まるちゃんの情報セキュリティ気まぐれ日記

The G20 Digital Agenda: Cross-Presidency Priorities	G20デジタル・アジェンダ：議長国間の優先課題
The G20 Digital Agenda: Cross-Presidency Priorities white paper, co-authored by the World Economic Forum and the Observer Research Foundation (ORF), underscores the importance of a cohesive digital strategy within the G20.	G20デジタル・アジェンダ：議長国間の優先課題世界経済フォーラムとオブザーバー・リサーチ・ファウンデーション（ORF）の共著によるホワイトペーパー「G20デジタル・アジェンダ：大統領職を超えた優先課題」は、G20における結束したデジタル戦略の重要性を強調している。
The G20 Digital Agenda: Cross-Presidency Priorities white paper, co-authored by the World Economic Forum and the Observer Research Foundation (ORF), underscores the importance of a cohesive digital strategy within the G20.	G20デジタル・アジェンダ世界経済フォーラムとオブザーバー・リサーチ財団（ORF）の共著によるホワイトペーパー「G20デジタル・アジェンダ：大統領府間の優先課題」は、G20における結束したデジタル戦略の重要性を強調している。
This paper serves as a blueprint for sustained digital discourse across G20 presidencies, particularly those of emerging economies set to lead through 2025. It spotlights the necessity of digital inclusion, cybersecurity, investment in health and sustainability, digital infrastructure, and skill-building to navigate the digital future.	この白書は、G20議長国、特に2025年まで主導権を握ることになる新興経済国において、持続的なデジタル言説を展開するための青写真となるものである。この文書は、デジタル・インクルージョン、サイバーセキュリティ、健康と持続可能性への投資、デジタル・インフラ、そしてデジタルの未来を切り開くためのスキル育成の必要性にスポットライトを当てている。
This document reflects a commitment to a secure, equitable and interconnected digital world, advocating for resilient and adaptable policies to meet evolving technological demands and complementing the existing work of the G20 on the digital agenda. The collaboration aims to forge a consensus on digital norms and encourage innovation, positioning digital progress at the forefront of global economic and social agendas.	この文書は、安全で、公平で、相互接続されたデジタル世界へのコミットメントを反映し、進化する技術的需要に対応するレジリエンスと適応性のある政策を提唱し、デジタル・アジェンダに関するG20の既存の作業を補完するものである。この協働は、デジタル規範に関するコンセンサスを形成し、イノベーションを奨励することで、デジタルの進歩を世界経済・社会課題の最前線に位置づけることを目的としている。

・[PDF]

In collaboration with the Observer Research Foundation	オブザーバー・リサーチ財団との協力
The G20 Digital Agenda: Cross-Presidency Priorities	G20デジタル・アジェンダ議長国間の優先課題
WHITE PAPER NOVEMBER 2023	白書 2023年11月
Contents Foreword	まえがき
Executive summary	要旨
Introduction	序文
1 Focusing on the centrality of digital inclusion, access and trust	1 デジタル・インクルージョン、アクセス、信頼の重要性に焦点を当てる
2 Ensuring cybersecurity of emerging technologies	2 新興技術のサイバーセキュリティの確保
3 Investing in digital health and sustainability solutions	3 デジタルヘルスと持続可能性ソリューションへの投資
4 Enabling digital infrastructure	4 デジタルインフラの実現
5 Building digital skills	5 デジタル・スキルの構築
Conclusion	結論
Contributors	貢献者
Endnotes	巻末資料
Foreword	まえがき
Sebastian Buckup	セバスチャン・バッカップ
Member of the Executive Committee, World Economic Forum	世界経済フォーラム執行委員会メンバー
Anirban Sarma	アニルバン・サルマ
Chair, Think20 Taskforce on Our Common Digital Future; Deputy Director, Observer Research Foundation	私たちの共通のデジタル未来に関するThink20タスクフォース議長、オブザーバー・リサーチ財団副所長
In May 2023, the World Economic Forum and the Observer Research Foundation (ORF) jointly launched an initiative called Facilitating CrossPresidency Dialogue on the Digital Agenda for the G20. Its aim was to identify pressing themes the G20 is or should be addressing and support the continuity of engagement around these issues across successive G20 presidencies.	2023年5月、世界経済フォーラムとオブザーバー・リサーチ財団（ORF）は共同で、「G20のデジタル・アジェンダに関する大統領府を超えた対話の促進」というイニシアチブを立ち上げた。その目的は、G20が取り組んでいる、あるいは取り組むべき喫緊のテーマを特定し、歴代のG20議長国をまたいでこれらの問題に継続的に取り組むことを支援することである。
The opportunities identified in this white paper draw on the expertise of business and expert communities convened by the World Economic Forum’s Global Future Councils and the Centre for the Fourth Industrial Revolution – a global platform for helping leaders anticipate exponential technologies and accelerate their inclusive and sustainable adoption. It also draws on the substantial body of knowledge and expertise of the ORF, which served as the secretariat to Think20, the G20’s official engagement group for think tanks, during the most recent Indian G20 presidency of 2023.	このホワイトペーパーで特定された機会は、世界経済フォーラムのグローバル・フューチャー・カウンシルや第4次産業革命センター（リーダーがエクスポネンシャル・テクノロジーを予測し、その包括的かつ持続可能な導入を加速させるためのグローバル・プラットフォーム）によって招集されたビジネスや専門家コミュニティの専門知識を活用している。また、直近の2023年のインドG20議長国時代には、シンクタンクのためのG20公式エンゲージメント・グループであるThink20の事務局を務めたORFの豊富な知識と専門知識も活用されている。
While digital themes have featured on the G20’s agenda since the group’s formation in 1999, a systematic focus on building a resilient and thriving digital economy came into being in 2016 when the G20 Digital Economy Task Force was created. The following year, the German presidency oversaw the first-ever Digital Economy Ministerial Meeting with an emphasis on a broad spectrum of digital themes, including measuring the digital economy, investing in the ICT sector, promoting digital skills and training, boosting digital entrepreneurship, accelerating digital infrastructure for development, bridging the digital divide and building smart cities. With the establishment of the Digital Economy Working Group under the Indonesian presidency (2022), the focus on digital themes became even more entrenched.1	1999年のG20結成以来、デジタルテーマはG20のアジェンダに取り上げられてきたが、2016年にG20デジタル経済タスクフォースが設立され、レジリエンスと繁栄のデジタル経済の構築に体系的な焦点が当てられるようになった。翌年、ドイツの議長国は、デジタル経済の測定、ICTセクターへの投資、デジタルスキルと訓練の促進、デジタル起業家精神の促進、開発のためのデジタルインフラの加速、デジタルデバイドの解消、スマートシティの構築など、幅広いデジタルテーマに重点を置いた初のデジタル経済閣僚会合を監督した。インドネシア議長国（2022年）の下でデジタル経済作業部会が設置されたことで、デジタル・テーマへの焦点はさらに定着した1。
At this point in time, the outgoing, incoming and upcoming presidencies – the so-called G20 Troika – are held by emerging economies. With South Africa slated to succeed Brazil in 2025, emerging economies stand to helm the G20 for four consecutive years. This presents a unique opportunity to place digital access, equity and development at the heart of the G20 agenda.	現時点では、議長国、次期議長国、そしていわゆるG20トロイカは新興国が占めている。2025年にはブラジルの後任として南アフリカが就任する予定であり、新興国が4年連続でG20の舵取りをすることになる。これは、デジタル・アクセス、公平性、開発をG20アジェンダの中心に据えるまたとない機会となる。
At a time when the rise of strategic competition and conflicting interests risk hampering collaboration, building consensus around foundational digital norms and technological advancements is crucial. Informing this process is the ambition of this work.	戦略的競争の台頭や利害の対立が協調を妨げるリスクがある今、基盤となるデジタル規範と技術的進歩をめぐる合意形成は極めて重要である。このプロセスに情報を提供することが、本作品の野心である。
We would like to thank the members of the World Economic Forum’s Global Future Councils (GFCs), whose contributions have been critical to this white paper. We hope the paper will support an ambitious and constructive dialogue on our shared digital future.	世界経済フォーラムのグローバル・フューチャー・カウンシル（GFC）のメンバーに感謝したい。この白書が、私たちが共有するデジタルの未来について、野心的かつ建設的な対話を支援することを願っている。
Executive summary	要旨
The G20 digital agenda addresses data protection, digital inclusion, cybersecurity, health, sustainability, infrastructure and global skill development.	G20のデジタル・アジェンダは、データ保護、デジタル・インクルージョン、サイバーセキュリティ、健康、持続可能性、インフラ、そしてグローバルな能力開発に取り組んでいる。
The digital agenda priorities of G20 presidencies are often wide-ranging, from the protection and flow of data to bridging the digital divide and making use of technology for development. Each new presidency presents an opportunity to showcase successes and examples from countries that can be scaled across the G20 and globally. The transition between presidencies can also lead to policy gaps in global approaches.	G20議長国のデジタル・アジェンダの優先事項は、データの保護や流通から、デジタル・デバイドの解消や開発のための技術活用まで、多岐に渡ることが多い。新しい議長国が誕生するたびに、各国の成功事例を紹介し、G20全体、そしてグローバルにスケールアップできる機会を得ることができる。また、議長国間の移行は、グローバルなアプローチにおける政策ギャップをもたらす可能性もある。
The ever-changing technological landscape brings with it a new wave of challenges and opportunities that require agility and iterative approaches to the global digital agenda. In this context, this paper puts forward key digital agenda themes and recommendations for consideration at the global level, with the hope that these themes and recommendations will be continuously revisited and adapted by the G20 to meet new technological challenges and opportunities:	刻々と変化する技術的状況は、グローバルなデジタル・アジェンダに対する機敏さと反復的なアプローチを必要とする、新たな課題と機会の波をもたらす。このような状況において、本ペーパーは、新たな技術的課題と機会に対応するため、G20が継続的にこれらのテーマと提言を見直し、適応していくことを期待しつつ、グローバル・レベルでの検討のための主要なデジタル・アジェンダのテーマと提言を提示する：
– Focusing on the centrality of digital inclusion, access and trust: To thrive in today’s digitally connected world, people, organisations and governments need to interact with a trusted global digital ecosystem.	・デジタル・インクルージョン,アクセス,信頼の重要性に焦点を当てる: デジタルでつながった今日の世界で成功するためには,人々,組織,政府は,信頼できるグローバルなデジタル・エコシステムと交流する必要がある。
– Ensuring cybersecurity of emerging technologies: Digitization enhances social benefits but introduces cybersecurity risks and challenges, especially from emerging technologies, necessitating robust, globally interoperable cybersecurity policies. A universal baseline for cybersecurity policies and regulatory interoperability among G20 nations is vital for protecting against global cyberthreats, with acknowledgement of challenges from jurisdiction-specific regulations. Similarly, rapid governance standard development and proactive management strategies are needed due to emerging technologies’ lack of established best practices and to secure their benefits.	・新興技術のサイバーセキュリティを確保する: デジタル化は社会的便益を高めるが,サイバーセキュリティのリスクと課題をもたらす。グローバルなサイバー脅威から保護するためには,G20諸国間のサイバーセキュリティ政策と規制の相互運用性に関する普遍的なベースラインが不可欠である。同様に,新興技術には確立されたベストプラクティスがないため,ガバナンス標準の迅速な策定と事前予防的な管理戦略が必要であり,その利益を確保する必要がある。
– Investing in digital health and sustainability solutions: Both digital health and environmental sustainability are essential pillars of any digital agenda. Leveraging and supporting quality data for digital health and sustainable solutions and driving greater investment in these areas is critical for the advancement of digital solutions.	・デジタルヘルスと持続可能性ソリューションへの投資: デジタルヘルスと環境持続可能性は,いずれもデジタルアジェンダに不可欠な柱である。デジタルヘルスと持続可能なソリューションのために質の高いデータを活用・支援し,これらの分野への投資を拡大することは,デジタルソリューションの推進に不可欠である。
– Enabling digital infrastructure: Data, integral for innovation and economic growth, demands a unified governance approach due to ecosystem variability and growing societal dependence. Cross-border data flows offer expansive opportunities and risks, while digital public infrastructure (DPI) is essential for inclusive digital access, requiring global and multistakeholder engagement.	・デジタル・インフラの実現イノベーションと経済成長に不可欠なデータは、エコシステムの多様性と社会的依存の高まりにより、統一されたガバナンス・アプローチが求められている。一方、デジタル公共インフラ（DPI）は、包括的なデジタルアクセスに不可欠であり、グローバルかつマルチステークホルダーによる関与が必要となる。
– Building digital skills: Comprehensive digital skilling and upskilling in education and employment are imperative, necessitating varied models and infrastructure to extend technological adoption across roles. There is a need for regulatory capability-building and standardized training frameworks to meet digital workforce demands. This is highlighted by persistent global digital skills shortages and socio-digital disparities, despite available opportunities.	・デジタルスキルの構築: 教育と雇用における包括的なデジタルスキルアップとスキルアップは必須であり,役割の枠を超えて技術採用を拡大するための多様なモデルとインフラが必要となる。デジタル労働力の需要を満たすために,規制による能力構築と標準化されたトレーニングの枠組みが必要である。このことは,利用可能な機会があるにもかかわらず,世界的なデジタル・スキルの不足と社会的デジタル格差が根強いことから浮き彫りになっている。
Introduction	序文
The consecutive presidencies of India, Brazil and South Africa in the G20 offer an unparalleled opportunity to advance the G20 digital agenda, especially for emerging economies.	インド、ブラジル、南アフリカが連続してG20議長国を務めることは、特に新興経済国にとって、G20デジタル・アジェンダを推進するまたとない機会となる。
Navigating the complexities of global technology policy, with its entwined implications for privacy, intellectual property and security, necessitates a cohesive, multistakeholder approach to establishing trust within and among communities and countries, even amidst technical, political or social disparities. These efforts should extend beyond the tenure of any one G20 presidency.	プライバシー、知的財産、安全保障が複雑に絡み合うグローバルな技術政策の舵取りには、技術的、政治的、社会的な格差がある中でも、地域社会や国家間で信頼を確立するための、結束力のあるマルチステークホルダー・アプローチが必要である。このような取り組みは、G20議長国としての任期を越えて行われるべきである。
The G20 presents a consistent multilateral platform upon which to build cohesiveness in global approaches to technology systems and emerging technologies. Together, G20 members represent 85% of global gross domestic product (GDP), 75% of international trade and two-thirds of the world’s population.2 The G20 is composed of some of the largest countries that stand to benefit from the data-driven digital economy, including the United States and China.3 Historically, by addressing pivotal technological issues such as digital inclusion and data flows, the G20 has nurtured mutual comprehension, spurred dialogue and amplified cooperation on technology governance among countries with different regulatory regimes.4 These efforts pave the way for the interoperability of divergent technology policies and standards, facilitating communication among distinct technological systems.5 The G20 is strategically poised to influence the creation and implementation of global norms around data privacy, cybersecurity and artificial intelligence. It can guide the development of fair and inclusive digital infrastructure that respects user rights, ensures equitable access to technology and positively impacts overall well-being. Finally, by harnessing its convening capabilities, resources and political influence, the G20 can advocate for international cooperation around data regulation and governance. It can stimulate the formation of impactful and pragmatic global coalitions, guiding the alignment of national efforts with globally agreed best practices. The most recent and consecutive presidencies of India, Brazil and South Africa in the G20 offer an unparalleled opportunity to advance the G20 digital agenda, especially for emerging economies. As influential states in the Global South, these BRICS nations can offer leadership that effectively bridges the digital divide while addressing the unique challenges of their respective regions and encouraging global cooperation.	G20は、技術システムや新興技術に対するグローバルなアプローチにおいて、結束力を高めるための一貫した多国間プラットフォームを提示している。G20は、米国や中国をはじめとする、データ主導のデジタル経済から恩恵を受ける可能性のある大国によって構成されている3。歴史的に見ても、デジタル・インクルージョンやデータの流れといった極めて重要な技術的課題に取り組むことで、G20は相互理解を育み、対話を促し、規制体制の異なる国同士の技術ガバナンスに関する協力を促進してきた4。G20は、データプライバシー、サイバーセキュリティ、人工知能をめぐるグローバル規範の策定と実施に影響を与える戦略的態勢を整えている。G20は、ユーザーの権利を尊重し、テクノロジーへの公平なアクセスを確保し、全体的な幸福にプラスの影響を与える、公正で包括的なデジタル・インフラの開発を導くことができる。最後に、G20はその招集能力、リソース、政治的影響力を活用することで、データ規制とガバナンスをめぐる国際協力を提唱することができる。G20は、影響力のある実際的なグローバル連合の形成を刺激し、世界的に合意されたベスト・プラクティスと各国の取り組みの整合性を導くことができる。G20におけるインド、ブラジル、南アフリカの直近の連続議長国は、特に新興経済国にとって、G20デジタル・アジェンダを推進するまたとない機会を提供している。BRICS諸国は、南半球で影響力のある国として、それぞれの地域特有の課題に取り組み、グローバルな協力を促しながら、デジタル・デバイドを効果的に埋めるリーダーシップを発揮することができる。
Marking the culmination of the Indian presidency, the G20 New Delhi Leaders’ Declaration articulated a set of priorities that promote the institution of “safe, secure, trusted, accountable and inclusive digital public infrastructure” and welcomed efforts to “build safety, security, resilience and trust in the digital economy”. Moreover, it expressed a resolve to “foster safe and resilient digital ecosystems”, to “build a comprehensive digital health ecosystem” in compliance with national data protection regulations, and to “promote responsible AI for achieving the Sustainable Development Goals (SDGs)”, among other priorities.6 The Outcome Document of the Digital Economy Minsters’ Meeting, released earlier in August 2023, had addressed many of these themes as well, and also proposed strategies for digital skilling, and the introduction of upskilling and reskilling. It is expected that the Brazilian presidency might build further on some of these ideas and accelerators.	インド議長国の集大成となるG20ニューデリー首脳宣言は、「安全、安心、信頼、説明責任、包括的なデジタル公共インフラ」の機構を促進する一連の優先事項を明確にし、「デジタル経済における安全、安心、レジリエンス、信頼の構築」に向けた取り組みを歓迎した。さらに、「安全でレジリエントなデジタル・エコシステムの育成」、各国のデータ保護規制を遵守した「包括的なデジタル・ヘルス・エコシステムの構築」、「持続可能な開発目標（SDGs）達成のための責任あるAIの推進」などの優先課題への決意を表明した6。先に2023年8月に発表されたデジタル経済閣僚会合の序文では、これらのテーマの多くも取り上げられており、デジタル・スキリングの戦略、アップスキリングとレジリエンスの導入も提案されていた。ブラジル大統領府は、これらのアイデアやアクセラレーターの一部をさらに発展させることが期待される。
There is a unique opportunity to make critical technology recommendations and sustain these efforts across future presidencies, guiding global digital transformation and ensuring the sustainable, inclusive growth of the global digital economy. In essence, the G20’s collective influence and diplomatic power make it a pivotal player in addressing shared global technology challenges and harnessing opportunities. Building on the impactful work led by the Indian presidency, this paper puts forward additional recommendations and considerations as consecutive G20 presidencies start to shape their G20 digital agendas.	世界的なデジタルトランスフォーメーションを導き、世界デジタル経済の持続可能で包摂的な成長を確保するために、重要な技術的提言を行い、将来の議長国をまたいでこうした取り組みを持続させるまたとない機会がある。要するに、G20は、その集団的影響力と外交力により、グローバル・テクノロジーの共通の課題に取り組み、その機会を活用する上で極めて重要なプレーヤーとなるのである。本ペーパーは、インド議長国が主導したインパクトのある取り組みに基づき、連続する G20 の議長国が G20 デジタル・アジェンダを策定し始めるにあたり、さらなる提言と考察を提示するものである。
1. Focusing on the centrality of digital inclusion, access and trust	1. デジタル・インクルージョン、アクセス、信頼の重要性に焦点を当てる
Cementing digital access, inclusion and trust are pivotal themes and fundamental to successfully invest and sustainably grow digital skills, public infrastructure, cybersecurity, health and sustainability.	デジタル・スキル、公共インフラ、サイバーセキュリティ、健康、持続可能性への投資を成功させ、持続的に成長させるためには、デジタル・アクセス、インクルージョン、信頼を強化することが極めて重要なテーマであり、基本である。
To thrive in today’s digitally connected world, people, organizations and governments need to access – and interact with – a trusted, global digital ecosystem. Economic trends suggest that technology stands as a key driver for a nation’s economic expansion, linking directly to prosperity by enhancing the efficient production of goods and services.8 Yet issues around digital access, trust, ownership, inclusion and security are becoming more complex, preventing all of society from fully benefiting from technological progress. Emerging technologies, such as quantum computing and artificial intelligence, have the potential to create significant economic and social benefits and address long-standing global challenges, including climate change and improving critical healthcare supply chains. Such technology is also a key source of competitive advantage for those with access to it; there is a growing and disproportionate rise in the power of those on the supply side of emerging technologies. While much of the algorithms and software are freely available, the digital industrial capacity to turn data into models at the multibillion to trillion weight scale is an emerging barrier. Consequently, underrepresented groups must increasingly make the case that their language, culture and information should be included in these models.	デジタルでつながった今日の世界で成功するためには、人々、組織、政府は、信頼できるグローバルなデジタル・エコシステムにアクセスし、相互作用する必要がある。しかし、デジタルへのアクセス、トラストサービス、所有権、インクルージョン、セキュリティーをめぐる問題は複雑化し、社会全体が技術の進歩の恩恵を十分に受けることを妨げている。量子コンピューティングや人工知能などの新たなテクノロジーは、大きな経済的・社会的利益を生み出し、気候変動や重要なヘルスケアのサプライチェーンの改善など、長年のグローバルな課題に対処する可能性を秘めている。このようなテクノロジーはまた、それを利用できる人々にとって競争上の優位性をもたらす重要な源泉でもある。新興技術の供給側にいる人々の力は、ますます増大し、不釣り合いになっている。アルゴリズムやソフトウェアの多くは自由に利用できるが、データを数十億から数兆の重量スケールのモデルに変換するデジタル産業能力は、新たな障壁となっている。その結果、社会的地位の低いグループは、自分たちの言語、文化、情報をこれらのモデルに含めるべきだという主張をますます強めていかなければならない。
These issues look different for every country. While some nations invest in pivotal social and economic pillars like skills, infrastructure, cybersecurity, health and sustainability, others formulate policies in these spheres, collaborate on technical standards and joint initiatives, or research to discern which actions catalyse, and which inhibit innovation and advancement. In this context, cementing digital access, inclusion and trust become pivotal themes and the core focus of this paper, especially within emerging economies. Emphasis leans towards women-led development, lowering barriers to entry for underrepresented groups (including women and small and medium enterprises) and promoting tech self-sufficiency of emerging market economies.	このような問題は国によって異なる。スキル、インフラ、サイバーセキュリティ、健康、持続可能性といった極めて重要な社会的・経済的柱に投資する国もあれば、これらの領域で政策を策定したり、技術標準や共同イニシアティブで協力したり、どの行動がイノベーションを促進し、どの行動がイノベーションと発展を阻害するかを見極めるために研究したりする国もある。このような状況において、デジタル・アクセス、インクルージョン、信頼の強化は極めて重要なテーマであり、特に新興経済圏において本稿の中心的な焦点となる。女性主導の開発、（女性や中小エンタープライズを含む）社会的地位の低いグループの参入障壁の低減、新興市場経済の技術的自給の促進を重視する。
These themes are also the fundamental ingredients to successfully invest and sustainably grow digital skills, public infrastructure, cybersecurity, health and sustainability. Securing the G20’s commitment to and support of these subjects could mark a pivotal moment for global progress. This relates to the G20’s distinctive capacity, afforded by its extensive reach, to integrate nuanced regional diversities and local contexts when sculpting the future of technological solutions and assuring fair technology access. Consecutive G20 presidencies present a unique opportunity to address these issues collectively (with leadership from the Global South), driving these universal themes to ensure that digital access, inclusion and trust in emerging markets genuinely mirror global requirements and ambitions. In the context of these markets, issues of equity, inclusion and access among underrepresented communities and the technology domains explored in this paper are especially pronounced.	これらのテーマは、デジタルスキル、公共インフラ、サイバーセキュリティ、健康、持続可能性への投資と持続的成長を成功させるための基本的な要素でもある。これらのテーマに対するG20のコミットメントと支援を確保することは、世界の進歩にとって極めて重要な意味を持つ。このことは、技術的ソリューションの未来を創造し、公正な技術アクセスを保証する際に、微妙な地域の多様性とローカルな文脈を統合することができる、G20の広範なリーチによってもたらされる特徴的な能力に関連している。連続するG20議長国は、新興市場におけるデジタル・アクセス、インクルージョン、信頼をグローバルな要件と野心に確実に反映させるために、これらの普遍的なテーマを推進し、（グローバル・サウスからのリーダーシップとともに）これらの問題に集団的に取り組むまたとない機会を提供する。このような市場において、社会的地位の低い人々の公平性、インクルージョン、アクセス、そして本稿で取り上げるテクノロジー領域の問題は、特に顕著である。
2. Ensuring cybersecurity of emerging technologies	2. 新興技術のサイバーセキュリティの確保
In an interconnected world, cyberthreats pose a shared risk alongside the evolution of emerging technologies.	相互接続された世界では、サイバー脅威は、新興技術の進化とともに共通のリスクとなっている。
“Ensuring the security of emerging technologies is vital to prevent an increase in global cybersecurity risks as they become more widespread.”	新興技術の普及に伴う世界的なサイバーセキュリティリスクの増大を防ぐためには、新興技術のセキュリティを確保することが不可欠である。
Rapid digitization in the past few years has resulted in the growth of technology at a pace that is difficult for policy-makers and society to grasp. In response to digital transformation, emerging technologies and connected cybersecurity risks, many governments have started imposing cybersecurity requirements, especially when national security, economic security or public health and safety is at stake. The intentional design and implementation of these requirements need attention at the global policy level.	ここ数年の急速なデジタル化により、政策立案者や社会が把握しにくいペースでテクノロジーが成長している。デジタルトランスフォーメーション、新たなテクノロジー、関連するサイバーセキュリティリスクに対応するため、多くの政府は、特に国家安全保障、経済安全保障、公衆衛生・安全が危機に瀕している場合に、サイバーセキュリティ要件を課し始めている。これらの要件の意図的な設計と実施には、世界的な政策レベルでの注意が必要である。
Digital and emerging technologies, ranging from the internet of things (IoT), generative artificial intelligence (AI) and quantum computing to advanced manufacturing, smart chemicals, artificial foods and human genome editing, can create tremendous social benefits. Yet they also create significant multi-dimensional risks. In an interconnected world, cyberthreats pose a shared risk alongside the evolution of emerging technologies, and since every part of the world has the potential to be connected, that shared risk is now a global risk.9 As a result, cybersecurity policies and standards and the compliance or certification10 against them must be globally interoperable across jurisdictions, with a baseline level of trust that extends across international boundaries. Therefore, the call for interoperability11 across various local cybersecurity-related regulatory requirements is crucial for G20 countries and beyond.	モノのインターネット（IoT）、生成的人工知能（AI）、量子コンピューティングから先端製造業、スマート化学、人工食品、ヒトゲノム編集に至るまで、デジタル技術や新興技術は多大な社会的利益を生み出す可能性がある。しかし、同時に多面的なリスクも生み出している。相互接続された世界では、サイバー脅威は新たなテクノロジーの進化とともに共有されるリスクとなり、世界のあらゆる地域が接続される可能性を秘めているため、その共有リスクは今やグローバルリスクとなっている9。その結果、サイバーセキュリティの方針と標準、およびそれに対するコンプライアンスや認証10 は、国際的な境界を越えて拡大する信頼の基本水準を備え、法域を越えてグローバルに相互運用可能でなければならない。そのため、さまざまな地域のサイバーセキュリティ関連の規制要件に相互運用性11 を求めることは、G20 諸国にとって、またそれ以外の国々にとっても極めて重要である。
Jurisdictional-specific cybersecurity regulatory requirements have increased substantially in the past few years. For example, in the last couple of years, Australia, China, India, the European Union, the United States and many others have enacted stringent cybersecurity regulatory requirements, referenced in this paper. These requirements are often based on or inspired by international standards, such as the National Institute of Standards and Technology (NIST) Cybersecurity Framework,12 ISA/ IEC 6244313 and ISO/IEC 27000.14 However, they are usually amended in some way,15 diverging from what would have been common or interoperable international security requirements.	司法管轄地域特有のサイバーセキュリティ規制要件は、ここ数年で大幅に増加している。例えば、ここ 2、3 年の間に、オーストラリア、中国、インド、欧州連合（EU）、米国、その他多くの国々が、本稿で言及しているような厳しいサイバーセキュリティ規制要件を制定している。これらの要件は、多くの場合、国立標準技術研究所（NIST）のサイバーセキュリティフレームワーク12 、ISA/ IEC 6244313 、ISO/IEC 2700014 などの国際標準に基づいているか、それに触発されている。しかし、これらの要件は通常何らかの形で修正されており15 、国際的に共通または相互運用可能であったはずのセキュリティ要件から乖離している。
These jurisdictional-specific requirements pose several cybersecurity challenges. From a technical perspective, they may inadvertently leave out important cybersecurity controls or focus on specific technology solutions rather than broadly applicable principles. From a business perspective, jurisdictional-specific standards and certification requirements increase compliance burdens for manufacturers, service providers and cybersecurity professionals. This is especially the case when global products and international services must adhere to a multitude of requirements, translating to increased costs for customers. There are also compliance burdens for companies operating in multiple jurisdictions; in some cases, organizations may face mutually conflicting regulations, making full compliance and certification impossible.	このような司法管轄地域固有の要件は、サイバーセキュリティにいくつかの課題をもたらす。技術的な観点からは、重要なサイバーセキュリティ対策がうっかり抜け落ちてしまったり、広範に適用可能な原則よりも特定の技術ソリューションに焦点が当てられたりする可能性がある。ビジネスの観点からは、司法管轄地域固有の基準や認証要件は、製造業者、サービス・プロバイダ、サイバーセキュリティ専門家のコンプライアンス負担を増大させる。グローバル製品や国際的なサービスが多数の要件に準拠しなければならない場合は特にそうであり、顧客にとってはコスト増につながる。また、複数の法域で事業を展開する企業にとっても、コンプライアンス上の負担がある。場合によっては、組織が相互に矛盾する規制に直面し、完全なコンプライアンスと認証が不可能になることもある。
Regulators may have good reason to include variations in their national standards to address local conditions. However, since the internet is globally interconnected, jurisdictional-specific regulations and certification requirements can easily become counterproductive. These local variations should be limited to the maximum extent possible to address specific conditions, and cybersecurity requirements should be common and interoperable across jurisdictions to every extent possible.	規制当局には、地域の実情に対応するため、自国の規格にバリエーションを持たせる正当な理由があるかもしれない。しかし、インターネットはグローバルに相互接続されているため、司法管轄地域特有の規制や認証要件は逆効果になりやすい。このような地域ごとの差異は、特定の状況に対処するために可能な限り制限されるべきであり、サイバーセキュリティ要件は、可能な限り法域を越えて共通かつ相互運用可能であるべきである。
This problem is compounded further with respect to emerging technologies. Consensus-based and empirically tested “best practices” do not yet exist for many emerging technologies, such as generative AI or embedded biotechnology. The rapid development of such practices and standards for governance is urgently needed. Existing vulnerable information and operational technology already underpin most economic transactions, transport, healthcare, public services, supply chains and more, which creates enormous risks. These risks range from cybercrime’s economic impacts to public health and safety to geopolitical stability. Emerging technologies can amplify these risks by enhancing the capabilities of malicious actors and increasing reliance on digital solutions. Ensuring the security of emerging technologies is vital to prevent an increase in global cybersecurity risks as they become more widespread. Additionally, it is crucial to provide broad access to these technologies to ensure their benefits are widely distributed, not just concentrated among a few individuals or companies. To address these challenges, it is essential to proactively develop the capacity to manage key emerging technologies and address gaps in cybersecurity capabilities. Traditional regulatory tools may be insufficient and, in some cases, not applicable to enabling effective cybersecurity.	この問題は、新たな技術に関してはさらに複雑化する。ジェネレーティブAIや組込みバイオテクノロジーなど、多くの新興技術については、コンセンサスに基づく実証済みの「ベストプラクティス」がまだ存在しない。そのようなプラクティスとガバナンスのための基準を早急に開発する必要がある。既存の脆弱な情報技術や運用技術は、すでにほとんどの経済取引、輸送、医療、公共サービス、サプライチェーンなどを支えており、これが莫大なリスクを生み出している。こうしたリスクは、サイバー犯罪による経済的影響から、公衆衛生や安全、地政学的安定に至るまで、多岐にわたる。新興技術は、悪意ある行為者の能力を強化し、デジタル・ソリューションへの依存度を高めることで、これらのリスクを増幅させる可能性がある。新興技術のセキュリティ確保は、新興技術の普及に伴う世界的なサイバーセキュリティリスクの増大を防ぐために不可欠である。さらに、これらの技術の恩恵を一部の個人や企業に集中させるのではなく、広く行き渡らせるために、これらの技術への幅広いアクセスを提供することが極めて重要である。こうした課題に対処するためには、主要な新興技術を管理する能力を積極的に開発し、サイバーセキュリティ能力のギャップに対処することが不可欠である。効果的なサイバーセキュリティを実現するためには、従来の規制ツールでは不十分であり、場合によっては適用できないこともある。
The G20 can play a crucial role in advocating for harmonized cybersecurity requirements that support both increased security and innovation. Many governments, including G20 governments, are working on this already and are considering, or have recently passed, policies to formulate cyber incident reporting regimes. Some examples are Australia’s Security Legislation Amendment (Critical Infrastructure Protection) Act 2022, 16 the EU’s Network and Information Security 2 Directive and the US’ Cyber Incident Reporting for Critical Infrastructure Act. 17 As these countries move towards implementation and as others contemplate similar cyber incident reporting policies, a critical moment emerges for interoperability across such policies. Interoperability can be established based on adherence to jurisdictional-specific policies with industry best practices, such as the European Union Agency for Cybersecurity (ENISA) Good Practice Guide on Incident Reporting, 18 the National Institute of Standards and Technology (NIST) Incident Handling Guide, 19 and the Cyber Threat Alliance Cyber Incident Reporting Framework. 20	G20は、セキュリティ強化とイノベーションの両方を支援するサイバーセキュリティ要件の調和を提唱する上で、重要な役割を果たすことができる。G20各国政府を含む多くの政府が既にこの課題に取り組んでおり、サイバーインシデント報告制度を策定するための政策を検討しているか、最近可決している。例えば、オーストラリアの「安全保障法制改正（重要インフラ保護）法2022」、EUの「ネットワークおよび情報セキュリティ2指令」16、米国の「重要インフラのためのサイバーインシデント報告法」などがある。17 これらの国々が実施に向けて動き出し、また他の国々が同様のサイバーインシデント報告政策を検討する中、このような政策間の相互運用性が重要な局面を迎えている。相互運用性は、欧州連合サイバーセキュリティ機関（ENISA）のインシデント報告に関するグッドプラクティスガイド18、米国国立標準技術研究所（NIST）のインシデントハンドリングガイド19、サイバー脅威同盟のサイバーインシデント報告フレームワーク20のような業界のベストプラクティスと司法管轄区固有の政策の順守に基づいて確立することができる。20
Given the risk that cybersecurity poses in the context of digital and emerging technologies, the G20 Digital Agenda should incorporate cybersecurity technologies as a key focus area across consecutive presidencies. This paper advocates for the G20 to undertake the following actions:	サイバーセキュリティがデジタル技術や新興技術の文脈でもたらすリスクを考慮すると、G20 デジタル・アジェンダは、連続する議長国間の主要な重点分野としてサイバーセキュリティ技術を組み入れるべきである。本ペーパーは、G20 が以下の行動を取ることを提唱する：
– Support the development and mutual recognition of voluntary cybersecurity certification for devices, service providers and professionals, building on the Common Criteria platform, which includes basic device certification. Certification could be developed in collaboration with standards development organizations (Institute of Electrical and Electronics Engineers Standards Association, International Standards Organisation, European Telecommunications Standards Institute, European Committee for Standardization, Connectivity Standards Alliance21), with a goal of agreeing on the minimum requirements for certifications across different domains.	・基本的なデバイス認証を含むコモンクライテリア・プラットフォームを基盤として、デバイス、サービス・プロバイダー、専門家に対する自主的なサイバーセキュリティ認証の開発と相互承認を支援する。認証は、異なる領域にわたる認証の最低要件に合意することを目標に、標準開発組織（電気電子技術者標準化協会、国際標準化機構、欧州電気通信標準化機構、欧州標準化委員会、コネクティビティ・スタンダード・アライアンス21）と協力して開発することができる。
– As jurisdictions continue to develop and implement cybersecurity policies, the G20 should facilitate the creation of international ontological standards.22,23 These standards should contain concepts, definitions and axioms to formally represent what constitutes a reportable incident, when, how and to whom reporting is required, and what baseline level of security is required, among other aspects. The G20 can support this by working with its international partners to establish commonalities and define the baseline level of trust to minimize jurisdictional-specific requirements.	・各国・地域がサイバーセキュリティ政策の策定と実施を進める中,G20 は国際的な存在論的標準の策定を促進する必要がある。G20は,国際的なパートナーと協力し,共通性を確立し,信頼のベースライン・レベルを定義することで,法域固有の要件を最小化することで,これを支援することができる。
– Recognizing both the benefits and potential costs of AI technology, the G20 should endorse the formation of AI security practices for countering global threats, promote the use of these best practices, identify potential governance mechanisms and develop proofsof-concept for accountability.	・G20は,AI技術の利点と潜在的なコストの両方を認識し,グローバルな脅威に対抗するためのAIセキュリティ・プラクティスの形成を支持し,これらのベスト・プラクティスの利用を促進し,潜在的なガバナンス・メカニズムを特定し,説明責任を果たすための概念実証を開発すべきである。
3. Investing in digital health and sustainability solutions	3. デジタルヘルスと持続可能性ソリューションへの投資
The G20, with its unique position, can significantly impact and drive investment towards global health and sustainability challenges as they become increasingly interconnected.	G20は、そのユニークな立場から、相互の結びつきが強まるグローバルヘルスと持続可能性の課題に大きな影響を与え、投資を促進することができる。
“Individuals, companies, communities and governments will only continue to adopt sustainable solutions if they trust them and fully understand their benefits.”	「個人、企業、コミュニティ、政府は、持続可能なソリューションを信頼し、その利点を十分に理解して初めて、持続可能なソリューションを採用し続けるだろう。
The challenges of digital health and sustainable solutions transcend borders and geopolitical lines. Both health and environmental sustainability are vital components of any digital agenda, as they are interconnected. Climate change poses health risks, including storm injuries, infectious diseases and chronic illnesses, disrupting healthcare and food security. In addition, extreme weather events, gradual warming and changes in humidity indirectly affect human health by disrupting healthcare delivery and endangering food security. Vulnerable populations, even in high-income countries, are disproportionately affected, exacerbating health disparities. 24	デジタルヘルスと持続可能なソリューションの課題は、国境や地政学的な境界線を越えている。健康と環境の持続可能性は、相互に関連しているため、デジタルアジェンダの重要な要素である。気候変動は、暴風雨による負傷、感染症、慢性疾患などの健康リスクをもたらし、医療や食料安全保障を混乱させる。さらに、極端な気象現象、緩やかな温暖化、湿度の変化は、ヘルスケアの提供に支障をきたし、食料安全保障を危険にさらすことで、間接的に人間の健康に影響を与える。高所得国であっても、社会的弱者は不釣り合いな影響を受け、健康格差を悪化させる。24
During the COVID-19 pandemic, digital technology and data flows enabled several critical responses, including data sharing for medical research and response, monitoring and controlling vaccine production and distribution, and adopting digital services for business and public service to prevent disruption.25 During the pandemic, several platforms emerged that collected data from around the world to track and assess these trends.26 These efforts paved the way for several pioneering cross-border data health initiatives. Similarly, digital technologies hold significant promise for sustainable development.27 They are already being deployed to address a range of sustainability challenges,28 from climate change to the monitoring of wildfires to mapping and protecting biodiversity.	COVID-19のパンデミックの間、デジタル技術とデータの流れは、医学研究と対応のためのデータ共有、ワクチン生産と流通の監視と管理、混乱を防ぐためのビジネスと公共サービスへのデジタルサービスの採用など、いくつかの重要な対応を可能にした25。パンデミックの間、これらの傾向を追跡・評価するために世界中からデータを収集するプラットフォームがいくつか出現した26。このような取り組みにより、国境を越えたデータヘルスに関する先駆的な取り組みへの道が開かれた。同様に、デジタル技術は持続可能な開発にとって大きな可能性を秘めている27 。デジタル技術は、気候変動から山火事の監視、生物多様性のマッピングや保護に至るまで、持続可能性に関するさまざまな課題28に対処するために、すでに導入されている。
Global investment in digital health and sustainability showcases innovation in these areas. Early-stage funding and mega-deals indicate the transformation of healthcare through emerging technologies. Despite this, overall global digital health investment is at its lowest since 2017. 29	デジタルヘルスと持続可能性への世界的な投資は、これらの分野におけるイノベーションを示すものである。初期段階の資金調達や大規模な取引は、新たなテクノロジーによるヘルスケアの変革を示している。にもかかわらず、世界全体のデジタルヘルス投資は2017年以降最低となっている。29
Beyond electrification and renewables, critical areas of investment and opportunity include carbon capture and storage, carbon removal technologies, circular technologies, sustainable agriculture and water and biodiversity solutions. These areas will require deep private and public partnerships, new foresight methods to illuminate what comes next and systemslevel approaches. G20 countries are well-positioned to lead the charge in developing all of these. Inclusion, access and trust are essential for successful emerging technology innovation in digital health and sustainability solutions. Policymakers, industry leaders and healthcare systems must address critical challenges, including AI and machine learning, innovations in electronic health records, gene editing and precision medicine at large, and data privacy and security.30 Securing personal data is crucial to build confidence in these technologies. Global stakeholders must continue to consider and innovate around data privacy and security to ensure scalability and adoption by both patients and medical professionals.31 The World Economic Forum’s Centre for Health and Healthcare collaborates with the G20 to drive datadriven health initiatives, aiming to address global healthcare challenges, including equitable access to care and improved health outcomes through publicprivate partnerships.	電化や再生可能エネルギーだけでなく、炭素回収・貯留、炭素除去技術、循環型技術、持続可能な農業、水と生物多様性の解決策など、投資と機会の重要な分野が含まれる。これらの分野では、民間と公共の深いパートナーシップ、次に何が起こるかを明らかにする新しい先見性の手法、システムレベルのアプローチが必要となる。G20諸国は、これらすべての開発を主導する立場にある。デジタルヘルスと持続可能性ソリューションにおける新興テクノロジーのイノベーションを成功させるためには、インクルージョン、アクセス、信頼が不可欠である。政策立案者、産業界のリーダー、医療システムは、AIと機械学習、電子カルテの革新、遺伝子編集と精密医療全般、データプライバシーとセキュリティなど、重要な課題に取り組まなければならない30。個人データのセキュリティは、これらの技術に対する信頼を築く上で極めて重要である。世界の関係者は、患者と医療従事者の双方による拡張性と採用を確保するために、データプライバシーとセキュリティに関する検討と革新を続けなければならない31。世界経済フォーラムの保健医療センターは、G20と協力してデータ主導の保健医療イニシアチブを推進し、官民パートナーシップを通じて、医療への公平なアクセスや保健アウトカムの改善など、世界的な保健医療の課題に取り組むことを目指している。
There is a similar interconnectedness between access, inclusion and trust and the growth of emerging technologies in sustainable development solutions. Transitioning to sustainable solutions, such as electric cars and efficient smart home technologies, comes with costs, posing the risk that only those who can afford them will access these emerging technologies. Further, individuals, companies, communities and governments will only continue to adopt sustainable solutions if they trust them and fully understand their benefits. The G20 can play an active and invaluable role in ensuring precision data security and minimizing precision data bias and underrepresentation, thereby improving overall digital trust in both the digital health and sustainability spheres.	アクセス、インクルージョン、信頼と、持続可能な開発ソリューションにおける新興技術の成長との間には、同様の相互関連性がある。電気自動車や効率的なスマートホーム技術など、持続可能なソリューションへの移行にはコストがかかるため、経済的に余裕のある人しかこれらの新興技術にアクセスできなくなるリスクがある。さらに、個人、企業、コミュニティ、政府は、持続可能なソリューションを信頼し、その利点を十分に理解して初めて、持続可能なソリューションを採用し続けるだろう。G20は、精密データの安全性を確保し、精密データの偏りや過小評価を最小化することで、デジタルヘルスと持続可能性の両分野における全体的なデジタルの信頼を向上させる上で、積極的かつ貴重な役割を果たすことができる。
Ease of use, linked to digital literacy, continues to pose a critical challenge, with electronic patient records, for example, facing adoption headwinds due to design principles that seemingly lack usercentricity.32 Other challenges include maintaining an ability to adapt to evolving patient needs, as well as determining the right, trusted and patientaccepted role for AI in the broader digital health ecosystem.33 Addressing these challenges demands multistakeholder and global partnerships and will require private investment and innovation, public regulation and cross-border cooperative frameworks, as well as changes in individual behaviour.	デジタルリテラシーと結びついた使い勝手の良さは、引き続き重要な課題となっており、例えば電子カルテは、利用者中心主義を欠いていると思われる設計原理により、導入の逆風に直面している32。その他の課題としては、進化する患者のニーズに適応する能力を維持することや、より広範なデジタル・ヘルス・エコシステムにおけるAIの適切で信頼され、患者に受け入れられる役割を決定することなどがある33。これらの課題に対処するには、マルチステークホルダーとグローバルなパートナーシップが必要であり、民間の投資とイノベーション、公的規制、国境を越えた協力体制、さらには個人の行動変容が必要となる。
The G20, with its unique position, can significantly impact global health and sustainability challenges as they become increasingly interconnected. G20 countries possess substantial innovation funding sources,34 exemplified by $120 billion in investments in nature-based solutions in 2020, representing 92% of global spending in this area. Further, the spending gap in non-G20 countries is larger and more difficult to bridge than in G20 countries,35 demonstrating the capacity of G20 countries to drive investment towards digital health and sustainability solutions. To meet agreed biodiversity, land restoration and climate targets by 2050, G20 annual investments in naturebased solutions must increase by 140%, requiring an extra $165 billion yearly, mainly in Official Development Assistance (ODA) and private-sector spending.	G20は、そのユニークな立場から、相互の結びつきが強まるグローバル・ヘルスと持続可能性の課題に大きな影響を与えることができる。G20 諸国は、実質的なイノベーションの資金源を有している34 。その例として、2020 年の自然ベースの解決策への 1200 億ドルの投資が挙げられ、これはこの分野における世界の支出の 92%に相当する。さらに、非 G20 諸国の支出ギャップは G20 諸国よりも大きく、埋めるのがより困難である35 。2050年までに合意された生物多様性、国土回復、気候の目標を達成するためには、G20の自然ベースのソリューションへの年間投資を140%増加させる必要があり、主に政府開発援助（ODA）と民間部門の支出で、年間1650億ドルの追加投資が必要となる。
This paper recommends that the G20 support:	本ペーパーでは、G20の支援を提言する：
– Driving greater G20 investment in digital health and sustainability solutions from G20 countries: The G20, with its substantial size and influence, can establish mechanisms to propel global investment in digital health and sustainability solutions. This may involve creating incentives for private sector investment in their countries and supporting innovative, early-stage companies tackling challenges in these domains.	・G20諸国によるデジタルヘルスと持続可能性ソリューションへの投資拡大を促進する: G20は,その規模と影響力を活かし,デジタルヘルスと持続可能性ソリューションへのグローバルな投資を促進するメカニズムを確立することができる。これには,自国における民間セクターの投資に対するインセンティブを創出し,これらの領域で課題に取り組む革新的なアーリーステージの企業を支援することが含まれる。
– Endorsing AI standards in digital health and sustainability: AI is poised to play a significant role in healthcare and sustainability.36 The G20 can lead efforts to define AI’s role, identify gaps and set clear agendas.37 This includes enhancing sectors like supply chains, logistics, design, energy efficiency, agriculture and disaster preparedness. Additionally, the G20 can promote standards to reduce bias and improve inclusivity in AI-enabled solutions.	・デジタルヘルスと持続可能性におけるAIの標準を承認する: G20は,AIの役割を定義し,ギャップを特定し,明確なアジェンダを設定するための取り組みを主導することができる37。これには,サプライチェーン,物流,デザイン,エネルギー効率,農業,災害対策などの分野の強化が含まれる。さらに,G20 は,AI を活用したソリューションにおける偏見を減らし,包括性を向上させるための基準を推進することができる。
– The continuation of a commitment to using data for sustainable development: G20 countries can build on previous efforts announced in Bali,38 developing frameworks for open repositories. These frameworks facilitate sharing national health and sustainability datasets, harmonizing data standards, improving data portability and enhancing system interoperability. They can also strengthen mechanisms for transnational data sharing during global health and sustainability crises.	・持続可能な開発のためのデータ活用へのコミットメントの継続: G20諸国は,バリ38 で発表されたオープンリポジトリの枠組みを開発するこれまでの取り組みを基礎とすることができる。これらの枠組みは,各国の保健および持続可能性に関するデータセットの共有,データ標準の調和,データのポータビリティの向上,システムの相互運用性の強化を促進する。また,世界的な保健衛生の危機や持続可能性の危機に際して,国境を越えたデータ共有のためのメカニズムを強化することもできる。
4. Enabling digital infrastructure	4. デジタル・インフラの実現
The G20 is well-positioned to create a conducive environment for cross-border data flows and digital public infrastructure, thereby driving global digital economic growth.	G20は、国境を越えたデータの流れやデジタル公共インフラを促進する環境を整え、世界のデジタル経済成長を促進することができる。
“To harness the economic potential of digitization, societies need inclusive and collaborative digital and physical infrastructure.”	「デジタル化の経済的潜在力を活用するために、社会は包括的かつ協力的なデジタルおよび物理的インフラを必要としている。
The global digital revolution has made data a crucial resource for innovation, economic growth and societal progress. Data is at the centre of governance discussions due to its socioeconomic significance and its potential to address global challenges. However, data use can either create collaboration or exacerbate inequalities across borders. Effective standardized frameworks for data collection, decoding, storage and use are essential for successful governance of emerging technologies.	世界的なデジタル革命により、データはイノベーション、経済成長、社会の進歩にとって極めて重要な資源となった。データは、その社会経済的な重要性と世界的な課題に対処する可能性から、ガバナンスの議論の中心となっている。しかし、データの利用は、国境を越えた協力を生み出すこともあれば、不平等を悪化させることもある。データの収集、解読、保存、利用のための効果的な標準化された枠組みは、新興技術のガバナンスを成功させるために不可欠である。
Data is a critical component and needs to be understood as a key part of modern-day infrastructure. It also presents new challenges to existing institutions concerned with the safe and effective management of infrastructure. Having a strong understanding of “data as infrastructure” and the need to develop holistic “data infrastructure” will only become more vital as populations grow and economies and societies become increasingly reliant on getting value from data to meet people’s needs and deliver on global ambitions, including the Sustainable Development Agenda.	データは重要な要素であり、現代のインフラの重要な一部として理解される必要がある。また、インフラストラクチャーの安全かつ効果的な管理に関わる既存の機関にとっても、新たな課題となっている。人口が増加し、経済や社会が人々のニーズを満たし、持続可能な開発アジェンダを含む世界的な野望を実現するために、データから価値を得ることへの依存度が高まるにつれ、「インフラとしてのデータ」と全体的な「データインフラ」を開発する必要性を強く理解することは、ますます不可欠になるだろう。
Even within the G20, the data ecosystem is neither uniform nor unified – the same information about an entity in the environment has different representations and, consequently, different meanings. Diverse information and representations hinder interoperability, limiting international cooperation. Regulatory challenges arise due to the sensitivity of information, especially concerning the needs and priorities of sovereign nations.	G20内でさえ、データ・エコシステムは均一でも統一されてもいない。環境内のあるエンティティに関する同じ情報であっても、表現が異なり、結果として意味も異なる。多様な情報と表現が相互運用性を妨げ、国際協力を制限している。情報の機密性、特に主権国家のニーズや優先事項に関する規制上の課題も生じる。
In a rapidly advancing digital age, the free flow of data across borders is essential for innovation, economic growth, social progress and transformative change. Achieving this will require that data is harnessed in interoperable rather than fragmented national infrastructures. Cross-border data flows (CBDFs) offer opportunities for global collaboration, economic growth and scalable solutions to challenges like climate change. Discussions on this topic are influenced by tensions around free trade, privacy and data protection. Misuse and data quality issues can exacerbate conflict. Trust is crucial for CBDFs, requiring dedicated frameworks. Data Free Flow with Trust (DFFT) has been a key agenda item for the G7 and G20, supported by several international organizations, including the World Economic Forum and the Organisation for Economic Co-operation and Development (OECD).39 Differing regulations, privacy, ethics and digital disparities remain challenges to CBDFs.	急速に進展するデジタル時代において、国境を越えたデータの自由な流通は、イノベーション、経済成長、社会進歩、変革に不可欠である。これを達成するためには、断片的な国家インフラではなく、相互運用可能なインフラでデータを活用する必要がある。国境を越えたデータフロー（CBDFs）は、グローバルな協力、経済成長、気候変動などの課題に対するスケーラブルな解決策を提供する機会を提供する。このトピックに関する議論は、自由貿易、プライバシー、データ保護をめぐる緊張の影響を受けている。誤用やデータの質の問題は、紛争を悪化させる可能性がある。信頼はCBDFにとって極めて重要であり、専用のフレームワークを必要とする。信頼のあるデータ・フリー・フロー（DFFT）は、世界経済フォーラムや経済協力開発機構（OECD）を含むいくつかの国際機関によって支持され、G7やG20の重要な議題となっている39。異なる規制、プライバシー、倫理、デジタル格差は、CBDFにとって依然として課題である。
Access, inclusion and trust are central to discussions on increased investment in digital infrastructure. To harness the economic potential of digitization, societies need inclusive and collaborative digital and physical infrastructure. One such mechanism is the evolution of digital public infrastructure (DPI), an ecosystem-wide approach focusing on universal access, interoperability and innovation. This is often designated as a “stack”, which is a common concept in software development consisting of “a set of components working together effectively and efficiently to execute an application and for data to flow”.40 DPI is an approach that creates societal outcomes within and across sectors by building open and interoperability technology building blocks, along with transparent, accountable and participatory governance frameworks and enabling public, private and civil DPI creates societal benefits through open technology building blocks, transparent governance and partnerships across sectors. For instance, India’s Unified Payments Interface connects millions of banks and merchants, expanding financial access.41 Similarly, in education in India, Digital Infrastructure for Knowledge Sharing (DIKSHA) provides millions of teachers and students with locally-created content.42	アクセス、インクルージョン、信頼は、デジタル・インフラへの投資拡大に関する議論の中心である。デジタル化の経済的潜在力を活用するために、社会は包括的かつ協調的なデジタル・物理インフラを必要としている。そのようなメカニズムのひとつが、デジタル公共インフラ（DPI）の進化であり、ユニバーサルアクセス、相互運用性、イノベーションに焦点を当てたエコシステム全体のアプローチである。これはしばしば「スタック」と呼ばれ、「アプリケーションを実行し、データを流通させるために、効果的かつ効率的に協働する一連のコンポーネント」で構成される、ソフトウェア開発における一般的な概念である40。DPIは、オープンで相互運用性の高い技術構成要素を、透明で説明責任のある参加型ガバナンスの枠組みとともに構築し、公共、民間、市民DPIは、オープンな技術構成要素、透明なガバナンス、部門を超えたパートナーシップを通じて、社会的利益を創出するアプローチである。例えば、インドの統一決済インターフェース（Unified Payments Interface）は、何百万もの銀行や商店を結びつけ、金融アクセスを拡大している41 。同様に、インドの教育分野では、知識共有のためのデジタル・インフラストラクチャ（DIKSHA）が、何百万もの教師や生徒に地元で作成されたコンテンツを提供している42 。
Amid rapid technological progress, investing in DPI is essential for global development. The recent Indian G20 presidency recognized this as a key priority. DPI ensures inclusive digital access, transparency and interoperability, akin to vital public services. Brazil’s PIX, for example, has enabled financial payments across the country.43 The United Arab Emirates invested in a unified digital identity platform, UAEPass, which allows both residents and visitors to access and perform many government and private sector services and to sign formal documentation digitally.44 The platform was used for the 2023 Federal National Council elections process in the country, enabling voters to cast their votes from anywhere without visiting polling stations.45	急速な技術進歩の中、DPIへの投資はグローバルな発展に不可欠である。急速な技術進歩の中、DPIへの投資はグローバルな開発にとって不可欠である。最近のインドG20議長国は、DPIを重要な優先事項として認識した。DPIは、包括的なデジタル・アクセス、透明性、相互運用性を確保するものであり、重要な公共サービスと同様のものである。アラブ首長国連邦は、統一デジタル・アイデンティティ・プラットフォームであるUAEPassに投資した。UAEPassは、居住者と訪問者の双方が多くの政府・民間部門のサービスにアクセスし、実行することを可能にし、正式な文書にデジタル署名することを可能にする44 。同プラットフォームは、2023 年の連邦国民議会選挙プロセスで使用され、有権者が投票所に足を運ばずに、どこからでも投票できるようにした45 。
The scaling of DPI solutions relies on trusted data exchanges, both within countries and across borders. Simultaneously, DPI serves as a critical building block for these data flows, enabling efficient and equitable public services that span geographical boundaries. DPI not only addresses various development needs but also gives governments more control over their technology foundations and data. This control is especially evident when governments implement policies related to antitrust, interoperability standards and data protection. As such, DPI is intrinsically linked to data flows, and, when designed, manufactured and operated with inclusion and local capacity in mind, DPI can unlock a range of lasting socioeconomic solutions.	DPIソリューションの拡張性は、国内および国境を越えた信頼できるデータ交換に依存している。同時に、DPIはこうしたデータの流れを支える重要なビルディングブロックとして機能し、地理的な境界を越えた効率的かつ公平な公共サービスを可能にする。DPIは様々な開発ニーズに対応するだけでなく、政府が技術基盤とデータをよりコントロールできるようにする。この管理は、政府が独占禁止法、相互運用性基準、データ保護に関連する政策を実施する際に特に顕著となる。このように、DPIはデータの流れと本質的に結びついており、インクルージョンと地域の能力を念頭に置いて設計、製造、運用されれば、DPIは様々な持続的な社会経済的解決策を引き出すことができる。
Challenges in using CBDFs for DPI intersect technology, policy and geopolitics. Growing data sharing raises privacy concerns, potentially hindering cross-border data access. Cybersecurity threats like breaches and attacks jeopardize DPI’s confidentiality, integrity and availability. Diverse data standards, structures and regulations across jurisdictions complicate global DPI development. Issues such as digital sovereignty, power imbalances and North-South disparities could impede DPI’s effectiveness. Political instability, conflicts and corruption divert resources from digital infrastructure, exacerbating access disparities.	CBDFをDPIに利用する際の課題は、技術、政策、地政学にまたがっている。データ共有が進むにつれ、プライバシーの問題が浮上し、国境を越えたデータアクセスが妨げられる可能性がある。侵害や攻撃のようなサイバーセキュリティの脅威は、DPIの機密性、完全性、可用性を危うくする。グローバルなDPIの開発を複雑にしているのは、法域を超えた多様なデータ標準、構造、規制である。デジタル主権、力の不均衡、南北格差といった問題は、DPIの有効性を阻害する可能性がある。政治的不安定性、紛争、腐敗は、デジタル・インフラからリソースを流出させ、アクセス格差を悪化させる。
The G20 is well-positioned to address these challenges, which are critical to creating a conducive environment for CBDFs and DPI, thereby driving global digital economic growth. This paper recommends that the G20 support:	G20は、CBDFsとDPIのための環境を整え、世界のデジタル経済成長を促進するために不可欠な、これらの課題に対処するのに適した立場にある。本ペーパーは、G20 が以下を支援することを提言する：
– Development of global data governance standards: The G20, through its Digital Economy Working Group,46 should lead efforts to create a widely-accepted set of data governance standards. These standards should encompass data privacy, ethical use, cybersecurity and interoperability, allowing for effective and responsible CBDFs and building on previous ministerial meetings. There should be a discerning and judicious balance between ensuring the legitimate use of data for innovation and business growth while also respecting the need for data security and data privacy. This effort must connect to and complement the work of other multilateral fora, including the G7 and United Nations Global Digital Compact.	・グローバル・データ・ガバナンス基準の策定 G20 は,デジタルエコノミー作業部会46 を通して,広く受け入れられるデータガバナンス基準の策定を主導すべきである。これらの基準は,データプライバシー,倫理的利用,サイバーセキュリティ,相互運用性を包含し,効果的で責任ある CBDF を可能にし,これまでの閣僚会議を基礎とするものでなければならない。データ・セキュリティとデータ・プライバシーの必要性を尊重しつつ,イノベーションとビジネス成長のための正当なデータ利用を確保することの間で,識別力と判断力のあるバランスが必要である。この取り組みは,G7や国連グローバル・デジタル・コンパクトなど,他の多国間フォーラムと連携し,その活動を補完するものでなければならない。
– Support the design of frameworks: The G20 can support the design of robust and adaptable frameworks implemented in settings that can enable innovations (e.g. cross-border sandboxes) to provide the necessary safeguards for countries while still enabling innovation.	・フレームワークの設計を支援する： G20は、イノベーションを可能にしつつ、各国に必要なセーフガードを提供するために、イノベーションを可能にする設定（国境を越えたサンドボックス等）で実施される、強固で適応可能な枠組みの設計を支援することができる。
– Global data cooperation: The G20 should encourage global multistakeholder coalitions centred around ontological data (e.g. IEEE 1872-2015 Standard Ontologies for Robotics and Automation and IEEE 7007-2021 Ontological Standard for Ethically Driven Robotics and Automation Systems) to facilitate a clear and unambiguous dialogue among different stakeholders and to enable system’s interoperability. It can encourage countries, businesses and other data-deploying organizations to share best practices and common issues, align national efforts with global guidelines, regulations and standards, and collaborate on innovative solutions.	・グローバルなデータ協力： G20は、様々なステークホルダー間の明確で曖昧さのない対話を促進し、システムの相互運用性を可能にするために、オントロジカルデータ（例えば、IEEE 1872-2015 Standard Ontologies for Robotics and AutomationやIEEE 7007-2021 Ontological Standard for Ethically Driven Robotics and Automation Systems）を中心としたグローバルなマルチステークホルダー連合を奨励すべきである。これは、国、企業、その他のデータ展開組織が、ベストプラクティスや共通の問題を共有し、各国の取り組みをグローバルなガイドライン、規制、標準と整合させ、革新的な解決策について協力することを促すことができる。
5. Building digital skills	5. デジタル・スキルの構築
The new kinds of jobs emerging in the global digital economy will require different skills to work more closely with intelligent machines, data and algorithms.	グローバルなデジタル経済において新たに出現する職種は、インテリジェントな機械、データ、アルゴリズムとより密接に連携するためのさまざまなスキルを必要とする。
“Rapid digital transformation in recent years has resulted in a global phenomenon of digital skills shortage in almost every industry.”	近年の急速なデジタルトランスフォーメーションにより、ほとんどすべての産業でデジタルスキルの不足という世界的な現象が起きている。
The disruptive transformation of the digital age comes from the adoption and application of new technologies – changing not just what governments and organizations across sectors do but also how they operate. Digital skills are the foundation of these changes, providing individuals – as workers in enterprises and citizens across cultures – with the knowledge and expertise to contribute meaningfully to digitalization. In this sense, such skills have become the lifeblood of socioeconomic resilience and societal digital transformation. In order to meet this ambition, governments need these digital skills as well. Public agencies and their constituent staff need to have the capacity to regulate, use and enable technologies to steer societies towards a safer, more prosperous and more sustainable digital future.	デジタル時代の破壊的な変革は、新技術の採用と適用からもたらされるもので、政府や各分野の組織が何をするかだけでなく、どのように活動するかも変える。デジタル・スキルはこうした変化の基盤であり、企業で働く労働者として、また文化を超えた市民として、デジタル化に有意義に貢献するための知識と専門性を個人に提供するものである。この意味で、このようなスキルは、社会経済の回復力と社会のデジタル変革の生命線となっている。この野望を達成するためには、政府にもこうしたデジタル・スキルが必要だ。公的機関とその構成員は、社会をより安全で、より豊かで、より持続可能なデジタルの未来へと導くために、テクノロジーを規制し、利用し、可能にする能力を持つ必要がある。
Digital skilling and upskilling are intertwined with digital inclusion, access and trust and are critical to bridging the digital divide. Central to this is a recognition of alternative pathways to careers by investing in educational programmes that provide in-demand skills at scale, including “earn and learn” programmes like apprenticeships, new hybrid education models, partnerships between communities, technical and/or vocational colleges and the private sector, among others. Digital capability building is necessary not only for citizens but also for regulators. Countries must commit to modernizing their education systems to meet the demands of the digital economy. In this regard, ensuring access to research, academic and start-up communities helps ensure access to broader groups of innovators, especially those in underrepresented groups. Additionally, as the global build-out of public digital infrastructure (PDI) progresses, there is a need for coordinated strategies to ensure local involvement in its design, manufacturing, deployment and support. This approach offers a chance to enhance IT and operational technology (OT) expertise, bolstering both innovation in the global academic and research community and competitiveness in the technology marketplace.	デジタル・スキリングとスキルアップは、デジタル・インクルージョン、アクセス、信頼と絡み合っており、デジタル・デバイドの解消に不可欠である。その中心は、徒弟制度のような「稼いで学ぶ」プログラム、新しいハイブリッド教育モデル、地域社会、専門学校や職業訓練校と民間企業とのパートナーシップなど、需要のあるスキルを大規模に提供する教育プログラムに投資することで、キャリアへの代替経路を認識することである。デジタル・ケイパビリティの構築は、市民だけでなく、規制当局にとっても必要である。各国は、デジタル経済の需要を満たすために、教育システムの近代化に取り組まなければならない。この点で、研究、学術、新興企業コミュニティへのアクセスを確保することは、より広範なイノベーター集団、特に社会的地位の低い集団へのアクセスを確保するのに役立つ。さらに、公共デジタル・インフラ（PDI）の世界的な整備が進むにつれ、その設計、製造、配備、サポートへの地元の関与を確保するための協調戦略が必要とされている。このアプローチは、ITと運用技術（OT）の専門知識を強化し、グローバルな学術・研究コミュニティにおけるイノベーションと、テクノロジー市場における競争力の両方を強化するチャンスを提供する。
The “reskilling revolution” is now unfolding, marking the onset of a transformative era.47 The new kinds of jobs emerging in the global digital economy will require different sets of skills to work more closely with intelligent machines, data and algorithms. The World Economic Forum’s Future of Jobs Report 2023 predicts that 23% of global jobs will change in the next five years due to industry transformation, including through AI and other text, image and voice processing technologies.	グローバル・デジタル経済の中で新たに出現する職種は、インテリジェントな機械、データ、アルゴリズムとより密接に連携するためのさまざまなスキルを必要とする。世界経済フォーラムの「雇用の未来レポート2023」は、AIやその他のテキスト、画像、音声処理技術を含む業界の変革により、今後5年間で世界の仕事の23％が変わると予測している。
Employers foresee that within a five-year timeframe, approximately 44% of workers’ skill sets will experience transformation. During this same period, technology literacy is identified as the third most swiftly evolving core skill. This highlights the escalating importance of digital skills and the ability to use them adeptly.48	雇用主は、5年以内に労働者のスキルセットの約44％が変革を経験すると予測している。この同じ期間に、テクノロジー・リテラシーは、最も急速に進化するコア・スキルの第3位に挙げられている。これは、デジタルスキルとそれを巧みに使いこなす能力の重要性が高まっていることを浮き彫りにしている48。
According to data from LinkedIn, the roles with the fastest growth rates include AI Specialist, Robotics Engineer, Data Scientist and Developer.49 Each of these roles requires a strong set of technical skills, from a close understanding of data to a familiarity with working with the latest cutting-edge technology. An understanding of digital technologies, particularly AI, however, will increasingly become a prerequisite for both those looking to enter the workforce and those with already established careers. The digital maturity across nations necessitates a holistic and inclusive approach to digital skills.	リンクトインのデータによると、最も成長率の高い役割には、AIスペシャリスト、ロボティクス・エンジニア、データ・サイエンティスト、デベロッパーが含まれている49。しかし、デジタル技術、特にAIを理解することは、これから社会に出ようとする人にとっても、すでにキャリアを確立している人にとっても、ますます必須条件になっていくだろう。各国のデジタル成熟度から、デジタル・スキルに対する総合的かつ包括的なアプローチが必要となる。
Building digital skills presents a number of challenges that are related to the capabilities of individuals, regulation and technological infrastructure. For instance, these may include differences in individual ability, level of instructors, socio-digital inequities, students’ economic conditions, a lack of government initiatives and a weak technological environment. Furthermore, modifying curricula is typically a very sluggish process that requires lengthy procedures, the creation of several committees and the provision of funding for high-level decision-making. The G20 has already made an investment in creating a roadmap for assessing digital skills literacy per country.50 More efforts can be made to build upon this tool. While challenges exist in building digital skills, the opportunities they offer in terms of employability, career growth, entrepreneurship, global reach, innovation and personal development are substantial. Embracing and developing digital skills can lead to a more dynamic and fulfilling personal and professional life in today’s digital age.	デジタル・スキルの構築には、個人の能力、規制、技術インフラに関連する多くの課題がある。例えば、個人の能力の差、指導者のレベル、社会的デジタル格差、生徒の経済状況、政府のイニシアチブの欠如、脆弱な技術環境などが挙げられる。さらに、カリキュラムの変更は、一般的に非常に緩慢なプロセスであり、長い手続き、複数の委員会の設立、ハイレベルな意思決定のための資金提供を必要とする。G20はすでに、国ごとのデジタル・スキル・リテラシーを評価するためのロードマップ作成に投資を行っている50。デジタル・スキルの構築には課題があるが、雇用可能性、キャリアの成長、起業家精神、グローバル・リーチ、イノベーション、自己啓発の面でデジタル・スキルがもたらす機会は非常に大きい。デジタル・スキルを受け入れ、開発することは、今日のデジタル時代において、よりダイナミックで充実した個人的・職業的生活を送ることにつながる。
Even in those G20 countries where the challenges of faculty, curriculum and incentives are tractable, one distinct characteristic of many of the emerging technologies is the scale of infrastructure required to gain proficiency and to contribute to the supply side of the digital economy. For instance, training a single AI model may consume enormous amounts of energy and occupy a massive computational cluster for months, yielding considerable operational costs on top of the capital costs of the high-performance compute, network and storage infrastructure. These challenges hinder the development of expertise in current advanced techniques. This leads to immediate labour shortages and specialized skill demands, which only a few enterprises with sufficient capital and operational resources can address.	教授陣、カリキュラム、インセンティブといった課題が扱いやすいG20諸国であっても、多くの新興技術の特徴として、習熟度を高め、デジタル経済の供給サイドに貢献するために必要なインフラの規模が大きいことが挙げられる。例えば、1つのAIモデルをトレーニングするのに莫大なエネルギーを消費し、巨大な計算クラスターを何カ月も占有する可能性があり、高性能コンピュート、ネットワーク、ストレージ・インフラの資本コストに加えて、かなりの運用コストがかかる。こうした課題は、現在の高度な技術に関する専門知識の発展を妨げる。これは、即座の労働力不足と専門スキルの需要につながり、十分な資本と運用リソースを持つ一部の企業だけが対処できる。
When advancements are tied solely to the ongoing production supply chain, academics, researchers and start-ups are less likely to introduce novel materials and processes for fear of compromising critical production. As G20 members look towards large-scale public/private infrastructure investments, there is an opportunity to incorporate negotiated access and support for (beyond) state-of-the-art training and experimental capacities, like global opportunities provided by the MOSIS Service over the past four decades. In the AI space, proposals such as the US National AI Research Resource could serve as models for offering not only data and computational resources to underrepresented research groups but also opportunities for these communities to engage with ethical and responsible design practices.	進歩が現在進行中の生産サプライチェーンのみに結びついている場合、学者、研究者、新興企業は、重要な生産が損なわれることを恐れて、斬新な材料やプロセスを導入しにくくなる。G20メンバーが大規模な官民インフラ投資に目を向ける中、過去40年にわたりMOSISサービスによって提供されてきた世界的な機会のように、（それを超える）最先端の訓練や実験能力への交渉によるアクセスや支援を取り入れる機会がある。AIの分野では、米国のNational AI Research Resourceのような提案は、代表的な研究グループにデータや計算リソースを提供するだけでなく、これらのコミュニティが倫理的で責任ある設計の実践に関与する機会を提供するモデルとして役立つだろう。
The pervasive build-out of PDI itself also provides a unique opportunity for G20 members, who have traditionally focused investment on skill development built upon lower-level technologies, to expand their participation in the supply side. In prior generations of technological adoption, technicians, engineers and entrepreneurs each played roles, successively deepening supply chain involvement. This progression promoted innovation, competition and broadened access by tailoring to local languages and cultures. This can only happen now, however, if there is direct engagement with nascent academic and workforce reskilling communities in the design, manufacturing, deployment and maintenance of PDI. Outsourcing PDI to in-country but remotely designed and managed “black-box” solutions might be costeffective, time-efficient and address data sovereignty issues. However, this approach can restrict long-term economic growth, perpetuate supply concerns and widen the digital divide between underrepresented groups and their own PDI.	また、PDI の普及そのものは、従来、低レベルの技術に基づくスキル開発への投資に重点を置いてきた G20 加盟国にとって、供給側への参加を拡大するまたとない機会となる。技術導入の前世代では、技術者、エンジニア、起業家がそれぞれ役割を担い、サプライチェーンへの関与を次々と深めていった。この流れは、技術革新や競争を促進し、現地の言語や文化に合わせることでアクセスを広げた。しかしこれは、PDIの設計、製造、配備、保守において、新進の学術界や労働力の再教育コミュニティが直接関与する場合にのみ、現在も起こりうることである。PDIを国内で、しかし遠隔地で設計・管理される「ブラックボックス」ソリューションに委託することは、費用対効果が高く、時間効率がよく、データ主権の問題に対処できるかもしれない。しかし、このようなアプローチは、長期的な経済成長を制限し、供給への懸念を永続させ、不特定多数のグループと彼ら自身のPDIとの間のデジタル・デバイドを拡大する可能性がある。
The fast pace of emerging technologies, including AI, however, poses significant challenges. Rapid digital transformation in recent years has resulted in a global phenomenon of digital skills shortage in almost every industry.51 There is a general need for regulatory capability-building in IT and OT for both technology consumers and technology producers. As the world becomes increasingly connected, cyber-physical effects become more pronounced and widespread; therefore, IT and OT knowledge will become increasingly pertinent for both cybersecurity professionals and regulators. This demonstrates a need to accelerate digital capacity building for regulators, technology producers and consumers alike. The challenges to digital upskilling for technology consumers or citizens are equally relevant. Infrastructure challenges, budget constraints and language barriers are notable barriers, to name a few.	しかし、AIを含む新興技術の速いペースは、大きな課題を突きつけている。近年の急速なデジタルトランスフォーメーションは、ほとんどすべての産業においてデジタルスキル不足という世界的な現象をもたらした51 。テクノロジー消費者とテクノロジー生産者の双方にとって、ITとOTにおける規制能力構築が一般的に必要とされている。したがって、IT と OT の知識は、サイバーセキュリティの専門家と規制当局の双方にとってますます重要になる。したがって、ITとOTの知識は、サイバーセキュリティの専門家にとっても、規制当局にとっても、ますます重要になる。このことは、規制当局、技術生産者、消費者のいずれにとっても、デジタル能力開発を加速させる必要性を示している。テクノロジーの消費者や市民がデジタル・スキルアップを行う上での課題も、同様に関連している。インフラの課題、予算の制約、言語の壁などが顕著な障壁となっている。
Although efforts to bridge the digital skills gap have been ongoing, IT/OT professionals are still in high demand. Despite few schools currently offering OT training programmes, there have been recent government-supported programmes offered in some countries such as Israel52 and Singapore,53 and in cybersecurity-focused institutions like the SANS Institute. The G20 can help enable the right conditions and frameworks for the sharing of industry expertise with regulators to equip the stewards of the digital revolution with the necessary and relevant skills. The US recently released the National Cyber Workforce and Education Strategy, a comprehensive strategy to address cyber workforce needs.54 A similar approach can be adopted for capacity building at the G20 level across different emerging technology domains. In parallel, different skilling competency frameworks have been developed in the EU55 and other countries, including Singapore,56 and an internationally recognized framework called Skills Framework for the Information Age (SFIA) has been adopted by some countries. Moreover, countries and cities like the UK57 and Dubai58 started introducing new certification requirements for digital professionals based on those frameworks. Therefore, such frameworks can serve as a foundation for global digital skills certification efforts.	デジタルスキルギャップを埋める努力は続けられているが、IT/OTの専門家は依然として高い需要がある。現在、OT 訓練プログラムを提供している学校はほとんどないにもかかわらず、最近、イスラエル52 やシンガポール53 などの一部の国や、SANS Institute のようなサイバーセキュリティに特化した機関では、政府支援のプログラムが提供されている。G20 は、デジタル革命のスチュワードに必要かつ適切なスキルを身につけさせるために、業界の専門知識を規制当局と共有するための適切な条件や枠組みを整える手助けをすることができる。米国は最近、サイバー人材のニーズに対応するための包括的な戦略である「国家サイバー人材・教育戦略」を発表した54。これと並行して、EU55 やシンガポールを含む他の国々では、さまざまなスキリング・コンピテンシー・フレームワークが開発されており56 、「情報化時代のためのスキル・フレームワーク（SFIA）」と呼ばれる国際的に認知されたフレームワークがいくつかの国によって採用されている。さらに、英国57 やドバイ58 などの国や都市では、これらのフレームワークに基づいて、デジタル専門家に対する新たな認定要件の導入が始まっている。したがって、このようなフレームワークは、グローバルなデジタル・スキル認証の取り組みの基盤となり得る。
The G20 should support:	G20 は支援すべきである：
– A G20 digital skills and literacy initiative for regulators: This initiative would focus on the development and dissemination of digital skills and literacy programmes for regulators across member countries. Building on existing efforts, including the G20’s commitment to an interconnected digital economy, the initiative can work towards creating standard guidelines for digital education and literacy, adapting to the specific needs of different regulators. – The creation of a G20 digital infrastructure investment fund for regulatory capability building: Through the G20’s Infrastructure Working Group’s efforts to improve infrastructure globally, this fund can specifically target digital infrastructure and resources needed to support digital skills development for regulators, technology consumers and technology producers, making emerging technologies, cybersecurity, IT and OT education and upskilling programmes more accessible to policy-makers worldwide.	・規制当局のための G20 デジタル・スキルおよびリテラシー・イニシアチブ: このイニシアティブは,加盟国全体の規制当局のためのデジタル・スキルとリテラシー・プログラムの開発と普及に焦点を当てる。G20の相互接続されたデジタル経済へのコミットメントを含む,既存の取り組みに基づき,このイニシアティブは,様々な規制当局の特定のニーズに適応した,デジタル教育とリテラシーのための標準的なガイドラインの作成に向けて取り組むことができる。・規制当局の能力構築のための G20 デジタル・インフラ投資基金の創設: G20のインフラ作業部会による世界的なインフラ改善の取り組みを通じて,この基金は,規制当局,技術消費者,技術生産者のデジタル・スキル開発を支援するために必要なデジタル・インフラとリソースを特に対象とし,新興技術,サイバーセキュリティ,ITおよびOT教育,スキルアッププログラムを世界中の政策立案者がより利用しやすくすることができる。
– Establishment of an engagement group for digital skills global certification: Such a group could be based on a mutually recognized competency framework that allows G20 countries to acknowledge each other’s requirements and qualifications and, therefore, enables professionals to offer their services in different countries without global restrictions. An example is the Operational Technology Cybersecurity Competency Framework59 developed by Singapore’s Cyber Security Agency and Infocomm Media Development Authority in consultation with industry and academia – which the US Cybersecurity and Infrastructure Security Agency has taken note of.60 The framework can be regularly reviewed and updated with each consecutive presidency to keep pace with a changing digital landscape. Such an engagement group could also support the establishment of an international board for certifying digital specialists, similar to medicine and engineering international boards.	・デジタルスキルのグローバル認証のためのエンゲージメントグループを設立する：このようなグループは、G20諸国が互いの要件や資格を認め合い、専門家が世界的な制約を受けることなくさまざまな国でサービスを提供できるようにする、相互承認の能力枠組みに基づくことができる。その一例として、シンガポールのサイバーセキュリティ庁と情報通信メディア開発庁が産学界と協議して策定した「運用技術サイバーセキュリティ能力フレームワーク」59 があり、米国のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁はこれに注目している60 。このようなエンゲージメント・グループは、医学や工学の国際委員会と同様に、デジタル・スペシャリストを認定する国際委員会の設立を支援することもできる。
Conclusion	結論
The most recent and consecutive presidencies of India, Brazil and South Africa, respectively, in the G20 offer an unparalleled opportunity to advance the G20 digital agenda, especially for emerging economies. Each of these countries is a significant player in the Global South, and together, they can offer leadership that effectively bridges the digital divide, simultaneously addressing the unique challenges of their respective regions and promoting global cooperation.	インド、ブラジル、南アフリカがそれぞれ G20 の議長国に就任したことは、特に新興経済国にとって、G20 のデジタル・アジェンダを推進するまたとない機会となった。これらの国々はそれぞれ、グローバル・サウスにおける重要なプレーヤーであり、共にデジタル・デバイドを効果的に埋めるリーダーシップを発揮し、同時にそれぞれの地域特有の課題に取り組み、グローバルな協力を促進することができる。
India, with its burgeoning digital economy and experience in building extensive digital public infrastructures for use at scale, has already paved the way for the G20’s digital agenda on sharing best practices and collaboratively creating global data governance standards that influence multiple sectors. Using its Aadhaar project experience, India has shared valuable insights on implementing a large-scale digital infrastructure while addressing concerns of data privacy and security.	急成長するデジタル経済と、大規模なデジタル公共インフラ構築の経験を持つインドは、ベスト・プラクティスの共有と、複数のセクターに影響を与えるグローバルなデータ・ガバナンス基準の共同作成に関して、すでにG20のデジタル・アジェンダへの道を開いている。インドはAadhaarプロジェクトの経験を活かし、データのプライバシーとセキュリティの懸念に対処しつつ、大規模なデジタルインフラを導入する上で貴重な知見を共有した。
Brazil, with its robust digital sector and its experience in e-governance, can champion the cause of digital inclusivity. Brazil’s presidency can focus on ensuring that the benefits of digital transformation are equitably shared, drawing on its own efforts to increase digital access across its vast and diverse territory.	ブラジルは、その強固なデジタル部門と電子行政の経験を生かし、デジタル包摂の大義を唱えることができる。ブラジルの大統領府は、その広大で多様な領土全体でデジタル・アクセスを拡大するための独自の取り組みを活用し、デジタル変革の恩恵が公平に共有されるようにすることに焦点を当てることができる。
South Africa, as a continental leader in Africa, can underline the need for global digital cooperation. By sharing its experiences navigating the digital economy’s challenges and opportunities, South Africa can help the G20 promote global partnerships and encourage countries to align their national efforts with global best practices.	南アフリカは、アフリカ大陸のリーダーとして、グローバルなデジタル協力の必要性を強調することができる。南アフリカは、デジタル経済の課題と機会を乗り越えてきた経験を共有することで、G20がグローバル・パートナーシップを促進し、各国が自国の取り組みをグローバルなベスト・プラクティスに合わせるよう後押しすることができる。
Consecutive presidencies form a coherent trajectory, building upon each other’s work and sustaining momentum on the G20 digital agenda, ensuring a more inclusive and equitable digital future for all.	連続する議長国は、首尾一貫した軌道を形成し、互いの仕事を土台とし、G20デジタル・アジェンダの勢いを持続させ、すべての人々にとってより包括的で公平なデジタルの未来を確保する。
Endnotes	注
1. Jain, Shruti, The G20 Digital Economy Agenda for India, Observer Research Foundation (ORF) Online, 2022,	1. Jain, Shruti, The G20 Digital Economy Agenda for India, Observer Research Foundation (ORF) Online, 2022、
https://www.orfonline.org/research/the-g20-digital-economy-agenda-for-india/.
2. “What is the G20?”, Organisation for Economic Co-operation and Development (OECD), n.d.,	2. 「G20とは何か」、経済協力開発機構（OECD）、n.d...、
https://www.oecd.org/g20/about/.
3. United Nations Conference on Trade and Development (UNCTAD), Digital Economy Report 2021, 2021,	3. 国連貿易開発会議（UNCTAD）、デジタル経済報告書2021、2021年、
https://unctad.org/page/digital-economy-report-2021.
4. “Ministers Responsible for the Digital Economy”, G20 Research Group, 19 August 2023,	4. 「デジタル経済担当大臣」、G20研究グループ、2023年8月19日、
http://www.g20.utoronto.ca/digital/index.html.
5. World Economic Forum, Shaping a Multiconceptual World, 2020,	5. World Economic Forum, Shaping a Multiconceptual World, 2020、
https://www3.weforum.org/docs/WEF_Shaping_a_ Multiconceptual_World_2020.pdf.
6. G20 2023 India, G20 New Leaders’ Declaration, 2023,	6. G20 2023 India, G20 New Leaders' Declaration, 2023、
https://www.g20.org/content/dam/gtwenty/gtwenty_new/ document/G20-New-Delhi-Leaders-Declaration.pdf.
7. G20 2023 India, Digital Economy Ministers Meeting: Outcome Document & Chair’s Summary, 2023,	7. G20 2023 India, Digital Economy Ministers Meeting：成果文書と議長サマリー、2023 年、
https://www.g20. org/content/dam/gtwenty/gtwenty_new/document/G20_Digital_Economy_Outcome_Document%20_and_Chair%27s_ Summary_19082023.pdf.
8. Hausmann, Ricardo and José Domínguez, “Knowledge, Technology and Complexity in Economic Growth”, Harvard University, n.d.,	8. Hausmann, Ricardo and José Domínguez, "Knowledge, Technology and Complexity in Economic Growth", Harvard University, n.d...、
https://rcc.harvard.edu/knowledge-technology-and-complexity-economic-growth.
9. World Economic Forum, The Global Risks Report 2023, 2023,	9. 世界経済フォーラム、『グローバル・リスク・レポート2023』、2023年、
https://www3.weforum.org/docs/WEF_Global_Risks_ Report_2023.pdf.
10. Cybersecurity certification has extended beyond devices and includes professional and service provider certifications as well.	10. サイバーセキュリティ認証は、機器だけでなく、専門家やサービスプロバイダーの認証にも広がっている。
11. World Economic Forum, International Cybersecurity Certification Framework: Pathways to Collaboration and Situational Analysis, 2021,	11. 世界経済フォーラム、国際サイバーセキュリティ認証フレームワーク： Collaboration and Situational Analysis, 2021、
https://www3.weforum.org/docs/WEF_GFC_Cybersecurity_International_Certification_Framework_2021.pdf.
12. “Cybersecurity Framework”, National Institute of Standards and Technology (NIST), n.d.,	12. 「サイバーセキュリティ・フレームワーク」、米国国立標準技術研究所（NIST）、n.d.、
https://www.nist.gov/ cyberframework.
13. “ISA/IEC 62443 Series of Standards”, International Society of Automation, n.d.,	13. "ISA/IEC 62443 Series of Standards", International Society of Automation, n.d.、
https://www.isa.org/standards-andpublications/isa-standards/isa-iec-62443-series-of-standards.
14. “ISO/IEC 27000 family”, International Organization for Standardization (ISO), n.d.,	14. 「ISO/IEC 27000ファミリー」、国際標準化機構(ISO)、n.d.、
https://www.iso.org/standard/iso-iec27000-family.
15. “Revealing New Opportunities for the Cybersecurity Workforce”, ISC2, n.d.,	15. 「サイバーセキュリティ人材の新たな機会を明らかにする」、ISC2、n.d...、
https://www.isc2.org/Research/rusi-rehttps:// blog.isc2.org/isc2_blog/2023/04/rusi-and-isc2-report-rapid-evolution-of-cybersecurity-policy-raises-need-for-crossborder-standardiz.html.
16. “Security Legislation Amendment (Critical Infrastructure Protection) Act 2022”, Australian Government Department of Home Affairs, n.d.,	16. 「Security Legislation Amendment (Critical Infrastructure Protection) Act 2022", オーストラリア政府内務省、n.d...、
https://www.homeaffairs.gov.au/reports-and-publications/submissions-and-discussion-papers/slacipbill-2022.
17. US Senate Committee on Homeland Security & Governmental Affairs, Cyber Incident Reporting for Critical Infrastructure Act, 2021,	17. 米国上院国土安全保障・政府問題委員会、重要インフラのためのサイバー事件報告法、2021 年、
https://www.hsgac.senate.gov/wp-content/uploads/imo/media/doc/Overview%20of%20Cyber%20Incident%20Reporting%20Legislation.pdf.
18. European Union Agency for Cybersecurity (ENISA), Good Practice Guide on Incident Reporting, 2009,	18. 欧州連合サイバーセキュリティ機関（ENISA）、インシデント報告に関するグッドプラクティスガイド、2009 年、
https://www.enisa. europa.eu/topics/incident-reporting/for-telcos/guidelines/good-practice-guide-on-incident-reporting.
19. NIST, Computer Security Incident Handling Guide, 2012,	19. NIST, Computer Security Incident Handling Guide, 2012、
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST. SP.800-61r2.pdf.
20. Cyber Threat Alliance, Cyber Incident Reporting Framework, 2022,	20. Cyber Threat Alliance, Cyber Incident Reporting Framework, 2022、
https://www.cyberthreatalliance.org/resources/assets/ cyber-incident-reporting-framework/.
21. “The New United States Cybersecurity Label Drives Forward the IoT”, Connectivity Standards Alliance, 18 July 2023,	21. 「米国の新しいサイバーセキュリティラベルはIoTを推進する」、Connectivity Standards Alliance、2023年7月18日、
https://csa-iot.org/newsroom/the-new-united-states-cybersecurity-label-drives-forward-the-iot/?utm_ campaign=Member%20and%20Interest%20List%202023&utm_content=2572s05884&utm_medium=social&utm_ source=linkedin&hss_channel=lcp-1922026.
22. Prestes, Edson, Michael A. Houghtaling, Paulo J.S Gonçalves, Nicola Fabiana et al., “The First Global Ontological Standard for Ethically Driven Robotics and Automation Systems”, Institute of Electrical and Electronics Engineers (IEEE) Robotics & Automation Magazine, December 2021,	22. Prestes, Edson, Michael A. Houghtaling, Paulo J.S Gonçalves, Nicola Fabiana et al., "The First Global Ontological Standard for Ethically Driven Robotics and Automation Systems", Institute of Electrical and Electronics Engineers (IEEE) Robotics & Automation Magazine, December 2021、
https://ieeexplore.ieee.org/stamp/stamp. jsp?tp=&arnumber=9646310.
23. “IEEE Ontological Standard for Ethically Driven Robotics and Automation Systems”, IEEE Standards Association, n.d.,	23. "IEEE Ontological Standard for Ethically Driven Robotics and Automation Systems", IEEE Standards Association, n.d...、
https://standards.ieee.org/ieee/7007/7070/.
24. “Sustainability and Health”, McKinsey Health Institute, n.d.,	24. 「持続可能性と健康」、マッキンゼー・ヘルス・インスティテュート、n.d.、
https://www.mckinsey.com/mhi/focus-areas/sustainabilityand-health. Endnotes The G20 Digital Agenda: Cross-Presidency Priorities 18
25. “COVID-19 Dashboard”, John Hopkins University, n.d.,	25. 「COVID-19 Dashboard", John Hopkins University, n.d...、
https://coronavirus.jhu.edu/map.html.
26. Vithani, Priya, Arushi Goel and Fumiko Kudo, Building Bridges: Aligning Digital Public Infrastructure and Cross-Border Data Flows, ORF Online, 2023,	26. Vithani, Priya, Arushi Goel and Fumiko Kudo, Building Bridges： Digital Public Infrastructure and Cross-Border Data Flows, ORF Online, 2023、
https://www.orfonline.org/research/building-bridges/#_edn34
27. “Digital technologies to achieve the UN SDGs”, International Telecommunication Union (ITU), December 2021,	27. 「国連SDGs達成のためのデジタル技術」、国際電気通信連合（ITU）、2021年12月、
https://www. itu.int/en/mediacentre/backgrounders/Pages/icts-to-achieve-the-united-nations-sustainable-development-goals.aspx.
28. “3 ways technology is helping the world adapt to climate change”, World Economic Forum, 1 February 2023,	28. 「テクノロジーが気候変動への適応を支援する3つの方法」、世界経済フォーラム、2023年2月1日、
https://www. weforum.org/agenda/2023/02/technology-climate-change-adaptation/.
29. CB Insights, State of Digital Health Q2’23 Report, 2023,	29. CB Insights, State of Digital Health Q2'23 Report, 2023、
https://app.cbinsights.com/research/report/digital-healthtrends-q2-2023/.
30. Brodwin, Erin and Tina Reed, “Privacy is at risk as HIPAA fails to keep pace with digital health”, AXIOS, 6 April 2023,	30. Brodwin, Erin and Tina Reed, "Privacy is at risk as HIPAA fails to keep pace with digital health", AXIOS, 6 April 2023、
https://www.axios.com/2023/04/06/privacy-risk-hipaa-digital-health.
31. Nabholz, Christoph, “Trust: the foundation of our digital health care transition”, Swiss RE Group, 29 June 2023,	31. Nabholz, Christoph, "Trust: the foundation of our digital health care transition", Swiss RE Group, 29 June 2023、
https://www.swissre.com/institute/research/topics-and-risk-dialogues/health-and-longevity/foundation-of-digital-healthcare-transition.html.
32. Betton, Victoria, “EPR Adoption — Is User-centred Design the Key to Usability?”, The Journal of mHealth, 7 December 2022,	32. Betton, Victoria, "EPR Adoption ・Is User-centred Design the Key to Usability?", The Journal of mHealth, 7 December 2022、
https://thejournalofmhealth.com/epr-adoption-is-user-centred-design-the-key-to-usability/.
33. Vigario, Paul, “2023: The Year to Focus on Creating a Better Patient Experience”, The Journal of mHealth, 4 January 2023,	33. Vigario, Paul, "2023：より良い患者体験の創造に集中する年」、『mHealth』誌、2023年1月4日、
https://thejournalofmhealth.com/2023-the-year-to-focus-on-creating-a-better-patient-experience/.
34. “G20 Countries Can Help Close Climate Finance Gap by Investing in Nature-based Solutions”, World Economic Forum, 26 January 2022,	34. 「G20 Countries Can Help Climate Finance Gap by Investing in Nature-based Solutions", World Economic Forum, 26 January 2022、
https://www.weforum.org/press/2022/01/g20-countries-can-help-close-climate-finance-gap-by-investingin-nature-based-solutions/.
35. United Nations Environment Programme (UNEP), The State of Finance for Nature in the G20 report, 2022,	35. 国連環境計画（UNEP）『G20における自然金融の現状』報告書、2022年、
https://www.unep.org/resources/report/state-finance-nature-g20-report.
36. Bishen, Shyam, “World Health Day: Here’s how AI and digital health are shaping the future of healthcare”, World Economic Forum, 6 April 2023,	36. Bishen, Shyam, "World Health Day： AIとデジタルヘルスがヘルスケアの未来をどのように形作るかを紹介する」、世界経済フォーラム、2023年4月6日、
https://www.weforum.org/agenda/2023/04/world-health-day-how-ai-and-digital-healthhealthcare/.
37. Mandaviya, Mansukh, “G20 offers rare chance to forge global vision for digital health”, Business Live, 16 May 2023,	37. Mandaviya, Mansukh, "G20 offers rare chance toge global vision for digital health", Business Live, 16 May 2023,
https://www.g20.org/content/dam/gtwenty/gtwenty_new/press-spotlight/MANSUKH_MANDAVIYA_%20G20.pdf.
38. “Data for Development: Role of G20 in Advancing the 2030 Agenda”, ORF Online, 3 Janaury 2023,	38. 「開発のためのデータ： 2030アジェンダの推進におけるG20の役割」、ORFオンライン、2023年1月3日、
https://www.orfonline. org/research/data-for-development/.
39. “Moving forward on data free flow with trust: New evidence and analysis of business experiences”, OECD, 2023,	39. 「データの自由な流れを信頼と共に前進させる：新しい証拠とビジネス経験の分析」、OECD、2023年、
https://www.oecd-ilibrary.org/science-and-technology/moving-forward-on-data-free-flow-with-trust_1afab147-en.
40. Identification for Development (ID4D), A Digital Stack for Transforming Service Delivery: ID Payments, and Data Sharing, 2022,	40. ID4D（Identification for Development）、サービス提供を変革するデジタルスタック： ID決済、データ共有、2022年、
https://documents1.worldbank.org/curated/en/099755004072288910/pdf/ P1715920edb5990d60b83e037f756213782.pdf.
41. Abraham, Sunil, Unified Payment Interface: Towards Greater Cyber Sovereignty, 2020,	41. Abraham, Sunil, Unified Payment Interface：より大きなサイバー主権に向けて、2020年、
https://www.orfonline.org/research/ unified-payment-interface/.
42. Alonso, Cristian, Tanuj Bhojwani, Emine Hanedar, Dinar Prihardini et al., “Stacking up the Benefits: Lessons from India’s Digital Journey”, International Monetary Fund (IMF) Working Papers, vol. 2023, issue 78, 31 March 2023,	42. Alonso, Cristian, Tanuj Bhojwani, Emine Hanedar, Dinar Prihardini et al., "Stacking up the Benefits：インドのデジタルの旅からの教訓」、国際通貨基金（IMF）ワーキングペーパー、第2023巻、第78号、2023年3月31日、
https://www.elibrary.imf.org/view/journals/001/2023/078/article-A001-en.xml.
43. Cook, William, “Comparing India’s UPI and Brazil’s New Instant Payment System, PIX”, Consultative Group to Assist the Poor (CGAP), 2 February 2021,	43. Cook, William, "Comparing India's UPI and Brazil's New Instant Payment System, PIX", Consultative Group to Assist the Poor (CGAP), 2 February 2021、
https://www.cgap.org/blog/comparing-indias-upi-and-brazils-new-instant-paymentsystem-pix.
44. “The UAE Pass app”, The United Arab Emirates’ Government, 23 May 2023,	44. 「UAEパスアプリ」、アラブ首長国連邦政府、2023年5月23日、
https://u.ae/en/about-the-uae/digital-uae/ digital-transformation/platforms-and-apps/the-uae-pass-app.
45. “NEC adopts executive regulations of 2023 FNC elections”, Emirates News Agency-WAM, 6 July 2023,	45. 「NEC adopts executive regulations of 2023 FNC elections", Emirates News Agency-WAM, 6 July 2023,
https://www.wam.ae/en/details/1395303175175.
46. “Sherpa Track”, G20 2023 India, n.d.,	46. "Sherpa Track", G20 2023 India, n.d...、
https://www.g20.org/en/workstreams/sherpa-track/.
47. “The Reskilling Revolution”, World Economic Forum, n.d.,	47. 「The Reskilling Revolution", World Economic Forum, n.d...、
https://initiatives.weforum.org/reskilling-revolution/home.
48. World Economic Forum, Future of Jobs Report 2023, 2023,	48. World Economic Forum, Future of Jobs Report 2023, 2023、
https://www3.weforum.org/docs/WEF_Future_of_Jobs_2023. pdf.
49. LinkedIn, 2020 Emerging Jobs Report, 2020,	49. LinkedIn, 2020 Emerging Jobs Report, 2020、
https://business.linkedin.com/content/dam/me/business/en-us/talentsolutions/emerging-jobs-report/Emerging_Jobs_Report_U.S._FINAL.pdf.
50. CSIS Indonesia, G20 Toolkit for Measuring Digital Skills and Digital Literacy: Framework and Approach, 2022,	50. CSIS Indonesia, G20 Toolkit for Measuring Digital Skills and Digital Literacy： Framework and Approach, 2022、
https://s3- csis-web.s3.ap-southeast-1.amazonaws.com/doc/Digital_Skills_Toolkit_Final_Report_FINAL_Part_I.pdf?download=1.
51. RAND, The global digital skills gap, 2021,	51. RAND, The global digital skills gap, 2021、
https://www.rand.org/content/dam/rand/pubs/research_reports/RRA1500/ RRA1533-1/RAND_RRA1533-1.pdf. The G20 Digital Agenda: Cross-Presidency Priorities 19
52. Blassiau, Christophe, “Public-Private Collaboration on Display at Israel Cyber Week”, US Chamber of Commerce, 31 August 2022,	52. Blassiau, Christophe, "Public-Private Collaboration on Display at Israel Cyber Week", US Chamber of Commerce, 31 August 2022、
https://www.uschamber.com/security/cybersecurity/public-private-collaboration-on-display-at-israel-cyberweek.
53. Cyber Security Agency Singapore, Operational Technology (OT) Cybersecurity Competency Framework, 2021,	53. Cyber Security Agency Singapore, Operational Technology (OT) Cybersecurity Competency Framework, 2021、
https://www.csa.gov.sg/docs/default-source/csa/documents/publications/otccf/ot-cybersecurity-competencyframework_v5.pdf?sfvrsn=edc6809a_0.
54. “FACT SHEET: Biden-Harris Administration Announces National Cyber Workforce and Education Strategy, Unleashing America’s Cyber Talent”, The White House, 31 July 2023,	54. 「FACT SHEET: Biden-Harris Administration Announces National Cyber Workforce and Education Strategy, Unleashing America's Cyber Talent", The White House, 31 July 2023、
https://www.whitehouse.gov/briefing-room/statementsreleases/2023/07/31/fact-sheet-biden-%E2%81%A0harris-administration-announces-national-cyber-workforce-andeducation-strategy-unleashing-americas-cyber-talent/.
55. “DigComp”, European Commission, n.d.,	55. 「DigComp」、欧州委員会、n.d...、
https://joint-research-centre.ec.europa.eu/digcomp_en.
56. “Skills Framework for Infocomm Technology (SFw for ICT)”, Infocomm Media Development Authority, n.d.,	56. "Skills Framework for Infocomm Technology (SFw for ICT)", Infocomm Media Development Authority, n.d...、
https://www. imda.gov.sg/how-we-can-help/techskills-accelerator-tesa/skills-framework-for-infocomm-technology-sfw-for-ict.
57. “NCSC Certified Cyber Professional (CCP) assured service”, British Computer Society, n.d.,	57. 「NCSC Certified Cyber Professional (CCP) assured service", British Computer Society, n.d.,
https://www.bcs.org/ qualifications-and-certifications/certifications-for-professionals/inform ation-security-and-ccp-assured-servicecertifications/ncsc-certified-cyber-professional-ccp-assured-service/.
58. “Cyber Force”, Dubai Cyber Innovation Park, n.d.,	58. 「Cyber Force", Dubai Cyber Innovation Park, n.d.,
https://dcipark.gov.ae/cyber_force/.
59. Cyber Security Agency Singapore, Operational Technology (OT) Cybersecurity Competency Framework, 2021,	59. Cyber Security Agency Singapore, Operational Technology (OT) Cybersecurity Competency Framework, 2021、
https://www.csa.gov.sg/docs/default-source/csa/documents/publications/otccf/ot-cybersecurity-competencyframework_v5.pdf?sfvrsn=edc6809a_0.
60. Cyber Security Agency of Singapore, Operational Technology Cybersecurity Competency Framework (OTCCF), 2021,	60. シンガポール・サイバーセキュリティ庁、運用技術サイバーセキュリティ・コンピテンシー・フレームワーク（OTCCF）、2021年、
https://www.csa.gov.sg/Tips-Resource/publications/2021/operational-technology-cybersecurity-competencyframework-(otccf).

2023.12.05 01:06 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2023.12.04

欧州委員会、欧州議会がサイバーレジリエンス法について政治的合意

こんにちは、丸山満彦です。

欧州委員会、欧州議会がサイバーレジリエンス法について政治的合意をしたと報道されていますね。。。

2024年に確定する可能性が高いですね。。。3年以内に施行が見込まれるので、2027年は新しい世界という感じですかね。。。

1_20231204115901

欧州委員会

● European Commission

・2023.12.01 Commission welcomes political agreement on Cyber Resilience Act

Commission welcomes political agreement on Cyber Resilience Act	欧州委員会、サイバー・レジリエンス法に関する政治合意を歓迎する
The Commission welcomes the political agreement reached last night between the European Parliament and the Council on the Cyber Resilience Act, proposed by the Commission in September 2022.	欧州委員会は、欧州委員会が2022年9月に提案した「サイバー・レジリエンス法」に関する欧州議会と理事会の政治的合意が昨夜成立したことを歓迎する。
The Cyber Resilience Act is the first legislation of its kind in the world. It will improve the level of cybersecurity of digital products to the benefit of consumers and businesses across the EU, as it introduces proportionate mandatory cybersecurity requirements for all hardware and software, ranging from baby monitors, smart watches and computer games to firewalls and routers. Products with different levels of risk associated will have different security requirements. Less than 10% of products will be subject to third-party assessments.	サイバー・レジリエンス法は、この種の法律としては世界初のものである。ベビーモニター、スマートウォッチ、コンピューターゲームからファイアウォールやルーターに至るまで、すべてのハードウェアとソフトウェアに比例した義務的サイバーセキュリティ要件が導入される。関連するリスクのレベルが異なる製品は、セキュリティ要件も異なる。サードパーティ評価の対象となる製品は全体の10％未満である。
With this new Regulation, all products put on the EU market will need to be cyber secure. This is a crucial step in the fight against the growing threat from cyber criminals and other malicious actors.	この新規制により、EU市場に投入されるすべての製品はサイバーセキュアである必要がある。これは、サイバー犯罪者やその他の悪意ある行為者から増大する脅威との戦いにおける重要なステップである。
Once the Cyber Resilience Act is in place, manufacturers of hardware and software will have to implement cybersecurity measures across the entire lifecycle of the product, from the design and development, to after the product is placed on the market. Software and hardware products will bear the CE marking to indicate that they comply with the Regulation's requirements and therefore can be sold in the EU.	サイバー・レジリエンス法が施行されると、ハードウェアとソフトウェアのメーカーは、設計・開発から製品が市場に投入された後まで、製品のライフサイクル全体にわたってサイバーセキュリティ対策を実施しなければならなくなる。ソフトウェアおよびハードウェア製品には、同規則の要件に適合していることを示すCEマーキングが付され、EU域内で販売できるようになる。
The Act will also introduce a legal obligation for manufacturers to provide consumers with timely security updates during several years after the purchase. This period has to reflect the time products are expected to be used.	同法はまた、購入後数年間、消費者にタイムリーなセキュリティアップデートを提供する製造業者の法的義務を導入する。この期間は、製品が使用されると予想される期間を反映したものでなければならない。
Through these measures, the new Act will empower users to make better informed and more secure choices, as manufacturers will have to become more transparent and responsible about the security of their products.	これらの措置により、新法は、メーカーが自社製品のセキュリティについてより透明性を高め、責任を持たなければならなくなるため、ユーザーがより十分な情報を得た上で、より安全な選択をすることができるようになる。
Next Steps	次のステップ
The agreement reached is now subject to formal approval by both the European Parliament and the Council. Once adopted, the Cyber Resilience Act will enter into force on the 20^th day following its publication in the Official Journal.	今回の合意は、欧州議会と欧州理事会の正式な承認が必要となる。採択されれば、サイバー・レジリエンス法は官報に掲載されてから20日目に発効する。
Upon entry into force, manufacturers, importers and distributors of hardware and software products will have 36 months to adapt to the new requirements, with the exception of a more limited 21-month grace period in relation to the reporting obligation of manufacturers for incidents and vulnerabilities.	発効後、ハードウェアおよびソフトウェア製品の製造業者、輸入業者、販売業者は、インシデントや脆弱性に関する製造業者の報告義務に関する21ヶ月という限定的な猶予期間を除き、新しい要件に適応するために36ヶ月の猶予期間が与えられる。
Background	背景
Cybersecurity is one of the top priorities of the European Commission. We must take strong action to secure our digital products, both software and hardware.	サイバーセキュリティは欧州委員会の最優先課題のひとつである。われわれは、ソフトウェア、ハードウェアを問わず、デジタル製品の安全性を確保するために強力な行動を起こさなければならない。
The Cyber Resilience Act builds on the 2020 EU Cybersecurity Strategy and the 2020 EU Security Union Strategy, and was announced in the 2021 State of the European Union address as part of the plan to build a Europe fit for the Digital age. It will complement existing legislation, specifically the NIS2 Framework, adopted in 2022.	サイバー・レジリエンス法は、2020年EUサイバーセキュリティ戦略と2020年EU安全保障連合戦略に基づくもので、デジタル時代に適合した欧州を構築する計画の一環として、2021年の欧州連合演説で発表された。これは既存の法律、特に2022年に採択されたNIS2フレームワークを補完するものである。
In the last year, the number of software supply chain attacks have tripled, and every day, small businesses and critical institutions like hospitals are targeted by cyber criminals. Every 11 seconds, an organisation is hit by a ransomware attack, to the cost of an estimated €20 billion annually. And, in 2021 alone, cyber criminals were able to hack devices and launch around 10 million distributed denial of service (DDoS) attacks worldwide, making websites and online services inaccessible to their users.	昨年、ソフトウェアサプライチェーン攻撃の件数は3倍に増加し、毎日、中小企業や病院のような重要機構がサイバー犯罪者に狙われている。11秒に1つの組織がランサムウェア攻撃を受けており、その被害額は年間200億ユーロに上ると推定されている。また、2021年だけでも、サイバー犯罪者はデバイスをハッキングし、世界中で約1,000万件の分散型サービス妨害（DDoS）攻撃を仕掛け、ウェブサイトやオンライン・サービスを利用できなくすることができた。
For More Information	詳細はこちら
Cyber Resilience Act	サイバー・レジリエンス法
Proposal for a Cyber Resilience Act	サイバー・レジリエンス法の提案
Cyber Resilience Act - Questions and Answers (updated)	サイバー・レジリエンス法 - 質問と回答（更新版）
Factsheet: Cyber Resilience Act	ファクトシートサイバー・レジリエンス法
Impact assessment: Cyber Resilience Act	影響評価サイバー・レジリエンス法
Quote(s)	引用
Consumers need to feel safe with the products available on the EU market. The Cyber Resilience Act agreed today will ensure the digital products we use at home and at work comply with strong cybersecurity standards. Those that place these products on the market must be held responsible for their safety.	消費者は、EU市場で入手可能な製品を安心して使用する必要がある。本日合意されたサイバー・レジリエンス法は、我々が家庭や職場で使用するデジタル製品が強力なサイバーセキュリティ標準に準拠することを保証するものである。これらの製品を市場に出す者は、その安全性について責任を負わなければならない。
Věra Jourová, Vice-President for Values and Transparency - 01/12/2023	ヴィエラ・ジュロヴァー副会長（価値・透明性担当） - 01/12/2023
The safety of all products circulating in the EU has always been a priority and a success story. With the Cyber Resilience Act, we are filling a gap by completing the safety rules so that security by design applies to all products that reach EU consumers and users. The new rules require every interconnected product sold in the EU to be cybersecure and make sure that our businesses and homes become more secure.	EUで流通するすべての製品の安全性は、常に優先事項であり、成功事例である。サイバー・レジリエンス法では、EUの消費者やユーザーの手に渡るすべての製品にデザインによるセキュリティが適用されるよう、安全規則を完成させることでギャップを埋めようとしている。この新しい規則は、EU域内で販売されるすべての相互接続製品にサイバーセキュリティを要求するものであり、私たちのビジネスと家庭がより安全になることを確実にするものである。
Margaritis Schinas, Vice-President for Promoting our European Way of Life - 01/12/2023	マルガリーテス・シナス副委員長（欧州生活促進担当） - 01/12/2023
I welcome the agreement reached by the Parliament and the Council on this important regulation my services tabled. This Act guarantees that digital devices within the EU embody robust cybersecurity from their conception throughout their lifecycle. This cybersecurity by design is essential for the security of both consumers and society at large.	私が提出したこの重要な規則について、議会と理事会が合意に達したことを歓迎する。この法律は、EU域内のデジタル機器が、その構想段階からライフサイクルを通じて強固なサイバーセキュリティを具現化することを保証するものである。このサイバーセキュリティ・バイ・デザインは、消費者と社会全体の安全にとって不可欠である。
Thierry Breton, Commissioner for Internal Market - 01/12/2023	ティエリー・ブルトン域内市場担当委員 - 2023年12月1日

欧州議会

● European Parliament

・2023.12.01 Cyber Resilience Act: agreement with Council to boost digital products’ security

Cyber Resilience Act: agreement with Council to boost digital products’ security	サイバー・レジリエンス法：デジタル製品のセキュリティ強化に向けた理事会との合意
・More robust cybersecurity for all products with digital elements	・デジタル要素を含むすべての製品に対して、より強固なサイバーセキュリティを提供する。
・Covers everyday products, such as connected doorbells, baby monitors and Wi-Fi routers	・コネクテッド・ドアベル、ベビーモニター、Wi-Fiルーターなど、日常的に使用される製品を対象とする。
・Security updates to be applied automatically when technically feasible	・技術的に可能な場合、セキュリティアップデートを自動的に適用する。
On Thursday night, MEPs reached a deal with the Presidency of the Council on new cyber resilience rules to protect all digital products in the EU from cyber threats.	木曜日夜、欧州議会議員は、EU域内のすべてのデジタル製品をサイバー脅威から保護するための新しいサイバー・レジリエンス規則について、理事会議長国と合意に達した。
Parliament and Council negotiators reached an informal agreement on the Cyber Resilience Act, which aims to ensure that products with digital features are secure to use, resilient against cyber threats and provide enough information about their security properties.	欧州議会と理事会の交渉担当者は、サイバーレジリエンシー法について非公式合意に達した。この法律は、デジタル機能を備えた製品が安全に使用され、サイバー脅威に対してレジリエンス（回復力）を持ち、セキュリティ特性について十分な情報を提供することを保証することを目的としている。
The rules will put important and critical products into different lists based on their criticality and the level of cybersecurity risk they pose. Two lists will be proposed and updated by the European Commission. During negotiations, MEPs secured an expansion of the list of covered devices with products such as identity management systems software, password managers, biometric readers, smart home assistants and private security cameras. Products should also have security updates installed automatically and separately from functionality ones.	この規則では、重要かつクリティカルな製品を、その重要性とサイバーセキュリティリスクのレベルに応じて異なるリストに分類する。つのリストが欧州委員会によって提案され、更新される。交渉中、欧州議会議員らは、ID管理システムソフトウェア、パスワード管理者、生体認証リーダー、スマートホームアシスタント、個人用セキュリティカメラなどの製品を対象とする対象機器リストの拡大を確保した。また、機能とは別にセキュリティアップデートが自動的にインストールされるようにすべきである。
MEPs also pushed for the European Union Agency for Cybersecurity (ENISA) to be more closely involved when vulnerabilities and incidents occur. The agency will be notified by the member state concerned and receive information so it can assess the situation and, if it estimates that the risk is systemic, will inform other member states so they are able to take the necessary steps.	欧州議会議員はまた、脆弱性やインシデントが発生した場合、欧州連合サイバーセキュリティ機関（ENISA）がより密接に関与するよう求めた。ENISAは関係加盟国から通知を受け、情報を受け取ることで状況を評価し、リスクがシステミックであると判断した場合には、他の加盟国に通知し、必要な措置を講じることができるようにする。
To emphasise the importance of professional skills in the cybersecurity field, MEPs also managed to introduce education and training programmes, collaboration initiatives, and strategies to enhance workforce mobility.	また、サイバーセキュリティ分野における専門スキルの重要性を強調するため、欧州議会議員は、教育・訓練プログラム、協力イニシアティブ、労働力の流動性を高める戦略の導入にも取り組んだ。
Quote	引用
Lead MEP Nicola Danti (Renew, IT) said: “The Cyber Resilience Act will strengthen the cybersecurity of connected products, tackling vulnerabilities in hardware and software alike, making the EU a safer and more resilient continent. Parliament has protected supply chains ensuring that key products such as routers and antiviruses are identified as a priority for cybersecurity. We have ensured support for micro and small enterprises and better involvement of stakeholders, and addressed the concerns of the open-source community, while keeping an ambitious European dimension. Only together will we be able to tackle successfully the cybersecurity emergency that awaits us in the coming years.”	ニコラ・ダンチ欧州議会議員（刷新、IT）は次のように述べた：「サイバー・レジリエンス法は、コネクテッド製品のサイバーセキュリティを強化し、ハードウェアとソフトウェアの脆弱性に取り組むことで、EUをより安全でレジリエンスに優れた大陸にする。議会は、ルーターやアンチウイルスなどの主要製品がサイバーセキュリティの優先事項として特定されるよう、サプライチェーンを保護してきた。また、欧州という野心的な次元を保ちつつ、零細・小規模エンタープライズへの支援と利害関係者のより良い参加を確保し、オープンソースコミュニティの懸念に対処してきた。今後数年間に待ち受けるサイバーセキュリティの緊急事態に成功裏に取り組むことができるのは、われわれの協力があってこそである」。
Next steps	次のステップ
The agreed text will now have to be formally adopted by both Parliament and Council in order to come into law. The Industry, Research and Energy Committee will hold a vote on the file in a forthcoming meeting.	合意された文書は今後、国会と理事会の双方で正式に採択され、法制化される必要がある。産業・研究・エネルギー委員会は、近々開催される会議でこの法案に関する採決を行う予定である。
Background	背景
New technologies come with new risks, and the impact of cyber-attacks through digital products has increased dramatically in recent years. Consumers have fallen victim to security flaws linked to digital products such as baby monitors, robot-vacuum cleaners, Wi-Fi routers and alarm systems. For businesses, the importance of ensuring that digital products in the supply chain are secure has become pivotal, considering three in five vendors have already lost money due to product security gaps.	新しい技術には新しいリスクがつきものであり、デジタル製品を介したサイバー攻撃の影響は近年劇的に増加している。消費者は、ベビーモニター、ロボット掃除機、Wi-Fiルーター、警報システムなどのデジタル製品に関連したセキュリティ欠陥の犠牲になっている。企業にとっても、サプライチェーンにおけるデジタル製品の安全性を確保することの重要性は、製品のセキュリティ・ギャップのためにすでに5社に3社が損失を被っていることを考えると、極めて重要になっている。

欧州理事会

● European Council

・2023.11.30 Cyber resilience act: Council and Parliament strike a deal on security requirements for digital products

Cyber resilience act: Council and Parliament strike a deal on security requirements for digital products	サイバー・レジリエンス法：欧州理事会と欧州議会がデジタル製品のセキュリティ要件で合意
The Council presidency and the European Parliament’s negotiators have reached a provisional agreement on the proposed legislation regarding cybersecurity requirements for products with digital elements, which aims to ensure that products such as connected home cameras, fridges, TVs and toys are safe before they are placed on the market (cyber resilience act).	欧州理事会議長国と欧州議会の交渉担当者は、コネクテッドホームカメラ、冷蔵庫、テレビ、玩具などの製品が市場に出回る前に安全であることを保証することを目的とした、デジタル要素を含む製品のサイバーセキュリティ要件に関する法律案（サイバー・レジリエンス法）について暫定合意に達した。
Today’s agreement is a milestone towards a safe and secure digital single market in Europe. Connected devices need a basic level of cybersecurity when sold in the EU, ensuring that businesses and consumers are properly protected against cyber threats. This is exactly what the cyber resilience act will achieve once it enters into force.	「本日の合意は、欧州における安全でセキュアなデジタル単一市場に向けた一里塚である。コネクテッドデバイスがEUで販売される際には、基本的なレベルのサイバーセキュリティが必要であり、企業や消費者がサイバー脅威から適切に保護されることが保証される。サイバー・レジリエンス法が発効されれば、まさにこれが実現されることになる」。
José Luis Escrivá, Spanish minister of digital transformation	ホセ・ルイス・エスクリバ、スペインのデジタル変革担当大臣
Main objectives of the new regulation	新規則の主な目的
The new law introduces EU-wide cybersecurity requirements for the design, development, production and making available on the market of hardware and software products, to avoid overlapping requirements stemming from different pieces of legislation in EU member states.	新法は、EU加盟国の異なる法律に由来する要件の重複を避けるため、ハードウェアおよびソフトウェア製品の設計、開発、生産、市場投入に関するEU全体のサイバーセキュリティ要件を導入する。
The regulation will apply to all products that are connected either directly or indirectly to another device or to a network. There are some exceptions for products for which cybersecurity requirements are already set out in existing EU rules, for example medical devices, aeronautical products and cars.	この規制は、他の機器やネットワークに直接または間接的に接続されるすべての製品に適用される。ただし、医療機器、航空製品、自動車など、既存のEU規則でサイバーセキュリティ要件がすでに定められている製品については例外がある。
The proposal aims to fill the gaps, clarify the links, and make the existing cybersecurity legislation more coherent, ensuring that products with digital components, for example ‘Internet of Things’ (IoT) products, are made secure throughout the supply chain and throughout their lifecycle.	この提案は、ギャップを埋め、つながりを明確にし、既存のサイバーセキュリティ法制をより首尾一貫したものにすることで、例えば「モノのインターネット」（IoT）製品のようなデジタルコンポーネントを持つ製品が、サプライチェーン全体およびライフサイクル全体を通じて安全であることを保証することを目的としている。
Finally, the regulation will allow consumers to take cybersecurity into account when selecting and using products that contain digital elements, making it easier for them to identify hardware and software products with the proper cybersecurity features.	最後に、同規制は、消費者がデジタル要素を含む製品を選択・使用する際にサイバーセキュリティを考慮できるようにし、適切なサイバーセキュリティ機能を備えたハードウェア製品やソフトウェア製品を特定しやすくする。
Main thrust of the Commission proposal retained	欧州委員会提案の主な内容は維持される
The provisionally agreed text maintains the general thrust of the Commission’s proposal, namely as regards:	暫定的に合意された文書は、欧州委員会の提案の一般的な主旨、すなわち、以下の点を維持している：
・rules to rebalance responsibility for compliance towards manufacturers, who must meet certain obligations such as providing cybersecurity risk assessments, issuing declarations of conformity, and cooperating with the competent authorities	・製造業者は、サイバーセキュリティのリスクアセスメントのプロバイダ、適合宣言書の発行、所轄当局との協力といった一定の義務を果たさなければならない。
・vulnerability handling processes for manufacturers to ensure the cybersecurity of digital products, and obligations for economic operators, such as importers or distributors, in relation to those processes	・製造業者がデジタル製品のサイバーセキュリティを確保するための脆弱性対応プロセス、およびそれらのプロセスに関連する輸入業者や販売業者などの経済事業者の義務
・measures to improve transparency on the security of hardware and software products for consumers and business users	・消費者および企業ユーザー向けに、ハードウェアおよびソフトウェア製品のセキュリティに関する透明性を改善するための措置
・a market surveillance framework to enforce the rules.	・規則を実施するための市場監視の枠組み
Co-legislators’ main amendments	共同議員の主な修正案
However, the co-legislators propose various adjustments to parts of the Commission’s proposal, mainly with regard to:	しかし、共同議員団は、欧州委員会の提案の一部について、主に以下の点でさまざまな修正を提案している：
・the scope of the proposed legislation, with a simpler methodology for the classification of digital products to be covered by the new regulation	・新規制の対象となるデジタル製品の分類をより単純化した方法論とする。
・the determination of the expected product lifetime by manufacturers: while the principle remains that the support period for a digital product corresponds to its expected lifetime, a support period of at least five years is indicated, except for products which are expected to be in use for a shorter period of time	・製造者による製品の予想耐用年数の決定：デジタル製品のサポート期間は、その製品の予想耐用年数に対応するという原則は変わらないが、より短い期間しか使用されないと予想される製品を除き、少なくとも5年間のサポート期間が示される。
・the reporting obligations regarding actively exploited vulnerabilities and incidents: the competent national authorities will be the initial recipients of such reports but the role of the EU agency for cybersecurity (ENISA) is strengthened	・積極的に悪用された脆弱性やインシデントに関する報告義務：管轄の国家当局がそのような報告の最初の取得者となるが、EUのサイバーセキュリティ機関（ENISA）の役割は強化される。
・the new rules will apply three years after the law enters into force, which should give manufacturers sufficient time to adapt to the new requirements	・新規則は法律発効から3年後に適用されるため、製造業者は新しい要件に適応するための十分な時間を確保できるはずである。
・additional support measures for small and micro enterprises have been agreed, including specific awareness-raising and training activities, as well as support for testing and conformity assessment procedures.	・特定の意識向上およびトレーニング活動、試験および適合性評価手続きへの支援など、小規模・零細企業に対する追加支援措置が合意された。
Next steps	次のステップ
Following today’s provisional agreement, work will continue at technical level in the coming weeks to finalise the details of the new regulation. The Spanish presidency will submit the compromise text to the member states’ representatives (Coreper) for endorsement once this work has been concluded.	本日の暫定合意を受けて、今後数週間、技術レベルで新規則の詳細を詰める作業が続けられる。スペインの議長国は、この作業が終了次第、妥協案を加盟国代表者（Coreper）に提出し、承認を求める。
The entire text will need to be confirmed by both institutions and undergo legal-linguistic revision before formal adoption by the co-legislators.	共同立法者による正式な採択に先立ち、全文が両機構によって確認され、法文上の修正を受ける必要がある。
Background	背景
In its conclusions of 2 December 2020 on the cybersecurity of connected devices, the Council underlined the importance of assessing the need for horizontal legislation in the long term to address all relevant aspects of cybersecurity of connected devices, such as availability, integrity and confidentiality, including specifying conditions for placement on the market.	欧州理事会は、2020年12月2日に発表したコネクテッドデバイスのサイバーセキュリティに関する結論の中で、市場投入の条件を規定することを含め、可用性、完全性、機密性など、コネクテッドデバイスのサイバーセキュリティに関連するあらゆる側面に対応するため、長期的に水平的な法律の必要性を評価することの重要性を強調した。
First announced by Commission President von der Leyen in her State of the Union address in September 2021, the cyber resilience act was mentioned in the Council conclusions of 23 May 2022 on the development of the European Union’s cyber posture, which called upon the Commission to submit its proposal by the end of 2022.	フォン・デル・ライエン欧州委員会委員長が2021年9月の一般教書演説で初めて発表したサイバー・レジリエンス法は、EUのサイバー態勢の整備に関する2022年5月23日の理事会結論で言及され、欧州委員会に対し2022年末までに提案書を提出するよう求めた。
On 15 September 2022, the Commission submitted the proposal for a cyber resilience act, which will complement the existing EU cybersecurity framework: the directive on the security of network and information systems (NIS directive), the directive on measures for a high level of cybersecurity across the Union (NIS 2 directive) and the EU cybersecurity act.	2022年9月15日、欧州委員会は、ネットワークと情報システムのセキュリティに関する指令（NIS指令）、EU全域における高水準のサイバーセキュリティ対策に関する指令（NIS 2指令）、EUサイバーセキュリティ法といった既存のEUサイバーセキュリティの枠組みを補完するサイバー・レジリエンス法の提案を提出した。
・Cyber resilience act, Council’s negotiating mandate, 19 July 2023	・サイバー・レジリエンス法、理事会の交渉委任、2023年7月19日
・Regulation on harmonized cybersecurity requirements for products with digital elements (cyber resilience act), Commission proposal, 15 September 2022	・デジタル要素を含む製品のサイバーセキュリティ要件の調和に関する規則（サイバー・レジリエンス法）、欧州委員会提案、2022年9月15日
・Your life online: how the EU is making it easier and safer for you (feature story)	・あなたのオンライン生活：EUはどのようにしてより簡単で安全なものにしようとしているのか（特集記事）

2023.12.04 11:33 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT | Permalink | Comments (0)
Tweet

書籍デジタル証拠の法律実務 Q&A 第2版

こんにちは、丸山満彦です。

デジタル証拠の法律実務 Q&A 第2版を送っていただきました。ありがとうございました。こういう本は前から順番に読む本ではないのかもしれないですが、せっかくの機会なので前から順番に読みました(^^)

著者は、髙橋郁夫弁護士、吉峯耕平弁護士などの弁護士で構成されています。

内容的には専門的な内容があり、送っていただいてから時間がかかったのですが、（法律的な方も、技術的な方も、管理面の方も）実務家にとってとても参考になる本だと思いました。

特に、最近の判例を組み込んでくれているのでよいですね。。。参考になりますね。。。こういうのは弁護士の方が非常に知見があります。。。

技術的な説明は、法律を理解する上で必要な範囲ということだと思いますが、コンパクトな説明です。

インシデントが起こってから読んでいては間に合わないので、インシデントが起こる前に読んでおいて方がよいと思います(^^)

● Amzon

・第2版デジタル証拠の法律実務Ｑ＆Ａ [プリント・レプリカ] Kindle版

・サンプル

次回の改訂がいつになるかわかりませんが、技術や実務も変わってくるでしょうし、判例が積み重ねられてくると思うので、次回の改訂も楽しみですね。。。

クラウドとか、さらに詳細になっていくのでしょうかね。。。

2023.12.04 06:24 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in フォレンジック, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in 案内（講演 / 書籍等）, in AI/Deep Learning, in 暗号 / 電子署名 / ブロックチェーン, in 安全保障 | Permalink | Comments (0)
Tweet

2023.12.03

バーゼル銀行監督委員会「オペレーショナル・レジリエンスのための諸原則」「健全なオペレーショナル・リスク管理のための諸原則の改訂」の適用状況に関するニューズレター

こんにちは、丸山満彦です。

バーゼル銀行監督委員会が、「オペレーショナル・レジリエンスのための諸原則」、「健全なオペレーショナル・リスク管理のための諸原則の改訂」の適用状況に関するニューズレターを公表していますね。。。

2021年3月末に確定してから、2年弱の進捗についての報告です。。。

・マネジメントは進捗したが、取締役会によるガバナンスはこれから

・脅威と脆弱性は特定できているが、それに対する有効な対策の実施はこれから

・相互接続・依存関係も含めた業務、プロセス、システム等について全体を細かく把握できていない

・ICTリスクの枠組みにオペレーショナル・レジリエンスの組み込みはこれから

・サードパーティとの関係も含めたレジリエンスについては、これからやることもある

・オペレーショナルレジリエンスに関連する事象が増加しているが、対応は進んでいる。

という感じですかね。。。

銀行のオペレーショナル・リスクマネジメント・ガバナンス（PSMOR 3、4、5）は十分に確立されているが、取締役会メンバーの役割と責任、およびオペレーショナル・レジリエンスに関する能力（POR 1）はまだ発展途上である。
銀行は、リスクとコントロールの自己アセスメント（RCSA）を活用して、重要業務の遂行に対する脅威と脆弱性を特定している（POR 2）が、その能力と有効性にはギャップがある。
ほとんどの法域において、銀行による相互接続と相互依存のマッピング（POR 4）は、重要な業務、その複雑性、それを支える人、プロセス、システムについて、エンド・ツー・エンドで十分にきめ細かい視点を提供していない。
事業継続の慣行と枠組みは、ほとんどの銀行で一般的に十分に確立されており、これは事業継続に関するPSMOR（PSMOR11）と情報通信技術（ICT）に関するPSMOR（PSMOR10）の採用度に反映されている。しかし、事業継続とテスト（POR3）およびICT（POR7）に対応するPORについては、銀行はまだ課題に直面している（重要業務のエンド・ツー・エンドの提供の検討、シナリオの確からしさと重大性など）。一部の銀行は、既存のICTリスクマネジメントの枠組みにオペレーショナル・レジリエンスを組み込み始めている。
サードパーティとレジリエンスの管理に関する原則、およびサードパーティとレジリエンスへの期待との整合性（POR 5 と PSMOR 9）は、銀行にとって最も重要な課題のひとつであると考えられる。一部の銀行では、サードパーティが重要な業務を提供している場合、適切な事業継続・危機管理計画や撤退手順の策定について、まだやるべきことがある。
パンデミック、サイバーインシデント、技術障害、自然災害から生じるものなど）近年、オペレーショナル・リスクに関連し、重大な業務障害や広範なディスラプションを引き起こす可能性のある事象が継続的に増加しているため、銀行はこうしたインシデントや危機を特定し、それに対応する必要性が高まっており、その結果、ほぼすべての法域において、インシデントマネジメントの慣行（POR6）が一般的によく確立されている。

● Basel Committee on Banking Supervision

・2023.11.27 Supervisory newsletter on the adoption of POR and PSMOR

Supervisory newsletter on the adoption of POR and PSMOR	PORおよびPSMORの採択に関する監督当局向けニュースレター
This newsletter provides information on the Committee's assessment of the adoption of the Principles for Operational Resilience and the revised Principles for the Sound Management of Operational Risk. The Committee believes the information provided may be useful for both supervisors and banks in their day-to-day activities. This document is for informational purposes only and does not constitute new supervisory guidance or expectations.	本ニュースレターは、オペレーショナル・レジリエンス原則およびオペレーショナル・リスクの健全なマネジメントのための原則の改訂版の採用に関する当委員会のリスクアセスメントに関する情報を提供するものである。当委員会は、提供される情報が監督当局と銀行の双方にとって日々の活動に有用であると考えている。この文書は情報提供のみを目的としたものであり、新たな監督上のガイダンスや期待を構成するものではない。
・The Committee assessed the adoption of the Principles for Operational Resilience (POR) and the revised Principles for the Sound Management of Operational Risk (PSMOR, or collectively, "the Principles") published in March 2021. The assessment is meant to promote the adequate and timely adoption of the Principles.	・当委員会は、2021年3月に公表されたオペレーショナル・レジリエンス原則（POR）およびオペレーショナル・リスクの健全なマネジメントのための原則（PSMOR）の改訂版（以下、総称して「本原則」）の採用を評価した。この評価は、諸原則の適切かつタイムリーな採用を促進することを目的としている。
・The assessment found that the effectiveness and maturity of POR and PSMOR adoption vary across banks and jurisdictions.	・評価では、PORとPSMORの採用の有効性と成熟度は銀行や法域によって異なることが分かった。
・The mapping of interconnections and interdependencies for critical operations, and the definition of tolerances for disruption to these operations are the most common challenges that banks face when adopting the Principles.	・重要業務の相互接続と相互依存のマッピング、およびこれらの業務が中断した場合の許容範囲の定義は、銀行が原則を採用する際に直面する最も一般的な課題である。
・Full adoption of the Principles will require adequate resourcing and prioritisation. The Committee strongly encourages full adoption and will continue to support adoption by carefully monitoring progress.	・本原則の全面的な採用には、十分なリソースと優先順位付けが必要である。当委員会は全面的な採用を強く奨励し、進捗状況を注意深く監視することで、引き続き採用を支援していく。
The Basel Committee published the POR and the revised PSMOR in March 2021 to promote banks' ability to withstand operational risk-related events that could cause significant operational failures or wide-scale disruptions in financial markets; and banks' effectiveness of operational risk management. To evaluate the adoption of the Principles, the Committee carried out an assessment among its members in early 2023. The results indicate that the effectiveness and maturity of POR and PSMOR1 adoption vary between banks:	バーゼル委員会は、2021年3月にPORとPSMORの改訂版を公表した。これは、重大なオペレーショナル・リスクの失敗や金融市場の広範な混乱を引き起こす可能性のあるオペレーショナル・リスク関連の事象に耐える銀行の能力、および銀行のオペレーショナル・リスクマネジメントの有効性を促進するためである。本原則の採用を評価するため、委員会は2023年初頭に加盟行を対象としたアセスメントを実施した。その結果、PORとPSMOR1の採用の有効性と成熟度は銀行によって異なることが示された：
・While banks' operational risk management governance (PSMOR 3, 4, 5) is well established, board members' roles and responsibilities and capabilities for operational resilience are still under development (POR 1).	・銀行のオペレーショナル・リスクマネジメント・ガバナンス（PSMOR 3、4、5）は十分に確立されているが、取締役会メンバーの役割と責任、およびオペレーショナル・レジリエンスに関する能力（POR 1）はまだ発展途上である。
・Banks have leveraged Risk and Control Self-Assessments (RCSAs) to identify threats and vulnerabilities to the delivery of critical operations (POR 2), but there are gaps in capabilities and effectiveness.	・銀行は、リスクとコントロールの自己アセスメント（RCSA）を活用して、重要業務の遂行に対する脅威と脆弱性を特定している（POR 2）が、その能力と有効性にはギャップがある。
・In most jurisdictions, banks' mapping of interconnections and interdependencies (POR 4) does not provide a sufficiently granular end-to-end view of critical operations, their complexity, and supporting people, processes and systems.	・ほとんどの法域において、銀行による相互接続と相互依存のマッピング（POR 4）は、重要な業務、その複雑性、それを支える人、プロセス、システムについて、エンド・ツー・エンドで十分にきめ細かい視点を提供していない。
・Business continuity practices and frameworks are generally well established in most banks, which is reflected in the level of adoption of the PSMOR on business continuity (PSMOR 11) and Information and Communication Technologies (ICT) (PSMOR 10). For the corresponding POR on business continuity and testing (POR 3) and ICT (POR 7), however, banks are still facing challenges (eg consideration of end-to-end delivery of critical operations, and the plausibility and severity of scenarios). Some banks have started to incorporate operational resilience into existing ICT risk management frameworks.	・事業継続の慣行と枠組みは、ほとんどの銀行で一般的に十分に確立されており、これは事業継続に関するPSMOR（PSMOR11）と情報通信技術（ICT）に関するPSMOR（PSMOR10）の採用度に反映されている。しかし、事業継続とテスト（POR3）およびICT（POR7）に対応するPORについては、銀行はまだ課題に直面している（重要業務のエンド・ツー・エンドの提供の検討、シナリオの確からしさと重大性など）。一部の銀行は、既存のICTリスクマネジメントの枠組みにオペレーショナル・レジリエンスを組み込み始めている。
・The Principles on the management of third parties and dependencies, as well as the alignment of third parties with resilience expectations (POR 5 and PSMOR 9), are considered to be among the most significant challenges for banks. For some banks, there is still work to do on developing appropriate business continuity and contingency plans and exit procedures where third parties provide critical operations.	・サードパーティとレジリエンスの管理に関する原則、およびサードパーティとレジリエンスへの期待との整合性（POR 5 と PSMOR 9）は、銀行にとって最も重要な課題のひとつであると考えられる。一部の銀行では、サードパーティが重要な業務を提供している場合、適切な事業継続・危機管理計画や撤退手順の策定について、まだやるべきことがある。
・The continuous growth of operational risk-related events that could cause significant operational failures or wide-scale disruptions in recent years (such as those arising from pandemics, cyber incidents, technology failures or natural disasters) has heightened the necessity for banks to identify and respond to these incidents and crises, resulting in generally well established incident management practices (POR 6) in nearly all jurisdictions.	・パンデミック、サイバーインシデント、技術障害、自然災害から生じるものなど）近年、オペレーショナル・リスクに関連し、重大な業務障害や広範なディスラプションを引き起こす可能性のある事象が継続的に増加しているため、銀行はこうしたインシデントや危機を特定し、それに対応する必要性が高まっており、その結果、ほぼすべての法域において、インシデントマネジメントの慣行（POR6）が一般的によく確立されている。
Despite progress in adopting the Principles, further effort is needed by banks to enhance practices, which will require adequate resourcing and prioritisation. In some jurisdictions, full adoption of the POR and revised PSMOR may take until at least 2025. The challenges that banks in all jurisdictions face when adopting the Principles include the mapping of interconnections and interdependencies for critical operations, and the definition of tolerances for disruption to these critical operations. If mapping and tolerances are not defined and implemented effectively, the reliability of other activities such as risk management and testing is called into question, potentially compromising operational resilience. This is further exacerbated by deficiencies in capturing, structuring and using data on critical operations that may have originally been collected for resolution and recovery planning, business continuity or some other purpose.	原則の採用は進んでいるものの、銀行が実務を強化するためには更なる努力が必要であり、それには十分な資源と優先順位付けが必要である。法域によっては、PORと改訂版PSMORの完全な採用は少なくとも2025年までかかるかもしれない。すべての国・地域の銀行がこの原則を採用する際に直面する課題には、重要な業務に関する相互接続と相互依存のマッピング、およびこれらの重要な業務が中断した場合の許容範囲の定義がある。マッピングと許容範囲が効果的に定義され、実施されなければ、リスクマネジメントやテストといった他の活動の信頼性が疑問視され、オペレーションのレジリエンスが損なわれる可能性がある。これは、もともと復旧・復興計画や事業継続、あるいはその他の目的のために収集された可能性のある、重要業務に関するデータの取得、構造化、利用の不備によって、さらに悪化する。
The assessment also revealed several themes that have proved to be particularly relevant for the adoption of the Principles. First, it is crucial for banks to leverage all aspects of operational risk management to achieve operational resilience and to recognise its importance alongside financial resilience. Furthermore, banks should acknowledge that operational resilience is more than just business continuity. A key differentiator is the critical operations lens, in conjunction with the end-to-end view, the focus on impact, the use of the tolerance for disruption to drive decisions about resilience investment, and the consideration of third parties' resilience. Finally, banks should establish and maintain accurate data at an appropriate level of granularity on critical operations and recognise the foundational role of mapping interconnections and interdependencies for successfully adopting the Principles.	アセスメントでは、原則の採用に特に関連するいくつかのテーマも明らかになった。第一に、銀行はオペレーショナル・リスクマネジメントのあらゆる側面を活用してオペレーショナル・レジリエンスを達成し、財務レジリエンスと並んでその重要性を認識することが極めて重要である。さらに、銀行は、オペレーショナル・レジリエンスが単なる事業継続以上のものであることを認識すべきである。重要な差別化要因は、エンドツーエンドの視点、インパクトの重視、レジリエンス投資に関する意思決定の推進に向けた混乱許容度の活用、およびサードパーティーのレジリエンスへの配慮と併せて、クリティカルオペレーションレンズを活用することである。最後に、銀行は、重要な業務に関する正確なデータを適切な粒度で確立し、維持すべきであり、原則の採用を成功させるためには、相互接続と相互依存関係をマッピングすることが基礎的な役割を果たすことを認識すべきである。
The Committee strongly encourages the full adoption of the POR and PSMOR into banks' operational risk management practices and regulatory and supervisory frameworks in order to strengthen their ability to withstand operational risk-related events and enhance operational resilience. New guidance and regulations issued by national authorities will contribute to the adoption of the Principles. The Committee will continue to support the adoption of the POR and PSMOR by carefully monitoring progress.	当委員会は、オペレーショナル・リスクに関連する事象に耐える能力を強化し、オペレーショナル・レジリエンスを強化するため、PORとPSMORを銀行のオペレーショナル・リスク・マネジメントの実務や規制・監督の枠組みに全面的に採用することを強く推奨する。各国当局が発行する新たなガイダンスや規制は、本原則の採用に資するものである。当委員会は、進捗状況を注意深く監視することにより、PORとPSMORの採用を引き続き支援していく。
1 The assessment of banks' adoption of the revised PSMOR focused on Principles 9,10 and 11.	1 改定PSMORの銀行による導入に関する評価は、原則9、10、11に焦点を当てた。

参考

「オペレーショナル・レジリエンスのための諸原則」「健全なオペレーショナル・リスク管理のための諸原則の改訂」

・2023.03.31 Principles for operational resilience

Principles for operational resilience

オペレーショナル・レジリエンスのための諸原則

With this document, the Basel Committee seeks to promote a principles-based approach to improving operational resilience. The principles aim to strengthen banks' ability to withstand operational risk-related events that could cause significant operational failures or wide-scale disruptions in financial markets, such as pandemics, cyber incidents, technology failures or natural disasters. The approach builds on revisions to the Committee's Principles for the sound management of operational risk, and draws from previously issued principles on corporate governance for banks, as well as outsourcing-, business continuity- and relevant risk management-related guidance.

この文書により、バーゼル委員会は、オペレーショナル・レジリエンスを改善するための原則に基づくアプローチを推進しようとしている。本原則は、パンデミック、サイバーインシデント、技術障害、自然災害など、オペレーショナル・リスクに関連し、重大なオペレーションの失敗や金融市場における広範な混乱を引き起こす可能性のある事象に対する銀行の耐性を強化することを目的としている。このアプローチは、委員会の「オペレーショナル・リスクの健全なマネジメントのための原則」の改訂を基礎とし、以前に公表された銀行のコーポレート・ガバナンスに関する原則や、アウトソーシング、事業継続、関連するリスクマネジメント関連のガイダンスなどを参考にしている。

・[PDF]

・[HTML] 仮対訳

I. Introduction	I. 序文
II. An evolving operational risk landscape	II. 進化するオペレーショナル・リスクの状況
III. Essential elements of operational resilience	III. オペレーショナル・レジリエンスに不可欠な要素
IV. Definition of operational resilience	IV. オペレーショナル・レジリエンスの定義
V. Operational resilience principles	V. オペレーショナル・レジリエンスの原則
Governance	ガバナンス
Principle 1: Banks should utilise their existing governance structure to establish, oversee and implement an effective operational resilience approach that enables them to respond and adapt to, as well as recover and learn from, disruptive events in order to minimise their impact on delivering critical operations through disruption.	原則1：銀行は、既存のガバナンス構造を活用して、混乱による重要業務への影響を最小化するために、混乱的な事象への対応と適応、ならびに混乱的な事象からの回復と学習を可能にする効果的なオペレーショナル・レジリエンス・アプローチを確立し、監督し、実施すべきである。
Operational risk management	オペレーショナル・リスク管理
Principle 2: Banks should leverage their respective functions for the management of operational risk to identify external and internal threats and potential failures in people, processes and systems on an ongoing basis, promptly assess the vulnerabilities of critical operations and manage the resulting risks in accordance with their operational resilience approach.	原則2：銀行は、オペレーショナル・リスク管理のためのそれぞれの機能を活用し、外部および内部の脅威や、人、プロセス、システムにおける潜在的な不具合を継続的に特定し、重要な業務の脆弱性を迅速に評価し、その結果生じるリスクをオペレーショナル・レジリエンス・アプローチに従って管理すべきである。
Business continuity planning and testing	事業継続計画とテスト
Principle 3: Banks should have business continuity plans in place and conduct business continuity exercises under a range of severe but plausible scenarios in order to test their ability to deliver critical operations through disruption.	原則3：銀行は事業継続計画を策定すべきであり、業務が中断しても重要な業務を遂行できる能力をテストするために、様々な厳しいがもっともらしいシナリオの下で事業継続演習を実施すべきである。
Mapping interconnections and interdependencies	相互接続と相互依存のマッピング
Principle 4: Once a bank has identified its critical operations, the bank should map the internal and external interconnections and interdependencies that are necessary for the delivery of critical operations consistent with its approach to operational resilience.	原則4：銀行が重要業務を特定した後は、銀行は、オペレーショナル・レジリエンスへのアプローチと整合するよう、重要業務の遂行に必要な内部および外部の相互接続と相互依存関係をマッピングすべきである。
Third-party dependency management	サードパーティ依存の管理
Principle 5: Banks should manage their dependencies on relationships, including those of, but not limited to, third parties or intragroup entities, for the delivery of critical operations.	原則5：銀行は、重要な業務を提供するための、サードパーティやグループ内事業体を含む (ただしこれらに限定されない) 関係への依存を管理すべきである。
Incident management	インシデント管理
Principle 6: Banks should develop and implement response and recovery plans to manage incidents that could disrupt the delivery of critical operations in line with the bank’s risk appetite and tolerance for disruption. Banks should continuously improve their incident response and recovery plans by incorporating the lessons learned from previous incidents.	原則6：銀行は、重要な業務の提供に支障をきたす可能性のあるインシデントを管理するための対応・復旧計画を、銀行のリスク選好度および支障許容度に沿って策定し、実施すべきである。銀行は、過去のインシデントから学んだ教訓を取り入れることにより、インシデント対応・復旧計画を継続的に改善すべきである。
ICT including cyber security	サイバーセキュリティを含むICT
Principle 7: Banks should ensure resilient ICT including cyber security that is subject to protection, detection, response and recovery programmes that are regularly tested, incorporate appropriate situational awareness and convey relevant timely information for risk management and decision-making processes to fully support and facilitate the delivery of the bank’s critical operations.	原則7：銀行は、定期的にテストされ、適切な状況認識を組み入れ、リスク管理と意思決定プロセスのために関連するタイムリーな情報を伝達する保護、検知、対応、復旧プログラムの対象となる、サイバーセキュリティを含むレジリエンシーICTを確保し、銀行の重要な業務の遂行を完全にサポートし、促進すべきである。

・2023.03.31 Revisions to the principles for the sound management of operational risk

Revisions to the principles for the sound management of operational risk

オペレーショナル・リスクの健全なマネジメントのための原則の改訂

The Basel Committee has revised its Principles for the sound management of operational risk to make technical revisions to: (i) align the principles with the recently finalised Basel III operational risk framework; (ii) update the guidance where needed in the areas of change management and information and communication technologies; and (iii) enhance the overall clarity of the principles. The principles were introduced in 2003, and subsequently revised in 2011 to incorporate the lessons from the Great Financial Crisis. In 2014, the Committee conducted a review of the implementation of the principles which indicated that several principles had not been adequately implemented, and that they did not sufficiently capture certain important sources of operational risk.

バーゼル委員会は、オペレーショナル・リスクの健全な管理のための原則を改訂し、(i)同原則を最近最終決定されたバーゼルIIIオペレーショナル・リスクのフレームワークと整合させること、(ii)変更マネジメントおよび情報通信技術の分野において必要な場合にはガイダンスを更新すること、(iii)同原則の全体的な明確性を高めること、のための技術的な改訂を行った。原則は2003年に導入され、その後2011年に大金融危機の教訓を取り入れるために改訂された。2014年、当委員会は原則の実施状況のレビューを実施したが、その結果、いくつかの原則が適切に実施されておらず、オペレーショナル・リスクの特定の重要な原因を十分に捉えていないことが指摘された。

・[PDF]

・[HTML] 仮対訳

Revisions to the Principles for the Sound Management of Operational Risk	健全なオペレーショナル・リスク管理のための諸原則の改訂
1. Introduction	1. 序文
2. Components of operational risk management	2. オペレーショナル・リスク管理の構成要素
3. Operational risk management	3. オペレーショナル・リスク管理
4. Principles for the sound management of operational risk	4. 健全なオペレーショナル・リスク管理のための諸原則
Principle 1: The board of directors should take the lead in establishing a strong risk management culture, implemented by senior management. The board of directors and senior management should establish a corporate culture guided by strong risk management, set standards and incentives for professional and responsible behaviour, and ensure that staff receives appropriate risk management and ethics training.	原則1：取締役会は、シニア・マネジメントが実施する強力なリスク管理文化の確立を主導すべきである。取締役会およびシニア・マネジメントは、強力なリスク管理に導かれた企業文化を確立し、専門的で責任ある行動のための標準とインセンティブを設定し、従業員が適切なリスク管理および倫理の研修を受けることを確保すべきである。
Principle 2: Banks should develop, implement and maintain an operational risk management framework that is fully integrated into the bank’s overall risk management processes. The ORMF adopted by an individual bank will depend on a range of factors, including the bank’s nature, size, complexity and risk profile.	原則2：銀行は、銀行全体のリスク管理・プロセスに完全に統合されたオペレーショナル・リスク管理の枠組みを策定し、実施し、維持すべきである。個々の銀行が採用するオペレーショナル・リスク管理フレームワークは、その銀行の性質、規模、複雑性、リスクプロファイルを含む様々な要因によって決まる。
Governance	ガバナンス
Board of directors	取締役会
Principle 3: The board of directors should approve and periodically review the operational risk management framework, and ensure that senior management implements the policies, processes and systems of the operational risk management framework effectively at all decision levels.	原則3：取締役会は、オペレーショナル・リスク管理の枠組みを承認し、定期的に見直すべきであり、シニア・マネジメントがオペレーショナル・リスク管理の枠組みの方針、プロセス、システムを全ての意思決定レベルで効果的に実施することを確保すべきである。
Principle 4: The board of directors should approve and periodically review a risk appetite and tolerance statement for operational risk that articulates the nature, types and levels of operational risk the bank is willing to assume.	原則4：取締役会は、銀行が負うことをいとわないオペレーショナル・リスクの性質、種類、およびレベルを明確にしたオペレーショナル・リスクに関するリスク選好度および許容度声明書を承認し、定期的に見直すべきである。
Senior management	シニア・マネジメント
Principle 5: Senior management should develop for approval by the board of directors a clear, effective and robust governance structure with well-defined, transparent and consistent lines of responsibility. Senior management is responsible for consistently implementing and maintaining throughout the organisation policies, processes and systems for managing operational risk in all of the bank’s material products, activities, processes and systems consistent with the bank’s risk appetite and tolerance statement.	原則5：シニア・マネジメントは、取締役会の承認を得るために、明確に定義され、透明性が高く、一貫性のある責任系統を有する、明確かつ効果的で強固なガバナンス構造を構築すべきである。シニア・マネジメントは、銀行のリスク選好度および許容度声明に合致した、銀行の重要な商品、活動、プロセスおよびシステムのすべてにおいて、オペレーショナル・リスクを管理するための方針、プロセスおよびシステムを、組織全体にわたって一貫して実施し、維持する責任を負う。
Risk management environment	リスク統制環境
Identification and assessment	識別と評価
Principle 6: Senior management should ensure the comprehensive identification and assessment of the operational risk inherent in all material products, activities, processes and systems to make sure the inherent risks and incentives are well understood.	原則6：シニア・マネジメントは、すべての重要な製品、活動、プロセスおよびシステムに内在するオペレーショナル・リスクの包括的な識別とアセスメントを確実に行い、内在するリスクとインセンティブが十分に理解されていることを確認すべきである。
Principle 7: Senior management should ensure that the bank’s change management process is comprehensive, appropriately resourced and adequately articulated between the relevant lines of defence.	原則7：シニア・マネジメントは、銀行の変更管理プロセスが包括的で、適切なリソースを有し、関連する防衛ライン間で適切に明確化されていることを確保すべきである。
Monitoring and reporting	モニタリングと報告
Principle 8: Senior management should implement a process to regularly monitor operational risk profiles and material operational exposures. Appropriate reporting mechanisms should be in place at the board of directors, senior management, and business unit levels to support proactive management of operational risk.	原則8：シニア・マネジメントは、オペレーショナル・リスク・プロファイルと重要なオペレーショナル・エクスポージャーを定期的にモニタリングするプロセスを導入すべきである。オペレーショナル・リスクの積極的な管理を支援するため、取締役会、シニア・マネジメント及び事業部門レベルにおいて、適切な報告の仕組みが整備されるべきである。
Control and mitigation	コントロールと低減
Principle 9: Banks should have a strong control environment that utilises policies, processes and systems; appropriate internal controls; and appropriate risk mitigation and/or transfer strategies.	原則9：銀行は、方針、プロセス、システム、適切な内部統制、適切なリスク軽減及び／又は移転戦略を活用した強力な統制環境を有するべきである。
Information and communication technology	情報コミュニケーション技術 (ICT)
Principle 10: Banks should implement a robust ICT risk management programme in alignment with their operational risk management framework.	原則10：銀行は、オペレーショナル・リスク管理の枠組みに沿って、堅固な情報コミュニケーション技術 (ICT) リスク管理プログラムを実施すべきである。
Business continuity planning	事業継続計画
Principle 11: Banks should have business continuity plans in place to ensure their ability to operate on an ongoing basis and limit losses in the event of a severe business disruption. Business continuity plans should be linked to the bank’s operational risk management framework.	原則11：銀行は、継続的な業務遂行能力を確保し、深刻な事業中断の際の損失を限定するため、事業継続計画を策定すべきである。事業継続計画は、銀行のオペレーショナル・リスク管理のフレームワークと連動すべきである。
Role of disclosure	情報開示の役割
Principle 12: A bank’s public disclosures should allow stakeholders to assess its approach to operational risk management and its operational risk exposure.	原則12：銀行の公開情報により、利害関係者は、オペレーショナル・リスク管理に対するアプローチとオペレーショナル・リスク・エクスポージャーを評価できるようにすべきである。
Role of supervisors	監督当局の役割

● 金融庁

・2023.12.01 バーゼル銀行監督委員会による「オペレーショナル・レジリエンスのための諸原則及び健全なオペレーショナル・リスク管理のための諸原則の改訂の適用状況に関するニューズレター」の公表について

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.02 バーゼル銀行監督委員会「オペレーショナル・レジリエンスのための諸原則」「健全なオペレーショナル・リスク管理のための諸原則の改訂」を公表

2023.12.03 06:09 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2023.12.02

金融安定理事会多機能暗号資産仲介機関 (MCI) の金融安定性への影響

こんにちは、丸山満彦です。

金融安定理事会が、多機能暗号資産仲介機関 (Multifunction Crypto-asset Intermediaries: MCI) の事業継続の問題が金融システムに与える影響についての分析をしていますね。。。

まだ影響が大きくはないという感じですかね。。。ただ、油断ならんと。。。

規模が大きくなるならちゃんとしないとね。。。というメッセージも含まれていますかね。。。

● Financial Stability Board

・2023.11.28 The Financial Stability Implications of Multifunction Crypto-asset Intermediaries

The Financial Stability Implications of Multifunction Crypto-asset Intermediaries	多機能暗号資産仲介機関の金融安定性への影響
The May/June 2022 crypto-asset market turmoil and the collapse of FTX in November 2022 highlight that multifunction intermediaries represent a critical part of the crypto-asset ecosystem and can exacerbate structural vulnerabilities in those markets.	2022年5月から6月にかけての暗号資産市場の混乱と2022年11月のFTXの破綻は、多機能暗号資産仲介業者が暗号資産エコシステムの重要な一部であり、これらの市場の構造的脆弱性を悪化させる可能性があることを浮き彫りにした。
Multifunction crypto-asset intermediaries (MCIs) are individual firms, or groups of affiliated firms, that combine a broad range of crypto-asset services, products, and functions typically centred around the operation of a trading platform. Many MCIs have proprietary trading and investment functions, while some are also involved in issuing, promoting, and distributing crypto-assets or related products, including so-called stablecoins.	多機能暗号資産仲介業者（MCI）とは、広範な暗号資産サービス、商品、機能を組み合わせた個々の企業、または関連企業グループであり、通常は取引プラットフォームの運営を中心とする。多くのMCIは自己勘定取引や投資機能を持つが、中にはいわゆるステーブルコインを含む暗号資産や関連商品の発行、販売促進、流通に関わるものもある。
MCI vulnerabilities are not very different from those of traditional finance, including leverage, liquidity mismatch, technology and operational vulnerabilities, and interconnections. However, some combinations of functions within a single MCI could exacerbate these vulnerabilities. These vulnerabilities are further amplified by a lack of effective controls and operational transparency, poor or no disclosures, and conflicts of interest. There are also additional vulnerabilities stemming from the centrality of MCIs in the crypto-asset ecosystem and their concentration and market power. MCI vulnerabilities could spill over to the traditional financial system and the economy through various transmission channels.	MCIの脆弱性は、レバレッジ、流動性のミスマッチ、テクノロジーやオペレーションの脆弱性、相互接続など、伝統的な金融の脆弱性と大差はない。しかし、一つのMCI内の機能の組み合わせによっては、これらの脆弱性を悪化させる可能性がある。これらの脆弱性は、効果的な管理体制や業務の透明性の欠如、情報開示の不十分さや無さ、利益相反などによってさらに増幅される。また、暗号資産のエコシステムにおけるMCIの中心性、その集中と市場権力に起因する脆弱性もある。MCIの脆弱性は、様々な伝達経路を通じて伝統的な金融システムや経済に波及する可能性がある。
Available evidence suggests that the threat to financial stability and to the real economy from the failure of an MCI is limited at present. Significant information gaps impair this qualitative assessment, but it is corroborated by the experience of recent failures of MCIs. Looking ahead, the financial stability implications of MCIs depend on how the crypto-asset sector develops and how the role of MCIs evolves within the sector, as well as on the effective implementation and enforcement of comprehensive and consistent regulations to the crypto-asset markets globally.	入手可能な証拠は、MCIの破綻による金融の安定と実体経済への脅威は、現時点では限定的であることを示唆している。重大な情報格差がこの定性的評価を妨げているが、最近のMCIの破綻の経験によって裏付けられる。今後、MCIが金融安定に与える影響は、暗号資産セクターがどのように発展し、その中でMCIの役割がどのように進化していくか、また、世界の暗号資産市場に対する包括的かつ一貫性のある規制が効果的に実施・施行されるかどうかにかかっている。
This report	本報告書
・looks at the structure and functioning of MCIs and assesses relevant financial stability risks;	・MCIの構造と機能に注目し、関連する金融安定リスクをアセスメントする；
・describes data gaps and identifies potential indicators to monitor MCI developments; and	・データ・ギャップを説明し、MCIの動向を監視するための潜在的な指標を特定する。
・discusses implications for policy consideration by the FSB and relevant standard-setting bodies.	・FSBおよび関連標準設定団体による政策検討への示唆を議論する。

・[PDF]

・[DOCX] 仮訳

目次...

Executive summary	要旨
1. Introduction	1. 序文
2. Multifunction crypto-asset intermediaries	2. 多機能暗号資産仲介機関
2.1. Information availability and limitations	2.1.情報の入手可能性と制限
2.2. Key activities	2.2.主な活動
2.3. Business model considerations	2.3.ビジネスモデルに関する考察
2.4. Structure and governance	2.4.構造とガバナンス
2.5. Interconnections within crypto-asset markets and with traditional finance	2.5.暗号資産市場内および伝統的金融との相互関係
3. Financial stability implications of MCIs	3. MCIの金融安定性への影響
3.1. Vulnerabilities of MCIs	3.1.MCIの脆弱性
3.2. Amplifiers of MCI vulnerabilities	3.2.MCI脆弱性の増幅器
3.3. Financial stability interlinkages and transmission channels	3.3.金融安定の相互連関と伝達経路
4. Data gaps and potential elements of monitoring	4. データギャップとモニタリングの潜在的要素
5. Conclusions and policy implications	5. 結論と政策的含意
Annex 1: Risks and vulnerabilities associated with the combination of functions in MCIs	附属書1：MCIにおける機能の組み合わせに関連するリスクと脆弱性
Annex 2: MCI transmission channels	附属書2：MCI伝送チャンネル
Abbreviations	略語

エグゼクティブサマリー...

Executive summary	要旨
Multifunction crypto-asset intermediaries (MCIs) are individual firms, or groups of affiliated firms, that combine a broad range of crypto-asset services, products, and functions typically centred around the operation of a trading platform. Many MCIs have proprietary trading and investment functions, while some are also involved in issuing, promoting, and distributing crypto-assets or related products, including so-called stablecoins. Most of these activities and their combinations have analogues in traditional finance but are often not provided by the same entity or are only provided under significant restrictions or controls to prevent conflicts of interest and promote market integrity, investor protection and financial stability.	多機能暗号資産仲介業者（MCI）とは、取引プラットフォームの運営を中心に、広範な暗号資産サービス、商品、機能を組み合わせた個々の企業、または関連企業グループである。多くのMCIは自己勘定取引や投資機能を持つが、中にはいわゆるステーブルコインを含む暗号資産や関連商品の発行、販売促進、流通に携わるものもある。これらの業務やその組み合わせの大半は、伝統的な金融に類似しているが、多くの場合、同じ事業体によって提供されていないか、または利益相反を防止し、市場の整合性、投資家保護、金融の安定性を促進するための重要な制限や管理の下でのみ提供されている。
Key economic incentives underpin the emergence of MCIs. On the demand side, these include lower costs of access to crypto-asset markets (in terms of user time, expertise, and technology resources) and network effects. On the supply side, MCIs appear to benefit from economies of scale and scope and from cost savings in part from non-compliance with existing regulations in some jurisdictions. Revenue sources include transaction fees from trading activity on their platforms (which appear to be the primary source of revenue); interest income from stablecoin reserves; transaction validation fees when MCIs operate a blockchain infrastructure; and proprietary trading and investments (potentially including in an MCI’s self-issued crypto-asset).	MCIの出現を支えているのは、主要な経済的インセンティブである。需要サイドでは、暗号資産市場へのアクセスコストの低減（ユーザーの時間、専門知識、技術リソースの観点から）、ネットワーク効果などが挙げられる。供給サイドでは、MCIは規模の経済と範囲の経済、および一部の法域における既存規制の非準拠による部分的なコスト削減から恩恵を受けると思われる。収益源としては、プラットフォーム上の取引活動からの取引手数料（これが主な収益源と思われる）、ステーブルコイン準備金からの金利収入、MCIがブロックチェーンインフラストラクチャを運用する場合の取引検証手数料、自己勘定取引や投資（MCIが自己発行する暗号資産への投資を含む可能性がある）などがある。
Many MCIs operate their platforms primarily through a single global entry point, but MCIs often have affiliated entities and subsidiaries in several countries; are incorporated in offshore financial centres; are privately held; and generally, are not transparent regarding their corporate structure and control, financial accounts, product and service descriptions, and dependencies and linkages. In some cases, opacity appears intentional and limits understanding and assessment of MCI activities, economic models, and vulnerabilities. Internal governance at MCIs is also largely undisclosed, and there are strong indications that independent and robust risk management functions are lacking. In many cases, a single individual or very few individuals retain ownership, control, and decision-making privileges.	多くのMCIは主に単一のグローバル・エントリー・ポイントを通じてプラットフォームを運営しているが、MCIは多くの場合、複数の国に関連事業体や子会社を持ち、オフショア金融センターで法人化され、非公開であり、全般的に、その企業構造や管理、財務会計、製品やサービスの説明、依存関係や連携に関して透明性がない。場合によっては、不透明性は意図的であり、MCIの活動、経済モデル、脆弱性の理解と評価を制限している。また、MCIの内部ガバナンスもほとんど開示されておらず、独立した強固なリスクマネジメント機能が欠如していることが強く指摘されている。多くの場合、一個人またはごく少数の個人が所有権、支配権、意思決定権を保持している。
MCI vulnerabilities are not very different from those of traditional finance, including leverage, liquidity mismatch, technology and operational vulnerabilities, and interconnections. However, certain combinations of functions could exacerbate these vulnerabilities. For example, the engagement of MCIs in proprietary trading, market making on their own trading venues, and the lending and borrowing of crypto-assets could lead to higher leverage. MCIs offering investment programmes to their users, issuing proprietary crypto-assets, or operating investment and venture capital arms may also be exposed to liquidity mismatch. These vulnerabilities are further amplified by a lack of effective controls (for example, governance and risk management frameworks) and operational transparency, by poor or no disclosures, and by conflicts of interest. There are also additional vulnerabilities stemming from the centrality of MCIs in the crypto-asset ecosystem and their concentration and market power.	MCIの脆弱性は、レバレッジ、流動性のミスマッチ、テクノロジーやオペレーションの脆弱性、相互接続など、伝統的な金融の脆弱性と大差はない。しかし、特定の機能の組み合わせは、これらの脆弱性を悪化させる可能性がある。例えば、MCIが自己勘定取引、独自の取引所でのマーケットメイク、暗号資産の貸し借りに関与することで、レバレッジが高くなる可能性がある。また、MCIが利用者に投資プログラムを提供したり、独自の暗号資産を発行したり、投資部門やベンチャーキャピタル部門を運営したりする場合も、流動性のミスマッチにさらされる可能性がある。こうした脆弱性は、効果的な管理体制（ガバナンスやリスクマネジメントの枠組みなど）やオペレーションの透明性の欠如、情報開示の不十分さや欠如、利益相反によってさらに増幅される。また、暗号資産エコシステムにおけるMCIの中心性、その集中と市場権力に起因する脆弱性もある。
MCI vulnerabilities could spill over to the traditional financial system and the economy through various transmission channels. Widespread use of MCI services by crypto-asset investors could result in adverse confidence effects, which could be propagated through so-called stablecoins. There could be linkages between MCIs and financial institutions through reliance on each other’s services, direct exposures between them, or through MCI-issued stablecoins backed by traditional financial assets. Adverse wealth effects from MCI stress or bankruptcy may apply to investors funding MCIs or investing in related crypto-assets, or to users of their services, as MCIs often provide the entry-exit point for investors to and from the crypto-asset ecosystem. MCIs could also promote the adoption of stablecoins or other crypto-assets for payment or as a medium of exchange or store of value. The failure of a major MCI or a stablecoin issued or promoted by an MCI could have significant effects for crypto-asset markets and lead to further spillovers.	MCIの脆弱性は、様々な伝達経路を通じて伝統的な金融システムや経済に波及する可能性がある。暗号資産投資家によるMCIサービスの広範な利用は、いわゆるステーブルコインを通じて伝播する可能性がある。MCIと金融機関の間には、互いのサービスへの依存、両者間の直接エクスポージャー、あるいは伝統的な金融資産を裏付けとするMCI発行のステーブルコインを通じたつながりが存在する可能性がある。MCIのストレスや破綻による不利な富への影響は、MCIに資金を提供する投資家や関連する暗号資産に投資する投資家、あるいはMCIが暗号資産のエコシステムへの投資家の出入り口を提供することが多いため、MCIのサービスの利用者に及ぶ可能性がある。MCIはまた、支払いや交換媒体、価値貯蔵としてのステーブルコインやその他の暗号資産の採用を促進する可能性もある。主要なMCIやMCIが発行または推進するステーブルコインの破綻は、暗号資産市場に重大な影響を及ぼし、さらなる波及効果につながる可能性がある。
Available evidence suggests that the threat to financial stability and to the real economy from the failure of an MCI is limited at present. Significant information gaps impair this qualitative assessment, but it is corroborated by the experience of recent failures of MCIs. Nonetheless, relatively concentrated deposit exposures to firms that are reliant in some form on crypto-assets contributed to the closure or failure of a few “crypto-asset-friendly” banks, highlighting the risks from increasing interconnectedness. Although spillovers from crypto-asset markets to the traditional financial system have been limited so far, stress events caused significant losses to crypto-asset investors and shook confidence in these markets. Financial stability implications – both at individual jurisdiction and global levels – depend on how the crypto-asset sector develops, how the role of MCIs changes within the sector, the extent to which MCIs expand their linkages with traditional finance, and the effective implementation and enforcement of comprehensive and consistent regulations to the crypto-asset markets globally.	入手可能な証拠は、MCIの破綻による金融の安定と実体経済への脅威は、現時点では限定的であることを示唆している。この定性的な評価には重大な情報格差があるが、最近のMCIの破綻の経験によって裏付けられている。それにもかかわらず、暗号資産に何らかの形で依存している企業への預金エクスポージャーが比較的集中していることが、少数の「暗号資産に親和的な」銀行の閉鎖や破綻に寄与しており、相互連結の拡大によるリスクを浮き彫りにしている。暗号資産市場から伝統的な金融システムへの波及は今のところ限定的であるが、ストレス事象は暗号資産投資家に大きな損失をもたらし、これらの市場に対する信頼を揺るがした。金融安定性への影響（個々の法域レベルでもグローバル・レベルでも）は、暗号資産セクターがどのように発展するか、同セクター内でMCIの役割がどのように変化するか、MCIが伝統的金融との連携をどの程度拡大するか、暗号資産市場に対する包括的で一貫性のある規制がグローバルに効果的に実施・施行されるかによって決まる。
In light of the findings, the report identifies policy implications for consideration by the FSB in collaboration with the relevant standard-setting bodies (SSBs):	調査結果を踏まえ、本報告書は、関連する基準設定団体（SSBs）と協力してFSBが検討すべき政策的含意を明らかにしている：
・Assess whether the amplification risks identified for combinations of MCI functions, as well as lack of proper governance and extensive conflicts of interest, are adequately covered by FSB and SSB recommendations or would warrant additional mitigating policy measures in some jurisdictions. Combining functions in MCIs that are typically restricted or separated for traditional finance appears prima facie inconsistent with the principle of ‘same activity, same risk, same regulation’.	・適切なガバナンスの欠如や広範な利益相反と同様に、MCI 機能の組み合わせについて特定された増幅リスクが、FSB 及び SSB の勧告によって適切にカバーされているか、又は一部の国・地域において追加的な緩和政策措置が正当化されるかどうかを評価する。伝統的な金融では通常制限されるか分離される
・Consider ways to enhance cross-border cooperation and information sharing to help local authorities effectively regulate and supervise MCIs operating globally.	・現地当局がグローバルに活動するMCIを効果的に規制・監督できるよう、国境を越えた協力と情報共有を強化する方法を検討する。
・Consider ways to address information gaps identified in this report, including whether disclosures and reporting are adequately covered by FSB and SSB recommendations or would warrant additional mitigating policy measures.	・開示や報告がFSBやSSBの勧告で十分にカバーされているか、あるいは追加的な緩和政策措置が必要となるかを含め、本報告書で特定された情報ギャップに対処する方法を検討する。

プレス

・2023.11.28 FSB assesses risks of multi-function crypto-asset intermediaries

FSB assesses risks of multi-function crypto-asset intermediaries	FSB、多機能暗号資産仲介機関のリスクアセスメント
・Report warns that combining different activities within multifunction crypto-asset intermediaries (MCIs), many of which are typically restricted or separated in traditional finance, could exacerbate MCI vulnerabilities.	・報告書は、多機能暗号資産仲介機関（MCI）において、伝統的な金融では一般的に制限または分離されている多くの異なる活動を組み合わせることで、MCIの脆弱性を悪化させる可能性があると警告している。
・Financial stability implications from the failure of an MCI will depend on the effective implementation and enforcement of comprehensive and consistent regulations to crypto-asset markets globally.	・MCIの破綻が金融安定に与える影響は、暗号資産市場に対する包括的かつ一貫性のある規制がグローバルに効果的に実施・施行されるかどうかにかかっている。
・Further work may be needed to enhance cross-border cooperation and information sharing and to address information gaps identified in the report.	・国境を越えた協力と情報共有を強化し、本報告書で特定された情報格差に対処するためには、更なる取り組みが必要であろう。
The Financial Stability Board (FSB) today published a report on the financial stability implications of multifunction crypto-asset intermediaries (MCIs). MCIs are individual firms, or groups of affiliated firms – such as FTX (prior to its failure) – that combine a broad range of crypto-asset services, products, and functions typically centred around the operation of a trading platform. Most of these activities have analogues in traditional finance but are often not provided by the same entity or are restricted or controlled to prevent conflicts of interest and promote market integrity, investor protection, and financial stability.	金融安定理事会（FSB）は本日、多機能暗号資産仲介機関（MCI）の金融安定性への影響に関する報告書を公表した。MCIは、取引プラットフォームの運営を中心に、広範な暗号資産サービス、商品、機能を組み合わせる個別企業、または関連企業グループ（破綻前のFTXなど）である。これらの活動の大半は伝統的な金融に類似しているが、多くの場合、同じ事業体によって提供されていないか、利益相反を防止し、市場の整合性、投資家保護、金融の安定を促進するために制限または管理されている。
The report notes that MCI vulnerabilities are not so different from those in traditional finance: leverage, liquidity mismatch, technology and operational vulnerabilities and interconnections. It warns that certain combinations of functions could exacerbate these vulnerabilities. For example, the engagement of MCIs in proprietary trading, market making on their own trading venues, and the lending and borrowing of crypto-assets could lead to higher leverage. MCIs offering investment programmes to their users, issuing proprietary crypto-assets, or operating investment and venture capital arms may also be exposed to liquidity mismatch. These vulnerabilities are further amplified by a lack of effective controls, for example, governance and risk management frameworks; operational transparency, with poor or no disclosures; and by conflicts of interest. There are also additional vulnerabilities stemming from the centrality of MCIs in the crypto-asset ecosystem and their concentration and market power.	報告書は、MCIの脆弱性は、レバレッジ、流動性のミスマッチ、テクノロジーやオペレーションの脆弱性、相互接続など、伝統的な金融の脆弱性とさほど変わらないと指摘している。特定の機能の組み合わせが、これらの脆弱性を悪化させる可能性があると警告している。例えば、MCIが自己勘定取引、独自の取引所でのマーケットメイク、暗号資産の貸し借りに関与することは、レバレッジの上昇につながる可能性がある。また、MCIが利用者に投資プログラムを提供したり、独自の暗号資産を発行したり、投資部門やベンチャーキャピタル部門を運営したりする場合も、流動性のミスマッチにさらされる可能性がある。こうした脆弱性は、例えばガバナンスやリスクマネジメントの枠組みといった効果的な管理体制の欠如、情報開示が不十分または全くない運用の透明性、利益相反によってさらに増幅される。また、暗号資産のエコシステムにおけるMCIの中心性、その集中と市場権力に起因する脆弱性もある。
The report notes that while the threat to global financial stability and to the real economy from the failure of an MCI appears limited at present, significant information gaps remain. The closure or failure of a few “crypto-asset-friendly” banks earlier this year highlights the risks from increasing interconnectedness with the traditional financial system. Financial stability implications – both at individual jurisdiction and global levels – depend on how the crypto-asset sector develops, how the role of MCIs changes within the sector, the extent to which MCIs expand their linkages with traditional finance, and the effective implementation and enforcement of comprehensive and consistent regulations to the crypto-asset markets globally.	報告書は、MCIの破綻による世界金融の安定と実体経済への脅威は現時点では限定的と思われるが、重大な情報格差が残っていると指摘している。今年初めの「暗号資産に優しい」銀行数行の閉鎖や破綻は、伝統的な金融システムとの相互接続性の高まりによるリスクを浮き彫りにしている。金融安定性への影響は、個々の法域レベルでもグローバル・レベルでも、暗号資産セクターがどのように発展するか、同セクター内でMCIの役割がどのように変化するか、MCIが伝統的な金融との連携をどの程度拡大するか、暗号資産市場に対する包括的で一貫性のある規制がグローバルに効果的に実施・施行されるかによって決まる。
The report identifies issues for consideration by the FSB in collaboration with standard-setting bodies:	本報告書は、FSBが標準設定団体と協力して検討すべき課題を特定している：
・to assess whether the amplification risks for combinations of MCI functions as well as lack of proper governance and conflict of interest are adequately covered by FSB and SSB recommendations or warrant additional mitigating policy measures.	・適切なガバナンスや利益相反の欠如だけでなく、MCI機能の組み合わせによる増幅リスクが、FSBやSSBの勧告で適切にカバーされているか、あるいは追加の緩和政策措置が必要であるかを評価する。
・to consider ways to enhance cross-border cooperation and information sharing to help local authorities effectively regulate MCIs operating globally.	・グローバルに活動するMCIを現地当局が効果的に規制するために、国境を越えた協力と情報共有を強化する方法を検討する。
・to consider ways to address the information gaps identified in the report.	・報告書で特定された情報格差に対処する方法を検討する。
Notes to editors	編集後記
In July 2018, the FSB published a monitoring framework that set out the transmission channels the FSB would use to monitor the financial stability implications of crypto-asset markets as part of its ongoing assessment of vulnerabilities in the financial system. This was followed, in February 2022, with an Assessment of Risks to Financial Stability from Crypto-assets, which examined developments and associated vulnerabilities in crypto-asset markets, including stablecoins and so-called decentralised finance (DeFi). The FSB published a report in February 2023 with its assessment of The Financial Stability Risks of Decentralised Finance.	FSBは2018年7月、金融システムにおける脆弱性の継続的な評価の一環として、暗号資産市場の金融安定性への影響を監視するためにFSBが使用する伝達経路を定めた監視枠組みを公表した。続いて2022年2月には、ステーブルコインやいわゆる分散型金融（DeFi）を含む暗号資産市場の動向と関連する脆弱性を検証した「暗号資産による金融安定へのリスクアセスメント」が発表された。FSBは2023年2月に「分散型金融の金融安定リスク」の評価報告書を発表した。
Following a public consultation, the FSB finalised a global regulatory framework for crypto-assets that was endorsed by the G20 in September 2023. The recommendations address financial stability risks of crypto-asset markets and activities, including issuers and service providers. They cover regulatory power, cross-border cooperation, governance, risk management, data, disclosure, systemic risk, and multi-function intermediaries.	公開協議の後、FSBは暗号資産に関するグローバルな規制枠組みを最終決定し、2023年9月にG20で承認された。勧告では、発行体やプロバイダを含む暗号資産市場や活動の金融安定リスクに対処している。規制力、国境を越えた協力、ガバナンス、リスクマネジメント、データ、情報開示、システミックリスク、多機能仲介機関などを網羅している。
The FSB coordinates at the international level the work of national financial authorities and international standard-setting bodies and develops and promotes the implementation of effective regulatory, supervisory, and other financial sector policies in the interest of financial stability. It brings together national authorities responsible for financial stability in 24 countries and jurisdictions, international financial institutions, sector-specific international groupings of regulators and supervisors, and committees of central bank experts. The FSB also conducts outreach with approximately 70 other jurisdictions through its six Regional Consultative Groups.	FSBは、各国金融当局と国際標準設定団体の作業を国際レベルで調整し、金融の安定のために効果的な規制・監督・その他の金融セクター政策の策定と実施を促進する。FSBは、24カ国・地域の金融安定に責任を負う各国当局、国際金融機構、規制・監督当局からなるセクター別の国際グループ、中央銀行の専門家からなる委員会を結集している。FSBはまた、6つの地域協議グループ（Regional Consultative Groups）を通じて、他の約70の国・地域ともアウトリーチを行っている。
The FSB is chaired by Klaas Knot, President of De Nederlandsche Bank. The FSB Secretariat is located in Basel, Switzerland and hosted by the Bank for International Settlements.	FSBの議長はクラース・ノットオランダ銀行総裁が務めている。FSB事務局はスイスのバーゼルにあり、国際決済銀行がホスティングしている。

● まるちゃんの情報セキュリティ気まぐれ日記

Crypto-asset

・2023.11.24 証券監督者国際機構（IOSCO）「暗号資産・デジタル資産に関する勧告最終報告書 (2023.11.16)

・2023.10.28 SECが2024年度の審査強化項目を公表していますね。。。

・2023.07.18 金融安定理事会 (FSB) 暗号資産とステーブルコインに関するグローバルな規制枠組みを最終決定

・2023.07.13 欧州委員会 Web4.0と仮想世界に関するEUのイニシアチブ：次の技術的転換期を先取りする

・2023.07.01 欧州委員会デジタルユーロの立法案

・2023.06.21 世界経済フォーラム (WEF) 暗号資産規制への道筋：グローバルアプローチ (2023.05.25)

・2023.04.27 EU 議会暗号資産に関する法案を承認

・2023.02.16 SECが2023年度の審査強化項目を公表していますね。。。引き続きサイバーセキュリティも含まれています。。。(2023.02.07)

・2022.12.30 Belfer Center: Web3関連のイベント（構築、投資、政策立案）(2022.10.20-12.01)

・2022.11.13 欧州議会 NIS2とデジタル・オペレーショナル・レジリエンス法を可決

・2022.10.21 ENISA ポスト量子暗号 - 統合研究

・2022.10.12 金融安定理事会 (FSB) 暗号資産活動の国際的規制の枠組みの提案

・2022.09.21 米国デジタル資産の責任ある開発に関する包括的フレームワーク (2022.09.16)

・2022.08.19 世界経済フォーラム (WEF) 暗号通貨とステーブルコインがもたらすマクロ経済への影響 (2022.07.22)

・2022.06.28 欧州議会 Think Tank メタバース：機会、リスク、政策への影響

・2022.04.05 SECが2022年度の審査強化項目を公表していますね。。。引き続きサイバーセキュリティも含まれています。。。(2022.03.31)

・2022.03.23 企業会計基準委員会意見募集暗号資産（資金決済法、金商法）の発行及び保有についての論点整理と投資性ICOの会計処理・開示についての取り扱い

・2022.02.21 金融安定理事会 (FSB) 「暗号資産による金融安定化リスクの評価」

・2021.04.14 Cloud Security Alliance 暗号資産交換セキュリティガイドライン

・2021.02.10 ENISA 暗号に関する2つの報告書「ポスト量子暗号：現状と量子緩和」と「暗号資産：デジタル通貨と分散型台帳技術の概要」

・2020.09.18 欧州議会暗号資産のリスクに関する報告書を発表、サイバー耐性とプライバシーを重要な関心事として強調

2023.12.02 14:17 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

全国銀行資金決済ネットワーク（全銀ネット）のシステム障害（３）

こんにちは、丸山満彦です。

「一般社団法人全国銀行資金決済ネットワーク」が運営する「全国銀行データ通信システム」[wikipedia] に不具合があり、2023.10.10の朝からシステムが止まり、2023.10.12の朝には復旧した件ですが、11月30日までに金融庁に報告しなさいという命令がでたので、その原因等について全銀システムが、システムを担当していたNTTデータさんと連名で発表していますね。。。

原因についても記載がありますが、ロードファイルを展開する作業領域が不足し、ファイルの一部が欠損し、正しく処理できずに終了したということのようです。

ロードファイルを作成する際に使用する４つのテーブルのうち、１つのテーブルのサイズを拡張しました。ロードファイルを生成するプログラムは一時的に確保する領域にまとめて４つのテーブルを展開する仕様となりますが、NTT データの開発プロセスにおける製造工程時に、各テーブルが個別に展開されるものと理解して、一時的に確保する領域の拡張を行いませんでした。

ということでヒューマンエラーですね。。。

今年の6月に発表した金融庁の金融機関のシステム障害に関する分析レポート でも、影響度はわかりませんが、障害の量という意味では、管理面の問題が1/3、ソフトウェア障害が1/3ということですから、気にすべきですね。。。

● 全国銀行資金決済ネットワーク

・2023.12.01 [PDF] 全国銀行データ通信システムの障害について [downloaded]

● NTT Data

・2023.12.01 全国銀行データ通信システムの障害について

・[PDF] 全国銀行データ通信システムの障害について [downloaded]

参考

金融庁

・2023.06.30 「金融機関のシステム障害に関する分析レポート」の公表について

・[PDF] 金融機関のシステム障害に関する分析レポート

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.08 NTT Data 全国銀行データ通信システムの障害に関する取り組みについて

・2023.10.19 全国銀行資金決済ネットワーク（全銀ネット）のシステム障害（２）

・2023.10.13 全国銀行資金決済ネットワーク（全銀ネット）のシステム障害

金融機関のシステム障害に関する分析レポート関連

・2023.07.07 金融庁「「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」の改訂（案）に対するパブリック・コメントの結果等の公表」及び「金融機関のシステム障害に関する分析レポート」 (2023.06.30)

・2022.07.05 金融庁「金融機関のITガバナンス等に関する調査結果レポート」及び「金融機関のシステム障害に関する分析レポート」

・2021.07.02 金融庁「金融機関のITガバナンス等に関する調査結果レポート」及び「金融機関のシステム障害に関する分析レポート」の公表について

2023.12.02 07:11 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

ランサムウェアグループが被害者のデータ漏洩に関する情報開示義務を怠ったとしてSECを提訴

こんにちは、丸山満彦です。

復号鍵が欲しければ、個人情報等の秘密データを漏洩されたくなければ、、、と脅し、そして今度は、「SECに提訴するぞ」と脅す...

なるほどですね。。。

今年の7月に発表されたSECの新しいルールでは、

重要であると判断したサイバーセキュリティインシデントをForm 8-Kの新しいItem1.05に開示し、インシデントの性質、範囲、時期、および登録企業に対する重要な影響または合理的に起こりうる重要な影響の重要な側面を説明する

ことが義務付けられていますね。。。そのForm 8-Kは

サイバーセキュリティインシデントが重要であると登録者が判断してから4営業日以内に提出

しなければなりませんね。ただし、

米国司法長官が、即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断し、そのような判断を書面で委員会に通知した場合は、開示を延期する

ことができますね。。。

ちなみに、ランサムウェアグループがSECに報告した画面ショットも合わせて記事にのっていますね。。。

ランサムウェアグループもあの手、この手で。。。ただ、今回のこの発表が本当なら、開示がより進むかもしれませんね(^^;;

・ランサムウェアグループ：Alhpv

・被害企業といわれているのは：MeridianLink

● DataBreaches.net

・2023.11.15 AlphV files an SEC complaint against MeridianLink for not disclosing a breach to the SEC (2)

● Security Week

・2023.11.30 Ransomware Group Files SEC Complaint Over Victim’s Failure to Disclose Data Breach

1_20231202061301

SECの新ルールについて...

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

案をだしている段階...

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案

その他...

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.07.11 US-GAOの報告書　サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

2023.12.02 06:05 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in ウイルス, in 法律 / 犯罪, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2023.12.01

米国カリフォルニアドラフト自動意思決定技術規制

こんにちは、丸山満彦です。

カリフォルニア州プライバシー保護局が、行動広告のオプトアウトを含む自動意思決定技術に関する規則案を発表したようです。。。

子供と従業員についてのプライバシーについても少し触れられていますね。。。

● California Privacy Protection Agency

・2023.11.27 A New Landmark for Consumer Control Over Their Personal Information: CPPA Proposes Regulatory Framework for Automated Decisionmaking Technology

A New Landmark for Consumer Control Over Their Personal Information: CPPA Proposes Regulatory Framework for Automated Decisionmaking Technology	消費者の個人情報管理に新たな一歩： CPPAが自動意思決定技術の規制枠組みを提案
Today, the California Privacy Protection Agency released draft automated decisionmaking technology (ADMT) regulations that define important new protections related to businesses’ use of these technologies. The proposed regulations would implement consumers’ right to opt out of, and access information about, businesses’ uses of ADMT, as provided for by the California Consumer Privacy Act (CCPA). The Agency Board will provide feedback on these proposed regulations at the December 8, 2023 board meeting, and the Agency expects to begin formal rulemaking next year.	本日、カリフォルニア州プライバシー保護局は、企業による自動意思決定技術（ADMT）の使用に関連する重要な新しい保護を定義する自動意思決定技術（ADMT）規制のドラフトを発表した。この規制案は、カリフォルニア州消費者プライバシー法（CCPA）に規定されているように、消費者がADMTの使用をオプトアウトし、企業の使用に関する情報にアクセスする権利を実施するものである。同庁理事会は、12月8日の理事会でこれらの規制案について意見を述べ、来年には正式なルール作りを開始する予定である。
“Once again, California is taking the lead to support privacy-protective innovation in the use of emerging technologies, including those that leverage artificial intelligence,” said Vinhcent Le, Member of the California Privacy Protection Agency’s Board and the New Rules Subcommittee that drafted the proposed regulations. “These draft regulations support the responsible use of automated decisionmaking while providing appropriate guardrails with respect to privacy, including employees’ and children’s privacy.”	「カリフォルニア州プライバシー保護庁の理事会メンバーであり、本規制案をドラフトした新規則小委員会のメンバーであるVinhcent Le氏は、「カリフォルニア州は、人工知能を活用した技術を含む、新たな技術の利用におけるプライバシー保護イノベーションを支援するために、再び率先して行動している。「これらのドラフト規制は、従業員や子供のプライバシーを含むプライバシーに関して適切なガードレールを提供しながら、自動意思決定の責任ある使用をサポートするものである。
“Automated decisionmaking technologies and artificial intelligence have the potential to transform key aspects of our lives. We’re proud that California is meeting the moment by giving consumers more control over these technologies,” said Ashkan Soltani, Executive Director of the California Privacy Protection Agency. “We thank staff and the New Rules Subcommittee for their incredible work on the draft regulations and look forward to receiving additional input from the Agency Board and the public as we move through the appropriate process.”	「自動意思決定技術と人工知能は、我々の生活の重要な側面を変革する可能性を秘めている。カリフォルニア州プライバシー保護局のアシュカン・ソルタニ事務局長は、「カリフォルニア州が、消費者がこれらの技術をよりコントロールできるようにすることで、今を迎えていることを誇りに思う。「我々はスタッフと新規則小委員会のドラフト規制に関する素晴らしい仕事に感謝し、適切なプロセスを進める中で、庁の理事会と一般市民からさらなる意見を受けることを楽しみにしている。
The draft regulations outline how the new privacy protections that Californians voted for in 2020 could be implemented. Specifically, the draft regulations propose requirements for businesses using ADMT in any of the following ways:	ドラフト規則は、カリフォルニア州民が2020年に投票した新しいプライバシー防御がどのように実施されるかを概説している。具体的には、ドラフト規則は、以下のいずれかの方法でADMTを使用する企業に対する要件を提案している：
・For decisions that tend to have the most significant impacts on consumers' lives. This would include, for example, decisions about their employment or compensation.	・消費者の生活に最も大きな影響を与える意思決定。これには、例えば、消費者の雇用や報酬に関する決定が含まれる。
・Profiling an employee, contractor, applicant, or student. This would include, for example, using a keystroke logger to analyze their performance, and tracking their location.	従業員、請負業者、応募者、または学生をプロファイリングする・こと。これには、例えば、キーストローク・ロガーを使用してパフォーマンスを分析したり、居場所を追跡したりすることが含まれる。
・Profiling consumers in publicly accessible places, such as shopping malls, medical offices, and stadiums. This would include, for example, using facial-recognition technology or automated emotion assessment to analyze consumers’ behavior.	・ショッピングモール、医療機関、スタジアムなど、公共のアクセス可能な場所にいる消費者をプロファイリングすること。これには、例えば、顔認識技術や自動感情評価を使用して消費者の行動を分析することが含まれる。
・Profiling a consumer for behavioral advertising. This would include, for example, evaluating consumers’ personal preferences and interests to display advertisements to them.	・行動広告のために消費者をプロファイリングする。これには、例えば、消費者の個人的な嗜好や関心を評価し、その消費者に広告を表示することが含まれる。
The draft also proposes potential options for additional consumer protections around the use of their personal information to train these technologies.	ドラフトはまた、これらの技術を訓練するための消費者の個人情報の使用に関して、消費者を追加的に保護するためのオプションの可能性を提案している。
For the above uses of ADMT, the draft regulations would provide consumers with the following protections:	上記のようなADMTの利用について、ドラフトは消費者に以下のような保護を提供するとしている：
・Businesses would be required to provide “Pre-use Notices” to inform consumers about how the business intends to use ADMT, so that the consumer can decide whether to opt-out or to proceed, and whether to access more information.	・事業者は、事業者がADMTをどのように利用しようとしているかについて消費者に通知する「利用前通知」を提供し、消費者がオプトアウトするか、続行するか、より多くの情報にアクセスするかどうかを決定できるようにすることが求められる。
・The ability to opt-out of the business’s use of ADMT (except in certain cases, such as to protect life and safety).	・事業者によるADMTの利用をオプトアウトできること（生命や安全を守るためなどの特定の場合を除く）。
・The ability to access more information about how the business used ADMT to make a decision about the consumer.	・事業者が消費者に関する意思決定を行うためにADMTをどのように使用したかについて、より多くの情報にアクセスする能力。
These draft requirements would work in tandem with risk assessment requirements that the Board is also considering at the December 8, 2023 board meeting. Together, these proposed frameworks can provide consumers with control over their personal information while ensuring that automated decisionmaking technologies, including those made from artificial intelligence, are used with privacy in mind and in design.	これらのドラフト要件は、理事会が2023年12月8日の理事会会合でも検討しているリスクアセスメント要件と連動することになる。これらの枠組み案を組み合わせることで、人工知能を含む自動意思決定技術がプライバシーを考慮し、設計された上で使用されることを保証しつつ、消費者に個人情報のコントロールを提供することができる。

・[PDF] DRAFT - AUTOMATED DECISIONMAKING TECHNOLOGY REGULATIONS

ドラフトの文面 ↓↓↓↓↓↓

» Continue reading

2023.12.01 06:06 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2023.11.30

公認会計士協会「循環取引に対応する内部統制に関する共同研究報告」（公開草案）

こんにちは、丸山満彦です。

日本公認会計士協会が、日本監査役協会、日本内部監査協会と協力して、「循環取引に対応する内部統制に関する共同研究報告」（公開草案）を公表し、意見募集をしていますね。。。

循環取引は、複数の組織が共謀して商品の転売や役務の提供を繰り返し、取引が存在するかのように仮装し、売上や、ある期間における利益を過大に計上することになり、適切な会計ではありませんね。。。

パターンとしては、報告書案では、

・スルー取引
自社が受けた注文について、物理的・機能的に付加価値の増加を伴わず他社へそのまま回し、帳簿上通過するだけの取引をいう。複数の企業が共謀して売上を水増しするために実施されることが多い。

・Ｕターン取引（回し取引）
商品・製品等が、最終的に起点となった企業に戻ってくる取引をいう。複数の企業を経由する間に手数料等が上乗せされた状態で、商品・製品等が起点となった企業へ還流される。還流している、すなわち、循環しているという意味で、狭義の循環取引ということがある。

・クロス取引（バーター取引）
複数の企業が互いに商品・製品等を販売し、当該相手方の商品・製品等を在庫として保有し合う、又はある企業が在庫せずに他の複数の企業に対し相互にスルーする取引をいう。取引相手と共謀して自社の商品・製品等を高い価格で販売する代わりに、実需に基づかない相手の商
品・製品等についても通常価格よりも上乗せした価格にて購入することで、互いに売上を良く見せようとすることが多い。

ただ、これが複雑なスキームでくまれていると、循環取引を見つけることが難しいので、監査上はしばしば問題になってきました。。。

私が会計士として監査をしていたのは、だいぶ前になりますが、それでも、食品関係、工事関係、コンピュータ関係の売買の循環取引を見つけたことがあり、ますから昔から多くあった話です。。。

では、どのような取引において循環取引がおこりやすいかというと、報告書案にあるように、モノが動かないのに売上が立つようなものは、確かに私がみたのもそういうのもありましたから、一つありますね。。。

《③ 循環取引のリスクが高い取引》

70．自社倉庫等を経由せずに販売する直送取引や、ある商流の間に入るだけの取引等、商流の上流からエンドユーザーへの納品が把握しづらい取引も現物の把握が困難であることや帳簿だけの取引となるため、循環取引のリスクが相対的に高いとされる取引形態の一つである。

71．また、担当者以外の知識や経験が少ないため関係者が制限される専門性の高い取引や、担当者以外の関係者が取引に関与する機会が著しく制限される秘匿性の高い取引等、一部の関係者のみで実行され他者の目に触れる機会が少ない取引も、循環取引のリスクが相対的に高いとされる取引形態である。

発覚の経緯が事例として載っていますが、、、

税務調査の過程で、一部取引について納品の事実が確認できない疑義があるとの指摘を受けたことから調査委員会を設置し、調査の結果、発覚に至った。
多額の売掛金の滞留が存在していることに対して親会社が内部監査を実施したところ、不適切な売上計上が発見されたことから調査委員会を設置し、調査の結果、発覚に至った。
当時担当していた会計監査人に対して、取引先より通報が入ったことから調査委員会が設置され、調査の結果、発覚に至った。

もっと、事例をたくさん記載し、発覚の経緯についても多くの種類を載せるとよいと思います。。。

ちなみに、私が、ものが動かない直取引のようなもので、発見の経緯は、

・ある部門の売上、利益率の期間比較で、直近２年で売上が急に増えたにも関わらず、利益率が急激に下がっていた

というところからですね。。。売上が多い企業と仕入れが多い企業を調べ、その期間推移を作りました。そして、それらが特定の部署で行われていたので、サンプル調査という程で、ヒアリングに行き、関連書類（契約書等）を入手し、いろいろと確認したところ、ほぼスルー取引ということがわかりました。。。内部監査部門、監査役も交えて調査をした結果、売上先と仕入先が資本関係はないものの、同一グループの企業でしたね。。。

推移を見て分かったのは、分析期間中に循環取引が生じたからですが、それでなくても、部署ごとサービスごとの売上、利益率の比較をすればわかりやすいかもしれません。まがモノがある場合は、在庫回転率なども参考になるかもしれませんね。。。

循環ではないスルー取引の場合は、売買取引に仮装した金融取引（運転資金の貸付）という場合もありますね。。。これも、売上高と利益率の推移等をみれば発見しました。。。

データ監査がやりやすいので、そういうのを活用するのは重要かもしれませんね。。。

AIを使った循環取引などの不正会計を見つけるという取り組みも監査法人単位では進んでいると思うので、AIの活用も含めて監査の高度化というのは重要なテーマになりますね。。。

● 日本公認会計士協会

・2023.11.27 「循環取引に対応する内部統制に関する共同研究報告」（公開草案）の公表について

・[PDF]

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.09.05 証券取引等監視委員会開示検査事例集（令和３事務年度）

・2020.03.13 ネットワンシステムズ「納品実体のない取引に関する調査　最終報告書（開示版）」

・2020.01.28 循環取引

・2011.10.24 公認会計士協会確定ＩＴ委員会研究報告「ＩＴに対応した監査手続事例～事例で学ぶよくわかるＩＴに対応した監査～」

・2011.07.10 公認会計士協会パブコメＩＴ委員会研究報告「ＩＴに対応した監査手続事例～事例で学ぶよくわかるＩＴに対応した監査～」

・2008.07.28 監査提言集から読み取る内部統制の文書化の限界・・・

・2008.07.22 JICPA 監査提言集

・2007.07.15 東証加ト吉の改善報告書

・2007.04.25 加ト吉「不適切な取引行為に関する報告等」

2023.11.30 06:13 in 法律 / 犯罪, in 監査 / 認証, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

米国取引委員会 AIを利用した音声クローンの害を防ぐためアイデア募集賞金総額35,000ドル（約500万円） (2023.11.17)

こんにちは、丸山満彦です。

連邦取引委員会が、AIを利用した音声クローンの害を防ぐためのアイデアを募集していますね。。。

日本でもオレオレ詐欺は問題になっていますよね（警察庁特殊詐欺認知・検挙状況等について）。。。

米国では、この先AIを利用した音声クローンによりさらにオレオレ詐欺被害が増えるとみて、その対策のためのアイデアを国民から広く募集していますね。。。賞金付きで。。。

賞金は、優勝 25,000ドル、準優勝 4,000ドル、佳作 2,000ドル（3名まで）だそうです。

審査基準は、

管理可能性と実行可能性： そのアイデアが実際にどの程度機能し、管理可能で実行可能か。
企業の責任を高め、消費者の負担を軽減する： 川上の関係者が実施する場合、そのアイデアはどのように企業に責任と義務を負わせ、消費者の負担を最小化するか。責任と義務の割り当てが、関連する主体の資源、情報、権力に見合うようにするにはどうすればよいか。リスクを発生源で軽減し、あるいは被害が発生する前に戦略的に上流に介入するにはどうすればよいか。消費者による実施が求められる場合、消費者にとってどの程度利用しやすいか。
レジリエンス： その考え方は、急速な技術変化やビジネス慣行の進化に対して、どのようにレジリエンシーがあるか。音声クローン技術が改善された場合、そのアプローチはどの程度容易に維持・適応可能か。そのアイデアは、それ自体がもたらす可能性のある追加的な安全・セキュリティリスクをどのように回避・軽減するかを含む。

日本政府でもこのような懸賞付きのチャレンジをやっていますが、もっと活用してもよいかもですね。。。金額もね。。。

● Federal Trade Commission: FTC

・2023.11.17 The FTC Voice Cloning Challenge

The FTC Voice Cloning Challenge	FTCの音声クローニング・チャレンジ
Voice cloning technology is becoming increasing sophisticated due to improving text-to-speech AI. The technology offers promise, including medical assistance for people who may have lost their voices due to accident or illness. It also poses significant risk: families and small businesses can be targeted with fraudulent extortion scams; creative professionals, such as voice artists, can have their voices appropriated in ways that threaten their livelihoods and deceive the public.	音声合成AIの改善により、音声クローン技術はますます洗練されてきている。この技術は、事故や病気で声を失った人々の医療支援など、将来性のあるものである。家族や中小企業が詐欺的な恐喝詐欺の標的にされたり、音声アーティストのようなクリエイティブな専門家が、彼らの生活を脅かし、公衆を欺くような方法で声を流用されたりする可能性がある。
The FTC is running an exploratory challenge to encourage the development of multidisciplinary approaches—from products to policies to procedures—aimed at protecting consumers from AI-enabled voice cloning harms, such as fraud and the broader misuse of biometric data and creative content. The goal of the Challenge is to foster breakthrough ideas on preventing, monitoring, and evaluating malicious voice cloning.	FTCは、詐欺や生体データおよびクリエイティブ・コンテンツの広範な悪用など、AIを利用した音声クローニングの被害から消費者を保護することを目的とした、製品から政策、手続きに至るまで、学際的なアプローチの開発を奨励するため、探索的なチャレンジを実施している。このチャレンジの目標は、悪意のある音声クローニングの防止、監視、評価に関する画期的なアイデアを育成することである。
This effort may help push forward ideas to mitigate risks upstream—shielding consumers, creative professionals, and small businesses against the harms of voice cloning before the harm reaches a consumer. It also may help advance ideas to mitigate risks at the consumer level. And if viable ideas do not emerge, this will send a critical and early warning to policymakers that they should consider stricter limits on the use of this technology, given the challenge in preventing harmful development of applications in the marketplace.	この取り組みは、消費者に被害が及ぶ前に、消費者、クリエイティブな専門家、中小企業を音声クローニングの被害から守り、上流のリスクを軽減するアイデアを推進するのに役立つだろう。また、消費者レベルでリスクを軽減するアイデアを前進させるのにも役立つだろう。そして、もし実行可能なアイディアが生まれなかった場合、市場における有害なアプリケーションの開発を防ぐという課題を考えると、この技術の使用に対するより厳しい制限を検討すべきであるという重大かつ早期の警告を政策立案者に送ることになる。
The Voice Cloning Challenge is one part of a larger strategy. The risks posed by voice cloning and other AI technology cannot be addressed by technology alone. It is also clear that policymakers cannot count on self-regulation alone to protect the public. At the FTC, we will be using all of our tools—including enforcement, rulemaking, and public challenges like this one—to ensure that the promise of AI can be realized for the benefit, rather than to the detriment of, consumers and fair competition.	音声クローニング・チャレンジは、より大きな戦略の一部である。音声クローニングやその他のAI技術がもたらすリスクは、技術だけでは対処できない。また、政策立案者が国民を保護するために、自主規制だけに頼ることができないことも明らかである。FTCでは、エンフォースメント、ルールメイキング、そして今回のようなパブリック・チャレンジなど、あらゆる手段を駆使して、AIの有望性が消費者や公正な競争を害することなく、むしろ利益のために実現されることを保証していく。
Submit to the Challenge	チャレンジに応募する
Submissions should contain these components:	提出物には以下の要素を含めること：
An Abstract—an overview / summary of your Submission; no more than one page;	アブストラクト-提出物の概要／要約；
A Detailed Explanation—a detailed written description of your Submission that enables Judges to evaluate how it meets the assessment criteria set out in the Challenge Rules, no more than ten pages;	詳細な説明-提出物がチャレンジルールに規定された評価基準をどのように満たしているかを審査員が評価できるような、提出物の詳細な書面による説明；
Optional: A Video describing and/or demonstrating how your Submission would function.	任意：提出物の機能を説明および/または実演するビデオ。
The online submission portal will be open here from January 2, 2024 to January 12, 2024.	オンライン提出ポータルは、2024年1月2日から2024年1月12日まで、ここで開設される。
Subscribe for Updates	アップデートを購読する
Timeline	タイムライン
November 16, 2023: Voice Cloning Challenge launch—participants can start developing their ideas!	2023年11月16日音声クローニング・チャレンジ開始-参加者はアイデアの開発を開始できる！
January 2 to 12, 2024: The online submission portal will be open on this page.	2024年1月2日から12日まで：オンライン投稿ポータルがこのページにオープンする。
January 12, 2024 at 8:00pm EST: Challenge closes.	2024年1月12日午後8時（東部標準時）：チャレンジは終了する。
Early 2024: Announcement of challenge results.	2024年初頭チャレンジの結果を発表する。
Scope & Judging Criteria	範囲と審査基準
The Voice Cloning Challenge is open to multidisciplinary submissions that address fraudulent and/or unauthorized use of AI-based voice cloning systems. Submissions will be judged on criteria in three areas:	音声クローニング・チャレンジは、AIベースの音声クローニング・システムの不正および/または無許可の使用に対処する学際的な提出物を対象とする。提出物は3つの分野の基準で審査される：
Administrability and Feasibility to Execute: How well might the idea work in practice and be administrable and feasible to execute?	管理可能性と実行可能性：そのアイデアが実際にどの程度機能し、管理可能で実行可能か。
Increased Company Responsibility, Reduced Consumer Burden: If implemented by upstream actors, how does the idea place liability and responsibility on companies and minimize burden on consumers? How do we ensure that the assignment of liability and responsibility matches the resources, information, and power of the relevant actors? How does this mitigate risks at their source or otherwise strategically intervene upstream before harms occur? If required to be implemented by consumers, how easy is it for consumers to use?	企業の責任を高め、消費者の負担を軽減する：川上の関係者が実施する場合、そのアイデアはどのように企業に責任と義務を負わせ、消費者の負担を最小化するか。責任と義務の割り当てが、関連する主体の資源、情報、権力に見合うようにするにはどうすればよいか。リスクを発生源で軽減し、あるいは被害が発生する前に戦略的に上流に介入するにはどうすればよいか。消費者による実施が求められる場合、消費者にとってどの程度利用しやすいか。
Resilience: How is the idea resilient to rapid technological change and evolving business practices? How easily can the approach be sustained and adapted as voice cloning technology improves, including how the idea will avoid or mitigate any additional safety and security risks that it itself might introduce?	レジリエンス：その考え方は、急速な技術変化やビジネス慣行の進化に対して、どのようにレジリエンシーがあるか。音声クローン技術が改善された場合、そのアプローチはどの程度容易に維持・適応可能か。そのアイデアは、それ自体がもたらす可能性のある追加的な安全・セキュリティリスクをどのように回避・軽減するかを含む。

プレス

・2023.11.17 FTC Announces Exploratory Challenge to Prevent the Harms of AI-enabled Voice Cloning

FTC Announces Exploratory Challenge to Prevent the Harms of AI-enabled Voice Cloning	FTCは、AIを利用した音声クローニングの害を防ぐための探索的チャレンジを発表した。
Voice Cloning Challenge seeks submissions that can help protect consumers from the use of AI-enabled voice cloning for fraud and other harms	音声クローニング・チャレンジでは、AIを利用した音声クローニングによる詐欺やその他の被害から消費者を保護するのに役立つ投稿を募集している。
The Federal Trade Commission is announcing the Voice Cloning Challenge to help promote the development of ideas to protect consumers from the misuse of artificial intelligence-enabled voice cloning for fraud and other harms.	米連邦取引委員会は、人工知能を利用した音声クローニングによる詐欺などの悪用から消費者を守るアイデアの開発を促進するため、「音声クローニング・チャレンジ」を発表する。
"We will use every tool to prevent harm to the public stemming from abuses of voice cloning technology,” said Samuel Levine, Director of the FTC’s Bureau of Consumer Protection. “We want to address harms before they hit the marketplace, and enforce the law when they do.”	FTC消費者保護局のサミュエル・レバイン局長は、「我々は、音声クローニング技術の悪用に起因する一般消費者への危害を防止するため、あらゆる手段を駆使する」と述べた。「市場に出回る前に被害に対処し、被害が発生した際には法律を執行したい。
“This exploratory challenge leverages one of our many tools at the FTC,” added Stephanie T. Nguyen, the FTC’s Chief Technology Officer. “The challenge is crafted in a way that ensures companies are responsible for the first- and second-order effects of the products they release.”	「FTCの最高技術責任者（CTO）であるステファニー・T・グエンは、次のように付け加えた。「この挑戦状は、企業が発売する製品の一次的、二次的影響に責任を持つことを確実にするように作られている。
Voice cloning technology has grown more sophisticated as text-to-speech AI technology has improved. The technology holds promise for consumers, such as medical assistance for those who may have lost their voices due to accident or illness. At the same time, the FTC has raised concerns about ways that voice cloning technology could be used to harm consumers. For example, it could make it easier for scammers to impersonate family, friends, or business executives; it could also enable fraudsters to deceive consumers by appropriating the voices of creative professionals. Earlier this year, the FTC warned consumers about the use of voice cloning to impersonate others to try to get consumers to give scammers money or personal information. And the FTC held a workshop in early 2020 that examined various issues related to voice cloning technology.	音声合成AIの技術が改善されるにつれて、音声クローン技術はより洗練されてきた。この技術は、事故や病気で声を失った人の医療補助など、消費者にとって有望なものだ。同時にFTCは、音声クローン技術が消費者に危害を加えるために使用される可能性について懸念を示している。例えば、詐欺師が家族や友人、企業幹部になりすますことが容易になる可能性がある。また、詐欺師がクリエイティブな専門家の声を流用することで消費者を欺くことが可能になる可能性もある。今年初め、FTCは、他人になりすまして詐欺師に金銭や個人情報を提供させようとする音声クローニングの利用について消費者に警告した。また、FTCは2020年初頭にワークショップを開催し、音声クローン技術に関する様々な問題を検討した。
The FTC has and will continue to use its enforcement authority to target companies that misuse technology to harm consumers and competition. The challenge the FTC is launching today is focused on promoting the development of breakthrough ideas aimed at preventing, monitoring, and evaluating malicious use of voice cloning technology, whether it is a product, policy, or procedure.	FTCは、これまでも、そしてこれからも、消費者や競争に害を与えるために技術を悪用する企業を標的にするために、その執行権限を行使していく。FTCが本日開始するチャレンジは、製品、政策、手順を問わず、音声クローニング技術の悪意ある使用を防止、監視、評価することを目的とした画期的なアイデアの開発を促進することに重点を置いている。
Challenge submissions must address at least one of these intervention points:	チャレンジの提出は、これらの介入ポイントのうち少なくとも1つに対処する必要がある：
・Prevention or authentication: It must provide a way to limit the use or application of voice cloning software by unauthorized users;	・予防または本人認証：権限のないユーザーによる音声クローニングソフトウェアの使用または適用を制限する方法を提供しなければならない；
・Real-time detection or monitoring: It must provide a way to detect cloned voices or the use of voice cloning technology; or	・リアルタイム検知または監視：リアルタイム検知または監視：クローン音声または音声クローン技術の使用を検知する方法を提供しなければならない。
・Post-use evaluation: It must provide a way to check if an audio clip contains cloned voices.	・後からの評価：オーディオクリップにクローン音声が含まれているかどうかをチェックする方法を提供すること。
The FTC will accept submissions online from January 2 to January 12, 2024. Information on how to submit a proposal for the challenge as well as complete challenge rules can be found on the challenge website. The challenge will offer $25,000 to the winner.	FTCは1月2日から2024年1月12日までオンラインで提出を受け付ける。このチャレンジへの提案書の提出方法や、チャレンジの完全なルールに関する情報は、チャレンジのウェブサイトに掲載されている。このチャレンジでは、優勝者に25,000ドルが提供される。
The Voice Cloning Challenge is the FTC fifth challenge issued pursuant to the America Competes act. The goal of these challenges is to spur the development of tools to address consumer problems, including one in 2012 aimed at tackling robocalls and a 2017 challenge focused on addressing security vulnerabilities related to Internet of Things devices.	音声クローニング・チャレンジは、アメリカ競争法に基づきFTCが実施する5番目のチャレンジである。これらのチャレンジの目的は、消費者問題に対処するツールの開発に拍車をかけることであり、2012年にはロボコールへの対処を目的としたチャレンジ、2017年にはモノのインターネット機器に関連するセキュリティ脆弱性への対処に焦点を当てたチャレンジが実施されている。
The lead FTC staffers on this matter are James Evans and Christine Barker from the FTC’s Bureau of Consumer Protection and Amritha Jayanti from the FTC’s Office of Technology.	この件に関するFTCの主任スタッフは、FTC消費者保護局のジェームズ・エバンスとクリスティン・バーカー、およびFTC技術局のアムリタ・ジャヤンティである。
The Federal Trade Commission works to promote competition and protect and educate consumers. Learn more about consumer topics at [web], or report fraud, scams, and bad business practices at [web]. Follow the FTC on social media, read consumer alerts and the business blog, and sign up to get the latest FTC news and alerts.	連邦取引委員会は競争を促進し、消費者を保護・教育するために活動している。消費者に関するトピックについては[web], で、詐欺や悪質商法については[web] で報告する。ソーシャルメディアでFTCをフォローし、消費者警告やビジネスブログを読み、FTCの最新ニュースや警告を受け取るために登録する。

・ビジネスブログ

・2023.11.17 FTC announces challenge to prevent harms of AI-enabled voice cloning

FTC announces challenge to prevent harms of AI-enabled voice cloning	FTCは、AIを利用した音声クローンの害を防ぐための挑戦を発表した。
As text-to-speech AI has improved, so has voice cloning technology. The prospects could be promising, but from the FTC’s perspective, voice cloning also presents serious consumer protection concerns. The FTC is committed to using a wide range of tools to prevent harm to the public. That’s the reason for the just-announced Voice Cloning Challenge.	音声合成AIの改善とともに、音声クローン技術も進歩している。防御は有望かもしれないが、FTCの観点からすると、音声クローニングは深刻な消費者保護の懸念をもたらしている。FTCは、公衆への危害を防止するために幅広い手段を用いることを約束する。それが、今回発表された「音声クローニング・チャレンジ」の理由である。
While voice cloning technology holds out hope for some people – for example, those who have lost their voices to accident or illness – the FTC has called attention to the ways that fraudsters are adding AI to their arsenal of artifice. You’ve probably heard about family emergency scams where a person gets a call supposedly from a panicked relative who’s been jailed or hospitalized and needs money immediately. Until recently, scammers had to come up with excuses for why the voice might not sound quite right. But enter artificial intelligence and the crook on the other end could use voice cloning technology to impersonate the family member.	音声クローン技術は、例えば事故や病気で声を失った人々など、一部の人々には希望をもたらすものだが、FTCは詐欺師がAIを術中にはめる方法に注意を喚起している。刑務所や入院でパニックに陥った親族からと思われる電話がかかってきて、すぐにお金が必要だという家族の緊急詐欺について聞いたことがあるだろう。つい最近まで、詐欺師はその声が正しくないかもしれないという言い訳を考え出さなければならなかった。しかし、人工知能が登場すれば、詐欺師は音声クローン技術を使って家族になりすますことができるようになる。
This will be fifth challenge the FTC has sponsored under the America Competes Act, which allows agencies to create challenges to promote technology development and innovation. For example, other challenges spurred the creation of new tools to reduce illegal robocalls and address security vulnerabilities related to Internet of Things devices. Submit the best approach to protect people from the harms caused by the misuse of AI-enabled voice cloning – everything from imposter fraud to the misappropriation of someone’s voice to create music. The top prize for the Voice Cloning Challenge is $25,000. Read the FTC Voice Cloning Challenge page for more information about participating.	これはFTCがアメリカ競争法の下で主催する5つ目のチャレンジとなる。例えば、他のチャレンジでは、違法なロボコールを減らすための新しいツールの作成や、IoT機器に関するセキュリティの脆弱性に対処することに拍車がかかった。AIを利用した音声クローニングの悪用によって引き起こされる被害（偽者詐欺から音楽制作のための誰かの声の流用まで）から人々を守るための最善のアプローチを提出する。ボイス・クローニング・チャレンジの最高賞金は25,000ドルである。参加についての詳細は、FTC音声クローニング・チャレンジのページを参照のこと。
We’ll start accepting submissions on January 2, 2024. But now is the time to get the genius gears cranking to consider potential solutions at various intervention points, including:	応募の受付は2024年1月2日から開始する。しかし、今こそ天才的なギアを回転させ、以下のような様々な介入ポイントにおける潜在的な解決策を検討する時である：
・Prevention or authentication, including limiting the use of voice cloning software to authorized users;	・音声クローニング・ソフトウェアの使用を認可されたユーザーに限定することを含む、予防または本人認証；
・Detection and monitoring to alert consumers if their voice has been cloned without their knowledge or if they’re speaking to a cloned voice, and/or to block phone calls using cloned voices; and	・自分の声が知らないうちにクローン化されていた場合、あるいはクローン化された声と話している場合に消費者に警告を発する検知と監視、および／またはクローン化された声を使った電話をブロックする。
・Evaluation resources, systems, or tools that help consumers or businesses check if audio clips contain cloned voices.	・音声クリップにクローン音声が含まれているかどうかを消費者や企業が確認するのに役立つ評価リソース、システム、ツール。
Those are just a few possibilities, but to quote Thomas Edison, “There’s a way to do it better. Now find it.”	これらはいくつかの可能性に過ぎないが、トーマス・エジソンの言葉を借りれば、「もっとうまくやる方法がある。さあ、それを見つけよう。

詐欺師が緊急事態を装ってお金を盗む

・Scammers Use Fake Emergencies To Steal Your Money

詐欺師はAIを悪用して「家族が大変！」というやり方をより巧妙にする

・2023.03.20 Scammers use AI to enhance their family emergency schemes

2023.11.30 05:15 in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2023.11.29

米国国防総省 AI導入戦略 (2023.11.02)

こんにちは、丸山満彦です。

米国の国防総省が責任あるAIの利用という方針に基づいて、AIの導入戦略について発表していましたね。。。

軍事領域でAIをどのように活用するのか？責任あるAIの利用、AI倫理とかを考えた場合に、境界線をどこにおくのか難しい話ですよね。。。

2月に国務省が発表した「人工知能と自律システムの責任ある軍事利用に関する政治宣言」も参考に...

● U.S. Department of Defense

プレス

・2023.11.02 Deputy Secretary of Defense Kathleen Hicks Announces Publication of Data, Analytics and AI Adoption Strategy

Deputy Secretary of Defense Kathleen Hicks Announces Publication of Data, Analytics and AI Adoption Strategy	キャスリーン・ヒックス国防副長官、データ、アナリティクス、AI導入戦略の公表を発表
Deputy Secretary of Defense Kathleen Hicks announced the release of the 2023 DOD Data, Analytics, and AI Adoption Strategy. The document was developed by the Chief Digital and AI Office (CDAO) and unifies previous strategic guidance to scale advanced capabilities across the enterprise. The announcement was made today during a press event hosted by Deputy Secretary Hicks on 'The State of AI in the Department of Defense.'	キャスリーン・ヒックス国防副長官は、「2023年国防総省データ・分析・AI導入戦略」を発表した。この文書はChief Digital and AI Office (CDAO)によって作成され、エンタープライズ全体に高度な能力を拡大するためのこれまでの戦略的指針を統一したものである。この発表は本日、ヒックス副長官主催の『国防総省におけるAIの現状』に関するプレスイベントで行われた。
"We've worked tirelessly, for over a decade, to be a global leader in the fast and responsible development and use of AI technologies in the military sphere, creating policies appropriate for their specific uses." said Deputy Secretary Hicks. "As we've focused on integrating AI into our operations responsibly and at speed, our main reason for doing so has been straightforward: because it gives us even better decision advantage than we already have today."	「ヒックス副長官は、「われわれは10年以上にわたって、軍事分野におけるAI技術の迅速かつ責任ある開発と利用において世界的なリーダーとなるべく、その特定の用途に適した政策を策定し、たゆまぬ努力を続けてきた。私たちは、責任を持って迅速にAIを作戦に組み込むことに重点を置いてきたが、その主な理由は単純明快だ。"AIは、私たちに現在よりもさらに優れた意思決定の優位性を与えてくれるからだ"
The first DOD AI Strategy, published in 2018, and revised DOD Data Strategy, published in 2020, are two foundational documents that matured the Department's data-centric structures to increase the efficacy of fielding modern AI-enabled capabilities.	2018年に発表された最初のDOD AI戦略と、2020年に発表された改訂版DODデータ戦略は、最新のAI対応能力の実戦投入の有効性を高めるために、国防総省のデータ中心構造を成熟させた2つの基礎文書である。
Since these strategies were published, industry has produced tools, platforms, and services, enabling effective, decentralized data management, and analytics and AI development. This updated 2023 Strategy focuses on how the Department will accelerate adoption of data, analytics and AI in a manner that is repeatable by all DoD Components.	これらの戦略が発表されて以来、産業界はツール、プラットフォーム、サービスを生み出し、効果的で分散化されたデータ管理、アナリティクス、AI開発を可能にしてきた。この更新された2023年戦略は、国防総省がデータ、アナリティクス、AIの採用を、すべての国防総省構成機関によって再現可能な方法でどのように加速させるかに焦点を当てている。
"Accelerating the adoption of advanced data, analytics, and artificial intelligence technologies presents an unprecedented opportunity to equip Department leaders, at all levels, with the data they need, to make better decisions faster, from the boardroom to the battlefield," said the Chief Digital and AI Officer, Craig Martell. "Our strategic approach prioritizes an agile approach to adoption by focusing on the fundamentals of speed, agility, responsibility, and learning."	「高度なデータ、アナリティクス、人工知能技術の採用を加速することは、国防総省のあらゆるレベルの指導者が、役員室から戦場まで、より良い意思決定をより迅速に行うために必要なデータを装備する、かつてない機会を提供する」と、クレイグ・マーテル最高デジタル・AI担当官は述べた。「我々の戦略的アプローチは、スピード、敏捷性、責任、学習という基本に焦点を当てることで、導入への機敏なアプローチを優先する。
The CDAO worked closely with offices across the DoD to develop the 2023 Data, Analytics, and AI Adoption Strategy. Implementation will ensure that Department has stronger alignment and synchronization to scale advanced capabilities for use across the enterprise.	CDAOは国防総省の各局と緊密に連携し、2023年データ・分析・AI導入戦略を策定した。この戦略の実施により、国防総省はエンタープライズ全体で利用できる高度な能力を拡大するため、より強力な連携と同期を確保することになる。
The CDAO became operational in June 2022 and is dedicated to integrating and optimizing artificial intelligence capabilities across DOD. The office is responsible for accelerating DOD's adoption of data, analytics, and AI, enabling the Department's digital infrastructure and policy adoption to deliver scalable AI-driven solutions for enterprise and joint use cases, safeguarding the nation against current and emerging threats	CDAOは2022年6月に運用を開始し、国防総省全体の人工知能能力の統合と最適化に専念している。CDAOはDODのデータ、アナリティクス、AIの採用を加速させ、DODのデジタル・インフラと政策の採用を可能にし、エンタープライズと共同使用のケースに拡張可能なAI主導のソリューションを提供し、現在および新たな脅威から国家を守る責任を負う。

・[PDF] 2023 Data, Analytics and Artificial Intelligence Adoption Strategy

・[PDF] 2023 Data, Analytics and Artificial Intelligence Adoption Strategy Fact Sheet

Strateging Goal

DOD AI Hierarchy of Needs（国防総省のAIニーズの階層構造）

ニュース

・2023.11.02 DOD Releases AI Adoption Strategy

DOD Releases AI Adoption Strategy	国防総省がAI導入戦略を発表
The Defense Department today released its strategy to accelerate the adoption of advanced artificial intelligence capabilities to ensure U.S. warfighters maintain decision superiority on the battlefield for years to come.	国防総省は本日、米国の戦闘員が今後何年にもわたって戦場での意思決定の優位性を維持できるよう、高度な人工知能能力の採用を加速するための戦略を発表した。
The Pentagon's 2023 Data, Analytics and Artificial Intelligence Adoption Strategy builds upon years of DOD leadership in the development of AI and further solidifies the United States' competitive advantage in fielding the emerging technology, defense officials said.	国防総省の2023年データ・分析・人工知能導入戦略は、AIの開発における国防総省の長年にわたるリーダーシップに基づくものであり、新たな技術の導入における米国の競争上の優位性をさらに強固なものにするものである、と国防当局者は述べた。
"As we focused on integrating AI into our operations responsibly and at speed, our main reason for doing so has been straight forward: because it improves our decision advantage," Deputy Defense Secretary Kathleen Hicks said while unveiling the strategy at the Pentagon.	国防総省のキャスリーン・ヒックス副長官は、次のように述べた。「国防総省でこの戦略を発表する際に、われわれは、AIをわれわれの作戦に責任を持って迅速に統合することに重点を置いているが、その主な理由は単純明快だ。」
"From the standpoint of deterring and defending against aggression, AI-enabled systems can help accelerate the speed of commanders' decisions and improve the quality and accuracy of those decisions, which can be decisive in deterring a fight and winning in a fight," she said.	「侵略の抑止と防御の観点から、AI対応システムは指揮官の決断のスピードを速め、決断の質と精度を改善するのに役立つ、これは、戦闘を抑止し、戦闘に勝利する上で決定的なものとなりうるからである。」
The latest blueprint, which was developed by the Chief Digital and AI Office, builds upon and supersedes the 2018 DOD AI Strategy and revised DOD Data Strategy, published in 2020, which have laid the groundwork for the department's approach to fielding AI-enabled capabilities.	チーフ・デジタル・AIオフィスが策定した最新の青写真は、AI対応能力の実戦配備に向けた同省のアプローチの基礎を築いた、2020年に発表された2018年のDOD AI戦略と改訂版DODデータ戦略を基礎とし、それに取って代わるものだ。
The new document aims to provide a foundation from which the DOD can continue to leverage emerging AI capabilities well into the future.	この新しい文書は、DODが将来にわたって新たなAI能力を活用し続けるための基盤を提供することを目的としている。
"Technologies evolve. Things are going to change next week, next year, next decade. And what wins today might not win tomorrow," said DOD Chief Digital and AI Officer Craig Martell.	「テクノロジーは進化する。テクノロジーは進化する。そして、今日勝つものが明日勝つとは限らない」と、DODのクレイグ・マーテル最高デジタル・AI担当官は言う。
"Rather than identify a handful of AI-enabled warfighting capabilities that will beat our adversaries, our strategy outlines the approach to strengthening the organizational environment within which our people can continuously deploy data analytics and AI capabilities for enduring decision advantage," he said.	「我々の戦略は、敵に打ち勝つ一握りのAI対応戦闘能力を特定するのではなく、永続的な意思決定の優位性のためにデータ分析とAI能力を継続的に展開できる組織環境を強化するためのアプローチを概説している。
The strategy prescribes an agile approach to AI development and application, emphasizing speed of delivery and adoption at scale leading to five specific decision advantage outcomes:	この戦略では、AIの開発と応用に対するアジャイル・アプローチを規定し、5つの具体的な意思決定の優位性につながる、提供のスピードと規模での採用を強調している：
・Superior battlespace awareness and understanding	・優れた戦場認識と理解
・Adaptive force planning and application	・適応的な戦力計画と適用
・Fast, precise and resilient kill chains	・迅速、正確かつレジリエンスに優れたキルチェーン
・Resilient sustainment support	・レジリエンス・サステインメント・サポート
・Efficient enterprise business operations	・エンタープライズ業務の効率化
The blueprint also trains the department's focus on several data, analytics and AI-related goals:	青写真はまた、データ、アナリティクス、AIに関連するいくつかの目標に重点を置いている：
・Invest in interoperable, federated infrastructure	・相互運用可能な連携インフラへの投資
・Advance the data, analytics and AI ecosystem	・データ、アナリティクス、AIのエコシステムを推進する
・Expand digital talent management	・デジタル人材管理の拡大
・Improve foundational data management	・基盤となるデータ管理の改善
・Deliver capabilities for the enterprise business and joint warfighting impact	・エンタープライズビジネスと共同戦力のための能力を提供する。
・Strengthen governance and remove policy barriers	・ガバナンスを強化し、政策の障壁を取り除く
Taken together, those goals will support the "DOD AI Hierarchy of Needs" which the strategy defines as: quality data, governance, insightful analytics and metrics, assurance and responsible AI.	これらの目標は、「DOD AI Hierarchy of Needs（国防総省のAIニーズの階層構造）」をサポートするもので、同戦略では、質の高いデータ、ガバナンス、洞察に満ちたアナリティクスと測定基準、保証、責任あるAIと定義している。
Spotlight: Science & Tech	スポットライト科学技術
In unveiling the strategy, Hicks emphasized the Pentagon's commitment to safety and responsibility while forging the AI frontier.	この戦略を発表したヒックス氏は、AIのフロンティアを開拓する一方で、安全性と責任に対する国防総省のコミットメントを強調した。
"We've worked tirelessly for over a decade to be a global leader in the in the fast and responsible development and use of AI technologies in the military sphere, creating policies appropriate for their specific use," Hicks said. "Safety is critical because unsafe systems are ineffective systems."	「我々は、軍事分野におけるAI技術の迅速かつ責任ある開発と使用におけるグローバルリーダーとなるため、10年以上たゆまぬ努力を続けてきた。「安全でないシステムは効果のないシステムであるため、安全性は非常に重要である。
In January, the Defense Department updated its 2012 directive that governs the responsible development of autonomous weapon systems to the standards aligned with the advances in artificial intelligence.	国防総省は1月、自律型兵器システムの責任ある開発をガバナンスする2012年の指令を、人工知能の進歩に沿った標準に更新した。
The U.S. has also introduced a political declaration on the responsible military use of artificial intelligence, which further seeks to codify norms for the responsible use of the technology.	米国はまた、人工知能の責任ある軍事利用に関する政治宣言を提出し、人工知能技術の責任ある利用に関する規範をさらに成文化しようとしている。
Hicks said the U.S. will continue to lead in the responsible and ethical use of AI, while remaining mindful of the potential dangers associated with the technology.	ヒックス氏は、米国は人工知能に関連する潜在的な危険性に留意しながらも、責任ある倫理的な人工知能の使用をリードしていくと述べた。
Spotlight: Engineering in the DOD	スポットライト国防総省におけるエンジニアリング
"By putting our values first and playing to our strengths, the greatest of which is our people, we've taken a responsible approach to AI that will ensure America continues to come out ahead," she said. "Meanwhile, as commercial tech companies and others continue to push forward the frontiers of AI, we're making sure we stay at the cutting edge with foresight, responsibility and a deep understanding of the broader implications for our nation."	「我々の価値観を最優先し、我々の強みを発揮することで、我々の最大の強みは人材であり、我々はAIに対して責任あるアプローチをとってきた。「一方、営利目的のハイテク企業などがAIの最前線を押し進め続ける中、我々は、先見性、責任感、そして我が国に対するより広範な影響に対する深い理解をもって、最先端に留まることを確認している。
Related Links	関連リンク
TRANSCRIPT: Chief Digital and AI Officer Craig Martell Holds a Press Briefing to Discuss DOD's 2023 Data, Analytics and AI Adoption Strategy	TRANSCRIPT: クレイグ・マーテル最高デジタル・AI担当官が、国防総省の2023年データ・分析・AI導入戦略についてプレスブリーフィングを行った。
PUBLICATION: 2023 Data, Analytics and Artificial Intelligence Adoption Strategy	発行：2023年データ、アナリティクス、人工知能導入戦略
PUBLICATION: 2023 Data, Analytics and Artificial Intelligence Adoption Strategy Fact Sheet	発行：2023年データ、アナリティクス、人工知能導入戦略ファクトシート
NEWS RELEASE: Deputy Secretary of Defense Kathleen Hicks Announces Publication of Data, Analytics and AI Adoption Strategy	ニュースリリースキャスリーン・ヒックス国防副長官、データ、アナリティクス、AI導入戦略の公表を発表
SPEECH: Remarks by Deputy Secretary of Defense Kathleen H. Hicks on 'The State of AI in the Department of Defense' (As Delivered)	スピーチ：キャスリーン・H・ヒックス国防副長官による「国防総省におけるAIの現状」に関するスピーチ（英語）
TRANSCRIPT: Deputy Defense Secretary Kathleen Hicks Holds a Press Briefing to Discuss the State of A.I. in the Defense Department	TRANSCRIPT：キャスリーン・ヒックス国防副長官、国防総省におけるAIの現状について記者ブリーフィングを行う

・2023.11.22 U.S. Endorses Responsible AI Measures for Global Militaries

U.S. Endorses Responsible AI Measures for Global	米国はグローバルな責任あるAI対策を支持する
The United States government is leading global efforts to build strong norms that will promote the responsible military use of artificial intelligence and autonomous systems. Last week, the State Department announced that 47 states have now endorsed the "Political Declaration on Responsible Military Use of Artificial Intelligence and Autonomy" that the government first launched at The Hauge on Feb. 16.	米国政府は、人工知能と自律システムの責任ある軍事利用を促進する強固な規範を構築するための世界的な取り組みを主導している。先週、国務省は、政府が2月16日にThe Haugeで初めて発表した「人工知能と自律システムの責任ある軍事利用に関する政治宣言」に47カ国が賛同したと発表した。
AI refers to the ability of machines to perform tasks that would otherwise require human intelligence, such as recognizing patterns, learning from experience, drawing conclusions, making predictions or generating recommendations.	AIとは、パターンの認識、経験からの学習、結論の導出、予測、推奨事項の生成など、人間の知性を必要とするタスクを実行する機械の能力を指す。
Military AI capabilities includes not only weapons but also decision support systems that help defense leaders at all levels make better and more timely decisions, from the battlefield to the boardroom, and systems relating to everything from finance, payroll, and accounting, to the recruiting, retention, and promotion of personnel, to collection and fusion of intelligence, surveillance, and reconnaissance data.	軍用AIの能力には、兵器だけでなく、戦場から役員室に至るまで、あらゆるレベルの国防指導者がより適切でタイムリーな意思決定を行うための意思決定支援システムや、財務、給与、会計から、人員の採用、維持、昇進、情報、監視、偵察データの収集と融合に至るまで、あらゆるものに関連するシステムも含まれる。
"The United States has been a global leader in responsible military use of AI and autonomy, with the Department of Defense championing ethical AI principles and policies on autonomy in weapon systems for over a decade. The political declaration builds on these efforts. It advances international norms on responsible military use of AI and autonomy, provides a basis for building common understanding, and creates a community for all states to exchange best practices," said Sasha Baker, under secretary of defense for policy.	「米国は、AIと自律性の責任ある軍事利用における世界的リーダーであり、国防総省は10年以上にわたって、兵器システムにおける自律性に関する倫理的なAI原則と政策を支持してきた。今回の政治宣言は、こうした努力の上に成り立っている。この政治宣言は、AIと自律性の責任ある軍事利用に関する国際規範を前進させ、共通の理解を構築するための基礎を提供し、すべての国家がベストプラクティスを交換するためのコミュニティを創設するものである」と、国防総省のサーシャ・ベイカー政策担当次官は述べた。
The Defense Department has led the world through publishing a series of policies on military AI and autonomy, most recently the Data, Analytics, and AI Adoption Strategy released on November 2.	国防総省は、軍事AIと自律性に関する一連の政策を発表し、世界をリードしてきた。最近では、11月2日に発表された「データ、アナリティクス、AI導入戦略」がある。
The declaration consists of a series of non-legally binding guidelines describing best practices for responsible military use of AI. These guidelines include ensuring that military AI systems are auditable, have explicit and well-defined uses, are subject to rigorous testing and evaluation across their lifecycle, have the ability to detect and avoid unintended behaviors, and that high-consequence applications undergo senior-level review.	この宣言は、AIの責任ある軍事利用のためのベストプラクティスを記述した一連の法的拘束力のないガイドラインで構成されている。これらのガイドラインには、軍用AIシステムが監査可能であること、用途が明確かつ十分に定義されていること、ライフサイクル全体にわたって厳格なテストと評価が行われること、意図しない行動を検知・回避する能力があること、重大な影響を及ぼすアプリケーションは上級レベルの審査を受けることなどが含まれている。
As the State Department's press release on November 13 states: "This groundbreaking initiative contains 10 concrete measures to guide the responsible development and use of military applications of AI and autonomy. The declaration and the measures it outlines, are an important step in building an international framework of responsibility to allow states to harness the benefits of AI while mitigating the risks. The U.S. is committed to working together with other endorsing states to build on this important development."	国務省が11月13日に発表したプレスリリースにはこうある：「この画期的なイニシアチブには、AIと自律性の軍事的応用の責任ある開発と使用を導くための10の具体的な方策が含まれている。この宣言とそれが示す措置は、国家がリスクを低減しながらAIの利点を活用できるようにするための国際的な責任枠組みを構築するための重要な一歩である。米国は、この重要な発展を築くために、他の賛同国と協力していくことを約束する。
The 10 measures are:	10の措置は以下の通りである：
01. States should ensure their military organizations adopt and implement these principles for the responsible development, deployment, and use of AI capabilities.	01. 国家は、自国の軍事組織がAI能力の責任ある開発、配備、使用のために、これらの原則を採用し、実施することを保証すべきである。
02. States should take appropriate steps, such as legal reviews, to ensure that their military AI capabilities will be used consistent with their respective obligations under international law, in particular international humanitarian law. States should also consider how to use military AI capabilities to enhance their implementation of international humanitarian law and to improve the protection of civilians and civilian objects in armed conflict.	02. 国家は、軍事AI能力が国際法、特に国際人道法の下でのそれぞれの義務に一致して使用されることを確実にするため、法的検討などの適切な措置をとるべきである。また、各国は、国際人道法の履行を強化し、武力紛争における文民および文民の物体の保護を改善するために、軍事AI能力をどのように使用するかを検討すべきである。
03. States should ensure that senior officials effectively and appropriately oversee the development and deployment of military AI capabilities with high-consequence applications, including, but not limited to, such weapon systems.	03. 国家は、高官が、そのような兵器システムを含むがこれに限定されない、重大な影響を及ぼす軍事AI能力の開発と配備を効果的かつ適切に監督することを確保すべきである。
04. States should take proactive steps to minimize unintended bias in military AI capabilities.	04. 国家は、軍事AI能力における意図せざるバイアスを最小化するための積極的な措置を講じるべきである。
05. States should ensure that relevant personnel exercise appropriate care in the development, deployment, and use of military AI capabilities, including weapon systems incorporating such capabilities.	05. 国家は、そのような能力を組み込んだ兵器システムを含め、軍事用AI能力の開発、配備、使用において、関係者が適切な注意を払うことを確保すべきである。
06. States should ensure that military AI capabilities are developed with methodologies, data sources, design procedures, and documentation that are transparent to and auditable by their relevant defense personnel.	06. 国家は、軍事 AI 能力が、関連する防衛要員に透明で監査可能な方法論、データソース、設計手順、および文書によって開発されることを確保すべきである。
07. States should ensure that personnel who use or approve the use of military AI capabilities are trained so they sufficiently understand the capabilities and limitations of those systems in order to make appropriate context-informed judgments on the use of those systems and to mitigate the risk of automation bias.	07. 国家は、軍事 AI 能力の使用または使用を承認する要員が、それらのシステムの使用に関して適切な文脈に基づいた判断を下し、自動化バイアスのリスクを軽減するために、それらのシステムの能力と限界を十分に理解するよう訓練されていることを確保すべきである。
08. States should ensure that military AI capabilities have explicit, well-defined uses and that they are designed and engineered to fulfill those intended functions.	08. 国家は、軍事 AI 能力が明確かつ十分に定義された用途を有し、それらの意図された機能を果たすよう設計・設計されていることを保証すべきである。
09. States should ensure that the safety, security, and effectiveness of military AI capabilities are subject to appropriate and rigorous testing and assurance within their well-defined uses and across their entire life-cycles. For self-learning or continuously updating military AI capabilities, States should ensure that critical safety features have not been degraded, through processes such as monitoring.	09. 国家は、軍用AI能力の安全性、安全保障、有効性が、その明確に定義された用途の範囲内において、またそのライフサイクル全体にわたって、適切かつ厳格なテストと保証の対象となることを確保すべきである。自己学習または継続的に更新される軍事用AI能力については、国家は、モニタリングなどのプロセスを通じて、重要な安全機能が低下していないことを保証すべきである。
10. States should implement appropriate safeguards to mitigate risks of failures in military AI capabilities, such as the ability to detect and avoid unintended consequences and the ability to respond, for example by disengaging or deactivating deployed systems, when such systems demonstrate unintended behavior.	10. 国家は、軍事AI能力における失敗のリスクを軽減するために、意図しない結果を検知して回避する能力、および、そのようなシステムが意図しない挙動を示した場合に、配備されたシステムを解除または非活性化するなどして対応する能力など、適切なセーフガードを導入すべきである。

国務省が2月に発表した人工知能と自律システムの責任ある軍事利用に関する政治宣言

● Department of States - Artificial Intelligence (AI)

・ 2023.02.16 Political Declaration on Responsible Military Use of Artificial Intelligence and Autonomy

こちらも参照。。。

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.18 米国国務省人工知能と自律システムの責任ある軍事利用に関する政治宣言

2023.11.29 06:12 in 情報セキュリティ / サイバーセキュリティ, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2023.11.28

米国 CISA 英国 NCSC 安全なAIシステム開発のための共同ガイドライン

こんにちは、丸山満彦です。

どうも、AIに関しては日本の出る幕はほとんどないのかもしれませんね。。。

● CISA

・2023.11.26 DHS CISA and UK NCSC Release Joint Guidelines for Secure AI System Development

● NCSC

・2023.11.27 UK and US develop new global guidelines for AI security

ドイツのBSIもプレスしていますね。。。

● Bundesamt für Sicherheit in der Informationstechnik: BSI

・2023.11.27 Internationale Cybersicherheitsbehörden veröffentlichen Leitfaden zur Entwicklung sicherer KI-Systeme

日本のNISCもプレスしていますね。。。

● 内閣官房サイバーセキュリティセンター (NISC)

報道発表

・2023.11.28 [PDF] セキュア AI システム開発ガイドラインについて

仮訳

・2023.11.28 [PDF] セキュアな AI システム開発のためのガイドライン

ガイダンス

・[PDF]

・Guidelines for secure AI system development

Guidelines for secure AI system development	安全なAIシステム開発のためのガイドライン
Introduction	はじめに
Guidelines	ガイドライン
Secure design	セキュアな設計
Secure development	セキュアな開発
Secure deployment	セキュアな実装
Secure operation and maintenance	安全な運用と保守
Further reading	さらに読む
About this document	この文書について

参考

● NCSC

・Secure development and deployment guidance

● NIST

・Secure Software Development Framework SSDF

● CISA

・Secure by Design

● CISA

・2023.11.26 DHS CISA and UK NCSC Release Joint Guidelines for Secure AI System Development

DHS CISA and UK NCSC Release Joint Guidelines for Secure AI System Development	DHS CISAと英国NCSC、安全なAIシステム開発のための共同ガイドラインを発表
WASHINGTON – Taking a significant step forward in addressing the intersection of artificial intelligence (AI) and cybersecurity, the U.S. Department of Homeland Security’s (DHS) Cybersecurity and Infrastructure Security Agency (CISA) and the United Kingdom’s National Cyber Security Centre (NCSC) today jointly released Guidelines for Secure AI System Development to help developers of any systems that use AI make informed cybersecurity decisions at every stage of the development process. The guidelines were formulated in cooperation with 21 other agencies and ministries from across the world – including all members of the Group of 7 major industrial economies -- and are the first of their kind to be agreed to globally.	ワシントン発 - 人工知能（AI）とサイバーセキュリティの接点に取り組む上で重要な一歩を踏み出した米国国土安全保障省（DHS）のサイバーセキュリティ・インフラ・セキュリティ局（CISA）と英国国家サイバーセキュリティセンター（NCSC）は本日、AIを利用するあらゆるシステムの開発者が開発プロセスの各段階で十分な情報に基づいたサイバーセキュリティ上の意思決定を行えるよう、「安全なAIシステム開発のためのガイドライン」を共同で発表した。このガイドラインは、主要先進7カ国（G7）加盟国を含む世界21の省庁との協力により策定されたもので、世界的に合意された初めてのものである。
“We are at an inflection point in the development of artificial intelligence, which may well be the most consequential technology of our time. Cybersecurity is key to building AI systems that are safe, secure, and trustworthy,” said Secretary of Homeland Security Alejandro N. Mayorkas. “The guidelines jointly issued today by CISA, NCSC, and our other international partners, provide a commonsense path to designing, developing, deploying, and operating AI with cybersecurity at its core. By integrating ‘secure by design’ principles, these guidelines represent an historic agreement that developers must invest in, protecting customers at each step of a system’s design and development. Through global action like these guidelines, we can lead the world in harnessing the benefits while addressing the potential harms of this pioneering technology.”	「人工知能は、現代において最も重要な技術かもしれない。安全、安心、信頼できるAIシステムを構築するためには、サイバーセキュリティが鍵となる」と国土安全保障省のアレハンドロ・N・マヨルカス長官は述べた。「CISA、NCSC、その他の国際的パートナーが本日共同で発表したガイドラインは、サイバーセキュリティを核としたAIの設計、開発、導入、運用に向けた常識的な道筋を示すものだ。セキュア・バイ・デザイン』の原則を統合することで、これらのガイドラインは、システムの設計と開発の各段階で顧客を保護し、開発者が投資しなければならない歴史的な合意を示すものだ。このガイドラインのようなグローバルな行動を通じて、我々は、この先駆的な技術の潜在的な害に対処しながら、その利点を活用することで世界をリードすることができる。
The guidelines provide essential recommendations for AI system development and emphasize the importance of adhering to Secure by Design principles that CISA has long championed.	このガイドラインは、AIシステム開発に不可欠な推奨事項を提供し、CISAが長年支持してきたセキュア・バイ・デザインの原則を遵守することの重要性を強調している。
“The release of the Guidelines for Secure AI System Development marks a key milestone in our collective commitment—by governments across the world—to ensure the development and deployment of artificial intelligence capabilities that are secure by design,” said CISA Director Jen Easterly. “As nations and organizations embrace the transformative power of AI, this international collaboration, led by CISA and NCSC, underscores the global dedication to fostering transparency, accountability, and secure practices. The domestic and international unity in advancing secure by design principles and cultivating a resilient foundation for the safe development of AI systems worldwide could not come at a more important time in our shared technology revolution. This joint effort reaffirms our mission to protect critical infrastructure and reinforces the importance of international partnership in securing our digital future.”	「セキュアなAIシステム開発のためのガイドラインのリリースは、セキュア・バイ・デザインである人工知能機能の開発と配備を確実にするために、世界中の政府が一丸となって取り組む重要なマイルストーンとなる」と、CISAディレクターのジェン・イースタリーは述べた。「CISAとNCSCが主導するこの国際協力は、透明性、説明責任、安全な実践を促進するための世界的な取り組みを強調するものだ。セキュア・バイ・デザインの原則を推進し、世界中でAIシステムを安全に開発するための強靭な基盤を培うという国内外での団結は、われわれが共有する技術革命においてこれ以上重要な時期はない。この共同努力は、重要インフラを保護するという我々の使命を再確認し、デジタルの未来の安全確保における国際的パートナーシップの重要性を強化するものである。"
The guidelines are broken down into four key areas within the AI system development lifecycle: secure design, secure development, secure deployment, and secure operation and maintenance. Each section highlights considerations and mitigations that will help reduce the cybersecurity risk to an organizational AI system development process.	ガイドラインは、AIシステム開発のライフサイクルの中で、セキュアな設計、セキュアな開発、セキュアな配備、セキュアな運用と保守という4つの主要分野に分かれている。各セクションは、組織のAIシステム開発プロセスにおけるサイバーセキュリティ・リスクを軽減するのに役立つ考慮事項と緩和策を強調している。
“We know that AI is developing at a phenomenal pace and there is a need for concerted international action, across governments and industry, to keep up,” said NCSC CEO Lindy Cameron. “These Guidelines mark a significant step in shaping a truly global, common understanding of the cyber risks and mitigation strategies around AI to ensure that security is not a postscript to development but a core requirement throughout. I’m proud that the NCSC is leading crucial efforts to raise the AI cyber security bar: a more secure global cyber space will help us all to safely and confidently realize this technology’s wonderful opportunities.”	「NCSCのリンディ・キャメロン最高経営責任者（CEO）は、「我々は、AIが驚異的なスピードで発展していることを知っている。「このガイドラインは、AIにまつわるサイバーリスクと緩和策について、真にグローバルで共通の理解を形成する上で重要な一歩であり、セキュリティが開発の後付けではなく、全体を通して中核的な要件となることを保証するものである。私は、NCSCがAIのサイバーセキュリティの水準を高める重要な取り組みを主導していることを誇りに思う。"より安全なグローバルなサイバー空間は、私たち全員がこの技術の素晴らしい機会を安全かつ自信を持って実現するのに役立つだろう。
“I believe the UK is an international standard bearer on the safe use of AI,” said UK Secretary of State for Science, Innovation and Technology Michelle Donelan. “The NCSC’s publication of these new guidelines will put cyber security at the heart of AI development at every stage so protecting against risk is considered throughout.”	「ミシェル・ドネラン英国科学・イノベーション・技術担当国務長官は、「英国はAIの安全な利用に関する国際的な旗手であると信じている。「NCSCがこの新しいガイドラインを発表したことで、AI開発のあらゆる段階でサイバーセキュリティが中心に据えられ、リスクからの保護が全体を通して考慮されることになる。
These guidelines are the latest effort across the U.S.’s body of work supporting safe and secure AI technology development and deployment. In October, President Biden issued an Executive Order that directed DHS to promote the adoption of AI safety standards globally, protect U.S. networks and critical infrastructure, reduce the risks that AI can be used to create weapons of mass destruction, combat AI-related intellectual property theft, and help the United States attract and retain skilled talent, among other missions.	このガイドラインは、安全でセキュアなAI技術の開発と展開を支援する米国の一連の取り組みの中でも最新のものである。バイデン大統領は10月、DHSに対し、AI安全基準の世界的な普及促進、米国のネットワークと重要インフラの保護、AIが大量破壊兵器の製造に使用されるリスクの低減、AI関連の知的財産の窃盗との闘い、米国が熟練した人材を惹きつけ、維持するための支援などを指示する大統領令を発布した。
Earlier this month, CISA released its Roadmap for Artificial Intelligence, a whole-of-agency plan aligned with national strategy to address our efforts to promote the beneficial uses of AI to enhance cybersecurity capabilities, ensure AI systems are protected from cyber-based threats, and deter the malicious use of AI capabilities to threaten the critical infrastructure Americans rely on every day. Learn more about CISA’s AI work.	今月初め、CISAは「人工知能のためのロードマップ」を発表した。これは、国家戦略に沿った全省庁的な計画で、AIの有益な利用を促進してサイバーセキュリティ能力を強化し、AIシステムをサイバーベースの脅威から確実に保護し、米国人が日々依存している重要インフラを脅かすAI能力の悪意ある利用を抑止するための取り組みに取り組むものである。CISAのAI活動の詳細はこちら。

● NCSC

・2023.11.27 UK and US develop new global guidelines for AI security

UK and US develop new global guidelines for AI security	英米がAIセキュリティの新グローバルガイドラインを策定
New guidelines for secure AI system development will help developers of any systems that use AI make informed cyber security decisions at every stage of the development process.	安全なAIシステム開発のための新ガイドラインは、AIを使用するあらゆるシステムの開発者が、開発プロセスの各段階において、十分な情報に基づいたサイバーセキュリティ上の意思決定を行うことを支援する。
・Agencies from 18 countries, including the US, endorse new UK-developed guidelines on AI cyber security	・米国を含む18カ国の機関が、英国が開発したAIのサイバーセキュリティに関する新ガイドラインを承認した。
・Guidelines for Secure AI System Development, led by GCHQ’s National Cyber Security Centre and developed with US’s Cybersecurity and Infrastructure Security Agency, build on AI Safety Summit to establish global collaboration on AI	・GCHQのNational Cyber Security Centreが主導し、米国のCybersecurity and Infrastructure Security Agencyと共同で開発された「安全なAIシステム開発のためのガイドライン」は、AIに関する世界的な協力体制を確立するためのAI Safety Summitに基づくものである。
・Written in partnership with industry, guidelines advise developers on the security of AI systems	・産業界との協力により作成されたこのガイドラインは、AIシステムのセキュリティについて開発者に助言するものである。
THE UK has today (Monday) published the first global guidelines to ensure the secure development of AI technology.	英国は本日（月曜日）、AI技術の安全な開発を確保するための世界初のガイドラインを発表した。
In testament to the UK’s leadership in AI safety, agencies from 17 other countries have confirmed they will endorse and co-seal the new guidelines.	英国がAIの安全性においてリーダーシップを発揮していることの証しとして、他の17カ国の政府機関もこの新しいガイドラインを支持し、共同承認することを確認した。
The guidelines aim to raise the cyber security levels of artificial intelligence and help ensure that it is designed, developed, and deployed securely.	このガイドラインは、人工知能のサイバーセキュリティレベルを向上させ、人工知能が安全に設計、開発、導入されるよう支援することを目的としている。
The Guidelines for Secure AI System Development have been developed by the UK’s National Cyber Security Centre (NCSC), a part of GCHQ, and the US’s Cybersecurity and Infrastructure Security Agency (CISA) in cooperation with industry experts and 21 other international agencies and ministries from across the world – including those from all members of the G7 group of nations and from the Global South.	安全なAIシステム開発のためのガイドラインは、GCHQの一部である英国のナショナル・サイバー・セキュリティ・センター（NCSC）と米国のサイバーセキュリティ・インフラ・セキュリティ庁（CISA）が、業界の専門家や、G7の全メンバー国やグローバル・サウスを含む世界中の21の国際機関や省庁の協力を得て策定した。
The new UK-led guidelines are the first of their kind to be agreed globally. They will help developers of any systems that use AI make informed cyber security decisions at every stage of the development process – whether those systems have been created from scratch or built on top of tools and service provided by others.	英国が主導するこの新しいガイドラインは、世界的に合意された初めてのものである。このガイドラインは、AIを使用するあらゆるシステムの開発者が、開発プロセスのあらゆる段階で、ゼロから作成されたシステムであろうと、他社が提供するツールやサービスの上に構築されたシステムであろうと、十分な情報に基づいたサイバーセキュリティ上の決定を下す助けとなる。
The guidelines help developers ensure that cyber security is both an essential pre-condition of AI system safety and integral to the development process from the outset and throughout, known as a ‘secure by design’ approach.	このガイドラインは、開発者がサイバーセキュリティをAIシステムの安全性の必須条件とし、「セキュア・バイ・デザイン」アプローチとして知られる開発プロセスの最初から最後まで不可欠なものとすることを支援する。
The product will be officially launched this afternoon at an event hosted by the NCSC, at which 100 key industry, government and international partners will gather for a panel discussion on the shared challenge of securing AI. Panellists include Microsoft, the Alan Turing Institute and UK, American, Canadian, and German cyber security agencies.	この製品は本日午後、NCSC主催のイベントで正式に発表される。このイベントでは、主要な産業界、政府、国際的なパートナー100社が集まり、AIの安全確保という共通の課題についてパネルディスカッションを行う。パネリストには、マイクロソフト、アラン・チューリング研究所、英国、米国、カナダ、ドイツのサイバーセキュリティ機関が含まれる。
NCSC CEO Lindy Cameron said:	NCSCのリンディ・キャメロンCEOは、次のように述べた：
We know that AI is developing at a phenomenal pace and there is a need for concerted international action, across governments and industry, to keep up.	我々は、AIが驚異的なスピードで発展していることを知っており、それに遅れを取らないためには、政府と産業界が一体となった国際的な行動が必要である。
These guidelines mark a significant step in shaping a truly global, common understanding of the cyber risks and mitigation strategies around AI to ensure that security is not a postscript to development but a core requirement throughout.	このガイドラインは、AIにまつわるサイバーリスクと緩和策について、真にグローバルで共通の理解を形成する上で重要な一歩となる。
I’m proud that the NCSC is leading crucial efforts to raise the AI cyber security bar: a more secure global cyber space will help us all to safely and confidently realise this technology’s wonderful opportunities.	私は、NCSCがAIサイバーセキュリティの水準を高めるための重要な取り組みを主導していることを誇りに思う。より安全なグローバル・サイバー空間は、私たち全員がこの技術の素晴らしい機会を安全かつ自信を持って実現するのに役立つだろう。
In a keynote speech at Chatham House in June, NCSC CEO Lindy Cameron warned about the perils of retrofitting security into AI systems in years to come, stressing the need to bake security into AI systems as they are developed, and not as an afterthought.	6月にチャタムハウスで行われた基調講演で、NCSCのリンディ・キャメロン最高経営責任者（CEO）は、今後数年のうちにAIシステムにセキュリティを後付けすることの危険性について警告し、後付けではなく、AIシステムを開発する際にセキュリティを組み込む必要性を強調した。
These guidelines are intended as a global, multi-stakeholder effort to address that issue, building on the UK Government’s AI Safety Summit’s legacy of sustained international cooperation on AI risks.	このガイドラインは、英国政府のAI安全サミットの遺産であるAIリスクに関する持続的な国際協力に基づき、この問題に対処するためのグローバルでマルチステークホルダーな取り組みとして意図されている。
CISA Director Jen Easterly said:	CISAディレクターのジェン・イースタリーは、次のように述べた：
The release of the Guidelines for Secure AI System Development marks a key milestone in our collective commitment—by governments across the world—to ensure the development and deployment of artificial intelligence capabilities that are secure by design.	安全なAIシステム開発のためのガイドラインの公表は、設計上安全な人工知能能力の開発と配備を確実にするために、世界中の政府が一丸となって取り組む重要なマイルストーンとなる。
As nations and organizations embrace the transformative power of AI, this international collaboration, led by CISA and NCSC, underscores the global dedication to fostering transparency, accountability, and secure practices. The domestic and international unity in advancing secure by design principles and cultivating a resilient foundation for the safe development of AI systems worldwide could not come at a more important time in our shared technology revolution.	CISAとNCSCが主導するこの国際協力は、国家や組織がAIの変革力を受け入れる中で、透明性、説明責任、安全な実践を促進するための世界的な献身を強調するものである。セキュア・バイ・デザインの原則を推進し、世界中でAIシステムを安全に開発するための強靭な基盤を培うという国内および国際的な団結は、われわれが共有するテクノロジー革命においてこれ以上重要な時期はない。
This joint effort reaffirms our mission to protect critical infrastructure and reinforces the importance of international partnership in securing our digital future.	この共同努力は、重要インフラを保護するという我々の使命を再確認し、デジタルの未来の安全確保における国際的パートナーシップの重要性を強化するものである。
Science and Technology Secretary Michelle Donelan, said:	ミシェル・ドネラン科学技術長官は、次のように述べた：
I believe the UK is an international standard bearer on the safe use of AI. The NCSC's publication of these new guidelines will put cyber security at the heart of AI development at every stage so protecting against risk is considered throughout.	私は、英国がAIの安全な使用に関する国際的な旗手であると信じている。NCSCがこの新しいガイドラインを発表したことで、AI開発のあらゆる段階でサイバーセキュリティが中心に据えられ、リスクからの保護が全体を通して考慮されることになる。
Just weeks after we brought world-leaders together at Bletchley Park to reach the first international agreement on safe and responsible AI, we are once again uniting nations and companies in this truly global effort.	ブレッチリー・パークで世界のリーダーたちを集め、安全で責任あるAIに関する初の国際合意に達したわずか数週間後、我々は再び、この真にグローバルな取り組みで国や企業を団結させようとしている。
In doing so, we are driving forward in our mission to harness this decade-defining technology and seize its potential to transform our NHS, revolutionise our public services and create the new, high-skilled, high-paid jobs of the future.	そうすることで、我々は、この10年を定義する技術を活用し、NHSを変革し、公共サービスに革命をもたらし、未来の新しい高スキルで高賃金の雇用を創出する可能性をつかむという使命を推進している。
Secretary of Homeland Security Alejandro Mayorkas said:	アレハンドロ・マヨルカス国土安全保障長官は、次のように述べた：
We are at an inflection point in the development of artificial intelligence, which may well be the most consequential technology of our time. Cyber security is key to building AI systems that are safe, secure, and trustworthy.	人工知能は、我々の時代において最も重要な技術になるかもしれない。サイバーセキュリティは、安全、安心、信頼できるAIシステムを構築するための鍵となる。
The guidelines jointly issued today by CISA, NCSC, and our other international partners, provide a common sense path to designing, developing, deploying, and operating AI with cyber security at its core. By integrating ‘secure by design’ principles, these guidelines represent an historic agreement that developers must invest in, protecting customers at each step of a system’s design and development.	CISA、NCSC、その他の国際的パートナーが本日共同で発表したガイドラインは、サイバーセキュリティを核としたAIの設計、開発、配備、運用への常識的な道筋を示すものである。セキュア・バイ・デザイン」の原則を統合することで、これらのガイドラインは、システムの設計と開発の各段階で顧客を保護し、開発者が投資しなければならない歴史的な合意を示すものである。
Through global action like these guidelines, we can lead the world in harnessing the benefits while addressing the potential harms of this pioneering technology.	このガイドラインのような世界的な行動を通じて、我々は、この先駆的な技術の潜在的な害に対処しつつ、その利点を活用することで世界をリードすることができる。
The guidelines are broken down into four key areas – secure design, secure development, secure deployment, and secure operation and maintenance – complete with suggested behaviours to help improve security.	このガイドラインは、セキュアな設計、セキュアな開発、セキュアな配備、セキュアな運用と保守という4つの主要分野に分けられ、セキュリティーを向上させるための推奨行動も示されている。
The guidelines can be accessed on the NCSC website, alongside a blog later in the day (Monday) from key NCSC officials who worked on the product.	ガイドラインは、NCSCのウェブサイトからアクセスでき、後日（月曜日）、この製品に携わったNCSCの主要関係者によるブログも掲載される。
A full list of international signatories is below:	国際署名者のリストは以下の通り：
Australia – Australian Signals Directorate’s Australian Cyber Security Centre (ACSC)	オーストラリア-オーストラリア信号総局のオーストラリア・サイバー・セキュリティ・センター（ACSC）
Canada – Canadian Centre for Cyber Security (CCCS)	カナダ - カナダ・サイバーセキュリティセンター（CCCS）
Chile - Chile’s Government CSIRT	チリ - チリ政府CSIRT
Czechia - Czechia’s National Cyber and Information Security Agency (NUKIB)	チェコ - チェコ国家サイバー情報セキュリティ庁（NUKIB）
Estonia - Information System Authority of Estonia (RIA) and National Cyber Security Centre of Estonia (NCSC-EE)	エストニア - エストニア情報システム局（RIA）およびエストニア国家サイバーセキュリティセンター（NCSC-EE）
France - French Cybersecurity Agency (ANSSI)	フランス - フランス・サイバーセキュリティ庁（ANSSI）
Germany - Germany’s Federal Office for Information Security (BSI)	ドイツ - ドイツ連邦情報セキュリティ局（BSI）
Israel - Israeli National Cyber Directorate (INCD)	イスラエル - イスラエル国家サイバー総局（INCD）
Italy - Italian National Cybersecurity Agency (ACN)	イタリア - イタリア国家サイバーセキュリティ局（ACN）
Japan - Japan’s National Center of Incident Readiness and Strategy for Cybersecurity (NISC; Japan’s Secretariat of Science, Technology and Innovation Policy, Cabinet Office	日本 - サイバーセキュリティ総合対策センター（NISC、内閣府総合科学技術・イノベーション推進事務局
New Zealand - New Zealand National Cyber Security Centre	ニュージーランド - ニュージーランド国家サイバーセキュリティセンター
Nigeria - Nigeria’s National Information Technology Development Agency (NITDA)	ナイジェリア - ナイジェリア国家情報技術開発庁（NITDA）
Norway - Norwegian National Cyber Security Centre (NCSC-NO)	ノルウェー - ノルウェー国家サイバーセキュリティセンター（NCSC-NO）
Poland - Poland’s NASK National Research Institute (NASK)	ポーランド - ポーランド国立研究所（NASK）
Republic of Korea - Republic of Korea National Intelligence Service (NIS)	韓国 - 韓国国家情報院（NIS）
Singapore - Cyber Security Agency of Singapore (CSA)	シンガポール - シンガポール・サイバーセキュリティ庁（CSA）
United Kingdom of Great Britain and Northern Ireland – National Cyber Security Centre (NCSC)	グレートブリテンおよび北アイルランド連合王国 - 国家サイバーセキュリティセンター（NCSC）
United States of America – Cybersecurity and Infrastructure Agency (CISA); National Security Agency (NSA; Federal Bureau of Investigations (FBI)	アメリカ合衆国 - サイバーセキュリティ・インフラストラクチャ庁（CISA）、国家安全保障局（NSA）、連邦捜査局（FBI）

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.28 米国 CISA AI導入のロードマップ (2023.11.14)

・2023.11.21 EDPS 説明可能な人工知能

・2023.11.17 米国連邦CIO室意見募集政府機関における人工知能活用のためのガバナンス、イノベーション、リスクマネジメントの推進 (2023.11.01)

・2023.11.07 OECD OECDのAI原則の4年後の実施状況 (2023.10.27)

・2023.11.07 EDPS AI法に関するEDPS最終提言 (2023.10.24)

・2023.11.02 英国 AI安全サミット出席国によるブレッチリー宣言

・2023.10.31 外務省 G7 広島AIプロセスに関するG7首脳声明

・2023.10.31 米国人工知能の安全、安心、信頼できる開発と利用に関する大統領令

・2023.10.30 中国グローバルAIガバナンス・イニシアティブ (2023.10.19)

・2023.10.30 経団連 AI活用戦略Ⅱ －わが国のAI-Powered化に向けて－　(2023.10.17)

・2023.10.25 インド AIに関する専門家の報告書「インディアAI 2023」を公表 (2023.10.14)

2023.11.28 06:14 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

米国 CISA AI導入のロードマップ (2023.11.14)

こんにちは、丸山満彦です。

CISAがAIに関する大統領令 EO 14110 Safe, Secure, and Trustworthy Development and Use of Artificial Intelligenceに沿ったAI導入のロードマップを公表していました。。。

● CISA

・2023.11.14 CISA Releases Roadmap for Artificial Intelligence Adoption

・[PDF]

目次...

INTRODUCTION	はじめに
VISION	ビジョン
CISA'S ROLE IN SECURING AI	AIの安全確保におけるCISAの役割
FIVE LINES OF EFFORT	5つの取り組み
LINE OF EFFORT 1: Responsibly Use AI to Support our Mission	取り組み1：ミッションをサポートするためにAIを責任を持って使用する
LINE OF EFFORT 2: Assure AI Systems	取り組み2：AIシステムを保証する
LINE OF EFFORT 3: Protect Critical Infrastructure From Malicious Use of AI	取り組み3： AIの悪意ある利用から重要インフラを守る
LINE OF EFFORT 4: Collaborate with and Communicate on Key AI Efforts with the Interagency, International Partners, and the Public	取り組み4：省庁間、国際的なパートナー、一般市民と協力し、AIの重要な取組に関してコミュニケーションを図る。
LINE OF EFFORT 5: Expand AI Expertise in our Workforce	取り組み5：労働力におけるAIの専門知識の拡大
CONCLUSION	結論
KEY DEFINITIONS	主な定義
Artificial Intelligence (AI)	人工知能（AI）
AI Assurance	AI保証
AI Security	AIセキュリティ
Red Teaming	レッドチーム
Adversarial Machine Learning	敵対的機械学習
APPENDIX Recent U .SEfforts on AI Policy	附属書 AI政策に関する米国の最近の取り組み

内容...

VISION	ビジョン
We envision a future in which AI systems advance our nation’s cyber defense, where our critical infrastructure is resilient and protected from malicious use of AI, and where AI developers prioritize the security of their products as a core business requirement.	私たちは、AIシステムが我が国のサイバー防衛を推進し、重要なインフラがAIの悪意ある利用から弾力的に保護され、AI開発者が製品のセキュリティをビジネスの中核要件として優先させる未来を描いている。
CISA'S ROLE IN SECURING AI	AIの安全確保におけるCISAの役割
CISA’s Strategic Plan 2023–2025 underpins CISA’s adaptation to these technologies and each of CISA's four strategic goals are relevant to and impacted by AI:	CISAの戦略計画2023-2025は、CISAがこれらの技術に適応するための基礎となっており、CISAの4つの戦略目標はそれぞれAIに関連し、AIから影響を受けている：
GOAL 1 \| CYBER DEFENSE.	目標1｜サイバー防衛。
AI tools can help defend cyberspace against traditional threats, as well as emerging AIdriven threats. However, AI-based software systems are also software systems that require securing and necessitate cyber defense for AI.	AIツールは、従来の脅威だけでなく、AI主導の新たな脅威からもサイバー空間を防衛するのに役立つ。しかし、AIベースのソフトウェアシステムは、安全確保を必要とするソフトウェアシステムでもあり、AIのためのサイバー防衛が必要である。
GOAL 2 \| RISK REDUCTION AND RESILIENCE.	目標2｜リスク削減と回復力。
Critical infrastructure organizations increasingly use AI systems to maintain and improve resilience. CISA will guide and support responsible and risk-aware adoption of AI-based software systems that are secure by design.	重要インフラ組織は、レジリエンスを維持・向上させるために、AIシステムをますます利用するようになっている。CISAは、設計上安全なAIベースのソフトウェア・システムの責任あるリスクを考慮した採用を指導・支援する。
GOAL 3 \| OPERATIONAL COLLABORATION.	目標3｜業務連携。
As AI contributes to a rapidly changing threat landscape, CISA will communicate threat and risk information to the U.S. public, including critical infrastructure sectors. Furthermore, AI companies and AI use cases may be subject to targeted threats and may require specific services and protections in response.	AIが急速に変化する脅威の状況に貢献する中、CISAは重要インフラ部門を含む米国民に脅威とリスク情報を伝達する。さらに、AI企業やAIのユースケースは標的型脅威の対象となる可能性があり、それに対する特定のサービスや保護が必要となる可能性がある。
GOAL 4 \| AGENCY UNIFICATION.	目標4｜機関の統合。
CISA will responsibly integrate AI software systems across the agency, as well as recruit and develop a workforce capable of optimally harnessing AI software systems to carry out CISA’s mission	CISAは、全庁的にAIソフトウェア・システムを責任を持って統合するとともに、CISAの使命を遂行するためにAIソフトウェア・システムを最適に活用できる人材を採用・育成する。
FIVE LINES OF EFFORT	5つの取り組み
LINE OF EFFORT 1: Responsibly Use AI to Support our Mission	取り組み1：ミッションをサポートするためにAIを責任を持って使用する
CISA will use AI-enabled software tools to strengthen cyber defense and support our critical infrastructure mission . CISA’s adoption of AI will ensure responsible, ethical, and safe use—consistent with the Constitution and all applicable laws and policies, including those addressing federal procurement, privacy, civil rights, and civil liberties.	CISAは、サイバー防衛を強化し、重要インフラの使命を支援するために、AI対応のソフトウェア・ツールを使用する。CISAによるAIの採用は、連邦調達、プライバシー、市民権、市民的自由を扱うものを含め、憲法および適用されるすべての法律と政策に合致した、責任ある倫理的で安全な使用を保証する。
REPRESENTATIVE OUTCOMES	主な成果
1 \| CISA assesses our cybersecurity programs for potential uses of AI and provides the resources, requirements, and oversight to incorporate AI where appropriate .	1｜CISAは、AIを利用する可能性のあるサイバーセキュリティ・プログラムを評価し、適切な場合にはAIを組み込むためのリソース、要件、監督を提供する。
2 \| Through the responsible use of AI tools, CISA network defenders proactively mitigate threats to critical networks before damaging intrusions occur .	2｜AIツールの責任ある使用を通じて、CISAのネットワーク防御担当者は、有害な侵入が発生する前に、重要なネットワークに対する脅威を積極的に緩和する。
MEASUREMENT APPROACH	測定方法
Increased responsible uses of AI software tools across CISA workflows.	CISAのワークフロー全体にわたって、AIソフトウェア・ツールの責任ある使用が増加する。
OBJECTIVE 1.1 \| Establish governance and oversight processes for CISA’s use of AI.	目標1.1｜CISAのAI利用のためのガバナンスと監視のプロセスを確立する。
CISA will establish robust AI governance processes to coordinate actions across the agency . This will include developing ethical and safety oversight processes as well as legal, procurement, privacy, civil rights, and civil liberties considerations . Responsible use will be central to our application of AI .	CISAは、機関全体の行動を調整するための強固なAIガバナンス・プロセスを確立する。これには、法律、調達、プライバシー、市民権、市民的自由への配慮に加え、倫理的で安全な監視プロセスの開発も含まれる。責任ある利用は、AIの応用の中心となる。
To promote responsible AI use, CISA will:	責任あるAI利用を促進するため、CISAは以下を行う：
• Create our own NIST AI Risk Management Framework (RMF) profile to help develop and implement security and privacy controls for AI;	・独自のNIST AIリスク管理フレームワーク（RMF）プロファイルを作成し、AIのセキュリティとプライバシー管理の開発と実装を支援する；
• Implement a programmatic structure for AI adoption within cyber defense missions;	・サイバー防衛任務におけるAI採用のためのプログラム構造を導入する；
• Review active AI use cases;	・積極的なAIの使用事例を検討する；
• Develop workplace guidance for generative technologies; and,	・ジェネレーティブ・テクノロジーのための職場ガイダンスを策定する、
• Address AI data requirements and uses .	・AIデータの要件と用途に対処する。
OBJECTIVE 1.2 \| Collect, review, and prioritize AI use cases to support CISA missions.	目標1.2｜CISAのミッションを支援するためのAIユースケースの収集、レビュー、優先順位付けを行う。
CISA will create an agency AI Use Case Inventory to collect, review, and prioritize AI use cases supporting our missions . This inventory will encompass improvements to existing IT systems, collaboration tools, workflows, critical infrastructure defense programs, and proposed data collections for training AI models	CISAは、機関AIユースケース・インベントリを作成し、ミッションを支援するAIユースケースを収集、レビュー、優先順位付けする。この目録には、既存のITシステムの改善、コラボレーション・ツール、ワークフロー、重要インフラ防衛プログラム、AIモデルを訓練するためのデータ収集案が含まれる。
OBJECTIVE 1.3 \| Develop an adoption strategy for the next generation of AI-enabled technologies.	目標1.3｜次世代のAI対応技術の採用戦略を策定する。
To stay ahead of the adoption curve while ensuring privacy and civil rights protections, CISA will closely coordinate AI-related research and development efforts to target gaps in mission needs . These initiatives include the identification of baseline responsible practices for AI to protect safety and rights, the creation of a safe and secure AI testbed, and the development of technical requirements for cybersecurity use cases.	プライバシーと公民権保護を確保しつつ採用曲線の先を行くために、CISAはAI関連の研究開発努力を緊密に調整し、ミッション・ニーズのギャップを対象とする。これらの取り組みには、安全性と権利を保護するためのAIの基本的責任規範の特定、安全でセキュアなAIのテストベッドの構築、サイバーセキュリティのユースケースに関する技術要件の策定などが含まれる。
OBJECTIVE 1.4 \| Incorporate cyber defense, incident management, and redress procedures into AI systems and processes.	目標1.4｜サイバー防御、インシデント管理、救済手続きをAIのシステムとプロセスに組み込む。
CISA will establish incident response capabilities for AI usage, including remedy and redress procedures when necessary . In addition, CISA will adopt an approach for continuous evaluation of AI models while reviewing IT security practices to securely integrate AI technology.	CISAは、必要な場合の是正・救済手続を含め、AI利用のためのインシデント対応能力を確立する。さらに、CISAは、AI技術を安全に統合するためにITセキュリティの慣行を見直しながら、AIモデルを継続的に評価するアプローチを採用する。
OBJECTIVE 1.5 \| Examine holistic approaches to limiting bias in AI use at CISA.	目標1.5｜CISAにおけるAI利用の偏りを抑制するための全体論的アプローチを検討する。
CISA will explore holistic approaches to limit bias in AI use, identifying potential bias points in the development, testing, implementation, and maintenance processes in order to build in fairness. Beyond exploring bias and mitigation strategies, CISA will develop a quality assessment for training data and public notice of our AI Use Case Inventory.	CISAは、公正さを構築するために、開発、テスト、実装、保守の各プロセスにおける潜在的な偏りのポイントを特定し、AIの使用における偏りを制限するための全体的なアプローチを検討する。CISAは、バイアスと緩和戦略を探求するだけでなく、訓練データの品質評価を開発し、AI使用事例目録を公表する。
OBJECTIVE 1.6 \| Responsibly and securely deploy AI systems to support CISA’s cybersecurity mission.	目標1.6｜CISAのサイバーセキュリティ使命を支援するために、責任を持って安全にAIシステムを導入する。
Responsible and secure AI deployment aligns with CISA’s core cybersecurity mission. To help ensure this, CISA will explore the identification, testing, evaluation, and deployment of AI capabilities for cyber defense, including detection of vulnerabilities in critical U.S. government software, systems, and networks, and we will document the lessons learned.	責任ある安全なAIの配備は、CISAの中核的なサイバーセキュリティの使命と一致する。これを確実にするため、CISAは、重要な米国政府のソフトウェア、システム、ネットワークにおける脆弱性の検出を含め、サイバー防衛のためのAI能力の特定、テスト、評価、配備を検討し、得られた教訓を文書化する。
LINE OF EFFORT 2: Assure AI Systems	取り組み2：AIシステムを保証する
CISA will assess and assist secure by design AI-based software adoption across a diverse array of stakeholders, including federal civilian government agencies; private sector companies; and state, local, tribal, and territorial (SLTT) governments through the development of best practices and guidance for secure and resilient AI software development and implementation.	CISAは、安全で弾力性のあるAIソフトウェアの開発と実装のためのベストプラクティスとガイダンスの開発を通じて、連邦民間政府機関、民間企業、州・地方・部族・準州（SLTT）政府を含む多様な利害関係者の間で、セキュア・バイ・デザインのAIベースのソフトウェア採用を評価し、支援する。
REPRESENTATIVE OUTCOMES	主な成果
1 \| CISA identifies cybersecurity risks and security resilience challenges as early as possible during AI adoption to mitigate threats to critical infrastructure.	1｜CISAは、重要インフラへの脅威を緩和するため、AI導入の可能な限り早期にサイバーセキュリティリスクとセキュリティ回復力の課題を特定する。
2 \| CISA adapts existing security guidance and service offerings to AI software systems, including best practices for red teaming AI systems and for making AI software that is secure by design.	2｜CISA は、AI システムをレッドチーム化するためのベストプラクティスや、設計上安全な AI ソフトウェアを作成するためのベストプラクティスなど、既存のセキュリティ指針とサービス提供を AI ソフトウェアシステムに適合させる。
3 \| Stakeholders understand how AI-specific vulnerabilities fit into the existing coordinated vulnerability disclosure process. MEASUREMENT APPROACH Increased adherence to CISA risk guidance and best practices for AI software deployment, including guidance on red teaming and vulnerability mangement.	3｜AI 固有の脆弱性が、既存の調整された脆弱性開示プロセスにどのように適合するかを関係者が理解する。測定方法レッドチーム編成と脆弱性管理に関するガイダンスを含め、CISA リスクガイダンスと AI ソフトウェア展開のベストプラクティスの遵守率が向上する。
MEASUREMENT APPROACH	測定方法
Increased adherence to CISA risk guidance and best practices for AI software deployment, including guidance on red teaming and vulnerability mangement.	レッドチームや脆弱性管理に関するガイダンスを含め、CISAリスクガイダンスやAIソフトウェア導入のベストプラクティスの順守を強化する。
OBJECTIVE 2.1 \| Assess cybersecurity risks of AI adoption in critical infrastructure sectors.	目標2.1｜重要インフラ分野における AI 導入のサイバーセキュリティリスクを評価する。
CISA will assess potential risks related to the use of AI in critical infrastructure sectors, including ways in which deploying AI may make critical infrastructure systems more vulnerable to critical failures, physical attacks, and cyberattacks. CISA will then consider ways to mitigate these vulnerabilities. Additionally, CISA will incorporate the NIST AI Risk Management Framework (AI RMF 1.0), as well as other appropriate security guidance, into relevant safety and security guidelines and best practices for use by critical infrastructure owners and operators.	CISAは、AIの導入が重要インフラ・システムを重大な障害、物理的攻撃、サイバー攻撃に対してより脆弱にする可能性がある方法を含め、重要インフラ部門でのAIの使用に関連する潜在的リスクを評価する。CISAはその後、これらの脆弱性を緩和する方法を検討する。さらに、CISAは、NIST AIリスク管理フレームワーク（AI RMF 1.0）、および他の適切なセキュリティ・ガイダンスを、重要インフラの所有者および運用者が使用するための関連する安全・セキュリティ・ガイドラインおよびベストプラクティスに組み込む。
OBJECTIVE 2.2 \| Engage critical infrastructure stakeholders to determine security and resilience challenges of AI adoption.	目標2.2｜重要インフラの利害関係者を関与させ、AI導入のセキュリティと回復力の課題を明らかにする。
CISA will engage with critical infrastructure stakeholders to assess and address the use of AI across critical infrastructure sectors.	CISAは、重要インフラの利害関係者を関与させ、重要インフラ部門全体にわたるAIの利用を評価し、対処する。
OBJECTIVE 2.3 \| Capture the breadth of AI systems used across the federal enterprise.	目標2.3｜連邦企業全体で使用されているAIシステムの幅を把握する。
CISA will evaluate Software Bill of Materials (SBOM) toolchains, including SBOM format standards and automated SBOM collection and translation software, to confirm coverage of AI software.	CISAは、ソフトウェア部品表（SBOM）ツールチェーン（SBOMフォーマット標準、自動SBOM収集・翻訳ソフトウェアを含む）を評価し、AIソフトウェアの適用範囲を確認する。
OBJECTIVE 2.4 \| Develop best practices and guidance for acquisition, development, and operation of secure AI systems.	目標2.4：安全なAIシステムの取得、開発、運用のためのベストプラクティスとガイダンスを策定する。
CISA will develop best practices and guidance for the acquisition, development, and operation of secure AI systems. We will also provide guidance for the secure use of AI technologies and will integrate this guidance into the Cybersecurity Performance Goals pertaining to AI and related systems.	CISAは、安全なAIシステムの取得、開発、運用のためのベストプラクティスとガイダンスを開発する。また、AI技術の安全な利用のためのガイダンスを提供し、このガイダンスをAIと関連システムに関するサイバーセキュリティ・パフォーマンス・ゴールに統合する。
OBJECTIVE 2.5 \| Drive adoption of strong vulnerability management practices for AI systems.	目標2.5｜AIシステムに対する強力な脆弱性管理手法の採用を推進する。
CISA will develop tools and techniques to harden and test AI systems, as well as incorporate appropriate outputs of adversarial ML processes and AI system vulnerabilities into the National Vulnerability Database. This includes conducting an operational test of an AI vulnerability in the Coordinated Vulnerability Disclosure (CVD) process, as well as writing strategic guidance for security testing and red teaming AI systems and software, particularly Open Source Software.	CISAは、AIシステムを強化しテストするためのツールと技術を開発するとともに、敵対的MLプロセスとAIシステムの脆弱性の適切なアウトプットを国家脆弱性データベースに組み込む。これには、CVD（Coordinated Vulnerability Disclosure）プロセスにおけるAIの脆弱性の運用テストの実施や、AIシステムおよびソフトウェア（特にオープンソースソフトウェア）のセキュリティテストとレッドチーム化のための戦略的ガイダンスの作成が含まれる。
OBJECTIVE 2.6 \| Incorporate AI systems into Secure by Design initiative.	目標2.6｜AIシステムをセキュアバイデザインの取り組みに組み込む。
CISA champions a secure by design approach to developing and manufacturing technology products, ensuring manufacturers design products with security in mind at the onset, so consumers receive products that are secure right out of the box. To encourage a secure by design approach to AI software and products, CISA will integrate AI security into the Secure by Design program and will develop a research pipeline to continually understand and project ways to support AI systems security.	CISAは、技術製品の開発・製造におけるセキュア・バイ・デザイン・アプローチを提唱し、メーカーが当初からセキュリティを念頭に製品を設計し、消費者が箱から出してすぐに安全な製品を受け取れるようにする。AIソフトウェアと製品へのセキュア・バイ・デザイン・アプローチを奨励するため、CISAはAIセキュリティをセキュア・バイ・デザイン・プログラムに統合し、AIシステムのセキュリティをサポートする方法を継続的に理解し、プロジェクト化するための研究パイプラインを開発する。
LINE OF EFFORT 3: Protect Critical Infrastructure From Malicious Use of AI	取り組み3： AIの悪意ある利用から重要インフラを守る
CISA will assess and recommend mitigation of AI threats against our nation’s critical infrastructure in partnership with other government agencies and industry partners that develop, test, and evaluate AI tools.	CISAは、AIツールを開発、テスト、評価する他の政府機関や産業界のパートナーと連携して、わが国の重要インフラに対するAIの脅威を評価し、緩和策を提言する。
REPRESENTATIVE OUTCOMES	主な成果
1 \| Through engagement with stakeholders, including tabletop exercises focused on AI-enhanced attacks, CISA protects AI systems from adversarial manipulation or abuse.	1｜AIを強化した攻撃に焦点を当てた卓上演習を含む利害関係者との関与を通じて、CISAはAIシステムを敵対的な操作や悪用から保護する。
2 \| CISA supports the advancement of AI risk management practices across the critical infrastructure community through the publication and dissemination of decision support materials, such as a risk management guide for AI risks to critical infrastructure.	2｜CISAは、重要インフラに対するAIリスクのリスク管理ガイドなどの意思決定支援資料の出版・普及を通じて、重要インフラ・コミュニティ全体でAIのリスク管理実務の進展を支援する。
MEASUREMENT APPROACH:	測定方法
Number of publications and engagements that support shared awareness of emerging AI-related risks and advances in AI risk management practices.	新たなAI関連リスク及びAIリスク管理手法の進歩に関する認識の共有を支援する出版物及び関与の数。
OBJECTIVE 3.1 \| Regularly engage industry stakeholder partners that are developing AI tools to assess and address security concerns to critical infrastructure and evaluate methods for educating partners and stakeholders.	目標3.1｜重要インフラに対するセキュリティ上の懸念を評価し対処するためのAIツールを開発している業界の利害関係者パートナーを定期的に関与させ、パートナーや利害関係者を教育する方法を評価する。
CISA will build on existing structures to advance industry collaboration and coordination around AI security. The Information Technology Sector Coordinating Council’s AI Working Group, which was established in March 2023, will continue to provide advice on AI security challenges and feedback on agency AI initiatives.	CISAは、AIセキュリティに係る業界の協力・協調を推進するため、既存の体制を構築する。2023年3月に設立された情報技術部門調整協議会のAI作業部会は、引き続きAIセキュリティの課題に関する助言と省庁のAIイニシアティブに関するフィードバックを提供する。
CISA will also stand up an operational effort in the Joint Cyber Defense Collaborative (JCDC), JCDC.AI, to catalyze focused collaboration around threats, vulnerabilities, and mitigations affecting AI systems. The JCDC effort will also explore potential operational planning efforts that bring together AI providers and critical infrastructure operators to address specific risks.	CISAはまた、AIシステムに影響を及ぼす脅威、脆弱性、緩和策に関する集中的な協力を促進するため、Joint Cyber Defense Collaborative (JCDC)のJCDC.AIという運用努力も立ち上げる。また、JCDCの取り組みは、AIプロバイダーと重要インフラ事業者が特定のリスクに対処するために結集する運用計画努力の可能性を探る。
OBJECTIVE 3.2 \| Use CISA partnerships and working groups to share information on AI-driven threats.	目標3.2｜CISAのパートナーシップと作業部会を利用して、AI主導の脅威に関する情報を共有する。
CISA will use agency partnerships and working groups, including JCDC.AI, to share information on AI-driven threats. The agency will engage industry, federal, and international partners to understand emerging threats and share them with the broader commuity.	CISAは、JCDC.AIを含む機関のパートナーシップやワーキング・グループを活用して、AI主導の脅威に関する情報を共有する。CISAは、新たな脅威を理解し、より広範な社会と共有するために、産業界、連邦政府、および国際的なパートナーを関与させる。
OBJECTIVE 3.3 \| Assess AI risks to critical infrastructure. Each critical infrastructure sector has a unique set of needs and capabilities.	目標3.3｜重要インフラに対するAIリスクを評価する。各重要インフラ部門には、固有のニーズと能力がある。
As adversaries adopt AI-enabled software systems and as AI expands the cyber threat landscape, CISA will publish materials to raise awareness of emerging risks. CISA will also evaluate risk management approaches and methodologies to determine the appropriate analytical framework for the assessment and treatment of AI risks and will identify necessary enhancements.	敵対者がAI対応ソフトウェア・システムを採用し、AIがサイバー脅威の状況を拡大するにつれて、CISAは新たなリスクに対する認識を高めるための資料を公表する。CISAはまた、AIリスクの評価と処置のための適切な分析枠組みを決定するために、リスク管理アプローチと方法論を評価し、必要な強化を特定する。
LINE OF EFFORT 4: Collaborate with and Communicate on Key AI Efforts with the Interagency, International Partners, and the Public	取り組み4：省庁間、国際的なパートナー、一般市民と協力し、AIの重要な取組に関してコミュニケーションを図る。
CISA will contribute to DHS-led and interagency processes on AI-enabled software. This LOE includes developing policy approaches for the U.S. government’s overall national strategy on AI and supporting a whole-of-DHS approach on AI-based-software policy issues. This LOE also includes coordinating with international partners to advance global AI best practices and principles.	CISAは、AI対応ソフトウェアに関するDHS主導の省庁間プロセスに貢献する。このLOEには、AIに関する米国政府の全体的な国家戦略のための政策アプローチを策定することや、AIベースのソフトウェア政策に関するDHS全体のアプローチを支援することが含まれる。また、このLOEには、世界的なAIのベストプラクティスと原則を推進するための国際パートナーとの調整も含まれる。
REPRESENTATIVE OUTCOMES	主な成果
1 \| CISA stakeholders are aligned around clear guidance for AI security.	1｜CISAの利害関係者が、AIセキュリティに関する明確なガイダンスを中心に足並みを揃える。
MEASUREMENT APPROACH	測定方法
Proportion of AI-focused guidance and policy documents developed in collaboration with U.S. interagency and international partners.	AIに焦点を当てたガイダンス及び政策文書のうち、米国の省庁間及び国際的なパートナーと協力して作成されたものの割合。
OBJECTIVE 4.1 \| Support the development of a whole-of-DHS approach on AI policy issues.	目標4.1｜AI政策課題に関する国土安全保障省全体のアプローチの策定を支援する。
CISA will support the development of a whole-of-DHS approach to AI policy issues. As CISA develops our agency-specific AI efforts, we will closely coordinate with DHS entities, including the DHS AI Task Force.	CISAは、AI政策課題に対する国土安全保障省全体のアプローチの開発を支援する。CISAが機関固有のAI取り組みを展開する際には、DHS AIタスクフォースなどのDHS機関と緊密に連携する。
OBJECTIVE 4.2 \| Participate in interagency policy meetings and interagency working groups on AI.	目標4.2｜AIに関する省庁間政策会議や省庁間作業部会に参加する。
CISA will attend interagency meetings to foster coherent and collaborative approaches to federal government AI policy	CISAは、連邦政府のAI政策に対する首尾一貫した協調的アプローチを促進するため、省庁間会議に出席する。
OBJECTIVE 4.3 \| Develop CISA policy positions that take a strategic, national level perspective for AI policy documents, such as memoranda and other products.	目標4.3｜覚書等のAI政策文書について、戦略的で国家レベルの視点を持つCISA政策ポジションを策定する。
CISA will develop policy positions that take a strategic, national level perspective for AI policy documents and ensure alignment of CISA strategies, priorities, and policies with interagency doctrine. CISA will drive policy decisions to support critical infrastructure equities and integrate national strategic level perspectives in key AI policy documents. Additionally, to increase public awareness about AI assurance, CISA will develop AI assurance publications.	CISAは、AI政策文書について戦略的、国家レベルの視点を持つ政策ポジションを策定し、CISAの戦略、優先事項、政策と省庁間のドクトリンとの整合性を確保する。CISAは、重要インフラの公平性を支える政策決定を推進し、主要なAI政策文書に国家戦略レベルの視点を統合する。さらに、AI保証に関する国民の認識を高めるため、CISAはAI保証に関する出版物を作成する。
OBJECTIVE 4.4 \| Ensure CISA strategy, priorities, and policy framework align with interagency policies and strategy.	目標4.4｜CISAの戦略、優先事項、政策枠組みが省庁間の政策や戦略と整合するようにする。
CISA will work across the interagency to ensure CISA policies and strategies align with the whole-of-government approach to AI.	CISAは、CISAの方針及び戦略がAIに対する政府全体のアプローチと整合するよう、省庁間で連携する。
OBJECTIVE 4.5 \| Engage with international partners surrounding global AI security.	目標4.5｜グローバルなAIの安全保障をめぐる国際的パートナーと連携する。
CISA will co-develop and co-seal guidance for AI security with other federal agencies and international partners. CISA will engage with international partners surrounding global AI security and encourage the adoption of international best practices for secure AI.	CISAは、他の連邦政府機関や国際的パートナーとAIセキュリティに関するガイダンスを共同開発し、共同承認する。CISAは、グローバルなAIセキュリティを取り巻く国際的なパートナーと関わり、安全なAIのための国際的なベスト・プラクティスの採用を奨励する。
LINE OF EFFORT 5: Expand AI Expertise in our Workforce	取り組み5：労働力におけるAIの専門知識の拡大
CISA will continue to educate our workforce on AI software systems and techniques, and the agency will continue to actively recruit interns, fellows, and future employees with AI expertise. CISA will ensure that internal training reflects—and new recruits understand—the legal, ethical, and policy aspects of AI-based software systems in addition to the technical aspects.	CISAは、AIソフトウェア・システムと技術に関する従業員の教育を継続し、AIに精通したインターン、フェロー、将来の従業員を積極的に採用し続ける。CISAは、技術的側面に加え、AIベースのソフトウェア・システムの法的、倫理的、政策的側面を内部研修に反映させ、新入社員が理解するようにする。
REPRESENTATIVE OUTCOMES	主な成果
1 \| CISA hires, trains, and retains a workforce with AI expertise.	1｜CISAは、AIの専門知識を有する労働力を雇用し、訓練し、維持する。
MEASUREMENT APPROACH	測定方法
Increased AI expertise in the CISA workforce.	CISAの労働力におけるAIの専門知識が増加する。
OBJECTIVE 5.1 \| Connect and amplify AI expertise that already exists in CISA’s workforce.	目標5.1｜CISAの労働力に既に存在するAIの専門知識を結び付け、増幅する。
As the nation’s cyber defense agency, the CISA team includes a strong workforce of cybersecurity experts. The agency will identify and leverage existing AI expertise across CISA. We will also develop an AI community of practice for engagement across the agency, as well as maintain key points of contact from each division leading AI activities, positioning the agency for a collaborative and cohesive approach to expanding our AI capabilities.	国のサイバー防衛機関として、CISAチームにはサイバーセキュリティ専門家の強力な労働力が含まれている。CISAは、CISA全体に存在するAIの専門知識を特定し、活用する。また、AI能力を拡大するための協力的で結束力のあるアプローチのために、AI活動を主導する各部門の主要な窓口を維持するだけでなく、機関全体が関与するためのAI実践コミュニティを開発する。
OBJECTIVE 5.2 \| Recruit interns, fellows, and staff with AI expertise.	目標5.2｜AIに精通したインターン、フェロー、スタッフを採用する。
CISA will recruit interns, fellows, and staff with AI expertise. CISA will use a variety of pathways, including the Cyber Talent Management System (CTMS), for recruiting, developing, and maintaining our AI workforce.	CISAは、AIの専門知識を有するインターン、フェロー、職員を採用する。CISAは、AI人材の採用、育成、維持のために、サイバー人材管理システム（CTMS）を含む様々な経路を利用する。
OBJECTIVE 5.3 \| Educate CISA's workforce on AI.	目標5.3｜AIについてCISAの労働力を教育する。
CISA will provide training and education opportunities for employees on an ongoing basis as part of our plan to help our workforce have the knowledge and skills to engage, innovate, and apply appropriately the current and emerging capabilities afforded by AI.	CISAは、従業員がAIに従事し、革新し、AIによってもたらされる現在および新たな能力を適切に適用するための知識と技能を持つことを支援する計画の一環として、従業員に対して継続的に研修・教育の機会を提供する。
OBJECTIVE 5.4 \| Ensure internal training not only reflects technical expertise, but also incorporates legal, ethical, and policy considerations of AI implementation across all aspects of CISA’s work.	目標5.4｜社内研修に技術的な専門知識を反映させるだけでなく、CISAの業務のあらゆる側面にAI導入の法的、倫理的、政策的な考慮事項を盛り込むようにする。
CISA will provide access to training that includes objectives on legal, ethical, and policy aspects of implementing AI.	CISAは、AI導入の法的、倫理的、政策的側面に関する目標を含む研修へのアクセスを提供する。
CONCLUSION	結論
A whole-of-government approach is needed to fully harness the benefits and mitigate the risks of AI. Through the initiatives outlined in this roadmap, CISA strives toward our vision of a nation in which AI systems advance our nation’s cyber defense, where our critical infrastructure is resilient and protected from malicious use of AI, and where AI developers prioritize the security of their products as a core business requirement.	AIの恩恵を十分に活用し、リスクを軽減するためには、政府全体のアプローチが必要である。CISAは、このロードマップに示された取り組みを通じて、AIシステムがわが国のサイバー防衛を推進し、重要インフラがAIの悪意ある利用から弾力的に保護され、AI開発者が自社製品のセキュリティをビジネスの中核要件として優先させるような国家というビジョンに向けて邁進する。

このリストは参考になります。。。

RECENT U.S. EFFORTS ON AI POLICY	AI政策に関する米国の最近の取り組み
Recent actions taken by the U .S . government’s executive and legislative branches related to AI-based software systems reflect the need to marshal a national effort to defend critical infrastructure and government networks and assets, work with partners across government and industry, and expand existing services and programs for federal civilian agencies and critical infrastructure owners and operators . The following recent efforts guide CISA’s actions in this plan:	AIベースのソフトウェア・システムに関連する米国政府の行政府および立法府による最近の動きは、重要インフラおよび政府のネットワークと資産を防衛するための国家的な努力を結集し、政府および産業界のパートナーと協力し、連邦民間機関および重要インフラの所有者および運用者のための既存のサービスおよびプログラムを拡大する必要性を反映している。本計画におけるCISAの行動の指針となっているのは、以下の最近の取り組みである：
Executive Order 14110 “Safe, Secure, And Trustworthy Development and Use of Artificial Intelligence (AI)." (October 2023)	大統領令第14110号 "人工知能（AI）の安全、安全、信頼できる開発と利用"。(2023年10月）
This EO focuses on ensuring that AI is safe and secure . This will require robust, reliable, repeatable, and standardized evaluations of AI systems, as well as policies, institutions, and mechanisms to test, understand, and mitigate risks from these systems before they are put to use .	このEOは、AIを安全かつ確実にすることに焦点を当てている。そのためには、AIシステムの強固で信頼性の高い、反復可能で標準化された評価と、これらのシステムが使用される前にテストし、理解し、リスクを軽減するための政策、制度、メカニズムが必要となる。
Voluntary Commitments from Leading Artificial Intelligence Companies to Manage the Risks Posed by AI. (Updated September 2023)	AIがもたらすリスクを管理するための大手人工知能企業の自主的コミットメント。(2023年9月更新）
The Biden-Harris administration has secured voluntary commitments from leading AI companies to help move toward safe, secure, and transparent development of the AI technology . These commitments include ensuring products are safe before introducing them to the public, building systems that put security first, and earning the public’s trust .	バイデン-ハリス政権は、AI技術の安全、安心、透明な開発に向けて、大手AI企業から自発的なコミットメントを確保した。これらのコミットメントには、一般に導入する前に製品の安全性を確保すること、セキュリティを最優先するシステムを構築すること、国民の信頼を得ることなどが含まれる。
DHS Policy Statement 139-06 Acquisition and Use of Artificial Intelligence and Machine Learning by DHS Components. (August 2023)	DHS政策声明139-06 DHS構成機関による人工知能と機械学習の取得と使用。(2023年8月）
This policy statement provides that DHS will acquire and use AI only in a manner that is consistent with the Constitution and all other applicable laws and policies .	この方針声明は、DHSがAIを取得し使用するのは、憲法および他のすべての適用法および方針と矛盾しない方法のみであることを規定している。
New National Science Foundation Funding. (May 2023)	新しい全米科学財団の資金援助。(2023年5月)
This dedicated $140 million will launch seven new National AI Research Institutes to promote responsible innovation, bolster America’s AI research and development (R&D) infrastructure and support the development of a diverse AI workforce .	この1億4,000万ドルの資金により、責任あるイノベーションを促進し、米国のAI研究開発（R&D）インフラを強化し、多様なAI人材の育成を支援する7つの国立AI研究機関が新たに設立される。
AI Risk Management Framework (RMF). (January 2023)	AIリスク管理フレームワーク（RMF）。(2023年1月）
In collaboration with the private and public sectors, the National Institute of Standards and Technology (NIST) developed this framework to better manage risks—to individuals, organizations, and society—that are uniquely associated with AI . The NIST AI RMF, intended for voluntary use, aims to improve the ability to incorporate trustworthiness considerations into the design, development, use, and evaluation of AI products, services, and systems .	米国国立標準技術研究所（NIST）は、AIに特有の個人、組織、社会に対するリスクをより適切に管理するため、官民の協力を得て、このフレームワークを開発した。NIST AI RMFは自主的な使用を目的としており、AI製品、サービス、システムの設計、開発、使用、評価に信頼性への配慮を組み込む能力を向上させることを目的としている。
Blueprint for an AI Bill of Rights. (October 2022)	AI権利章典の青写真。(2022年10月）
This framework is a set of five principles— identified by the White House Office of Science and Technology Policy—that should guide the design, use, and deployment of automated systems to protect the American public in the age of AI .	この枠組みは、ホワイトハウスの科学技術政策室によって特定された5つの原則であり、AIの時代に米国民を保護するための自動化システムの設計、使用、展開の指針となるべきものである。
2021 Final Report of the National Security Commission on Artificial Intelligence. (March 2021)	2021 人工知能に関する国家安全保障委員会の最終報告書。(2021年3月）
This report presented an integrated national strategy to reorganize the government, reorient the nation, and rally our closest allies and partners to defend and compete in the coming era of AI-accelerated competition and conflict .	この報告書は、政府を再編成し、国家を再編成し、最も緊密な同盟国やパートナーを結集して、AIが加速する来るべき競争と紛争の時代を防衛し、競争するための統合国家戦略を提示した。
National Artificial Intelligence Initiative (NAII) Act of 2020 (Division E of the National Defense Authorization Act for Fiscal Year 2021). (January 2021)	2020年国家人工知能イニシアチブ（NAII）法（2021会計年度国防授権法E部門）。(2021年1月）
Among other things, this act established direction and authority to coordinate AI research, development, and demonstration activities among civilian agencies, the Department of Defense, and the intelligence community to ensure that each informs the work of the others .	この法律は、特に、民間機関、国防総省、情報機関の間でAIの研究、開発、実証活動を調整し、それぞれが他の機関の活動に確実に情報を提供するための方向性と権限を確立した。
AI in Government Act of 2020 (Title I of Division U of the Consolidated Appropriations Act, 2021). (December 2020)	2020年政府におけるAI法（2021年連結歳出法U部門タイトルI）。(2020年12月）
This act created the AI Center of Excellence within the General Services Administration and directed the Office of Management and Budget (OMB) to issue a memorandum informing federal agencies of policies for acquisition and application of AI and identifying best practices for mitigating risks .	この法律は、AI Center of ExcellenceをGeneral Services Administration内に設立し、管理予算局（OMB）に対し、AIの取得と適用に関する方針を連邦政府機関に通知し、リスクを軽減するためのベストプラクティスを特定する覚書を発行するよう指示した。
Department of Homeland Security 2020 Artificial Intelligence Strategy. (December 2020)	国土安全保障省の2020年人工知能戦略。(2020年12月）
This strategy set out to enhance DHS’s capability to safeguard the American people, our homeland, and our values through the responsible integration of AI into DHS’s activities and the mitigation of new risks posed by AI .	この戦略は、DHSの活動にAIを責任を持って統合し、AIがもたらす新たなリスクを軽減することで、米国民、国土、我々の価値を守るDHSの能力を強化することを目的としている。
EO 13960: Promoting the Use of Trustworthy AI in the Federal Government. (December 2020)	EO 13960 連邦政府における信頼できるAIの利用を促進する。(2020年12月）
This executive order required federal agencies to inventory their AI use cases and share their inventories with other government agencies and the public .	この大統領令は、連邦政府機関に対し、AIのユースケースを目録化し、その目録を他の政府機関や一般市民と共有することを求めた。
EO 13859: Maintaining American Leadership in AI. (February 2019)	EO 13859： AIにおけるアメリカのリーダーシップを維持する。(2019年2月）
This executive order established federal principles and strategies to strengthen the nation's capabilities in AI to promote scientific discovery, economic competitiveness, and national security .	この大統領令は、科学的発見、経済競争力、国家安全保障を促進するために、AIにおける国家の能力を強化するための連邦政府の原則と戦略を定めた。

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.31 米国人工知能の安全、安心、信頼できる開発と利用に関する大統領令

・2023.01.27 NIST AIリスクフレームワーク

・2022.10.07 米国科学技術政策局 AI権利章典の青写真

・2021.05.10 米国連邦政府人工知能イニシアティブ

・2021.01.06 米国 2021年度 National Defense Authorization Act (NDAA) （国防授権法）成立　サイバー関係も・・・

・2020.11.30 米国 OMBが「人工知能アプリケーション規制のためのガイダンス」を発行

2023.11.28 04:52 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2023.11.27

経済産業省産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書

こんにちは、丸山満彦です。

経済産業省産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書が公表されていますね。。。

サイバー攻撃が高度化する中、攻撃の全容の把握や被害の拡大を防止する等の観点から、被害組織を直接支援する専門組織を通じたサイバー被害に係る情報の速やかな共有が効果的です。この観点から、経済産業省では、2023年5月より「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」を開催し、今回、最終報告書等を取りまとめました。

で、背景・趣旨

1．背景・趣旨

サイバー攻撃が高度化する中、単独組織による攻撃の全容解明は困難となっており、攻撃の全容の把握や被害の拡大を防止する等の観点からサイバー攻撃に関する情報共有は極めて重要です。このため、経済産業省では、関係省庁と連携して、サイバー攻撃を受けた被害組織がサイバーセキュリティ関係組織とサイバー攻撃被害に係る情報を共有する際の実務上の参考となるガイダンス（「サイバー攻撃被害に係る情報の共有・公表ガイダンス」）を今年3月に策定・公表したところです。

他方で、被害組織自らによる情報共有には、被害組織側に自らが受けられる情報共有メリット以上の調整コストが発生する等の課題があります。そこで、被害組織を直接支援する専門組織を通じた速やかな情報共有の促進が重要となりますが、専門組織を通じた情報共有を促進するためには、①秘密保持契約による情報共有への制約、②非秘密情報からの被害組織の特定・推測の可能性の課題に対応する必要があります。

こうした課題に対応するため、経済産業省では、「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」を開催し、被害組織自身による情報共有ではなく、被害拡大防止に資する専門組織を通じた情報共有を促進するための必要事項の検討を行い、今般取りまとめを行いました。

とのことです。。。

米国の場合は、多くの情報をもっている連邦政府が国益を考え、民間部門に広く情報を提供することにより、国全体のセキュリティを向上しようという方向ですよね。。。そして、それを法定している。。。もちろん、重要インフラについては事故等の情報を政府に報告する必要はありますが、その情報から得られた知見も民に共有されていくことになりますよね。。。

こちらの提案は、主に民のセキュリティインシデント等の情報を例えば、SOCベンダーなどのセキュリティベンダーを媒介に共有しようという感じに見られますね。。。

おそらく、本来的には被害組織が情報を提供するモデルを想定していたが、被害組織にとっては情報を非特定化するなどのクレンジング作業にコストがかかるのにメリットがないということで、情報提供をしないだろう、であれば、例えばSOCベンダーのようなセキュリティベンダーにそれを負担させよう（なぜなら、ベンダーはその情報をもとに他の組織への同種の攻撃の防御にも使える等のメリットがありそうだから。。。）ということになっているのかな。。。と思いました。

SOCベンダーがA社の機器の監視をしていて攻撃を検知し、対応をしたとしても、その情報はA社の情報なので、これから攻撃を受けそうなB社に対して先手をうった防御（アクティブディフェンス）には利用できていないですよね。。。それを解消できればよいのに。。。というのが一つのパターンなんでしょうね。。。

幅広い情報をセキュリティベンダーが非特定化して利用することになるというのであれば、一般の組織は抵抗があるでしょうから、共有する情報はわかりやすい情報（攻撃元のIPアドレス等、マルウェアの検体等）に限定するような契約書の記載がよいのではないでしょうかね。。。まずは、、、

あと気になるのは、これを普及させるために、SOCベンダーが、情報共有NDA条項を標準契約の中に入れてしまうのではないかということですね。。。本来的なサービスはこの条項がなくても成立しているので、これを抱き合わせしまうのは、どうなんだろうか、、、という意見がでてきそうですね。。。この情報共有NDA条項を受け入れた組織だけが、他の攻撃情報等の共有を受けられるというのはありですかね。。。

公益的な目的が社会のコンセンサスになっているのであれば、法律にしてしまえばよいのですけどね。。。そうなっていないから、今はガイドラインで、、、ということなのでしょうね。。。

ガイドラインの普及啓発をしながら、社会に必要性を訴求していくことが必要かもしれませんね。。。その結果、法律まではいらんやろ。。。ということになるかもしれませんが、議論を深めることは重要だろうと思います。。。

ということで、

については、パブリックコメントを12月22日まで受け付けているようですので、是非。。。

● 経済産業省

・2023.11.22 産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書等を取りまとめました

・[PDF] サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書概要

・[PDF] サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書

・[PDF] 攻撃技術情報の取扱い・活用手引き（案）

・[PDF] 秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文案

検討会

・サイバー攻撃による被害に関する情報共有の促進に向けた検討会

2023.11.22	報告書等	サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書概要
		サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書
		攻撃技術情報の取扱い・活用手引き（案）
		秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文（案）
2023.11.13	第6回	議事次第
		資料1-1　サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書概要案 ※非公開
		資料1-2　サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書案 ※非公開
		資料2　秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文案 ※非公開
		資料3　攻撃技術情報の取扱い・活用手引き案 ※非公開
		補足説明資料　「専門組織」のクラリファイ問題
		資料　JPCERT／CC「「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」各成果物の展開に向けた意見」
		議事要旨（後掲）
2023.09.26	第5回	議事要旨
2023.07.21	第4回	議事次第
		資料1　事務局説明資料（一部非公開）
		議事要旨
2023.06.26	第3回	資料1　事務局説明資料
		資料2　関係者からの説明資料（非公表）
		議事要旨
2023.05.29	第2回	資料1　事務局説明資料
		資料2　関係者からの説明資料（非公表）
		議事要旨
2023.05.15	第1回	議事次第
		資料1-1　サイバー攻撃による被害に関する情報共有の促進に向けた検討会について
		資料1-2　サイバー攻撃による被害に関する情報共有の促進に向けた検討会運営要領（案）
		資料2-1　事務局説明資料
		資料2-2　JPCERT／CC 説明資料
		議事要旨

サイバー攻撃被害に係る情報の共有・公表ガイダンス

・2023.03.08 「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.05 米国 GAO 重要インフラ保護：国家サイバーセキュリティ戦略は情報共有のパフォーマンス指標と方法に取り組む必要がある

・2023.03.09 総務省経済産業省警察庁、内閣官房「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表

・2022.12.27 総務省経済産業省警察庁、内閣官房「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」に関する意見募集

・2022.04.21 総務省経済産業省警察庁、内閣官房サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催

こちらも是非参考に...

連邦政府の情報共有ガイダンスも紹介しています。。。

・2022.08.18 米国国土安全保障省内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要

2023.11.27 03:56 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in パブコメ, in 安全保障 | Permalink | Comments (0)
Tweet

NIST TN 2276 NIST Phish Scale ユーザーガイド

こんにちは、丸山満彦です。

米国国立標準技術研究所（NIST）の人間中心のサイバーセキュリティ・プログラムが、NIST Phish Scaleユーザーガイドを発表していますね。。。

フィッシングメールから、いろいろな事案につながることが多いので、ここである程度防げると、すこしばかり被害が減らせることもありますかね。。。

このガイドは実務者向けに作成されたもので、フィッシングに関する意識向上トレーニング・プログラムにおけるPhish Scaleの適用方法について、説明しているもので、

背景
構成要素
詳細なキューの説明
Phish Scaleの結果の解釈
フィッシングメールにPhish Scaleを適用するためのインタラクティブなNIST Phish Scaleワークシート

が記載されていますね。。。

Phish Scaleは、メールのフィッシング検知の難易度を評価するために考案された手法とのことで、フィッシングの認知度を高めるためのトレーニング・プログラムに追加的な指標を提供するために、世界中の組織で採用されているとのことです。

フィッシング・トレーニングの実施者は、このPhish Scaleを使って、クリック率やフィッシング演習の結果を報告するようです。

● NIST - ITL

プレス

・2023.11.20 The NIST Phish Scale User Guide is Now Available!

文書

・2023.11.20 NIST TN 2276 NIST Phish Scale User Guide

NIST TN 2276 NIST Phish Scale User Guide	NIST TN 2276 NIST Phish Scale ユーザーガイド
Abstract	概要
Phishing cyber threats impact private and public sectors both in the United States and internationally. Embedded phishing awareness training programs, in which simulated phishing emails are sent to employees, are designed to prepare employees in these organizations to combat real-world phishing scenarios. Cybersecurity and phishing awareness training implementers and practitioners use the results of these programs, in part, to assess the security risk of their organization. The NIST Phish Scale is a method created for these implementers to rate an email’s human phishing detection difficulty as part of their cybersecurity awareness and phishing training programs. This User Guide outlines the Phish Scale in its entirety while providing instructional steps on how to apply it to phishing emails. Further, appendices include 1) worksheets to assist training implementers in applying the Phish Scale and 2) detailed information regarding email properties and associated research in the literature.	フィッシングのサイバー脅威は、米国内外の民間企業や公的機関に影響を与えている。模擬フィッシングメールが従業員に送信される組み込み型フィッシング認識トレーニングプログラムは、これらの組織の従業員が実際のフィッシングシナリオに対抗できるように準備するために設計されている。サイバーセキュリティとフィッシング・アウェアネス・トレーニングの実施者や実務者は、組織のセキュリティ・リスクを評価するために、これらのプログラムの結果を一部利用している。NIST Phish Scale はこのような実施者がサイバーセキュリティ意識向上やフィッシングトレーニングプログラムの一環として、電子メールの人間によるフィッシング検知の難易度を評価するために作成された方法である。このユーザーガイドでは、Phish Scale の概要を説明し、フィッシング・メールに適用する方法を解説している。さらに、附属書として、1) Phish Scaleの適用に関するトレーニング実施者を支援するワークシート、2) 電子メールの特性に関する詳細な情報および文献における関連研究が含まれている。

・[PDF] NIST.TN.2276

・[DOCX] 仮訳

2023.11.27 00:00 in 情報セキュリティ / サイバーセキュリティ, in フィッシング, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2023.11.26

英国 AI規制法案上院で審議開始

こんにちは、丸山満彦です。

AI規制法案が上院のリッチモンド・ホームズ卿 [web][web][X][wikipedia]がスポンサーになって議案と上がっていて、上院で第2回の読み合わせがおわっていますね。。。ということでまだまだですが、参考までに。。。

リッチモンド・ホームズ卿（男爵）は遺伝病で失明したパラリンピック金メダリストなんですね。。。

引退後は、弁護士を務め、その後議員となり、金融関連の法案を提出したりしているようですね。。。

さて、法案...

EUのAI法案とは雰囲気が違いますね。。。

・AIを統合的に規制する官庁をつくり、そこで総合的な調整をすることを想定しているようですね。。。

規制は、AI規制庁、AIを開発・運用する企業

まずは、AI規制庁

(1) The AI Authority must have regard to the principles that—	(1) AI規制庁は、以下の原則に留意しなければならない。
(a) regulation of AI should deliver—	(a) AIに対する規制は，以下を実現すべきである。
(i) safety, security and robustness;	(i) 安全，セキュリティ及び堅牢性
(ii) appropriate transparency and explainability;	(ii) 適切な透明性と説明可能性
(iii) fairness;	(iii) 公平性
(iv) accountability and governance;	(iv) 説明責任とガバナンス
(v) contestability and redress;	(v) 競争可能性と救済

企業に対しては...

(b) any business which develops, deploys or uses AI should—	(b) AIを開発、導入、利用する企業は、以下を行うべきである。
(i) be transparent about it;	(i) 透明性を確保する；
(ii) test it thoroughly and transparently;	(ii) 徹底的かつ透明性をもってテストする；
(iii) comply with applicable laws, including in relation to data protection, privacy and intellectual property;	(iii) データ保護、プライバシー、知的財産を含む適用法を遵守する；

そしてAIについての監査も含まれていますね。。。

おそらくISO的な監査を想定しているのだろうと思います。

これは通るかどうかわからないので、参考まで。。。

ということで、

● UK Parliament

・2023.11.23 Artificial Intelligence (Regulation) Bill [HL]

・[PDF]

・[HTML]

目次...

1 The AI Authority	1 AI規制庁
2 Regulatory principles	2 規制の原則
3 Regulatory sandboxes	3 規制のサンドボックス
4 AI responsible officers	4 AI責任者
5 Transparency, IP obligations and labelling	5 透明性、知的財産義務、ラベリング
6 Public engagement	6 公的関与
7 Interpretation	7 解釈
8 Regulations	8 規則
9 Extent, commencement and short title	9 範囲、開始および略称

Artificial Intelligence (Regulation) Bill [HL]	人工知能（規制）法案［HL］
CONTENTS	目次
1 The AI Authority	1 AI規制庁
2 Regulatory principles	2 規制の原則
3 Regulatory sandboxes	3 規制のサンドボックス
4 AI responsible officers	4 AI責任者
5 Transparency, IP obligations and labelling	5 透明性、知的財産義務、ラベリング
6 Public engagement	6 公的関与
7 Interpretation	7 解釈
8 Regulations	8 規則
9 Extent, commencement and short title	9 範囲、開始および略称

A BILL TO	以下の法案を提出する。
Make provision for the regulation of artificial intelligence; and for connected purposes.	人工知能の規制に関する規定、およびそれに関連する目的を定める。
BE IT ENACTED by the King’s most Excellent Majesty, by and with the advice and consent of the Lords Spiritual and Temporal, and Commons, in this present Parliament assembled, and by the authority of the same, as follows:—	国王陛下は、本国会において、霊的・時間的諸侯およびコモンズの助言と同意を得て、またその権限により、以下のとおり制定される。
1 The AI Authority	1 AI規制庁
(1) The Secretary of State must by regulations make provision to create a body called the AI Authority.	(1) 閣内大臣は、規則により、AI規制庁と呼ばれる機関を設置する規定を設けなければならない。
(2) The functions of the AI Authority are to—	(2) AI規制庁の機能は以下のとおりである。
(a) ensure that relevant regulators take account of AI;	(a) 関連する規制当局がAIを考慮することを確保する；
(b) ensure alignment of approach across relevant regulators in respect of AI;	(b) AIに関して、関連規制当局間のアプローチの整合性を確保する；
(c) undertake a gap analysis of regulatory responsibilities in respect of AI;	(c) AIに関する規制当局の責任のギャップ分析を行う；
(d) coordinate a review of relevant legislation, including product safety, privacy and consumer protection, to assess its suitability to address the challenges and opportunities presented by AI;	(d) AIがもたらす課題と機会に対処するための適切性を評価するため、製品安全、プライバシー、消費者保護を含む関連法令の見直しを調整する；
(e) monitor and evaluate the overall regulatory framework’s effectiveness and the implementation of the principles in section 2, including the extent to which they support innovation;	(e) 規制の枠組み全体の有効性と、イノベーションを支援する程度を含む第2項の原則の実施状況を監視・評価する；
(f) assess and monitor risks across the economy arising from AI;	(f) AIから生じる経済全体のリスクを評価・監視する；
(g) conduct horizon-scanning, including by consulting the AI industry, to inform a coherent response to emerging AI technology trends;	(g) 新たなAI技術動向への首尾一貫した対応を知らせるため、AI業界との協議を含め、ホライズンスキャンニングを実施する；
(h) support testbeds and sandbox initiatives (see section 3) to help AI innovators get new technologies to market;	(h) AIイノベーターが新技術を市場に投入するのを支援するため、テストベッドとサンドボックス・イニシアチブ（第3項参照）を支援する；
(i) accredit independent AI auditors (see section 5(1)(a)(iv));	(i) 独立したAI監査人を認定する（第5節(1)(a)(iv)参照）；
(j) provide education and awareness to give clarity to businesses and to empower individuals to express views as part of the iteration of the framework;	(j) 枠組みの反復の一環として、企業に明確性を与え、個人が意見を表明できるようにするための教育と認識を提供する；
(k) promote interoperability with international regulatory frameworks.	(k) 国際的な規制の枠組みとの相互運用性を促進する。
(3) The Secretary of State may by regulations amend the functions in subsection (2), and may dissolve the AI Authority, following consultation with such persons as he or she considers appropriate.	(3) 閣内大臣は、規則により(2)項の機能を修正することができ、また、適切と考える者との協議の後、AI規制庁を解散することができる。
2 Regulatory principles	2 規制原則
(1) The AI Authority must have regard to the principles that—	(1) AI規制庁は、以下の原則に留意しなければならない。
(a) regulation of AI should deliver—	(a) AIに対する規制は，以下を実現すべきである。
(i) safety, security and robustness;	(i) 安全，セキュリティ及び堅牢性
(ii) appropriate transparency and explainability;	(ii) 適切な透明性と説明可能性
(iii) fairness;	(iii) 公平性
(iv) accountability and governance;	(iv) 説明責任とガバナンス
(v) contestability and redress;	(v) 競争可能性と救済
(b) any business which develops, deploys or uses AI should—	(b) AIを開発、導入、利用する企業は、以下を行うべきである。
(i) be transparent about it;	(i) 透明性を確保する；
(ii) test it thoroughly and transparently;	(ii) 徹底的かつ透明性をもってテストする；
(iii) comply with applicable laws, including in relation to data protection, privacy and intellectual property;	(iii) データ保護、プライバシー、知的財産を含む適用法を遵守する；
(c) AI and its applications should—	(c) AIとその応用は以下のようにすべきである。
(i) comply with equalities legislation;	(i) 平等法を遵守する；
(ii) be inclusive by design;	(ii) 設計上、包括的であること；
(iii) be designed so as neither to discriminate unlawfully among individuals nor, so far as reasonably practicable, to perpetuate unlawful discrimination arising in input data;	(iii) 個人間で違法な差別をしないように、また、合理的に実行可能な限り、入力データに起因する違法な差別を永続させないように設計する；
(iv) meet the needs of those from lower socio-economic groups, older people and disabled people;	(iv) 社会経済的低所得者層、高齢者、障害者のニーズを満たす；
(v) generate data that are findable, accessible, interoperable and reusable;	(v) 検索可能、アクセス可能、相互運用可能、再利用可能なデータを生成すること；
(d) a burden or restriction which is imposed on a person, or on the carrying on of an activity, in respect of AI should be proportionate to the benefits, taking into consideration the nature of the service or product being delivered, the nature of risk to consumers and others, whether the cost of implementation is proportionate to that level of risk and whether the burden or restriction enhances UK international competitiveness.	(d) AIに関して個人または活動の実施に課される負担または制限は、提供されるサービスまたは製品の性質、消費者等に対するリスクの性質、実施コストがそのリスクの程度に見合うかどうか、負担または制限が英国の国際競争力を高めるかどうかを考慮し、便益に見合うものでなければならない。
(2) The Secretary of State may by regulations amend the principles in subsection (1), following consultation with such persons as he or she considers appropriate.	(2) 閣内大臣は、適切と考える関係者との協議を経て、規則により(1)の原則を修正することができる。
3 Regulatory sandboxes	3 規制のサンドボックス
(1) The AI Authority must collaborate with relevant regulators to construct regulatory sandboxes for AI.	(1) AI規制庁は、AIに関する規制のサンドボックスを構築するために、関連する規制当局と協力しなければならない。
(2) In this section a “regulatory sandbox” is an arrangement by one or more regulators which—	(2) 本条において「規制のサンドボックス」とは、1つ以上の規制当局による以下のような取り決めをいう。
(a) allows businesses to test innovative propositions in the market with real consumers;	(a) 事業者が実際の消費者とともに革新的な提案を市場でテストすることを可能にする；
(b) is open to authorised firms, unauthorised firms that require authorisation and technology firms partnering with, or providing services to, UK firms doing regulated activities;	(b) 認可企業、認可を必要とする未認可企業、規制対象活動を行う英国企業と提携する、または英国企業にサービスを提供するテクノロジー企業に開放される；
(c) provides firms with support in identifying appropriate consumer protection safeguards;	(c) 適切な消費者保護セーフガードを特定するための支援を企業に提供する；
(d) requires tests to have a clear objective and to be conducted on a small scale;	(d) 明確な目的を持ち、小規模で実施される試験を要求する；
(e) requires firms which want to test products or services which are regulated activities to be authorised by or registered with the relevant regulator before starting the test.	(e) 規制対象活動である製品またはサービスのテストを希望する企業に対し、テスト開始前に、関連する規制当局の認可または登録を受けることを求める。
(3) The Secretary of State may by regulations amend the description in subsection (2), following consultation with such persons as he or she considers appropriate.	(3) 閣内大臣は、適切と考える者との協議に基づき、規則により(2)の記述を修正することができる。
4 AI responsible officers	4 AI 責任者
(1) The Secretary of State, after consulting the AI Authority and such other persons as he or she considers appropriate, must by regulations provide that any business which develops, deploys or uses AI must have a designated AI officer, with duties—	(1) 閣内大臣は，AI規制庁及び長官が適切と考えるその他の者と協議した後，規則により，AIを開発，配備又は使用する事業者は，次の職務を有する指名されたAI責任者を置かなければならないことを規定しなければならない。
(a) to ensure the safe, ethical, unbiased and non-discriminatory use of AI by the business;	(a) 事業者によるAIの安全、倫理的、公平かつ非差別的な利用を確保すること；
(b) to ensure, so far as reasonably practicable, that data used by the business in any AI technology is unbiased (see section 2(1)(c)(iii)).	(b) 合理的に実行可能な限り、事業者がAI技術で使用するデータが偏りのないものであることを保証すること（第2条(1)(c)(iii)参照）。
(2) In the Companies Act 2006, section 414C(7)(b), after paragraph (iii) insert—	(2) 2006年会社法第414C条(7)(b)において、(iii)項の後に以下を挿入する。
“(iv) any development, deployment or use of AI by the company, and the name and activities of the AI officer designated under the Artificial Intelligence (Regulation) Act 2024,”.	「(iv)会社によるAIの開発、展開または使用、ならびに2024年人工知能（規制）法に基づいて指定されたAI担当官の氏名および活動」。
(3) The Secretary of State may by regulations amend the duties in subsection (1) and the text inserted by section (2), following consultation with such persons as he or she considers appropriate.	(3) 閣内大臣は、適切と考える者との協議を経て、規則により、第(1)項の義務及び第(2)項により挿入された文章を修正することができる。
5 Transparency, IP obligations and labelling	5 透明性、知的財産義務およびラベリング
(1) The Secretary of State, after consulting the AI Authority and such other persons as he or she considers appropriate, must by regulations provide that—	(1) 閣内大臣は、AI機関及びその他適切と考える者と協議した後、規則により以下の事項を規定しなければならない。
(a) any person involved in training AI must—	(a) AIの訓練に関与する者は、以下のことを行わなければならない。
(i) supply to the AI Authority a record of all third-party data and intellectual property (“IP”) used in that training; and	(i) 当該訓練において使用された全ての第三者のデータ及び知的財産（「IP」）の記録をAI規制庁に提出すること。
(ii) assure the AI Authority that—	(ii) AI規制庁に対し、以下を保証すること。
(A) they use all such data and IP by informed consent; and	(A) インフォームド・コンセントに基づき、当該データおよび知的財産を全て使用すること。
(B) they comply with all applicable IP and copyright obligations;	(B) 適用されるすべての知的財産および著作権の義務を遵守すること；
(iii) any person supplying a product or service involving AI must give customers clear and unambiguous health warnings, labelling and opportunities to give or withhold informed consent in advance; and	(iii) AIを含む製品又はサービスを供給する者は、顧客に対し、明確かつ曖昧さのない健康上の警告、表示、及びインフォームド・コンセントを事前に与える又は保留する機会を与えなければならない。
(iv) any business which develops, deploys or uses AI must allow independent third parties accredited by the AI Authority to audit its processes and systems.	(iv) AIを開発、配備又は使用する事業者は、AI規制庁の認定を受けた独立した第三者がそのプロセス及びシステムを監査することを認めなければならない。
(2) Regulations under this section may provide for informed consent to be express (opt-in) or implied (opt-out) and may make different provision for different cases.	(2) 本条に基づく規則は、インフォームド・コンセントが明示的（オプトイン）又は黙示的（オプトアウト）であることを規定することができ、異なるケースについて異なる規定を設けることができる。
6 Public engagement	6 公的関与
The AI Authority must—	AI規制庁は，次のことを行わなければならない。
(a) implement a programme for meaningful, long-term public engagement about the opportunities and risks presented by AI; and	(a) AIがもたらす機会とリスクについて，有意義で長期的な一般市民参加のためのプログラムを実施する。
(b) consult the general public and such persons as it considers appropriate as to the most effective frameworks for public engagement, having regard to international comparators.	(b)国際的な比較対象を考慮し、一般市民及び適切と思われる者に、公的関与のための最も効果的な枠組みについて相談すること。
7 Interpretation	7 解釈
(1) In this Act “artificial intelligence” and “AI” mean technology enabling the programming or training of a device or software to—	(1) 本法において、「人工知能」および「AI」とは、以下のことを行う装置またはソフトウェアのプログラミングまたはトレーニングを可能にする技術を意味する。
(a) perceive environments through the use of data;	(a) データを利用して環境を認識する；
(b) interpret data using automated processing designed to approximat cognitive abilities; and	(b) 認知能力に近似するように設計された自動処理を使用してデータを解釈する。
(c) make recommendations, predictions or decisions; with a view to achieving a specific objective.	(c) 特定の目的を達成するために、推奨、予測、決定を行う。
(2) AI includes generative AI, meaning deep or large language models able to generate text and other content based on the data on which they were trained.	(2)AIには生成的AIが含まれ、学習されたデータに基づいてテキストやその他のコンテンツを生成できる深層または大規模な言語モデルを意味する。
8 Regulations	8 規制
(1) Regulations under this Act are made by statutory instrument.	(1) 本法に基づく規則は、法的文書によって制定される。
(2) Regulations under this Act may create offences and require payment of fees, penalties and fines.	(2) 本法に基づく規則は、犯罪を創設し、手数料、罰則および罰金の支払いを要求することができる。
(3) A statutory instrument containing regulations under section 1 or 2 or regulations covered by subsection (2) may not be made unless a draft of the instrument has been laid before and approved by resolution of both Houses of Parliament.	(3) 第1項もしくは第2項の規定または第(2)項に該当する規定を含む法定文書は、その文書の草案が国会両院の前に置かれ、その決議によって承認されない限り、作成することができない。
(4) A statutory instrument containing only regulations not covered by subsection (3) is subject to annulment in pursuance of a resolution of either House of Parliament.	(4) 第(3)項に該当しない規則のみを含む法定文書は、国会のいずれかの議院の決議により無効とされる。
(5) A statutory instrument containing regulations applying to Wales, Scotland or Northern Ireland must be laid before Senedd Cymru, the Scottish Parliament or the Northern Ireland Assembly respectively before being made.	(5) ウェールズ、スコットランドまたは北アイルランドに適用される規則を含む法定文書は、作成前に、それぞれセネダード・サイムル、スコットランド議会または北アイルランド議会に提出されなければならない。
9 Extent, commencement and short title	9 適用範囲、開始および略称
(1) This Act extends to England and Wales, Scotland and Northern Ireland.	(1) 本法は、イングランドおよびウェールズ、スコットランド、北アイルランドに適用される。
(2) This Act comes into force on the day on which it is passed.	(2) 本法は、成立の日に施行される。
(3) This Act may be cited as the Artificial Intelligence (Regulation) Act 2024.	(3) この法律は、人工知能（規制）法2024として引用することができる。

■ 参考

EUのAI法

・2021.04.21 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL - LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS

OECDの「人工知能に関する理事会勧告」

● OECD

・OECD AI Principles overview

・2019.05.22 [PDF] Recommendation of the Council on Artificial Intelligence

総務省による仮訳

・2019.05.22 [PDF] 人工知能に関する理事会勧告

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.16 OECD 主要国でのプライバシー・ガイドラインの実施状況

・2023.11.07 OECD OECDのAI原則の4年後の実施状況 (2023.10.27)

・2023.11.02 英国 AI安全サミット出席国によるブレッチリー宣言

・2023.10.31 外務省 G7 広島AIプロセスに関するG7首脳声明

・2023.10.31 米国人工知能の安全、安心、信頼できる開発と利用に関する大統領令

・2023.10.30 英国科学技術革新省フロンティアAI：その能力とリスク - ディスカッション・ペーパー

・2023.10.30 中国グローバルAIガバナンス・イニシアティブ (2023.10.19)

・2023.09.24 OECD 生成的人工知能のための初期政策検討

・2023.09.13 OECD 生成的人工知能（AI）に関するG7広島プロセス (2023.09.07)

・2023.08.25 英国 AIサミットは11月1日2日にブレッチリー・パークで開催

・2023.04.29 英国 AIに関する英国政府の発表をいくつか。。。

・2023.07.20 国連安全保障理事会の人工知能に関するセッションが初開催される

・2023.07.14 OECD 人工知能における規制のサンドボックス

・2023.06.18 英国科学技術省データ倫理・イノベーションセンター AI保証事例集 (2023.06.07)

・2023.06.06 個人情報保護委員会生成 AI サービスの利用に関する注意喚起等について (2023.06.02)

・2023.06.01 生成的AIとプライバシー当局（カナダ　ニュージーランド）

・2023.05.19 ドイツ BSI 大規模AI言語モデル - 産業界と公的機関の可能性とリスク (2023.05.10)

・2023.05.02 デジタル庁 G7群馬高崎デジタル・技術大臣会合の開催結果

・2023.05.01 米国国家人工知能諮問委員会1年間の活動報告書

・2023.04.29 英国 AIに関する英国政府の発表をいくつか。。。

・2023.04.05 英国 ICO ブログ生成的人工知能：開発者とユーザーが問うべき８つの質問...

・2023.04.01 英国意見募集 AI規制白書

・2023.03.30 欧州ユーロポール ChatGPTの犯罪利用-大規模言語モデルに関する注意事項

・2023.03.23 OECD 人工知能のための国家的な計算能力構築のための青写真 (2023.02.28)

・2023.03.23 OECD AIにおけるアカウンタビリティの高度化 (2023.02.23)

・2023.03.14 米国商工会議所人工知能報告書

・2023.03.10 英国 ICO Blog 国際女性デーに向けて...AIによる差別への対処が重要な理由

・2022.12.10 英国データ倫理・イノベーションセンター「業界温度チェック：AI保証の障壁と実現要因」

・2022.11.11 NIST ホワイトペーパー【プロジェクト概要】コンテキストにおけるAI/MLバイアスの緩和

・2022.11.06 英国データ倫理・イノベーションセンターデータおよびAIに対する国民の意識：トラッカー調査（第2回）

・2022.09.30 欧州委員会 AI責任指令案

・2022.09.20 米国 ITI AIシステムの透明性を実現するためのグローバルな政策原則 (2022.09.15)

・2022.08.24 NIST 意見募集 AIリスクマネジメントフレームワーク（第２ドラフト）とそのプレイブック

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク（初期ドラフト）

・2022.02.24 OECD AIシステム分類のためのOECDフレームワーク

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.05.10 米国連邦政府人工知能イニシアティブ

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2020.03.31 AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生　　 AI 原則は機能するか？―非拘束的原則から普遍的原則への道筋 by 新保史生先生

2023.11.26 07:14 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 監査 / 認証, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2023.11.25

英国データ保護とデジタル情報法政府案が下院で審議中

こんにちは、丸山満彦です。

EUから分離したので、英国はEUとは別に個人データ保護法を設計できるようになっているので、英国なりの視点でデータ保護法を検討していますね。。。

● GOV.UK

・2023.11.23 Changes to data protection laws to unlock post-Brexit opportunity

Changes to data protection laws to unlock post-Brexit opportunity	データ保護法の改正がブレグジット後の機会を解き放つ
Common sense changes to the Data Protection and Digital Information Bill will safeguard the public, prevent fraud, and unlock post-Brexit opportunities.	データ保護およびデジタル情報法案への常識的な変更は、国民を保護し、詐欺を防止し、ブレグジット後の機会を解き放つ。
・Data Protection and Digital Information Bill amendments tabled to further improve data security, bolster national security and prevent fraud	データ保護・デジタル情報法案の修正案が提出され、データセキュリティのさらなる改善、国家安全保障の強化、不正行為の防止が図られる。
・changes include better use of data to identify fraud - tackling benefits cheats intent on ripping off the taxpayer	納税者から金をむしり取ろうとする不正受給者に対処するため、不正を特定するためのデータ活用の改善を含む。
・new measures also brought forward around preserving the data of deceased children, supporting bereaved families and coroner investigations	また、死亡した子どものデータ保全、遺族支援、検視官調査に関する新たな措置も打ち出された。
A raft of common-sense changes to the Data Protection and Digital Information Bill will build an innovative data protection regime in the UK, crack down on benefit fraud cheats, and allow the country to realise new post-Brexit freedoms which are expected to deliver new economic opportunities to the tune of at least £4 billion.	Data Protection and Digital Information Bill（データ防御およびデジタル情報法案）に対する常識的な変更の数々は、英国における革新的なデータ保護体制を構築し、給付金詐欺を取り締まり、少なくとも40億ポンド規模の新たな経済機会をもたらすと期待されるブレグジット後の新たな自由を実現することを可能にする。
The changes include new powers to require data from third parties, particularly banks and financial organisations, to help the UK government reduce benefit fraud and save the taxpayer up to £600 million over the next five years. Currently, Department for Work and Pensions (DWP) can only undertake fraud checks on a claimant on an individual basis, where there is already a suspicion of fraud.	ガバナンスの変更には、英国政府が給付金詐欺を減らし、今後5年間で納税者を最大6億ポンド節約するために、サードパーティ、特に銀行や金融組織からデータを要求する新しい権限が含まれている。現在、労働年金省（DWP）は、すでに不正の疑いがある場合にのみ、個別に受給者の不正チェックを行うことができる。
The new proposals would allow regular checks to be carried out on the bank accounts held by benefit claimants to spot increases in their savings which push them over the benefit eligibility threshold, or when people send more time overseas than the benefit rules allow for. This will help identify fraud take action more quickly. To make sure that privacy concerns are at the heart of these new measures, only a minimum amount of data will be accessed and only in instances which show a potential risk of fraud and error.	新提案では、給付金請求者の銀行口座を定期的にチェックし、給付金の受給資格を超えるような貯蓄の増加や、給付規則で認められている以上に海外に滞在している場合などを発見できるようになる。これにより、不正行為をより迅速に特定することができる。プライバシーへの配慮がこれらの新しい措置の中心にあることを確認するため、必要最小限のデータのみがアクセスされ、不正やエラーの潜在的リスクを示す場合にのみアクセスされる。
Another measure offers vital reassurance and support to families as they grieve the loss of a child. In cases where a child has died through suicide, a proposed ‘data preservation process’ would require social media companies to keep any relevant personal data which could then be used in subsequent investigations or inquests.	もうひとつの対策は、子供を失った悲しみに暮れる家族に、重要な安心感とサポートを提供するものだ。子供が自殺で死亡した場合、「データ保全プロセス」が提案され、ソーシャルメディア企業は関連する個人データを保管することが義務づけられる。
Current rules mean that social media companies aren’t obliged to hold onto this data for longer than is needed, meaning that data which could prove vital to coroner investigations could be deleted as part of a platform’s routine maintenance. The change tabled today represents an important step for families coming to terms with the loss of a loved one, and takes further steps to help ensure harmful content has no place online.	現行の規則では、ソーシャルメディア企業は必要以上にデータを保持する義務はないため、検視官の調査に不可欠となりうるデータが、プラットフォームの定期保守の一環として削除されてしまう可能性がある。本日上程された変更は、愛する人を失った遺族にとって重要な一歩であり、有害なコンテンツがオンライン上に存在しないことを保証するためのさらなる措置である。
The use of biometric data, such as fingerprints, to strengthen national security is also covered by the amendments, with the ability of Counter Terrorism Police to hold onto the biometrics of individuals who pose a potential threat, and which are supplied by organisations such as Interpol, being bolstered.	国家セキュリティを強化するための指紋などの生体データの使用も改正の対象となり、潜在的な脅威をもたらす個人の生体情報を保持するテロ対策警察の能力が強化される。
This would see officers being able to retain biometric data for as long as an INTERPOL notice is in force, matching this process up with INTERPOL’s own retention rules. The amendments will also ensure that where an individual has a foreign conviction, their biometrics will be able to be retained indefinitely in the same way as is already possible for individuals with UK convictions – this is particularly important where foreign nationals may have existing convictions for serious offences, including terrorist offences.	これにより、国際刑事警察機構（INTERPOL）の通達が有効である限り、警察官は生体データを保持することができるようになり、このプロセスはINTERPOL独自の保持規則と一致することになる。この改正はまた、個人が外国で有罪判決を受けた場合、英国で有罪判決を受けた個人と同様に、バイオメトリクスを無期限に保持できるようにするものである。これは、外国人がテロ犯罪を含む重大犯罪の前科を持つ可能性がある場合に特に重要である。
Maintaining the UK’s high standards of data protection is central to both the wider Bill and the proposed amendments which have been laid today.	英国の高水準のデータ保護を維持することは、より広範な法案と、本日提出された修正案の双方にとって重要である。
Secretary of State for Science, Innovation and Technology, Michelle Donelan, said:	ミシェル・ドネラン科学・イノベーション・技術担当国務長官は、次のように述べた：
”Britain has seized a key Brexit opportunity – boosting small businesses, protecting consumers and cracking down on criminal enterprises like nuisance calling and benefit fraud.	「英国はブレグジットの重要なチャンスをつかんだ。中小企業を後押しし、消費者を保護し、迷惑電話や給付金詐欺のような犯罪エンタープライズを取り締まる。」
"These changes protect our privacy and data while also injecting common sense into the system - whether it is cracking down on cookies, scrapping pointless paperwork which stifles productivity, tackling benefit fraud or making it easier to protect our citizens from criminals.	「クッキーの取り締まりであれ、生産性を阻害する無意味なペーパーワークの廃止であれ、給付金詐欺への取り組みであれ、犯罪者から市民を守ることを容易にすることであれ、これらの変更は、我々のプライバシーとデータを保護すると同時に、システムに常識を注入するものである。」
"These changes help to establish the UK as a world-leading data economy; one that puts consumers and businesses at the centre and removes the ‘one-size-fits-all’ barriers that have held many British businesses back.	「これらの変更は、英国を世界をリードするデータエコノミーとして確立するのに役立つ。消費者と企業を中心に置き、多くの英国企業の足かせとなってきた "画一的な "障壁を取り除くものである。」
The Bill’s focus is to create an innovative and flexible data protection regime which will maintain the UK’s high standards of data protection, streamline processes for companies, strengthen national security, and support grieving families. Making it easier to use personal data which will improve efficiency, lead to better public services, and enable new innovations across science, innovation, and technology.	法案の焦点は、英国の高いデータ保護標準を維持し、企業のプロセスを合理化し、国家セキュリティを強化し、悲しむ家族を支援する、革新的で柔軟なデータ保護体制を構築することである。個人データの利用を容易にすることで、効率性を改善し、より良い公共サービスを実現し、科学、イノベーション、テクノロジーにおける新たなイノベーションを可能にする。
Secretary of State for Work and Pensions, Mel Stride MP, said:	メル・ストライド労働年金担当国務長官は、次のように述べた：
" new powers send a very clear message to benefit fraudsters – we won’t stand for it. These people are taking the taxpayer for a ride and it is right that we do all we can to bring them to justice.	「新たな権限は、給付金詐欺師に対して非常に明確なメッセージを送るものだ。このような輩は納税者を乗っ取っており、彼らを裁くために全力を尽くすことは正しいことだ。」
"These powers will be used proportionately, ensuring claimants’ data is safely protected while rooting out fraudsters at the earliest possible opportunity.	「これらの権力は比例して行使され、不正受給者のデータが安全に保護されることを保証すると同時に、可能な限り早い機会に不正受給者を根絶する。」
Home Secretary, James Cleverly, said:	ジェームズ・クレバリー内務大臣は次のように述べた：
"My priority is to continue cutting crime and ensuring the public is protected from security threats. Law enforcement and our security partners must have access to the best possible tools and data, including biometrics, to continue to keep us safe.	「私の最優先事項は、犯罪を削減し続け、国民を安全保障上の脅威から確実に守ることだ。法執行機関と私たちのセキュリティ・パートナーは、私たちの安全を守り続けるために、生体認証を含む最善のツールとデータにアクセスできなければならない。」
"This Bill will improve the efficiency of data protection for our security and policing partners—encouraging better use of personal information and ensuring appropriate safeguards for privacy.	「この法案は、私たちのセキュリティと警察活動のパートナーのために、データ保護の効率を改善し、個人情報のより良い利用を促し、プライバシーのための適切な保護措置を確保するものである。」
The amendments tabled today show the practical steps being taken by the UK government to improve how the nation uses and accesses personal data, capitalising on the UK’s departure from the European Union to introduce measures which will protect the public purse, strengthen national security, and offer important support to grieving families.	本日提出された修正案は、国家が個人データをどのように利用し、アクセスするかを改善するために英国政府がとっている実際的な措置を示すものであり、英国のEU離脱を活かして、財政を保護し、国家安全保障を強化し、悲嘆に暮れる家族に重要な支援を提供する措置を導入するものである。
These amendments will also help the Bill realise its ambition of bulldozing burdens for businesses and removing restrictions for researchers, ensuring new advances in science, innovation, and technology can be fuelled by more practical ways to access data.	これらの修正案はまた、企業の負担をブルドーザーで取り除き、研究者の制限をなくすという法案の野望を実現する助けとなり、科学、イノベーション、テクノロジーの新たな進歩が、データへのアクセスのより実用的な方法によって促進されることを保証する。
Further Information	詳細情報
Full list of amendments tabled can be found here.	提出された修正案の全リストはこちらを参照のこと。
These amendments will be considered by the House of Commons at Report next Wednesday (29 November).	これらの修正案は、来週水曜日（11月29日）の下院報告会で審議される。
Further information on the Data Protection and Digital Information Bill can be found here.	データ保護およびデジタル情報法案に関する詳細はこちらを参照のこと。

政府案

● 英国議会 - 議会 (https://publications.parliament.uk/)

・2023.11.23 [PDF] Data Protection and Digital Information Bill (Amendment Paper)

● 議会（法案）

・2023.11.23 Data Protection and Digital Information Bill (Government Bill)

・[PDF] Data Protection and Digital Information Bill

Data Protection and Digital Information Bill	データ保護およびデジタル情報法案
CONTENTS	目次
PART 1 DATA PROTECTION	第1部データ保護
Definitions	定義
1 Information relating to an identifiable living individual	1 識別可能な生存する個人に関する情報
2 Meaning of research and statistical purposes	2 研究および統計目的の意味
3 Consent to processing for the purposes of scientific research	3 科学的調査目的の処理に対する同意
4 Consent to law enforcement processing	4 法執行処理に対する同意
Data protection principles	データ保護の原則
5 Lawfulness of processing	5 情報処理の合法性
6 The purpose limitation	6 目的の制限
Special categories of personal data	特別カテゴリーの個人データ
7 Elected representatives responding to requests	7 要求に応じる選挙代理人
Data subjects’ rights	データ主体の権利
8 Vexatious or excessive requests by data subjects	8 データ主体による執拗または過剰な要求
9 Time limits for responding to requests by data subjects	9 データ主体による要求に応じる期限
10 Information to be provided to data subjects	10 データ当事者に提供されるべき情報
11 Data subjects’ rights to information: legal professional privilege exemption	11 情報に対するデータ主体の権利：法律専門家特権の免除
Automated decision-making	自動化された意思決定
12 Automated decision-making	12 自動的意思決定
Obligations of controllers and processors	管理者および処理者の義務
13 General obligations	13 一般的義務
14 Removal of requirement for representatives for controllers etc outside the UK	14 英国外の管理者等に対する代理人要件の撤廃
15 Senior responsible individual	15 上級責任者
16 Duty to keep records	16 記録の保存義務
17 Logging of law enforcement processing	17 法執行処理の記録
18 Assessment of high risk processing	18 高リスク処理の評価
19 Consulting the Commissioner prior to processing	19 処理前のコミッショナーへの相談
20 General processing and codes of conduct	20 一般的な処理と行動規範
21 Law enforcement processing and codes of conduct	21 法執行処理と行動規範
22 Obligations of controllers and processors: consequential amendments	22 管理者および処理者の義務：結果的改正
International transfers of personal data	個人データの国際移転
23 Transfers of personal data to third countries and international organisations	23 第三国および国際機関への個人データの移転
Safeguards for processing for research etc purposes	研究等の目的で処理する場合の保護措置
24 Safeguards for processing for research etc purposes	24 研究等の目的で処理する場合の保護措置
25 Section 24: consequential provision	25 第24条：結果規定
National security	国家安全保障
26 National security exemption	26 国家安全保障の適用除外
Intelligence services	情報機関
27 Joint processing by intelligence services and competent authorities	27 情報機関および管轄当局による共同処理
28 Joint processing: consequential amendments	28 共同処理：結果的修正
Information Commissioner’s role	情報コミッショナーの役割
29 Duties of the Commissioner in carrying out functions	29 機能の遂行における情報コミッショナーの義務
30 Strategic priorities	30 戦略的優先事項
31 Codes of practice for the processing of personal data	31 個人データ処理に関する実施規範
32 Codes of practice: panels and impact assessments	32 実施規範：委員会と影響評価
33 Codes of practice: approval by the Secretary of State	33 実施規範：国務長官の承認
34 Vexatious or excessive requests made to the Commissioner	34 委員会に対する執拗または過剰な要求
35 Analysis of performance	35 実績の分析
Enforcement	施行
36 Power of the Commissioner to require documents	36 委員会の文書要求権
37 Power of the Commissioner to require a report	37 報告書を要求する委員会の権限
38 Interview notices	38 面談通知
39 Penalty notices	39 違約金通知
40 Annual report on regulatory action	40 規制措置に関する年次報告
41 Complaints to controllers	41 管理者に対する苦情
42 Power of the Commissioner to refuse to act on certain complaints	42 特定の苦情への対応を拒否する権限
43 Complaints: minor and consequential amendments	43 苦情：小改正および結果的改正
44 Consequential amendments to the EITSET Regulations	44 EITSET規則の結果的改正
Protection of prohibitions, restrictions and data subject’s rights	禁止、制限および情報主体の権利の保護
45 Protection of prohibitions, restrictions and data subject’s rights	45 禁止、制限および情報主体の権利の保護
Miscellaneous	その他
46 Regulations under the UK GDPR	46 英国GDPRに基づく規制
47 Minor amendments	47 軽微な修正
PART 2 DIGITAL VERIFICATION SERVICES	第2部デジタル検証サービス
Introductory	はじめに
48 Introductory	48 はじめに
DVS trust framework	DVS信頼の枠組み
49 DVS trust framework	49 DVS信頼の枠組み
DVS register	DVS 登録
50 DVS register	50 DVS登録
51 Applications for registration	51 登録申請
52 Fees for registration	52 登録料
53 Duty to remove person from the DVS register	53 DVS登録から削除する義務
54 Power to remove person from the DVS register	54 DVS登録から個人を削除する権限
55 Revising the DVS trust framework: top-up certificates	55 DVS信頼の枠組みの改訂：トップアップ証明書
Information gateway	情報ゲートウェイ
56 Power of public authority to disclose information to registered person	56 公的機関が登録者に情報を開示する権限
57 Information disclosed by the Revenue and Customs	57 税関歳入庁が開示する情報
58 Information disclosed by the Welsh Revenue Authority	58 Welsh Revenue Authority が開示する情報
59 Information disclosed by Revenue Scotland	59 Scotland歳入庁が開示する情報
60 Code of practice about the disclosure of information	60 情報開示に関する実施規範
Trust mark	トラストマーク
61 Trust mark for use by registered persons	61 登録者が使用するトラストマーク
Supplementary	補足
62 Power of Secretary of State to require information	62 国務長官が情報を要求する権限
63 Arrangements for third party to exercise functions	63 第三者による機能行使の取り決め
64 Report on the operation of this Part	64 本編の運用に関する報告
PART 3 CUSTOMER DATA AND BUSINESS DATA	第3部顧客データおよび事業データ
Introductory	はじめに
65 Customer data and business data	65 顧客データおよび業務データ
Data regulations	データ規制
66 Power to make provision in connection with customer data	66 顧客データに関して規定する権限
67 Customer data: supplementary	67 顧客データ：補足
68 Power to make provision in connection with business data	68 事業データに関して規定する権限
69 Business data: supplementary	69 事業データ：補足
70 Decision-makers	70 意思決定者
Enforcement	施行
71 Enforcement of data regulations	71 データ規制の施行
72 Restrictions on powers of investigation etc	72 調査権限等の制限
73 Financial penalties	73 罰則
Fees etc and financial assistance	手数料等および補助金
74 Fees	74 手数料
75 Levy	75 課徴金
76 Financial assistance	76 補助金
Supplementary	補足
77 Restrictions on processing and data protection	77 処理の制限およびデータ保護
78 Regulations under this Part	78 本編に基づく規制
79 Duty to review regulations	79 規則を見直す義務
80 Repeal of provisions relating to supply of customer data	80 顧客データの提供に関する規定の廃止
81 Interpretation of this Part	81 本編の解釈
PART 4 OTHER PROVISION ABOUT DIGITAL INFORMATION	第4部デジタル情報に関するその他の規定
Privacy and electronic communications	プライバシーおよび電子通信
82 The PEC Regulations	82 PEC規則
83 Storing information in the terminal equipment of a subscriber or user	83 加入者または利用者の端末機器における情報の保存
84 Unreceived communications	84 未受信の通信
85 Meaning of “direct marketing”	85 「ダイレクトマーケティング」の意味
86 Use of electronic mail for direct marketing purposes	86 ダイレクトマーケティング目的の電子メールの使用
87 Direct marketing for the purposes of democratic engagement	87 民主的関与を目的とするダイレクトマーケティング
88 Meaning of expressions in section 87	88 第87条における表現の意味
89 Duty to notify the Commissioner of unlawful direct marketing	89 違法なダイレクト・マーケティングを委員会に通知する義務
90 Commissioner’s enforcement powers	90 欧州委員会の執行権限
91 Codes of conduct	91 行動規範
92 Pre-commencement consultation	92 開始前のコンサルテーション
Trust services	トラストサービス
93 The eIDAS Regulation	93 eIDAS規則
94 Recognition of EU conformity assessment bodies	94 EU適合性評価機関の承認
95 Removal of recognition of EU standards etc	95 EU規格等の承認の廃止
96 Recognition of overseas trust products	96 海外の信託商品の承認
97 Co-operation between supervisory authority and overseas authorities	97 監督当局と海外当局の協力
Data Protection and Digital Information Bill v	データ保護・デジタル情報法案
Sharing of information	情報の共有
98 Disclosure of information to improve public service delivery to undertakings	98 事業者への公共サービス提供向上のための情報開示
99 Implementation of law enforcement information-sharing agreements	99 法執行情報共有協定の実施
100 Meaning of “appropriate national authority”	100 「適切な国家機関」の意味
Registers of births and deaths	出生・死亡登録
101 Form in which registers of births and deaths are to be kept	101 出生及び死亡の登録の保管形態
102 Provision of equipment and facilities by local authorities	102 地方自治体による設備及び施設の提供
103 Requirements to sign register	103 登録簿への署名要件
104 Treatment of existing registers and records	104 既存の登録および記録の取り扱い
105 Minor and consequential amendments	105 軽微かつ結果的な修正
Information standards for health and social care	医療および社会福祉に関する情報基準
106 Information standards for health and adult social care in England	106 イングランドにおける保健および成人福祉ケアのための情報基準
PART 5 REGULATION AND OVERSIGHT	第5部規制および監督
Information Commission	情報委員会
107 The Information Commission	107 情報委員会
108 Abolition of the office of Information Commissioner	108 情報委員会の廃止
109 Transfer of functions to the Information Commission	109 情報委員会への機能移転
110 Transfer of property etc to the Information Commission	110 財産等の情報委員会への移管
Oversight of biometric data	バイオメトリックデータの監視
111 Oversight of retention and use of biometric material	111 バイオメトリック資料の保持と使用の監督
112 Removal of provision for regulation of CCTV etc	112 CCTV等の規制に関する規定の削除
113 Oversight of biometrics databases	113 バイオメトリクス・データベースの監視
PART 6 FINAL PROVISIONS	第6部最終規定
114 Power to make consequential amendments	114 結果的修正を行う権限
115 Regulations	115 規則
116 Interpretation	116 解釈
117 Financial provision	117 財務規定
118 Extent	118 範囲
119 Commencement	119 開始
120 Transitional, transitory and saving provision	120 経過的、一時的および保存的規定
121 Short title	121 短称

Schedule 1 — Lawfulness of processing: recognised legitimate interests	別表1 - 処理の適法性：認識された正当な利益
Schedule 2 — Purpose limitation: processing to be treated as compatible with original purpose	別表2 - 目的の制限：当初の目的に適合するものとして取り扱われるべき処理
Schedule 3 — Automated decision-making: consequential amendments	別表3 - 自動意思決定：結果的修正
Schedule 4 — Obligations of controllers and processors: consequential amendments	別表4 - 管理者および処理者の義務：結果的修正
Schedule 5 — Transfers of personal data to third countries etc: general processing	別表5 - 「個人データの第三国等への移転：一般的な処理
Schedule 6 — Transfers of personal data to third countries etc: law enforcement processing	別表6 - 第三国等への個人データの移転：法執行処理
Schedule 7 — Transfers of personal data to third countries etc: consequential and transitional provision	別表7 - 第三国等への個人データの移転：結果的および経過的規定
Part 1 — Consequential provision	第1部 - 結果的規定
Part 2 — Transitional provision	第2部 - 経過規定
Schedule 8 — Complaints: minor and consequential amendments	別表8 - 苦情処理：小修正および結果的修正
Schedule 9 — Data protection: minor amendments	別表9 - データ保護：若干の修正
Schedule 10 — Privacy and electronic communications: Commissioner’s enforcement powers	別表10 - プライバシーおよび電子通信コミッショナーの執行権限
Schedule 11 — Registers of births and deaths: minor and consequential amendments	別表11 - 出生および死亡の登録簿：小修正および結果的修正
Part 1 — Amendments of the Births and Deaths Registration Act 1953	第1部 - 1953年出生・死亡登録法の改正
Part 2 — Amendments of other legislation	第2部 - その他の法律の改正
Schedule 12 — Information standards for health and adult social care in England	別表12 - イングランドにおける医療および成人社会ケアの情報基準
Schedule 13 — The Information Commission	別表13 - 情報委員会

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.02 英国 AI安全サミット出席国によるブレッチリー宣言

・2023.09.20 英国 ICO 子供を守るための情報共有のための10ステップガイド (2023.09.14)

・2023.06.28 英国 ICO 金融、医療、研究、中央・地方政府で大規模な個人データセットを使用しているデータ保護担当者などを対象とした新しいPETsガイダンスを作成 (2023.06.19)

・2023.05.23 英国 NCSCとICOの共同ブログサイバーインシデント報告...

・2023.04.05 英国 ICO ブログ生成的人工知能：開発者とユーザーが問うべき８つの質問...

・2023.04.01 英国意見募集 AI規制白書

・2023.03.27 英国 ICO 「チルドレンズ・コード」の文脈における「アクセスされる可能性が高い」についてのガイダンスとその影響評価についての意見募集

・2023.03.20 英国イノベーションを促進する技術規制の見直し：デジタルテクノロジー

・2023.03.15 英国英国版GDPR新版の審議始まる (2023.03.08)

・2023.02.19 英国情報コミッショナー事務局 (ICO) がゲーム開発者向けに、子どもの保護に関する業界向けのガイダンスを発行

・2022.12.14 英国デジタル・文化・メディア・スポーツ省アプリストア運営者及びアプリ開発者のための実践規範

・2022.11.06 英国データ倫理・イノベーションセンターデータおよびAIに対する国民の意識：トラッカー調査（第2回）

・2022.10.29 英国 ICO 雇用慣行とデータ保護：労働者の健康情報案に関するコンサルテーション (2022.10.27)

・2022.10.29 英国 ICO 雇用慣行：職場における監視ガイダンスと影響評価案に関するコンサルテーション (2022.10.12)

・2022.10.28 英国 ICO 未熟なバイオメトリクス技術は人を差別する可能性がある「バイオメトリクス洞察レポート」「バイオメトリクス予見レポート」

・2022.09.11 英国 ICO プライバシー強化技術に関するガイダンス案を発表

・2022.07.18 英国情報コミッショナー新しい戦略計画案 ICO25 を公表し、意見募集をしていますね。。。

・2022.06.15 英国健康分野のデータ戦略

・2022.05.30 英国情報コミッショナー顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.10 英国意見募集消費者保護のためにアプリストアへの政府の介入は必要か (2022.05.04)

・2022.01.28 英国デジタル・文化・メディア・スポーツ省サイバーセキュリティ長期調査：第1回

・2022.01.26 英国世界最高レベルのデータ専門家（Google, IBM, Microsoftのメンバーを含む）による国際的なデータ転送に関する政府協議会を設立

・2022.01.19 英国デジタル・文化・メディア・スポーツ省ガイダンス：就労権、賃借権、犯罪歴確認のためのデジタルID認証

・2021.12.19 英国 AIバロメータ21 公表

・2021.11.27 英国情報コミッショナーの意見：オンライン広告の提案に対するデータ保護とプライバシーの期待

・2021.11.05 英国デジタル・文化・メディア・スポーツ省の提案に対する、バイオメトリックスコミッショナーおよび監視カメラコミッショナーであるフィッシャー氏の回答

・2021.10.28 英国データ保護局 (ICO) ビデオ会議事業者に期待されるグローバルなプライバシーに関する共同声明

・2021.10.16 英国 ICO（データ保護局）意見募集「ジャーナリズムの実践規範」案

・2021.09.22 英国 ICO（データ保護局）がデータフローに関するG7会議を開催した理由

・2021.09.17 Ｇ７データ保護・プライバシー機関ラウンドテーブル 2021.09

・2021.09.07 英国データ保護局 (ICO) のブログ Cookie承諾の茶番はやめて、そろそろ真面目に考えようとG7の個人データ・プライバシー関連当局に呼びかける...

・2021.08.20 英国意見募集監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.07.09 英国データ保護局 (ICO) 年次報告書を公開していますね。。。

・2021.06.20 英国情報コミッショナー公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.02.17 英国デジタルID・属性のフレームワーク案の意見募集

・2020.11.03 英国 Information Commissioner's Office (ICO)による罰金

・2020.09.13 英国データ保護委員会アカウンタビリティフレームワーク

・2020.05.08 UK-ICO NHSXのコンタクト・トレース・アプリ試用版のデータ保護影響評価に関するメディアからの問い合わせへの声明

・2020.05.05 UK ICO COVID-19 コンタクト・トレーシング：アプリ開発におけるデータ保護の期待

・2020.05.02 英国 NHSX（国民保健サービス・デジタル）はドイツ等と異なりApple-Google APIを使用せず集中管理方式の連絡先追跡システムにする？

2023.11.25 06:56 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

防衛省防衛研究所中国安全保障レポート2024 －中国、ロシア、米国が織りなす新たな戦略環境－

こんにちは、丸山満彦です。

防衛省防衛研究所が 中国安全保障レポート2024 －中国、ロシア、米国が織りなす新たな戦略環境－ を公表していますね。。。

日本語版のみならず、英語版、中国語版もあります。。。

● 防衛省防衛研究所

・2023.11.24 中国安全保障レポート2024

・中国安全保障レポート2024 －中国、ロシア、米国が織りなす新たな戦略環境－ （本文）·（表紙·奥付）

目次...

中国安全保障レポート2024

目次
要約
略語表

序章

第 1 章　既存秩序の変革を目指す中国の戦略
はじめに
1　協調から対抗へ転換した中国の対米政策
（1）冷戦後の国際秩序に協調姿勢で適応
（2）対米対抗と既存秩序の変革に向けた動き
2　国際秩序をめぐってロシアとの連携を強める中国
（1）ライバルからパートナーへの転換
（2）既存秩序の変革に向けた協力の深化
3　米国への軍事的対抗姿勢を強める中国
（1）軍事における対米対抗とロシアとの連携強化
（2）対米抑止力の強化を目指した核戦力の増強
おわりに

第 2 章　ロシア・ウクライナ戦争とプーチン体制の生存戦略
はじめに
1　プーチン体制の生存戦略
（1） 2020 年憲法改革と「インナー・サークル」の生存戦略
（2）プーチン体制と個人支配化をめぐる議論
2　ウクライナ戦争下におけるプーチン体制の変容と生存戦略としての対外政策
（1）体制変容のダイナミズム
（2）新たな「対外政策概念」と「狭小な国家グループ」への挑戦
（3）軍事・原子力・北極海における中露の体制間協力
（4）ロシアと「グローバル・サウス」
おわりに

第 3 章　国際秩序の維持に向けた米国の軍事戦略
はじめに
1　中国、ロシアに対する脅威認識の高まり
（1）大国間競争の再来
（2）戦略的競争において浮上する 3 つの軍事的課題
2　新たな軍事的課題に対する米軍の取り組み
（1）作戦行動に対する認識の変化
（2）将来戦に関する取り組み
3　将来的な核戦力バランスの変化
（1）「同格の二大核保有国」問題の浮上
（2）バイデン政権の対応
おわりに

終章

注

要約

第1章　既存秩序の変革を目指す中国の戦略

冷戦終結直後の中国は、米国を共産党に対する脅威と見ており、米国との対立を避けつつ協力を推進することで対米関係の安定化を図った。米国が主導する冷戦後の国際秩序についても基本的に受け入れ、協調を主軸とした国際秩序戦略を推進した。ところが2000年代終わりごろから、西側諸国のパワーが低下し、発展途上国のパワーが増大しているとの情勢認識に至った共産党政権は、既存の国際秩序について力を背景に「核心的利益」を確保することを可能とするとともに、中国共産党による支配体制が脅威にさらされない方向への変革を目指すようになった。

習近平政権は、米国に中国の「核心的利益」を尊重し、中国を対等に扱う「新型大国関係」を受け入れるよう要求した。同時に、普遍的価値とルールに基づいた既存の国際秩序を明確に拒否し、中国を中心とした発展途上国がより大きな発言力を持つ「新型国際関係」と「人類運命共同体」を新たな国際秩序のモデルとして推進するようになった。その中国にとって、ロシアは望ましい国際秩序を共有する重要なパートナーである。国際秩序をめぐる米国や西側諸国との競争において、中国とロシアは相互の支持と協力を強化している。

米国に対抗し、米軍が主導してきた東アジアの安全保障秩序の変革を目指して、中国はA2/AD能力を中心とした軍事力の強化を進めている。中国は周辺地域において、米軍の行動を物理的に妨害するとともに、ロシア軍との共同訓練や連携した行動を強化している。中国は核戦力も急速に強化しており、これは将来の核をめぐる安全保障秩序における中国の発言力を高めるとともに、中国の「核心的利益」に関わる紛争に対して、米国が軍事的に関与するハードルを高めることになるだろう。今後中国は、核を含む軍事力を強化しつつ、望ましい国際秩序を共有するロシアとの戦略的協力を深化させることで、既存の国際秩序の改変を進めていくことになると思われる。

第2章　ロシア・ウクライナ戦争とプーチン体制の生存戦略

2022年2月24日、プーチン体制は、ウクライナへの全面的な軍事侵攻に踏み切り、米欧諸国による厳しい経済制裁と広く国際的な信用の失墜を招いた。既存の国際秩序に対する挑戦者となったプーチン体制の秩序観には、G7諸国が志向する国際秩序への強い対抗意識があり、この点は2023年3月に改訂された「ロシア連邦対外政策概念」の中で強調されている。こうした対抗意識の根底には、冷戦後国際秩序の再編プロセスに対する不満の蓄積がある。また、プーチン体制には、ロシアの伝統的な精神・道徳的価値観や独自の歴史観を偏重する態度、さらには多様性や包摂性に代表される米欧のリベラルな価値観や市民社会の在り方への嫌悪感が観察要約序章第1章第2章第3章終章4される。特に近年、それらは政治体制の個人支配化の進展とも相まって、プーチン体制の国内的な体制の生存戦略として増幅される傾向にあった。

こうした秩序観は、現代ロシア政治・外交史の多様な文脈の中で生成されたものであるが、その1つとして、市民的自由の制約や立憲主義の不在、個人支配化に象徴されるロシア内政動向との連関も指摘できよう。同じく政治体制として個人支配化の様相を強める中国の習近平体制との親和性は高まる傾向にあり、第2次ロシア・ウクライナ戦争に伴うロシアの対中依存の深まりも影響して、中露の体制間協力は、プーチン体制の対外的な生存戦略として位置付けられている。中露関係は、軍事・原子力・北極圏開発といった政策分野で着実に深まりつつある。

さらに戦時下のプーチン体制は、インドやトルコをはじめとするグローバル・サウスと呼ばれる新興国・途上国との連携強化を目指しており、上海協力機構（SCO）やBRICS加盟国、中東・アフリカ諸国など、政治体制の観点から親和性の高い国々への外交的・軍事的アプローチが積極的に行われている。

第3章　国際秩序の維持に向けた米国の軍事戦略

バイデン政権が最大の挑戦としてとらえているのが中国である。NSS2022は、中国が「米国にとって最も重大な地政学的挑戦」であるとして、中国との競争に打ち勝つという方針を示した。軍事的観点からも、バイデン政権は中国を焦点としており、同国が主要な地域を支配するのを阻止することを最優先課題とした戦略を打ち出している。中国との軍事・外交分野における競争は、経済分野にも波及している。

ロシアに対しては、2014年以降継続しているウクライナへの侵略だけでなく、主要な地域における重大で継続したリスクを突き付ける「深刻な脅威」であるという認識を示している。バイデン政権は、ウクライナ侵略がロシアにとって「戦略的失敗」となることを政策目標として、北大西洋条約機構（NATO）をはじめとする同盟国やパートナー国と連携しながら、ウクライナに対する圧倒的な規模での安全保障支援を行う一方で、ロシアに対して経済制裁を科している。

中露との競争を優位に進めるうえで、米国が直面している軍事的課題とは、①武力紛争に至らない段階における活動、②米軍の戦力投射・作戦行動、キルチェーンに対する脅威、③将来的な核戦力バランスの変化、である。第１の課題に対して米軍は、「航行の自由作戦」や情報・サイバー空間での作戦行動に加え、あらゆる段階で米軍が一定の活動を行うことを示した「競争連続体モデル」という新たな概念枠組みを形成して対応している。第2の軍事的課題であるA2/ADおよび米軍のキルチェーンに対する脅威に関して、米軍は新たなコンセプトの開発を継続させている。第3の、米国と同等の核戦力を保有する中国とロシアに同時に対峙するという、将来的な「同格の二大核保有国」問題に対して、バイデン政権は米国の抑止力の強化と軍備管理による核使用リスクの低減に取り組む姿勢を示している。

バイデン政権は、今後の10年間の取り組みが将来的な国際秩序の姿を左右すると認識しており、中国との競争を優位に進め、ロシアの脅威を抑制することを目標として、積極的に取り組む姿勢を強めている。国際秩序をめぐる中国やロシアとの競争は、今後も継続し激しさを増していくであろう。

終章

ロシアで急激な政治変動が生じない限り、今後10年程度の見通し得る将来において、国際秩序をめぐる米国と中露の対立は加速し、グローバル・サウスも巻き込みながら、米国を中心とした既存秩序の現状維持勢力と、中露を中心とした現状変更勢力の間の対立へと拡大していくだろう。双方が共に競争力を高めていくものと思われるため、帰趨はすぐには決まらず、対立は緊張の度を高めながら長期にわたって続くだろう。今後は偶発的な衝突や予期しないエスカレーションといった不安定要因の顕在化を防止するために、いかに競争を管理していくのかが双方に問われることになる。他方で、より長期的な観点に立った場合、ロシアによるウクライナ侵攻が国際秩序の変更に至る見込みは極めて小さい。一方で中国は、南シナ海や台湾海峡などで現状変更の既成事実を積み重ねている。今後、このような中国の力による一方的な現状変更を防止できるか否かが、国際秩序をめぐる競争の行方を決定づける最も重要な要因であるといえよう。

年度	副題	章	テーマ
2024	中国、ロシア、米国が織りなす新たな戦略環境	1	既存秩序の変革を目指す中国の戦略
		2	ロシア・ウクライナ戦争とプーチン体制の生存戦略
		3	国際秩序の維持に向けた米国の軍事戦略
2023	認知領域とグレーゾーン事態の掌握を目指す中国	1	中国の軍事組織再編と非軍事的手段の強化
		2	活発化する中国の影響力工作
		3	海上で展開される中国のグレーゾーン事態
2022	統合作戦能力の深化を目指す中国人民解放軍	1	中国人民解放軍の統合作戦構想の変遷
		2	改編された中国人民解放軍の統合作戦体制
		3	軍改革における統合作戦訓練・人材育成体制の発展と党軍関係強化の模索
2021	新時代における中国の軍事戦略	1	情報化戦争の準備を進める中国
		2	中国のサイバー戦略
		3	中国における宇宙の軍事利用
		4	中国の軍民融合発展戦略
2020	ユーラシアに向かう中国	1	中国のユーラシア外交
		2	中央アジア・ロシアから見た中国の影響力拡大
		3	ユーラシアにおけるエネルギー・アーキテクチャ
2019	アジアの秩序をめぐる戦略とその波紋	1	既存秩序と摩擦を起こす中国の対外戦略
		2	中国による地域秩序形成とASEANの対応 ――「台頭」から「中心」へ
		3	「一帯一路」と南アジア――不透明さを増す中印関係
		4	太平洋島嶼国 ――「一帯一路」の南端
2018	岐路に立つ米中関係	1	中国の対米政策
		2	米国の対中政策
		3	地域における米中関係の争点
2017	変容を続ける中台関係	1	中国の台湾政策の変遷
		2	台湾から見た中台関係
		3	米国にとっての台湾問題
		4	中台関係の変容と「現状維持」
2016	拡大する人民解放軍の活動範囲とその戦略	1	遠海での作戦能力強化を図る中国海軍
		2	空軍の戦略的概念の転換と能力の増大
		3	ミサイル戦力の拡充
		4	統合的な作戦能力の強化
2014	多様化する人民解放軍・人民武装警察部隊の役割	1	中央国家安全委員会創設とその背景
		2	人民武装警察部隊の歴史と将来像
		3	人民解放軍による災害救援活動
		4	軍事外交としての国連平和維持活動
		5	ソマリア沖・アデン湾における海賊対処活動
2013		1	中国の対外危機管理体制
		2	中国の危機管理概念
		3	危機の中の対外対応
2012		1	「党軍」としての性格を堅持する人民解放軍
		2	深化する軍と政府の政策調整
		3	軍と政府が連携を深める安全保証政策
		4	政策調整の制度化を求める人民解放軍
2011		1	海洋に向かう中国
		2	南シナ海で摩擦を起こす中国
		3	外洋に進出する中国海軍
		4	対外園で発言力を増す人民解放軍
創刊号		1	中国の対外姿勢
		2	拡大する活動範囲
		3	役割を増す軍事外交
		4	進む装備の近代化

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.28 防衛省防衛研究所中国安全保障レポート2023　― 認知領域とグレーゾーン事態の掌握を目指す中国 ―

・2021.11.28 防衛省防衛研究所中国安全保障レポート2022 ― 統合作戦能力の深化を目指す中国人民解放軍 ―

・2020.11.14 防衛省防衛研究所「中国安全保障レポート2021 ― 新時代における中国の軍事戦略 ―」は中国のサイバー戦略についての章がありますね

2023.11.25 02:21 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 安全保障 | Permalink | Comments (0)
Tweet

2023.11.24

証券監督者国際機構（IOSCO）「暗号資産・デジタル資産に関する勧告最終報告書 (2023.11.16)

こんにちは、丸山満彦です。

証券監督者国際機構（IOSCO）「暗号資産・デジタル資産に関する勧告最終報告書を公表していますね。。。

● International Organization of Securities Commissions: IOSCO

プレス

・2023.11.16 [PDF] IOSCO Finalizes its Policy Recommendations for Crypto and Digital Asset Markets

報告書

・2023.11.16 [PDF] Policy Recommendations for Crypto and Digital Asset Markets - Final Report

・[DOCX] 仮訳

目次...

	EXECUTIVE SUMMARY	要旨
	INTRODUCTION	序文
1	OVERARCHING RECOMMENDATION ADDRESSED TO ALL REGULATORS	すべての規制当局に向けた包括的勧告
	Preamble: Intent of the Recommendations	前文提言の意図
	Recommendation 1 – Common Standards of Regulatory Outcomes	勧告1 - 規制成果の共通標準
2	RECOMMENDATIONS ON GOVERNANCE AND DISCLOSURE OF CONFLICTS	ガバナンスとコンフリクトの開示に関する提言
	Recommendation 2 – Organizational Governance	勧告2 - 組織ガバナンス
	Recommendation 3 – Disclosure of Role, Capacity and Trading conflicts	勧告 3 - 役割、能力および取引上のコンフリクトの開示
3	RECOMMENDATIONS ON ORDER HANDLING AND TRADE DISCLOSURES (TRADING INTERMEDIARIES VS MARKET OPERATORS)	注文処理と取引の開示に関する勧告（取引仲介業者と市場運営者の比較）
	Recommendation 4 – Order Handling	勧告4 - 注文処理
	Recommendation 5 – Trade Disclosures	勧告5 - 取引の開示
4	RECOMMENDATIONS IN RELATION TO LISTING OF CRYPTO-ASSETS AND CERTAIN PRIMARY MARKET ACTIVITIES	暗号資産の上場および特定のプライマリーマーケット活動に関する勧告
	Recommendation 6 – Admission to Trading	勧告6 - 取引への参加許可
	Recommendation 7 – Management of Primary Markets Conflicts	勧告7 - プライマリーマーケットにおけるコンフリクトの管理
5	RECOMMENDATIONS TO ADDRESS ABUSIVE BEHAVIORS	濫用的行為に対処するための勧告
	Recommendation 8 – Fraud and Market Abuse	勧告8 - 不正行為と市場濫用
	Recommendation 9 – Market Surveillance	勧告9 - 市場サーベイランス
	Recommendation 10 – Management of Material Non-Public Information	勧告10 - 重要な未公開情報の管理
6	RECOMMENDATION ON CROSS-BORDER CO-OPERATION	国境を越えた協力に関する勧告
	Recommendation 11 – Enhanced Regulatory Co-operation	勧告11-規制協力の強化
7	RECOMMENDATIONS ON CUSTODY OF CLIENT MONIES AND ASSETS	顧客の金銭および資産の保管に関する勧告
	Recommendation 12 – Overarching Custody Recommendation	勧告12 - 包括的なカストディに関する勧告
	Recommendation 13 – Segregation and Handling of Client Monies and Assets	勧告13 - 顧客の金銭および資産の分別管理および取扱い
	Recommendation 14 – Disclosure of Custody and Safekeeping Arrangements	勧告14 - カストディおよび保管の取り決めの開示
	Recommendation 15 – Client Asset Reconciliation and Independent Assurance	勧告15 - 顧客資産の照合および独立した保証
	Recommendation 16 – Securing Client Money and Assets	勧告16 - 顧客の金銭および資産の保護
8	RECOMMENDATION TO ADDRESS OPERATIONAL AND TECHNOLOGICAL RISKS	運用リスクおよび技術的リスクに対処するための勧告
	Recommendation 17 – Management and disclosure of Operational and Technological Risks	勧告17 - オペレーショナルリスクおよびテクノロジーリスクのマネジメントと開示
9	RECOMMENDATION FOR RETAIL DISTRIBUTION	リテール販売に関する勧告
	Recommendation 18 – Retail Client Appropriateness and Disclosure	勧告18 - リテール顧客の適正性と開示

Annex A	Glossary of Relevant Terms and Definitions	関連用語集および定義
Annex B	Feedback Statement	フィードバック・ステートメント
Annex C	Overview of Stablecoins, their Roles and Uses in Crypto-Asset Markets	ステーブルコインの概要、暗号資産市場における役割と用途

● 金融庁

・2023.11.22 証券監督者国際機構（IOSCO）による最終報告書「暗号資産・デジタル資産に関する勧告」の公表について

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.18 金融安定理事会 (FSB) 暗号資産とステーブルコインに関するグローバルな規制枠組みを最終決定

2023.11.24 13:56 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

四半期報告書が廃止されますね。。。

こんにちは、丸山満彦です。

「金融商品取引法等の一部を改正する法律」が 2023 年 11 月 20 日に成立しましたね。。。

今回の改正では、四半期開示の見直しがなされており、2024 年 4 月 1 日以後に開始する四半期から四半期報告書が廃止され、半期報告書の提出が義務付けられるとともに、四半期開示については、原則として、東京証券取引所の規則に基づく四半期決算短信に一本化されることとなりますね。。。

2006年の金商法の改正で金融のグローバル市場を見据えたルール統一を図る方向から四半期報告書を導入することになったわけですが、英国、フランス、ドイツも半期報告制度、中国もそうですしね。。。日本も。。。ということなのでしょうかね。。。

費用対効果という意味であれば、提出会社（いわゆる親会社単体）の情報は不要でしょうね。。。

● 日本取引所グループ

・2023.11.22 「四半期開示の見直しに関する実務の方針」の公表について

　・[PDF] 四半期開示の見直しに関する実務の方針

● 日本公認会計士協会

・2023.11.22 四半期開示の見直しに伴う監査及び四半期レビュー契約書への影響について

　・[PDF] 四半期開示の見直しに伴う監査及び四半期レビュー契約書への影響について

・2023.11.22 東京証券取引所「四半期開示の見直しに関する実務の方針」の公表について(お知らせ)

　・[PDF] 本文

・2023.11.22 四半期開示制度の見直しに関する対応について(お知らせ)

　・[PDF] 四半期開示制度の見直しに関する対応について（お知らせ）

2023.11.24 12:55 in 法律 / 犯罪, in 監査 / 認証, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

世界経済フォーラム (WEF) 産業用環境におけるサイバー・レジリエンスを明らかにする： 5つの原則

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が、産業用環境におけるサイバー・レジリエンスを明らかにする： 5つの原則という報告書を公表していますね。。。

産業用システムのセキュリティについては、そのシステムの所管部門が責任をもってセキュリティ対策をすることが重要なわけですが、それをIT部門も技術的な面ではサポートし、経営者が組織全体として最適な運用ができるように設計することが重要ですよね・・・

一番の近道は制御システム等を管理している人がセキュリティを正しく理解することですね。。。

ちなみに、この言葉は一般的にあてはまることですが、その通りだと思いました。

Be careful about vendor selection and question the “silver bullet” of the product offering. （ベンダーの選択には注意し、製品提供の「銀の弾丸」を疑うこと。）

● World Economic Forum - Report

・2023.11.23 Unlocking Cyber Resilience in Industrial Environments: Five Principles

Unlocking Cyber Resilience in Industrial Environments: Five Principles	産業用環境におけるサイバー・レジリエンスを明らかにする： 5つの原則
This paper provides guidelines to ensure cybersecurity in the operational technology (OT) environment, at a time of increasing digitalization and convergence of the OT and IT (information technology) environments.	本稿は、デジタル化が進み、OT（情報技術）環境とIT（情報技術）環境の融合が進む現在、OT（運用技術）環境におけるサイバーセキュリティを確保するためのガイドラインを提供するものである。
Ensuring OT cybersecurity is fundamental for the continuation of industrial operations, which are essential for keeping global economies and infrastructures running. To this end, the World Economic Forum, in collaboration with partners from the electricity, manufacturing, and oil and gas industries, has developed a list of guiding principles and a set of best practices. These can help cyber leaders safeguard, maintain and monitor their industrial OT environment as well as ensure business continuity. While many organizations may already have some measures in place to ensure a cyber resilient OT environment, shared guidance can help manage cyber risks at the ecosystem level to increase systemic resilience.	OTのサイバーセキュリティを確保することは、世界経済とインフラを維持するために不可欠な産業オペレーションを継続するための基本である。この目的のため、世界経済フォーラムは、電力、製造、石油・ガス業界のパートナーと協力して、指導原則とベストプラクティスのリストを作成した。これらは、サイバーリーダーがビジネス継続性を確保するだけでなく、産業用OT環境を保護、維持、監視するのに役立つ。多くの組織では、サイバーレジリエンスを確保するための OT 環境対策がすでに実施されているかもしれないが、ガイダンスを共有することで、エコシステム・レベルでのサイバーリスク管理を支援し、システムレジリエンスを高めることができる。

・[PDF]

目次...

Executive summary	要旨
Introduction	序文
1 Guiding principles for cyber resilient OT environments	1 サイバーレジリエンス OT 環境のための指針原則
2 Actionable approaches to implementing OT cybersecurity principles	2 OTサイバーセキュリティ原則を実施するための実行可能なアプローチ
3 Monitoring the implementation of OT cybersecurity principles	3 OTサイバーセキュリティ原則の実施を監視する
4 Enabling innovation in OT	4 OTにおけるイノベーションを可能にする
Conclusion	結論
Contributors	協力者
Endnotes	注釈

Executive summary	要旨
The digitalization and connectedness of industrial environments is opening up business opportunities and enhancing operational efficiency. At the same time, it exposes organizations to cyberattacks that can offset these gains.	ビジネス環境のデジタル化とコネクテッド化は、ビジネスチャンスを広げ、業務効率を向上させている。その一方で、このような利益を帳消しにするサイバー攻撃に組織がさらされる可能性もある。
Today’s industrial environment consists of operational technologies (OT) which, according to some sources, are largely outdated.1 They have interoperability and connectivity limitations, and weak or no security management capabilities and procedures.2	今日の産業環境は運用技術（OT）で構成されているが、ある情報源によれば、その大部分は時代遅れである1。相互運用性と接続性に制約があり、セキュリティ管理能力と手順が弱いか、まったくない2。
The increased convergence of OT with the traditional IT environment is leading to an increase in inherent vulnerabilities, which are doubling every year.3	OTと従来のIT環境との融合が進むにつれて、固有の脆弱性が増加しており、その数は毎年倍増している3。
The OT environment is fundamental for ensuring the continuation of industrial operations that keep global economies and infrastructures running. To improve OT environment security, the World Economic Forum in collaboration with partners from the electricity, manufacturing, and oil and gas industries, has developed a list of guiding principles. Combined with a set of best practices, these aim to help cyber leaders ensure a cyber resilient OT environment for uninterrupted and efficient business operations.	OT 環境は、世界経済とインフラを維持する産業運営の継続を確保するための基本である。OT環境のセキュリティを改善するため、世界経済フォーラムは、電力、製造、石油・ガス業界のパートナーとの協力のもと、指導原則のリストを作成した。ベストプラクティスと組み合わせることで、サイバーリーダーが、中断のない効率的なビジネス運営のために、サイバーレジリエンスに優れたOT環境を確保できるようにすることを目的としている。
Principle 1: Perform comprehensive risk management of the OT environment.	原則1：OT環境の包括的なリスクマネジメントを行う。
Principle 2: Ensure OT engineers and operators of installations have responsibility for OT cybersecurity.	原則 2: OT エンジニアと設備のオペレータが OT サイバーセキュリティに責任を持つようにする。
Principle 3: Align with top organizational leadership, strategic planning teams and third parties to make security-by-design a reality.	原則 3：セキュリティ・バイ・デザインを実現するために、組織のトップリーダー、戦略立案チーム、サードパーティと連携する。
Principle 4: Make cybersecurity standards and best practices contractually enforceable on partners and vendors to build a cybersecure OT environment.	原則 4：サイバーセキュリティの標準とベストプラクティスをパートナーやベンダーに契約上強制できるようにし、サイバーセキュアな OT 環境を構築する。
Principle 5: Run joint tabletop exercises to ensure preparedness in case of an actual incident.	原則 5：実際のインシデントに備えて合同机上演習を実施する。
These principles and best practices can help organizations safeguard, maintain and monitor their industrial OT environment as well as ensure business continuity. While many organizations may already have some measures in place to ensure a cyber resilient OT environment, shared guidance can help manage cyber risks at the ecosystem level to increase systemic resilience.	これらの原則とベストプラクティスは、組織がビジネス継続性を確保するだけでなく、産業用 OT 環境を保護、維持、監視するのに役立つ。多くの組織は、サイバーレジリエンスに優れた OT 環境を確保するための対策をすでに講じているかもしれないが、ガイダンスを共有することで、エコシステム・レベルでのサイバーリスクマネジメントを支援し、システムレジリエンスを高めることができる。
Introduction	序文
Why does OT cybersecurity matter?	なぜ OT サイバーセキュリティが重要なのか？
The industrial infrastructure and operations landscapes are undergoing a profound transformation due to technological innovation. A growing convergence of information technology (IT) and operational technology (OT) is driven by the rapid adoption of cutting-edge technologies like big data, digital twins and the industrial internet of things (IIoT). These two domains are expected to become increasingly intricate and interconnected over time. This inexorable shift is exemplified, in part, by the projected IIoT market growth,4 which is expected to surge from approximately $85.5 billion in 2023 to nearly $169.6 billion by 2028.	技術革新により、産業インフラとオペレーション環境は大きな変貌を遂げつつある。ビッグデータ、デジタル・ツイン、モノのインターネット（IIoT）などの最先端技術の急速な導入により、情報技術（IT）と運用技術（OT）の融合が進んでいる。これら2つの領域は、時間の経過とともにますます複雑になり、相互接続が進むと予想される。この避けられないシフトは、2023年の約855億ドルから2028年には約1696億ドルに急増すると予測されているIIoT市場の成長予測4が、その一端を例証している。
What is the difference between IT and OT?	ITとOTの違いは何か？
Information technology refers to technologies including computers and networks that store, process and transmit information, while operational technology encompasses industrial control systems (ICS) that operate, control and monitor industrial equipment and processes.	情報技術とは、情報を保存、処理、伝送するコンピューターやネットワークなどの技術を指し、運用技術には、産業機器やプロセスを操作、制御、監視する産業用制御システム（ICS）が含まれる。
The growing synergy between IT and OT, commonly referred to as IT/OT convergence, presents numerous opportunities for industrial organizations. These include remote control; real-time monitoring; enhanced visibility of machinery, plants and assets; simplification of anomaly detection; improved operational efficiency and productivity; and faster decision-making processes.	一般にIT/OTコンバージェンスと呼ばれるITとOTの相乗効果の高まりは、産業組織に数多くの機会をもたらしている。これには、遠隔制御、リアルタイム監視、機械、プラント、資産の可視性の向上、異常検知の簡素化、業務効率と生産性の向上、意思決定プロセスの迅速化などが含まれる。
However, this newfound connectivity between OT devices and IT networks also expands the cyber risk landscape, introducing both intentional and unintentional cybersecurity threats. Traditionally, the OT environment remained “air-gapped,” meaning it was not connected to the internet, and external hardware and removable media (e.g. USB drives) were the primary cybersecurity concerns. As these two environments merge, cybersecurity breaches can infiltrate from IT to OT through means such as internet malware infection and unauthorized access via mobile devices.	しかし、OT機器とITネットワーク間のこの新たな接続性は、意図的・非意図的なサイバーセキュリティ脅威を導入し、サイバーリスクの状況を拡大する。従来、OT環境は「エアギャップ」、つまりインターネットに接続されておらず、外部ハードウェアやリムーバブル・メディア（USBドライブなど）がサイバーセキュリティ上の主な懸念事項だった。これら2つの環境が融合するにつれ、サイバーセキュリティ侵害は、インターネット・マルウェア感染やモバイル・デバイス経由の不正アクセスなどの手段を通じて、ITからOTに侵入する可能性がある。
Today, OT environments, in large part, rely on legacy technologies built to perform specific tasks and operating on specialized software and proprietary protocols. Often designed without cybersecurity in mind, many of these legacy systems have been produced by now-defunct manufacturers whose software updates are infrequent and difficult to implement, ultimately leaving them exposed to security threats. In fact, a recent study by Microsoft found that 75% of industrial control devices are unpatched and feature high-severity vulnerabilities.5 Other threat factors include improper network segmentation – which, according to Dragos, happens to be the case for 50% of organizations6 – or poor remote-access practices.	今日、OT環境の大部分は、特定のタスクを実行するために構築され、特殊なソフトウェアや独自のプロトコルで動作するレガシー・テクノロジーに依存している。これらのレガシーシステムの多くは、サイバーセキュリティを考慮せずに設計されていることが多く、今はなきメーカーが製造したもので、ソフトウェアのアップデートは頻繁ではなく、実装も困難であるため、最終的にセキュリティの脅威にさらされている。実際、マイクロソフトによる最近の調査では、産業用制御機器の75%にパッチが適用されておらず、深刻度の高い脆弱性が存在することが判明している5。その他の脅威要因としては、不適切なネットワーク・セグメンテーション（ドラゴスによると、組織の50%でこの傾向が見られる6）、あるいは不十分なリモート・アクセス慣行が挙げられる。
Malicious actors do not shy away from exploiting such vulnerabilities. A report by McKinsey shows that OT cyber events have increased by 140% from 2020 to 2021.7 Of those events, 35% sustained physical damage with an estimated impact of $140 million per incident.8 That said, it is important to note that not all industries are equally impacted by OT attacks. For instance, since 2021, 9 the manufacturing sector has been the most targeted, experiencing 61% of cyberattacks. The oil and gas (11%), transportation (10%) and utilities (10%) sectors have been next.	悪意ある行為者は、このような脆弱性を悪用することをためらわない。マッキンゼーのレポートによると、OTのサイバーイベントは2020年から2021年にかけて140％増加している7。そのうち35％が物理的な被害を受け、1インシデントあたり1億4,000万ドルの影響があると推定されている8。例えば、2021年以降、製造業が最も標的とされ、61％のサイバー攻撃を受けている。次いで、石油・ガス（11％）、運輸（10％）、公益事業（10％）の各セクターが続いている。
Organizations in the manufacturing, oil and gas, and electricity industries bore damages amounting to $2.8 million on average in 2021.10 In addition to financial losses (directly from the damage and from related downtime), data and intellectual property theft, and reputation damage, cybersecurity breaches in OT environments can have consequences such as:	製造業、石油・ガス業、電力業界の組織は、2021年に平均280万ドルの損害を被った10。（損害や関連するダウンタイムによる直接的な）金銭的損失、データや知的財産の盗難、評判の低下に加え、OT環境におけるサイバーセキュリティ侵害は、以下のような結果をもたらす可能性がある：
– Damage to the environment.	・環境への損害。
– Exposure of people and personnel to dangerous conditions. Gartner predicts that by 2025, malicious actors will be able to weaponize the OT environment to cause harm or loss of life.11	・人々や人員を危険な状況にさらす。ガートナー社は、2025 年までに悪意のある行為者が OT 環境を武器化し、危害や人命の損失を引き起こすことができるようになると予測している11。
– Reduced availability and quality of essential goods and services including energy, healthcare and transportation; this can trigger behaviours such as panic-buying and stockpiling by consumers.	・エネルギー,医療,輸送を含む必要不可欠な商品やサービスの利用可能性や質の低下。これは,消費者によるパニック買いや備蓄といった行動を引き起こす可能性がある。
– Legal and regulatory violations resulting in fines, lawsuits and regulatory scrutiny.	・罰金,訴訟,規制当局の監視につながる法的・規制的違反。
– Implications for national security and public safety, given that OT is a significant component of critical infrastructure, and any level of cybersecurity risk can be considered critical.	・OT は重要インフラの重要な構成要素であり,どのレベルのサイバーセキュリティリスクも重要であると考えられることから,国家安全保障と公共の安全への影響。
FIGURE 1 Cyber incidents in the oil and gas industry	図 1 石油・ガス産業におけるサイバーインシデント

What are the sources of risks?	リスクの原因は何か？
Cybersecurity risks in the OT environment are amplified by several overarching issues that are not always technical in nature but depend on factors such as corporate culture and governance. These include:	OT 環境におけるサイバーセキュリティリスクは、必ずしも技術的な性質のものではなく、企業文化やガバナンスなどの要因に依存するいくつかの包括的な問題によって増幅される。これらには以下が含まれる：
Lack of emphasis on cyber issues in operations and shortage of personnel for OT cybersecurity.	運用におけるサイバー問題の重視の欠如と、OTサイバーセキュリティのための人材不足。
Human error – research shows that 79% of OT experts consider human error to be the greatest risk for OT systems.12 Moreover, the current onboarding and training of OT personnel do not sufficiently ensure that they adopt appropriate policies and measures for OT cybersecurity.	ヒューマンエラー - 調査によると、OT 専門家の 79%がヒューマンエラーを OT システムの最大のリスクと考えている12 。さらに、現在の OT 担当者の採用やトレーニングでは、OT サイバーセキュリティのための適切なポリシーや対策を採用することが十分に保証されていない。
Unclear delineation of process ownership and prioritization of risks.	プロセスの所有権の明確化とリスクの優先順位付けが不明確である。
The IT/OT convergence has blurred process ownership, allowing for no clear delineation of responsibilities and obligations between the IT and OT teams. In addition, the two view their priorities differently. From the IT perspective, procedures for data security and privacy are crucial, whereas the OT team places primary focus on physical performance and safety of facilities and equipment.	IT と OT の融合により、プロセスの所有権が曖昧になり、IT チームと OT チームの間で責任と義務が明確に区分されなくなっている。さらに、両者の優先順位の見方は異なっている。ITの観点からは、データセキュリティとプライバシーのための手続きが極めて重要であるのに対し、OTチームは施設や機器の物理的性能と安全性に主眼を置いている。
Poor device/asset visibility and rapid introduction of new assets.	デバイス／資産の可視性が低く、新しい資産を迅速に導入できない。
While the creation and maintenance of an asset inventory in the OT environment is regarded as one of the top security controls, according to Dragos,13 as many as 80% of organizations lacked visibility of the OT environment in 2022. Organizations need to have an overview of the devices in their networks – for instance, whether these devices are obsolete or supported, their vulnerabilities and what they are connecting to – both in the IT and OT environments. Organizations should be able to investigate the systems and processes in each zone and provide recommended security controls.	OT環境における資産目録の作成と保守は、最重要セキュリティ管理策の1つとみなされているが、ドラゴス13によると、2022年には80%もの組織がOT環境の可視性を欠いているという。組織は、IT環境とOT環境の両方において、ネットワーク内のデバイスの概要（例えば、これらのデバイスが旧式であるか、サポートされているか、脆弱性、何に接続しているかなど）を把握する必要がある。組織は、各ゾーンのシステムとプロセスを調査し、推奨されるセキュリティ対策を提供できるようにすべきである。
Supply chain and third-party risk.	サプライチェーンとサードパーティーのリスク
A study found that 40% of OT cybersecurity practitioners consider supply chain/third party access to the OT environment to be one of the top three cybersecurity risks.14 Whereas such concerns may be motivated by the weaker cybersecurity practices of third parties, OT cybersecurity can also be compromised by deliberate tampering of third-party hardware, software or firmware. This can happen during the manufacturing, distribution or maintenance processes.	ある調査によると、OT サイバーセキュリティ担当者の 40%が、OT 環境へのサプライチェーン／サードパーティからのアクセスをサイバーセキュリティリスクの上位 3 つのうちの 1 つと考えていることがわかった14 。このような懸念は、サードパーティのサイバーセキュリティ対策が脆弱であることが動機となっている可能性があるが、OT サイバーセキュリティは、サードパーティのハードウェア、ソフトウェア、またはファームウェアの意図的な改ざんによっても損なわれる可能性がある。これは製造、流通、保守の過程で起こりうる。
To ensure a strong cybersecurity posture across organizations and industries, robust cybersecurity measures must be developed and implemented to protect both IT and OT environments.	組織や業界全体で強固なサイバーセキュリティ体制を確保するためには、ITとOTの両方の環境を保護するための強固なサイバーセキュリティ対策を開発し、実施する必要がある。
What are the existing cybersecurity frameworks for the OT environment?	OT環境に対する既存のサイバーセキュリティのフレームワークにはどのようなものがあるか？
Organizations are not starting from scratch when it comes to OT cybersecurity. In fact, a number of cybersecurity frameworks have already been developed for the OT environment.	組織は、OTサイバーセキュリティに関してゼロから始めるわけではない。実際、OT環境向けのサイバーセキュリティ・フレームワークはすでに数多く開発されている。
The International Electrotechnical Commission (IEC) 6244315 is an international series of standards that tackle cybersecurity for industrial automation and control systems. The National Institute of Standards and Technology (NIST) has released SP 800-82 16 – a guide on how to improve the security of OT systems; while the European Joint Research Centre has proposed a framework on Industrial Automation and Controls Systems (IACS) to share practices on IACS products’ cybersecurity certifications.17	国際電気標準会議（IEC）62443 15は、産業オートメーションと制御システムのサイバーセキュリティに取り組む国際標準シリーズである。国立標準技術研究所（NIST）は、OTシステムのセキュリティを改善する方法に関するガイドであるSP 800-82 16を発表した。一方、欧州共同研究センターは、IACS製品のサイバーセキュリティ認証に関するプラクティスを共有するために、産業用自動制御システム（IACS）に関するフレームワークを提案している。17。
Other examples of cybersecurity frameworks applicable to the OT environment and beyond include the NIST Cybersecurity Framework18 as well as the Cybersecurity Capability Maturity Model (C2M2).19 Efforts have also been made at the local level to enhance OT cybersecurity. For instance, Saudi Arabia has developed the Operational Technology Cybersecurity Controls. Similarly, oil and gas companies on the Norwegian continental shelf follow guidelines such as NOG 104, NOG 110 and NOG 123, while in the US, the North American Electric Reliability Corporation’s Critical Infrastructure Protection (NERC CIP) and the American Petroleum Industry Pipeline Security standards are of relevance.	OT 環境に適用可能なサイバーセキュリティフレームワークの他の例としては、NIST サイバーセキュリティフレームワーク18 やサイバーセキュリティ能力成熟度モデル（C2M2）19 がある。例えば、サウジアラビアは、オペレーショナル・テクノロジー・サイバーセキュリティ・コントロールを策定した。同様に、ノルウェー大陸棚の石油・ガス会社は、NOG 104、NOG 110、NOG 123 などのガイドラインに従っており、米国では、北米電気信頼性公社の重要インフラ保護（NERC CIP）や米国石油業界のパイプライン・セキュリティ標準が関連している。
While numerous OT cybersecurity frameworks are available, many of those referenced here are extremely complicated and require a lot of effort to ensure effective implementation, particularly for third-party suppliers and vendors that may struggle to comply due to resource limitations – human or financial. This obligates industrial organizations to ensure that third parties are capable of applying and adhering to these frameworks and standards.	数多くのOTサイバーセキュリティフレームワークが利用可能であるが、ここで言及されているものの多くは非常に複雑であり、効果的な実装を確保するためには多大な労力を必要とする。特にサードパーティであるサプライヤーやベンダーは、人的・金銭的なリソースの制約により、コンプライアンスに苦労する可能性がある。このため、産業組織は、サードパーティがこれらのフレームワークや標準を適用し、遵守できることを保証する義務がある。
No silver bullet exists for successful implementation of OT cybersecurity frameworks and standards. Most of the time, industry players must apply a wide range of frameworks and standards to cover distinct parts of their infrastructure, such as water pumps and utilities.	OTサイバーセキュリティのフレームワークと標準の導入を成功させる特効薬は存在しない。ほとんどの場合、業界関係者は、水ポンプやユーティリティなど、インフラの明確な部分をカバーするために、幅広いフレームワークや標準を適用しなければならない。
A lot of the above-mentioned frameworks are very focused on technical controls. Yet, OT governance, i.e. who is responsible for cybersecurity in OT and how it interlocks with IT, remains a challenge for many organizations.	上記のフレームワークの多くは、技術的なコントロールに非常に重点を置いている。しかし、OTガバナンス、すなわち誰がOTのサイバーセキュリティに責任を持ち、ITとどのように連動させるかは、多くの組織にとって依然として課題である。
1. Guiding principles for cyber resilient OT environments	1. サイバーレジリエンスOT環境のための指針
The action group “Securing the OT environment” convening cyber leaders from the electricity, manufacturing and oil and gas industries around the topic of OT cybersecurity, has developed a set of five guiding principles to help industrial organizations address cyber risks and build resilience as the IT/OT convergence continues.	OTサイバーセキュリティをテーマに、電力、製造、石油・ガス業界のサイバーリーダーを招集したアクショングループ「OT環境の確保」は、IT/OTの融合が進む中、産業組織がサイバーリスクに対処し、レジリエンスを構築するのに役立つ5つの指導原則を策定した。
Principle 1: Perform comprehensive risk management of the OT environment	原則 1：OT 環境の包括的なリスクマネジメントを実施する。
Principle 2: Ensure OT engineers and operators of installations have responsibility for OT cybersecurity	原則 2: OT エンジニアと設備のオペレータが OT サイバーセキュリティに責任を持つようにする。
Principle 3: Align with top organizational leadership, strategic planning teams and third parties to make security-by-design a reality	原則 3：セキュリティ・バイ・デザインを実現するために、組織のトップリーダー、戦略立案チーム、サードパーティと連携する。
Principle 4: Make cybersecurity standards and best practices contractually enforceable on partners and vendors to build a cybersecure OT environment	原則 4：サイバーセキュリティの標準とベストプラクティスをパートナーやベンダーに契約上強制できるようにし、サイバーセキュアな OT 環境を構築する。
Principle 5: Run joint tabletop exercises to ensure preparedness in case of an actual incident	原則 5: 実際のインシデントに備えて合同机上演習を実施する
2. Actionable approaches to implementing OT cybersecurity principles	2. OT サイバーセキュリティの原則を実施するための実行可能なアプローチ
To ensure the successful implementation of the identified OT cybersecurity principles, organizations must undertake a number of actions to translate theory into tangible institutional practice.	識別された OT サイバーセキュリティの原則の実施を成功させるために、機構は、理論を具体的な制度的実践に変換するための多くの行動を実施する必要がある。
Principle 1: Perform comprehensive risk management of the OT environment	原則 1：OT 環境の包括的なリスクマネジメントを実施する。
To increase overall cybersecurity preparedness and reduce the potential and impact of cyberattacks, industrial organizations must take a comprehensive approach to risk management. This comprises risk assessment – identification of vulnerabilities and gaps that expose an organization to an attack, and of risks that could impede recovery and resilience – as well as mitigation and monitoring strategies. For risk management to be robust and complete, it is important that organizations:	全体的なサイバーセキュリティへの備えを強化し、サイバー攻撃の可能性と影響を低減するために、産業組織はリスクマネジメントに包括的なアプローチを取らなければならない。これには、リスクアセスメント（組織が攻撃にさらされる脆弱性とギャップ、回復とレジリエンスを阻害する可能性のあるリスクの特定）、および低減とモニタリング戦略が含まれる。リスクマネジメントを強固で完全なものにするためには、組織は以下のことを行うことが重要である：
– Identify and classify assets on the basis on their criticality, value and sensitivity to the organization’s operations. – Create an inventory of the “crown jewels”	・組織の業務に対する資産の重要性,価値,及び機密性に基づいて資産を識別し,分類する。- 王冠の宝石」のインベントリを作成する。
– the highest-value assets in their OT environment which, if compromised, could have a major impact. Once the “crown jewels” have been identified, organizations should identify how they connect to the network, data flows, etc.	・OT環境において最も価値の高い資産であり,漏洩した場合,大きな影響を及ぼす可能性のあるものである。王冠の宝石」が識別されたら,組織は,それらがネットワークにどのように接続されているか,データの流れなどを識別する必要がある。
– Detect security vulnerabilities and threats across the mapped assets and OT environment; identify the consequences that could result if the vulnerabilities are exploited (e.g. in case of unauthorized access, data theft, equipment damage, injury and loss of life, harm to national security, etc.); and prioritize mitigation accordingly.	・マッピングされた資産と OT 環境全体のセキュリティ脆弱性と脅威を検知し、脆弱性が悪用された場合に生じ得る結果（不正アクセス、データ盗難、機器の損傷、人命損害、国家安全保障への被害など）を特定し、それに応じて低減の優先順位を決定する。
– Identify potential threats (including threat events, threat actors, etc.) that could target their OT environment.	・OT 環境を標的とする可能性のある脅威（脅威事象、脅威行為者などを含む）を識別する。
– Establish an OT cybersecurity strategy aligned with the overall cybersecurity strategy, outlining the prevention, detection and response capabilities. It should be reviewed, evaluated and updated regularly. Organizations should also consider developing guidelines to ensure effective adoption and implementation of the OT cybersecurity strategy.	・全体的なサイバーセキュリティ戦略に沿った OT サイバーセキュリティ戦略を確立し,予防,検知,対応能力の概要を示す。これは定期的に見直し,評価し,更新する必要がある。組織は,OTサイバーセキュリティ戦略の効果的な採用と実施を確保するためのガイドラインの策定も検討すべきである。

サイト内検索

Recent Posts

Recent Comments

Recent Trackbacks

連載 (ITmedia)

ウェブページ

2023.12.06

2023.12.05

2023.12.04

2023.12.03

2023.12.02

2023.12.01

2023.11.30

2023.11.29

2023.11.28

2023.11.27

2023.11.26

2023.11.25

2023.11.24