2021.10.25

独国 BSIがITセキュリティの状況(2021年)に関するレポートを公開

こんにちは、丸山満彦です。

ドイツの連邦ITセキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik: BSI) が2021年のITセキュリティの状況に関するレポートを公開していますね。。。

 

Bundesamt für Sicherheit in der Informationstechnik: BSI

BSI-Lagebericht 2021: Bedrohungslage angespannt bis kritisch BSI状況報告書2021:脅威の状況が緊迫から危機へ
Cyber-Angriffe gefährden zunehmend eine erfolgreiche Digitalisierung サイバー攻撃は、デジタル化の成功をますます危うくする。
Cyber-Angriffe führen zu schwerwiegenden IT-Ausfällen in Kommunen, Krankenhäusern und Unternehmen. Sie verursachen zum Teil erhebliche wirtschaftliche Schäden und bedrohen existenzgefährdend Produktionsprozesse, Dienstleistungsangebote und Kunden. Das sind zentrale Feststellungen des Berichts zur Lage der IT-Sicherheit in Deutschland 2021, der heute von Bundesinnenminister Horst Seehofer und dem Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, vorgestellt wurde. Der neue Lagebericht macht deutlich: Die erfolgreiche Digitalisierung ist auf Grund der zunehmenden Vernetzung, einer Vielzahl gravierender Schwachstellen in IT-Produkten sowie der Weiterentwicklung und Professionalisierung von Angriffsmethoden zunehmend gefährdet. サイバー攻撃により、自治体、病院、企業などで深刻なIT障害が発生しています。場合によっては、かなりの経済的ダメージを与え、生産プロセス、サービス提供、顧客の存在を脅かすこともあります。これは、ホルスト・ゼーホーファー内務大臣とアルネ・シェーンボーム連邦情報セキュリティ局(BSI)長官が本日発表した「2021年のドイツにおけるITセキュリティの状況」に関する報告書の中心的な内容です。新しい状況報告書では、ネットワーク化の進展、IT製品に存在する多数の深刻な脆弱性、攻撃手法のさらなる発展と専門化により、デジタル化の成功がますます危険にさらされていることが明らかにされています。
Bundesinnenminister Seehofer führte aus: „Die Gefährdungslage im Cyber-Raum ist hoch. Wir müssen davon ausgehen, dass dies dauerhaft so bleibt oder sogar zunehmen wird. Wir haben die letzten Jahre deshalb genutzt, um die Cyber-Sicherheit in unserem Land massiv zu stärken. Wir haben das BSI mit über 700 neuen Stellen in dieser Legislaturperiode fast verdoppelt. Mit seiner Arbeit sorgt das BSI dafür, dass die IT-Sicherheit ein Wettbewerbsvorteil für Deutschland wird.“ ゼーホーファー内務大臣は、「サイバー空間における脅威のレベルは高い。これは、長期的には変わらないか、あるいは増加すると考えなければなりません。そこで私たちは、この数年間で、国内のサイバーセキュリティを大幅に強化しました。今回の立法期間中に700人以上の新しいポストを設け、BSIの規模をほぼ2倍にしました。BSIの活動により、ITセキュリティがドイツの競争力となることを確実にしています」と述べています。
BSI-Präsident Arne Schönbohm: „Im Bereich der Informationssicherheit haben wir – zumindest in Teilbereichen – Alarmstufe Rot. Der neue Lagebericht des BSI zeigt deutlich wie nie: Informationssicherheit ist die Voraussetzung für eine erfolgreiche und nachhaltige Digitalisierung.“ BSI社のアルネ・シェーンボーム局長は、「情報セキュリティの分野では、少なくとも一部の地域では、厳戒態勢が敷かれています。BSIの新しい状況報告書は、情報セキュリティがデジタル化を成功させ、持続させるための前提条件であることを、これまで以上に明確に示しています」と述べています。
Am Beispiel von erfolgreichen Ransomware-Angriffen wird deutlich, wie extrem sich mangelnde Informationssicherheit auswirken kann: So musste sich ein Krankenhaus für 13 Tage von der Notfallversorgung abmelden. Immer öfter sind auch ganze Lieferketten von derartigen Angriffen beeinträchtigt, mit Folgen nicht nur für die Opfer, sondern auch für deren Kunden oder für andere unbeteiligte Dritte. ランサムウェア攻撃の成功例は、情報セキュリティの欠如がどれほど極端な影響を及ぼすかを明確に示しています。例えば、ある病院では13日間、緊急用の備品をログオフしなければなりませんでした。最近では、サプライチェーン全体がこのような攻撃の影響を受けることも増えており、被害者だけでなく、その顧客や他の無関係な第三者にも影響が及びます。
Das BSI beobachtet zudem die Weiterentwicklung von kriminellen Methoden. So wird bei Ransomware-Angriffen neben der Forderung nach einem Lösegeld immer öfter auch damit gedroht, zuvor gestohlene Daten zu veröffentlichen. Mit dieser Schweigegelderpressung erhöhen Cyber-Kriminelle den Druck auf Betroffene. Auch DDoS-Angriffe haben im Berichtszeitraum deutlich zugenommen. Sie werden dazu eingesetzt, digital Schutzgeld zu erpressen. また、BSIは犯罪手法のさらなる発展を見守っています。例えば、ランサムウェアの攻撃では、身代金を要求するだけでなく、過去に盗んだデータを公開すると脅すケースが増えています。この脅迫により、サイバー犯罪者は被害を受けた人への圧力を高めます。また、DDoS攻撃も報告期間中に大幅に増加しました。デジタルで保護費を強要するために使われます。
Im Februar 2021 hat das BSI den höchsten jemals gemessenen Wert an neuen Schadprogramm-Varianten notiert. Pro Tag kamen durchschnittlich 553.000 neue Varianten hinzu. Insgesamt wurden im Berichtszeitraum 144 Millionen neue Schadprogramm-Varianten gezählt, ein Plus von 22 Prozent gegenüber dem Vorjahreszeitraum. 2021年2月、BSIは新しいマルウェアの亜種の測定値が過去最高になったことを記録しました。1日あたり平均553,000個の新しいバリアントが追加されました。報告期間中に数えられた新しいマルウェアの亜種は合計1億4,400万個で、昨年の同時期と比べて22%増加しました。
Auch die Qualität und die Verbreitung vieler gravierender Schwachstellen in IT-Produkten gibt Anlass zur Sorge. So wurde eine gravierende Schwachstelle in Microsoft-Exchange auf 98 % aller geprüften Systeme festgestellt. Das BSI hatte darauf mit einer Warnung der Stufe Rot reagiert und öffentlich und gezielt die Betroffenen zum Handeln aufgerufen. また、IT製品の多くの深刻な脆弱性の質と広がりも懸念されています。例えば、Microsoft Exchangeの深刻な脆弱性は、チェックしたすべてのシステムの98%で発見されました。BSIはこれを受けてレベルレッドの警告を発し、影響を受けた人々に対策を講じるよう公にかつ具体的に呼びかけました。
Als Konsequenz aus der Bedrohungslage fordert das BSI, der Informationssicherheit einen höheren Stellenwert beizumessen. Im Rahmen von Digitalisierungsprojekten sollte die Cyber-Sicherheit fest verankert werden sowie die gesamte Lieferkette umfassen. 脅威の状況の結果として、BSIは情報セキュリティをより重要視することを要求しています。サイバーセキュリティは、デジタル化プロジェクトの中にしっかりと組み込まれ、サプライチェーン全体を網羅する必要があります。
Weitere Informationen und Beispiele sind im „Bericht zur Lage der IT-Sicherheit in Deutschland 2021“ zusammengefasst. Der Lagebericht des BSI gibt einen Überblick über die Entwicklung der Bedrohungslage im Cyber-Raum vom 1. Juni 2020 bis zum 31. Mai 2021 und über die Aktivitäten und Gegenmaßnahmen des BSI. さらに詳しい情報や事例は「ドイツにおけるITセキュリティの現状に関する報告書2021」にまとめられています。BSIの状況報告書では、2020年6月1日から2021年5月31日までのサイバー空間における脅威状況の進展と、BSIの活動と対策の概要を紹介しています。

 

・[PDF] Die Lage der IT-Sicherheit in Deutschland 2021

20211024-201847

 

Vorworte 序文
Vorwort Horst Seehofer, Bundesminister des Innern, für Bau und Heimat ホルスト・ゼーホーファー 連邦内務省建設・内務担当大臣
Vorwort Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik アルネ・シェーンボーム 連邦情報セキュリティ局長官
1 Gefährdungen der Cyber-Sicherheit in Deutschland 1 ドイツにおけるサイバー・セキュリティへの脅威
1.1 Zusammenfassung und Bewertung 1.1 まとめと評価
1.2 Schadprogramme  1.2 マルウェア
1.2.1 Neue Schadprogramm-Varianten  1.2.1 新しいマルウェアの亜種
1.2.2 Big Game Hunting mit Ransomware  1.2.2 ランサムウェアでビッグゲームハンティング
1.2.3 Spam und Malware-Spam  1.2.3 スパムとマルウェアのスパム
1.2.4 Botnetze  1.2.4 ボットネット
1.3 Diebstahl und Missbrauch von Identitätsdaten  1.3 IDデータの盗用と誤用
1.3.1 Phishing und weitere Betrugsformen  1.3.1 フィッシングやその他の不正行為について
1.3.2 Schadprogramme und Daten-Leaks  1.3.2 マルウェアとデータの漏洩
1.3.3 Cyber-Angriffe auf Videokonferenzen  1.3.3 テレビ会議へのサイバー攻撃
1.4 Schwachstellen  1.4 脆弱性
1.5 Advanced Persistent Threats  1.5 高度で執拗な脅威 (APT)
1.6 Distributed Denial of Service (DDoS)  1.6 Distributed Denial of Service (DDoS)
1.7 Angriffe im Kontext Kryptografie  1.7 暗号技術を利用した攻撃
1.8 Hybride Bedrohungen  1.8 ハイブリッドな脅威
1.9 Gefährdungen der Cyber-Sicherheit durch die COVID-19-Pandemie  1.9 COVID 19パンデミックによるサイバーセキュリティの脅威
2 Zielgruppenspezifische Erkenntnisse und Maßnahmen  2 ターゲットグループ固有の知見と対策
2.1 Gesellschaft  2.1 社会
2.1.1 Erkenntnisse zur Gefährdungslage in der Gesellschaft  2.1.1 社会における脆弱性の状況に関する調査結果
2.1.2 Digitaler Verbraucherschutz  2.1.2 デジタル消費者保護
2.1.3 Das IT-Sicherheitskennzeichen  2.1.3 ITセキュリティラベル
2.1.4 Information und Sensibilisierung von Verbraucherinnen und Verbrauchern  2.1.4 消費者への情報提供と意識向上
2.1.5 Sicherheit im Internet der Dinge, Smart Home und Smart Cities  2.1.5 IoT、スマートホーム、スマートシティにおけるセキュリティ
2.1.6 Sicherheit von Medizinprodukten  2.1.6 医療機器の安全性
2.1.7 Corona-Warn-App  2.1.7 コロナ警告アプリ
2.1.8 eHealth und Telematik-Infrastruktur  2.1.8 eヘルスとテレマティクスのインフラ
2.1.9 Sichere Gestaltung virtueller Versammlungen und Abstimmungen  2.1.9 バーチャル会議や投票の安全な設計
2.1.10 Sicherheit von Bezahlverfahren  2.1.10 支払い手続きのセキュリティ
2.1.11 Zwei-Faktor-Authentisierung  2.1.11 ニ要素認証
2.1.12 Bewertung von elektronischen Identifizierungsverfahren  2.1.12 電子的な識別手順の評価
2.1.13 Sichere elektronische Identitäten auf dem Smartphone  2.1.13 スマートフォンでの電子的なアイデンティティの確保
2.1.14 Biometrie im Zeitalter der Künstlichen Intelligenz  2.1.14 人工知能時代のバイオメトリクス
2.2 Wirtschaft  2.2 経済
2.2.1 Gefährdungslage Kritischer Infrastrukturen  2.2.1 重要インフラの脅威の状況
2.2.2 UP KRITIS  2.2.2 UP CRITIS
2.2.3 Digitalisierung der Energiewirtschaft: Rollout intelligenter Messsysteme  2.2.3 エネルギー産業のデジタル化:スマートメータリングシステムの展開
2.2.4 Moderne Telekommunikationsinfrastrukturen (5G)  2.2.4 最新の通信インフラ(5G)について
2.2.5 Cyber-Sicherheit im Automobilbereich  2.2.5 自動車分野におけるサイバーセキュリティ
2.2.6 Cyber-Sicherheit im Luftverkehr  2.2.6 航空輸送におけるサイバーセキュリティ
2.2.7 Cyber-Sicherheit in der industriellen Versorgungskette  2.2.7 産業界のサプライチェーンにおけるサイバー・セキュリティ
2.2.8 Besondere Situation der KMU in Deutschland  2.2.8 ドイツにおける中小企業の特殊事情
2.2.9 Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme  2.2.9 電子記録システムのための技術的なセキュリティ装置
2.2.10 IT-Sicherheitszertifizierung als Instrument für eine nachweislich sichere Digitalisierung  2.2.10 ITセキュリティ認証を実証的に安全なデジタル化のための手段
2.2.11 IT-Grundschutz: Lösungen für Informationssicherheit  2.2.11 ITの基本的な保護:情報セキュリティのためのソリューション
2.2.12 IT-Sicherheit im Homeoffice  2.2.12 ホームオフィスにおけるITセキュリティ
2.2.13 Allianz für Cyber-Sicherheit  2.2.13 アライアンス・フォー・サイバー・セキュリティ
2.2.14 Sonstige Lösungen / Angebote für die Wirtschaft  2.2.14 経済に関するその他のソリューション/オファー
2.3 Staat und Verwaltung  2.3 国家と行政
2.3.1 Die Gefährdungslage der Bundesverwaltung  2.3.1 連邦行政機関における脅威の状況
2.3.2 Nationales Cyber-Abwehrzentrum  2.3.2 国立サイバー防衛センター
2.3.3 Computer Emergency Response Team für Bundesbehörden  2.3.3 連邦政府当局のコンピュータ緊急対応チーム
2.3.4 IT-Konsolidierung Bund: Neuer Informationssicherheitsbeauftragter  2.3.4 ITコンソリデーション・コンフェデレーション:新しい情報セキュリティ担当者
2.3.5 Nationales Verbindungswesen  2.3.5 ナショナル・リエゾン
2.3.6 Realisierung Umsetzungsplan Bund (UP Bund)  2.3.6 連邦実施計画(UP Bund)の実現に向けて
2.3.7 Cyber-Sicherheit von Bundestags- und Landtagswahlen  2.3.7 連邦・州議会選挙のサイバーセキュリティ
2.3.8 Informationssicherheitsberatung  2.3.8 情報セキュリティコンサルティング
2.3.9 Smart Borders und hoheitliches Identitätsmanagement  2.3.9 スマートボーダーズと主権者のアイデンティティ管理
2.3.10 Technologie-Verifikations-Programm  2.3.10 技術検証プログラム
2.3.11 App-Testing für mobile Lösungen  2.3.11 モバイルソリューションのアプリテスト
2.3.12 Lauschabwehr  2.3.12 盗聴の防御策
2.3.13 Verschlusssachen-Zulassung und Herstellerqualifizierung  2.3.13クラス認定とメーカー認定
2.3.14 Messenger-Dienste für sichere VS-Kommunikation  2.3.14 安全なVS通信のためのメッセンジャーサービス
2.3.15 Umsetzung des Onlinezugangsgesetzes  2.3.15 Online Access Actの実施について
2.4 Internationale und europäische Zusammenarbeit  2.4 国際・欧州協力
2.4.1 Engagement des BSI im EU-Rahmen  2.4.1 EUフレームワークにおけるBSIの関与
2.4.2 Multilaterales und bilaterales Engagement des BSI  2.4.2 BSI の多国間および二国間の関与
2.4.3 Nationales Koordinierungszentrum für europäische Forschungsvorhaben  2.4.3 欧州研究プロジェクトのためのナショナル・コーディネーション・センター
2.4.4 eID: Europaweite Anerkennung der Online-Ausweisfunktion  2.4.4 e ID:オンラインID機能の欧州全域での認知
2.4.5 Krypto-Modernisierung für Satellitensysteme  2.4.5衛星システムのための暗号の近代化
2.5 Aktuelle Trends und Entwicklungen in der IT-Sicherheit  2.5 ITセキュリティの最新動向と開発
2.5.1 Künstliche Intelligenz  2.5.1 人工知能
2.5.2 Kryptografie  2.5.2 暗号
2.5.3 Quantum Key Distribution  2.5.3 量子鍵の配布
2.5.4 Blockchain-Technologie  2.5.4 ブロックチェーン技術
3 Fazit  3 結論
4 Glossar  4 用語集
5 Quellenverzeichnis  5 ソースのリスト

 

・[DOCX] 仮抄訳

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.26 独国 サイバーセキュリティ戦略2021 at 2021.09.08

・2021.09.08 独国 BSI 自動車業界におけるサイバーセキュリティ

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

・2021.07.06 独国 コンラート・アデナウアー財団 平時における日本、オランダ、米国のサイバー防衛態勢の比較

・2021.07.05 独国 BSI 技術ガイドライン TR-03166 - 認証用機器におけるバイオメトリクス認証コンポーネントに関する技術ガイドラインについての意見募集

・2021.05.31 独国 ITセキュリティ法 2.0施行

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。

・2021.01.20 ドイツの情報セキュリティ標準 BSI standard 200-4 Business Continuity Management ドラフトの意見募集

・2020.12.29 ドイツのITセキュリティ法案が閣議決定されている at 2020.12.16

・2020.10.21 ドイツのITセキュリティの状況 2020 - Die Lage der IT-Sicherheit in Deutschland 2020 by BSI

・2020.08.25 ドイツ連邦内務省に革新的なサイバーセキュリティ技術の開発を促進する「サイバーセキュリティ革新機構」ができてました。。。

・2020.06.27 ドイツとイタリアのCOVID-19接触通知アプリのPIA

・2020.06.19 ドイツ:BfDI発行2019年次報告書

・2020.06.17 ドイツはCOVID-19 contact tracing applicationである「Corona-Warn-App」をリリースしたようですね。。。

・2020.04.17 ドイツ連邦政府 「COVID19の流行を抑制するための公衆衛生上の制限」についての決定 at 2020.04.15
かなり前(^^)
・2005.08.24 ドイツのITベースライン保護

| | Comments (0)

欧州連合理事会が「大規模サイバーセキュリティ事件・危機へのEU協調対応を補完する共同サイバーユニット構想の可能性を探るための理事会結論案 」を承認

こんにちは、丸山満彦です。

欧州連合理事会が「大規模サイバーセキュリティ事件・危機へのEU協調対応を補完する共同サイバーユニット構想の可能性を探るための理事会結論案 」を承認していますね。。。

 

Council of the EU

・2021.10.19 (press) Cybersecurity: Council adopts conclusions on exploring the potential of a joint cyber unit

 

Cybersecurity: Council adopts conclusions on exploring the potential of a joint cyber unit サイバーセキュリティ。理事会、共同サイバー部隊の可能性を探るための結論を採択
The Council today adopted conclusions inviting the EU and member states to further develop the EU cybersecurity crisis management framework, including by exploring the potential of a joint cyber unit. 欧州連合(EU)理事会は本日、EUと加盟国に対し、共同サイバー部隊の可能性を探ることを含め、EUのサイバーセキュリティ危機管理フレームワークをさらに発展させるよう求める結論を採択した。
In its conclusions, the Council emphasises the need to consolidate existing networks and to establish a mapping of possible information sharing gaps and needs within and across cyber communities. This should subsequently lead to an agreement on possible primary objectives and priorities of a potential joint cyber unit. It is an incremental, transparent and inclusive process which is essential to enhance trust. The Council has an instrumental role in the policy-making and coordination function regarding the further development of the EU cybersecurity crisis management framework and will monitor the progress and provide guidance for complementing this framework. 結論の中で、EU理事会は、既存のネットワークを統合し、サイバー・コミュニティの内部および外部で起こりうる情報共有のギャップとニーズのマッピングを確立する必要性を強調している。これにより、潜在的な共同サイバーユニットの主要な目的と優先事項についての合意が得られるはずである。これは、信頼性を高めるために不可欠な、段階的で透明性のある包括的なプロセスである。理事会は、EUのサイバーセキュリティ危機管理フレームワークのさらなる発展に関する政策立案および調整機能において重要な役割を担っており、進捗状況を監視し、このフレームワークを補完するためのガイダンスを提供する。
The Council also stresses the need to establish adequate working methods and governance to allow for the participation of all member states in the deliberations, development and effective decision-making processes. A potential joint cyber unit would need to respect the competences, mandates and legal powers of its possible future participants and any participation by member states would be of a voluntary nature. また、理事会は、審議、開発、効果的な意思決定プロセスにすべての加盟国が参加できるよう、適切な作業方法とガバナンスを確立する必要性を強調している。潜在的な共同サイバーユニットは、将来参加する可能性のある国々の能力、権限、法的権限を尊重する必要があり、加盟国の参加は任意である。
The Council calls for further reflection on individual elements of the recommendation on the joint cyber unit, including regarding the ideas of EU cybersecurity rapid reaction teams and an EU cybersecurity incident and crisis response plan. 理事会は、EUサイバーセキュリティ迅速反応チームやEUサイバーセキュリティ事件・危機対応計画のアイデアを含め、共同サイバーユニットに関する勧告の個々の要素についてさらに検討することを求める。
Background 背景
On 23 June, the European Commission presented a recommendation on building a joint cyber unit to tackle the rising number of serious cyber incidents impacting public services, businesses and citizens across the EU. Under this recommendation, the joint cyber unit would act as a platform bringing together resources and expertise from the different cyber communities in the EU and its member states to effectively prevent, deter and respond to mass cyber incidents. 6月23日、欧州委員会は、EU全域の公共サービス、企業、市民に影響を与える深刻なサイバー事件の増加に対処するため、共同サイバー部隊の構築に関する勧告を提示した。この勧告では、共同サイバーユニットは、大規模なサイバー事件を効果的に防止、抑止、対応するために、EUとその加盟国のさまざまなサイバーコミュニティからリソースと専門知識を集めたプラットフォームとして機能することになる。

 

承認された内容はこちら。。。

・[PDF] Council conclusions on exploring the potential of the Joint Cyber Unit initiative

20211024-104530

仮対訳

 

サイバー関係の情報...

Cybersecurity: how the EU tackles cyber threats (background information

 

» Continue reading

| | Comments (0)

2021.10.24

豪州 ビクトリア州  人工知能とプライバシーに関する報告書(2つ)

こんにちは、丸山満彦です。

オーストラリア ビクトリア州が2021.04に人工知能 - プライバシーに関する報告書を2つ発行していました...

ここでは、人工知能=機械学習です。学習データの個人情報についての取り扱いについてとか、参考になるかもですね。。。

 

Office of the Victorian Information Commissioner: OVIC

・2021.04.13 ARTIFICIAL INTELLIGENCE AND PRIVACY – ISSUES AND CHALLENGES

 ・[DOCX] 原文

20211024-31422

 ・[DOCX] 仮訳

 

ARTIFICIAL INTELLIGENCE AND PRIVACY – ISSUES AND CHALLENGES 人工知能とプライバシー - 論点と挑戦
INTRODUCTION 序文 
This resource serves as an introduction to a wider conversation regarding information privacy and AI. It is written for a non-technical audience and does not endeavour to solve questions posed, nor provide legal guidance. It should be noted that there are many other ethical, technical and legal issues associated with AI that are beyond the scope of this document.  この資料は、情報のプライバシーとAIに関するより広い会話への導入として提供されています。本資料は、技術者ではない読者を対象に作成されており、提起された疑問を解決しようとするものでも、法的な指針を提供するものでもありません。AIに関連する倫理的、技術的、法的な問題は、本資料の範囲を超えて多数存在することに留意する必要があります。 
The purpose of this resource is to: この資料の目的は
・provide a high-level understanding of AI and its uses in the public sector; and  ・公共部門におけるAIとその利用についての高度な理解を提供します。 
・highlight some of the challenges and opportunities that AI presents in relation to information privacy.  ・情報プライバシーに関連してAIがもたらすいくつかの課題と機会を紹介します。 
Artificial Intelligence (AI) at its most simple, is a sub-field of computer science with the goal of creating programs that can perform tasks generally performed by humans. These tasks can be considered intelligent, and include visual and audio perception, learning and adapting, reasoning, pattern recognition and decision-making. ‘AI’ is used as an umbrella term to describe a collection of related techniques and technologies including machine learning, predictive analytics, natural language processing and robotics. 人工知能(AI)とは、コンピュータサイエンスの一分野であり、一般的に人間が行うタスクを実行できるプログラムを作成することを目的としています。これらのタスクは知的と見なされ、視覚や聴覚の知覚、学習と適応、推論、パターン認識、意思決定などが含まれます。AIは、機械学習、予測分析、自然言語処理、ロボット工学など、関連する技術やテクノロジーの集合体を表す包括的な用語として利用されています。
While the philosophy of Artificial Intelligence has been argued since at least Leibnitz in the early 18th Century, the concept of AI as we use it has existed since the early 1940s and made famous with the development of the “Turing test” in 1950. More recently, we are experiencing a period of rapid development in the field of AI as a result of three factors: improved algorithms, increased networked computing power, and increased ability to capture and store an unprecedented amount of data.[i] As well as technological advancements, the very way of thinking about intelligent machines has shifted significantly since the 1960s, which has enabled many of the developments we are seeing today.  人工知能の哲学は、少なくとも18世紀初頭のライプニッツから論じられてきましたが、私たちが利用しているAIの概念は1940年代初頭から存在し、1950年に「チューリングテスト」が開発されたことで有名になりました。最近では、アルゴリズムの改良、ネットワーク化されたコンピューティング能力の向上、前例のない量のデータを取得・保存する能力の向上という3つの要因により、AIの分野で急速な発展を遂げています。[i]技術的な進歩だけでなく、知的機械に対する考え方も1960年代から大きく変化しており、それが今日のような発展を可能にしています。 
Real-life applications of AI technologies are already established in our everyday lives, although many people are not conscious of this. One of the characteristics of AI is that once the technology works, it stops being referred to as AI and transforms into mainstream computing.[ii] For example, being greeted by an automated voice on the other end of the phone, or being suggested a movie based on your preferences, are examples of mainstream AI technology. Now that these systems are an established element in our lives, the fact that AI techniques – including speech recognition, natural language processing and predictive analytics – are at work is often forgotten.   AI技術の現実の応用は、多くの人が意識していないにもかかわらず、すでに私たちの日常生活の中に定着しています。AIの特徴の一つは、一度動作した技術はAIと呼ばれなくなり、メインストリームのコンピューティングに変化することです。[ii]例えば、電話の向こうで自動音声が挨拶してくれる、好みに合わせて映画を勧めてくれるなどは、主流のAI技術の一例です。これらのシステムが私たちの生活に定着している今、音声認識、自然言語処理、予測分析などのAI技術が働いているという事実は忘れられがちです。  
The ways that AI can enrich our lives are immense. Increased efficiency and lower costs, huge improvements in healthcare and research, increased safety of vehicles, and general convenience, are just some of the promises of AI. But, as with any new technology, the opportunities of AI come with an array of challenges for society and the law.[iii]  AIが私たちの生活を豊かにする方法は計り知れません。効率性の向上やコストの削減、医療や研究の大幅な改善、自動車の安全性の向上、一般的な利便性の向上などは、AIが約束してくれることのほんの一部です。しかし、他の新しい技術と同様に、AIの機会には、社会や法律にとっての様々な課題が伴います。 [iii]
[i] Alex Campolo, Madelyn Sanfilippo, Meredith Whittaker & Kate Crawford, ‘AI Now 2017 Report’, AI Now, 2017, available at: web, p 3. [i] Alex Campolo, Madelyn Sanfilippo, Meredith Whittaker & Kate Crawford, 'AI Now 2017 Report', AI Now, 2017, available at: web, p 3.
[ii] Toby Walsh, It's Alive! Artificial Intelligence from the logic piano to killer robots, Latrobe University Press, 2017, p 60. [ii] トビー・ウォルシュ『It's Alive!Artificial Intelligence from the logic piano to killer robots, Latrobe University Press, 2017, p 60.
[iii] For example, Samuel Warren and Louis Brandeis wrote on the impact of the portable camera on the right to be let alone in the 19th century. See Samuel D. Warren and Louis D. Brandeis, ‘The Right to Privacy’, Harvard Law Review, Vol. IV, No. 6, 15 December 1890. [iii]例えば、Samuel WarrenとLouis Brandeisは、19世紀に携帯カメラが独りにされる権利に与える影響について書いています。Samuel D. Warren and Louis D. Brandeis, 'The Right to Privacy', Harvard Law Review, Vol.IV, No.6, 15 December 1890を参照。

 


・2021.04.17 ARTIFICIAL INTELLIGENCE – UNDERSTANDING PRIVACY OBLIGATIONS

 ・[DOCX] 原文

20211024-31514

 ・[DOCX] 仮訳

 

ARTIFICIAL INTELLIGENCE – UNDERSTANDING PRIVACY OBLIGATIONS 人工知能 - プライバシーに関する義務の理解
INTRODUCTION 序文 
Many artificial intelligence (AI) technologies rely on enormous amounts of data – which may include personal information – in order to train and test algorithms. When Victorian public sector (VPS) organisations collect personal information to train an AI model, feed personal information into an AI system, or use AI to infer information about individuals, the Information Privacy Principles (IPPs) of the Privacy and Data Protection Act 2014 (PDP Act) apply.  多くの人工知能(AI)技術は、アルゴリズムのトレーニングやテストのために、個人情報を含む膨大な量のデータに依存しています。ビクトリア州の公共部門(VPS)の組織が、AIモデルを訓練するために個人情報を収集したり、個人情報をAIシステムに供給したり、AIを利用して個人に関する情報を推論したりする場合、2014年プライバシー・データ保護法(PDP法)の情報プライバシー原則(IPP)が適用されます。 
The purpose of this guidance is to assist VPS organisations to consider their privacy obligations when using or considering the use of personal information in AI systems or applications. It will cover the collection, use, handling and governance of personal information within this context. Organisations should also conduct a privacy impact assessment (PIA) when designing or implementing AI systems, to help identify potential privacy risks associated with the collection and use of personal information in the AI system. PIAs are discussed later in this guidance. このガイダンスの目的は、VPS組織がAIシステムやアプリケーションで個人情報を利用する、または利用を検討する際に、プライバシーに関する義務を考慮することを支援することです。このガイダンスは、この文脈における個人情報の収集、利用、取扱、およびガバナンスをカバーします。また、組織は、AIシステムを設計または実装する際に、プライバシー影響評価(PIA)を実施し、AIシステムにおける個人情報の収集および利用に関連する潜在的なプライバシーリスクの特定に役立てる必要があります。PIAについては、本ガイダンスで後述します。
What is AI? Artificial intelligence, or ‘AI’, is a way for computers to perform tasks that require abstraction and which would ordinarily be performed by humans. AI is used as an umbrella term to describe a collection of different techniques and technologies, including machine learning, speech recognition, natural language processing, robotics, and predictive analytics. AI is present in many of the day-to-day interactions in our personal lives – for example, when we give voice commands on our mobile phones, or the movie recommendations on streaming services. AIとは?人工知能(AI)とは、抽象化が必要で、通常は人間が行う作業をコンピュータが行う方法のことです。AIは、機械学習、音声認識、自然言語処理、ロボット工学、予測分析など、さまざまな技術の集合体を表す包括的な用語として利用されています。AIは、私たちの日常生活の中で、例えば、携帯電話での音声コマンドや、ストリーミングサービスでのお勧めの映画など、多くの場面で利用されています。
The use of AI applications and systems is also growing in the public sector, enabled by the generation, availability and variety of sources of data accessible to government. Organisations are increasingly turning to AI to help carry out their functions, automate decision making processes, inform policy, and deliver services to the public. Common applications of AI include identifying objects, making predictions, translating language and processing very large amounts of information. For example, an increasingly common use of AI in the public sector is the use of chat bots to provide customer service and advice to individuals on a website. AIアプリケーションやシステムの利用は、政府がアクセス可能なデータの生成、利用可能性、および多様なソースによって可能となり、公共部門でも拡大しています。組織は、機能の遂行、意思決定プロセスの自動化、政策への情報提供、一般市民へのサービス提供のために、ますますAIを利用するようになっています。AIの一般的なアプリケーションには、対象物の識別、予測、言語の翻訳、非常に大量の情報の処理などがあります。例えば、公共部門でますます一般的になっているAIの利用法は、チャットボットを使ってウェブサイト上で個人に顧客サービスやアドバイスを提供することです。
While the use of an AI system to process personal information can deliver significant benefits, VPS organisations should consider whether the deployment of such a system is necessary to address an identified problem, and whether it is the best solution to that problem – AI systems should not necessarily be deployed simply because they are available. 個人情報の処理にAIシステムを利用することで大きなメリットが得られる可能性がありますが、VPS組織は、特定された問題に対処するためにそのようなシステムの導入が必要であるかどうか、またその問題に対する最善の解決策であるかどうかを検討する必要があります - AIシステムは、単に利用可能であるという理由で必ずしも導入すべきではありません。
This is particularly important given the potential risks associated with the use of an AI system, including the risk of discrimination, bias and inequality. The use of AI to inform decision making, for example, can have long lasting and significant impacts on individuals’ lives and human rights, such as where AI is used to help assess the risk of a person recommitting an offence, or to assist in determining eligibility for welfare services or payments.  これは、差別、偏見、不平等など、AIシステムの利用に伴う潜在的なリスクを考えると、特に重要です。例えば、AIを利用して意思決定を行うことは、個人の生活や人権に長期的かつ重大な影響を与える可能性があります。例えば、AIを利用して犯罪を再犯するリスクを評価したり、福祉サービスや支払いの適格性を判断したりする場合などが挙げられます。 
Ensuring that individuals’ privacy rights are upheld in the context of an AI system is therefore crucial, in order to mitigate some of the potential risks that may arise.[i] VPS organisations using AI systems or applications are also obliged to consider and act compatibly with the Charter of Human Rights and Responsibilities Act 2006 (Vic), which includes the right to privacy. したがって、起こりうるリスクを軽減するためには、AIシステムにおいて個人のプライバシー権が確実に守られることが重要です。[i]また、AIシステムやアプリケーションを利用するVPS組織は、プライバシー権を含む2006年人権責任憲章(Vic)を考慮し、それに適合するように行動する義務があります。
[i] For more information about the potential for discrimination, bias and inequality in AI, see OVIC’s Closer to the Machine: Technical, social and legal aspects of AI, available at web.
[i] AIにおける差別、偏見、不平等の可能性については、OVICのCloser to the Machineを参照してください。Technical, social and legal aspects of AI, available at web

 


 

State Government of Victoria - Victorian Legislation

Privacy and Data Protection Act 2014

 

 

| | Comments (0)

2021.10.23

内閣官房 NISC 第14回「日・ASEANサイバーセキュリティ政策会議」の結果

こんにちは、丸山満彦です。

内閣官房 NISCが第14回「日・ASEANサイバーセキュリティ政策会議」の結果を発表していますね。。。

NISC

・20201.10.22 [PDF] 第14回「日・ASEANサイバーセキュリティ政策会議」の結果(報道発表資料)


令和3年 10 月 21 日(木)、「日・ASEAN サイバーセキュリティ政策会議」(以下「政策会議」という。)がオンラインで開催されました。

政策会議は、サイバーセキュリティ分野における我が国と ASEAN 諸国(※1)との国際的な連携・取組を強化することを目的として、平成 21(2009)年以降、およそ一年に一度開催されているものです。

第 14 回の開催となる今年の政策会議では、この一年間の各国のサイバーセキュリティ政策について意見交換を行ったほか、共同サイバー演習、重要インフラ防護に関する事例の共有、共同意識啓発、能力構築及び産学官連携などの協力活動の確認・評価を行いました。

本政策会議において、日・ASEAN の各種の協力活動の進展が確認されたとともに、今後も継続的に協力活動を行うことについて合意しました。

※1 ブルネイ、カンボジア、インドネシア、ラオス、マレーシア、ミャンマー、フィリピン、シンガポール、タイ、ベトナムの10か国


 

(1)情報共有体制及びサイバーインシデント発生時の対処体制の強化

(2)重要インフラ防護に関する取り組みの推進

(3)能力構築及び意識啓発における協力の推進

(4)産官学連携の推進

が議論されたようですね。。。

篠田先生が基調講演しているようですね。。。

 

Nisc_20211018004601

 

 

| | Comments (0)

米国 意見募集 連邦商務省 民間人の監視など悪質なサイバー活動に使用される品目の輸出規制を強化

こんにちは、丸山満彦です。

米国 連邦商務省は、ワッセナーアレンジメントに沿った民間人の監視など悪質なサイバー活動に使用される品目の輸出規制を強化する暫定最終規則を公表していますね。。。

U.S. Department of Commerce

・2021.10.21 Commerce Tightens Export Controls on Items Used in Surveillance of Private Citizens and other Malicious Cyber Activities

ライセンス例外認定サイバーセキュリティ輸出(License Exception Authorized Cybersecurity Exports:ACE)が新たに創設されるようですね。。。

 

Commerce Tightens Export Controls on Items Used in Surveillance of Private Citizens and other Malicious Cyber Activities 商務省、民間人の監視やその他の悪意あるサイバー活動に使用される品目の輸出規制を強化
The Commerce Department’s Bureau of Industry and Security (BIS) has released an interim final rule, establishing controls on the export, reexport, or transfer (in-country) of certain items that can be used for malicious cyber activities.  The rule also creates a new License Exception Authorized Cybersecurity Exports (ACE) and requests public comments on the projected impact of the proposed controls on U.S. industry and the cybersecurity community.  商務省産業安全保障局(BIS)は、暫定最終規則を発表し、悪意のあるサイバー活動に使用される可能性のある特定の品目の輸出、再輸出、または(国内での)転送に対する規制を確立しました。 本規則では、新たに「ライセンス例外認定サイバーセキュリティ輸出(ACE)」を創設し、提案されている規制が米国の産業およびサイバーセキュリティコミュニティに与える影響を予測してパブリックコメントを求めています。
License Exception ACE would allow the export, reexport and transfer (in-country) of ‘cybersecurity items’ to most destinations, while retaining a license requirement for exports to countries of national security or weapons of mass destruction concern.  In addition, countries subject to a U.S. arms embargo will require a license. ライセンス例外ACEは、国家安全保障上または大量破壊兵器上の懸念がある国への輸出についてはライセンス要件を維持しつつ、ほとんどの目的地への「サイバーセキュリティ品目」の輸出、再輸出、および(国内での)移転を可能にします。 また、米国の武器禁輸措置を受けている国にはライセンスが必要となります。
While allowing certain exclusions, restricted end users targeted by this interim final rule would include a ‘government end user,’ as defined in § 740.22 of the EAR, of countries of concern for national security reasons or those subject to an arms embargo. Furthermore, the License Exception ACE would impose an end-use restriction in circumstances where the exporter, re-exporter, or transferor knows or has reason to know at the time of export, reexport, or transfer (in-country), including a deemed export or reexport, that the ‘cybersecurity item’ will be used to affect the confidentiality, integrity or availability of information or information systems, without authorization by the owner, operator or administrator of the information system (including the information and processes within such systems). この暫定最終規則の対象となる制限付きエンドユーザーには、国家安全保障上の懸念国または武器禁輸対象国のEAR第740.22条に定義されている「政府のエンドユーザー」が含まれています。さらに、ライセンス例外ACEは、輸出者、再輸出者、譲渡者が、みなし輸出・再輸出を含む輸出・再輸出・譲渡(国内)の時点で、情報システム(当該システム内の情報やプロセスを含む)の所有者、運営者、管理者の許可なく、情報や情報システムの機密性、完全性、可用性に影響を与えるために「サイバーセキュリティ・アイテム」が使用されることを知っているか、知る理由がある場合には、最終用途の制限を課すことになります。
The United States Government opposes the misuse of technology to abuse human rights or conduct other malicious cyber activities, and these new rules will help ensure that U.S. companies are not fueling authoritarian practices. U.S. exporters are likewise encouraged to consult the State Department’s Guidance on Implementing the “Guiding Principles” for Transactions Linked to Foreign Government End Users for Products or Services with Surveillance Capabilities to minimize the risk that their products or services are misused by governments to violate or abuse human rights. 米国政府は、技術を悪用して人権を侵害したり、その他の悪意のあるサイバー活動を行うことに反対しており、今回の新規則は、米国企業が権威主義的な行為を助長しないようにするために役立ちます。また、米国の輸出業者は、自社の製品やサービスが政府によって人権侵害や虐待に悪用されるリスクを最小限に抑えるために、監視機能を有する製品・サービスの外国政府のエンドユーザーとの連携取引に関する「指導原則」の実施に関するガイダンスを参考にすることが推奨されます。
Today’s rule is consistent with the result of BIS’s negotiations in the Wassenaar Arrangement (WA) multilateral export control regime and with a review of comments from Congress, the private sector, academia, civil society, and other stakeholders on previously proposed BIS rulemaking in this area. Comments to the rule must be received in no later than 45 days from today, and the rule will become effective 90 days from today. 本日の規則は、ワッセナー・アレンジメント(WA)多国間輸出管理体制におけるBISの交渉結果と一致しており、また、この分野で以前提案されたBISの規則制定に対する米国議会、民間企業、学界、市民社会、その他の利害関係者からのコメントを検討したものである。本規則に対するコメントは、本日から45日以内に提出する必要があり、本規則は本日から90日後に発効します。
U.S. Secretary of Commerce Gina M. Raimondo released the following statement: “The United States is committed to working with our multilateral partners to deter the spread of certain technologies that can be used for malicious activities that threaten cybersecurity and human rights. The Commerce Department’s interim final rule imposing export controls on certain cybersecurity items is an appropriately tailored approach that protects America’s national security against malicious cyber actors while ensuring legitimate cybersecurity activities.” 米国商務省のジーナ・M・ライモンド長官は以下の声明を発表しました。「米国は、多国間パートナーと協力して、サイバーセキュリティと人権を脅かす悪意のある活動に利用される可能性のある特定の技術の拡散を抑止することに尽力しています。特定のサイバーセキュリティ品目に輸出規制を課す商務省の暫定最終規則は、正当なサイバーセキュリティ活動を確保しつつ、悪意あるサイバーアクターから米国の国家安全保障を守る、適切に調整されたアプローチである」と述べています。
For more information, visit www.bis.doc.gov. 詳細については、www.bis.doc.gov

 

● Federal Register

・2021.10.21 Information Security Controls: Cybersecurity Items



報道等

FENWICK

・2021.10.21 Being a White-Hat Hacker Just Got Tougher: U.S Commerce Department Issues New Cybersecurity Export Controls on Intrusion and Surveillance Tools

ZDNet

・2021.10.22 US rolls out new rules governing export of hacking and cyberdefense tools

According to the Washington Post, the new rules are meant to target companies selling to Russia and China.

● LEXOLOGY

・2021.10.21 Cybersecurity Community Beware: US Finally Enacts “Intrusion Software” Rule

BleepingComputer

・2021.10.20 US govt to ban export of hacking tools to authoritarian regimes

(台湾)

IThome

・2021.10.21 美國商務部祭出新規,不准將駭客工具出口至特定國家

美國商務部公布《授權網路安全出口》(ACE)許可例外,要求當地企業出口網路安全項目至中國、俄羅斯、伊朗、北韓等特定國家時,必須先行申報取得許可,這項許可例外預計明年開始實施

 

 

 

 

 

Fig1_20210910064001

| | Comments (0)

2021.10.22

MITRE ATT&CKのVer 10.0がリリースされましたね。。。

こんにちは、丸山満彦です。

MITRE ATT&CKのVer 10.0がリリースされましたね。。。

主な変更点はブログを見ればわかりやすいと思います。。。と思いましたが、ちょっと分かりづらいです...(^^;;

MITRE ATT&CK

ATT&CK V10

・2021.10.22 Introducing ATT&CK v10: More Objects, Parity, and Features

 

Twitter (MITRE ATT&CK) でも告知されています...

2021.10.22 

 

 

V9.0への更新は2021.04.29だったので、半年後のバージョンアップですね。。。

 


まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.20 MITRE AIの5つの失敗例とそこから学ぶべきこと

・2021.06.24 MITRE ATLASでAIの脅威から守る

・2021.06.24 米国CISA MITRE ATT&CK®をサイバー脅威インテリジェンスに活用するためのガイダンス at 2021.06.02

・2021.04.30 MITRE ATT&CKのVer 9.0がリリースされましたね。。。

・2021.02.28 MITRE "Intelligence After Next"

・2020.11.18 MITRE : INTELLIGENCE AFTER NEXT: THE FUTURE OF THE IC WORKPLACE (自宅でインテリジェンス?)

・2020.10.28 MITRE ATT&CKのVer 8.0がリリースされましたね。。。

・2020.10.24 敵対的機械学習に対する脅威マトリックス (Adversarial ML Threat Matrix)

・2020.08.27 MITRE Shield vs MITRE ATT&CK

・2020.07.08 MITRE ATT&CKのVer 7.0がリリースされましたね。。。

| | Comments (0)

CISA Alert (AA21-291A) BlackMatter Ransomware 食料、農業分野を狙っている?

こんにちは、丸山満彦です。

CISAが米国の食料、農業分野が、BlackMatterランサムウェアの標的になっているとの勧告をだしていますね。。。

BlackMatterについては、

Technical Details 技術的な詳細
Overview 概要
First seen in July 2021, BlackMatter is ransomware-as-a-service (Raas) tool that allows  the ransomware's developers to profit from cybercriminal affiliates (i.e., BlackMatter actors) who deploy it against victims. BlackMatter is a possible rebrand of DarkSide, a RaaS which was active from September 2020 through May 2021. BlackMatter actors have attacked numerous U.S.-based organizations and have demanded ransom payments ranging from $80,000 to $15,000,000 in Bitcoin and Monero. 2021年7月に初めて登場したBlackMatterは、ランサムウェアの開発者が、被害者に対してランサムウェアを展開するサイバー犯罪者の関連会社(BlackMatterアクター)から利益を得ることができるRaaS(ランサムウェア・アズ・ア・サービス)ツールです。BlackMatterは、2020年9月から2021年5月まで活動していたRaaSである「DarkSide」のリブランドの可能性があります。BlackMatterアクターは、米国を拠点とする数多くの組織を攻撃し、ビットコインやモネロで8万ドルから1,500万ドルの身代金の支払いを要求しています。

ということで、金銭目的の犯罪者が利用している監事なんでしょうかね。。。

ランサムウェアというツールは、金銭目的の犯罪者が脅迫ツールとして使う場合もあれば、社会混乱目的でシステムの破壊ツールとして使う場合もあるでしょうね。。。

Logo_verbose

CISA - Alert

・2021.10.18 Alert (AA21-291A) BlackMatter Ransomware

 

Summary 概要
Actions You Can Take Now to Protect Against BlackMatter Ransomware BlackMatterランサムウェアからの保護のために今すぐできる行動
• Implement and enforce backup and restoration policies and procedures. ・バックアップ・復元のポリシーと手順の導入と実施
• Use strong, unique passwords. ・強力で固有のパスワードの使用
• Use multi-factor authentication. ・多要素認証の使用
• Implement network segmentation and traversal monitoring. ・ネットワークのセグメンテーションとトラバーサルモニタリング(セグメントを超えた活動の監視)の実施
Note: this advisory uses the MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®) framework, version 9. See the ATT&CK for Enterprise for all referenced threat actor tactics and techniques. 注:本アドバイザリは、MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®) framework, version 9を使用しています。参照されているすべての脅威行為者の戦術と技術については、ATT&CK for Enterpriseを参照してください。
This joint Cybersecurity Advisory was developed by the Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), and the National Security Agency (NSA) to provide information on BlackMatter ransomware. Since July 2021, BlackMatter ransomware has targeted multiple U.S. critical infrastructure entities, including two U.S. Food and Agriculture Sector organizations. この共同サイバーセキュリティアドバイザリは、ランサムウェア「BlackMatter」に関する情報を提供するために、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、米連邦捜査局(FBI)、米国家安全保障局(NSA)が作成したものです。2021年7月以降、BlackMatterランサムウェアは、米国食糧農業部門の2組織を含む複数の米国重要インフラ組織を標的としています。
This advisory provides information on cyber actor tactics, techniques, and procedures (TTPs) obtained from a sample of BlackMatter ransomware analyzed in a sandbox environment as well from trusted third-party reporting. Using embedded, previously compromised credentials, BlackMatter leverages the Lightweight Directory Access Protocol (LDAP) and Server Message Block (SMB) protocol to access the Active Directory (AD) to discover all hosts on the network. BlackMatter then remotely encrypts the hosts and shared drives as they are found. 本勧告では、サンドボックス環境で分析したBlackMatterランサムウェアのサンプルや、信頼できる第三者の報告書から得られた、サイバーアクターの戦術、技術、手順(TTP)に関する情報を提供します。BlackMatterは、埋め込まれた認証情報を利用して、LDAP(Lightweight Directory Access Protocol)およびSMB(Server Message Block)プロトコルを利用してActive Directory(AD)にアクセスし、ネットワーク上のすべてのホストを検出します。その後、BlackMatterは、発見されたホストや共有ドライブをリモートで暗号化します。
Ransomware attacks against critical infrastructure entities could directly affect consumer access to critical infrastructure services; therefore, CISA, the FBI, and NSA urge all organizations, including critical infrastructure organizations, to implement the recommendations listed in the Mitigations section of this joint advisory. These mitigations will help organizations reduce the risk of compromise from BlackMatter ransomware attacks. 重要インフラ事業体に対するランサムウェアの攻撃は、消費者の重要インフラサービスへのアクセスに直接影響を与える可能性があります。そのため、CISA、FBI、NSAは、重要インフラ事業体を含むすべての組織に対し、この共同アドバイザリの「緩和策」のセクションに記載されている推奨事項を実施するよう求めています。CISA、FBI、NSAは、重要インフラ組織を含むすべての組織に対し、この共同勧告の「緩和策」に記載されている推奨事項を実施するよう求めています。

 

 

| | Comments (0)

金融安定理事会 (FSB) 「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ」

こんにちは、丸山満彦です。

G20カ国等が参加する金融機関の団体である、金融安定理事会 (Financial Stability Board: FSB) [wikipedia] が、「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ (Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence) 」が公表されていますね。。。

Financial Stability Board: FSB

・2021.10.19 Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence

Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ
Cyber incidents remain a threat to the financial system and are rapidly growing in frequency and sophistication. サイバーインシデントは依然として金融システムに対する脅威であり、その頻度と巧妙さは急速に高まっています。
This report explores whether greater convergence in the reporting of cyber incidents could be achieved in light of increasing financial stability concerns, especially given the digitalisation of financial services and increased use of third-party service providers. 本報告書では、金融安定性への懸念の高まり、特に金融サービスのデジタル化や第三者サービスプロバイダーの利用の増加を踏まえ、サイバーインシデントの報告の収束を図ることができるかどうかを検討しています。
Following a stocktake of existing supervisory and regulatory practices, the FSB found that fragmentation exists across sectors and jurisdictions in the scope of what should be reported for a cyber incident; methodologies to measure severity and impact of an incident; timeframes for reporting cyber incidents; and how cyber incident information is used. This subjects financial institutions that operate across borders or sectors to multiple reporting requirements for one cyber incident. At the same time, financial authorities receive heterogeneous information for a given incident, which could undermine a financial institution’s response and recovery actions. This underscores a need to address constraints in information-sharing among financial authorities and financial institutions. 金融安定理事会は、既存の監督・規制上の慣行を調査した結果、サイバーインシデントについて報告すべき範囲、インシデントの重大性や影響を測定する方法、サイバーインシデントを報告するための時間枠、サイバーインシデント情報の利用方法などについて、セクターや法域によってばらつきがあることを明らかにしました。このため、国境やセクターを越えて業務を行う金融機関は、1つのサイバーインシデントに対して複数の報告義務を負うことになります。同時に、金融当局は、特定のインシデントについて異種の情報を受け取ることになり、金融機関の対応や復旧の行動が損なわれる可能性があります。このことは、金融当局と金融機関の間の情報共有における制約に対処する必要があることを強調しています。
Recognising that information on cyber incidents is crucial for effective actions and promoting financial stability, the FSB has identified three ways that it will take work forward to achieve greater convergence in cyber incident reporting: 金融安定理事会は、サイバーインシデントに関する情報が、効果的な対応や金融安定性の促進のために極めて重要であることを認識し、サイバーインシデント報告の収斂を高めるために、以下の3つの方法を実施します。
・Develop best practices. Identify a minimum set of types of information authorities may require related to cyber incidents to fulfil a common objective (e.g. financial stability, risk assessment, risk monitoring) that authorities could consider when developing their cyber incident reporting regime. ・ベストプラクティスの開発:当局がサイバーインシデント報告体制を構築する際に考慮すべき、共通の目的(例:金融安定性、リスク評価、リスクモニタリング)を果たすために当局が必要とする最小限の情報の種類を特定する。
・Identify common types of information to be shared, understand any legal and operational impediments to sharing such information, and continue efforts to reduce such barriers. ・共有すべき共通の情報を特定し、そのような情報を共有するための法的および運用上の障害を理解し、そのような障害を軽減するための努力を継続する。
・Create common terminologies for cyber incident reporting, in particular a common definition for ‘cyber incident’. ・サイバーインシデント報告のための共通の用語、特に「サイバーインシデント」の共通の定義を作成する。
The report notes that greater harmonisation of regulatory reporting of cyber incidents would promote financial stability by: 報告書では、サイバーインシデントに関する規制上の報告の調和を図ることで、以下のように金融の安定を促進するとしています。
i. building a common understanding, and the monitoring, of cyber incidents affecting financial institutions and the financial system; i. 金融機関や金融システムに影響を与えるサイバーインシデントについての共通理解を深め、その監視を行う。
ii. supporting effective supervision of cyber risks at financial institutions; and ii. 金融機関のサイバー・リスクに対する効果的な監督を支援する。
iii. facilitating the coordination and sharing of information amongst authorities across sectors and jurisdictions. iii. セクターや国・地域を超えた当局間の情報の調整と共有を促進する。
By end-2021, the FSB will develop a detailed plan for taking this work forward. 金融安定理事会は、2021年末までに、この作業を進めるための詳細な計画を策定する。

 

・[PDF] Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence

 

20211022-00239

Executive summary  要約 
Cyber incidents remain a threat to the financial system and are rapidly growing in frequency and sophistication. In light of increasing financial stability concerns, especially given the digitalisation of financial services and increased use of third-party service providers, the Financial Stability Board (FSB) explored whether harmonisation in cyber incident reporting could be achieved.  サイバーインシデントは依然として金融システムに対する脅威であり、その頻度と巧妙さは急速に増している。特に金融サービスのデジタル化や第三者サービスプロバイダーの利用が増加していることから、金融安定理事会(FSB)は、サイバーインシデント報告の調和を図ることができないかを検討しました。
The FSB found that fragmentation exists across sectors and jurisdictions in the scope of what should be reported for a cyber incident; methodologies to measure severity and impact of an incident; timeframes for reporting cyber incidents; and how cyber incident information is used. This subjects financial institutions that operate across borders or sectors to multiple reporting requirements for one cyber incident. At the same time, financial authorities receive heterogeneous information for a given incident, which could undermine a financial institution’s response and recovery actions. This underscores a need to address constraints in informationsharing among financial authorities and financial institutions.  FSBは、サイバーインシデントについて報告すべき範囲、インシデントの重大性と影響を測定する方法、サイバーインシデントを報告するための時間枠、サイバーインシデント情報の利用方法などが、セクターや管轄区域によって分断されていることを明らかにしました。このため、国境やセクターを越えて業務を行う金融機関は、1つのサイバーインシデントに対して複数の報告義務を負うことになります。同時に、金融当局は、あるインシデントについて異種の情報を受け取ることになり、金融機関の対応や復旧の行動が損なわれる可能性があります。このことは、金融当局と金融機関の間の情報共有における制約に対処する必要があることを強調しています。
Recognising that information on cyber incidents is crucial for effective actions and promoting financial stability, the FSB identified three ways that it will take work forward to achieve greater convergence in cyber incident reporting:  FSBは、サイバーインシデントに関する情報が、効果的な対応や金融安定性の促進のために極めて重要であることを認識し、サイバーインシデント報告の収束を図るための3つの方法を特定しました。
■  Develop best practices. Identify a minimum set of types of information authorities may require related to cyber incidents to fulfil a common objective (e.g. financial stability, risk assessment, risk monitoring) that authorities could consider when developing their cyber incident reporting regime. This set of information would also help authorities in determining reporting thresholds, timeframes for reporting and notification, while recognising that a one-size-fits-all approach may neither be appropriate nor possible.   ■ ベストプラクティスを開発する。共通の目的(例:金融安定性、リスク評価、リスクモニタリング)を達成するために、当局がサイバーインシデントに関連して必要とする最小限の情報を特定し、当局がサイバーインシデント報告体制を構築する際に検討する。この一連の情報は、当局が報告のしきい値や報告・通知の期間を決定する際にも役立つだろうが、一方で、画一的なアプローチは適切でも可能でもないかもしれないことを認識しておく必要がある。 
■  Identify common types of information to be shared. Identify key information items that should be shared across sectors and jurisdictions, and to understand any legal and operational impediments to sharing such information. This would facilitate more information-sharing and help authorities obtain a better understanding of impacts of a cyber incident across sectors and jurisdictions. As a multilateral solution to informationsharing problems would be challenging, it would be essential for FSB member jurisdictions to continue bilateral and regional efforts to reduce legal and operational barriers to information sharing.  ■ 共有すべき一般的な情報の種類を特定すること。セクターや法域を超えて共有されるべき主要な情報項目を特定し、そのような情報を共有する上での法的・運用上の障害を理解する。これにより、より多くの情報共有が促進され、当局がセクターや法域を超えてサイバーインシデントの影響をよりよく理解することができます。情報共有の問題を多国間で解決することは困難であるため、FSBメンバー国は、情報共有に対する法的・運用上の障害を軽減するための二国間・地域間の努力を継続することが不可欠である。
■  Create common terminologies for cyber incident reporting. Harmonised cyber incident reporting schemes necessitate a ‘common language’. In particular, a common definition for ‘cyber incident’ is needed that avoids the reporting of incidents that are not significant for a financial institution or financial stability.   ■ サイバーインシデント報告のための共通用語の作成。調和のとれたサイバー・インシデント報告制度には、「共通の言語」が必要である。特に、金融機関や金融の安定性にとって重要ではないインシデントの報告を避けるために、「サイバーインシデント」の共通の定義が必要である。 
Greater harmonisation of regulatory reporting of cyber incidents would promote financial stability by: (i) building a common understanding, and the monitoring, of cyber incidents affecting financial institutions and the financial system, (ii) supporting effective supervision of cyber risks at financial institutions; and (iii) facilitating the coordination and sharing of information amongst authorities across sectors and jurisdictions.   サイバー・インシデントの規制当局による報告の調和が進めば、以下のようにして金融安定性を促進することができる。(i)金融機関や金融システムに影響を与えるサイバーインシデントについての共通理解と監視を構築すること、(ii)金融機関のサイバーリスクに対する効果的な監督を支援すること、(iii)セクターや法域を超えた当局間の情報の調整と共有を促進すること。 
The FSB will develop detailed timelines and modalities for taking this work forward by the end of 2021. FSBは2021年末までに、この作業を進めるための詳細なタイムラインと方法を策定する。

 

・[DOCX] 仮訳

 

 

 

| | Comments (0)

中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

こんにちは、丸山満彦です。

「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」の標準案が情報セキュリティ標準化技術委員会(全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) )、いわゆるTC260から公開され、意見募集されていますね。。。

 

全国信息安全标准化技术委员会 

2021.10.19 关于征求《信息安全技术 汽车采集数据的安全要求》国家标准(征求意见稿)意见的通知 国家標準「情報セキュリティ技術 自動車収集データに関するセキュリティ要件」に関する意見募集
  [PDF]信息安全技术 汽车采集数据的安全要求
情報セキュリティ技術 自動車収集データに関するセキュリティ要件

 

20211021-194945

 

 

信息安全技术 汽车采集数据的安全要求  情報セキュリティ技術 自動車収集データに関するセキュリティ要件 
1 范围  1 適用範囲
本文件规定了对汽车采集数据进行传输、存储和出境等处理活动的安全要求。  この標準は、自動車から収集したデータの送信、保存、出口などの処理活動に関するセキュリティ要件を規定している。
本文件适用于汽车制造商开展汽车的设计、生产、销售、使用、运维,也适用于主管监管部门、第三方评估机构等对汽车采集数据处理活动进行监督、管理和评估。不适用于警车、消防车、救护车、工程救险车等执行紧急任务时的汽车采集数据,以及装置有专用设备或器具的作业车辆在封闭场所内从事作业活动时的汽车采集数据。  この標準は、車両の設計、製造、販売、使用、運用、保守を行う自動車製造業、および車両収集データ処理活動の監督、管理、評価を行う所轄の規制当局、第三者評価機関などに適用される。 なお、警察車両、消防車、救急車、人命救助車などが緊急作業を行っている場合や、特殊な機器・装置を搭載した業務用車両が密閉された場所で業務を行っている場合は、車両によるデータ収集には適用されない。
2 规范性引用文件  2 引用標準 
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。  以下の文書の内容は、本文中の規範的な参照によって、この文書の本質的な条項を構成している。 参考文献に日付が記載されている場合は、その日付に対応するバージョンのみが本書に適用される。参考文献に日付が記載されていない場合は、最新バージョン(すべての修正シートを含む)が本書に適用される。
GB   7258   机动车运行安全技术条件  GB 7258 自動車の運転に関する技術的条件 
GB/T 25069  信息安全技术  术语  GB/T 25069 情報セキュリティ技術用語集 
GB/T 35273  信息安全技术  个人信息安全规范  GB/T 35273 情報セキュリティ技術 個人情報セキュリティの仕様 
3 术语和定义  3 用語及び定義 
GB 7258、GB/T 25069、GB/T 35273界定的以及下列术语和定义适用于本文件。  GB 7258、GB/T 25069、GB/T 35273 で定義されている用語、および以下の用語と定義がこの文書に適用される。
 3.1 汽车 vehicle  3.1 自動車 vehicle 
由动力驱动、用于载运人员货物的非轨道承载的车辆。  動力で駆動し、人や物を運ぶために使用される非鉄道車両。
3.2 汽车采集数据 vehicle collected data  3.2 自動車収集データ  vehicle collected data 
通过汽车传感设备、控制单元采集的数据,以及对其进行加工后产生的数据。  車両のセンシングデバイスやコントロールユニットによって収集されたデータ、およびそれらを処理して生成されたデータ。
注:不包含通过网络或物理接口获取的其他系统或设备的数据。  注:ネットワークや物理的なインターフェースを介して取得した他のシステムや機器からのデータは含まれない。
3.3 远程信息服务平台 telematics service platform 3.3 テレマティクス・プラットフォーム telematics service platform
用于车辆管理或者提供信息服务的远程系统。  車両管理や情報サービスを提供するための遠隔システム
4 汽车采集数据内容  4 自動車収集データの内容 
汽车采集数据主要包括:  自動車収集データには、主に 
a) 车外数据:通过摄像头、雷达等传感器从汽车外部环境采集的道路、建筑、地形、交通参与者等数据,以及对其进行加工后产生的数据;  a) 車外のデータ:カメラやレーダなどのセンサーによって車外環境から収集した道路、建物、地形、交通参加者などのデータと、それらを処理して生成したデータ。
注1:交通参与者是指参与交通活动的人,包括机动车、非机动车、其他交通工具的驾驶员与乘员,以及其他参与交通活动相关的人员。  注1:交通参加者とは、自動車、非自動車、その他の車両の運転者や乗員など、交通に関わる活動に従事する人たち。
注2:车外数据可能包含人脸、车牌等个人信息以及车辆流量、物流等法律法规标准所规定的重要数据。  注2:車外データには、顔やナンバープレートなどの個人情報のほか、車両の流れや物流など、法規制で定められた重要なデータが含まれることがある。
b) 座舱数据:通过摄像头、红外传感器、指纹传感器、麦克风等传感器从汽车座舱采集的数据,以及对其进行加工后产生的数据;  b) コックピットデータ:カメラ、赤外線センサー、指紋センサー、マイクなどのセンサーを用いて車両のコックピットから収集したデータと、それらを処理して生成したデータ。
注3:座舱数据可能包含驾驶员和乘员的人脸、声纹、指纹、心律等敏感个人信息。  注3:コックピットのデータには、ドライバーや乗員の顔、声紋、指紋、心拍数などの機密性の高い個人情報が含まれている可能性がある。
注4:座舱数据不包括对汽车采集数据处理产生的操控记录数据。  注4:コックピットデータには、車両から収集したデータを加工したハンドリングレコードデータは含まれない。
c) 运行数据:通过车速传感器、温度传感器、轴转速传感器、压力传感器等从动力系统、底盘系统、车身系统、舒适系统等电子电气系统采集的数据;  c) 稼働データ:パワートレイン、シャシーシステム、ボディシステム、コンフォートシステムなどの電気・電子システムから、スピードセンサー、温度センサー、アクセルスピードセンサー、圧力センサーなどを介して収集されたデータ。
注5:运行数据包含整车控制数据、运行状态数据、系统工作参数、操控记录数据等。  注5:動作データには、車両全体の制御データ、動作状態データ、システム動作パラメータ、ハンドリング記録データなどが含まれる。
d) 位置轨迹数据:基于卫星定位、通信网络等各种方式获取的汽车定位和途经路径相关的数据。  d) 位置・軌跡データ:衛星測位や通信ネットワークなどの様々な手段を用いて、車両の位置や走行経路に関するデータ。
5 传输要求  5 伝送条件 
  未经个人信息主体单独同意,汽车不应通过网络向外传输包含其个人信息的车外数据,已进行匿名化处理的视频、图像数据除外。    自動車は、匿名化された映像・画像データを除き、個人情報の主体の個別の同意を得ることなく、個人情報を含むデータをネットワークを介して外部に送信してはならない。
注1:匿名化处理包括对视频、图像中可识别个人身份的人脸、车牌等信息进行擦除等,确保无法利用视频、图像数据识别个人身份。  注1:匿名化処理とは、映像・画像データが個人を特定できないように、映像・画像から顔やナンバープレートなどの個人を特定できる情報を消去することである。
注2:通过网络向外传输是指通过移动通信网络、无线局域网、充电桩接口等方式,向位于车外的设备、系统传输。  注2:ネットワークを介した外部への送信とは、移動体通信網、無線LAN、充電ポストのインターフェースなどを介して、車外にある機器やシステムに送信することである。
  汽车不应通过网络向外传输座舱数据。    自動車は、コックピットのデータをネットワーク経由で外部に送信してはならない。
  满足以下条件的,可作为上述条款的例外情形。    以下の条件を満たす場合は、上記の規定の例外とすることができる。
a) 为实现 5.1 所述匿名化处理功能,需要通过远程信息服务平台实时执行匿名化处理操作的情形,但应确保原始数据传输到平台后不用于其他目的,并在匿名化处理后得到删除。  a) 5.1に記載された匿名化機能を実現するために、テレマティクス・プラットフォームを介してリアルタイムに匿名化処理を行う必要がある場合。ただし、元のデータがプラットフォームへの送信後に他の目的で使用されず、匿名化処理後に削除されることが条件となる。
b) 为实现语音识别等直接服务于驾驶人或乘员的功能,需要通过远程信息服务平台实时配合处理座舱数据的情形,但应征得驾驶人同意授权,且确保功能实现后即时删除原始数据及处理结果。  b) 音声認識など、運転者や乗員に直接役立つ機能を実現するために、テレマティクスプラットフォームを介した車室内データの処理にリアルタイムで協力する必要がある場合。ただし、運転者の同意を得て、元のデータおよび処理結果を機能の実現後直ちに削除することが条件となる。
c) 为实现用户远程监控车内外情况、使用云盘存储用户数据等直接服务于用户的功能,需要通过网络向用户终端设备传输数据或使用远程信息服务平台存储数据的情形,但应在传输以及存储时采取加密等措施,确保用户数据只能由用户终端设备访问,在其他设备以及远程信息服务平台上无法访问。  c) 車内外の遠隔監視やクラウドドライブへのユーザデータの保存など、ユーザに直接役立つ機能を実現するために、ネットワークを介してユーザのデータをユーザーの端末機器に送信したり、テレマティクスプラットフォームに保存したりする場合。ただし、送信や保存の際に暗号化などの措置を講じ、ユーザーデータがユーザーの端末機器からのみアクセスでき、他の機器やテレマティクスプラットフォームからはアクセスできないようにすることが条件となる。 このデータは、他の機器やテレマティクス・プラットフォームからはアクセスできない。
d) 道路运输车辆、运营车辆依据相关行政管理要求向外传输座舱数据的情形。  d) 関連する行政上の要求に基づき、道路交通車両および業務用車両からのコックピットデータの送信。
e) 道路交通事故发生后按执法部门要求向外传输数据的情形。  e) 交通事故が発生した後、法執行機関からデータの送信を求められた場合。
6 存储要求  6 ストレージ要件 
  车外数据、位置轨迹数据在远程信息服务平台等车外位置中保存时间均不应超过14天。    車外のデータおよび位置情報の追跡データは、テレマティクス・プラットフォームなどの車外の場所に14日以上保存してはならない。
  满足以下条件的数据,可作为上述条款的例外。    以下の条件を満たすデータについては、上記の例外が適用される場合がある。
a) 为优化行驶安全功能而存储的特定场景数据,但每车每天不应超过3个连续时间的数据片段,每个片段不应超过2分钟。  a) 運転安全機能を最適化する目的で保存されるシナリオ固有のデータ。ただし、1台の車両につき1日に保存される連続したデータクリップは3つ以下で、1つのデータクリップは2分を超えないものとする。
b) 符合5.3 c)要求,用户传输到远程信息服务平台的数据。  b) 5.3 c)の要件に従い、ユーザがテレマティクス・プラットフォームに転送したデータ。
c) 由采集训练数据的专用采集车辆或在特定区域行驶的专用测试车辆采集的数据,但车辆外部应有“测试车辆”或“数据采集车辆”及所属单位的显著标识,且驾驶人员为具备授权的特定人员。  c) トレーニングデータを収集する専用の収集車両、または特定のエリアを走行する専用のテスト車両によって収集されたデータ。ただし、車両の外側に「テスト車両」または「データ収集車両」であること、およびその車両が属するユニットが目立つように表示されていること、および運転者が認可された人物であることが条件となる。 ドライバーは権限を持った特定の人である。
d) 新能源汽车、道路运输车辆、网络预约出租汽车依据相关行政管理要求进行存储的数据。  d) 新エネルギー車、道路運送車両、ネットワーク予約用ハイヤーによって保存されたデータで、関連する行政上の要件に従ったもの。
e) 用于生产经营的汽车产生的,生产经营者可控的位置轨迹数据。  e) 生産および操作に使用される車両によって生成されるデータで、その位置と軌道は生産オペレーターの管理下にあるもの。
7 数据出境要求  7 データ越境要件 
  车外数据、座舱数据、位置轨迹数据不应出境;运行数据如需出境,应当通过国家网信部门组织开展的数据出境安全评估。    車外のデータ、車内のデータ、位置追跡データは越境してはならない。業務データを越境する必要がある場合は、国家ネットワーク情報部門が実施するデータ越境セキュリティ評価に合格しなければならない。
  汽车制造商应为主管监管部门开展数据出境情况的抽查工作提供技术手段,包括传输的数据格式、便于读取的数据展示方式等。    自動車製造者は、所轄の監督官庁が、送信するデータの形式や読みやすいデータ表示など、データの越境に関するランダムなチェックを行うための技術的手段を提供しなければならない。
8 其他要求  8 その他の要件 
  汽车制造商应对整车的数据安全负责,全面掌握其生产的整车所含各零部件采集、传输数据情况,对零部件供应商处理汽车采集数据的行为进行约束和监督,并将汽车采集数据向外传输的完整情况对用户披露。    自動車製造者は、車両全体のデータセキュリティに責任を持ち、自らが製造する車両全体に含まれる各部品が収集・送信するデータを完全に把握し、車両が収集したデータの取り扱いに関する部品供給者の行動を規律・監督し、車両が収集したデータの送信状況を完全にユーザーに開示しなければならない。
  为执行相关行政管理要求采集的数据应仅用于行政管理要求明确规定的目的。    関連する行政上の要求事項の実施のために収集されたデータは、行政上の要求事項で指定された目的のためにのみ使用されるものとする。 

 

 

| | Comments (0)

2021.10.21

欧州データ保護委員会 (EDPB) GDPR第23条に基づくデータ主体の権利の制限に関するガイドラインを採択

こんにちは、丸山満彦です。

欧州データ保護委員会 (EDPB)が、GDPR第23条に基づくデータ主体の権利の制限に関するガイドラインを採択していますね。。。

日本でも参考になるかもですね。。。

 

European Data Protection Board: EDPB

・2021.10.19 EDPB adopts Guidelines on restrictions of data subject rights under Article 23 GDPR following public consultation

EDPB adopts Guidelines on restrictions of data subject rights under Article 23 GDPR following public consultation EDPB、GDPR第23条に基づくデータ主体の権利の制限に関するガイドラインを公開協議を経て採択
During its October plenary, the EDPB adopted a final version of the Guidelines on restrictions of data subject rights under Art. 23 GDPR following public consultation. The guidelines aim to recall the conditions surrounding the use of such restrictions by Member States or the EU legislator in light of the Charter of Fundamental Rights and the GDPR. They provide a thorough analysis of the criteria to apply restrictions, the assessments that need to be observed, how data subjects can exercise their rights after the restrictions are lifted, and the consequences of infringements of Art. 23 GDPR. Additionally, the guidelines analyse how the legislative measures setting out the restrictions need to meet the foreseeability requirement and examine the grounds for the restrictions listed by Art. 23(1) GDPR, and the obligations and rights which may be restricted. EDPBは、10月の本会議において、GDPR第23条に基づくデータ主体の権利の制限に関するガイドラインの最終版を、公開協議の後に採択しました。このガイドラインは、基本権憲章およびGDPRに照らして、加盟国またはEUの立法者がこのような制限を使用する際の条件を想起することを目的としています。このガイドラインは、制限を適用するための基準、遵守すべき評価、制限解除後にデータ主体が権利を行使する方法、GDPR第23条を侵害した場合の結果などを徹底的に分析しています。GDPR第23条 さらに、このガイドラインでは、制限を定めた立法措置がどのように予見可能性の要件を満たす必要があるかを分析し、GDPR第23条(1)で挙げられている制限の理由を検討しています。また、GDPR第23条(1)で挙げられている制限の根拠や、制限される可能性のある義務や権利についても検討しています。

 

・[PDF

20211020-174933

 

目次です。。。。

1 Introduction  1 序論
2 The meaning of restrictions  2 制限の意味
3  Requirements of Article 23(1) GDPR 3 GDPR第23条(1)の要件
3.1  Respect of the essence of the fundamental rights and freedoms 3.1 基本的権利及び自由の本質の尊重
3.2  Legislative measures laying down restrictions and the need to be foreseeable (Recital 41 and CJEU case law)  3.2 制限を定めた立法措置と予見可能であることの必要性(説明文41及びCJEU判例)
3.3  Grounds for the restrictions 3.3 制限の根拠
3.3.1  National security, defence and public security 3.3.1 国家安全保障、防衛、公共の安全
3.3.2  Prevention, investigation, detection and prosecution of criminal offences or the execution of criminal penalties including the safeguarding against and the prevention of threats to public security 3.3.2 公共の安全への脅威に対する保護と予防を含む、刑事犯罪の予防、捜査、発見、起訴または刑事罰の執行
3.3.3  Other important objectives of general public interest 3.3.3 一般的な公共の利益のためのその他の重要な目的
3.3.4  Protection of judicial independence and judicial proceedings 3.3.4 司法の独立性および司法手続きの保護 
3.3.5  Prevention, investigation, detection and prosecution of breaches of ethics for regulated professions 3.3.5 規制対象となる職業の倫理違反の予防、調査、検知、起訴
3.3.6  Monitoring, inspection or regulatory function connected to the exercise of official authority in the cases referred to in points (a) to (e) and (g) of Article 23 GDPR 3.3.6 GDPR第23条の(a)~(e)及び(g)に言及されている場合の公権力の行使に関連する監視、検査又は規制機能
3.3.7  Protection of the data subject or the rights and freedoms of others 3.3.7 データ対象者または他者の権利および自由の保護
3.3.8  Enforcement of civil law claims 3.3.8 市民法上の請求権の行使
3.4  Data subjects’ rights and controller’s obligations which may be restricted 3.4 制限される可能性のあるデータ対象者の権利及び管理者の義務
3.5  Necessity and proportionality test 3.5 必要性及び比例性テスト
4  Requirements of Article 23(2) GDPR 4 GDPR第23条(2)項の要件
4.1  Categories of personal data 4.1 個人データのカテゴリー
4.2  Scope of the restrictions 4.2 制限の範囲
4.3  Safeguards to prevent abuse or unlawful access or transfer 4.3 濫用または違法なアクセスもしくは移転を防止するためのセーフガード
4.4  Specification of the controller 4.4 管理者の指定
4.5  Storage periods 4.5 保存期間
4.6  Risks to data subjects’ rights and freedoms 4.6 データ対象者の権利及び自由に対するリスク
4.7  Right to be informed about the restriction, unless prejudicial to the purpose of the  restriction 4.7 制限の目的に不利益を与えない限り、制限について知らされる権利
5 Consultation with the SAS (Articles 36(4) and 57(1)(c) GDPR)  5 SASとの協議(GDPR第36条(4)および第57条(1)(c))
6 Non - observation of article 23 GDPR requirements by a Member State 6 加盟国によるGDPR第23条の要求の非遵守
7  Specific elements for controllers and processors 7 管理者および処理者のための具体的な要素
7.1 Accountability Principle 7.1 説明責任の原則
7.2 Exercise of data subject’s rights after the lifting of the restriction 7.2 制限解除後のデータ対象者の権利の行使
7.3 Non-observation of a legislative measure imposing such restrictions by a controller 7.3 管理者による当該制限を課す立法措置の不遵守
8  Conclusions 8 結論
9  Annex: Check-lists - Article 23 GDPR in a nutshell 9 附属書:チェックリスト-GDPR第23条の概要
9.1  Requirements under Article 23(1) GDPR 9.1 GDPR第23条(1)に基づく要求事項
9.2  Requirements under Article 23(2) GDPR 9.2 GDPR第23条(2)に基づく要件

 

全文の仮対訳...

↓↓↓

 

 

» Continue reading

| | Comments (0)

2021.10.20

米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

こんにちは、丸山満彦です。

湯淺先生のFacebookで知ったのですが、米国司法省が国家暗号通貨執行チームの設立を発表していましたね。。。。

米国司法省がコロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収したことを公表していましたが、こういう背景があったということだと思いました。

 U.S.  Department of Justice Office of Public Affairs - News

・2021.10.06 Deputy Attorney General Lisa O. Monaco Announces National Cryptocurrency Enforcement Team

 

Deputy Attorney General Lisa O. Monaco Announces National Cryptocurrency Enforcement Team リサ・O・モナコ司法副長官が国家暗号通貨執行チームを発表
Deputy Attorney General Lisa O. Monaco announced today the creation of a National Cryptocurrency Enforcement Team (NCET), to tackle complex investigations and prosecutions of criminal misuses of cryptocurrency, particularly crimes committed by virtual currency exchanges, mixing and tumbling services, and money laundering infrastructure actors. Under the supervision of Assistant Attorney General Kenneth A. Polite Jr., the NCET will combine s the expertise of the Department of Justice Criminal Division’s Money Laundering and Asset Recovery Section (MLARS), Computer Crime and Intellectual Property Section (CCIPS) and other sections in the division, with experts detailed from U.S. Attorneys’ Offices. The team will also assist in tracing and recovery of assets lost to fraud and extortion, including cryptocurrency payments to ransomware groups. 司法省のリサ・O・モナコ司法副長官は、仮想通貨取引所、ミキシング・タンブリングサービス、マネーロンダリング・インフラ業者による犯罪を中心とした、暗号通貨の悪用に関する複雑な捜査や起訴に取り組むため、国家暗号通貨執行チーム(NCET)を設立することを発表しました。NCETは、ケネス・A・ポライト・ジュニア司法次官補の監督のもと、司法省刑事局のマネーロンダリング・資産回収部門(MLARS)、コンピュータ犯罪・知的財産部門(CCIPS)、およびその他の部門の専門知識と、米国弁護士事務所から派遣された専門家を組み合わせて編成されます。このチームは、ランサムウェアグループへの暗号通貨の支払いなど、詐欺や恐喝によって失われた資産の追跡と回収も支援します。
“Today we are launching the National Cryptocurrency Enforcement Team to draw on the Department’s cyber and money laundering expertise to strengthen our capacity to dismantle the financial entities that enable criminal actors to flourish — and quite frankly to profit — from abusing cryptocurrency platforms” said Deputy Attorney General Monaco. “As the technology advances, so too must the Department evolve with it so that we’re poised to root out abuse on these platforms and ensure user confidence in these systems.” モナコ司法副長官は、「本日、我々は国家暗号通貨執行チームを立ち上げました。これは、犯罪者が暗号通貨プラットフォームを悪用して繁栄し、率直に言って利益を得ることを可能にしている金融機関を解体する能力を強化するために、米国連邦検事局のサイバーおよびマネーロンダリングに関する専門知識を活用するものです。テクノロジーの進歩に伴い、我々もそれに合わせて進化しなければなりません。そうすることで、これらのプラットフォームでの不正行為を根絶し、これらのシステムに対するユーザーの信頼を確保する態勢を整えることができるのです。」と述べました。
“The Criminal Division is already an established leader in investigating and prosecuting the criminal misuse of cryptocurrency,” said Assistant Attorney General Polite. “The creation of this team will build on this leadership by combining and coordinating expertise across the Division in this continuously evolving field to investigate and prosecute the fraudulent misuse, illegal laundering, and other criminal activities involving cryptocurrencies.” ポリット司法長官補は、「刑事部門は、暗号通貨の悪用に関する調査と起訴において、すでに定評のあるリーダーです。このチームの創設は、このリーダーシップに基づいて、継続的に進化するこの分野における部門全体の専門知識を組み合わせ、調整することで、暗号通貨に関わる不正使用、違法なロンダリング、その他の犯罪行為を調査し起訴することになります。」と述べました。
The head of the NCET will report to the Assistant Attorney General in the Criminal Division and will be selected after an application process seeking an individual with experience with complex criminal investigations and prosecutions, as well as the technology underpinning cryptocurrencies and the blockchain. Once selected, the Team Leader will lead the team of attorneys from MLARS, CCIPS, and Assistant U.S. Attorneys (AUSAs) detailed from U.S. Attorneys’ Offices across the country to identify, investigate, support, and pursue cases against cryptocurrency exchanges, infrastructure providers, and other entities that are enabling the misuse of cryptocurrency and related products to commit or facilitate criminal activity. NCETの責任者は、刑事部門の司法長官補の直属となり、複雑な犯罪捜査・起訴の経験や、暗号通貨やブロックチェーンを支える技術に精通した人材を求めて応募した後に選出されます。チームリーダーは、MLARS、CCIPSの弁護士、および全米の連邦検事局から派遣された連邦検事補(AUSA)で構成されるチームを率いて、暗号通貨やその関連商品を悪用して犯罪行為を行うことを可能にしている暗号通貨取引所やインフラ提供者、その他の事業体を特定し、調査し、支援し、訴訟を提起します。
Importantly, the NCET will draw and build upon the established expertise across the Criminal Division to deter, disrupt, investigate, and prosecute criminal misuse of cryptocurrency, as well as to recover the illicit proceeds of those crimes whenever possible. Because cryptocurrency is used in a wide variety of criminal activity, from being the primary demand mechanism for ransomware payments, to money laundering and the operation of illegal or unregistered money services businesses, to being the preferred means of exchange of value on “dark markets” for illegal drugs, weapons, malware and other hacking tools, the NCET will foster the development of expertise in cryptocurrency and blockchain technologies across all aspects of the Department’s work. The NCET will also play a critical support role for international, federal, state, local, tribal, and territorial law enforcement authorities grappling with these new technologies and new forms of criminal tradecraft. NCETは、暗号通貨を悪用した犯罪を抑止、妨害、捜査、起訴し、可能な限り犯罪による不正収益を回収するために、刑事部門全体で確立された専門知識を活用していきます。暗号通貨は、ランサムウェアの支払いの主な要求メカニズムから、マネーロンダリングや違法または未登録のマネーサービス事業の運営、さらには違法薬物や武器、マルウェアなどのハッキングツールの「闇市場」での価値交換手段として好まれるなど、さまざまな犯罪行為に利用されているため、NCETは、刑事部門の業務のあらゆる側面において、暗号通貨とブロックチェーン技術の専門知識の開発を促進します。また、NCETは、これらの新技術や新しい形態の犯罪手法に取り組む国際的、連邦的、州的、地方的、部族的、準州的な法執行機関に対して、重要な支援の役割を果たします。
National Cryptocurrency Enforcement Team Details 国家暗号通貨執行チームの詳細
The NCET builds upon MLARS’s Digital Currency Initiative and will be informed by the Department’s Cryptocurrency Enforcement Framework, released in October 2020. Because crimes involving cryptocurrency can take many forms, the NCET will not only pursue its own cases, but also support existing and future cases brought across the Criminal Division and in the U.S. Attorneys’ Offices across the country. NCETは、MLARSのデジタル通貨イニシアチブを基盤とし、2020年10月に発表された同省の「Cryptocurrency Enforcement Framework(暗号通貨執行フレームワーク)」を参考にします。暗号通貨に関わる犯罪はさまざまな形態があるため、NCETは独自の案件を追求するだけでなく、刑事局や全米の連邦検事局で提起された既存の案件や将来の案件をサポートします。
NCET team members will be drawn from three initial sources: MLARS, CCIPS, and detailees to the Criminal Division from U.S. Attorneys’ Offices across the country. Team members will draw upon the expertise of their home offices while working collaboratively under the Team Leader to combine their expertise in financial systems, blockchain technology, tracing transactions, and applicable criminal statutes to address illegal activity involving cryptocurrency in a structured way. The NCET will: NCETのチームメンバーは次の3分野から集められます:MLARS、CCIPS、そして全国の米国弁護士事務所から刑事部に派遣される出向者。チームメンバーは、それぞれの所属部署の専門知識を活用しながら、チームリーダーのもとで協力して、金融システム、ブロックチェーン技術、取引の追跡、適用される刑法などの専門知識を組み合わせ、暗号通貨に関わる違法行為に組織的に対処します。NCETは以下を行います。
・Investigate and prosecute cryptocurrency cases, comprising a central part of a nationwide enforcement effort to combat the use of cryptocurrency as an illicit tool. ・暗号通貨の事件を調査・起訴し、不正な手段としての暗号通貨の使用に対抗するための全国的な取り組みの中心的な役割を果たします。
・Develop strategic priorities for investigations and prosecutions involving cryptocurrency, in consultation with the USAOs, Department components, and investigative agencies involved in cryptocurrency investigations. ・暗号通貨の捜査に携わる米国大使館、省庁、捜査機関と協議しながら、暗号通貨に関する捜査・訴追の戦略的優先順位を決定します。
・Identify areas for increased investigative and prosecutorial focus, including professional money launderers, ransomware schemes, human traffickers, narcotics traffickers, and financial institutions working with cryptocurrency. ・マネーロンダリング事業者、ランサムウェアのスキーム、人身売買、麻薬売買、暗号通貨を扱う金融機関など、捜査・訴追を強化すべき分野を特定します。
・Build and enhance relationships with cryptocurrency focused AUSAs and prosecutors with other Department litigating components and offices to pursue cryptocurrency investigations and prosecutions. ・暗号通貨に特化したAUSAや他の省庁の検察官との関係を構築・強化し、暗号通貨の捜査・起訴を推進します。
・Develop and maintain relationships with federal, state, local, and international law enforcement agencies that investigate and prosecute cryptocurrency cases. ・暗号通貨事件を捜査・起訴する連邦・州・地方・国際的な法執行機関との関係構築・維持します。
・Train and advise federal prosecutors and law enforcement agencies in developing investigative and prosecutorial strategies. Such training and advice will include providing guidance concerning search and seizure warrants, restraining orders, criminal and civil forfeiture allegations, indictments, and other pleadings. ・連邦検察官や法執行機関に対し、捜査・起訴戦略に関する研修や助言を行います。このようなトレーニングやアドバイスには、捜査令状や押収令状、禁止命令、刑事および民事の没収申し立て、起訴、その他の弁論に関するガイダンスの提供が含まれます。
・Support the coordination and sharing of information and evidence among law enforcement offices to maximize the effectiveness of the Department’s investigations, prosecutions, and forfeitures involving cryptocurrency. ・暗号通貨に関わる捜査、起訴、没収の効果を最大化するために、法執行機関の間で情報や証拠を調整・共有することを支援します。
・Collaborate and build relationships with private sector actors with expertise in cryptocurrency matters to further the criminal enforcement mission. ・暗号通貨に関する専門知識を有する民間企業と協力し、関係を構築することで、刑事執行の任務を推進します。
The NCET will work closely with other federal agencies, subject matter experts, and its law enforcement partners throughout the government. NCETは、他の連邦機関、専門家、政府内の法執行機関のパートナーと緊密に連携します。

 

参考

・2021.06.07 Department of Justice Seizes $2.3 Million in Cryptocurrency Paid to the Ransomware Extortionists Darkside

 

Doj_20210608075901


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

 

 

| | Comments (0)

SP 800-108 Rev.1 (Draft) 擬似ランダム関数を使用した鍵導出の推奨事項

こんにちは、丸山満彦です。

NISTがSP 800-108 Rev.1 (Draft) 擬似ランダム関数を使用した鍵導出の推奨事項を公開し、意見募集をしていますね。。。

NIST - ITL

・2021.10.18 SP 800-108 Rev. 1 (Draft) Recommendation for Key Derivation Using Pseudorandom Functions

SP 800-108 Rev. 1 (Draft) Recommendation for Key Derivation Using Pseudorandom Functions SP 800-108 Rev.1 (ドラフト) 疑似乱数関数を用いた鍵の導出の推奨
Announcement 発表
This document specifies families of key derivation functions for deriving additional keys from existing cryptographic keys. 本文書は、既存の暗号鍵から追加の鍵を導出するための鍵導出関数のファミリを規定する。
This revision specifies key derivation functions using Keccak-based message authentication codes (KMAC) in addition to key derivation functions using keyed-hash message authentication codes (HMAC) and cipher-based message authentication codes (CMAC). 今回の改訂では、鍵付きハッシュメッセージ認証コード(HMAC)や暗号ベースのメッセージ認証コード(CMAC)を用いた鍵導出関数に加え、ケチャクベースのメッセージ認証コード(KMAC)を用いた鍵導出関数を規定する。
Abstract 概要
This Recommendation specifies techniques for the derivation of additional keying material from a secret key—either established through a key establishment scheme or shared through some other manner—using pseudorandom functions HMAC, CMAC, and KMAC. この勧告は,擬似乱数関数HMAC,CMAC,KMACを用いて,鍵確立方式で確立されたか,あるいは他の方法で共有された秘密鍵から,追加の鍵材料を導出するための技術を規定する。

・[PDF]  SP 800-108 Rev. 1 (Draft)

20211020-03008

1 Introduction 1 はじめに
2 Scope and Purpose 2 範囲と目的
3 Definitions, Symbols, and Abbreviations 3 定義、記号、および略語
3.1 Definitions 3.1 定義
3.2 Symbols and Abbreviations 3.2 記号と略記号
4 Pseudorandom Function (PRF) 4 擬似乱数関数 (PRF)
5 Key Derivation Function (KDF) 5 鍵の導出関数 (KDF)
5.1 KDF in Counter Mode 5.1 カウンタモードのKDF
5.2 KDF in Feedback Mode 5.2 フィードバック・モードのKDF
5.3 KDF in Double-Pipeline Mode 5.3 ダブル・パイプライン・モードのKDF
5.4 KDF Using KMAC 5.4 KMACを用いたKDF
6 Key Hierarchy 6 鍵ヒエラルキー
7 Security Considerations 7 セキュリティに関する考察
7.1 Cryptographic Strength 7.1 暗号の強度
7.2 The Length of Key Derivation Key 7.2 鍵導出用の鍵の長さについて
7.3 Converting Keying Material to Cryptographic Keys 7.3 鍵素材の暗号鍵への変換
7.4 Input Data Encoding 7.4 入力データの暗号化
7.5 Key Separation 7.5 鍵の分離
7.6 Context Binding 7.6 コンテキスト・バインディング
References 参考文献
List of Appendices 附属書一覧
Revisions 改訂版
List of Figures 図一覧
Figure 1. KDF in Counter Mode 図1. KDFのカウンターモード
Figure 2. KDF in Feedback Mode 図2. フィードバックモードのKDF
Figure 3. KDF in Double-pipeline Mode 図3. KDFのダブルパイプライン・モード
Figure 4. KDF Using KMAC 図4. KMACを用いたKDF
Figure 5. Key Hierarchy 図5. 鍵ヒエラルキー

 

 

| | Comments (0)

2021.10.19

Cloud Security Alliance ヘルスケアにおけるITのガバナンス、リスク、コンプライアンス

こんにちは、丸山満彦です。

Cloud Security Alliance (CSA) がヘルスケアにおけるITのガバナンス、リスク、コンプライアンスを公表していますね。。。

 

 

Cloud Security Alliance (CSA)

・2021.10.15 Information Technology Governance, Risk and Compliance in Healthcare

・[PDF] 簡単な質問に答えるとダウンロードできます

20211019-02758

Information Technology Governance, Risk and Compliance in Healthcare ヘルスケアにおけるITのガバナンス、リスク、コンプライアンス
Information Technology (IT) Governance, Risk, and Compliance (GRC), are three words that have a significant impact on organizations. While each term seems straightforward, putting them together brings up a concept that is hard to understand and even harder to implement. Overall, GRC is the policies and procedures that manage the organization's process for aligning the management and control of information with business objectives, the organization's risk tolerance, and how they comply with regulations and manage risk. Defining each and then integrating them into one program gives the organization a structured process to ensure IT supports business objectives while managing risk and compliance. This paper will show how to create a program for each and then integrate them into one cohesive and effective program.  情報技術(IT)のガバナンス、リスク、コンプライアンス(GRC)は、組織に大きな影響を与える3つの言葉です。それぞれの言葉は簡単なように見えますが、これらをまとめると、理解しにくく、さらに実行するのが難しい概念が浮かび上がってきます。全体的に見ると、GRCとは、情報の管理と統制をビジネス目標、組織のリスク許容度、規制への準拠とリスク管理の方法と整合させるための組織のプロセスを管理する方針と手順のことです。それぞれを定義してから1つのプログラムに統合することで、組織はリスクとコンプライアンスを管理しながらITがビジネス目標をサポートするための構造化されたプロセスを得ることができます。本稿では、それぞれのプログラムを作成し、それらを1つのまとまった効果的なプログラムに統合する方法を紹介します。 

目次...

Acknowledgments 謝辞
Abstract 概要
Introduction はじめに
Governance ガバナンス
 Create  作成
 Store  保存
 Use  使用
 Share  共有
 Archive  保管
 Destruction  破棄
Risk Management リスクマネジメント
 Risk Appetite  リスク選考
 Risk Tolerance  リスク許容
 Threats  脅威
 Vulnerability  脆弱性
 Likelihood  可能性
 Impact  影響度
 Risk Profile  リスクプロファイル
Compliance コンプライアンス
Measurement 測定
Monitoring and Reporting モニタリングと報告
Governance, Risk, and Compliance ガバナンス、リスク、コンプライアンス
 Example 1 HIPAA Rule  例1 HIPAAルール
 Example 2 GDPR Rule  例2 GDPR規則
Conclusion まとめ
References 参考文献

20211019-04825

 

 

 

 

| | Comments (0)

Zホールディングス 「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について

こんにちは、丸山満彦です。

Zホールディングスが「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について発表していますね。。。

Zホールディングス株式会社

・2021.10.18 「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について

・2021.10.18 「グローバルなデータガバナンスに関する特別委員会」最終報告

 ・[PDF] 最終報告要旨 (Downloaded)

20211018-225352

 ・[PDF] 最終報告書(詳細全体版) (Downloaded)

20211018-225639

参考

 ・2021.06.11 第一次報告の要旨

 ・2021.08.04 第二次報告の要旨

 ・グローバルなデータガバナンスに関する特別委員会の過去の開催状況

 

報告書の要旨によると、問題は、


 LINEアプリにおいて

①通信内容である送受信されたテキスト、画像、動画及びファイル(PDFなど)のうち、ユーザーから通報されたものについて、委託先中国企業からの業務に基づくアクセスがあり、そのことについてユーザに対して説明をしていなかったこと、

②画像、動画及びファイル(PDFなど)が韓国のデータセンターに保存されていたにもかかわらず、対外的に「LINEの個人情報を扱う主要なサーバーは日本国内にある」という不正確な説明をしていたこと、また、中央省庁等に対して、「LINEアプリの日本ユーザーに関する全てのデータが『日本に閉じている』」旨の客観的事実に反する説明を一部で行っていたこと


ということのようですね。。。

内部統制の目的でもある、報告の正確性の問題のように思います。

安全保障の問題という話もあるようですが、安全保障の問題であるのであれば、「正しい報告、情報提供がされていれば安全保障上の理由から利用しなかったであろう組織が利用していた」ことによる副次的な問題なのだろうと思います。ガバメントアクセスについては、捜査令状に基づくものであれば日本でもあるし、捜査令状に基づかないものに限るとしても米国についてどう考えるかとか、難しい問題があるかもしれませんね...

ところで、Lineのサービスは、ISMAPクラウドサービスリストには含まれていませんね(at 2021.10.19)。。。検討するように提言されていますね。。。

 

なお、提言・・・


委員会による提言(第5、6章)

本委員会は、これまでの検討を踏まえ、次の提言を行った。また、個別の領域においても提言を行った(次頁参照)。

(1) LINE社に対する提言
• LINE社の政策渉外を含む対外コミュニケーションについて、客観的な事実を誠実に伝えるという点にコミットすべく必要な体制を整備すること
• LINE社において適切な「横のガバナンス」を確立し強化していくこと

(2) ZHD社に対する提言
• ZHD社が実現すべきグローバルなデータガバナンスについて、「ユーザー目線での横と縦のガバナンス」を構築すること
• 各事業会社において「3ライン・モデル」を導入すること等によって「横のガバナンス」を強化し、ZHD社において、事業会社による「横のガバナンス」が適切かつ円滑に運用され、ZHDグループ全体が一元的な体制の下、調和をもった形で適切に事業運営を行うための諸条件を満たしていることをチェックする「縦のガバナンス」を高度かつ適切なバランスで実現すること


本委員会の提言に関するZHD社及びLINE社における対応の状況に関しては、別途ZHD社が設置する有識者会議等に継続的に報告し、その助言を受けながら確実に実現していくよう提言した。


委員会による提言(第6章 ZHD社に対する個別の領域に関するもの)

本委員会は、ZHD社に対して、個別の領域においても以下のとおり提言を行った。

①政策渉外
「縦のガバナンス」を適切に効かせ、ZHDグループ全体から適材適所の人事配置を推進していくこと、ZHD社においてユーザー代表を含む第三者
の意見を求める有識者会議を設置すること

②経済安全保障
ZHDグループ全体において複雑化する地政学的リスクに対応することができるよう動的なガバナンスが求められることから、 外国における法令等の検討状況や日本と外国の関係の状況等について調査する体制を強化し、一元的に情報を収集、分析、評価することができる体制を整備するとともに、各国政府と的確なコミュニケーションを取るために経済安全保障に関する政府渉外活動の一元的な連携・管理を行うこと

③セキュリティ
ZHDグループ全体ですでに取り組んでいるNIST(米国標準技術研究所)の定めるSP800-171をはじめとしたセキュリティ基準への準拠及び各事業会社の実態に応じた適切なリソース配分実現のための人的支援の実施に加え、政府情報システムのためのセキュリティ評価制度(ISMAP)への対応についても検討すること

④プライバシー
主要事業会社における独立性の高いData Protection Officer(データ保護責任者、DPO)とPrivacy Impact Assessment(プライバシー影響評価)の導入、事業会社のDPO等が連携できる体制や教育プログラム、コンサルティングの提供を含むグループ内の人的リソースの最適化のための体制の整備、CBPR認証取得の推進、NISTプライバシーフレームワークへの準拠、ZHD主体の事業会社における令和2年改正個人情報保護法の越境移転規制への対応についてZHD社が主体となってZHDグループ全体で取り組んでいくこと

⑤リスクマネジメント
今後の新たに生じるリスクに対し適切な対応が取れるようZHD社の体制を強化すること


ここでの「経済安全保障」という言葉の定義はどういうことなのでしょうかね...

 

 

| | Comments (0)

2021.10.18

JETRO EUデジタル政策の最新概要(2021年10月)

こんにちは、丸山満彦です。

JETROがEUデジタル政策の最新概要を2021.10.05現在でまとめていますね。。。全体像を俯瞰する上では有益と思います。

 

● JETRO

・2021.10.05 EUデジタル政策の最新概要(2021年10月)


欧州委員会のウルズラ・フォン・デア・ライエン委員長は、2019年12月の就任以来、「欧州グリーン・ディール」と並ぶ新体制の優先課題として、「デジタルへの移行」を掲げている。また、新型コロナウイルス対策である復興基金の中核部分を占める「復興レジリエンス・ファシリティ(RFF)」において、予算の20%をデジタル化政策へ活用することを決定するなど、EUのデジタル化の推進を明確に打ち出している。本レポートでは、フォン・デア・ライエン体制において、強化されたEUのデジタル政策の最新概要をまとめ、欧州委員会が発表した2020年の政策文書「Shaping Europe’s digital future」や、2021年の政策文書「デジタル・コンパス2030」、「新産業政策」の改定版などを中心に解説。また、復興基金や中期予算計画(MFF)におけるデジタル政策の位置づけや、「欧州グリーン・ディール」との関係など、デジタル分野における主要政策の内容と今後の展望についてまとめた。


 

 

・[PDF] EUデジタル政策の最新概要

20211018-01401

目次・・・

はじめに
I EUにおけるデジタル政策の全体概要
1 EUデジタル政策の策定背景と位置付け
(1)デジタル政策の位置付けと予算
2 欧州のデジタル未来の形成(欧州デジタル戦略)
(1)ビジョンと目標
(2)具体的なアクション
3 デジタル・コンパス2030
(1)概要
(2)具体的な数値目標
(3)デジタル・コンパス2030の実施のための政策プログラム
4 新産業政策の改定
(1)改定の背景と目的
(2)概要
Ⅱ EUデジタル政策における各政策の概要
1 データ政策
(1)総論
(2)欧州データ戦略
(3)データガバナンス政策
(4)個人情報関連
2 オンラインプラットフォーム政策
(1)総論
(2)デジタルサービス法案
(3)デジタル市場法案の概要
(4)デジタル課税法案
3 新たなテクノロジー・インフラ政策
(1)総論
(2)人工知能(AI)に関する政策パッケージ
(3)通信インフラに関する政策動向
(4)コンピューティング技術に関する政策動向
4 サイバーセキュリティ政策
(1)総論
(2)サイバーセキュリティ戦略
(3)NIS指令の改正
(4)サイバーセキュリティに関わるEU認証制度
(5)その他
5 デジタル金融政策
(1)総論
(2)デジタル金融パッケージに含まれる主要文書の概要
〈図表目次〉
表 1: 「欧州のデジタルの未来の形成」の 3 つの目標とアクション
表 2: 「欧州のデジタルの未来の形成」で挙げられた具体的なアクション
表 3: 「デジタル・コンパス 2030」の具体的な数値目標
表 4: 欧州データ戦略による 8 つの課題
表 5: 欧州データ戦略の 4 つの戦略と主な取り組み内容
表 6: 9 つの戦略的分野での欧州データ空間構築に向けた欧州委員会の取り組み
表 7: デジタルサービス法が提案する新たなルールの適用対象
表 8: サイバーセキュリティ戦略の主な施策
表 9: NIS 指令および NIS 2 指令(改正案)の対象の違い
図 1:デジタルサービス法案のルールの適用対象の関係
図 2:EU サイバーセキュリティ認証制度の策定の流れ

 

 

| | Comments (0)

内閣官房 NISC ランサムウェア特設ページ

こんにちは、丸山満彦です。

NISCがランサムウェア特設ページ(ポータルサイトのようなもの)を開設していますね。。。

NISC

・2021.10.13 ストップ! ランサムウェア ランサムウェア特設ページ STOP! RANSOMWARE

 

内閣サイバーセキュリティセンター(NISC)
重要インフラ事業者等向け注意喚起 ランサムウェアによるサイバー攻撃について、予防・検知・対応・復旧の観点から、具体的な対策を採れるよう、重要インフラ事業者等向けに注意喚起を発出し、広く一般にも活用していただけるよう公開。
インターネットの安全・安心ハンドブック 一般国民向けに、ランサムウェアに関するコラムを掲載。
経済産業省
経営者向け注意喚起 ランサムウェア攻撃によって発生した被害への対応は企業の信頼に直接関わる重要な問題であり、その事前対策から事後対応まで、経営者のリーダーシップが求められる 等
警察庁
特設ページ ランサムウェアの手口、未然防止対策、被害軽減対策、再発防止対策等を掲載。
IPA
特設ページ  IPA注意喚起情報、対策情報等を掲載。
JPCERT/CC
特設ページ ランサムウェアの種類や対策、JPCERT/CCの取組等を掲載。
日本サイバー犯罪対策センター(JC3)
特設ページ 予防対策、復号ツール等を掲載。

 

Nisc_20211018004601

 

米国、英国、カナダ、オーストラリア、EU、英国、ドイツ、オランダ、中国、ロシアの政府等のランサムウェアのサイトも合わせて紹介してくれればよいのに...

 

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.15 米国 国家安全保障会議ランサムウェア対策イニシアチブ

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

・2021.10.05 米国・EU 10月はサイバーセキュリティ(意識向上)月間

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.09.14 カナダ サイバーセキュリティセンタ:ランサムウェア:防止および回復する方法(ITSAP.00.099)

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.09.05 米国 CISA FBI 休日と週末のためのランサムウェアの認識

・2021.08.26 米国 カリフォルニア州 医療機関等へのランサムウェアの被害を踏まえ、司法長官が医療データ・プライバシー法の完全な遵守を呼びかけていますね。

・2021.08.19 ニップンとその上場子会社のオーケー食品工業がデータを暗号化され決算発表が遅れていますね。。。

・2021.08.07 SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ

・2021.08.03 ENISA サプライチェーン・セキュリティ攻撃の増加を理解する

・2021.08.01 米国 上院商務・科学・運輸委員会 公聴会 パイプラインサイバーセキュリティ:重要インフラストラクチャの保護

・2021.07.26 Europol、オランダ警察、 Kaspersky、McAfee - NO MORE RANSOM (NMR) 復号ツール取り揃えています...

・2021.07.25 中国 CNCERT / CCが2020年のインターネットセキュリティ報告書を公開

2021.07.20 米国、英国、欧州連合は中国が悪意あるサイバー活動を行なっていると発表していますね。。。

2021.07.10 バイデン大統領とプーチン大統領は電話会議でランサムウェアについて話をしたようですね。。。

・2021.07.03 米国 CISA ランサムウェアへの備えについての自己評価ツールの公表

・2021.06.10 米国 国土安全保障委員会 パイプラインに潜むサイバー脅威:コロニアル・ランサムウェア攻撃から得た教訓を重要インフラの防御に活かす

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.05.10 米国の精製石油パイプライン運用会社がランサムウェアにやられ、被害拡大を防止するためにパイプラインを停止した

・2021.04.30 NISC ランサムウエアによるサイバー攻撃に関する注意喚起について

・2021.04.15 カプコン 不正アクセスに関する調査結果のご報告【第4報】

・2021.04.11 FBI インターネット犯罪レポート2020を発表

・2021.02.08 Ziggy Ransomwareの管理者が過去を反省して、サイトを閉じて被害者の復号鍵を公開?

・2021.02.05 米国 National Cyber​​ Investigative Joint TaskForceがランサムウェアのファクトシートを発表していますね。。。

・2021.01.24 CISA ランサムウェアのリスクを低減するためのキャンペーンを開始し、ランサムウェア対策のサイトを立ち上げていますね。。。

・2020.12.25 組織に対するランサムウェア攻撃の実証研究:脆弱性に影響を与える重大性と顕著な要因の評価 Oxford Academic - Journal of Cybersecurity

・2020.12.09 SP 1800-25 Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events

・2020.12.09 SP 1800-26 Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events

・2020.12.08 Egregor ransomware

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.11.06 ブラジルの裁判所のシステムがランサムウェアの攻撃を受けて停止中のようですね。

・2020.10.30 米国CISA 経済的利益を目的としてヘルスケア業界をターゲットにしたサイバー犯罪者が、ランサムウェアをシステムに感染させるために使用する、戦術・技術・手順(TTP)の説明

・2020.10.21 ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。

・2020.10.21 ドイツのITセキュリティの状況 2020 - Die Lage der IT-Sicherheit in Deutschland 2020 by BSI

・2020.10.06 Europolが2020年版のインターネット組織犯罪脅威評価を公表していますね

・2020.10.03 米国財務省は金融機関等にランサムウェアの支払いを勧めた場合の制裁リスクを強調する勧告を出していますね。。。

・2020.10.03 ランサムウェアに関するブルース シュナイアーさんのブログ

・2020.09.23 NIST SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Events  ランサムウェア等の破壊的なイベントからの復旧

・2020.09.19 AU ACSC Annual Cyber Threat Report: July 2019 to June 2020

・2020.08.08 Interpol COVID-19により在宅勤務に関連する脆弱性と経済的利益が増加し、今後サイバー犯罪はさらに増える?

・2020.07.13 米国のシークレットサービスが金融犯罪調査委員会(FCTF)と電子犯罪調査委員会(ECTF)を統合してサイバー不正調査委員会(CFTF)を設立したようですね。

・2020.04.30 ランサムウェア攻撃者からの防御方法 by Microsoft Threat Protection Intelligence Team

・2020.04.07 Interpol 病院に対ランサムウェアの攻撃に気をつけるようにアウアンスしていますね。。。COVID-19対応で大変な状況なのに犯罪者もちょっと考えてみてよ...

・2020.04.06 アルジェリアの石油合弁会社がMazeランサムウェアに攻撃され投資計画等の機密情報がネット上に公開されているようです。。。

 

言葉としては、この時代から

・2005.06.14 米国 ファーミングを中心とした悪意ある行為

 

↓Ransomwareをまるちゃんブログで検索... 

1_20210415075201

| | Comments (0)

2021.10.17

インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

こんにちは、丸山満彦です。

インターポール国連地域間犯罪司法研究所オランダ警察世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の調査」の白書を公表していました。。。

 

World Economic Forum: WEF(世界経済会議)

・2021.10.05 A Policy Framework for Responsible Limits on Facial Recognition Use Case: Law Enforcement Investigations

A Policy Framework for Responsible Limits on Facial Recognition Use Case: Law Enforcement Investigations 顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査
The World Economic Forum’s governance framework for the responsible use of facial recognition in law enforcement investigations addresses the need for a set of concrete guidelines to ensure the trustworthy and safe use of this technology. It includes a set of principles that defines in practical terms what constitutes the responsible use of facial recognition in law enforcement investigations and a self-assessment questionnaire detailing the requirements that law enforcement agencies must respect to ensure compliance with the principles for action. 世界経済フォーラムの法執行機関における顔認識の責任ある利用のためのガバナンスフレームワークは、この技術の信頼性と安全性を確保するための一連の具体的なガイドラインの必要性に対応するものです。このフレームワークには、法執行機関の捜査における顔認識の責任ある利用を実際的に定義する一連の原則と、法執行機関が行動原則の遵守を保証するために尊重しなければならない要件を詳述した自己評価アンケートが含まれています。

・[PDF]

20211017-24415

Foreword 序文
Introduction はじめに
Methodology 方法論
1  Law enforcement investigations: use cases and definitions 1 法執行機関による捜査:ユースケースと定義
2  Proposed principles 2 提案された原則
3  Proposed self-assessment questionnaire 3 自己評価アンケートの提案
Conclusion 結論
Glossary 用語解説
Contributors 貢献者
Endnotes 巻末資料

 

「序文」と「提案された原則」の仮対訳

 

United Nations Interregional Crime and Justice Research Institute: UNICRI(国連地域間犯罪司法研究所)

・2021.10.05 Law Enforcement Agencies Develop Best Practices for Using Facial Recognition

Law Enforcement Agencies Develop Best Practices for Using Facial Recognition 法執行機関が顔認証を利用するためのベストプラクティスを開発
The rapid uptake of facial recognition technology by law enforcement agencies in helping to resolve crimes, conduct faster investigations and bring offenders to justice has raised serious governance challenges. 法執行機関が、犯罪の解決、迅速な捜査、犯罪者の裁きを支援するために、顔認識技術を急速に導入していることは、深刻なガバナンス上の課題を提起しています。
To address these challenges, the World Economic Forum, in partnership with the International Criminal Police Organization (INTERPOL), the Centre for Artificial Intelligence and Robotics of the United Nations Interregional Crime and Justice Research Institute (UNICRI), and the Netherlands police have published a white paper, Responsible Limits on Facial Recognition, Use Case: Law enforcement investigation. これらの課題に対処するため、世界経済フォーラムは、国際刑事警察機構(INTERPOL)、国連地域間犯罪司法研所(UNICRI)の人工知能・ロボットセンター、およびオランダ警察と共同で、白書「顔認識の責任ある制限、使用例:法執行機関の捜査」を発表しました。
The initiative represents the most comprehensive policy response to the risks associated with facial recognition technology (FRT) and aims to ensure its responsible use by law enforcement agencies. The Netherlands police will pilot the paper’s framework. この白書は、顔認識技術に関連するリスクに対する最も包括的な政策対応であり、法執行機関による顔認識技術の責任ある使用を保証することを目的としています。オランダ警察は、このフレームワークを試験的に導入する予定です。
 “Around the world, law enforcement agencies are rapidly adopting facial recognition technology as part of their investigations, but this comes with risks for citizens,” said Kay Firth-Butterfield, Head of Artificial Intelligence and Machine Learning, World Economic Forum. “This is the first global multistakeholder effort to mitigate these risks effectively.”    世界経済フォーラムの人工知能・機械学習部門の責任者であるKay Firth-Butterfield氏は、「世界中の法執行機関は、捜査の一環として顔認識技術を急速に導入していますが、これには市民にとってのリスクが伴います。これは、これらのリスクを効果的に軽減するための、世界初のマルチステークホルダーによる取り組みです」と述べています。  
Remote biometric technologies – particularly FRT – have gained a lot of traction in the law enforcement sector and FRT accuracy has improved significantly. However, incorrect implementation, without due consideration of the ramifications, can result in major abuses of human rights and harm to citizens, particularly those in underserved communities. 遠隔バイオメトリクス技術、特に顔認識技術は、法執行機関の分野で多くの支持を得ており、顔認識技術の精度も大幅に向上しています。しかし、その影響を十分に考慮せずに誤った方法で導入すると、重大な人権侵害を引き起こし、市民、特に十分なサービスを受けていないコミュニティの人々に損害を与える可能性があります。
These concerns have led to policy-makers exploring various options, from banning FRT for law enforcement agencies to introducing additional accountability mechanisms that limit the risk of abuse of fundamental freedoms and wrongful arrests. However, prevention of untargeted surveillance, assessment of the performance of authorized solutions, procurement processes for law enforcement agencies and the training of professional forensic examiners are largely overlooked. The new framework is primarily designed to address these gaps.  このような懸念から、政策立案者は、法執行機関に対する顔認識技術の禁止から、基本的自由の濫用や不当逮捕のリスクを抑えるための追加的な説明責任メカニズムの導入まで、さまざまな選択肢を検討しています。しかし、ターゲットを絞らない監視の防止、認可されたソリューションの性能評価、法執行機関の調達プロセス、プロのフォレンジック検査官のトレーニングなどは、ほとんど見落とされています。新しいフレームワークは、これらのギャップに対処することを主な目的としています。
The Forum partnered with key law enforcement players to identify the risks and build appropriate governance processes. It also held workshops with civil society organizations to review the various drafts and incorporated their recommendations. In practice, the framework is composed of a common set of proposed principles for using FRT by law enforcement agencies that includes provisions on the protection of fundamental human rights. There is also a self-assessment questionnaire intended to support agencies to comply with these principles. フォーラムは、法執行機関の主要メンバーと協力して、リスクを特定し、適切なガバナンスプロセスを構築しました。また、市民社会団体とのワークショップを開催し、さまざまな草案を検討し、その提言を取り入れました。実際には、このフレームワークは、法執行機関が顔認識技術を利用するための共通の原則案で構成されており、基本的人権の保護に関する規定も含まれています。また、各機関がこれらの原則に従うことを支援するための自己評価アンケートも用意されています。
As a central partner of this endeavour, the Netherlands police will begin testing the assessment questionnaire in early 2022. “Building and maintaining trust with citizens is fundamental to accomplish our mission and we are well aware of the various concerns related to facial recognition. In this regard, being the first law enforcement agency to test the self-assessment questionnaire is a means to reaffirm our commitment to the responsible use of facial recognition for the benefits of our community,” said Marjolein Smit-Arnold Bik, Head of Special Police Operations, the Netherlands. “We also encourage other law enforcement agencies in various countries to participate in the testing phase and contribute to this global effort.” この取り組みの中心的なパートナーとして、オランダ警察は2022年初頭に評価アンケートのテストを開始する予定です。「市民との信頼関係を構築・維持することは、我々のミッションを達成するための基本であり、顔認証に関する様々な懸念を十分に認識しています。この意味で、自己評価アンケートをテストする最初の警察機関になることは、我々のコミュニティの利益のために顔認識を責任を持って使用するというコミットメントを再確認する手段です。また、様々な国の他の法執行機関にもテスト段階に参加してもらい、このグローバルな取り組みに貢献したいと考えています」と、オランダの特殊警察活動の責任者であるMarjolein Smit-Arnold Bik氏は述べています。
“We have co-designed this framework to serve as a unique reference to law enforcement in our 194 member countries on the responsible and transparent use of facial recognition,” said Cyril Gout, Director of Operational Support and Analysis, INTERPOL. “We will support its implementation through our global police network to increase awareness of this important biometric technology. Almost 1,500 terrorists, criminals, fugitives, persons of interest or missing persons have been identified since the launch of INTERPOL’s facial recognition system in 2016.” INTERPOLの運用サポート・分析ディレクターであるCyril Gout氏は、「我々は、194の加盟国の法執行機関が顔認識を責任を持って透明に使用するための独自の参考資料となるよう、このフレームワークを共同で設計しました。私達は、この重要なバイオメトリクス技術の認知度を高めるために、我々のグローバルな警察ネットワークを通じて、その実施を支援していきます。2016年にINTERPOLの顔認証システムが開始されて以来、約1,500人のテロリスト、犯罪者、逃亡者、要注意人物、行方不明者が特定されています。」と述べています。
“Ensuring the human rights compliant use of FRT in a way that is strictly necessary and proportionate to meet legitimate policing aims is immensely important,” said Irakli Beridze, Head, UNICRI Centre for Artificial Intelligence and Robotics. “We are pleased to contribute to this valuable initiative to develop a robust governance framework for the use of facial recognition in the context of criminal investigations and believe that it will also be an important source for our broader joint work with INTERPOL on the responsible use of artificial intelligence by law enforcement.” UNICRIの人工知能・ロボットセンター長であるIrakli Beridze氏は、「正当な警察活動の目的を達成するために、厳密に必要かつ比例した方法で、人権に準拠したFRTの使用を保証することは非常に重要です。私たちは、犯罪捜査における顔認識の使用のための強固なガバナンスフレームワークを開発するこの貴重なイニシアチブに貢献できることを嬉しく思い、また、法執行機関による人工知能の責任ある使用に関するINTERPOLとの広範な共同作業のための重要な資料となると信じています。」と述べています。

 

 

 


 

International Criminal Police Organization: INTERPOL(国際刑事警察機構)にはFacial Recognition(顔による認識)のウェブページがあります。

Interpol

Facial Recognition

インターポールでは世界中(179カ国のようです)から集めた犯罪者の顔写真データを活用するシステムが2016年から稼働していますが、既に1500名以上のテロリスト、行方不明者等の特定を行なった実績があるようですね。。。

 


● まるちゃんの情報セキュリティ気まぐれ日記

顔認識関係

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2005年

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

 

 

» Continue reading

| | Comments (0)

米国 CISA 上下水道システムセクター施設に対する進行中のサイバー脅威

こんにちは、丸山満彦です。

CISAが、上下水道システムセクター施設に対する進行中のサイバー脅威についてのアラートを出していますね。。。

CISA

・2021.10.14 Ongoing Cyber Threats to U.S. Water and Wastewater Systems Sector Facilities

Ongoing Cyber Threats to U.S. Water and Wastewater Systems Sector Facilities 米国の上下水道システムセクター施設に対する進行中のサイバー脅威
CISA, the Federal Bureau of Investigation (FBI), the Environmental Protection Agency (EPA), and the National Security Agency (NSA) have released a joint Cybersecurity Advisory (CSA) that details ongoing cyber threats to U.S. Water and Wastewater Systems (WWS) Sector. This activity—which includes cyber intrusions leading to ransomware attacks—threatens the ability of WWS facilities to provide clean, potable water to, and effectively manage the wastewater of, their communities. The joint CSA provides extensive mitigations and resources to assist WWS Sector facilities in strengthening operational resilience and cybersecurity practices. CISA、連邦捜査局(FBI)、環境保護庁(EPA)、国家安全保障局(NSA)は、共同でサイバーセキュリティ勧告(CSA)を発表し、米国の上下水道部門に対する継続的なサイバー脅威について詳しく説明しました。この活動には、ランサムウェア攻撃につながるサイバー侵入も含まれており、WWS施設が地域社会に清潔な飲料水を提供し、効果的に廃水を管理する能力を脅かしています。この共同CSAは、WWSセクターの施設がオペレーションの回復力とサイバーセキュリティの実践を強化するために、広範な緩和策とリソースを提供しています。
CISA has also released a Cyber Risks & Resources for the Water and Wastewater Systems Sector infographic that details both information technology and operational technology risks the WWS Sector faces and provides select resources. また、CISAは「上下水道セクターのサイバーリスクとリソース」というインフォグラフィックを発表しました。このインフォグラフィックでは、WWSセクターが直面している情報技術と運用技術の両方のリスクを詳細に説明し、厳選したリソースを提供しています。

 

NATIONAL CRITICAL FUNCTIONS - SUPPLY WATER AND MANAGE WASTEWATER

Fig1_20211017045001

インフォグラフィックス

・[PDF] RISKS TO THE SUPPLY WATER NATIONAL CRITICAL FUNCTION 

Infographicsupplywaternationalcriticalfu

 

・[PDF] RISKS TO THE MANAGE WASTEWATER NATIONAL CRITICAL FUNCTION 

Infographicmanagewastewaternationalcriti

 

-----

● CISA

・2021.10.14 Alert (AA21-287A) Ongoing Cyber Threats to U.S. Water and Wastewater Systems

 

| | Comments (0)

2021.10.16

英国 ICO(データ保護局)意見募集 「ジャーナリズムの実践規範」案

こんにちは、丸山満彦です。

英国のデータ保護局 (Information Commissioner's Office: ICO) が「ジャーナリズムの実践規範」案を公表し、意見募集をしていますね。。。

メディア、ジャーナリストが個人情報を取り扱う際のガイドを示すものという感じでしょうかね。。。

 

U.K. Information Commissioner's Office

・2021.10.13 Blog: Providing practical data protection guidance to the media sector

Blog: Providing practical data protection guidance to the media sector ブログ メディアセクターに実践的なデータ保護ガイダンスを提供
A blog by Elizabeth Denham, Information Commissioner 情報コミッショナー、エリザベス・デンハムによるブログ
Freedom of expression and freedom of information play a vital role in our democracy. Trust in our democratic system relies on people to ask questions of public bodies who operate on their behalf, to understand and scrutinise the decisions of local and national government. 表現の自由と情報の自由は、私たちの民主主義において重要な役割を果たしています。民主主義システムへの信頼は、人々が自分たちのために活動する公的機関に質問し、地方自治体や国の政府の決定を理解し、精査することにかかっています。
A free press is a crucial part of that trust. Journalists perform an essential function – whether that is by informing the public about what takes place in the halls of power or by holding elected officials and public institutions accountable, at a national or local level. Their work can create social change, bring issues to the forefront of decision makers and help citizens to participate in society. 自由な報道は、その信頼に不可欠な要素です。ジャーナリストは、権力の中枢で何が行われているかを国民に知らせたり、国や地方レベルで選出された公務員や公的機関に責任を負わせるなど、重要な機能を果たしています。彼らの仕事は、社会に変化をもたらし、意思決定者に問題を提起し、市民が社会に参加するのを助けることができます。
Personal data is often at the heart of the stories journalists tell. Data protection law recognises and specifically protects the special public interest served by journalism and freedom of expression. And the law also protects people’s privacy rights, reassuring them that there are proportionate checks and balances in place. ジャーナリストが伝えるストーリーの中心には、しばしば個人データがあります。データ保護法は、ジャーナリズムと表現の自由がもたらす特別な公益を認識し、特に保護しています。また、データ保護法は、人々のプライバシー権を保護し、適切なチェックアンドバランスが行われていることを保証しています。
My office has been working on a statutory code of practice to help media organisations and key staff with compliance responsibilities, such as senior editors, data protection officers and lawyers, understand their obligations. The ICO is required to produce the code under the Data Protection Act 2018. 私のオフィスでは、メディア組織や、上級編集者、データ保護担当者、弁護士など、コンプライアンスに責任を持つ主要スタッフがその義務を理解するのに役立つ、法定の実務規範の作成に取り組んできました。ICOは、2018年のデータ保護法に基づき、コードの作成を求められています。
The draft journalism code of practice is now out for consultation, and the support it offers reflects changes in legislation, developments in privacy case law and the digital age. It provides practical help to strike the right balance between journalism, freedom of expression and data protection and responds to feedback from our earlier call for views. ジャーナリズムの実践規範の草案は現在、協議のために公開されており、この規範が提供するサポートは、法律の変更、プライバシー判例法の発展、デジタル時代を反映しています。このコードは、ジャーナリズム、表現の自由、データ保護の間で適切なバランスを取るための実践的な支援を提供しており、以前の意見募集で寄せられたフィードバックにも対応しています。
Let me be clear, the code is about data protection law. The code does not concern press conduct or standards in general, and journalists can be reassured that data protection law and the code will not stop them from doing their job of informing the public and holding the powerful to account. このコードは、データ保護法に関するものであることを明確にしておきます。ジャーナリストは、データ保護法やコードによって、国民に情報を提供し、権力者の責任を追及するという仕事を妨げられることはないので、安心してください。
In fact, many of the key data protection principles, such as treating people fairly, keeping personal data secure and making sure it is accurate, will already be familiar practice to journalists in their day-to-day work. 実際、人々を公平に扱うこと、個人データを安全に保つこと、データが正確であることを確認することなど、データ保護の重要な原則の多くは、ジャーナリストが日々の仕事の中ですでに実践していることです。
Our code will support media organisations and journalists in getting data protection right, which ultimately helps them build and maintain public trust and confidence in their work. 私たちの規範は、メディア組織やジャーナリストがデータ保護を正しく理解することを支援し、最終的には彼らの仕事に対する社会の信頼と信用を構築・維持することにつながります。
Through our consultation, we want to hear more from journalists, media organisations, civil society and campaign groups, academics, bloggers and individuals so they can continue to help shape the final code. We will also be running online workshops with the industry and other experts in November 2021 to discuss key themes in the code and the development of tools and resources. Register your interest to attend the workshops by completing this online survey. 今回のコンサルテーションでは、ジャーナリスト、メディア組織、市民社会、キャンペーングループ、学者、ブロガー、個人からの意見を聞き、最終的な規約の策定に役立てていきたいと考えています。また、202111月には、業界やその他の専門家とオンラインワークショップを開催し、コードの主要テーマやツール・リソースの開発について議論する予定です。ワークショップへの参加を希望される方は、こちらのオンラインアンケートにご協力ください。
By engaging closely with the sector we will make sure the final code and its resources are practical and effective in supporting the vital public interest work journalists do. 業界と密接に関わることで、最終的なコードとそのリソースが、ジャーナリストが行う重要な公益活動を支援するための実用的で効果的なものになることを確信しています。
Elizabeth Denham was appointed UK Information Commissioner on 15 July 2016, having previously held the position of Information and Privacy Commissioner for British Columbia, Canada. エリザベス・デナムは、カナダ・ブリティッシュコロンビア州の情報・プライバシー委員を経て、2016715日に英国情報コミッショナーに就任しました。
Notes to Editors 編集者への注意事項
About the draft Journalism Code of Practice ジャーナリズム実践規範(案)について
1. The Data Protection Act 2018 (DPA18) requires the ICO to produce a statutory code of practice that provides practical guidance for organisations and individuals processing personal data for the purposes of journalism. 1. 2018年データ保護法(DPA18)は、ICOがジャーナリズムの目的で個人データを処理する組織や個人に実践的なガイダンスを提供する法定実務規範を作成することを求めています。
2. The DPA18 also requires the ICO to create guidance for the public on how to complain about media organisations, and review how personal data is being processed for the purposes of journalism. 2. DPA18はまた、ICOに、メディア組織に対して苦情を言う方法について一般市民向けのガイダンスを作成し、ジャーナリズムの目的のために個人データがどのように処理されているかを見直すことを求めています。
3. The draft journalism code of practice builds on the ‘Data protection and journalism: a guide for the media’ published in 2014, and it takes into account the responses from the initial call for views in 2019. You can read the responses here. 3. ジャーナリズムの実践規範の草案は、2014年に発表された「データ保護とジャーナリズム:メディアのためのガイド」を基にしており、2019年に行われた最初の意見募集の回答を考慮しています。回答はこちらでご覧いただけます。
4. The ICO is encouraging journalists, media organisations, civil society and campaign groups, academics, bloggers and members of the public to submit their opinions on the draft code through the consultation by 10 January 2022. 4. ICOは、ジャーナリスト、報道機関、市民社会・キャンペーン団体、学者、ブロガー、一般市民に対し、2022110日までに、コンサルテーションを通じてコード案に対する意見を提出するよう呼びかけています。
5. The ICO will also be running online workshops with the industry in November 2021 to discuss key themes in the code and the development of practical tools and resources. To register your interest to attend the workshops please complete this online survey. 5. ICOはまた、202111月に業界とのオンラインワークショップを開催し、コードの主要テーマや実用的なツールやリソースの開発について議論します。ワークショップへの参加をご希望の方は、このオンラインアンケートにご協力ください。
6. Alongside the draft code, the regulator is also seeking views on a draft impact assessment. Responses will help the ICO understand the practical impact of proposed approaches on organisations and individuals. 6. コードのドラフトと並行して、規制当局は影響評価のドラフトについても意見を求めています。この意見は、提案されたアプローチが組織や個人に与える実際の影響をICOが理解するのに役立ちます。
7. The current consultation and stakeholder engagement will inform a final code of practice the ICO will lay before Parliament. 7. 現在行われているコンサルテーションとステークホルダーエンゲージメントは、ICOが議会に提出する最終的なコードオブプラクティスに反映されます。

 

・2021.10.13 ICO consultation on the draft journalism code of practice

・[PDF] Draft journalism code of practice

20211016-21841

Summary  概要 
About this code  この規範について 
•       This is a statutory code of practice under the Data Protection Act 2018 (DPA 2018) to support organisations and individuals processing personal data for the purposes of journalism.   •    これは、ジャーナリズムの目的で個人データを処理する組織や個人を支援するための、データ保護法2018(DPA2018)に基づく法定の実践規範です。  
•       It will help you to comply with your legal obligations under the DPA 2018 and the UK General Data Protection Regulation (UK GDPR) and follow good practice.  •       DPA2018と英国一般データ保護規則(UK GDPR)に基づく法的義務を遵守し、グッドプラクティスに従うことができます。 
•       This code is primarily aimed at media organisations and journalists whose purpose is to publish journalistic material and who are controllers.  •       この規約は、ジャーナリスティックな内容の出版を目的とし、管理者であるメディア組織やジャーナリストを主な対象としています。 
•       Controllers decide the purpose and means of personal data processing.  •       管理者は、個人データ処理の目的と手段を決定します。 
•       For media organisations, the people most likely to benefit from using this code will be staff who have defined roles and responsibilities, such as lawyers, data protection officers and senior editorial staff.  •       メディア企業の場合、このコードを使用することで最も恩恵を受けるのは、弁護士、データ保護担当者、上級編集スタッフなど、明確な役割と責任を持つスタッフでしょう。 
•       We have produced complementary resources to support journalists in their day-to-day work, and they may find this code helpful if further detail is required.   •       私たちは、ジャーナリストの日々の仕事をサポートするための補足資料を作成しています。  
•       This code is limited to data protection law. It does not concern press conduct or standards in general, which are covered by industry codes.  •       この規約は、データ保護法に限定されています。この規範は、データ保護法に限定されており、業界規範でカバーされている報道機関の行動や基準一般には関係ありません。 
•       This code informs our review of journalism processing in accordance with the statutory requirement under the DPA 2018.  •       このコードは、DPA2018の下での法定要件に従ったジャーナリズム処理のレビューを知らせるものです。 
1. Balance journalism and privacy  1.ジャーナリズムとプライバシーの両立 
•       Journalism plays a vital role in the free flow of communications in a democracy. It increases knowledge, informs debates and helps citizens to participate more fully in society. It also helps to hold the powerful to account.  •       ジャーナリズムは、民主主義社会における自由なコミュニケーションにおいて重要な役割を果たしています。ジャーナリズムは、知識を増やし、議論に情報を提供し、市民がより完全に社会に参加するのを助けます。また、権力者の責任を追及するのにも役立ちます。
•       Journalism should be balanced with other rights that are also fundamentally important to democracy, such as data protection and the right to privacy.  •       ジャーナリズムは、データ保護やプライバシーの権利など、民主主義にとっても根本的に重要な他の権利とバランスをとるべきです。
•       Data protection law specifically protects journalism and the special public interest in freedom of expression and information, reflecting its importance to society.  •       データ保護法は、社会的重要性を反映して、ジャーナリズムと、表現と情報の自由という特別な公益を特に保護しています。 
•       In particular, the broad special purposes exemption under the DPA 2018 can dis-apply many of the usual requirements of data protection law.  •       特に、DPA2018の広範な特別目的免除は、データ保護法の通常の要件の多くを適用外にすることができます。 
•       The special purposes are journalism, academic, artistic or literary purposes. This code is about journalism, however parts of this code will help you to consider the other special purposes.   •       特別な目的とは、ジャーナリズム、学術的、芸術的または文学的な目的です。このコードはジャーナリズムに関するものですが、この規範の一部は他の特別な目的を検討するのに役立ちます。  
•       In relation to journalism, the exemption applies if you:   •       ジャーナリズムとの関連では、以下の場合に免除が適用されます。  
-   are processing personal data for journalism;   -   ジャーナリズムのために個人データを処理している場合。  
-   are acting with a view to publication;   -   出版を視野に入れて行動している場合。  
-   reasonably believe publication is in the public interest; and   -   公開することが公共の利益になると合理的に考えられる場合。  
-   reasonably believe that compliance with a data protection provision would be incompatible with journalism.  -   データ保護規定を遵守することがジャーナリズムと両立しないと合理的に考えられる場合。 
•       You can rely on the special purposes exemption even if you are processing personal data for another purpose, as well as journalism, such as campaigning.  •       選挙運動などのジャーナリズムだけでなく、別の目的で個人データを処理している場合でも、特別目的の免責に頼ることができます。 
•       This code explains which data protection requirements are covered by the exemption.  •       この規範では、どのデータ保護要件が免除の対象となるかを説明しています。 
2.      Be able to demonstrate your compliance  2.      遵守していることを証明できること 
•       Accountability is a key principle of data protection law. Being able to show that you have appropriate data protection measures in place puts you in a much stronger position if challenged. It also helps to build and sustain public trust in journalism.  •       説明責任は、データ保護法の主要な原則です。適切なデータ保護対策を実施していることを示すことができれば、問題を提起されたときにはるかに有利な立場に立つことができます。また、ジャーナリズムに対する国民の信頼を築き、維持することにもつながります。 
•       Journalism often involves working at pace, under pressure and delegating significant responsibilities. Policies and procedures can support this type of work. For example, a good policy can clarify responsibilities around how decisions are made.  •       ジャーナリズムでは、ペースやプレッシャーの中で仕事をしたり、重要な責任を委任したりすることがよくあります。ポリシーと手順は、この種の仕事をサポートします。例えば、優れたポリシーは、意思決定の方法に関する責任を明確にすることができます。 
•       You can comply with the accountability principle by acting proportionately and considering the risks of what you are doing with personal data.   •       比例して行動し、個人データで行うことのリスクを考慮することで、説明責任の原則を遵守することができます。  
•       Many media organisations, in line with industry codes, will already have suitable broader policies and procedures in place that can be easily adapted to include data protection considerations.  •       多くのメディア企業は、業界規範に沿って、データ保護の考慮事項を簡単に取り入れることができる適切な広範なポリシーと手順をすでに持っています。 
•       You do not need to carry out a data protection impact assessment (DPIA) for every story that is likely to involve high risk processing. A single DPIA that applies to the overall type of processing (eg investigative journalism) is very likely to be sufficient. A DPIA sets out how you manage the risks of the different types of processing you carry out.  •       高リスクの処理を伴う可能性のあるすべての記事について、データ保護影響評価(DPIA)を実施する必要はありません。全体的な処理の種類(例:調査報道)に適用される単一のDPIAで十分な場合があります。DPIAは、実施するさまざまな種類の処理のリスクを管理する方法を定めたものです。 
•       Reviewing the effectiveness of the data protection measures you have in place will help you to demonstrate you are complying with the law.  •       導入したデータ保護対策の有効性を確認することで、法律を遵守していることを証明することができます。 
•       You always need to comply with the accountability principle. It will stand you in good stead to comply with all aspects of data protection legislation.   •       説明責任の原則を常に遵守する必要があります。これにより、データ保護法のすべての側面を遵守することができるようになります。  
3.      Keep personal data secure  3.      個人情報を安全にしておく
•       Security is a key principle of data protection law. It involves protecting personal data against unauthorised or unlawful processing and accidental loss, destruction or damage.   •       セキュリティは、データ保護法の重要な原則です。これには、不正または違法な処理、および偶発的な損失、破壊、損害から個人データを保護することが含まれます。  
•       You can protect personal data by putting in place appropriate, risk-based organisational and technical security measures. This involves cybersecurity as well as how your staff handle paper records, for example.  •       個人データを保護するには、リスクに応じた適切な組織的・技術的セキュリティ対策を講じる必要があります。これには、サイバーセキュリティだけでなく、スタッフによる紙の記録の扱い方なども含まれます。 
•       Your security arrangements should take into account the heightened security risks that may arise as a result of the work that journalists do. For example, risks concerning remote working, the use of portable devices, such as laptops and smart phones, and portable media, such as USB memory sticks.  •       セキュリティ対策は、ジャーナリストの仕事によって生じる可能性のある、高度なセキュリティリスクを考慮したものでなければなりません。例えば、遠隔地での作業、ノートパソコンやスマートフォンなどの携帯機器、USBメモリーなどの携帯メディアの使用に関するリスクです。 
•       Asking processors acting on your behalf to show that they can keep personal data secure also helps you to protect people’s personal data.   •       あなたに代わって業務を行う処理業者に、個人データを安全に保つことができることを示すよう求めることも、人々の個人データを保護することにつながります。  
•       You always need to comply with the security principle. As with the accountability principle, it provides strong foundations to help you to comply with other aspects of data protection law.  •       セキュリティの原則は常に遵守する必要があります。説明責任の原則と同様に、セキュリティの原則は、データ保護法の他の側面を順守するための強力な基盤となります。 
4.      Justify your use of personal data  4.      個人データの使用を正当化する 
•       Processing personal data lawfully, fairly and transparently is a key principle of data protection law. It helps you to make sure that individuals are treated according to commonly accepted general standards, in a way that is free from dishonesty and injustice.  •       個人データを合法的に、公正かつ透明性をもって処理することは、データ保護法の主要な原則です。この原則は、一般的に受け入れられている一般的な基準に従って、個人が不正や不公平のない方法で扱われるようにするために役立ちます。 
•       This principle helps you to balance different interests, which is often a key part of a journalist’s role.  •       この原則は、ジャーナリストの役割の多くを占める、異なる利害関係のバランスをとるのに役立ちます。 
•       You can process personal data lawfully using one of the lawful bases provided by the UK GDPR. You can process special category or criminal offence data if you can also satisfy one of the conditions concerning this type of personal data.  •       あなたは、英国のGDPRで規定されている合法的根拠の一つを用いて、個人データを合法的に処理することができます。また、この種の個人データに関する条件の1つを満たすことができる場合は、特別なカテゴリーまたは犯罪歴のあるデータを処理することができます。 
•       One of the conditions concerns the disclosure of information for the purposes of journalism in connection with unlawful acts and dishonesty. This condition allows controllers to disclose these types of sensitive personal data to journalists in some circumstances.  •       その条件の1つは、違法行為や不正行為に関連したジャーナリズムの目的での情報開示に関するものです。この条件により、管理者は状況に応じて、これらの種類のセンシティブな個人データをジャーナリストに開示することができます。 
•       You can process personal data fairly by considering what a person would reasonably expect in the circumstances and whether the processing would cause any unwarranted harm.   •       個人データを公正に処理するには、その状況下で人が合理的に期待することを考慮し、その処理によって不当な損害が発生しないかどうかを検討します。  
•       You can comply with people’s right to be informed by providing privacy information when you collect their personal data.   •       個人情報を収集する際にプライバシー情報を提供することで、人々の情報提供を受ける権利を遵守することができます。  
•       If you have collected personal data about an individual from someone else, you do not have to provide privacy information if doing so would be impossible or would seriously impair your work.  •       他人から個人に関するデータを収集した場合、プライバシー情報を提供することが不可能であるか、またはあなたの業務に重大な支障をきたす場合は、プライバシー情報を提供する必要はありません。 
•       The special purposes exemption provides additional protection for journalism where necessary.   •       特別な目的のための免責は、必要に応じてジャーナリズムに対する追加的な保護を提供します。  
5.      Take reasonable steps to make sure personal data is accurate   5.      個人データが正確であることを確認するための合理的な措置を講じること  
•       Accuracy is a key data protection principle. Taking reasonable steps to make sure that personal data is accurate is fundamental to both journalism and data protection.   •       正確性は、データ保護の重要な原則です。個人データが正確であることを確認するために合理的な措置を講じることは、ジャーナリズムとデータ保護の両方にとって基本的なことです。  
•       Complying with this principle complements journalism by helping to maintain public trust. It will also help you to protect the public from harm caused by inaccuracies, which can be magnified and spread quickly online.   •       この原則を遵守することで、ジャーナリズムを補完し、公共の信頼を維持することができます。また、不正確な情報はネット上ですぐに拡大・拡散されてしまうため、それによる被害から一般市民を守ることにもつながります。  
•       You can comply with the accuracy principle by taking reasonable steps to correct or erase personal data where necessary.  •       必要に応じて個人データを修正または消去するための合理的な措置を講じることにより、正確性の原則を遵守することができます。 
•       Clearly distinguishing between fact and opinion, and taking the context into account, will help you to make sure personal data is accurate.  •       事実と意見を明確に区別し、文脈を考慮することで、個人データの正確性を確保することができます。 
•       You should be able to comply with the accuracy principle in the majority of cases because it complements the public interest served by journalism. Where necessary, the special purposes exemption specifically protects journalism.   •       正確性の原則は、ジャーナリズムが提供する公共の利益を補完するものであるため、大半のケースで遵守することができるはずです。必要に応じて、特別目的のための免責がジャーナリズムを特別に保護します。  
6.      Process personal data for specific purposes  6.      特定の目的のための個人データの処理 
•       Processing personal data for specific purposes that are “compatible” with your initial purpose is a key data protection principle.   •       当初の目的と「互換性」のある特定の目的のために個人データを処理することは、データ保護の重要な原則です。  
•       Being clear about why you are using personal data helps individuals to be informed and exercise their rights. It also helps you to avoid function creep. This is when personal data is used for new purposes that are not acknowledged.   •       個人データを使用する理由を明確にすることは、個人が情報を得て、自分の権利を行使するのに役立ちます。また、ファンクションクリープを回避することもできます。これは、個人データが認識されていない新しい目的のために使用されることです。  
•       You can comply with the purpose limitation principle by specifying your reasons for processing in your privacy information.   •       あなたは、プライバシー情報に処理の理由を明記することで、目的制限の原則を遵守することができます。  
•       Regular review will help you to check whether your purposes change over time and to keep your records up-to-date.   •       定期的に見直すことで、時間の経過とともに目的が変化していないかどうかを確認し、記録を最新の状態に保つことができます。  
•       Where necessary, the special purposes exemption specifically protects journalism.  •       必要に応じて、特別な目的のための免責がジャーナリズムを特別に保護します。 
7.       Use the right amount of personal data  7.       適切な量の個人情報の使用 
•       You are required to make sure that you have sufficient personal data to do what you need to do, that it is relevant, and not excessive. This is known as the data minimisation principle.  •       あなたは、必要なことを行うために十分な個人データを持ち、それが適切であり、過剰でないことを確認する必要があります。これは「データ最小化の原則」として知られています。 
•       Limiting the amount of personal data that you hold helps to manage risks. It will also make it easier to limit requests about personal data and deal with them more efficiently.   •       保有する個人データの量を制限することで、リスクを管理することができます。また、個人データに関する要求を制限し、より効率的に対処することが容易になります。  
•       You can comply with the data minimisation principle by reviewing the personal data that you have from time to time and deleting anything you no longer need. •       保有する個人データを随時見直し、不要になったものを削除することで、データ最小化の原則を遵守することができます。 
•       Where necessary, the special purposes exemption specifically protects journalism.   •       必要に応じて、特別な目的のための免責がジャーナリズムを特別に保護します。  
8.      Decide how long to keep personal data  8.      個人情報の保存期間の決定 
•       You are required to keep personal data for no longer than is necessary. This principle helps you to reduce risks and comply with other aspects of data protection law.   •       あなたは、個人データを必要以上に長く保管しないことが求められます。この原則は、リスクを低減し、データ保護法の他の側面を遵守するのに役立ちます。  
•       A retention policy or schedule will help you to justify how long to keep personal data, where this is possible  •       保存方針やスケジュールは、個人データをどのくらいの期間保存するかを正当化するのに役立ちます(可能な場合)。 
•       Where necessary, the special purposes exemption specifically protects journalism.  •       必要に応じて、特別な目的のための免責がジャーナリズムを特別に保護します。 
9.      Be clear about third party roles and responsibilities  9.      第三者の役割と責任を明確にする 
•       When a third party is involved in processing personal data, consider whether they are a controller or a processor. Controllers determine the means and purposes for processing personal data, whereas processors act only on instructions.  •       第三者が個人データの処理に関与している場合、その第三者が管理者なのか処理者なのかを検討します。管理者は個人データを処理する手段と目的を決定するのに対し、処理者は指示に基づいてのみ行動します。 
•       Understanding the respective roles of yourself and third parties will help you to be clear about responsibilities.  •       自分と第三者のそれぞれの役割を理解することで、責任の所在を明確にすることができます。 
•       You are required to have a written contract with processors and to make sure that they can comply with data protection law.   •       処理者と書面による契約を結び、処理者がデータ保護法を遵守できることを確認することが求められます。  
•       If you are acting as a joint controller with a third party ie you both determine the means and purposes of the processing, the law requires you to have a transparent arrangement in place setting out your respective responsibilities.   •       第三者と共同管理者として行動している場合、つまり、あなたと第三者の両方が処理の手段と目的を決定している場合、法律はあなたがそれぞれの責任を定めた透明性のある取り決めを行うことを要求しています。  
•       When sharing personal data with another controller, a data sharing agreement will help you to be clear about arrangements and responsibilities. Considering whether a DPIA is needed will help you to manage any associated risks.   •       個人データを他の管理者と共有する場合、データ共有契約を締結することで、取り決めと責任を明確にすることができます。DPIAが必要かどうかを検討することは、関連するリスクを管理するのに役立ちます。  
•       Carrying out appropriate checks when third parties share personal data with you that you want to use for journalism will help you to be confident that you are complying with data protection law. Relevant checks include confirming the source, how and when the data was collected, and checking that it is accurate. •       ジャーナリズムのために使用したい個人データを第三者と共有する際には、適切なチェックを行うことで、データ保護法を遵守していることを確信することができます。適切なチェックには、情報源の確認、データがいつ、どのようにして収集されたかの確認、データが正確であるかの確認などがあります。
10.  Help people to exercise their data protection rights  10.  データ保護の権利行使の支援 
•       Individuals have general data protection rights which they can exercise on request. These include an individual’s right to access their own personal data and to ask for it to be erased if certain conditions are met. You are required to help people to exercise these rights.   •       個人は、要求に応じて行使できる一般的なデータ保護権を有しています。この権利には、自分の個人データにアクセスする権利や、一定の条件を満たした場合にデータの消去を求める権利などがあります。あなたは、人々がこれらの権利を行使できるように支援することが求められます。  
•       However, you may refuse to comply with individual requests in certain circumstances.  •       ただし、特定の状況下では、個別の要求に応じることを拒否することができます。 
•       There is a very strong, general public interest in protecting the identity of journalists’ confidential sources. It is very unlikely you would be required to disclose information identifying a confidential source in response to an individual’s request for their own personal data.  •       ジャーナリストの機密情報源の身元を保護することには、非常に強い一般的な公共の利益があります。個人からの個人情報の要求に対して、情報源を特定する情報の開示を求められる可能性は極めて低いと考えられます。 
•       You can keep records of mistakes. To make sure that your records are clear, you may need to add a note or a correction.  •       間違いの記録を残すことができます。記録を明確にするために、メモや訂正を加える必要があるかもしれません。 
•       The right to erasure does not apply if your processing is necessary to exercise the right to freedom of expression and information.  •       消去する権利は、表現の自由および情報の権利を行使するために処理が必要な場合には適用されません。 
•       There is a strong, general public interest in the preservation of news archives, which contribute significantly to the public’s access to information about past events and contemporary history. This is generally a weighty factor in favour of not erasing personal data from news archives.   •       ニュースアーカイブは、過去の出来事や現代の歴史に関する情報へのアクセスに大きく貢献しており、その保存には強い一般的な関心があります。このことは、一般的に、ニュースアーカイブから個人データを消去しないことを支持する重要な要因となります。  
•       Where necessary, the special purposes exemption specifically protects journalism. This applies to all individuals’ rights except for rights relating to automated processing.  •       必要に応じて、特別な目的のための免責がジャーナリズムを特別に保護します。これは、自動処理に関する権利を除く、すべての個人の権利に適用されます。 
Disputes and enforcement  紛争と執行 
•       If someone has concerns about your handling of personal data, it helps to save the time and resources of all parties if you are able to resolve the matter directly with the individual in the first instance.   •       あなたの個人データの取り扱いに懸念を抱いている人がいる場合、最初にその人と直接問題を解決することができれば、すべての関係者の時間とリソースを節約することができます。  
•       If a complaint is made to the ICO, we will consider whether it is likely that there has been a breach of data protection and we may ask you to take steps to put things right.  •       ICOに苦情が寄せられた場合、ICOはデータ保護の違反があった可能性が高いかどうかを検討し、事態を改善するための措置を講じるようあなたにお願いすることがあります。 
•       We exercise our enforcement powers, where necessary, in a proportionate way. The DPA 2018 significantly restricts how we can use our powers for the special purposes, offering additional protection for journalism.   •       私たちは、必要に応じて、適切な方法で強制力を行使します。DPA2018では、特別な目的のために権限を行使する方法が大幅に制限されており、ジャーナリズムにさらなる保護を提供しています。  
•       There are a number of criminal offences under the DPA 2018. However, there are public interest defences available for some of these. This includes a specific defence to protect journalism, where the person acted with a view to the publication of journalistic material and in the reasonable belief that publication would be in the public interest.  •       DPA2018では、多数の刑事犯罪があります。しかし、これらのうちのいくつかには公共の利益に関する抗弁があります。これには、ジャーナリズムを保護するための特定の抗弁が含まれており、ジャーナリズム資料の公開を視野に入れて、公開が公益になると合理的に信じて行動した場合に適用されます。 
•       The ICO may offer assistance to claimants in cases of substantial public importance.  •       ICOは、公共の重要性が高いケースでは、請求者に支援を提供することがあります。 
•       In certain circumstances you can apply for a stay to legal proceedings. This prevents data protection being used to block publication.  •       特定の状況下では、法的手続きの停止を申請することができます。これにより、データ保護を利用して公開を阻止することができます。 

 

・[DOCX] 仮訳

 

 

| | Comments (0)

2021.10.15

欧州議会 Think Tank 「困難な時代におけるEU・中国関係」

こんにちは、丸山満彦です。

EUと中国の関係の今についての簡単な説明ですね。。。参考になります。

 

EU Parliament - Think Tank

・2021.10.14 EU-China relations in challenging times

・[PDF

20211015-90334

 

EU-China relations in challenging times 困難な時代におけるEU・中国関係
SUMMARY  概要 
Following the 1975 establishment of diplomatic relations with China, the European Economic Community (EEC) focused its strategic approach – in line with its competences at the time – on support for China's economic opening, launched in 1978 by Deng Xiaoping. While this approach resulted in a swiftly expanding trade and investment relationship, results in other areas are rather mixed. By most accounts, the strategy also failed to contribute to making significant progress on the rule of law in China and there were no visible results of the EU's human rights engagement.  1975年に中国との外交関係が樹立された後、欧州経済共同体(EEC)は、当時の権限に沿った戦略的アプローチとして、1978年に鄧小平が開始した中国の経済開放への支援に焦点を当てました。このアプローチにより、貿易・投資関係は急速に拡大しましたが、その他の分野での成果はまちまちです。一般的には、この戦略は中国の法の支配を大きく進展させることには貢献しておらず、EUの人権への関与も目に見える成果はありませんでした。 
Given that, at the beginning of Deng's reforms, China was very poor, the EEC/European Union (EU) de facto agreed to an arrangement for special and differential treatment, linked to China's status as a developing country. However, with China having become an upper-middle income country and the bilateral trade relationship still characterised by considerable asymmetries, the existing lack of reciprocity in market access and of a level playing field in general have attracted increasing attention.  鄧小平の改革が始まった当初、中国は非常に貧しかったため、EEC/欧州連合(EU)は中国の発展途上国としての地位に関連した特別・優遇的待遇の取り決めに事実上合意しました。しかし、中国が高中所得国となり、二国間の貿易関係は依然としてかなりの非対称性を特徴としているため、市場アクセスや一般的に公平な競争条件における相互性の欠如が注目を集めています。 
At the same time, China has been regressing in terms of human rights. Furthermore, the country has become much more assertive in the regional context, is fast improving its (offensive) military capabilities and has started to engage in global disinformation campaigns and cyber-attacks.  その一方で、中国は人権の面でも後退しています。さらに、中国は地域的に自己主張を強め、(攻撃的な)軍事力を急速に向上させ、世界的な偽情報キャンペーンやサイバー攻撃にも関与し始めています。 
As a consequence, the EU has changed its strategic approach considerably, as exemplified by the 2019 Joint Communication, which proposed different legal instruments to ensure a level playing field in trade, and to fend off Chinese attempts to gain access to critical infrastructures. Relations with the European Parliament have deteriorated, pushing Parliament to put the comprehensive agreement on investment (CAI) – which had been agreed on 30 December 2020 – on ice. その結果、EUは戦略的アプローチを大幅に変更しました。その一例として、2019年の共同コミュニケーションでは、貿易における公平な競争条件を確保し、重要なインフラへのアクセスを得ようとする中国の試みを撃退するために、さまざまな法的手段を提案しています。欧州議会との関係は悪化し、議会は2020年12月30日に合意していた投資に関する包括的合意(CAI)を氷解させるに至りました。

 

・[DOCX] 仮訳

 

| | Comments (0)

米国 国家安全保障会議ランサムウェア対策イニシアチブ

こんにちは、丸山満彦です。

米国の国家安全保障会議のランサムウェア対策イニシアチブが30カ国を招いてでオンライン開催されましたね。。。インドは招待されていましたが、ロシアと中国は招待されていなかったようですね。。。

あっ、日本も参加しています。。。

国家対国家の問題でなく、犯罪者に対してどう立ち向かうのかということであれば、ロシアと中国も含めてみんなで議論をしたほうがよいのではないかと思ったりはしましたが、深慮遠謀があるのでしょう...ロシアとは個別に会議をしているとのことです。。。

The White House

・2021.10.14 Joint Statement of the Ministers and Representatives from the Counter Ransomware Initiative Meeting October 2021

・2021.10.13 FACT SHEET: Ongoing Public U.S. Efforts to Counter Ransomware

・2021.10.13 Background Press Call on the Virtual Counter-Ransomware Initiative Meeting

 


・2021.10.14 Joint Statement of the Ministers and Representatives from the Counter Ransomware Initiative Meeting October 2021

 

Joint Statement of the Ministers and Representatives from the Counter Ransomware Initiative Meeting October 2021< 2021年10月に開催されたランサムウェア対策イニシアチブ会合の閣僚および代表者の共同声明
Having gathered virtually on October 13 and 14 to discuss the escalating global security threat from ransomware, we the Ministers and Representatives of Australia, Brazil, Bulgaria, Canada, Czech Republic, the Dominican Republic, Estonia, European Union, France, Germany, India, Ireland, Israel, Italy, Japan, Kenya, Lithuania, Mexico, the Netherlands, New Zealand, Nigeria, Poland, Republic of Korea, Romania, Singapore, South Africa, Sweden, Switzerland, Ukraine, United Arab Emirates, the United Kingdom, and the United States recognize that ransomware is an escalating global security threat with serious economic and security consequences. ランサムウェアによる世界的な安全保障上の脅威の拡大について議論するために、10月13日と14日に事実上集まった私たち、オーストラリア、ブラジル、ブルガリア、カナダ、チェコ共和国、ドミニカ共和国、エストニア、欧州連合、フランス、ドイツ、インド、アイルランド、イスラエル、イタリア、日本、ケニア、リトアニア、メキシコ、オランダ、ニュージーランド、ナイジェリア、ポーランド、韓国、ルーマニアの閣僚と代表は、ランサムウェア対策イニシアチブの共同声明を発表します。メキシコ、オランダ、ニュージーランド、ナイジェリア、ポーランド、韓国、ルーマニア、シンガポール、南アフリカ、スウェーデン、スイス、ウクライナ、アラブ首長国連邦、英国、米国は、ランサムウェアが深刻な経済的および安全保障上の影響をもたらすグローバルなセキュリティ脅威であることを認識しています。
From malign operations against local health providers that endanger patient care, to those directed at businesses that limit their ability to provide fuel, groceries, or other goods to the public, ransomware poses a significant risk to critical infrastructure, essential services, public safety, consumer protection and privacy, and economic prosperity. As with other cyber threats, the threat of ransomware is complex and global in nature and requires a shared response. A nation’s ability to effectively prevent, detect, mitigate and respond to threats from ransomware will depend, in part, on the capacity, cooperation, and resilience of global partners, the private sector, civil society, and the general public. 患者の治療を危険にさらす地域の医療機関を狙った悪質なものから、燃料や食料品などを一般市民に提供する能力を制限する企業を狙ったものまで、ランサムウェアは、重要なインフラ、重要なサービス、公共の安全、消費者保護とプライバシー、そして経済的繁栄に大きなリスクをもたらします。他のサイバー脅威と同様に、ランサムウェアの脅威は複雑かつグローバルな性質を持っており、共通の対応が必要です。ランサムウェアの脅威を効果的に防止、検知、緩和、対応するための国家の能力は、グローバルパートナー、民間企業、市民社会、一般市民の能力、協力、回復力に大きく左右されます。
Governments recognize the need for urgent action, common priorities, and complementary efforts to reduce the risk of ransomware. Efforts will include improving network resilience to prevent incidents when possible and respond effectively when incidents do occur; addressing the abuse of financial mechanisms to launder ransom payments or conduct other activities that make ransomware profitable; and disrupting the ransomware ecosystem via law enforcement collaboration to investigate and prosecute ransomware actors, addressing safe havens for ransomware criminals, and continued diplomatic engagement. 各国政府は、ランサムウェアのリスクを低減するためには、緊急の行動、共通の優先事項、および補完的な取り組みが必要であることを認識しています。この取り組みには、可能な限りインシデントを防止し、インシデント発生時に効果的に対応するためのネットワークの回復力の向上、身代金の支払いをロンダリングするための金融メカニズムの乱用やランサムウェアを収益性の高いものにするためのその他の活動への対応、ランサムウェアの行為者を捜査・起訴するための法執行機関の協力、ランサムウェア犯罪者のセーフハーバへの対応、継続的な外交的関与を通じたランサムウェアのエコシステムの破壊などが含まれます。
Resilience  レジリエンス 
Network resilience is about more than technical capabilities – it also requires effective policy frameworks, appropriate resources, clear governance structures, transparent and well-rehearsed incident response procedures, a trained and ready workforce, partnership with the private sector, and consistently enforced legal and regulatory regimes. These efforts will naturally reflect each nation’s unique domestic context, and may vary from one nation to the next. ネットワークの回復力は、技術的な能力だけではありません。効果的な政策フレームワーク、適切なリソース、明確なガバナンス構造、透明性のある十分に訓練されたインシデント対応手順、訓練された準備の整った労働力、民間部門とのパートナーシップ、一貫して施行される法規制体制などが必要です。このような取り組みは、当然、各国固有の国内事情を反映したものであり、国ごとに異なる可能性があります。
However, several universal cybersecurity best practices can dramatically reduce the likelihood of a ransomware incident and mitigate the risk from a host of other cyber threats. These basic steps include maintaining offline data backups, use of strong passwords and multi-factor authentication, ensuring software patches are up to date, and education against clicking suspicious links or opening untrusted documents. We are committed to working together and with the private sector to promote improvements in basic cyber hygiene to boost network resilience and mitigate the risk of ransomware. しかし、いくつかの普遍的なサイバーセキュリティのベストプラクティスは、ランサムウェア事件の可能性を劇的に減少させ、他の多くのサイバー脅威からのリスクを軽減することができます。これらの基本的な対策には、オフラインでのデータバックアップの維持、強力なパスワードと多要素認証の使用、ソフトウェアのパッチを最新の状態にすること、不審なリンクをクリックしたり信頼できない文書を開いたりしないよう教育することなどが含まれます。私たちは、ネットワークの回復力を高め、ランサムウェアのリスクを軽減するために、基本的なサイバー衛生の改善を促進するために、共同で、また民間部門と協力して取り組んでいます。
Nations should also consider appropriate steps to promote incident information sharing between ransomware victims and relevant law enforcement and cyber emergency response teams (CERTs), with protection for privacy and human rights. Such sharing enables cybercrime investigations and prosecutions, and facilitates broad distribution of cyber threat mitigation steps.    また、各国は、ランサムウェアの被害者と、関連する法執行機関やサイバー緊急対応チーム(CERT)との間で、プライバシーや人権を保護しつつ、インシデント情報の共有を促進するための適切な措置を検討すべきです。このような共有は、サイバー犯罪の捜査と起訴を可能にし、サイバー脅威の緩和策を広く普及させることにつながります。   
Moving forward, we are committed to sharing lessons learned and best practices for development of policies to address ransom payments, as appropriate. We will also engage with private sector entities to promote incident information sharing and to explore other opportunities for collective buy-down of risk. Further, we note that resilience efforts are most effective when accountable senior leaders with the ability to direct resources, balance associated trade-offs, and drive outcomes are actively involved in cybersecurity decision-making. 今後は、身代金の支払いに対処するための政策を策定する上で得られた教訓やベストプラクティスを適宜、共有していきたいと考えています。また、インシデント情報の共有を促進し、リスクをまとめて買い取るためのその他の機会を模索するために、民間企業と協力していきます。さらに、私たちは、リソースを指示し、関連するトレードオフのバランスを取り、結果を推進する能力を持つ説明可能なシニアリーダーが、サイバーセキュリティの意思決定に積極的に関与する場合に、レジリエンスの取り組みが最も効果的であることに留意します。
Countering Illicit Finance 不法金融への対策
Ransomware is primarily a profit-seeking endeavor, commonly leveraging money laundering networks to move ransomware proceeds. We recognize the significant potential for combating ransomware through enhanced international cooperation to inhibit, trace, and interdict ransomware payment flows, consistent with national laws and regulations, which will drive down economic incentives for ransomware actors. Cooperation can include a wide range of activities, such as efforts intended to facilitate customer due diligence, suspicious activity reporting, and transaction monitoring.   ランサムウェアは主に利益を追求するもので、ランサムウェアの収益を移動させるためにマネーロンダリングネットワークを利用するのが一般的です。私たちは、各国の法律や規制に基づき、ランサムウェアの支払いの流れを抑制、追跡、阻止するための国際協力を強化することで、ランサムウェアに対抗する大きな可能性を認識しています。協力には、顧客のデューデリジェンス、疑わしい活動の報告、取引の監視を促進するための取り組みなど、幅広い活動が含まれます。 
Taking action to disrupt the ransomware business model requires concerted efforts to address illicit finance risks posed by all value transfer systems, including virtual assets, the primary instrument criminals use for ransomware payments and subsequent money laundering. We acknowledge that uneven global implementation of the standards of the Financial Action Task Force (FATF) to virtual assets and virtual asset service providers (VASPs) creates an environment permissive to jurisdictional arbitrage by malicious actors seeking platforms to move illicit proceeds without being subject to appropriate anti-money laundering (AML) and other obligations. We also recognize the challenges some jurisdictions face in developing frameworks and investigative capabilities to address the constantly evolving and highly distributed business operations involving virtual assets. ランサムウェアのビジネスモデルを崩壊させるためには、犯罪者がランサムウェアの支払いやその後のマネーロンダリングに使用する主要な手段である仮想資産を含む、あらゆる価値伝達システムがもたらす不法金融のリスクに対処するための協調的な取り組みが必要です。私たちは、金融活動作業部会(FATF)の基準を仮想資産及び仮想資産サービス・プロバイダー(VASP)に対して世界的に統一して実施することが、適切なマネーロンダリング防止(AML)等の義務に服することなく不正な収益を移動させるプラットフォームを求める悪意のある行為者による法域間の裁定を許容する環境を作り出すことを認識している。また、仮想資産を利用した高度に分散された事業活動を継続的に発展させるためのフレームワークや捜査能力の開発において、一部の法域が直面している課題を認識しています。
We are dedicated to enhancing our efforts to disrupt the ransomware business model and associated money-laundering activities, including through ensuring our national AML frameworks effectively identify and mitigate risks associated with VASPs and related activities. We will enhance the capacity of our national authorities, to include regulators, financial intelligence units, and law enforcement to regulate, supervise, investigate, and take action against virtual asset exploitation with appropriate protections for privacy, and recognizing that specific actions may vary based on domestic contexts.  We will also seek out ways to cooperate with the virtual asset industry to enhance ransomware-related information sharing. 私たちは、ランサムウェアのビジネスモデルとそれに関連するマネーロンダリング活動を阻止するための取り組みを強化することに注力しています。これには、各国のAMLフレームワークが、VASPとそれに関連する活動に関連するリスクを効果的に特定し、軽減することも含みます。私たちは、規制当局、金融情報機関、法執行機関を含む国家機関の能力を強化し、プライバシーを適切に保護しつつ、仮想資産の搾取に対する規制、監督、調査、措置を行うとともに、具体的な行動が国内の状況に応じて異なることを認識する。  また、仮想資産業界と協力して、ランサムウェア関連の情報共有を強化する方法を模索していきます。
Disruption and other Law Enforcement Efforts 分裂と他の法執行機関への取り組み
Beyond implementing measures to improve resilience and harden our financial system from exploitation, we must also act to degrade and hold accountable ransomware criminal operators.  Ransomware criminal activity is often transnational in nature, and requires timely and consistent collaboration across law enforcement, national security authorities, cybersecurity agencies, and financial intelligence units. Such collaboration must be consistent with domestic legal requirements, and may be pursued alongside diplomatic engagement so that malicious activity can be identified and addressed, and the actors responsible can be investigated and prosecuted.  Together, we must take appropriate steps to counter cybercriminal activity emanating from within our own territory and impress urgency on others to do the same in order to eliminate safe havens for the operators who conduct such disruptive and destabilizing operations. 私たちは、金融システムの回復力を高め、悪用されないようにするための対策を実施するだけでなく、ランサムウェアの犯罪者の能力を低下させ、責任を取らせるためにも行動しなければなりません。  ランサムウェアの犯罪行為は、その性質上、国境を越えて行われることが多く、法執行機関、国家安全保障当局、サイバーセキュリティ機関、金融情報機関などがタイムリーかつ一貫性のある連携を行う必要があります。このような協力体制は、国内の法的要件と一致していなければならず、悪意のある活動を特定して対処し、責任のある行為者を調査して起訴できるよう、外交的な関与と並行して進めていくことも可能です。  このような破壊的で不安定な活動を行う事業者のセーフハーバーをなくすために、私たちは共に、自国の領域内で発生するサイバー犯罪行為に対抗するための適切な措置を講じ、他国にも同様の措置を講じるよう強く求めなければなりません。
We intend to cooperate with each other and with other international partners to enhance the exchange of information and provide requested assistance where able to combat ransomware activity leveraging infrastructure and financial institutions within our territories. We will consider all national tools available in taking action against those responsible for ransomware operations threatening critical infrastructure and public safety. 私たちは、お互いに、また他の国際的なパートナーと協力して、情報交換を強化し、私たちの領域内のインフラや金融機関を利用したランサムウェア活動に対抗するために、必要な支援を提供するつもりです。私たちは、重要なインフラや公共の安全を脅かすランサムウェアの実行者に対して行動を起こすために、国内で利用可能なあらゆる手段を検討します。
Diplomacy 外交
In addition to disruption of the ransomware ecosystem, diplomatic efforts can promote rules-based behavior and encourage states to take reasonable steps to address ransomware operations emanating from within their territory. We will leverage diplomacy through coordination of action in response to states whenever they do not address the activities of cybercriminals. Such collaboration will be a critical component to meaningfully reduce safe havens for ransomware actors. ランサムウェアのエコシステムを破壊するだけでなく、外交的な努力によって、ルールに基づく行動を促進し、自国の領土内で発生したランサムウェアに対処するための合理的な措置をとるよう各国に働きかけることができます。私たちは、国家がサイバー犯罪者の活動に対処しない場合には、国家に対する行動を調整することで、外交を活用します。このような連携は、ランサムウェアの活動家の安全な避難場所を有意義に減らすための重要な要素となります。

 

 

・2021.10.13 FACT SHEET: Ongoing Public U.S. Efforts to Counter Ransomware

FACT SHEET: Ongoing Public U.S. Efforts to Counter Ransomware ファクトシート:ランサムウェア対策における米国の継続的な公的取り組み
This week the National Security Council is facilitating an international counter-ransomware event with over 30 partners to accelerate cooperation on improving network resilience, addressing the financial systems that make ransomware profitable, disrupting the ransomware ecosystem via law enforcement collaboration, and leveraging the tools of diplomacy to address safe harbors and improve partner capacity. 今週、米国家安全保障会議は、ネットワークの回復力の向上、ランサムウェアの収益性を高める金融システムへの対応、法執行機関との連携によるランサムウェアのエコシステムの破壊、セーフハーバーへの対応とパートナーの能力向上のための外交手段の活用などの協力を促進するために、30以上のパートナーとともにランサムウェア対策の国際イベントを開催しています。
Ransomware incidents have disrupted critical services and businesses worldwide – schools, banks, government offices, emergency services, hospitals, energy companies, transportation, and food companies have all been affected. Ransomware attackers have targeted organizations of all sizes, regardless of where they are located. The global economic losses from ransomware are significant. Ransomware payments reached over $400 million globally in 2020, and topped $81 million in the first quarter of 2021, illustrating the financially driven nature of these activities. ランサムウェアは、学校、銀行、政府機関、救急隊、病院、エネルギー会社、交通機関、食品会社など、世界中の重要なサービスやビジネスに影響を与えてきました。ランサムウェアの攻撃者は、場所を問わず、あらゆる規模の組織を標的にしています。ランサムウェアによる世界的な経済損失は甚大です。ランサムウェアによる支払いは、2020年には世界全体で4億ドル以上に達し、2021年の第1四半期には8,100万ドルを突破しており、これらの活動が経済的に成り立っていることを示しています。
The Biden Administration has pursued a focused, integrated effort to counter the threat. Yet, government action alone is not enough. The Administration has called on the private sector, which owns and operates the majority of U.S. critical infrastructure, to modernize their cyber defenses to meet the threat of ransomware. The Administration has announced specific efforts to encourage resilience, including voluntary cyber performance goals, classified threat briefings for critical infrastructure executives and the Industrial Control Systems Cybersecurity Initiative. And, the Administration has stepped up to lead international efforts to fight ransomware. International partnership is key since transnational criminal organizations are often the perpetrators of ransomware crimes, leveraging global infrastructure and money laundering networks to carry out their attacks. バイデン政権は、この脅威に対抗するため、重点的かつ統合的な取り組みを進めています。しかし、政府の活動だけでは十分ではありません。バイデン政権は、米国の重要インフラの大部分を所有・運営する民間企業に対して、ランサムウェアの脅威に対応するためにサイバー防御を近代化するよう呼びかけています。政権は、自主的なサイバーパフォーマンス目標、重要インフラの幹部に対する機密脅威の説明会、産業用制御システム・サイバーセキュリティ・イニシアチブなど、回復力を高めるための具体的な取り組みを発表しました。また、ランサムウェアに対抗するための国際的な取り組みを主導するためにも、政府は積極的に動いています。ランサムウェアによる犯罪の実行者は多国籍の犯罪組織であることが多く、グローバルなインフラやマネーロンダリングネットワークを活用して攻撃を行っているため、国際的なパートナーシップが重要です。
The Administration’s counter-ransomware efforts are organized along four lines of effort: 米国政府のランサムウェア対策は、4つの取り組みラインに沿って構成されています。
Disrupt Ransomware Infrastructure and Actors: The Administration is bringing the full weight of U.S. government capabilities to disrupt ransomware actors, facilitators, networks and financial infrastructure; ランサムウェアのインフラとアクターを破壊する:ランサムウェアのアクター、ファシリテーター、ネットワーク、金融インフラを破壊するために、米国政府の能力を総動員しています。
Bolster Resilience to Withstand Ransomware Attacks: The Administration has called on the private sector to step up its investment and focus on cyber defenses to meet the threat. The Administration has also outlined the expected cybersecurity thresholds for critical infrastructure and introduced cybersecurity requirements for transportation critical infrastructure; ランサムウェア攻撃に耐えうる回復力の強化:ランサムウェアの脅威に対応するために、民間企業にサイバー防御への投資と集中を呼びかけています。また、重要インフラに期待されるサイバーセキュリティの基準値を示し、輸送の重要インフラにサイバーセキュリティの要件を導入しました。
Address the Abuse of Virtual Currency to Launder Ransom Payments: Virtual currency is subject to the same Anti-Money Laundering and Countering the Financing of Terrorism (AML/CFT) controls that are applied to fiat currency, and those controls and laws must be enforced. The Administration is leveraging existing capabilities, and acquiring innovative capabilities, to trace and interdict ransomware proceeds; and 身代金支払いのための仮想通貨の悪用に対処する:仮想通貨は、不換紙幣に適用されるのと同じマネーロンダリング防止およびテロ資金調達対策(AML/CFT)の対象であり、これらの管理と法律は施行されなければなりません。政府は、ランサムウェアの収益を追跡し、阻止するために、既存の能力を活用し、革新的な能力を獲得しています」と述べています。
Leverage International Cooperation to Disrupt the Ransomware Ecosystem and Address Safe Harbors for Ransomware Criminals: Responsible states do not permit criminals to operate with impunity from within their borders. We are working with international partners to disrupt ransomware networks and improve partner capacity for detecting and responding to such activity within their own borders, including imposing consequences and holding accountable those states that allow criminals to operate from within their jurisdictions. 国際協力を活用し、ランサムウェアのエコシステムを破壊し、ランサムウェア犯罪者のセーフハーバーに対処する:責任ある国家は、犯罪者が国境を越えて無罪放免で活動することを許しません。私たちは国際的なパートナーと協力して、ランサムウェアのネットワークを破壊し、犯罪者が自国内で活動することを許している国に罰則を与えて責任を負わせるなど、自国内でこのような活動を検知して対応するパートナーの能力を向上させています。
Actions to date within these lines of effort include: これまでの取り組みには以下のものがあります。
Disrupt Ransomware Infrastructure and Actors ランサムウェアのインフラと行為者の破壊
The Department of Justice established a Task Force to enhance coordination and alignment of law enforcement and prosecutorial initiatives combating ransomware. Law enforcement agencies, working through the National Cyber Investigative Joint Task Force (NCIJTF) and with the support of the interagency, are surging investigations, asset recovery, and other efforts to hold ransomware criminals accountable.   司法省は、ランサムウェアに対抗する法執行機関や検察の取り組みの連携と調整を強化するために、タスクフォースを設立しました。法執行機関は、National Cyber Investigative Joint Task Force(NCIJTF)を通じ、省庁間の協力を得て、ランサムウェアの犯罪者に責任を負わせるための捜査、資産回収、その他の取り組みを急ピッチで進めています。 
The Department of the Treasury levied its first-ever sanctions against a virtual currency exchange. The exchange, SUEX, was responsible for facilitating ransomware payments to ransomware criminals associated with at least eight ransomware variants.  Treasury will continue to disrupt and hold accountable these ransomware actors and their money laundering networks to reduce the incentive for cybercriminals to continue to conduct these attacks. 財務省は、仮想通貨取引所に対して初の制裁を科しました。この取引所であるSUEXは、少なくとも8つのランサムウェアの亜種に関連するランサムウェア犯罪者へのランサムウェアの支払いを促進する役割を担っていました。  財務省は、サイバー犯罪者がこれらの攻撃を継続的に行う動機を減らすために、これらのランサムウェアの行為者とそのマネーロンダリングネットワークを破壊し、責任を追及していきます。
The Department of the Treasury published an updated sanctions advisory encouraging and emphasizing the importance of reporting ransomware incidents and payments to U.S. Government authorities. 財務省は、ランサムウェアのインシデントや支払いを米国政府当局に報告することの重要性を促し、強調した最新の制裁勧告を発表しました。
US Cyber Command and National Security Agency are dedicating people, technology, and expertise to generate insights and options against ransomware actors. Their technical expertise and insights enable and support whole-of-government efforts, including actions against criminals, their infrastructure, and their ability to profit from their crimes. 米国のサイバー司令部と国家安全保障局は、ランサムウェアに対抗するための洞察力と選択肢を生み出すために、人材、技術、専門知識を投入しています。これらの技術的専門知識と洞察力は、犯罪者やそのインフラ、犯罪によって利益を得る能力に対する行動を含む、政府全体の取り組みを可能にし、サポートします。
The Department of State’s Rewards for Justice (RFJ) Office has offered a $10 million reward for information leading to the identification or location of any person who, while acting at the direction or under the control of a foreign government, engages in, or aids or abets, certain malicious cyber activities against U.S. critical infrastructure, to include ransomware activities. 国務省の司法のための報奨(RFJ)事務局は、外国政府の指示または支配下で行動しているときに、ランサムウェア活動を含む米国の重要インフラに対する特定の悪意のあるサイバー活動に従事したり、それを幇助したりした人物の特定または居場所につながる情報に対して、1,000万ドルの報奨金を提供しています。
Bolster Resilience against Ransomware ランサムウェアからの回復力の強化
The President launched an Industrial Control System Cybersecurity (ICS) Initiative in April – a voluntary, collaborative effort between the federal government and the critical infrastructure community.  The ICS Initiative has led to over 150 electricity utilities representing almost 90 million residential customers to deploy or commit to deploy control system cybersecurity technologies, bolstering the security and resilience of these facilities.  The ICS Initiative has been expanded to natural gas pipelines, and will shortly be expanded to the water sector.  大統領は、4月に産業用制御システムのサイバーセキュリティ(ICS)イニシアティブを開始しました。これは、連邦政府と重要インフラのコミュニティが自発的に協力して行う取り組みです。  ICSイニシアティブにより、約9,000万人の家庭を持つ150社以上の電力会社が制御システムのサイバーセキュリティ技術を導入、または導入を約束し、これらの施設のセキュリティと耐障害性を強化しています。  ICSイニシアティブは、天然ガスパイプラインにも拡大されており、まもなく水事業にも拡大される予定です。 
In July, the U.S. Department of Homeland Security (DHS) and the U.S. Department of Justice (DOJ) established the StopRansomware.gov website to help private and public organizations access resources to mitigate their ransomware risk. 7月、米国国土安全保障省(DHS)と米国司法省(DOJ)は、民間および公的機関がランサムウェアのリスクを軽減するためのリソースにアクセスできるよう、ウェブサイト「StopRansomware.gov」を開設しました。
The Transportation Security Administration (TSA) at the Department of Homeland Security issued two Security Directives, requiring critical pipeline owners and operators to bolster their cyber defenses, enabling DHS to better identify, protect against, and respond to threats to critical companies in the pipeline sector. 米国国土安全保障省の運輸保安局(TSA)は2つのセキュリティ指令を発行し、重要なパイプラインの所有者と運営者にサイバー防御の強化を要求しました。これにより、DHSはパイプライン分野の重要企業に対する脅威をより適切に特定し、防御し、対応することができます。
Deputy National Security Advisor for Cyber and Emerging Technology, Anne Neuberger, sent an open letter to CEOs in June communicating best practices to defend against and prepare for ransomware incidents, including backing up data, implementing multi-factor authentication, and testing incident response plans. アン・ニューバーガー副国家安全保障顧問(サイバー・新技術担当)は、6月にCEOに公開書簡を送り、データのバックアップ、多要素認証の導入、インシデント対応計画のテストなど、ランサムウェアからの防御と対策のためのベストプラクティスを伝えました。
In August, President Biden met with private sector and education leaders to discuss the whole-of-nation effort needed to address cybersecurity threats – and leaders announced ambitious initiatives to bolster the Nation’s cybersecurity. 8月には、バイデン大統領が民間企業や教育機関のリーダーと会談し、サイバーセキュリティの脅威に対処するために必要な国全体での取り組みについて話し合いました。リーダーたちは、国のサイバーセキュリティを強化するための意欲的な取り組みを発表しました。
The National Institute of Standards and Technology (NIST), within the Department of Commerce, is working with industry to improve current and emerging standards, practices, and technical approaches to address ransomware. Their efforts include the development of the Cybersecurity Framework Profile for Ransomware Risk Management, which builds off the NIST Cybersecurity Framework to provide organizations a guide to prevent, respond to, and recover from ransomware events.    米国商務省内の国立標準技術研究所(NIST)は、業界と協力して、ランサムウェアに対応するための現行および新規の標準、慣行、技術的アプローチを改善しています。この取り組みには、ランサムウェアリスク管理のためのサイバーセキュリティフレームワークプロファイルの開発が含まれます。これは、NISTサイバーセキュリティフレームワークを構築して、ランサムウェアイベントを防止、対応、および回復するためのガイドを組織に提供します。
Treasury and the Department of Homeland Security’s CISA are engaging the cyber insurance sector to explore incentives to enhance implementation of cyber hygiene and improve visibility of ransomware activity. 財務省と国土安全保障省のCISAは、サイバー保険部門を巻き込んで、サイバーハイジーンの実施を強化し、ランサムウェアの活動の可視性を高めるためのインセンティブを検討しています。
Combat Virtual Currency Misuse to Launder Ransom Payments 身代金支払いを目的とした仮想通貨の不正使用への対策
The United States remains at the forefront of applying anti-money laundering/countering the financing of terrorism (AML/CFT) requirements on virtual currency businesses and activities. We continue to hold U.S. virtual currency exchanges accountable to our regulatory requirements, and we have shared indicators and typologies of virtual currency misuse with the virtual currency and broader financial sector through venues like the Financial Crimes Enforcement Network (FinCEN) Exchange program. 米国は、仮想通貨のビジネスや活動に対して、マネーロンダリング防止/テロ資金供与防止(AML/CFT)の要件を適用することにおいて、常に最先端を走っています。米国の仮想通貨取引所に対しては、引き続き規制上の義務を課すとともに、金融犯罪執行ネットワーク(FinCEN)のExchangeプログラムなどを通じて、仮想通貨や広範な金融セクターと仮想通貨の悪用に関する指標や類型を共有しています。
Treasury is leading efforts to drive implementation of international standards on financial transparency related to virtual assets at the Financial Action Task Force and to build bilateral partnerships designed to strengthen AML/CFT controls for virtual currency exchanges overseas. Uneven implementation of international AML/CFT virtual currency standards creates vulnerabilities ransomware actors exploit and inhibits the U.S. Government’s ability to disrupt ransomware-associated money laundering. 財務省は、金融活動作業部会において、仮想資産に関連する金融の透明性に関する国際基準の実施を推進するとともに、海外の仮想通貨取引所のAML/CFT管理を強化するための二国間パートナーシップの構築に向けた取り組みを主導しています。仮想通貨に関するAML/CFTの国際基準が統一されていないことで、ランサムウェアが悪用する脆弱性が生まれ、ランサムウェアに関連したマネーロンダリングを阻止する米国政府の能力が阻害されています。
Led by the Federal Bureau of Investigation, the Administration is building an Illicit Virtual Asset Notification (IVAN) information sharing partnership and supporting platform to improve timelines of detection and disruption of ransomware and other illicit virtual currency payment flows. 米国政府は、連邦捜査局を中心に、IVAN(Illicit Virtual Asset Notification)の情報共有パートナーシップと支援プラットフォームを構築し、ランサムウェアやその他の不正な仮想通貨の支払いの流れの検知と遮断のタイムラインを改善しています。
Bolster International Cooperation 国際協力の強化
The Administration is working closely with international partners to address the shared threat of ransomware and galvanize global political will to counter ransomware activities – as reflected in the recent G7 and North Atlantic Treasury Organization (NATO) joint statements, and Financial Action Task Force (FATF) efforts, among others. The Administration continues to advocate for expanded membership in, and implementation of, the Budapest Convention and its principles. 当局は、国際的なパートナーと緊密に協力して、ランサムウェアの共通の脅威に対処し、ランサムウェアの活動に対抗するための世界的な政治的意思を喚起しています。これは、最近のG7や北大西洋財務機構(NATO)の共同声明、金融活動作業部会(FATF)の取り組みなどにも反映されています。当局は、ブダペスト条約およびその原則の加盟国および実施の拡大を引き続き主張します。
Departments and Agencies continue to engage with States to improve their capacity for addressing ransomware threats, including through capacity building that promotes cybersecurity best practices and combats cybercrime, such as trainings on network defense and resilience, cyber hygiene, virtual currency analysis, and other training and technical assistance to foreign law enforcement partners to combat criminal misuse of information technologies.  各省庁は、ランサムウェアの脅威に対処するための能力を向上させるため、引き続き各国と協力しています。これには、サイバーセキュリティのベストプラクティスを推進し、サイバー犯罪に対抗するための能力向上が含まれます。例えば、ネットワークの防御と回復力、サイバー衛生、仮想通貨の分析に関するトレーニングや、情報技術の悪用犯罪に対抗するための外国の法執行機関パートナーに対するトレーニングや技術支援などがあります。 
The United States remains committed to eliminating safe harbors for ransomware criminals through a more direct diplomatic approach.  President Biden has directly engaged President Putin, and established the White House and Kremlin Experts Group to directly discuss and address ransomware activity. The Experts Group continues to meet to address the ransomware threat and to press Russia to act against criminal ransomware activities emanating from its territory. The President has made clear the United States will act to protect our people and critical infrastructure. 米国は、より直接的な外交的アプローチを通じて、ランサムウェア犯罪者のセーフハーバーをなくすことに引き続き尽力します。  バイデン大統領は、プーチン大統領に直接働きかけ、ホワイトハウスとクレムリンの専門家グループを設立し、ランサムウェアの活動について直接話し合い、対処しています。専門家グループは、ランサムウェアの脅威に対処するために会合を継続し、ロシアに対して自国の領土から発信されるランサムウェアの犯罪行為に対して行動するよう圧力をかけています。大統領は、米国が国民と重要インフラを守るために行動することを明確にしています。

 

・2021.10.13 Background Press Call on the Virtual Counter-Ransomware Initiative Meeting

Background Press Call on the Virtual Counter-Ransomware Initiative Meeting ランサムウェア対策イニシアティブ会議の背景に関するプレスコール
MODERATOR: Thank you. And thanks, everyone, for joining. We’re going to be discussing today the virtual Counter-Ransomware Initiative meetings that are being facilitated by the White House National Security Council this Wednesday and Thursday. 司会:ありがとうございます。皆さん、お集まりいただきありがとうございます。本日は、ホワイトハウスの国家安全保障会議が今週の水曜日と木曜日に開催する、オンライン・ランサムウェア対策イニシアティブ会議についてご説明します。
The call will be on background, attributable to “senior administration officials,” and the contents will be embargoed until tomorrow, Wednesday, October 13th, 5:00 a.m. Eastern. 通話はバックグランドで行われ、【政府高官】に帰属し、内容は明日10月13日(水)東部時間午前5時まで禁じることになっています。
For your awareness and not for reporting, joining us is [senior administration official]. [Senior administration official] will give some brief remarks at the top, and then we’re going to turn it over to your questions. 報告のためではなく、皆さんに知っていただくために、【政府高官】が参加します。冒頭に【政府高官】から簡単なご挨拶をさせていただき、その後、皆様からのご質問にお応えしたいと思います。
With that, I’ll turn it over to [senior administration official]. それでは、【政府高官】にお任せします。
SENIOR ADMINISTRATION OFFICIAL: Thank you so much. Good afternoon, everybody. Thank you for joining us today. 【政府高官】:ありがとうございました。皆さん、こんにちは。本日はご参加いただきありがとうございます。
So, I wanted to give a brief preview of the virtual Counter-Ransomware Initiative meeting taking place at the White House tomorrow and Thursday. さて、明日と木曜日にホワイトハウスで開催されるオンライン・ランサムウェア対策イニシアティブ会議について、簡単にご紹介したいと思います。
The initiative builds on President Biden’s leadership to rally allies and partners to counter the shared threat of ransomware. It builds on our own domestic efforts as well — significant efforts, as you saw, on the recent Treasury designation and other efforts we have underway. このイニシアティブは、ランサムウェアという共通の脅威に対抗するために同盟国やパートナーを集めるというバイデン大統領のリーダーシップに基づいています。これは、最近の財務省による指定や、現在進行中のその他の取り組みに見られるように、我々自身の国内での取り組みにも基づいています。
But focusing on President Biden’s international efforts: In June, the President and G7 leaders agreed on the importance of the international community working together to ensure that critical infrastructure is resilient against this threat, that malicious cyberactivity is investigated and prosecuted, and that we bolster our collective cyber defenses. In addition, noting that states address the criminal activity taking place from within their borders. また、バイデン大統領の国際的な取り組みにも注目してください。6月、大統領とG7のリーダーたちは、重要なインフラがこの脅威からの回復力を備えていること、悪意のあるサイバー活動が調査され起訴されること、そして集団的なサイバー防御を強化するために、国際社会が協力することの重要性について合意しました。さらに、各国が国境内で行われている犯罪行為に対処することにも言及しました。
At NATO, President Biden and leaders endorsed a new cyber defense policy to ensure the NATO Alliance is resilient against malicious cyberactivity perpetrated by state and non-state actors, including disruptive ransomware attacks against critical infrastructure. NATOでは、バイデン大統領をはじめとする首脳陣が、重要インフラに対する破壊的なランサムウェア攻撃など、国家および非国家主体によって行われる悪意あるサイバー活動に対してNATO同盟が確実に対処できるよう、新たなサイバー防衛政策を支持しました。
And finally, as you know, we’ve worked with allies and partners to hold nation-states accountable for malicious cyberactivity as evidenced by, really, the broadest international support we had ever in our attributions for Russia and China’s malicious cyber activities in the last few months. 最後に、ご存じのように、我々は同盟国やパートナーと協力して、悪意のあるサイバー活動に対する国家の責任を追及してきましたが、そのことは、ここ数カ月のロシアと中国の悪意のあるサイバー活動に対する我々の責任追及が、これまでになく幅広い国際的な支持を得ていることからも明らかです。
So, now onto tomorrow and Thursday’s meeting specifically. So, we’re hosting — we’re facilitating a virtual meeting. It’ll be joined by ministers and senior officials from over 30 countries and the European Union to accelerate cooperation to counter ransomware. さて、明日と木曜日の会議について説明します。今回、私たちはバーチャル会議を開催します。この会議には、30カ国以上の国々とEUの閣僚や高官が参加し、ランサムウェア対策の協力を加速させます。
The Counter-Ransomware Initiative will meet over two days, and participants will cover everything from efforts to improve national resilience, to experiences addressing the misuse of virtual currency to launder ransom payments, our respective efforts to disrupt and prosecute ransomware criminals, and diplomacy as a tool to counter ransomware. ランサムウェア対策イニシアティブ」は2日間にわたって開催され、参加者は、国の回復力を高めるための取り組みから、身代金の支払いを洗浄するためのオンライン・通貨の悪用に対処した経験、ランサムウェアの犯罪者を阻止し起訴するためのそれぞれの取り組み、ランサムウェア対策のツールとしての外交まで、あらゆることを取り上げます。
The work is organized in six sessions. The first meeting is a plenary and is open to press and observers. All the subsequent discussions are restricted to invited participants to allow for frank, open dialogue. 作業は6つのセッションで構成されています。最初の会議は全体会議で、報道関係者およびオブザーバーに公開されます。その後のすべての議論は、率直でオープンな対話を可能にするため、招待された参加者に限定されます。
We expect participants will speak to four areas in greater detail. And those are, as I mentioned, national resilience, countering illicit finance, disruption and other law enforcement efforts, and diplomacy. 参加者には、4つの分野についてより詳細に語っていただくことを期待しています。それは、先ほど述べたように、国家の強靭さ、不正資金への対策、破壊活動やその他の法執行努力、そして外交です。
I should note two things: While the United States is facilitating this meeting, we don’t view this solely as a U.S. initiative. Indeed, we’re leading internationally — bringing other countries together. ここで2つのことをお伝えしたいと思います。米国はこの会議の進行役を務めていますが、これを米国だけの取り組みとは考えていません。実際、私たちは国際的に主導しており、他国を巻き込んでいます。
Many governments have been indispensable in organizing the meeting, and four countries in particular have volunteered to lead and organize specific thematic discussions: India for resilience, Australia for disruption, the UK for virtual currency, and Germany for diplomacy. この会議の開催には多くの政府の協力が不可欠であり、特に4つの国が特定のテーマに沿った議論をリードし、組織することに志願しました。インドはレジリエンス、オーストラリアはディスラプション、英国はオンライン・通貨、ドイツは外交を担当しています。
In addition, I want to note that we see this meeting as the first of many conversations among the international partners participating this week and beyond. さらに、今回の会議は、今週以降に参加する国際的なパートナーとの間で行われる数多くの対話の最初の機会であると考えていることもお伝えしておきます。
We’ll have more to say on Thursday regarding takeaways from the discussions, but I want to give a brief laydown of U.S. ransomware efforts — a four-part strategy that we have here, run by the White House, to coordinate a whole-of-government effort. 議論から得られたものについては木曜日に詳しく説明しますが、ここでは米国のランサムウェア対策について簡単に説明したいと思います。ホワイトハウスが中心となって、政府全体の取り組みを調整するための4つの戦略があります。
First: disrupt ransomware infrastructure and actors. We’re bringing the full weight of U.S. government capabilities to disrupt ransomware actors, networks, financial infrastructure, and other facilitators. Some examples that I can share publicly were, as I noted, DOJ recovering colonial ransom and Treasury’s SUEX designation recently. 第一は、ランサムウェアのインフラとアクターを破壊することです。私たちは、米国政府の能力を総動員して、ランサムウェアのアクター、ネットワーク、金融インフラ、その他の促進要因を破壊します。先に述べたように、司法省がコロニーの身代金を回収したことや、財務省が最近SUEXを指定したことなどがその例です。
The second part of our strategy: bolstering resilience to withstand ransomware attacks. Even as we work to disrupt criminal ransomware networks, we also have to address our own vulnerabilities so we’re not easy targets. Some examples of what the government has done: the ICS initiative focusing on control systems and TSA’s recent security directives mandating cybersecurity across pipelines and other transportation networks. 戦略の第二は、ランサムウェアの攻撃に耐えるための回復力の強化です。ランサムウェアの犯罪ネットワークを壊滅させるためには、私たち自身の脆弱性にも対処し、簡単には標的にならないようにしなければなりません。政府の取り組みの例としては、制御システムに焦点を当てたICSイニシアティブや、パイプラインなどの輸送ネットワーク全体のサイバーセキュリティを義務付けるTSAの最近のセキュリティ指令などがあります。
You also recall [our] letter, where [we] called on the private sector to step up and do their part independently to modernize their defenses and invest to ensure the resilience of their networks is adequate to meet the threat. また、民間企業に対しても、自社の防衛力を近代化し、ネットワークの回復力が脅威に対応するのに十分であることを確認するための投資を行うよう、独自の役割を果たすことを呼びかけた書簡をご記憶でしょうか。
Third, we’re addressing the abuse of virtual currency to launder ransom payments. We’re leveraging existing and acquiring new capabilities to trace and interdict ransomware proceeds. 第三は、身代金支払いの資金洗浄を目的としたオンライン・通貨の濫用に対処することです。ランサムウェアの収益を追跡して阻止するために、既存の能力を活用し、新たな能力を獲得しています。
Finally, leveraging international cooperation to disrupt the ransomware ecosystem and address safe harbors for ransomware criminals. 最後に、国際協力を活用してランサムウェアのエコシステムを破壊し、ランサムウェア犯罪者のセーフハーバーに対処します。
And really, this event over the next two days is exhibit A of how we’re working with international partners to disrupt ransomware networks, to improve partner capacity for detecting and responding to such activity within their own borders, including imposing consequences on the perpetrators, and holding accountable states that allow criminals to operate from within their jurisdictions. この2日間のイベントは、私たちが国際的なパートナーと協力してランサムウェアのネットワークを破壊し、パートナーの能力を向上させて、国境内でのこのような活動を検知・対応し、加害者に結果を与え、犯罪者が自国の管轄内で活動することを許している国に責任を負わせることを目的としています。
So, with that, I’ll take your questions. それでは、ご質問をお受けします。
Q  Thank you for hosting this call. Can you tell us what the 30 countries are and also what you are hoping to get out of this two-day meeting by the end of Thursday? Any particular agreement or deliverable? Anything specific or concrete? Q このような電話会議を開催していただき、ありがとうございます。30カ国の概要と、木曜日までの2日間の会議で何を得たいのかを教えてください。何か特定の合意や成果物があるのでしょうか?何か具体的なものはありますか?
SENIOR ADMINISTRATION OFFICIAL: Absolutely. So, first, we’ll be joined by ministers and representatives from the following countries: Australia, Brazil, Bulgaria, Canada, Czech Republic, Dominican Republic, Estonia, the EU, France, Germany, India, Ireland, Israel, Italy, Japan, Kenya, Lithuania, Mexico, the Netherlands, New Zealand, Nigeria, Poland, the Republic of Korea, Romania, Singapore, South Africa, Sweden, Switzerland, Ukraine, the UAE, and the UK. 【政府高官】:もちろんです。まず、以下の国の大臣や代表者が参加します。オーストラリア、ブラジル、ブルガリア、カナダ、チェコ共和国、ドミニカ共和国、エストニア、EU、フランス、ドイツ、インド、アイルランド、イスラエル、イタリア、日本、ケニア、リトアニア、メキシコ、オランダ、ニュージーランド、ナイジェリア、ポーランド、大韓民国、ルーマニア、シンガポール、南アフリカ、スウェーデン、スイス、ウクライナ、アラブ首長国連邦、英国です。
And I think that list of countries highlights just how pernicious and transnational and global the ransomware threat has been in the different countries from all different parts of the world who will be participating. このような国のリストは、ランサムウェアの脅威がいかに悪質で国境を越えたグローバルなものであるかを、世界のさまざまな地域から参加するさまざまな国の人々に示すものだと思います。
And to your point regarding concrete: Absolutely, I won’t preview it at this time. There’s been a lot of very good preparatory discussions, particularly around the four panels I mentioned to you. I’ll be hosting the final plenary, which is when we’ll summarize the discussions in the four panels and outline very key next steps. And we’ll be happy to discuss that more on Thursday, following the event. また、具体的な内容についてですが。もちろん、今のところプレビューはしません。特に、先ほどお話した4つのパネルを中心に、非常に良い準備段階の議論が行われています。最後の全体会議は私が主催しますが、そこで4つのパネルでの議論をまとめ、重要な次のステップの概要を説明します。これについては、イベント終了後の木曜日に詳しくお話させていただきたいと思います。
Q  Hi, thanks for doing the call. One question I had was that Victoria Nuland, the senior State Department official, is in Russia this week to meet with her Russian counterparts, and I’m wondering if cybersecurity, and particularly the administration’s message on cracking down on ransomware groups within Russia, is a message that she’s delivered and has been received by the Russians. Q 電話での質問にお答えいただきありがとうございます。一つ質問があるのですが、国務省の高官であるビクトリア・ヌーランド氏が今週ロシアに滞在し、ロシア側と会談していますが、サイバーセキュリティ、特にロシア国内のランサムウェアグループを取り締まるという政権のメッセージは、彼女が伝えてロシア側に届いているのでしょうか。
And then, secondly, I wonder if you can address the elephant in the room in that Russia not being part of these talks, for a number of reasons — but how are you going to lean on U.S. allies and countries that are more in Russia’s neighborhood to try to crack down on cyber criminals that may be in that region? Thanks. 次に、さまざまな理由でロシアがこの会談に参加していないという部屋の中の象のような問題にも触れていただきたいのですが、米国の同盟国やロシアの近隣にある国々に、その地域にいるかもしれないサイバー犯罪者を取り締まるために、どのように働きかけるつもりなのでしょうか?ありがとうございます。
SENIOR ADMINISTRATION OFFICIAL: Sure. So, yes, Toria is traveling, and cybersecurity is always one of the topics we engage with internationally. I won’t go into more details regarding our discussions, as, you know, diplomacy is always best done in private. 【政府高官】:サイバーセキュリティは、常に私たちが国際的に取り組んでいるテーマの1つです。ご存知のように、外交は常に内輪で行うのがベストですから、話し合いの詳細については言及しません。
With regard to the countries who are participating, there’s a host of reasons that, you know, particular countries were invited to participate, including scheduling restrictions, availability of partners, and logistical considerations. 参加国については、スケジュールの制約やパートナーの有無、物流面での配慮など、特定の国に参加を呼びかけた理由はさまざまです。
But most importantly, this is not our first international engagement; it won’t be our last. And the countries that are participating are not our only valued partners. We look forward to future engagements and collaboration with these and other countries as we expand and accelerate cooperation on this important topic. しかし、最も重要なことは、これが私たちの最初の国際的な活動ではなく、最後の活動でもないということです。また、今回参加していただいた国々は、私たちの大切なパートナーだけではありません。私たちは、この重要なテーマでの協力を拡大・加速させるために、これらの国々や他の国々との今後のエンゲージメントやコラボレーションを楽しみにしています。
We will continue to lead in this area, and we will continue to lead internationally in this area. 私たちはこの分野で、国際的にもリードしていきたいと思います。
And then, with regard to Russia: So, I think, as you know, the U.S.-Kremlin Experts Group, which is led by the White House, was established by President Biden and President Putin, so the U.S. engages directly with Russia on this — on the issue of ransomware. The President has been very clear about marshaling the resources of all the departments and agencies to counter ransomware and address the four-part strategy I talked about. そして、ロシアに関して。ご存知のように、ホワイトハウスが主導する米・クレムリン専門家グループは、バイデン大統領とプーチン大統領によって設立されたもので、米国はランサムウェアの問題についてロシアと直接関わっています。大統領は、ランサムウェア対策のために、すべての省庁のリソースを結集し、先ほど述べた4つの戦略に取り組むことを明確にしています。
We do look to the Russian government to address ransomware criminal activity coming from actors within Russia. I can report that we’ve had, in the Experts Group, frank and professional exchanges in which we’ve communicated those expectations. We’ve also shared information with Russia regarding criminal ransomware activity being conducted from its territory. 私たちは、ロシア国内の関係者によるランサムウェアの犯罪行為に対処するため、ロシア政府に期待しています。専門家グループでは、率直かつ専門的な意見交換を行い、そのような期待を伝えてきたことを報告します。また、ロシアの領土で行われているランサムウェアの犯罪活動に関する情報をロシアと共有しました。
We’ve seen some steps by the Russian government and are looking to see follow-up actions. And broader international cooperation is an important line of effort because these are transnational criminal organizations and they leverage global infrastructure money laundering networks to carry out their attacks. ロシア政府によるいくつかの措置を確認し、それに続く行動を期待しています。これらの犯罪組織は多国籍の犯罪組織であり、グローバルインフラのマネーロンダリングネットワークを活用して攻撃を行っているため、より広範な国際協力は重要な取り組みのひとつです。
So, working with our international partners is also something we are doing in parallel to our diplomatic efforts to ensure we can disrupt the ransomware ecosystem, the actors, and the, frankly, illicit use of virtual currency that really drives this — drives the growth of ransomware. 国際的なパートナーとの協力は、外交活動と並行して行っており、ランサムウェアのエコシステムや関係者、さらにはランサムウェアの成長を促しているオンライン・通貨の不正使用を確実に阻止するために行っています。
Q  Hey, thanks for doing this. One simple logistical one and then one follow-up one on (inaudible). Q 今回の取材には感謝しています。簡単なロジスティックな質問と、(聞き取れないが)フォローアップの質問があります。
First of all, what’s the format for the call? You know, is it Zoom? Is it Microsoft Teams? Is there a special, you know, international government tool that we’ve never heard of? まず、通話の形式はどうなっていますか?Zoomなのか?Microsoft Teamsですか?私たちが聞いたこともないような、国際的な政府の特別なツールがあるのでしょうか?
And then, secondly, I just want to clarify the invitation process here. You’re saying Russia was not invited to be part of the U.S.’s — this initial summit because there’s this other kind of channel open with Russia — do I understand that correctly? 次に、招待のプロセスを明確にしておきたいと思います。ロシアとの間には別のチャンネルがあるので、アメリカの最初のサミットにはロシアは招待されなかったということですが、正しく理解していますか?
SENIOR ADMINISTRATION OFFICIAL: So, first, I won’t speak — I’m not going to speak to the logistical way we’re going do it. It’s a routine commercial technology that’s bringing individuals together. 【政府高官】:まず、私はロジスティックな方法についてはお話しません。これは、個人を結びつける日常的な商業技術です。
And as I said, a host of factors went into the planning of a virtual, international meeting of this size to include scheduling restrictions, availability of partners, and logistical considerations. And there will be opportunities for other groups of partners to join us as well. 先ほど申し上げたように、このような規模のバーチャルな国際会議を計画するには、スケジュールの制約、パートナーの利用可能性、物流面での配慮など、さまざまな要因があります。また、他のパートナーグループにも参加していただく機会を設けています。
The headline, folks, should really be around U.S. government leading and bringing countries together to fight ransomware effectively. 皆さん、ランサムウェアと効果的に闘うために、米国政府が各国をリードし、協力していくことが重要なポイントです。
And as you can imagine, with as many time zones and the complexity of bringing this many countries together, some could, some couldn’t play. The important part is that we’re starting on this journey, really building on the work that the President previously did in the G7 and at NATO. ご想像のとおり、時差があり、これだけ多くの国をまとめるのは複雑なので、参加できる人もできない人もいます。重要なのは、大統領が以前G7やNATOで行った活動を基に、私たちがこの旅を始めていることです。
Q  Hi. Thank you for doing the call. So, first, just as a clarification, you said, “We’ve seen some steps by the Russian government. We’re looking to see follow-up actions.” Can you just identify what those steps were that you’re referring to? Q こんにちは。電話でのお問い合わせありがとうございます。まず、明確にしておきたいのですが、あなたは「ロシア政府によるいくつかのステップを確認した。我々はそれに続く行動を期待している」とおっしゃいました。そのステップとは何を指しているのか、具体的に教えてください。
And then, secondly, we’ve talked about Russia, but North Korea is obviously a big player in ransomware just to support the operations of their government. And if Russia is at least nominally, you know, susceptible to various geopolitical pressure as part of the international economic system, North Korea is really, really much less susceptible — I think most people would agree. So, can you talk about how this meeting fits into your strategy for applying pressure on North Korea, which obviously has different incentives and motivations here than Russia? 次に、これまでロシアの話をしてきましたが、北朝鮮は明らかに政府の活動を支援するためにランサムウェアを利用しています。ロシアが名目上、国際経済システムの一部として様々な地政学的圧力の影響を受けやすいとすれば、北朝鮮はそれに比べてはるかに影響を受けにくいというのが、多くの人の意見でしょう。北朝鮮に圧力をかけるための戦略の中で、今回の会議がどのような位置づけにあるのか、お話しいただけますか?
SENIOR ADMINISTRATION OFFICIAL: Thanks. On the first part, I won’t go into more detail on the initial steps that we’ve seen taken. I noted that we’ve had very candid and direct discussions. And in the context of those discussions, we’ve seen those steps by the Russian government, and we’re looking to see follow-up actions. 【政府高官】:ありがとうございます。最初の部分については、私たちが見てきた最初のステップについて、これ以上の詳細は述べません。私は、非常に率直で直接的な話し合いが行われたと述べました。その話し合いの中で、ロシア政府がこのような措置を取ったことを確認しており、それに続く行動を期待しています。
With regard to North Korea, you’re making a really excellent — and I also just, you know, would note, to the point on that, that we initially — sorry, I just — there was a key point I wanted to note to you — that, you know, ransomware focuses on our citizens and businesses, and as a result, the best insights regarding ransomware attacks often comes from private sector entities who monitor public and private networks. 北朝鮮に関しては、非常に優れたご意見をいただきましたが、私も最初にお伝えしたように、ランサムウェアは市民や企業を標的にしており、その結果、ランサムウェアの攻撃に関して最も優れた洞察力を持つのは、公共および民間のネットワークを監視する民間企業であることが多いということです。
So, I just want to flag, you know, a recent kind of note and tweet that a respected private sector entity — Kevin Mandia of FireEye — did, where he noted a lull from several high-profile actors and a reduction in activities in some of the most impactful ransomware groups they’ve responded to in the last — you know, in the last few months. そのため、ランサムウェアの攻撃に関しては、官民のネットワークを監視している民間企業が最も優れた知見を提供してくれることが多いのです。ここでは、著名な民間企業であるFireEye社のKevin Mandia氏が最近行ったツイートを紹介します。
We won’t speculate from here why that is, but I just did want to flag that as we’re watching that closely as we continue to execute the administration’s counter-ransomware strategy. その理由をここで推測することはできませんが、政権のランサムウェア対策戦略を実行していく上で、この問題を注視していることをお伝えしたいと思います。
And to your question on North Korea, that is why we’re putting such a focus on the four-part strategy I talked about, right? Because while we can work to try to shape actors — you know, as you’ve said, North Korea is famously difficult in that way — what we do control is ourselves. 北朝鮮についてのご質問ですが、だからこそ、私たちは先ほどお話した4つの戦略に重点を置いているのです。というのも、私たちはアクターをコントロールすることはできますが、北朝鮮はその点で非常に難しい国だと言われています。
So, that is why we have, A, called on the private sector to make the investments to improve cybersecurity. The President announced in his executive order that the federal government will actually start practicing what we preach in making significant improvements in our own cybersecurity. We’ve put a real focus on disrupting ransomware actors and networks, whether that’s the work coming out of DOJ, whether that’s the work of Treasury with the first-ever designation. そこで私たちは、サイバーセキュリティを向上させるための投資を民間企業に求めているのです。大統領は大統領令の中で、連邦政府が自らのサイバーセキュリティを大幅に改善するために、自らが説くことを実際に実践することを発表しました。私たちは、司法省や財務省が初めて指定したランサムウェアの行為者やネットワークの破壊に重点的に取り組んでいます。
A huge amount of work went into that first-ever designation because virtual currency is a new area, and the very strong anti-money laundering and other rules that we have in place globally on fiat currencies are not yet in place all around the world. というのも、オンライン・通貨は新しい分野であり、不換紙幣に対して世界的に導入されている非常に強力なアンチマネーロンダリングやその他の規則が、世界中でまだ導入されていないからです。
So, we really are in our own way both saying we’re going to enforce these and work with partners around the world on that, as well as, as I noted, you know, leverage international cooperation to disrupt the ransomware ecosystem, as in this case — right? — facilitating a meeting with 32 other countries to discuss these four areas to really coordinate our fight against ransomware. また、先に述べたように、ランサムウェアのエコシステムを破壊するために国際的な協力関係を活用することもあります。- 今回の例では、ランサムウェアとの戦いを実質的に調整するため、他の32カ国との会議を促進し、これら4つの分野について話し合いました。
Q  Thank you so much [senior administration official]. So — sorry, did you say that Russia was indeed invited at least, but they just were not able to make it this time? Q ありがとうございました(政府高官)。ところで、ロシアは少なくとも招待されていたが、今回は都合がつかなかったということですか?
SENIOR ADMINISTRATION OFFICIAL: Russia is not participating at this time, but we have a separate channel in which we’re actively discussing ransomware with Russia. 【政府高官】:ロシアは今回参加していませんが、別のチャンネルでロシアとランサムウェアについて積極的に話し合っています。
Q  Hey, good afternoon. Sorry, [senior administration official], just to clarify: I understand that Russia isn’t participating, but can you definitively say whether they’re invited or not to participate? Q やあ、こんにちは。ロシアが参加していないことは理解していますが、ロシアが招待されているのか、参加していないのか、明確に言うことができますか?
SENIOR ADMINISTRATION OFFICIAL: In this first round of discussions, we did not invite the Russians to participate for a host of reasons, including various constraints. However, as I noted, we are having active discussions with the Russians. But in this particular forum, they were not invited to participate, but that doesn’t preclude future opportunities for them to participate as we do further sessions like these. 【政府高官】:今回の第1回目の話し合いでは、さまざまな制約を含む多くの理由から、ロシアの参加を要請しませんでした。しかし、先に述べたように、私たちはロシア人と積極的に議論しています。しかし、今回のフォーラムではロシア人を招待しませんでしたが、今後このようなセッションを重ねていく中で、ロシア人に参加してもらう機会を排除するものではありません。
Q  Sure. One quick follow-up, if I may. Do you see a long-term successful strategy to combat ransomware coming out of these sessions if the Russian government doesn’t participate in the future, or does it require their involvement, do you think? Q 続いて1つ質問です。今後、ロシア政府が参加しなくても、ランサムウェア対策の長期的な戦略は成功するとお考えですか?それともロシア政府の参加が必要だとお考えですか?
SENIOR ADMINISTRATION OFFICIAL: So, two-part. One is: I am very hopeful and really excited about this international coalition work. 【政府高官】:2つの要素があります。1つ目は 私はこの国際連合の活動にとても期待しています。
I can honestly say, as we started extending invitations and as we’ve talked to — as I’ve talked with my counterparts around the world; as my amazing team, who pulled this event together, has talked to their counterparts around the world, the eagerness to participate, the eagerness to learn, the eagerness to help other countries build capacity in areas like virtual currency tracing and areas like disruption to share information around law enforcement, intelligence, financial facilitators has just been huge. 正直なところ、招待状を出し始めてから、私が世界中の担当者と話をしたり、このイベントを企画した私の素晴らしいチームが世界中の担当者と話をしたりしているうちに、参加したいという熱意、学びたいという熱意、オンライン・通貨の追跡や破壊行為などの分野で他国が能力を高め、法執行機関や情報機関、金融円滑化業者に関する情報を共有するのを支援したいという熱意が非常に高まってきました。
Everybody has been suffering from ransomware, and I just — I’m really excited about what this will kick off. And I’m really excited about, as I noted — right? — the four countries who raised their hand and said, “We want to lead panels.” 誰もがランサムウェアに悩まされていますが、私はこのイベントが始まることをとても楽しみにしています。そして、先ほど述べたように、手を挙げてくれた4つの国にも期待しています。- 我々がパネルをリードしたい」と手を挙げた4カ国のことを、私はとても楽しみにしています。
It’s often that you have — you know, people have good ideas; it’s less often that folks raise their hand and say, “I really believe in this; I want to lead.” 良いアイデアを持っている人はよくいますが、「私はこれを本当に信じているので、リードしたい」と手を挙げてくれる人はあまりいません。
So, truly exciting, and I look forward to sharing with you all on Thursday, you know, more details on, as Ellen asked early on, next steps. 木曜日には、エレンが最初に質問したように、次のステップについての詳細を皆さんと共有できることを楽しみにしています。
To your point: Clearly, you know, there are — Russia plays a role because of a number of criminal actors who are, you know, operating from Russia. And that is the reason that President Biden established with his counterpart — with President Putin — a dedicated channel for us to have very focused and candid discussions. And that’s why I noted to you that we’ve had several and they continue. おっしゃるとおりです。明らかに、ロシアから活動している多くの犯罪者がいるために、ロシアが役割を果たしています。だからこそ、バイデン大統領は相手のプーチン大統領と専用のチャンネルを設け、集中的かつ率直な議論を行っているのです。だからこそ私は、これまでにも何度か話し合いを行ってきたし、現在も継続していると述べたのです。
And we’ve shared information regarding specific criminal actors within Russia, and Russia has taken initial steps. So, we are seeing and we will look to see follow-on in that area as well. また、ロシア国内の特定の犯罪者に関する情報を共有し、ロシアは最初のステップを踏みました。この分野でのフォローアップを期待しています。
MODERATOR: All right. Thank you. With that, that was our last question. If we did not get to your question, please feel free to reach out to me directly, and we’ll make sure to get back to you. 司会:わかりました。ありがとうございました。以上で最後の質問とさせていただきます。もしご質問にお答えできなかった場合は、私に直接ご連絡ください。
As a reminder, this call was on background, attributable to “senior administration officials.” And the contents of the call are embargoed until tomorrow, Wednesday, October 13th, 5:00 a.m. Eastern. 念のために申し上げますが、この通話は "政府高官 "に帰属するバックグラウンドで行われました。この通話内容は、明日10月13日(水)午前5時(東部時間)まで公開されません。
Thanks, everyone, for your time. Bye. 皆さん、お時間をいただきありがとうございました。それでは。
12:50 P.M. EDT 午後12時50分(東海岸時間)

Fig1_20210802074601



| | Comments (0)

2021.10.14

消費者庁 公益通報者保護法に基づく指針の解説を公表

こんにちは、丸山満彦です。

消費者庁が、2022年6月1日から施行される改正公益通報者保護法に基づく「指針」の解説を公表していますね。。。

 

消費者庁

・2021.10.13 公益通報者保護法に基づく指針の解説を公表しました。

・[PDF] 公益通報者保護法に基づく指針(令和3年内閣府告示第 118 号)の解説

Symbolmark

参考

公益通報者保護法に基づく指針等に関する検討会

・2021.04.21 [PDF] 公益通報者保護法に基づく指針等に関する検討会報告書

20211014-34827


公益通報に関しては、山口利昭弁護士のブログが参考になりますね。。。

ビジネス法務の部屋

・2021.10.14  (速報版)公益通報者保護法に基づく指針の解説が公表されました

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.06.10 改正公益通報者保護法が成立

・2020.03.08 公益通報者保護法の一部を改正する法律案

・2020.02.04 通報窓口の従業員に罰則付きの守秘義務 公益通報者保護法、自民PTが改正案

 

古いので、参照先にはリンクしませんが...

・2005.09.06 内閣府 国民生活局 公益通報者保護制度ウェブサイト(2)

・2005.07.28 内閣府 国民生活局 公益通報者保護制度ウェブサイト

・2005.04.02 公益通報者保護法の施行日・対象法令

 

これも古いですが。。。。

・2011.02.10 KPMG 不正は「内部通報」により発覚するケースが最も多い

・2010.04.12 不正と経営者の胆力

・2009.07.02 経営者不正があり統制環境に重要な欠陥があった場合

・2006.11.11 実施基準(2006.11.06部会資料) 全社的な内部統制に関する評価項目の例

・2006.06.08 内部統制実施基準の行方

・2005.01.14 個人情報保護法に対する取り組みを実施している 48% @Sep.-Dec.2004

 

 

| | Comments (0)

2021.10.13

中国 TC260 15のセキュリティ関連の標準を決定

こんにちは、丸山満彦です。

中国が15のセキュリティ関連の標準を決定しましたね。。。

 

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

2021.10.12 15项网络安全国家标准获批发布 サイバーセキュリティに関する15の国家標準の発行を承認

 

# 标准编号 标准名称 標準名 代替标准号
1 GB/T 17903.2-2021 信息技术 安全技术 抗抵赖 第2部分:采用对称技术的机制 情報技術 セキュリティ技術 否認への抵抗力 第2部:対称的な技術を用いたメカニズム GBT 17903.2-2008
2 GB/T 17964-2021 信息安全技术 分组密码算法的工作模式 情報セキュリティ技術 グループ化された暗号アルゴリズムの作業モード GB/T 17964-2008
3 GB/T 20275-2021 信息安全技术 网络入侵检测系统技术要求和测试评价方法 情報セキュリティ技術 ネットワーク侵入検知システムの技術的要求事項と試験・評価方法 GB/T 20275-2013
4 GB/T 29765-2021 信息安全技术 数据备份与恢复产品技术要求与测试评价方法 情報セキュリティ技術 データバックアップ・リカバリー製品の技術的要求事項と試験・評価方法 GB/T 29765-2013
5 GB/T 29766-2021 信息安全技术 网站数据恢复产品技术要求与测试评价方法 情報セキュリティ技術 ウェブサイトのデータ復旧製品に関する技術的要求事項および試験・評価方法 GB/T 29766-2013
6 GB/T 30272-2021 信息安全技术 公钥基础设施标准符合性测评 情報セキュリティ技術 公開鍵基盤規格適合性評価 GB/T 30272-2013
7 GB/T 33133.2-2021 信息安全技术 祖冲之序列密码算法 第2部分:保密性算法 情報セキュリティ技術 Zucシーケンス暗号アルゴリズム Part 2: 機密性アルゴリズム -
8 GB/T 33133.3-2021 信息安全技术 祖冲之序列密码算法 第3部分:完整性算法 情報セキュリティ技術 Zucシーケンス暗号アルゴリズム Part 3: 完全性アルゴリズム -
9 GB/T 40645-2021 信息安全技术 互联网信息服务安全通用要求 情報セキュリティ技術 インターネット情報サービスのセキュリティに関する一般要求事項 -
10 GB/T 40650-2021 信息安全技术 可信计算规范 可信平台控制模块 情報セキュリティ技術 トラステッドコンピューティング仕様 トラステッドプラットフォームコントロールモジュール -
11 GB/T 40651-2021 信息安全技术 实体鉴别保障框架 情報セキュリティ技術 エンティティ識別保証フレームワーク -
12 GB/T 40652-2021 信息安全技术 恶意软件事件预防和处理指南 情報セキュリティ技術 マルウェア・インシデント防止・対応ガイド -
13 GB/T 40653-2021 信息安全技术 安全处理器技术要求 情報セキュリティ技術 セキュア・プロセッサの技術要件 -
14 GB/T 40660-2021 信息安全技术 生物特征识别信息保护基本要求 情報セキュリティ技術 バイオメトリクス情報保護の基本要件 -
15 GB/T 40813-2021 信息安全技术 工业控制系统安全防护技术要求和测试评价方法 情報セキュリティ技術 産業用制御システムの安全性と保護のための技術的要求事項および試験・評価方法 -

 

 

・[PDF] 中华人民共和国 国家标准 公告 2021年第12号


この標準はいつくらいに、意見募集されたのかと気になり、

 

について、確認したところ、2018年6月13日に意見募集されていましたね。。。

2018.06.13 关于国家标准《信息安全技术 恶意软件事件预防和处理指南》征求意见稿征求意见的通知 国家標準「情報セキュリティ技術マルウェアインシデント防止・対応ガイド」案の意見募集のお知らせ

 

 


参考...

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.30 中国 2021年のサイバーセキュリティに関する国家標準プロジェクトリスト 

・2021.08.13 中国 意見募集 「機械学習アルゴリズムのセキュリティ評価に関する情報セキュリティ技術仕様書」案を発表し、意見募集していますね。。。 at 2021.08.04

・2021.08.13 中国 意見募集 「情報セキュリティ技術ブロックチェーン技術セキュリティフレームワーク」案を発表し、意見募集していますね。。。 at 2021.08.02

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.27 中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.21 中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね

・2020.02.04 中国が情報セキュリティ関連の国家標準のパブコメを18件出していました・・・

 

 

 

| | Comments (0)

2021.10.12

米国 K-12サイバーセキュリティ法2012

こんにちは、丸山満彦です。

米国では、K-12(幼稚園年長から高校卒業まで)の児童・学生についての情報を保護するためのK-12サイバーセキュリティ法が成立しましたね。。。

The White House

・2021.10.08 Statement of President Joe Biden on Signing the K-12 Cybersecurity Act Into Law

Statement of President Joe Biden on Signing the K-12 Cybersecurity Act Into Law K-12 Cybersecurity Actの法律への署名に関するジョー・バイデン大統領の声明
STATEMENTS AND RELEASES 声明およびリリース
Today, I was pleased to sign the K-12 Cybersecurity Act into law to enhance the cybersecurity of our Nation’s K-12 educational institutions. This law highlights the significance of protecting the sensitive information maintained by schools across the country, and my Administration looks forward to providing important tools and guidance to help secure our school’s information systems. I want to thank Congress for passing it with bipartisan support. 本日、私は、米国のK-12教育機関のサイバーセキュリティを強化するためのK-12サイバーセキュリティ法に署名し、法律を制定することができました。この法律は、国内の学校が保持している機密情報を保護することの重要性を強調するものであり、私の政権は、学校の情報システムの安全性を確保するための重要なツールやガイダンスを提供することを期待しています。超党派の支持を得てこの法律を通過させた議会に感謝したい。
The global pandemic has impacted an entire generation of students and educators and underscores the importance of safeguarding their sensitive information, as well as for all Americans. This law is an important step forward to meeting the continuing threat posed by criminals, malicious actors, and adversaries in cyberspace. My Administration is marshalling a whole-of-nation effort to confront cyber threats. Recognizing how much work remains to be done and that maintaining strong cybersecurity practices is ongoing work, the advancements we have put in place during the first months of my Administration will enable us to build back better, modernize our defenses, and protect our children, families, and communities. 世界的なパンデミックは、全世代の学生や教育者に影響を与えており、彼らの機密情報を保護することの重要性は、すべてのアメリカ人にとっても強調されています。この法律は、サイバー空間における犯罪者、悪意のある行為者、敵対者による継続的な脅威に対処するための重要な一歩となります。私の政権は、サイバーの脅威に立ち向かうために、国を挙げて努力しています。まだまだやるべきことがたくさんあり、強力なサイバーセキュリティを維持することは継続的な作業であることを認識した上で、私の政権の最初の数ヶ月間に導入した進歩は、私たちがより良いものを作り直し、防御を近代化し、子供たち、家族、コミュニティを守ることを可能にします。

 

 

Fig1_20210802074601

 

具体的な法文は、

Congress

S.1917 - K-12 Cybersecurity Act of 2021

・2021.10.08 法 XML/HTMLTXTPDF

 

An Act
To establish a K-12 education cybersecurity initiative, and for other purposes. K-12教育のサイバーセキュリティイニシアチブを確立すること、およびその他の目的のために。
Be it enacted by the Senate and House of Representatives of the United States of America in Congress assembled, アメリカ合衆国議会の上院および下院によって制定される。
SECTION 1. SHORT TITLE. 第1条 略称
This Act may be cited as the ``K-12 Cybersecurity Act of 2021''. 本法は、「2021年K-12サイバーセキュリティ法」として引用することができる。
SEC. 2. FINDINGS. 第2条 承認
Congress finds the following: 議会は以下のことを承認している。
(1) K-12 educational institutions across the United States are facing cyber attacks. (1) 米国内のK-12教育機関は、サイバー攻撃に直面している。
(2) Cyber attacks place the information systems of K-12 educational institutions at risk of possible disclosure of sensitive student and employee information, including-- (2) サイバー攻撃により、K-12教育機関の情報システムは、以下のような生徒や従業員の機密情報が開示される危険性がある。
(A) grades and information on scholastic development; (A) 成績および学業成績に関する情報
(B) medical records; (B) 医療記録
(C) family records; and (C) 家族の記録
(D) personally identifiable information. (D) 個人を特定できる情報。
(3) Providing K-12 educational institutions with resources to aid cybersecurity efforts will help K-12 educational institutions prevent, detect, and respond to cyber events. (3) K-12教育機関にサイバーセキュリティの取り組みを支援するためのリソースを提供することは、K-12教育機関がサイバーイベントを予防、検知、対応するのに役立つ。
SEC. 3. K-12 EDUCATION CYBERSECURITY INITIATIVE. 第3条 K-12 教育機関サイバーセキュリティ・イニシアチブ
(a) Definitions.--In this section: (a) 定義--本条では以下の定義を用いる。
(1) Cybersecurity risk.--The term ``cybersecurity risk'' has the meaning given the term in section 2209 of the Homeland Security Act of 2002 (6 U.S.C. 659). (1) 「サイバーセキュリティ・リスク」という用語は、2002年国土安全保障法第2209条(6 U.S.C. 659)の定義をいう。
(2) Director.--The term ``Director'' means the Director of Cybersecurity and Infrastructure Security. (2) ディレクター --「ディレクター」とは、サイバーセキュリティ・インフラセキュリティ担当ディレクターを意味する。
(3) Information system.--The term ``information system'' has the meaning given the term in section 3502 of title 44, United States Code. (3) 情報システム --「情報システム」という用語は、合衆国法典第44編第3502項の定義をいう。
(4) K-12 educational institution.--The term ``K-12 educational institution'' means an elementary school or a secondary school, as those terms are defined in section 8101 of the Elementary and Secondary Education Act of 1965 (20 U.S.C. 7801). (4) K-12教育機関 --「K-12教育機関」とは、1965年初等中等教育法(20 U.S.C. 7801)8101項に定義されている小学校または中等学校をいう。
(b) Study.-- (b) 研究
(1) In general.--Not later than 120 days after the date of enactment of this Act, the Director, in accordance with subsection (g)(1), shall conduct a study on the specific cybersecurity risks facing K-12 educational institutions that-- (1) 局長は、本法令の施行日から120日以内に、第(g)項(1)号に従い、K-12教育機関が直面する具体的なサイバーセキュリティ・リスクに関する以下の調査を実施する。
(A) analyzes how identified cybersecurity risks specifically impact K-12 educational institutions; (A) 特定されたサイバーセキュリティ・リスクがK-12教育機関にどのような影響を与えるかを分析する。
(B) includes an evaluation of the challenges K-12 educational institutions face in-- (B) K-12教育機関が以下の点で直面する課題の評価を含む。
(i) securing-- (i) 安全を確保すること。
(I) information systems owned, leased, or relied upon by K-12 educational institutions; and (I) K-12教育機関が所有、リース、または依存している情報システム、および
(II) sensitive student and employee records; and (II) 機密性の高い学生や従業員の記録。
(ii) implementing cybersecurity protocols; (ii) サイバーセキュリティプロトコルの導入。
(C) identifies cybersecurity challenges relating to remote learning; and (C) 遠隔学習に関連するサイバーセキュリティ上の課題を特定する。
(D) evaluates the most accessible ways to communicate cybersecurity recommendations and tools. (D) サイバーセキュリティに関する提言やツールを伝えるための最もアクセスしやすい方法を評価する。
(2) Congressional briefing.--Not later than 120 days after the date of enactment of this Act, the Director shall provide a Congressional briefing on the study conducted under paragraph (1). (2) 議会でのブリーフィング--本法の制定日から120日以内に、長官は、(1)項に基づいて実施された調査に関する議会でのブリーフィングを行う。
(c) Cybersecurity Recommendations.--Not later than 60 days after the completion of the study required under subsection (b)(1), the Director, in accordance with subsection (g)(1), shall develop recommendations that include cybersecurity guidelines designed to assist K-12 educational institutions in facing the cybersecurity risks described in subsection (b)(1), using the findings of the study. (c) サイバーセキュリティに関する提言--(b)(1)項に基づき求められる調査の完了後60日以内に、局長は(g)(1)項に従い、調査結果を用いて、K-12教育機関が(b)(1)項に記載されたサイバーセキュリティ・リスクに直面することを支援するために設計されたサイバーセキュリティ・ガイドラインを含む提言を作成する。
(d) Online Training Toolkit.--Not later than 120 days after the completion of the development of the recommendations required under subsection (c), the Director shall develop an online training toolkit designed for officials at K-12 educational institutions to-- (d) オンライン・トレーニング・ツールキット--(c)項に基づき求められる提言の作成完了後120日以内に、長官は、K-12教育機関の職員向けに設計されたオンライン・トレーニング・ツールキットを作成し、以下を行うものとする。
(1) educate the officials about the cybersecurity recommendations developed under subsection (c); and (1) (c)項に基づいて作成されたサイバーセキュリティに関する提言について関係者を教育する。
(2) provide strategies for the officials to implement the recommendations developed under subsection (c). (2) 関係者が(c)項に基づいて策定された提言を実施するための戦略を提供する。
(e) Public Availability.--The Director shall make available on the website of the Department of Homeland Security with other information relating to school safety the following: (e) 一般公開--局長は、学校の安全に関連するその他の情報とともに、国土安全保障省のウェブサイトで以下のものを公開する。
(1) The findings of the study conducted under subsection (b)(1). (1) サブセクション(b)(1)に基づいて行われた調査の結果。
(2) The cybersecurity recommendations developed under subsection (c). (2) (c)項に基づいて作成されたサイバーセキュリティに関する提言。
(3) The online training toolkit developed under subsection (d). (3) (d)項に基づいて作成されたオンライントレーニングツールキット。
(f) Voluntary Use.--The use of the cybersecurity recommendations developed under (c) by K-12 educational institutions shall be voluntary. (f) 自主的な使用--K-12教育機関による(c)に基づいて策定されたサイバーセキュリティ勧告の使用は、自主的なものでなければならない。
(g) Consultation.-- (g) コンサルテーション
(1) In general.--In the course of the conduction of the study required under subsection (b)(1) and the development of the recommendations required under subsection (c), the Director shall consult with individuals and entities focused on cybersecurity and education, as appropriate, including-- (1) 一般的に--(b)(1)で要求された調査の実施および(c)で要求された提言の策定の過程において、局長は、サイバーセキュリティと教育に焦点を当てた個人および団体と適宜協議するものとし、これには以下が含まれる。
(A) teachers; (A) 教師。
(B) school administrators; (B) 学校管理者。
(C) Federal agencies; (C) 連邦政府機関
(D) non-Federal cybersecurity entities with experience in education issues; and (D) 教育問題の経験を有する連邦以外のサイバーセキュリティ団体、および
(E) private sector organizations. (E) 民間の組織。
(2) Inapplicability of faca.--The Federal Advisory Committee Act (5 U.S.C App.) shall not apply to any consultation under paragraph (1). (2) 連邦諮問委員会法(5 U.S.C. App.)は、第1項の協議には適用されない。

 

 

| | Comments (0)

中国 科学技術部 新世代の人工知能倫理規定 at 2021.09.26

こんにちは、丸山満彦です。

中国の科学技術部が「 新世代の人工知能倫理規定」を発表していますね。。。

科学技术部

・2021.09.26 《新一代人工智能伦理规范》发布

  1. 人間の福祉の増進
  2. 公正と正義の推進
  3. プライバシーとセキュリティの保護
  4. 制御性と信頼性の確保
  5. 責任の強化
  6. 倫理意識の向上

の6つの基本的な倫理要件を定めていますね。。。

 

《新一代人工智能伦理规范》发布 「新世代の人工知能倫理規定」を発表
9月25日,国家新一代人工智能治理专业委员会发布了《新一代人工智能伦理规范》(以下简称《伦理规范》),旨在将伦理道德融入人工智能全生命周期,为从事人工智能相关活动的自然人、法人和其他相关机构等提供伦理指引。 9月25日、「新世代人工知能のガバナンスに関する国家専門委員会」は、人工知能のライフサイクル全体に倫理を統合し、AI関連の活動に従事する自然人、法人、その他の関連機関等に倫理的なガイドラインを提供することを目的とした「新世代人工知能の倫理コード」(以下、倫理コード)を発表しました。
《伦理规范》经过专题调研、集中起草、意见征询等环节,充分考虑当前社会各界有关隐私、偏见、歧视、公平等伦理关切,包括总则、特定活动伦理规范和组织实施等内容。《伦理规范》提出了增进人类福祉、促进公平公正、保护隐私安全、确保可控可信、强化责任担当、提升伦理素养等6项基本伦理要求。同时,提出人工智能管理、研发、供应、使用等特定活动的18项具体伦理要求。《伦理规范》全文如下: 倫理規定は、プライバシー、偏見、差別、公正さに関する現在の倫理的懸念を十分に考慮した上で、調査、集中的な起草、協議のプロセスを経て作成されており、一般的な規定、特定の活動に対する倫理的規範、組織的な実施方法が含まれています。 倫理綱領では、「人間の福祉の増進」「公正と正義の推進」「プライバシーとセキュリティの保護」「制御性と信頼性の確保」「責任の強化」「倫理意識の向上」の6つの基本的な倫理要件を定めています。 同時に、人工知能の管理、研究開発、供給、使用などの具体的な活動に対して、18の具体的な倫理的要件が提案されています。 倫理綱領の全文は以下の通りです。
  新一代人工智能伦理规范为深入贯彻《新一代人工智能发展规划》,细化落实《新一代人工智能治理原则》,增强全社会的人工智能伦理意识与行为自觉,积极引导负责任的人工智能研发与应用活动,促进人工智能健康发展,制定本规范。   新世代人工知能倫理綱領」は、「新世代人工知能開発計画」の徹底、「新世代人工知能ガバナンス原則」の精緻化と実行、人工知能の倫理と行動意識に対する社会全体の意識の向上、責任ある人工知能の研究開発と応用活動の積極的な指導、人工知能の健全な発展の促進を目的として策定されたものです。

 

具体的な規定は次のとおりです。。。

第一章 总则 第1章 総則
第一条 本规范旨在将伦理道德融入人工智能全生命周期,促进公平、公正、和谐、安全,避免偏见、歧视、隐私和信息泄露等问题。 第1条 本コードは、倫理・道徳を人工知能のライフサイクル全体に統合し、公正・正義・調和・安全を促進し、偏見・差別・プライバシー・情報漏洩などの問題を回避することを目的としています。
第二条 本规范适用于从事人工智能管理、研发、供应、使用等相关活动的自然人、法人和其他相关机构等。(一)管理活动主要指人工智能相关的战略规划、政策法规和技术标准制定实施,资源配置以及监督审查等。(二)研发活动主要指人工智能相关的科学研究、技术开发、产品研制等。(三)供应活动主要指人工智能产品与服务相关的生产、运营、销售等。(四)使用活动主要指人工智能产品与服务相关的采购、消费、操作等。 第2条 この規程は、AIの管理、研究開発、提供・利用、その他関連する活動を行う自然人、法人、その他関連機関等に適用されます。 (1)マネジメント活動とは、主にAIに関する戦略立案、政策・規制・技術基準の策定と実施、資源配分、監督・審査を指します。 (2)研究開発活動とは、主にAIに関する科学研究、技術開発、製品開発などを指します。 (3)供給活動とは、主にAI製品・サービスの生産、運用、販売を指します。 (4)利用活動とは、主にAI製品・サービスに関わる調達、消費、運用などを指します。
第三条 人工智能各类活动应遵循以下基本伦理规范。(一)增进人类福祉。坚持以人为本,遵循人类共同价值观,尊重人权和人类根本利益诉求,遵守国家或地区伦理道德。坚持公共利益优先,促进人机和谐友好,改善民生,增强获得感幸福感,推动经济、社会及生态可持续发展,共建人类命运共同体。(二)促进公平公正。坚持普惠性和包容性,切实保护各相关主体合法权益,推动全社会公平共享人工智能带来的益处,促进社会公平正义和机会均等。在提供人工智能产品和服务时,应充分尊重和帮助弱势群体、特殊群体,并根据需要提供相应替代方案。(三)保护隐私安全。充分尊重个人信息知情、同意等权利,依照合法、正当、必要和诚信原则处理个人信息,保障个人隐私与数据安全,不得损害个人合法数据权益,不得以窃取、篡改、泄露等方式非法收集利用个人信息,不得侵害个人隐私权。(四)确保可控可信。保障人类拥有充分自主决策权,有权选择是否接受人工智能提供的服务,有权随时退出与人工智能的交互,有权随时中止人工智能系统的运行,确保人工智能始终处于人类控制之下。(五)强化责任担当。坚持人类是最终责任主体,明确利益相关者的责任,全面增强责任意识,在人工智能全生命周期各环节自省自律,建立人工智能问责机制,不回避责任审查,不逃避应负责任。(六)提升伦理素养。积极学习和普及人工智能伦理知识,客观认识伦理问题,不低估不夸大伦理风险。主动开展或参与人工智能伦理问题讨论,深入推动人工智能伦理治理实践,提升应对能力。 第3条 AIのあらゆる活動は、以下の基本的な倫理規範に従わなければならない。 (1) 人間の福祉の増進 人を第一に考え、人類共通の価値観に従い、人権と人間の基本的利益を尊重し、国や地域の倫理や道徳を守ることを主張する。 公共の利益を優先し、人間と機械の調和と友好を促進し、人々の生活を向上させ、幸福感を高め、経済、社会、生態系の持続的な発展を促進し、人類の運命共同体を構築するものでなければならない。 (2)公平性と公正性の促進 普遍性と包括性の原則を遵守し、関連するすべての対象者の正当な権利と利益を効果的に保護し、AIがもたらす利益の社会全体での公正な共有を促進し、社会正義と機会の平等を推進します。 AI製品やサービスを提供する際には、不利な立場にある人々や特別な立場にある人々を十分に尊重し、支援するとともに、必要に応じて適切な代替手段を提供しなければなりません。 (iii) プライバシーとセキュリティの保護 個人情報の情報化と同意の権利を十分に尊重し、合法性、正当性、必要性、誠実性の原則に従って個人情報を取り扱い、個人のプライバシーとデータセキュリティを保護し、個人の正当なデータの権利を傷つけず、盗用、改ざん、漏洩などによる個人情報の不正な収集と使用を行わず、個人のプライバシー権を侵害しない。 (4)制御性と信頼性の確保 人間の意思決定における完全な自律性、AIが提供するサービスを受けるかどうかを選択する権利、いつでもAIとの対話から撤退する権利、いつでもAIシステムの運用を停止する権利を確保し、AIが常に人間の管理下に置かれるようにする。 (5)責任感の強化 人間に最終的な責任があることを主張し、利害関係者の責任を明確にし、責任意識を全面的に高め、AIのライフサイクルのすべての局面で自省と自己管理を行い、AIの説明責任のメカニズムを確立し、責任の見直しを回避したり、責任を問われることを回避したりしないこと。 (vi) 倫理的リテラシーの向上 AI倫理の知識を積極的に学び、普及させ、倫理的問題を客観的に理解し、倫理的リスクを過小評価したり誇張したりしない。 人工知能の倫理的な問題に関する議論を積極的に行い、人工知能の倫理的なガバナンスの実践を徹底的に推進し、対応能力を強化する。
第四条 人工智能特定活动应遵守的伦理规范包括管理规范、研发规范、供应规范和使用规范。 第4条 特定のAI活動において遵守すべき倫理規範には、管理規範、研究開発規範、供給規範、使用規範があります。
第二章 管理规范 第2章 管理規定
第五条 推动敏捷治理。尊重人工智能发展规律,充分认识人工智能的潜力与局限,持续优化治理机制和方式,在战略决策、制度建设、资源配置过程中,不脱离实际、不急功近利,有序推动人工智能健康和可持续发展。 第5条 アジャイルガバナンスの推進:AI発展の法則を尊重し、AIの可能性と限界を十分に理解し、ガバナンスのメカニズムとアプローチを継続的に最適化し、戦略的意思決定、システム構築、資源配分のプロセスにおいて、現実から離れたり、急いだりすることなく、秩序ある方法でAIの健全で持続可能な発展を促進すること。
第六条 积极实践示范。遵守人工智能相关法规、政策和标准,主动将人工智能伦理道德融入管理全过程,率先成为人工智能伦理治理的实践者和推动者,及时总结推广人工智能治理经验,积极回应社会对人工智能的伦理关切。 第6条 積極的な実践のデモンストレーション:AI関連の規制、方針、基準を遵守し、率先してAI倫理を経営プロセス全体に統合し、率先してAI倫理ガバナンスの実践者・推進者となり、AIガバナンスの経験をタイムリーにまとめて普及させ、AIに関する社会の倫理的関心に積極的に対応すること。
第七条 正确行权用权。明确人工智能相关管理活动的职责和权力边界,规范权力运行条件和程序。充分尊重并保障相关主体的隐私、自由、尊严、安全等权利及其他合法权益,禁止权力不当行使对自然人、法人和其他组织合法权益造成侵害。 第7条 適切な権利行使:AI関連の管理活動の責任と権限の境界を明確にし、権限を運用するための条件と手順を規定する。 関連する対象者のプライバシー、自由、尊厳、安全、およびその他の正当な権利と利益を十分に尊重し、保護し、自然人、法人、およびその他の組織の正当な権利と利益を侵害するような不適切な権力行使を禁止すること。
第八条 加强风险防范。增强底线思维和风险意识,加强人工智能发展的潜在风险研判,及时开展系统的风险监测和评估,建立有效的风险预警机制,提升人工智能伦理风险管控和处置能力。 第8条 リスク対策の強化:ボトムライン思考とリスク認識を強化し、AI開発における潜在的なリスクの調査と判断を強化し、適時で体系的なリスクの監視と評価を行い、効果的なリスク警告メカニズムを確立し、AIの倫理的リスクの管理と処分の能力を強化すること。
第九条 促进包容开放。充分重视人工智能各利益相关主体的权益与诉求,鼓励应用多样化的人工智能技术解决经济社会发展实际问题,鼓励跨学科、跨领域、跨地区、跨国界的交流与合作,推动形成具有广泛共识的人工智能治理框架和标准规范。 第9条 包括性と開放性の促進:AIに関わるすべてのステークホルダーの権利と要求に十分な注意を払い、経済・社会発展の現実的な問題を解決するために多様なAI技術の適用を奨励し、学際的、異分野的、地域的、国境的な交流と協力を促進し、幅広いコンセンサスのあるAIガバナンスフレームワークと標準的な規範の形成を促進すること。
第三章 研发规范 第3章 研究開発規定
第十条 强化自律意识。加强人工智能研发相关活动的自我约束,主动将人工智能伦理道德融入技术研发各环节,自觉开展自我审查,加强自我管理,不从事违背伦理道德的人工智能研发。 第10条 自律意識の強化:AI研究開発関連の自主規制を強化し、技術研究開発のあらゆる側面にAI倫理を統合することを率先して行い、意識的に自己検閲を行い、自己管理を強化し、倫理・道徳に反するAI研究開発を行わないこと。
第十一条 提升数据质量。在数据收集、存储、使用、加工、传输、提供、公开等环节,严格遵守数据相关法律、标准与规范,提升数据的完整性、及时性、一致性、规范性和准确性等。 第11条 データ品質の向上:データの収集、保管、使用、処理、送信、提供、開示の過程では、データ関連の法律、基準、規範を厳格に遵守し、データの整合性、適時性、一貫性、標準化、正確性などを向上させること。
第十二条 增强安全透明。在算法设计、实现、应用等环节,提升透明性、可解释性、可理解性、可靠性、可控性,增强人工智能系统的韧性、自适应性和抗干扰能力,逐步实现可验证、可审核、可监督、可追溯、可预测、可信赖。 第12条 安全性と透明性の向上:アルゴリズムの設計、実装、応用においては、透明性、解釈可能性、理解可能性、信頼性、制御可能性を高め、AIシステムの回復力、自己適応性、反干渉性を強化し、検証可能性、監査可能性、監督可能性、追跡可能性、予測可能性、信頼性を徐々に実現していくこと。
第十三条 避免偏见歧视。在数据采集和算法开发中,加强伦理审查,充分考虑差异化诉求,避免可能存在的数据与算法偏见,努力实现人工智能系统的普惠性、公平性和非歧视性。 第13条 偏見による差別の回避:データ収集やアルゴリズム開発においては、倫理的な審査を強化し、差別的な主張を十分に考慮し、データやアルゴリズムの偏りの可能性を回避し、AIシステムの普遍性、公平性、無差別性の実現に努めること。
第四章 供应规范 第4章 供給規定
第十四条 尊重市场规则。严格遵守市场准入、竞争、交易等活动的各种规章制度,积极维护市场秩序,营造有利于人工智能发展的市场环境,不得以数据垄断、平台垄断等破坏市场有序竞争,禁止以任何手段侵犯其他主体的知识产权。 第14条 市場ルールの尊重:市場へのアクセス、競争、取引などに関する各種規則を厳格に遵守し、積極的に市場秩序を維持し、AIの発展に資する市場環境を整備するとともに、データの独占、プラットフォームの独占などで市場の秩序ある競争を損なうことを控え、いかなる手段によっても他の主体の知的財産権を侵害することを禁止すること。
第十五条 加强质量管控。强化人工智能产品与服务的质量监测和使用评估,避免因设计和产品缺陷等问题导致的人身安全、财产安全、用户隐私等侵害,不得经营、销售或提供不符合质量标准的产品与服务。 第15条 品質管理の強化:AI製品・サービスの品質監視と使用評価を強化し、設計や製品の欠陥などに起因する個人の安全、財産の安全、利用者のプライバシーの侵害を回避し、品質基準を満たさない製品・サービスを運営、販売、提供しないこと。
第十六条 保障用户权益。在产品与服务中使用人工智能技术应明确告知用户,应标识人工智能产品与服务的功能与局限,保障用户知情、同意等权利。为用户选择使用或退出人工智能模式提供简便易懂的解决方案,不得为用户平等使用人工智能设置障碍。 第16条 利用者の権利保護:製品およびサービスにおけるAI技術の使用は、利用者に明確に通知されなければならず、AI製品およびサービスの機能および制限は、情報および同意に対する利用者の権利を保護するために特定されなければならない。 利用者がAIモードを利用するか撤退するかを選択するためのわかりやすいソリューションを提供し、利用者が平等にAIを利用するための障害とならないようにする。
第十七条 强化应急保障。研究制定应急机制和损失补偿方案或措施,及时监测人工智能系统,及时响应和处理用户的反馈信息,及时防范系统性故障,随时准备协助相关主体依法依规对人工智能系统进行干预,减少损失,规避风险。 第17条 緊急時の保護強化:緊急時のメカニズムや損失補償のスキームや手段を検討・開発し、AIシステムをタイムリーに監視し、利用者からのフィードバックにタイムリーに対応・処理し、システム障害をタイムリーに防止し、損失を軽減しリスクを回避するために、法令に基づいてAIシステムに介入する関係主体を支援する準備をします。
第五章 使用规范 第5章 使用規定
第十八条 提倡善意使用。加强人工智能产品与服务使用前的论证和评估,充分了解人工智能产品与服务带来的益处,充分考虑各利益相关主体的合法权益,更好促进经济繁荣、社会进步和可持续发展。 第18条 善意利用の促進:使用前の人工知能製品・サービスのデモンストレーションと評価を強化し、AI製品・サービスがもたらす利益を十分に理解し、すべての利害関係者の合法的な権利と利益を十分に考慮し、経済的繁栄、社会的進歩、持続可能な発展をよりよく促進すること。
第十九条 避免误用滥用。充分了解人工智能产品与服务的适用范围和负面影响,切实尊重相关主体不使用人工智能产品或服务的权利,避免不当使用和滥用人工智能产品与服务,避免非故意造成对他人合法权益的损害。 第19条 誤用・濫用の回避:AI製品・サービスの適用範囲や悪影響を十分に理解し、関連する対象者のAI製品・サービスを使用しない権利を効果的に尊重し、AI製品・サービスの不適切な使用や乱用を避け、意図せずに他者の合法的な権利や利益に損害を与えないようにすること。
第二十条 禁止违规恶用。禁止使用不符合法律法规、伦理道德和标准规范的人工智能产品与服务,禁止使用人工智能产品与服务从事不法活动,严禁危害国家安全、公共安全和生产安全,严禁损害社会公共利益等。 第20条 違法・悪用の禁止:法令や倫理・規格・規範に適合しないAI製品・サービスの使用を禁止し、AI製品・サービスを使用して違法行為を行うことを禁止し、国家安全保障・公安・生産安全を危うくすることを禁止し、社会公共の利益を毀損することを禁止すること。
第二十一条 及时主动反馈。积极参与人工智能伦理治理实践,对使用人工智能产品与服务过程中发现的技术安全漏洞、政策法规真空、监管滞后等问题,应及时向相关主体反馈,并协助解决。 第21条 適時で積極的なフィードバック:AIの倫理的なガバナンスの実践に積極的に参加し、関連するテーマに適時にフィードバックし、AI製品やサービスを利用する過程で見つかった技術的な安全性の抜け穴、政策や規制の空白、規制の遅れなどの問題解決を支援すること。
第二十二条 提高使用能力。积极学习人工智能相关知识,主动掌握人工智能产品与服务的运营、维护、应急处置等各使用环节所需技能,确保人工智能产品与服务安全使用和高效利用。 第22条 利用能力の向上:AI製品・サービスを安全に使用し、効率的に活用するために、AI関連の知識を積極的に学び、運用・保守・緊急時の処理などに必要なスキルを率先して習得する。
第六章 组织实施 第6章 組織への実装
第二十三条 本规范由国家新一代人工智能治理专业委员会发布,并负责解释和指导实施。 第23条 この規定は、新世代人工知能のガバナンスに関する国家専門委員会が発行するものであり、その解釈と実施の指導に責任を持つ。
第二十四条 各级管理部门、企业、高校、科研院所、协会学会和其他相关机构可依据本规范,结合实际需求,制订更为具体的伦理规范和相关措施。 第24条 あらゆるレベルの管理部門、企業、大学、研究機関、協会および学会、その他の関連機関は、この規程に基づき、実際の必要性を考慮して、より具体的な倫理規定および関連する措置を策定することができる。
第二十五条 本规范自公布之日起施行,并根据经济社会发展需求和人工智能发展情况适时修订。 第25条 この規定は、発行日に施行され、経済社会の発展や人工知能の発達の必要性に応じて、適切な時期に改訂されるものとする。

 

1_20210612030101

 


 

まるちゃんの情報セキュリティきまぐれ日記

 

 

 

 

| | Comments (0)

«シンガポール サイバーセキュリティ戦略2021