことである。
ITI’s Policy Principles for Enabling Transparency of AI Systems advise policymakers to: ITIの「AIシステムの透明性を実現するための政策原則」は、政策立案者に次のように助言している。
・Consider what the ultimate objective of transparency requirements are. ・透明性要求の究極の目的は何かを検討する。
・Consider the intended audience of any transparency requirements and at what point of the AI system lifecycle they would apply. ・透明性要求の対象者と、AIシステムのライフサイクルのどの時点で適用されるかを検討する。
・Take a risk-based approach to transparency when considering requirements. ・要求事項を検討する際には、透明性に関してリスクベースのアプローチをとる。
・Include clear definitions of what is meant by transparency in the context of a regulation or policy proposal. ・規制や政策提案の文脈で、透明性とは何を意味するのか、明確な定義を含める。
・Consider that there are different ways to approach transparency and improve trust, and that explainability is only one component. ・透明性にアプローチし、信頼を向上させるには様々な方法があり、説明可能性は1つの要素に過ぎないことを考慮する。
・Consider including provisions within legislation that are intended to provide users with sufficient information to understand decisions of an AI system that may negatively affect their fundamental rights and provide users with the ability to review and/or challenge such decisions. ・基本的権利に悪影響を及ぼす可能性のある AI システムの決定を理解するために十分な情報を利用者に提供し、利用者がそのような決定を見直し、異議を申し立てることができるようにすることを意図した規定を、法律内に含めることを検討する。
・Ensure that transparency requirements do not require companies to divulge sensitive IP or source code or otherwise reveal sensitive individual data. ・透明性要件が、機密性の高いIPやソースコードの開示、あるいは機密性の高い個人データの開示を企業に要求しないことを確認する。
・Leverage voluntary international standards in order to maintain interoperability of various AI transparency requirements to the extent possible. ・様々なAIの透明性要件の相互運用性を維持するために、可能な限り任意の国際基準を活用する。
・Consider that when an AI system is directly interacting with a user, that fact should be easily discoverable and that disclosure requirements can help facilitate this. ・AIシステムが利用者と直接対話する場合、その事実を容易に発見できるようにすべきであり、開示要件がこれを促進するのに役立つことを考慮する。
・Regulations pertaining to disclosure should be flexible and avoid prescribing specific information or technical details to be included. ・開示に係る規制は柔軟であるべきであり、含まれるべき特定の情報や技術的な詳細を規定することは避けるべきである。
・Only the actual deployer of the AI system should be responsible for disclosure. ・AIシステムの実際の導入者のみが情報開示の責任を負うべきである。
These principles build on ITI’s Global AI Policy Recommendations, released in 2021, which offered a comprehensive set of policy recommendations for global policymakers seeking to foster innovation in AI while also addressing specific harms. この原則は、2021年に発表されたITIのグローバルAI政策提言に基づくもので、特定の害悪に対処しつつAIのイノベーションを促進しようとする世界の政策立案者に包括的な政策提言を提供するものである。

 

・[PDF] ITI Policy Principles for Enabling Transparency of AI Systems

20220920-33756

 

 

 

 

» Continue reading

| | Comments (0)

2022.09.19

米国 連邦取引委員会 (FTC) 消費者をだまし、罠にかける巧妙なダークパターンが増加している

こんにちは、丸山満彦です。

米国の連邦取引委員会 (FTC) が、消費者をだまし、罠にかける巧妙なダークパターンが増加していると報告書で注意喚起をしていますね。。。

Federal Trade Commission: FTC

・2022.09.15 FTC Report Shows Rise in Sophisticated Dark Patterns Designed to Trick and Trap Consumers

FTC Report Shows Rise in Sophisticated Dark Patterns Designed to Trick and Trap Consumers FTCの報告書、消費者をだまし、罠にかける巧妙なダークパターンの増加を示す
Tactics Include Disguised Ads, Difficult-to-Cancel Subscriptions, Buried Terms, and Tricks to Obtain Data 偽装広告、解約困難な定期購入商品、不明朗な規約、データ取得のための手口など
The Federal Trade Commission released a report today showing how companies are increasingly using sophisticated design practices known as “dark patterns” that can trick or manipulate consumers into buying products or services or giving up their privacy. The dark pattern tactics detailed in the report include disguising ads to look like independent content, making it difficult for consumers to cancel subscriptions or charges, burying key terms or junk fees, and tricking consumers into sharing their data. The report highlighted the FTC’s efforts to combat the use of dark patterns in the marketplace and reiterated the agency’s commitment to taking action against tactics designed to trick and trap consumers. 米連邦取引委員会(FTC)は本日、消費者を騙して製品やサービスを購入させたり、プライバシーを侵害したりする「ダークパターン」と呼ばれる巧妙な設計手法を用いる企業が増加していることを示す報告書を発表した。報告書で詳述されているダークパターンには、広告を独立したコンテンツに見せかけること、消費者による購読や料金の取り消しを困難にすること、重要な条件や迷惑料を隠蔽すること、消費者をだましてデータを共有させることなどが含まれている。この報告書は、市場におけるダークパターンの使用に対抗するためのFTCの取り組みを強調し、消費者を騙して陥れることを目的とした手口に対して対策を講じるというFTCの姿勢を改めて表明している。
“Our report shows how more and more companies are using digital dark patterns to trick people into buying products and giving away their personal information,” said Samuel Levine, Director of the FTC’s Bureau of Consumer Protection. “This report—and our cases—send a clear message that these traps will not be tolerated.” FTCの消費者保護局長であるサミュエル・レビンは、「我々の報告書は、ますます多くの企業がデジタルダークパターンを使って人々を騙し、製品を購入させたり、個人情報を提供させたりしていることを示している」と述べ、次のように述べている。「この報告書と私たちの事例は、このような罠を許さないという明確なメッセージを送っている。
For years, unscrupulous direct-mail and brick-and-mortar retailers have used design tricks and psychological tactics such as pre-checked boxes, hard-to-find-and read disclosures, and confusing cancellation policies, to get consumers to give up their money or data. As more commerce has moved online, dark patterns have grown in scale and sophistication, allowing companies to develop complex analytical techniques, collect more personal data, and experiment with dark patterns to exploit the most effective ones. The staff report, which stems from a workshop the FTC held in April 2021, examined how dark patterns can obscure, subvert, or impair consumer choice and decision-making and may violate the law. 長年にわたり、悪質なダイレクトメールや実店舗の小売業者は、消費者から金銭やデータを引き出させるために、チェック済みのボックス、見つけにくく読みにくい情報開示、紛らわしいキャンセルポリシーなど、デザイン上のトリックや心理作戦を駆使してきました。このため、企業は複雑な分析技術を開発し、より多くの個人データを収集し、最も効果的なパターンを利用するためにダークパターンを試すことができるようになった。 このスタッフレポートは、2021年4月にFTCが開催したワークショップに由来するもので、ダークパターンが消費者の選択や意思決定をいかに不明瞭にし、破壊し、障害を与え、法律に違反する可能性があるかを検証している。
The report, Bringing Dark Patterns to Light, found dark patterns used in a variety of industries and contexts, including e-commerce, cookie consent banners, children’s apps, and subscription sales. The report focuses on four common dark pattern tactics: 報告書「Bringing Dark Patterns to Light」では、電子商取引、クッキー同意バナー、子供向けアプリ、定期購入販売など、さまざまな業界や文脈で使用されているダークパターンを発見している。この報告書では、4つの一般的なダークパターンの手口に焦点を当てている。
・Misleading Consumers and Disguising Ads: These tactics include advertisements designed to look like independent, editorial content; comparison shopping sites that claim to be neutral but really rank companies based on compensation; and countdown timers designed to make consumers believe they only have a limited time to purchase a product or service when the offer is not actually time-limited. For example, the FTC took action against the operators of a work-from-home scheme for allegedly sending unsolicited emails to consumers that included “from” lines that falsely claimed they were coming from news organizations like CNN or Fox News. The body of these emails included links that sent consumers to additional fake online news stories, and then eventually routed consumers to sales websites that pitched the company’s work-from-home schemes. 消費者を欺く、広告を偽装する:これらの手口には、独立した編集コンテンツのように見せかけた広告、中立性を主張しながら実際には報酬に基づいて企業をランク付けする比較ショッピングサイト、実際には期限がないにもかかわらず消費者に製品やサービスを購入できる期間が限られていると思わせるようなカウントダウンタイマーなどが含まれる。例えば、FTCは、CNNやFox Newsなどの報道機関からのメールであると偽った「from」行を含む未承諾メールを消費者に送ったとされる在宅ワークスキームの運営者に対して訴訟を起こした。これらのメールの本文には、消費者をさらに偽のオンラインニュースへ誘導するリンクが含まれており、最終的には、同社の在宅ワークスキームを売り込む販売サイトへ消費者を誘導していた。
・Making it difficult to cancel subscriptions or charges: Another common dark pattern involves tricking someone into paying for goods or services without consent. For example, deceptive subscription sellers may saddle consumers with recurring payments for products and services they never intended to purchase or that they do not wish to continue purchasing. For example, in its case against ABCmouse, the FTC alleged the online learning site made it extremely difficult to cancel free trials and subscription plans despite promising “Easy Cancellation.” Consumers who wanted to cancel their subscriptions were often forced to navigate a difficult-to-find, lengthy, and confusing cancellation path on the company’s website and click through several pages of promotions and links that, when clicked, directed consumers away from the cancellation path. 購読や課金の取り消しを困難にする: もうひとつのよくある手口は、商品やサービスの代金を無断で支払わせるというものである。例えば、定期購入を謳う業者は、消費者が購入するつもりのなかった商品やサービス、あるいは継続購入を望まない商品について、定期的な支払いを強要することがある。例えば、ABCmouseに対する訴訟では、FTCは、オンライン学習サイトが「簡単な解約」を約束したにもかかわらず、無料体験版や定期購入プランの解約を非常に困難にしていると主張した。 解約を希望する消費者は、同社のウェブサイト上で、見つけにくく、長く、分かりにくい解約経路をたびたびたどり、数ページにわたる宣伝やリンクをクリックすると、解約経路から消費者を遠ざけるような行動をとらざるを得なかったのである。 
・Burying key terms and junk fees: Some dark patterns operate by hiding or obscuring material information from consumers, such as burying key limitations of the product or service in dense terms of service documents that consumers don’t see before purchase. This tactic also includes burying junk fees. Companies advertise only part of a product’s total price to lure consumers in, and do not mention other mandatory charges until late in the buying process. In its case against LendingClub, the FTC alleged that the online lender used prominent visuals to falsely promise loan applicants that they would receive a specific loan amount and pay “no hidden fees” but hid mention of fees behind tooltip buttons and in between more prominent text. 重要な用語やジャンクフィーを隠す:商品・サービスの重要な制限事項を、購入前に消費者が目にすることのない利用規約の中に埋没させるなど、消費者から重要な情報を隠したり、曖昧にしたりして運営する闇パターンもある。この手口には、迷惑料の隠蔽も含まれる。企業は、消費者を誘い込むために商品価格の一部だけを宣伝し、購入プロセスの後半になるまで他の必須料金に触れない。レンディングクラブに対する訴訟で、FTCは、オンライン金融業者が目立つビジュアルを使って、融資希望者に特定の融資額と「隠れた手数料なし」を不当に約束しながら、ツールチップ・ボタンの後ろや目立つテキストの間に手数料に関する言及を隠したと主張している。
・Tricking consumers into sharing data: These dark patterns are often presented as giving consumers choices about privacy settings or sharing data but are designed to intentionally steer consumers toward the option that gives away the most personal information. The FTC alleged that smart-TV maker Vizio enabled default settings allowing the company to collect and share consumers’ viewing activity with third parties, only providing a brief notice to some consumers that could easily be missed. 消費者を騙してデータを共有させる:これらの暗黒パターンは、消費者にプライバシー設定やデータ共有に関する選択肢を与えるように見せかけながら、最も個人情報を与えやすい選択肢に消費者を意図的に誘導するように設計されていることが多い。 FTCは、スマートTVメーカーのVizioが、消費者の視聴活動を収集し、第三者と共有することを可能にする初期設定を有効にし、一部の消費者には簡単に見落とせるような簡単な通知しかしていないと主張している。
As detailed in the report, the FTC has worked to keep pace with the evolving types of dark patterns used in the marketplace. The Commission has sued companies for requiring users to navigate a maze of screens in order to cancel recurring subscriptions, sneaking unwanted products into consumers’ online shopping carts without their knowledge, and experimenting with deceptive marketing designs.  報告書に詳述されているように、FTCは、市場で使用されるダークパターンの種類が進化していることに対応するために努力してきた。欧州委員会は、定期購読を解約するためにユーザーに迷路のような画面を操作させる、消費者が知らないうちに不要な商品をオンラインショッピングカートにこっそり入れる、欺瞞的なマーケティングデザインを試みているなどの理由で企業を提訴してきた。 
The Commission voted 5-0 at an open meeting to authorize the release of the staff report. 連邦取引委員会は、公開の会議において、5対0の賛成多数でスタッフレポートの公表を承認した。
The Federal Trade Commission works to promote competition and protect and educate consumers. Learn more about consumer topics at consumer.ftc.gov, or report fraud, scams, and bad business practices at ReportFraud.ftc.gov. Follow the FTC on social media, read consumer alerts and the business blog, and sign up to get the latest FTC news and alerts. 連邦取引委員会は、競争の促進、消費者の保護と啓蒙に努めている。消費者関連の話題については consumer.ftc.gov で、詐欺や悪徳商法については ReportFraud.ftc.gov で詳細を参照すること。FTCをソーシャルメディアでフォローし、消費者向け警告やビジネスブログを読み、FTCの最新ニュースや警告を受け取るために登録することができる。
Press Release Reference プレスリリース参照
FTC Releases Final Agenda for Dark Patterns Workshop on April 29 FTC、4月29日に開催されるダークパターン・ワークショップの最終アジェンダを発表
FTC to Hold Virtual Workshop Exploring Digital “Dark Patterns” FTC、デジタル "ダーク・パターン "を探求するバーチャル・ワークショップを開催
FTC Seeks Public Comment on Dark Patterns Topics ahead of Workshop FTC、ワークショップ開催に先立ち、ダークパターンのトピックについてパブリックコメントを募集

 

・[PDF] Bringing Dark Patterns to Light

20220919-52841

 

Introduction はじめに
Background 背景
Common Dark Patterns & Consumer Protection Concerns よくある暗黒パターンと消費者保護への懸念
I. Design Elements that Induce False Beliefs I. 誤認を誘発するデザイン要素
II. Design Elements that Hide or Delay Disclosure of Material Information II. 重要な情報の開示を隠したり遅らせたりするデザイン要素
III. Design Elements that Lead to Unauthorized Charges III. 不正な課金につながる設計要素
IV. Design Elements that Obscure or Subvert Privacy Choices IV. プライバシーに関する選択肢を不明瞭にする、または妨害する設計要素
Conclusion 結論
Appendix A 附属書A
Compilation of Digital Dark Patterns デジタルダークパターンの編集
Appendix B 附属書B
Contributors 寄稿者
Endnotes 巻末資料

| | Comments (0)

2022.09.18

米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表

こんにちは、丸山満彦です。

米国 行政管理予算局 ソフトウェアサプライチェーンのセキュリティ強化 を公表していますね。。。これは、昨年5月に発表された大統領令14028に関連するものですね。。。

 

White House

・2022.09.14 Enhancing the Security of the Software Supply Chain to Deliver a Secure Government Experience

Enhancing the Security of the Software Supply Chain to Deliver a Secure Government Experience ソフトウェアサプライチェーンのセキュリティを強化し、安全なガバメントエクスペリエンスを提供する
By Chris DeRusha, Federal Chief Information Security Officer and Deputy National Cyber Director 連邦政府最高情報セキュリティ責任者兼国家サイバー副長官 Chris DeRusha氏より
The Biden-Harris Administration is committed to delivering a Government that works for all Americans – and technology powers our ability to do so. In order for Federal agencies to provide critical services, information, and products to the American people, they need access to secure and reliable software that manages everything from tax returns to veteran’s health records.   バイデン-ハリス政権は、すべてのアメリカ人のために機能する政府を実現することに尽力しており、テクノロジーはそのための能力を後押ししている。連邦機関が重要なサービス、情報、製品を米国民に提供するためには、納税申告から退役軍人の健康記録まであらゆるものを管理する安全で信頼できるソフトウェアにアクセスする必要がある。 
That’s why today, building on the President’s Executive Order on Improving the Nation’s Cybersecurity, the Office of Management and Budget is issuing guidance to ensure Federal agencies utilize software that has been built following common cybersecurity practices. このため、本日、国家サイバーセキュリティの改善に関する大統領令に基づき、行政管理予算局は、連邦機関が一般的なサイバーセキュリティ慣行に則って構築されたソフトウェアを確実に利用できるようにするためのガイダンスを発行している。
Not too long ago, the only real criteria for the quality of a piece of software was whether it worked as advertised. With the cyber threats facing Federal agencies, our technology must be developed in a way that makes it resilient and secure, ensuring the delivery of critical services to the American people while protecting the data of the American public and guarding against foreign adversaries. 少し前までは、ソフトウェアの品質を判断する基準は、文字通りに動くかどうかだけでした。連邦機関が直面しているサイバー脅威を考えると、私たちのテクノロジーは、米国民のデータを保護し、外国の敵対者から守りながら、米国民に重要なサービスを確実に提供するために、レジリエンスと安全性を高める方法で開発されなければならない。
This is not theoretical: foreign governments and criminal syndicates are regularly seeking ways to compromise our digital infrastructure. In 2020, a number of Federal agencies and large corporations were compromised by malicious code that was added into SolarWinds software. This small change created a backdoor into the digital infrastructure of Federal agencies and private sector companies. This incident was one of a string of cyber intrusions and significant software vulnerabilities over the last two years that have threatened the delivery of Government services to the public, as well as the integrity of vast amounts of personal information and business data that is managed by the private sector. これは机上の空論ではない。外国政府や犯罪組織は、私たちのデジタルインフラを侵害する方法を定期的に探し求めている。2020年、多くの連邦機関や大企業が、SolarWindsソフトウェアに追加された悪質なコードによって危険にさらされた。この小さな変更が、連邦機関や民間企業のデジタル・インフラへのバックドアを作り出したのである。この事件は、過去2年間に相次いだサイバー侵入やソフトウェアの重大な脆弱性の一つで、国民への政府サービスの提供や、民間企業が管理する膨大な量の個人情報およびビジネスデータの完全性を脅かすものでした。
In response to these threats, President Biden signed a historic Executive Order to ensure Federal agencies implement rigorous, modern cybersecurity protections for our systems and data. Part of this shift includes the release of today’s guidance, which will ensure that millions of lines of code that underpin Federal agencies’ work are built with industry security standards in place. The guidance, developed with input from the public and private sector as well as academia, directs agencies to use only software that complies with secure software development standards, creates a self-attestation form for software producers and agencies, and will allow the federal government to quickly identify security gaps when new vulnerabilities are discovered.   これらの脅威に対応するため、バイデン大統領は、連邦政府機関が我々のシステムとデータのために厳格で最新のサイバーセキュリティ保護を実施することを保証する歴史的な大統領令に署名した。この転換の一環として、本日のガイダンスの発表があり、連邦機関の業務を支える何百万行ものコードが、業界のセキュリティ基準に従って構築されていることを確認することになる。官民および学界の意見を取り入れて作成されたこのガイダンスは、安全なソフトウェア開発基準に準拠したソフトウェアのみを使用するよう機関に指示し、ソフトウェアメーカーと機関のための自己証明書を作成し、新しい脆弱性が発見されたときに連邦政府が迅速にセキュリティギャップを特定できるようにするものである。 
By strengthening our software supply chain through secure software development practices, we are building on the Biden-Harris Administration’s efforts to modernize agency cybersecurity practices, including our federal ‘zero trust’ strategy, improving our detection and response to threats, and our ability to quickly investigate and recover from cyber-attacks. It is part of a larger enterprise cybersecurity and information technology (IT) modernization plan that ensures we can deliver a simple, seamless, and secure customer experience. 安全なソフトウェア開発の実践を通じてソフトウェアのサプライチェーンを強化することで、バイデン=ハリス政権による連邦政府の「ゼロ・トラスト」戦略を含む省庁のサイバーセキュリティ実践の近代化、脅威の検知と対応、サイバー攻撃からの迅速な調査と復旧の能力向上への取り組みを基礎としている。これは、シンプルでシームレス、かつ安全な顧客体験を提供するための、より大きなエンタープライズ・サイバーセキュリティと情報技術(IT)近代化計画の一部である。
The guidance released today will help us build trust and transparency in the digital infrastructure that underpins our modern world and will allow us to fulfill our commitment to continue to lead by example while protecting the national and economic security of our country. 本日発表されたガイダンスは、現代社会を支えるデジタル・インフラの信頼性と透明性を高めるのに役立ち、我が国の国家と経済の安全を守りながら、模範となる行動を取り続けるという約束を果たすことができるようになるでしょう」と述べている。

 

 

・[PDF] M-22-18 MEMORANDUM FOR THE HEADS OF EXECUTIVE DEPARTMENTS AND AGENCIES 

20220918-34703

・[DOCX] 仮訳

 

 


Software Supply Chain関係...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースのアプローチによるDevSecOpsの実践

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.04.15 米国 食品医薬品局 (FDA) 医療機器におけるサイバーセキュリティ:品質システムに関する考察と市販前申請の内容:産業界と食品医薬品局スタッフのためのガイダンス(案) (2022.04.08)

・2022.02.26 NIST RFI(情報要求)サイバーセキュリティフレームワーク、サプライチェーンのサイバーリスクマネジメントの改善等のために。。。

・2022.02.22 NATO CCDCOE 最近のサイバー事件 軍事・国家安全保障の意思決定者のための検討事項 第14号は2021年の振り返り (2022.01)

・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2022.01.17 米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.07.20 米国、英国、欧州連合は中国が悪意あるサイバー活動を行なっていると発表していますね。。。

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.09 NATO CCDCOE (Cooperative Cyber Defence Centre of Excellence) 5月発行の第10号の特集は「ソフトウェアサプライチェーン」

・2021.04.16 White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー司令部と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

・2020.04.27 NIST White Paper - Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF)

 

| | Comments (0)

研究開発戦略センター デジタル社会における新たなトラスト形成

こんにちは、丸山満彦です。

研究開発戦略センターが「デジタル社会における新たなトラスト形成」という報告書を公表していますね。。。

3月に公表された、トラスト研究の潮流 ~人文・社会科学から人工知能、医療まで~をベースにしたものなのでしょうかね。。。

 

研究開発戦略センター

・2022.09.16 デジタル社会における新たなトラスト形成

・[PDF] 戦略プロポーザル デジタル社会における新たなトラスト形成

20220918-20654

 

目次...

1  研究開発の内容

2  研究開発を実施する意義
2.1
現状認識および問題点
2.2
社会・経済的効果
2.3
科学技術上の効果

3  具体的な研究開発課題
3.1
トラストの社会的よりどころの再構築
3.2
社会的トラスト形成フレームワーク
3.3
具体的トラスト問題ケースへの取り組み
3.4
トラストに関する基礎研究

4  研究開発の推進方法および時間軸

付録
付録 A  検討の経緯
付録 B  国内外の状況
付録 C  用語解説
付録 D  参考文献

コラム一覧
コラム 1 情報に関する対象真正性と内容真実性
コラム 2 トラストの弊害
コラム 3 内容真実性 : 事実や真実は定まるものなのか ?
コラム 4 AI 応用システムの振る舞い予想・対応可能性
コラム 5 デジタル化とトラスト問題の関係

気になる図表

20220918-21609

20220918-21658

 

 

20220918-21756

20220918-21852

 

20220918-22040

 

20220918-22117

20220918-22210





20220918-22326

 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.07 科学技術振興機構 俯瞰ワークショップ報告書 「俯瞰セミナー&ワークショップ報告書:トラスト研究の潮流 ~人文・社会科学から人工知能、医療まで~」

● 国立科学技術法人科学技術振興機構

・2022.03.04 俯瞰セミナー&ワークショップ報告書:トラスト研究の潮流 ~人文・社会科学から人工知能、医療まで~

・[PDF] 報告書

20220307-52717

 

・2021.03.14 日本セキュリティ・マネジメント学会 学会誌第34巻第3号 三角さんの寄稿他

・2005.08.13 内閣官房 セキュリティ文化専門委員会 第1回会合

・2005.02.04 監視社会と信頼関係

 

| | Comments (0)

«欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...