2022.01.20

中国 習近平国家主席のダボス会議でのスピーチ

こんにちは、丸山満彦です。

習近平国家主席のダボス会議でのスピーチ

  1. みんなで力を合わせて流行を乗り越える
  2. 様々なリスクを解消し、世界経済の安定的な回復を促進する
  3. 開発格差を超えて、グローバルな開発の目的を再活性化する。
  4. 冷戦のメンタリティを捨て、平和的共存と互恵を実現する。

というのが、メッセージのポイントのようです。

外交部

2022.01.17 习近平在2022年世界经济论坛视频会议的演讲(全文)
2022年世界経済フォーラムにおける習近平主席のビデオ会議のスピーチ(全文)

 

坚定信心 勇毅前行 共创后疫情时代美好世界 ポスト疫病時代のより良い世界に向けた自信と勇気
——在2022年世界经济论坛视频会议的演讲 -- 2022年世界経済フォーラム ビデオ会議でのスピーチ
(2022年1月17日) (2022年1月17日)
中华人民共和国主席 习近平 中華人民共和国 習近平国家主席
尊敬的施瓦布主席, 親愛なるシュワブ代表
女士们,先生们,朋友们: 紳士淑女の皆さん、友人の皆さん。
大家好!很高兴出席世界经济论坛视频会议。 皆さん、こんにちは。 世界経済フォーラムのビデオ会議に参加できることを嬉しく思います。
再过两周,中国农历虎年新春就要到来。在中国文化中,虎是勇敢和力量的象征,中国人常说生龙活虎、龙腾虎跃。面对当前人类面临的严峻挑战,我们要如虎添翼、虎虎生威,勇敢战胜前进道路上各种险阻,全力扫除新冠肺炎疫情阴霾,全力促进经济社会恢复发展,让希望的阳光照亮人类! あと2週間で、中国の旧正月である「寅年」がやってきます。 中国文化では、虎は勇敢さと強さの象徴であり、中国ではよく「龍は生きていて、虎は跳んでいる」と言われています。 人類が直面している深刻な課題に直面して、私たちは虎のように勇敢になり、道中のあらゆる障害を克服して、新型肺炎の流行のもやもやを解消し、経済と社会の回復と発展を促進し、人類に希望の太陽を輝かせなければなりません
当今世界正在经历百年未有之大变局。这场变局不限于一时一事、一国一域,而是深刻而宏阔的时代之变。时代之变和世纪疫情相互叠加,世界进入新的动荡变革期。如何战胜疫情?如何建设疫后世界?这是世界各国人民共同关心的重大问题,也是我们必须回答的紧迫的重大课题。 今、世界は100年に一度の未曾有の大変革期を迎えています。 この変化は、一時期や一国に限定されたものではなく、深遠で大規模な時代の変化である。 時代の変化と世紀の流行が重なり、世界は新たな混乱と変化の時代を迎えています。 どうすれば流行を乗り越えられるのか? ポスト疫病の世界をどう構築するか? これは、世界のすべての人々にとって共通の関心事であり、私たちが答えなければならない緊急かつ重要な問題です。
“天下之势不盛则衰,天下之治不进则退。”世界总是在矛盾运动中发展的,没有矛盾就没有世界。纵观历史,人类正是在战胜一次次考验中成长、在克服一场场危机中发展。我们要在历史前进的逻辑中前进、在时代发展的潮流中发展。 世界が繁栄しなければ衰退し、世界の統治が進まなければ後退する。 世界は常に矛盾の動きの中で発展しており、矛盾がなければ世界は存在しない。 歴史を振り返ると、人類が成長し、発展してきたのは、次から次へと襲ってくる試練を乗り越えてきたからです。 歴史の論理の中で前進し、時代の流れの中で発展していかなければなりません。
不论风吹雨打,人类总是要向前走的。我们要善于从历史长周期比较分析中进行思考,又要善于从细微处洞察事物的变化,在危机中育新机、于变局中开新局,凝聚起战胜困难和挑战的强大力量。 風が吹こうが雨が降ろうが、人類は必ず前に進む。 私たちは、比較分析の長い歴史的サイクルから考えることに長けているだけでなく、物事の変化の機微から洞察することにも長けていなければなりません。危機の中で新たな機会を育み、変化の中で新たな状況を切り開き、困難や課題を克服するために強い力を結集するのです。
第一,携手合作,聚力战胜疫情。面对这场事关人类前途命运的世纪疫情,国际社会打响了一场顽强的阻击战。事实再次表明,在全球性危机的惊涛骇浪里,各国不是乘坐在190多条小船上,而是乘坐在一条命运与共的大船上。小船经不起风浪,巨舰才能顶住惊涛骇浪。在国际社会共同努力下,全球抗疫已经取得重要进展,但疫情反复延宕,病毒变异增多,传播速度加快,给人民生命安全和身体健康带来严重威胁,给世界经济发展带来深刻影响。 第一に、みんなで力を合わせて流行を乗り越えましょう。 人類の未来を左右する世紀の大流行を前に、国際社会はそれを阻止するために粘り強い戦いを繰り広げてきました。 繰り返しになりますが、世界危機の激動の波の中で、各国は190隻以上の小さな船に乗っているのではなく、共通の運命を持つ1つの大きな船に乗っているという事実があります。 小さな船は荒波に耐えられないが、巨大な船だけは乱れた波に耐えられる。 国際社会の共同努力により、世界的な流行との戦いにおいて重要な進展が見られましたが、度重なる流行の遅れ、ウイルスの突然変異の増加、感染の拡大の加速は、人々の生命と健康に深刻な脅威を与え、世界の経済発展にも大きな影響を与えています。
坚定信心、同舟共济,是战胜疫情的唯一正确道路。任何相互掣肘,任何无端“甩锅”,都会贻误战机、干扰大局。世界各国要加强国际抗疫合作,积极开展药物研发合作,共筑多重抗疫防线,加快建设人类卫生健康共同体。特别是要用好疫苗这个有力武器,确保疫苗公平分配,加快推进接种速度,弥合国际“免疫鸿沟”,把生命健康守护好、把人民生活保障好。 疫病を克服する唯一の正しい方法は、確固たる自信を持ち、協力し合うことです。 相互に制約をかけたり、鍋を不当に「捨てる」ことは、機会損失を招き、全体の状況を阻害するだけです。 世界各国は、疫病対策のための国際協力を強化し、医薬品の研究開発に積極的に協力し、疫病に対する複数の防御ラインを構築し、ヒューマン・ヘルス・コミュニティの構築を加速すべきである。 特に、ワクチンを強力な武器として使用し、ワクチンの公平な分配を確保し、ワクチン接種のスピードを速め、国際的な「予防接種ギャップ」を埋めて、生命と健康を守り、人々の生活を守ることが必要です。
中国言必信、行必果,已向120多个国家和国际组织提供超过20亿剂疫苗。中国将再向非洲国家提供10亿剂疫苗,其中6亿剂为无偿援助,还将无偿向东盟国家提供1.5亿剂疫苗。 中国はこれまでに、120以上の国や国際機関に20億回以上のワクチンを提供してきました。 中国は、アフリカ諸国に10億回分のワクチンを提供し、そのうち6億回分を無料で提供するほか、ASEAN諸国に1億5千万回分のワクチンを無料で提供します。
第二,化解各类风险,促进世界经济稳定复苏。世界经济正在走出低谷,但也面临诸多制约因素。全球产业链供应链紊乱、大宗商品价格持续上涨、能源供应紧张等风险相互交织,加剧了经济复苏进程的不确定性。全球低通胀环境发生明显变化,复合型通胀风险正在显现。如果主要经济体货币政策“急刹车”或“急转弯”,将产生严重负面外溢效应,给世界经济和金融稳定带来挑战,广大发展中国家将首当其冲。我们要探索常态化疫情防控条件下的经济增长新动能、社会生活新模式、人员往来新路径,推进跨境贸易便利化,保障产业链供应链安全畅通,推动世界经济复苏进程走稳走实。 第二に、様々なリスクを解消し、世界経済の安定的な回復を促進しましょう。 世界経済は低迷を脱しつつありますが、多くの制約を受けています。 世界の産業チェーンにおけるサプライチェーンの混乱、商品価格の継続的な上昇、エネルギー供給の制約などのリスクが絡み合い、経済回復プロセスの不確実性を高めています。 世界の低インフレ環境は大きく変化し、複合的なインフレリスクが顕在化しています。 主要国の金融政策が「急ブレーキ」や「急旋回」すると、深刻な悪影響が波及し、世界経済や金融の安定性に課題が生じ、その影響は途上国にも及びます。 私たちは、疫病の予防と制御が正常化した状況下で、経済成長の新たなダイナミクス、社会生活の新たなモード、人と人との交流の新たな道を模索し、国境を越えた貿易の円滑化を促進し、産業チェーンにおけるサプライチェーンの安全で円滑な流れを確保し、世界経済の安定した堅実な回復を促進する必要があります。
经济全球化是时代潮流。大江奔腾向海,总会遇到逆流,但任何逆流都阻挡不了大江东去。动力助其前行,阻力促其强大。尽管出现了很多逆流、险滩,但经济全球化方向从未改变、也不会改变。世界各国要坚持真正的多边主义,坚持拆墙而不筑墙、开放而不隔绝、融合而不脱钩,推动构建开放型世界经济。要以公平正义为理念引领全球治理体系变革,维护以世界贸易组织为核心的多边贸易体制,在充分协商基础上,为人工智能、数字经济等打造各方普遍接受、行之有效的规则,为科技创新营造开放、公正、非歧视的有利环境,推动经济全球化朝着更加开放、包容、普惠、平衡、共赢的方向发展,让世界经济活力充分迸发出来。 経済のグローバル化は時代の趨勢です。 大河が海に向かって突進するとき、必ず逆流に遭遇しますが、どんな逆流でも大河が東に向かうのを止めることはできません。 勢いがあれば前に進むことができ、抵抗があれば強くなることができます。 多くの逆流や危険な浅瀬にもかかわらず、経済のグローバル化の方向性はこれまでも、そしてこれからも変わることはありません。 世界の国々は、真のマルティラテラリズムを堅持し、壁を壊すのではなく作ること、開放するのではなく孤立させること、統合するのではなく切り離すこと、そして開かれた世界経済の構築を推進しなければなりません。 私たちは、公正と正義の概念をもってグローバルガバナンスシステムの変革をリードし、世界貿易機関を中核とする多国間貿易システムを堅持し、完全な協議に基づいてすべての当事者が普遍的に受け入れ、実効性のある人工知能とデジタル経済のルールを作成し、科学技術革新のためのオープンで公正かつ無差別な実現環境を構築し、経済のグローバル化をよりオープンで、包括的で、バランスのとれた、ウィンウィンの方向に推進していくべきです。 世界経済の活力を存分に発揮してください。
现在,大家有一种共识,就是推动世界经济走出危机、实现复苏,必须加强宏观政策协调。主要经济体要树立共同体意识,强化系统观念,加强政策信息透明和共享,协调好财政、货币政策目标、力度、节奏,防止世界经济再次探底。主要发达国家要采取负责任的经济政策,把控好政策外溢效应,避免给发展中国家造成严重冲击。国际经济金融机构要发挥建设性作用,凝聚国际共识,增强政策协同,防范系统性风险。 現在、世界経済を危機から脱却させ、回復させるためには、マクロ政策の調整を強化する必要があるというコンセンサスが得られています。 主要国は、世界経済の再底打ちを防ぐために、共同体意識を育み、システミックな概念を強化し、政策情報の透明性と共有性を高め、財政・金融政策の目的、強さ、ペースを調整する必要があります。 主要先進国は、責任ある経済政策を採用し、政策の波及効果をコントロールし、途上国に深刻なショックを与えないようにすべきである。 国際的な経済・金融機関は、建設的な役割を果たし、国際的なコンセンサスを構築し、政策の相乗効果を高め、システミック・リスクを防止すべきである。
第三,跨越发展鸿沟,重振全球发展事业。全球发展进程正在遭受严重冲击,南北差距、复苏分化、发展断层、技术鸿沟等问题更加突出。人类发展指数30年来首次下降,世界新增1亿多贫困人口,近8亿人生活在饥饿之中,粮食安全、教育、就业、医药卫生等民生领域面临更多困难。一些发展中国家因疫返贫、因疫生乱,发达国家也有很多人陷入生活困境。 第三は、開発格差を超えて、グローバルな開発の目的を再活性化することです。 世界の発展過程は深刻なショックに見舞われており、南北格差、復興格差、発展の断層、技術格差などが顕著になっている。 人間開発指数は30年ぶりに低下し、世界の貧困層には1億人以上が加わり、8億人近くが飢餓状態にあり、食料安全保障、教育、雇用、医療・健康など人々の生活に関わる分野がより困難に直面しています。 発展途上国の中には、伝染病によって貧困と混乱に陥った国もあり、先進国でも多くの人々が厳しい生活環境に陥っています。
不论遇到什么困难,我们都要坚持以人民为中心的发展思想,把促进发展、保障民生置于全球宏观政策的突出位置,落实联合国2030年可持续发展议程,促进现有发展合作机制协同增效,促进全球均衡发展。我们要坚持共同但有区别的责任原则,在发展框架内推进应对气候变化国际合作,落实《联合国气候变化框架公约》第二十六次缔约方大会成果。发达经济体要率先履行减排责任,落实资金、技术支持承诺,为发展中国家应对气候变化、实现可持续发展创造必要条件。 どのような困難があっても、私たちは人間中心の開発思想を堅持し、開発の促進と人々の生活の保護をグローバルなマクロ政策の最前線に置き、国連の「持続可能な開発のための2030アジェンダ」を実施し、既存の開発協力メカニズムの相乗効果を促進し、バランスのとれたグローバルな開発を推進しなければなりません。 共通だが差異ある責任の原則を堅持し、開発の枠組みの中で気候変動に対処するための国際協力を促進し、国連気候変動枠組条約第26回締約国会議の成果を実施すべきである」と述べた。 先進国は、率先して排出量削減の責任を果たし、資金・技術支援の約束を実行し、途上国が気候変動に対処し、持続可能な開発を達成するために必要な条件を整えるべきである。
去年,我在联合国大会上提出全球发展倡议,呼吁国际社会关注发展中国家面临的紧迫问题。这个倡议是向全世界开放的公共产品,旨在对接联合国2030年可持续发展议程,推动全球共同发展。中国愿同各方携手合作,共同推进倡议落地,努力不让任何一个国家掉队。 私は昨年、国連総会で「グローバル・ディベロップメント・イニシアチブ」を提案し、国際社会に途上国が直面している緊急課題に焦点を当てるよう呼びかけました。 この取り組みは、世界に開かれた公共財であり、国連の「持続可能な開発のための2030アジェンダ」と連携し、世界共通の開発を推進することを目的としています。 中国は、すべての当事者と手を携えて、このイニシアティブの実施を推進し、どの国も取り残さないように努力したいと考えています。
第四,摒弃冷战思维,实现和平共处、互利共赢。当今世界并不太平,煽动仇恨、偏见的言论不绝于耳,由此产生的种种围堵、打压甚至对抗对世界和平安全有百害而无一利。历史反复证明,对抗不仅于事无补,而且会带来灾难性后果。搞保护主义、单边主义,谁也保护不了,最终只会损人害己。搞霸权霸凌,更是逆历史潮流而动。国家之间难免存在矛盾和分歧,但搞你输我赢的零和博弈是无济于事的。任何执意打造“小院高墙”、“平行体系”的行径,任何热衷于搞排他性“小圈子”、“小集团”、分裂世界的行径,任何泛化国家安全概念、对其他国家经济科技发展进行遏制的行径,任何煽动意识形态对立、把经济科技问题政治化、武器化的行径,都严重削弱国际社会应对共同挑战的努力。和平发展、合作共赢才是人间正道。不同国家、不同文明要在彼此尊重中共同发展、在求同存异中合作共赢。 第四は、冷戦のメンタリティを捨て、平和的共存と互恵を実現することです。 今の世界は平和ではなく、憎しみや偏見を煽るような発言が目立ちます。 その結果、包囲網や弾圧、さらには対立が起こり、世界の平和と安全に良い影響を与えることはありません。 対立は役に立たないだけでなく、悲惨であることは歴史が繰り返し証明している。 保護主義や一国主義では誰も守れず、結局は他人を傷つけ、自分も傷つくだけです。 覇権主義やイジメを行うことは、歴史の流れに逆らうことです。 国によって矛盾や違いがあるのはやむを得ないが、あなたが負けて私が勝つというゼロサムゲームではどうにもならない。 狭い庭と高い壁」や「並列システム」を作ることにこだわる行動、排他的な「小さなサークル」や「小さなグループ」を作って世界を分断しようと躍起になる行動は、何の役にも立ちません。 排他的な「小さなサークル」や「クリケット」を作って世界を分断しようとする行為、国家安全保障の概念を一般化して他国の経済・科学の発展を抑制する行為、イデオロギー的対立を煽り、経済・科学の問題を政治化・武器化する行為は、共通の課題に取り組む国際社会の努力を著しく損なうことになります。 平和的な発展とWin-Winの協力は、地球上の正しい道です。 異なる国や文明は、相互に尊重し合いながら共に発展し、違いを留保しながら共通点を求めてWin-Winの状況を目指して協力すべきである。
我们要顺应历史大势,致力于稳定国际秩序,弘扬全人类共同价值,推动构建人类命运共同体。要坚持对话而不对抗、包容而不排他,反对一切形式的单边主义、保护主义,反对一切形式的霸权主义和强权政治。 我々は、歴史の一般的な流れに従い、国際秩序の安定化に尽力し、全人類の共通の価値観を促進し、人類の運命共同体の構築を推進すべきである」と述べた。 私たちは、対立を伴わない対話、排除を伴わない包括性を主張し、あらゆる形態の単独主義や保護主義、さらにはあらゆる形態の覇権主義やパワーポリティクスに反対しなければなりません。
女士们、先生们、朋友们! 紳士淑女の皆さん、友人の皆さん
去年是中国共产党成立一百周年。中国共产党团结带领中国人民长期艰苦奋斗,在国家建设发展和人民生活改善上取得举世瞩目的成就,如期实现了全面建成小康社会目标,如期打赢了脱贫攻坚战,历史性地解决了绝对贫困问题,现在踏上了全面建设社会主义现代化国家新征程。 昨年は中国共産党(CPC)創立100周年でした。 中国共産党は、中国人民を団結させ、長く苦しい闘いをリードし、国家建設と発展、人民の生活向上において世界に名だたる成果を上げ、適度に豊かな社会を建設するという目標を予定通り達成し、貧困との闘いに予定通り勝利し、絶対的貧困問題を歴史的に解決し、現在、あらゆる面で現代の社会主義国を建設するための新たな旅に出ています。
——中国将坚定不移推动高质量发展。中国经济总体发展势头良好,去年中国国内生产总值增长8%左右,实现了较高增长和较低通胀的双重目标。虽然受到国内外经济环境变化带来的巨大压力,但中国经济韧性强、潜力足、长期向好的基本面没有改变,我们对中国经济发展前途充满信心。 ・中国は質の高い発展を揺るぎなく推進する。 中国の経済はおおむね順調に推移しており、昨年の中国の国内総生産(GDP)は約8%増加し、成長率の向上とインフレ率の低下という2つの目標を達成しました。 国内外の経済環境の変化から大きなプレッシャーを受けていますが、回復力があり、十分な潜在力を持ち、長期的に改善している中国経済のファンダメンタルズは変わっておらず、中国の経済発展の将来性に確信を持っています。
“国之称富者,在乎丰民。”中国经济得到长足发展,人民生活水平大幅提高,但我们深知,满足人民对美好生活的向往还要进行长期艰苦的努力。中国明确提出要推动人的全面发展、全体人民共同富裕取得更为明显的实质性进展,将为此在各方面进行努力。中国要实现共同富裕,但不是搞平均主义,而是要先把“蛋糕”做大,然后通过合理的制度安排把“蛋糕”分好,水涨船高、各得其所,让发展成果更多更公平惠及全体人民。 国を豊かと呼ぶ者は、国民を豊かにすることを大切にする 中国の経済は大きく成長し、人々の生活水準は急激に向上しましたが、より良い生活を求める人々の願望を満たすためには、まだまだ長く困難な闘いが続いていることを私たちはよく理解しています。 中国は、人々の全面的な発展とすべての人々の共同の繁栄を促進するために、より目に見える形で実質的な進歩を遂げたいと考えており、そのためにあらゆる面で努力していくことを明確にしています。 中国は共同繁栄を目指していますが、それは平等主義的なものではありません。 まず「ケーキ」を大きくし、合理的な制度的取り決めによってそれをうまく分け合い、水が増えれば皆が分け前を得て、発展の果実がより大きく公平にすべての人々に恩恵をもたらすようにしたいのです。
——中国将坚定不移推进改革开放。中国改革开放永远在路上。不论国际形势发生什么变化,中国都将高举改革开放的旗帜。中国将继续使市场在资源配置中起决定性作用,更好发挥政府作用,毫不动摇巩固和发展公有制经济,毫不动摇鼓励、支持、引导非公有制经济发展。中国将建设统一开放、竞争有序的市场体系,确保所有企业在法律面前地位平等、在市场面前机会平等。中国欢迎各种资本在中国合法依规经营,为中国发展发挥积极作用。中国将继续扩大高水平对外开放,稳步拓展规则、管理、标准等制度型开放,落实外资企业国民待遇,推动共建“一带一路”高质量发展。区域全面经济伙伴关系协定已于今年1月1日正式生效,中国将忠实履行义务,深化同协定各方经贸联系。中国还将继续推进加入全面与进步跨太平洋伙伴关系协定和数字经济伙伴关系协定进程,进一步融入区域和世界经济,努力实现互利共赢。 ・中国は改革開放を揺るぎなく推進する。 中国の改革開放は常に途上にある。 国際情勢がどのように変化しようとも、中国は改革開放の旗を高く掲げる。 中国は引き続き、資源配分において市場が決定的な役割を果たすことを可能にし、政府の役割をよりよく果たし、公共部門の経済を揺るぎなく統合・発展させ、非公共部門の経済の発展を揺るぎなく奨励・支援・指導していく。 中国は、統一された、開かれた、競争的で秩序ある市場システムを構築し、すべての企業が法の下で平等な地位を得て、市場で平等な機会を得られるようにする。 中国は、あらゆる種類の資本が合法的に、規制に従って中国で活動し、中国の発展に積極的な役割を果たすことを歓迎します。 中国は引き続き高水準の対外開放を拡大し、規則、管理、基準などの制度の開放を着実に拡大し、外資系企業に対する国家的な待遇を実施し、「一帯一路」の質の高い発展を促進していきたいと考えています。 本年1月1日に発効した地域包括的経済連携協定(RCEP)について、中国はその義務を誠実に果たし、すべての締約国との経済・貿易関係を深めていきます」と述べています。 また、中国は、包括的かつ先進的な環太平洋パートナーシップ協定(CPTPA)およびデジタル経済パートナーシップ協定(DEPA)への加盟を引き続き推進し、地域経済および世界経済へのさらなる統合を図り、相互利益とWin-Winの結果を得るために努力していきます」。
——中国将坚定不移推进生态文明建设。我经常说,发展经济不能对资源和生态环境竭泽而渔,生态环境保护也不是舍弃经济发展而缘木求鱼。中国坚持绿水青山就是金山银山的理念,推动山水林田湖草沙一体化保护和系统治理,全力以赴推进生态文明建设,全力以赴加强污染防治,全力以赴改善人民生产生活环境。中国正在建设全世界最大的国家公园体系。中国去年成功承办联合国《生物多样性公约》第十五次缔约方大会,为推动建设清洁美丽的世界作出了贡献。 ・中国は生態文明の建設を揺るぎなく推進する。 私はよく,経済発展が資源や生態環境を漁るための手段であってはならないし,生態保護が経済発展を捨てて丸太から魚を求めるための手段であってはならないと言ってきました。 中国は,「緑の水,緑の山は金の山」という概念を堅持し,山,水,森,田,湖,草,砂の総合的な保護と体系的な管理を推進し,生態系文明の促進,汚染防止・管理の強化,人々の生産・生活環境の改善に全力で取り組んでいます。 中国は,世界最大の国立公園システムを構築しています。 中国は昨年,「国連生物多様性条約第15回締約国会議」を成功裏に開催し,クリーンで美しい世界の推進に貢献しました。
实现碳达峰碳中和是中国高质量发展的内在要求,也是中国对国际社会的庄严承诺。中国将践信守诺、坚定推进,已发布《2030年前碳达峰行动方案》,还将陆续发布能源、工业、建筑等领域具体实施方案。中国已建成全球规模最大的碳市场和清洁发电体系,可再生能源装机容量超10亿千瓦,1亿千瓦大型风电光伏基地已有序开工建设。实现碳达峰碳中和,不可能毕其功于一役。中国将破立并举、稳扎稳打,在推进新能源可靠替代过程中逐步有序减少传统能源,确保经济社会平稳发展。中国将积极开展应对气候变化国际合作,共同推进经济社会发展全面绿色转型。 カーボンニュートラルを達成することは、中国の高品質な発展のための本質的な要件であり、中国が国際社会に対して厳粛に約束することでもあります。 中国は、すでに「2030年までにカーボンニュートラルを達成するための行動計画」を発表しており、近々、エネルギー、産業、建築などの分野で具体的な実施計画を発表する予定ですが、約束を守り、断固として前進します。 中国は、世界最大の炭素市場とクリーンな発電システムを構築しており、再生可能エネルギーの設備容量は10億キロワットを超え、すでに1億キロワットの大規模な風力発電や太陽光発電の基地が建設されています。 カーボンニュートラルの達成は、一足飛びに達成できるものではありません。 中国は、段階的なアプローチで、新エネルギーへの確実な代替を進める過程で、伝統的なエネルギー源を着実に削減し、安定した経済社会の発展を確保する。 中国は、気候変動に対処するための国際協力に積極的に関与し、経済・社会発展の包括的なグリーン転換を共同で推進する。
女士们、先生们、朋友们! 紳士淑女の皆さん、友人の皆さん
达沃斯是世界冰雪运动胜地。北京冬奥会、冬残奥会就要开幕了。中国有信心为世界奉献一场简约、安全、精彩的奥运盛会。北京冬奥会、冬残奥会的主题口号是“一起向未来”。让我们携起手来,满怀信心,一起向未来! ダボスは、雪と氷のスポーツの世界的な目的地です。 いよいよ北京冬季オリンピック・パラリンピックの開幕です。 中国は、シンプルで安全かつエキサイティングなオリンピックイベントを世界に提供できると確信しています。 北京冬季オリンピック・パラリンピック大会のスローガンは「共に未来へ」。 一緒に手を取り合って、自信を持って未来に向かって進んでいきましょう。
谢谢大家。 皆さん、ありがとうございました。

 

1_20210612030101

 

| | Comments (0)

2022.01.19

英国 デジタル・文化・メディア・スポーツ省 ガイダンス:就労権、賃借権、犯罪歴確認のためのデジタルID認証

こんにちは、丸山満彦です。

英国のデジタル・文化・メディア・スポーツ省が、就労権、賃借権、犯罪歴確認のためのデジタルID認証についてのガイダンス文書を公表していますね。。。

U.K. Government

・2022.01.17 Digital identity certification for right to work, right to rent and criminal record checks

・2022.01.17 Guidance Digital identity certification for right to work, right to rent and criminal record checks

 

Contents 目次
1.Introduction 1. はじめに
2.What does this mean for employers and landlords? 2. 雇用主や家主にとってどのような意味がありますか?
3.What do providers become certified against? 3. プロバイダは何に対して認証を受けるのですか?
4.How do providers become certified? 4. プロバイダはどのようにして認証を受けるのですか?
5.Who are the certification bodies? 5. 認証機関は誰ですか?
6.List of certified providers 6. 認証プロバイダのリスト
7.Frequently asked questions 7. よくある質問
8.Contact details 8. 連絡先

 

1. Introduction 1. はじめに
On 27 December 2021, the government announced its intention to enable employers and landlords to use certified digital identity service providers to carry out identity checks on their behalf for many who are not in scope to use the Home Office online services, including British and Irish citizens. The relevant changes to legislation will take effect from 6 April 2022. 2021年12月27日、政府は、英国人やアイルランド人など、内務省のオンラインサービスを利用する範囲に入っていない多くの人を対象に、雇用主や家主が認証されたデジタルIDサービスプロバイダを利用して、身元確認を代行できるようにする意向を発表しました。関連する法律の変更は、2022年4月6日から施行されます。
This development will align with the Disclosure and Barring Service’s (DBS) proposal to enable digital identity checking within their criminal record checking process, through the introduction of its Identity Trust Scheme. この動きは、無犯罪証明サービス(DBS)がID信頼スキームの導入により、犯罪歴の確認プロセスにおいてデジタルID確認を可能にするという提案に沿うものである。
This guidance sets how providers can become certified to complete digital identity checks for the Right to Work, Right to Rent, and DBS schemes respectively, in line with the Department for Digital, Culture, Media and Sport’s (DCMS) UK Digital Identity and Attributes Trust Framework (the trust framework). 本ガイダンスは、デジタル・文化・メディア・スポーツ省(DCMS)の「UK Digital Identity and Attributes Trust Framework」(信頼フレームワーク)に沿って、プロバイダが「就労権」、「賃借権」、「DBS スキーム」でそれぞれデジタル ID 確認を行うための認証を受ける方法を定めています。
The trust framework is a set of rules providers agree to follow to make secure, trustworthy identity checks. The initial ‘alpha’ version of the trust framework was published in February 2021, with an updated version of the trust framework published in August 2021 following feedback from the public, industry, and civil society. A consultation on underpinning the trust framework in legislation ran from July to September 2021. 信頼フレームワークは、安全で信頼できる本人確認を行うために、プロバイダーが従うことに同意する一連のルールです。2021年2月に信頼フレームワークの最初の「アルファ」版が発表され、国民、業界、市民社会からのフィードバックを受けて、2021年8月に信頼フレームワークの更新版が発表されました。2021年7月から9月にかけて、信頼フレームワームを法律で裏打ちするためのコンサルテーションが行われました。
The Right to Work, Right to Rent, and DBS initiatives form part of DCMS’s trust framework’s testing process, and learnings will help to further refine its development. 「就労権」、「賃借権」、「DBS」の取り組みは、DCMSの信頼フレームワークのテストプロセスの一部を構成しており、学習結果は開発をさらに洗練させるのに役立ちます。
2. What does this mean for employers and landlords? 2. 雇用主や家主にとってどのような意味がありますか?
Employers and landlords will be able to use certified Identification Document Validation Technology (IDVT) service providers to carry out digital eligibility checks on behalf of British and Irish citizens who hold a valid passport. The relevant changes to legislation will take effect from 6 April 2022. 雇用主や家主は、有効なパスポートを保有する英国およびアイルランド国民に代わり、認定IDVT(Identification Document Validation Technology)サービスプロバイダを利用してデジタル資格を確認することができるようになります。関連する法改正は、2022年4月6日から施行されます。
For employers and landlords, the introduction of digital identity checking into the Schemes will mean they can assure prospective employee and tenants’ identities and eligibility, using consistent and more secure methods, reducing risk and allowing them to recruit and rent in a safer way. 雇用主や家主にとっては、デジタルID確認が制度に導入されることで、一貫性のあるより安全な方法で、従業員や入居希望者の身元や適格性を保証することができ、リスクを軽減し、より安全な方法で採用や賃貸を行うことができます。
Enabling the use of IDVT for Right to Work, Right to Rent and DBS checks will help to support long-term post pandemic working practices, accelerate the recruitment and onboarding process, improve employee mobility and enhance the security and integrity of the checks. 就労権、賃借権、DBS確認にIDVTを使用できるようにすることで、パンデミック後の長期的な労働慣行を支援し、採用・入社プロセスを迅速化し、従業員の流動性を高め、確認のセキュリティと整合性を高めることができます。
3. What do providers become certified against? 3. プロバイダは何に対して認証を受けるのですか?
To become certified against the schemes, providers must meet the criteria in the current version of the trust framework. Depending on the scheme(s) they want to join, they must also meet the requirements for the Right to Work & Right to Rent schemes and/or DBS scheme. These guidance documents have been published as a draft, and the Right to Work and Right to Rent Scheme guidance products will be finalised when the legislative changes take effect in April 2022. In the interim period, the guidance will be used during the certification process and should be followed by those providers being certified. 各スキームの認証を受けるためには、プロバイダは、現行の信頼フレームワークの規準を満たす必要があります。また、加入を希望するスキームに応じて、就労権・賃借権スキームやDBSスキームの要件も満たす必要があります。これらのガイダンス文書はドラフトとして公開されており、就労権・賃借権スキームのガイダンス文書は、2022年4月に法改正が発効した時点で最終的に決定されます。この間、ガイダンスは認証プロセスで使用され、認証を受けるプロバイダはこれに従わなければなりません。
The trust framework is currently in its alpha phase. When the beta version of the trust framework is published in Spring/Summer 2022, providers that have not already been certified will need to become certified against the beta version of the trust framework to participate in the Schemes. Providers certified against the alpha trust framework will be expected to move to the beta version at the time of their annual surveillance audit. 信頼フレームワークは、現在、アルファ版の段階にあります。信頼フレームワークのベータ版が2022年春夏に公開されると、まだ認証を受けていないプロバイダは、スキームに参加するために、信頼フレームワークのベータ版に対して認証を受ける必要があります。アルファ版信頼フレームワークで認証されたプロバイダは、年次サーベイランス監査の際にベータ版に移行することが期待されます。
consultation on proposed digital identity legislative measures ran from July to September 2021. Under the proposals, the government intends to legislate to put in place formalised governance arrangements for the trust framework and under these arrangements the trust framework will move to the live phase. The process for certification may change under these arrangements, with providers needing to meet any new requirements. 2021年7月から9月にかけて、デジタルIDに関する立法措置の提案についての協議が行われましました。この提案では、政府は信頼フレームワークの正式なガバナンス体制を整えるための法制化を意図しており、これらの体制の下で信頼フレームワークは本番段階に移行する。このような取り決めの下では、認証のプロセスが変更される可能性があり、プロバイダは新たな要件を満たす必要があります。
4. How do providers become certified? 4. プロバイダはどのようにして認証を受けるのですか?
A step-by-step process for how providers become certified against the trust framework and Right to Work, Right to Rent and DBS Schemes is as follows: プロバイダが信頼フレームワーク、就労権、賃借権、DBSスキームに対して認証を受けるためのプロセスは以下の通りです。
Providers who wish to become certified must firstly decide whether they want to be certified against a) the Right to Work and Right to Rent Schemes only, b) the DBS Scheme only, or c) both. 認証を受けようとするプロバイダは、まず、a)就労権・賃借権制度のみ、b)DBS制度のみ、c)両方、のいずれに対して認証を受けたいかを決定する必要があります。
Providers must engage with one of the selected certification bodies (see below) and agree a contractual relationship for completing the assessment process. プロバイダは、選択した認証機関の1つ(下記参照)と契約を結び、審査プロセスを完了するための契約関係に合意する必要があります。
Providers are assessed by a combination of desk reviews and on-site audits depending on the scope to be assessed. Although having taken part in the alpha testing of trust framework is not a requirement, those who did participate will be able to use their alpha self-assessments as supporting evidence as part of this process. プロバイダは、審査対象の範囲に応じて、デスクレビューとオンサイト監査を組み合わせた審査を受けます。信頼フレームワークのアルファテストに参加していることは必須条件ではありませんが、参加している場合は、アルファテストの自己評価をこのプロセスの裏付け証拠として使用することができます。
After the audits have taken place, certification bodies will advise DCMS and the provider undergoing certification of their recommendation in regard to certification. 監査が行われた後、認証機関はDCMSおよび認証を受けるプロバイダに、認証に関する推奨事項を通知します。
DCMS will review the outcome of the assessment process and, if all requirements have been met, the provider’s name, contact details, and information regarding their certification will be published on this webpage. Employers, landlords and other relevant providers interested in procuring digital identity services will be able to see which providers have been approved. DCMSは審査プロセスの結果を確認し、すべての要件が満たされている場合には、プロバイダの名前、連絡先、認証に関する情報をこのウェブページに掲載します。デジタル・アイデンティティ・サービスの調達に関心のある雇用主、家主、その他の関連プロバイダは、どのプロバイダが承認されたかを確認することができる。
Certification is a time-limited process and providers will need to undertake an annual surveillance audit and biennial recertification to remain on the list of certified providers for these Schemes. 認定は期限付きのプロセスであり、プロバイダはこれらのスキームの認定プロバイダのリストに留ま るために、年 1 回のサーベイランス監査および 2 年に 1 回の再認定を受ける必要がある。
5. Who are the certification bodies? 5. 認証機関は誰ですか?
To be a certification body for this initiative, organisations must submit an expression of interest via the UK Accreditation Service (UKAS) website. Once certification bodies have been selected, this page will be updated. Organisations interested in becoming certified should engage directly with the selected certification bodies once a list is available. このイニシアティブの認証機関になるためには、組織はUK Accreditation Service(UKAS)のウェブサイトから関心表明を提出する必要があります。認証機関が選定されたら、このページを更新します。認証取得に関心のある組織は、リストができ次第、選定された認証機関に直接連絡してください。
6. List of certified providers 6. 認証プロバイダのリスト
A list of certified providers will appear here once certifications have taken place. There are currently no providers certified. Employers, landlords and other relevant organisations interested in procuring a certified provider should engage directly with those providers once a list is available. Employers and landlords which want to carry out digital checks using their own processes will need to become certified themselves. 認証プロバイダのリストは、認証が行われた後にこのページに表示されます。現在、認証プロバイダはありません。認証プロバイダの調達に関心のある雇用主、家主、その他の関連組織は、リストが入手でき次第、それらのプロバイダに直接お問い合わせください。独自のプロセスでデジタル確認を行うことを希望する雇用主や家主は、自ら認証を受ける必要があります。
7. Frequently asked questions 7. よくある質問
How long does certification take? 認証にはどのくらいの時間がかかりますか?
The length of the assessment process will be agreed between the provider wanting to become certified and their selected certification body. We estimate that it will take 4-8 weeks to complete this process. 審査プロセスの期間は、認証を希望するプロバイダと選択した認証機関との間で合意されます。このプロセスを完了するには、4~8週間かかると考えています。
How much does it cost to become certified? 認証を受けるにはどのくらいの費用がかかりますか?
The costs of the assessment are agreed between the provider and their selected certification body. Once certification is achieved, there is no cost to being placed on the list of the government’s certified providers. (Please note this may change in the future.) 審査にかかる費用は、プロバイダと選択した認証機関との間で合意されます。認証を取得すると、政府の認証プロバイダのリストに掲載されますが、費用はかかりません。(ただし、これは将来的に変更される可能性があります。)
How long does certification last? 認証の有効期間はどのくらいですか?
Certification lasts for up to two years, after which providers must become re-certified against the most current version of the trust framework and relevant Scheme guidance to remain on the list of certified providers. Surveillance audits must be undertaken annually, as part of maintaining certification, and will also facilitate a move to the most current version of the trust framework and scheme guidance available. 認証の有効期間は最長で2年間です。その後、認証事業者のリストに残るためには、最新版の信頼フレームワークと関連するスキームガイダンスに基づいて再認証を受ける必要があります。認証を維持するためには、毎年サーベイランス監査を受ける必要があります。これにより、最新版の信頼フレームワークとスキームガイダンスへの移行が促進されます。
Can the identity checks be reused? ID 確認は再利用できるのか。
Whether and where identity checks can be re-used in other contexts is dependent on the requirements of the use case and organisations involved. The reuse of checks may be possible where this is compliant with relevant legislation and rules within the trust framework. ID 確認を他の文脈で再利用できるかどうか、またどこで再利用するかは、使用ケースの要件と関係する組織によります。確認の再利用は、関連する法律および信託フレームワーク内の規則に準拠している場合に可能です。

 

Fig1_20220118215501

 

 


 

関連

● U.K. Governance

・2021.12.27 Digital identity document validation technology (IDVT)

・2021.07.19 Digital identity and attributes consultation

・2021.08.02 UK digital identity & attributes trust framework: updated version

DBSについて

Disclosure & Barring Service

日本でも導入したらどうかという話もありますね。。。

● UKAS

Expressions of interest

・2022.01.17 Expression of Interest – UK Digital Identity and Attributes Trust Framework

 

 

| | Comments (0)

中国 海外上場をする企業にセキュリティ審査をする国家安全保障上の意図の説明 at 2022.01.07

こんにちは、丸山満彦です。

2021年12月28日にネットワークセキュリティ審査弁法が改定発行され、2022年2月15日に施行すると発表されています。改正のポイントとして「100万人以上のユーザーの個人情報を保有しているオンラインプラットフォーム事業者が海外で株式公開する場合、ネットワークセキュリティ審査室にネットワークセキュリティクリアランスを提出しなければならない。」(第7条)がありますね。。。

これらの条文も含めて安全保障上の意図について専門家の解釈とした説明が公表されていました。。。

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

2022.01.07 专家解读|实施赴国外上市网络安全审查,保障国家安全 専門家による解説|国家安全保障を守るための海外上場に向けたネットワークセキュリティ審査の実施について

 

专家解读|实施赴国外上市网络安全审查,保障国家安全 専門家による解説|国家安全保障を守るための海外上場に向けたネットワークセキュリティ審査の実施について
新年伊始,修订后的《网络安全审查办法》正式颁布,并于2月15日起实施。此次对《网络安全审查办法》的修订,继续秉承了关口前移、防患于未然的网络安全审查制度设计初心,是落实“网络安全为人民”,贯彻《数据安全法》《个人信息保护法》的具体举措。 新年早々、改正された「サイバーセキュリティ審査弁法」が正式に公布され、2月15日から施行されました。 今回の「ネットワークセキュリティ審査弁法」の改訂は、ゲートをより前に配置し、問題を未然に防ぐというネットワークセキュリティ審査システムの当初の設計を引き続き堅持するものであり、「国民のためのネットワークセキュリティ」および「データセキュリティ法」「個人情報保護法」を実施するための具体的な対策でもあります。
我国是互联网应用大国,各类互联网平台众多。既有为社会提供金融支付、通信交流等基础性服务的互联网平台;也有专注于视听、求职、打车、货运、购物等的领域性互联网平台。这些平台或掌握了海量的公民个人数据,或在一个领域内掌握具有垄断性的用户信息。互联网平台掌握的数据一旦发生泄漏,将会严重危害公民的个人信息安全,给不法分子实施诈骗、非法营销等活动提供便利;一旦被滥用,将能分析出个人的家庭状况、癖好、心理、宗教信仰等敏感个人信息,给公民隐私权带来威胁。甚至对一些特定领域的个人信息进行有针对性的分析,能够得出我国社会经济运行的敏感信息,一旦泄漏将会影响国家安全。 中国はインターネットの普及率が高く、さまざまな種類のインターネット・プラットフォームがあります。 金融決済やコミュニケーションなどの基本的なサービスを提供するインターネット・プラットフォームもあれば、オーディオ・ビジュアル、就職活動、タクシー、荷物運送、ショッピングなどの分野に特化したインターネット・プラットフォームもあります。 これらのプラットフォームは、膨大な量の市民の個人情報を保有しているか、ある分野のユーザーの情報を独占しています。 インターネットプラットフォームが保有するデータが流出すると、市民の個人情報の安全性が著しく損なわれ、悪意のある者による詐欺や違法なマーケティングなどの行為が行われやすくなります。また、悪用されると、個人の家族構成、フェチ、心理、宗教観などの微妙な個人情報を分析することが可能になり、市民のプライバシーが脅かされることになります。 ある特定の分野に絞って個人情報を分析したとしても、社会や経済の運営に関わる機密情報が得られる可能性があり、それが流出すれば国家の安全保障に影響を与えることになります。
上市,对于互联网平台具有特殊意义。国内互联网平台大多以上市,特别是赴国外上市作为发展的主要目标。但如果一个互联网平台不遵守国家有关网络安全要求,不落实重要数据和个人信息保护责任义务,滥用数据,上市后在金融力量的加持下无序扩张,网络安全风险和威胁将成倍扩大。同时,一些国家出于保护本国投资者的目的,通过法律要求在其国内上市的企业披露业务经营数据。这个理由一旦被滥用,索要数据的边界将不受限制,给我国国家安全带来威胁。 リスティングは、インターネットプラットフォームにとって特別な意味を持ちます。 国内のインターネットプラットフォームの多くは、特に海外を開発の主な目標として挙げています。 しかし、インターネットプラットフォームが、サイバーセキュリティに関する国の要求を遵守せず、重要なデータや個人情報を保護する責任と義務を履行せず、データを誤用し、上場後に財力の支援を受けて無秩序に拡大した場合、サイバーセキュリティのリスクと脅威は指数関数的に拡大することになります。 一方で、投資家保護を目的に、自国に上場している企業に事業運営データの開示を義務付ける法律を制定している国もあります。 この理由が悪用されると、要求されたデータの境界は無制限になり、国家安全保障に脅威を与えることになります。
此次《网络安全审查办法》的修订,提出“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”的要求,目的是对计划赴国外上市互联网平台进行充分的国家安全层面上的风险评估,一旦发现平台有违反国家网络安全、数据安全要求,存在国家安全层面上的风险时,将禁止赴国外上市。这么做将有效化解互联网平台因赴国外上市而带来的国家安全风险。同时,也有效促进各大互联网平台遵守国家网络安全、数据安全等各方面要求,提高全社会对网络安全、数据安全的重视程度。 ネットワークセキュリティ審査弁法の改正の目的は、海外での上場を計画しているインターネットプラットフォームに対して、国家安全保障上のリスク評価を全面的に行い、100万人以上のユーザーの個人情報を持つインターネット・プラットフォームの運営者に対して、海外での上場時にネットワークセキュリティ審査室への提出を義務付けることにあります。 プラットフォームが国のサイバーセキュリティおよびデータセキュリティ要件に違反し、国家安全保障上のリスクがあると判断された場合、そのプラットフォームは海外での上場が禁止されます。 これにより、海外でのインターネット・プラットフォームの上場に伴う国家安全保障上のリスクが効果的に軽減されます。 同時に、主要なインターネットプラットフォームが各国のネットワークセキュリティおよびデータセキュリティ要件に準拠することを効果的に促進し、社会全体におけるネットワークセキュリティおよびデータセキュリティの重要性を高めることにもなります。
(作者:唐旺,中国网络安全审查技术与认证中心高级工程师) (筆者:中国ネットワークセキュリティ検閲技術・認証センター シニアエンジニア Tang Wang)

 

1_20210612030101


 

● まるちゃんの情報セキュリティきまぐれ日記

ネットワークセキュリティ審査弁法についての過去の記事。。

・2022.01.05中国 ネットワークセキュリティ審査弁法

 

改正前のバージョンの話

・2020.06.09 中国 「サイバーセキュリティー審査弁法」が6月1日より施行されましたね。。。

・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。

・2020.02.22 中国サイバーセキュリティ関連組織・・・

・2020.02.21 中国のサイバーセキュリティ法(CCSL)関係

・2020.02.04 中国が情報セキュリティ関連の国家標準のパブコメを18件出していました・・・

 


・2022.01.17 中国 電気通信端末産業協会 (TAF) が「スマート端末側のビジネスのリスク防止・管理のためのセキュリティガイドライン」等、9つの文書を公表していますね。。。

・2022.01.06 中国 意見募集 金融商品オンラインマーケティング管理弁法(案)

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

・2022.01.05 中国 ネットワークセキュリティ審査弁法

・2022.01.03 中国 全国人民大会 個人情報保護法についての記事

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年国家情報化計画」を発表していますね。。。

・2021.12.28 中国 全国人民大会 法の支配に向かうデータセキュリティ

・2021.12.27 中国 通信院 テレマティックス白書と量子情報技術の開発と応用に関する調査報告書

・2021.12.26 中国 インターネット上の宗教情報サービスの管理に関する弁法

・2021.12.25 中国 意見募集 産業情報技術分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)

・2021.12.24 中国 通信院 グローバルデジタルガバナンス白書、ブロックチェーン白書、デジタルツインシティ白書、デジタルカーボンニュートラル白書、ビッグデータ白書、インターネット法白書

・2021.12.12 中国 サイバースペース管理局が、CNCERTと中国サイバースペースセキュリティ協会が、アプリによる個人情報の違法・不正な収集・利用に関する監視・分析レポートを発表したと公表していますね。。。

・2021.11.28 中国 国家サイバースペース管理局が「芸能スターのオンライン情報の規制に関連する業務の更なる強化に関する通知」を公表していますね。。。

・2021.11.21 中国通信院 モバイルインターネットアプリケーション(APP)の個人情報保護ガバナンスに関するホワイトペーパー

・2021.11.20 中国 インターネットの法の支配についての普及・教育計画

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.11.01 中国 意見募集 インターネットユーザアカウント名情報の管理に関する規則

・2021.10.22 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

・2021.10.13 中国 TC260 15のセキュリティ関連の標準を決定

・2021.10.04 中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.30 中国 2021年のサイバーセキュリティに関する国家標準プロジェクトリスト

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定(試行)が公表されていますね。。。at 2021.08.16

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2021.08.13 中国 意見募集 「情報セキュリティ技術 情報システムセキュリティ保証評価フレームワーク第1部:導入と一般モデル」の国家標準の改訂案を発表し、意見募集していますね。。。at 2021.07.23

・2021.08.11 中国 通信院 プライバシーコンピューティング白書 (2021) at 2021.07.21

・2021.08.04 中国 通信院 クラウドコンピューティング白書

・2021.07.25 中国 CNCERT / CCが2020年のインターネットセキュリティ報告書を公開

・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

・2021.07.14 中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」

・2021.07.11 中国サイバースペース管理局が「运满满」、「货车帮」、「BOSS直聘」にサイバーセキュリティ審査を開始し、新規ユーザ登録を停止していますね。。。

・2021.07.05 中国 NY証券取引所に2021.06.30に上場した配車サービス「滴滴出行」が個人情報の取扱が不適切としてアプリの提供を2021.07.04に禁止される

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2021.05.20 中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12

・2021.05.19 中国 スパイ対策のセキュリティ作業を強化・標準化する等のための「スパイ活動のセキュリティ対策規定」を制定していました...

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.02 デジタルチャイナの情報セキュリティ・プライバシーに対する中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)の記事

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2020.12.17 中国 セキュリティ評価に合格したクラウドプラットフォーム

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)

・2020.10.29 中国中央銀行がクラウドコンピューティングテクノロジーに関する3つの金融業界標準を発表しましたね。。。

・2020.10.20 中国 パブコメ 商業銀行法改正 商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

・2020.09.10 中国が「グローバル データ セキュリティ イニシアティブ」構想を米国の「クリーン ネットワーク」プログラム発表の1ヶ月後に提案

・2020.07.06 中国のデータセキュリティ法案

 

かなり遡りますが、、、

・2005.09.27 中国 新規則策定 ネット上で非合法な集会・デモ禁止

| | Comments (0)

2022.01.18

ウクライナ ロシアからと考えられるサイバー攻撃の影響はほぼ回復した?

こんにちは、丸山満彦です。

ウクライナ政府のページで、ロシアからと考えられるサイバー攻撃の影響はほぼ回復したと公表されていますね。。。

gov.ua

・2022.01.17 Держспецзв'язку: Майже всі сайти, які постраждали від кібератаки, вже працюють

Держспецзв'язку: Майже всі сайти, які постраждали від кібератаки, вже працюють ウクライナ特別通信局:サイバー攻撃の影響を受けたウェブサイトのほぼすべてがすでに稼働している
Станом на 14:00 сьогодні відновили роботу майже всі сайти, які постраждали від кібератаки на державні інформаційні ресурси в ніч на п'ятницю, 14 січня. Розслідування та робота над відновленням решти ресурсів триває. 1月14日(金)夜に国家情報資源へのサイバー攻撃を受けたウェブサイトは、本日午後2時現在、ほぼすべてのサイトが運営を再開しています。現在、調査と復旧作業を行っています。
Версія щодо використання програми-вайпера, що знищує дані, перевіряється. Для цього Держспецзв'язку взаємодіє з компанією Майкрософт у рамках укладеної влітку угоди про співробітництво Government Security Program. データを削除するバイパープログラムを使用しているバージョンについては検証中です。このために、通信省は先日の政府のセキュリティプログラムの協力に関する合意に基づき、マイクロソフトと協力しています。
Водночас вже зараз можна стверджувати про значно вищу складність атаки, ніж модифікація стартової сторінки веб-сайтів. Низку зовнішніх інформаційних ресурсів було знищено зловмисниками в ручному режимі. Стислі терміни реалізації атаки свідчать про координацію дій хакерів та їхню чисельність. この時点ですでに、この攻撃はウェブサイトのホームページを変更するよりもはるかに高度なものであると言えます。重要性が低いの外部情報資源が、攻撃者によって手動でダウンさせられました。攻撃の条件は、ハッカーたちの行動の連携とその数を示しています。
Зараз відпрацьовується версія щодо комбінації трьох векторів атаки: supply chain attack та експлуатація вразливостей OctoberCMS та Log4j. Також, починаючи з п'ятниці, фіксуються DDOS-атаки на низку постраждалих органів державної влади. Робоча група залучила міжнародних експертів з метою достовірного встановлення джерела походження атаки. 現在、サプライチェーン攻撃とOctoberCMSやLog4jの機能の悪用という3つの攻撃ベクターを組み合わせたバージョンが開発されています。また、金曜日からは、重要性が低いの政府機関に対するDDOS攻撃が行われました。ワーキンググループは、国際的な専門家に依頼して、攻撃の起点を検証しました。
Як повідомлялося раніше у ніч із 13 на 14 січня було здійснено хакерську атаку на низку урядових сайтів, зокрема МЗС, МОН тощо. У рамках розслідування атаки Держспецзв'язку з'ясувала, як хакери зламали сайти держустанов. Окрім цього, урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA надала рекомендації для уникнення поширення кібератаки на сайти державних органів. 既に公表している通り、1月13日夜から14日にかけて、厚生省や文部科学省などの政府系ウェブサイトに対してハッカーによる攻撃が行われました。今回の攻撃に関する調査の一環として、国家安全保障局は、ハッカーがどのようにして当局のウェブサイトを破ったかを調査しました。さらに、ウクライナのComputer Emergency Response Team CERT-UAは、政府系ウェブサイトへのサイバー攻撃の拡散を防ぐための提言を発表しました。

 

ウクライナのナショナル CERTである、CERT-UAのウェブページに記載されている、推奨される対策。。。

CERT-UA

・2021.01.14 Кібератака на сайти державних органів(政府系ウェブサイトへの攻撃)


 

gov.ua

・2022.01.17 Держспецзв’язку: Атака на Prozorro Infobox не вплинула на роботу системи закупівель Prozorro

 

Держспецзв’язку: Атака на Prozorro Infobox не вплинула на роботу системи закупівель Prozorro ウクライナ特別通信局:Prozorro Infoboxへの攻撃は、Prozorro調達システムの運用に影響を与えませんでした。
Сьогодні о 8 ранку на сторінці форуму Prozorro Infobox з’явилося повідомлення, аналогічне тим, що були використані під час кібератаки на інші державні сайти 14 січня. Наразі сторінка вимкнена, а фахівці проводять розслідування та працюють над оперативним відновленням роботи форуму. 本日午前8時、Prozorro Infoboxのフォーラムページに、1月14日に他国等のウェブサイトがサイバー攻撃を受けた際に使用されたものと同様の通知が表示されました。現在、このページは削除されており、スタッフが調査を行い、フォーラムの機能を早急に復旧させています。
Форум Prozorro Infobox є окремою системою, яка не пов'язана із системою закупівель Prozorro. За наявною інформацією ані інформаційний ресурс Prozorro Infobox, ані сам портал Prozorro не постраждали. Система публічних закупівель працює у штатному режимі. Prozorro Infoboxのフォーラムは調達Prozorroのシステムとは別のシステムであり、関係ありません。入手可能な情報によると、Prozorro Infoboxの情報リソースやProzorroポータル自体は影響を受けていません。公共調達システムは通常通りに運営されています。
Закликаємо у разі підозри чи виявлення ознак атаки невідкладно звертатися до Державної служби спеціального зв'язку та захисту інформації України. Фахівці урядової команди реагування на комп'ютерні надзвичайні події CERT-UA у режимі 24/7 оперативно реагують на повідомлення та допомагають зупинити атаки. Наші фахівці аналізують логфайли для того, щоб зрозуміти весь ланцюжок реалізації атаки, збирають цифрові докази, а також допомагають якомога швидше відновити роботу веб-ресурсів. 攻撃の疑いや兆候がある場合は、ウクライナ特別通信情報保護局に連絡することを推奨します。Orderly Computer Emergency Response Team(CERT-UA)のメンバーが24時間365日、通知に対応し、攻撃を阻止するための支援を行います。当社の技術者は、ログファイルを分析して攻撃の全タイムラインを把握し、デジタル証拠を収集するとともに、ウェブリソースを可能な限り迅速に復元するための支援を行います。

 

・2022.01.16 Мінцифри: Росія має намір знизити довіру до влади фейками про вразливість критичної інформаційної інфраструктури та «‎злив» даних українців

Мінцифри: Росія має намір знизити довіру до влади фейками про вразливість критичної інформаційної інфраструктури та «‎злив» даних українців 情報省:ロシアは重要情報インフラの断片化やウクライナ人のデータの「流出」に関するフェイクによって当局への信頼を低下させたいと考えています
Держспецзв'язку разом із СБУ та Кіберполіцією продовжує розслідувати кібератаку на сайти органів державної влади. ウクライナ国家保安局は、ウクライナ保安局とサイバーポリスとともに、国家機関のウェブサイトに対するサイバー攻撃の調査を続けています。
Станом на зараз можна сказати, що всі докази вказують на те, що за кібератакою стоїть Росія. Москва продовжує вести гібридну війну та активно нарощує сили в інформаційному та кіберпросторах. 現時点では、サイバー攻撃の背後にロシアが存在することを示す証拠がすべて揃っています。モスクワはハイブリッド戦争を続けており、サイバー空間や情報空間においても積極的に力をつけています。
Найчастіше кібервійська Росії працюють проти США та України, намагаючись за допомогою технологій похитнути політичну ситуацію. Остання кібератака — один із проявів гібридної війни Росії проти України, яка триває з 2014 року. より多くの場合、サイバーロシアは米国とウクライナに対して働きかけ、テクノロジーを使って政治状況をハイジャックしようとしています。今回のサイバー攻撃は、2014年から続いているロシアのウクライナに対するハイブリッド戦争の現れのひとつです。
Її ціль — не тільки залякати суспільство. А дестабілізувати ситуацію в Україні, зупинивши роботу державного сектору та підірвавши довіру до влади з боку українців. Цього вони можуть досягти, вкинувши в інфопростір фейки про вразливість критичної інформаційної інфраструктури та про «злив» персональних даних українців. 重大な目的は、人々をなだめることだけではありません。それは、国家部門の仕事を混乱させ、当局に対するウクライナ人の信頼を損ねることで、ウクライナの状況を不安定にすることです。重要な情報インフラが破壊されたとか、ウクライナ人の個人情報が流出したとかいうフェイクニュースをインターネット上で流すことで、それを実現することができるのです。
Зазначимо, що Дія не зберігає персональні дані українців. Усі вони розміщені у відповідних реєстрах, які надійно захищені. Застосунок є тільки «мостом» між інформацією з держреєстрів та користувачем. なお、Diaはウクライナ人の個人データを保存していません。それらはすべて、適切な登録簿に掲載され、安全に保護されています。アプリケーションは、レジスターからの情報とユーザーの間の「架け橋」に過ぎません。
Наприклад, уся медична інформація, зокрема дані для генерування СOVID-сертифікатів, розміщена в Електронній системі охорони здоров'я. Дані про РНОКПП зберігаються в реєстрі Державної податкової служби. А демографічні дані — у Єдиному державному демографічному реєстрі. І так далі. 例えば、すべての医療情報、特にCOVID証明書を作成するためのデータは、Electronic Health Information Systemで公開されています。DNACPPのデータは、国税庁のレジストリに保存されています。人口統計データはUnified State Demographic Registerに保存されます。などと言っています。
Тому закликаємо українців не піддаватися паніці. Усі персональні дані перебувають під надійним захистом у держреєстрах. А оголошення про можливість купити нібито персональні дані є аферою: шахраї продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року. だからこそ、ウクライナ人にはパニックに陥らないようにお願いします。すべての個人データは、レジスターの安全な保護下にあります。また、新しいパーソナルデータを購入する機会についての発表は詐欺です。シャライは、2019年以前に空になった多くのソースからコンパイルされた古いデータを販売しています。
Поле бою за безпеку та саме існування нашої держави лежить у декількох площинах — військовій, дипломатичній, історичній, а тепер ще й у цифровій. Тому українські кіберспеціалісти мають об'єднатися, щоб протистояти загрозі та нейтралізувати противника. 安全保障や国家の存立に関わる戦場は、軍事、外交、歴史、そして今はデジタルという複数の分野にまたがっています。だからこそ、ウクライナのサイバー専門家たちは、脅威に対抗し、敵を無力化するために団結しなければならないのです。

 

・2022.01.14 З'явилися перші результати розслідування нападу хакерів на сайти держустанов

З'явилися перші результати розслідування нападу хакерів на сайти держустанов 政府系サイトへのハッカー攻撃に関する調査結果の第一報を発表
Держспецзв'язку разом з СБУ та Кіберполіцією продовжує розслідувати кібератаку на сайти органів державної влади, що сталася вночі з 13 на 14 січня. Загалом атакували понад 70 держресурсів, 10 з яких зазнали несанкціонованого втручання. Контент сайтів при цьому змінено не було та витоку персональних даних не відбулося. Наші фахівці разом з командами міністерств і відомств уже відновили роботу більшості сайтів. ウクライナ国家安全保障局は、ウクライナ保安局およびサイバー警察とともに、1月13日から14日にかけて夜通し行われた国家機関のウェブサイトに対するサイバー攻撃の調査を続けています。合計70以上の政府機関のリソースが攻撃を受け、そのうち10が不正侵入を受けました。サイトの内容に変更はなく、個人情報の流出もありませんでした。私たちのスタッフは、大臣や各省庁のチームとともに、すでにほとんどのサイトを復旧させています。
Також за ініціативи СБУ було відключено важливих державних ресурсів, зокрема і портал Дія. Це було необхідно для локалізації проблеми та щоб не допустити поширення атаки. Мобільний застосунок Дія працював та працює в штатному режимі. また、ウクライナ保安局の主導により、Diaポータルなどの重要な国家資源が切断されました。これは、問題を局所化し、攻撃が広がらないようにするために必要なことでした。Diaのモバイルアプリケーションは通常通り動作していました。
Важливою задачею було встановити метод реалізації атаки, зібрати цифрові докази та якомога швидше відновити роботу веб-ресурсів. Протягом дня у медіа з'являлися повідомлення про використання хакерами конкретної вразливості системи керування контентом. Це було лише однією з версій, що опрацьовувалась фахівцями. 重要な課題は、攻撃を実行する方法を特定し、デジタル証拠を収集し、Webリソースの動作を早急に復旧させることでした。その日のうちに、ハッカーが特定のコンテンツ管理システムを使用していることがメディアに通知されました。これは、専門家によって悪用されたバージョンの一つに過ぎませんでした。
Зараз ми можемо з великою ймовірністю стверджувати, що відбулася так звана supply chain attack. Тобто атака через ланцюжок поставок. Зловмисники зламали інфраструктуру комерційної компанії, що мала доступ з правами адміністрування до веб-ресурсів, які постраждали внаслідок атаки. 今では、いわゆるサプライチェーン攻撃が行われたと自信を持って言えるようになりました。サプライチェーンを利用した攻撃です。攻撃者は、攻撃の影響を受けたウェブリソースに管理者権限でアクセスしていた営利企業のインフラを破壊しました。
Упродовж вихідних фахівці продовжать розслідування, щоб встановити його замовників і відповідальних за кібератаку. 週末、捜査当局は、サイバー攻撃の犯人と責任者を特定するために調査を続けています。

 

Fig_20220118153501

 

| | Comments (0)

ENISA 相互運用可能なEUのリスク管理フレームワーク

こんにちは、丸山満彦です。

ENISAが相互運用可能なEUのリスク管理フレームワークという文書を公表していますね。。。リスクマネジメントのフレームワークはいくつもあるのですが、次のものが選ばれていますね。。。

1. ISO/IEC 27005:2018
2. NIST SP 800-37
3. NIST SP 800-30
4. NIST SP 800-39
5. BSI STANDARD 200-2
6. OCTAVE-S
7. OCTAVE ALLEGRO
8. OCTAVE FORTE
9. ETSI TS 102 165-1 (TVRA)
10. MONARC
11. EBIOS RM
12. MAGERIT v.3
13. ITSRM²
14. MEHARI
15. THE OPEN GROUP STANDARD, RISK ANALYSIS, V2.0
16. GUIDELINES ON CYBER SECURITY ONBOARD SHIPS

NISTはCOSO-ERMとの整合性を気にしていましたが、こちらでは出てきませんね。。。

 

● ENISA

・2022.01.13 How to achieve the Interoperability of EU Risk Management Frameworks

How to achieve the Interoperability of EU Risk Management Frameworks EUのリスク管理フレームワークの相互運用性を実現するには
The European Union Agency for Cybersecurity (ENISA) issues an analysis of the interoperability potential of cybersecurity risk management frameworks and methodologies to improve decision-making. 欧州連合サイバーセキュリティ機関(ENISA)は、意思決定を改善するために、サイバーセキュリティのリスク管理フレームワークと方法論の相互運用性の可能性についての分析を発行しています。
The report (Interoperable EU Risk Management Framework) published today is primarily designed to assess the existing risk management frameworks and methodologies in order to identify those with the most prominent interoperable features. 本日発行された報告書「相互運用可能なEUのリスク管理フレームワーク」は、既存のリスク管理フレームワークと方法論を評価し、最も顕著な相互運用性を持つフレームワークを特定することを主な目的としています。
What is security risk management? セキュリティリスクマネジメントとは?
Information security risk management consists of the coordinated activities of an organisation in order to control information security risks. These activities are inscribed in a process allowing to: 情報セキュリティ・リスク管理は、情報セキュリティ・リスクをコントロールするための組織の調整された活動で構成されています。これらの活動は、以下を可能にするプロセスに組み込まれています。
・establish the external and internal context; ・外部および内部の状況を確立する。
・assess the risks and decide whether to address the risks; ・リスクを評価し、そのリスクに対処するかどうかを決定する。
・draw a plan to implement decisions made on how to manage the risks. ・リスクを管理する方法についての決定を実行するための計画を策定する。
In order to reduce the risks to an acceptable level, the process includes an analysis of the likelihood of potential security breaches prior to making the decision on solutions to implement. リスクを許容範囲内に抑えるために、このプロセスでは、実施すべきソリューションを決定する前に、潜在的なセキュリティ侵害の可能性を分析します。
About the report 本報告書について
A systematic survey of risk management approaches was performed in different contexts such as industry, business, government, academia, etc. The process included a variety of inclusion criteria ranging from best practices, methodologies proposed as standards and guidelines by international and national standardisation bodies, etc. 産業界、企業、政府、学界など、さまざまな文脈において、リスクマネジメントのアプローチに関する体系的な調査を行いました。この調査では、ベストプラクティス、国際的な標準化団体や国内の標準化団体が標準やガイドラインとして提案している方法論など、さまざまな基準が盛り込まれています。
Key European stakeholders interviewed could share their views which were considered in the process and shaped the analysis of the outcomes. This resulted in: インタビューを行った欧州の主要なステークホルダーは、それぞれの意見を共有することができ、それらはプロセスで考慮され、結果の分析に反映されました。その結果、以下のような成果が得られた。
1. A new ENISA inventory of risk management frameworks and methodologies; 1. リスク管理のフレームワークと方法論に関するENISAの新しいリスト
2. A study on the way to evaluate and categorise European Risk Management Frameworks based on their interoperability potential including a baseline of an EU-wide interoperability framework. 2. EU全体の相互運用性フレームワークのベースラインを含む、相互運用性の可能性に基づいて欧州のリスク管理フレームワークを評価し分類する方法に関する研究。
Key outcomes of the report 報告書の主な成果
The analysis and research performed resulted in the compilation of the following information: 分析・調査の結果、以下のような情報が得られました。
the identification of fully developed national and sectorial risk management frameworks and methodologies and their components; 完全に開発された国家および部門別のリスク管理フレームワークと方法論、およびそれらの構成要素の特定。
the identification of specific features such as national or international scope, target sectors, size of target audience, maturity, compliance with relevant standards, compatibility with EU regulation and legislation, etc. 国内または国際的な範囲、対象部門、対象者の規模、成熟度、関連規格への準拠、EU規制・法律との互換性など、具体的な特徴の特定。
the development of a methodology for the assessment of the interoperability potential of the identified frameworks based on a set of factors such as risk identification, risk assessment and risk treatment; リスクの特定、リスクの評価、リスクの処理などの一連の要素に基づいて、特定されたフレームワークの相互運用性の可能性を評価するための方法論の開発。
the application of the methodology to identify frameworks with a higher interoperability potential. より高い相互運用性を持つフレームワークを特定するための方法論の適用。
The elements gathered in the study serve the purpose of providing keys to potentially form a more coherent EU-wide risk management framework. 本研究で収集された要素は、より首尾一貫したEU全体のリスク管理フレームワークを形成する可能性の鍵を提供することを目的としている。
Besides, the report includes a proposal for a new ENISA inventory of risk management frameworks and methodologies: the Compendium of Risk Management Frameworks with Potential Interoperability. また、本報告書には、リスク管理フレームワークと方法論に関するENISAの新しいインベントリー「相互運用性のあるリスク管理フレームワークの概要」の提案が含まれている。
Background 背景
Risk management is the process of identifying, quantifying, and managing the risks an organisation faces. The process aims to reach an efficient balance between the opportunities available to enhance prevention of cyber risks and reducing the vulnerabilities and losses. As an integral part of management practices and an essential element of good governance, risk management needs to be seeking to support organisational improvement, performance and decision-making. リスク管理とは、組織が直面するリスクを特定し、定量化し、管理するプロセスである。このプロセスは、サイバーリスクの防止を強化するために利用可能な機会と、脆弱性や損失の低減との間で、効率的なバランスをとることを目的としている。経営慣行の不可欠な部分であり、優れたガバナンスの不可欠な要素であるリスク管理は、組織の改善、パフォーマンス、意思決定を支援するために求める必要がある。
ENISA contributes to risk management by collecting, analysing and classifying information in the area of emerging and current risks and the evolving cyber threat environment. ENISAは、新たなリスクや現行のリスク、進化するサイバー脅威環境の分野で情報を収集、分析、分類することで、リスク管理に貢献している。
The aim of this work was not to build yet another risk management framework from scratch. It rather serves the purpose to exploit parts of existing schemes, based on the inventory work done in the introductory step of this project. この作業の目的は、ゼロから新たなリスク管理フレームワークを構築することではない。むしろ、本プロジェクトの導入段階で行った棚卸し作業に基づいて、既存の枠組みの一部を利用することを目的としている。
As next steps ENISA is planning to: 次のステップとして、ENISAは以下を計画している。
・Define interoperable terms between EU risk management frameworks & regulatory frameworks; ・EUのリスク管理フレームワークと規制フレームワークの間で相互運用可能な用語を定義する。
・Develop common/comparative risk; ・共通/比較リスクの開発
・Create a Methodology & Protocol that helps Member States with the uptake of interoperability of proposed risk management framework. ・提案されているリスク管理フレームワークの相互運用性を加盟国が導入する際に役立つ方法論とプロトコルを作成する。
Further information その他の情報
Interoperable EU Risk Management Framework 相互運用可能なEUリスク管理フレームワーク
Compendium of Risk Management Frameworks リスク管理フレームワームの概要
Inventory of risk management frameworks and methodologies リスク管理のフレームワークと方法論の目録
ENISA risk management/risk assessment (RM/RA) framework: Guidelines on assessing Digital Service Providers (DSP) security and Operators of Essential Services (OES) compliance with the NISD security requirements ENISAリスク管理/リスクアセスメント(RM/RA)フレームワーク デジタルサービスプロバイダ(DSP)のセキュリティと、基幹サービス事業者(OES)のNISDセキュリティ要件への準拠を評価するためのガイドライン
Risk Management topic リスク管理に関するトピック

 

・2022.01.13 Interoperable EU Risk Management Framework

Interoperable EU Risk Management Framework 相互運用可能なEUのリスク管理フレームワーク
This report proposes a methodology for assessing the potential interoperability of risk management (RM) frameworks and methodologies and presents related results. The methodology used to evaluate interoperability stemmed from extensive research of the literature, resulting in the use of certain RM framework features which were singled out for this purpose. These features, which were identified as relevant for the assessment of interoperability, are thoroughly described and analysed for each framework/methodology. More specifically, for certain functional features we make use of a four-level scale to evaluate the interoperability level for each method and each set of combined features. 本報告書は、リスク管理(RM)のフレームワークと方法論の潜在的な相互運用性を評価するための方法論を提案し、関連する結果を示している。相互運用性を評価するために用いた方法論は、文献の広範な調査に基づいており、その結果、この目的のために特定のRMフレームワークの特徴を使用している。相互運用性の評価に関連するものとして特定されたこれらの機能は、各フレームワーク/メソドロジーについて徹底的に説明、分析されている。具体的には、特定の機能について、4段階の尺度を用いて、各手法および組み合わせた機能の各セットの相互運用性レベルを評価しています。

・[PDF]

20220117-231310

 

TABLE OF CONTENTS  目次 
1. INTRODUCTION 1. 序論
1.1 PURPOSE AND SCOPE 1.1 目的と範囲
1.2 DEFINITION OF ACRONYMS 1.2 頭字語の定義
2. METHODOLOGY 2. 方法論
2.1 FEATURES OF INTEROPERABILITY 2.1 相互運用性の特徴
2.2 INTEROPERABILITY EVALUATION MODEL 2.2 相互運用性評価モデル
2.2.1 Methodology and levels of interoperability 2.2.1 方法論と相互運用性のレベル
2.2.2 Scoring model for potential interoperability 2.2.2 潜在的な相互運用性の採点モデル
3. RESULTS 3. 結果
3.1 ANALYSIS OF LEVEL OF INTEROPERABILITY FOR EACH RISK MANAGEMENT FRAMEWORK AND FEATURE 3.1 各リスクマネジメントフレームワークおよび機能の相互運用性のレベルの分析
3.2 ANALYSIS OF POTENTIAL INTEROPERABILITY OF RISK MANAGEMENT FRAMEWORKS 3.2 リスクマネジメントフレームワークの潜在的な相互運用性の分析
4. INTEGRATION OF INTEROPERABILITY IN THE RM PROCESSES BASED ON ITSRM2 4. ITSRM2 に基づく RM プロセスにおける相互運用性の統合
4.1 PROCESS P1 SYSTEM SECURITY CHARACTERISATION 4.1 プロセス P1 システムセキュリティの特性評価
4.1.1 Description of process 4.1.1 プロセスの説明
4.2 PROCESSES P2 PRIMARY ASSETS AND P3 SUPPORTING ASSETS 4.2 プロセス P2 主要資産及び P3 補助資産
4.2.1 Description of processes 4.2.1 プロセスの説明
4.2.2 Recommendations and integration of interoperability features 4.2.2 相互運用性機能の推奨と統合
4.3 PROCESS P4 SYSTEM MODELLING 4.3 プロセスP4 システムモデリング
4.3.1 Description of process 4.3.1 プロセスの説明
4.3.2 Recommendations and integration of interoperability features 4.3.2 相互運用性機能の推奨および統合
4.4 PROCESS P5 RISK IDENTIFICATION 4.4 プロセスP5 リスクの特定
4.4.1 Description of process 4.4.1 プロセスの記述
4.4.2 Recommendations and integration of interoperability features 4.4.2 相互運用性機能の推奨と統合
4.5 PROCESS P6 RISK ANALYSIS AND EVALUATION 4.5 プロセスP6 リスク分析および評価
4.5.1 Description of process 4.5.1 プロセスの記述
4.5.2 Recommendations and integration of interoperability features 4.5.2 相互運用性機能に関する推奨事項とその統合
4.6 PROCESS P7 RISK TREATMENT 4.6 プロセスP7 リスク処理
4.6.1 Description of process 4.6.1 プロセスの説明
4.6.2 Recommendations and integration of interoperability features 4.6.2 推奨事項と相互運用性機能の統合
5. SYNOPSIS 5. SYNOPSIS
6. BIBLIOGRAPHY 6. 参考文献
7. APPENDIX – INTERVIEWS WITH NLOS 7. 附属書:NLSへのインタビュー
7.1 EVALUATING POTENTIAL INTEROPERABILITY 7.1 潜在的な相互運用性の評価
7.2 SUGGESTIONS FOR AN INTEROPERABLE EU RM FRAMEWORK 7.2 相互運用可能なEUのREMフレームワークに関する提案
7.3 NEXT STEPS TOWARDS AN INTEROPERABLE FRAMEWORK 7.3 相互運用可能なフレームワークに向けた次のステップ

 

分析結果...

フレームワークやメソドロジーの総合評価/相互運用性の特徴  リスクの特定   残留リスクの算出  総合的な相互運用可能性 
リスク
アセスメント 
リスク対応 
資産
タクソノミー 
資産評価  脅威カタログ  脆弱性カタログ  リスク計算方法  メジャーカタログと残留リスクの算出  
1.ISO/IEC 27005:2018    2.7 3.0 3.0 2.9
2.NIST SP 800-37  3.0 3.0 3.0 3.0
3.NIST SP 800-30  1.6 2.0 3.0 2.2
4.NIST SP 800-39  2.0 3.0 3.0 2.7
5. BSI STANDARD 200-2  2.0 3.0 3.0 2.7
6.OCTAVE-S  3.0 3.0 3.0 3.0
7.OCTAVE ALLEGRO  3.0 3.0 3.0 3.0
8.OCTAVE FORTE  2.7 3.0 3.0 2.9
9.ETSI TS 102 165-1 (TVRA)  2.7 2.0 3.0 2.6
10.MONARC  2.7 3.0 3.0 2.9
11.EBIOS RM  2.9 2.0 3.0 2.6
12.MAGERIT v.3  2.4 2.0 3.0 2.5
13.ITSRM²  1.9 2.0 3.0 2.3
14.MEHARI  2.0 1.0 3.0 2.0
15.THE OPEN GROUP STANDARD, RISK ANALYSIS, V2.0  2.1 3.0 3.0 2.7
16.GUIDELINES ON CYBER SECURITY ONBOARD SHIPS  3.0 2.0 3.0 2.7

 

こっちには、COSO-ERMが紹介されていますね。。。

・2022.01.13 Compendium of Risk Management Frameworks with Potential Interoperability

Compendium of Risk Management Frameworks with Potential Interoperability 相互運用性のあるリス管理フレームワークの概要
This report presents the results of desktop research and the analysis of currently used cybersecurity Risk Management (RM) frameworks and methodologies with the potential for interoperability. The identification of the most prominent RM frameworks and methodologies was based on a systematic survey of related risk management approaches adopted in different contexts (including industry, business, government, academia, etc), at national, international and sectoral levels. This collection of identified frameworks and methodologies includes well known and widely used RM standards that provide high level guidelines for risk management processes that can be applied in all types of organisations. This report also describes the main characteristics and features of each one of the RM frameworks and methodologies identified. Based on this analysis, a basic set of interoperability features is derived. 本報告書は、現在使用されているサイバーセキュリティのリスク管理(RM)のフレームワークと方法論について、デスクトップリサーチと分析を行い、相互運用性の可能性を示したものである。最も著名なRMフレームワークと方法論の特定は、異なる文脈(産業、企業、政府、学界など)で採用されている、国内、国際、部門レベルでの関連するリスク管理アプローチの体系的な調査に基づいている。特定されたフレームワークと方法論のコレクションには、あらゆる種類の組織に適用可能な リスク管理プロセスのハイレベルなガイドラインを提供する、よく知られ、広く使用されている RM 基準が含まれています。また、本報告書では、特定されたRMのフレームワークと方法論のそれぞれの主な特徴と特色を説明しています。この分析に基づいて、相互運用性の基本的な特徴を導き出します。

 

・[PDF]

20220117-234959

1. INTRODUCTION 1. 序論
1.1 PURPOSE AND SCOPE 1.1 目的と範囲
1.2 REPORT STRUCTURE 1.2 報告書の構成
2. METHOD OF WORK 2. 作業方法
2.1 BASIC CONCEPTS AND TERMS 2.1 基本的な概念と用語
2.2 SURVEY METHODOLOGY 2.2 調査方法
3. PROMINENT RISK MANAGEMENT FRAMEWORKS AND METHODOLOGIES 3. 著名なリスクマネジメントのフレームワークおよび方法論
3.1 ISO/IEC 27005:2018 3.1 ISO/IEC 27005:2018
3.2 NIST SP 800-37 REV. 2 3.2 NIST SP 800-37 REV. 2
3.3 NIST SP 800–30 REV.1 3.3 NIST SP 800-30 REV.1
3.4 NIST SP 800–39 3.4 ニストSP 800-39
3.5 NIST SP 800–82 REV. 2 3.5 NIST SP 800-82 REV. 2
3.6 BSI STANDARD 200-2 3.6 BSI規格200-2
3.7 OCTAVE-S 3.7 オウターブ・S
3.8 OCTAVE ALLEGRO 3.8 オクターブ・アレグロ
3.9 OCTAVE FORTE (OCTAVE FOR THE ENTERPRISE) 3.9 オクターブ・フォルテ(オクターブ・フォー・ザ・エンタープライズ)
3.10 ISACA RISK IT FRAMEWORK, 2ND EDITION 3.10 ISACAリスクITフレームワーク:第2版
3.11 INFORMATION RISK ASSESSMENT METHODOLOGY 2 (IRAM2) 3.11 情報リスクアセスメント方法論 2 (IRAM2)
3.12 ETSI TS 102 165-1, THREAT VULNERABILITY AND RISK ANALYSIS (TVRA) 3.12 ETSI TS 102 165-1、脅威の脆弱性とリスクの分析(TVRA)
3.13 MONARC 3.13 MONARC
3.14 EBIOS RISK MANAGER (EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS  DE SÉCURITÉ - EXPRESSION OF NEEDS AND IDENTIFICATION OF SECURITY OBJECTIVES) 3.14 EBIOS リスクマネジャー (expression des besoins et identification des objectifs de sécurité - ニーズの表明とセキュリティ目標の特定)
3.15 MAGERIT V.3: ANALYSIS AND RISK MANAGEMENT FOR INFORMATION SYSTEMS 3.15 MAGERIT V.3: 情報システムの分析とリスク管理

3.16 EU ITSRM, IT SECURITY RISK MANAGEMENT METHODOLOGY V1.2 3.16 EU ITSRM (IT セキュリティリスク管理方法論 v1.2)
3.17 MEHARI 3.17 MEHARI
3.18 ENTERPRISE RISK MANAGEMENT – INTEGRATED FRAMEWORK 3.18 企業のリスク管理 - 統合されたフレームワーク
3.19 AUSTRALIAN ACSC SECURITY MANUAL 3.19 オーストラリアのACSCセキュリティマニュアル
3.20 ANSI/ISA-62443-3‑2-2020 3.20 アンシ/イサ-62443-3-2-2020
3.21 THE OPEN GROUP STANDARD FOR RISK ANALYSIS (O-RA), VERSION 2.0 3.21 リスク分析のためのオープングループ標準(O-RA)、バージョン 2.0
3.22 CORAS 3.22 CORAS
3.23 IS RISK ANALYSIS BASED ON A BUSINESS MODEL 3.23 リスク分析はビジネスモデルに基づいているか?
3.24 IMO MSC-FAL.1/CIRC.3 GUIDELINES ON MARITIME CYBER RISK MANAGEMENT 3.24 海上のサイバーリスク管理に関するIMOのMSC-FAL.1/Circ.3ガイドライン
3.25 GUIDELINES ON CYBER SECURITY ONBOARD SHIPS 3.25 船舶のサイバーセキュリティに関するガイドライン
3.26 HITRUST 3.26 HITRUST
3.27 ISRAM - INFORMATION SECURITY RISK ANALYSIS METHOD 3.27 ISRAM - 情報セキュリティリスク分析手法
3.28 FAIR - FACTOR ANALYSIS OF INFORMATION RISK 3.28 FAIR - 情報リスクの要因分析
3.29 GUIDE TO CONDUCTING CYBERSECURITY RISK ASSESSMENT FOR CRITICAL INFORMATION  INFRASTRUCTURE 3.29 重要情報インフラのためのサイバーセキュリティリスクアセスメント実施の手引き
3.30 RISK MANAGEMENT TOOLS 3.30 リスクマネジメントツール
3.31 SYNOPSIS 3.31 シノプシス
4. CONCLUSIONS 4. 結論
4.1 INTEROPERABILITY FEATURES 4.1 相互運用性の特徴
REFERENCES 参考文献

 

| | Comments (0)

2022.01.17

米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

こんにちは、丸山満彦です。

GAOがSolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応についての報告書を公開していますね。。。

● U.S. Government Accountability Office

・2022.01.13 Cybersecurity:Federal Response to SolarWinds and Microsoft Exchange Incidents

・[PDF] Hilights

・[PDF] Full Report

20220117-132401

 

Cybersecurity:Federal Response to SolarWinds and Microsoft Exchange Incidents サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応
Fast Facts 速報
This report describes the federal response to 2 high-profile cybersecurity incidents that affected the U.S. government. The Russian Foreign Intelligence Service hacked SolarWinds network management software, which is widely used in the U.S. government. Also, Chinese government affiliates likely exploited a vulnerability in the Microsoft Exchange Server, according to the White House. 本報告書は、米国政府に影響を与えた2つの有名なサイバーセキュリティ事件に対する連邦政府の対応について記載しています。ロシア対外情報庁は、米国政府で広く使用されているSolarWindsネットワーク管理ソフトウェアをハッキングしました。また、ホワイトハウスによると、中国政府関連会社がMicrosoft Exchange Serverの脆弱性を悪用した可能性が高いとのことです。
Federal agencies worked with each other and industry after these incidents. Agencies received emergency directives on how to respond and more. これらの事件の後、連邦政府機関は相互に協力し、産業界にも働きかけました。各機関は、対応方法などに関する緊急指令を受け取りました。
Information Security is on our High Risk List. As of Nov. 2021, about 900 of our cybersecurity recommendations remain open. 情報セキュリティは、ハイリスクリストに入っています。2021年11月現在、サイバーセキュリティに関する提言のうち約900件が未解決となっています。
Highlights ハイライト
What GAO Found GAOの調査結果
Beginning as early as January 2019, a threat actor breached the computing networks at SolarWinds—a Texas-based network management software company, according to the company's Chief Executive Officer. The federal government later confirmed the threat actor to be the Russian Foreign Intelligence Service. Since the company's software, SolarWinds Orion, was widely used in the federal government to monitor network activity and manage network devices on federal systems, this incident allowed the threat actor to breach several federal agencies' networks that used the software (see figure 1). 2019年1月から、テキサス州に本社を置くネットワーク管理ソフトウェア会社SolarWindsのコンピューティングネットワークに脅威分子が侵入していたと、同社の最高経営責任者が語っています。後に連邦政府は、この脅威主体がロシア対外情報庁であることを確認しました。同社のソフトウェア「SolarWinds Orion」は、連邦政府のシステムにおけるネットワーク活動の監視やネットワーク機器の管理に広く利用されていたため、この事件により、同ソフトウェアを利用している複数の連邦政府機関のネットワークに侵入することができました(図1参照)。
Rid15_image2_20220117140901
Figure 1: Analysis of How a Threat Actor Exploited SolarWinds Orion Software 図1:脅威行為者がSolarWinds Orionソフトウェアを悪用した方法の分析
While the response and investigation into the SolarWinds breach were still ongoing, Microsoft reported in March 2021 the exploitation or misuse of vulnerabilities used to gain access to several versions of Microsoft Exchange Server. This included versions that federal agencies hosted and used on their premises. According to a White House statement, based on a high degree of confidence, malicious cyber actors affiliated with the People's Republic of China's Ministry of State Security conducted operations utilizing these Microsoft Exchange vulnerabilities. The vulnerabilities initially allowed threat actors to make authenticated connections to Microsoft Exchange Servers from unauthorized external sources. Once the threat actor made a connection, the actor then could leverage other vulnerabilities to escalate account privileges and install web shells that enabled the actor to remotely access a Microsoft Exchange Server. This in turn allowed for persistent malicious operations even after the vulnerabilities were patched (see figure 2). SolarWinds社の侵害に対する対応と調査はまだ継続中ですが、マイクロソフト社は2021年3月に、複数のバージョンのMicrosoft Exchange Serverへのアクセスに使用された脆弱性が悪用されたことを報告しました。この中には、連邦政府機関がホストして構内で使用していたバージョンも含まれていました。ホワイトハウスの声明によると、高度な確信に基づき、中華人民共和国の国家安全部に所属する悪意のあるサイバーアクターが、これらのMicrosoft Exchangeの脆弱性を利用した操作を行ったとしています。この脆弱性を利用すると、まず、外部の不正なソースからMicrosoft Exchange Serverに認証された接続を行うことができます。接続が完了すると、他の脆弱性を利用してアカウントの権限を昇格させたり、ウェブシェルをインストールしたりして、Microsoft Exchange Serverへのリモートアクセスを可能にしていました。これにより、脆弱性にパッチが適用された後も、持続的な悪意ある操作が可能となりました(図2参照)。
Rid16_image3_20220117140901
Figure 2: Analysis of How Threat Actors Exploited Microsoft Exchange Server Vulnerabilities 図2:脅威となる行為者がMicrosoft Exchange Serverの脆弱性をどのように利用したかの分析結果
Federal agencies took several steps to coordinate and respond to the SolarWinds and Microsoft Exchange incidents including forming two Cyber Unified Coordination Groups (UCG), one for the SolarWinds incident and one for the Microsoft Exchange incident. Both UCGs consisted of the Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), and the Office of the Director of National Intelligence (ODNI), with support from the National Security Agency (NSA). According to UCG agencies, the Microsoft Exchange UCG also integrated several private sector partners in a more robust manner than their involvement in past UCGs. 連邦政府機関は、SolarWindsとMicrosoft Exchangeの両インシデントに対応するために、SolarWindsインシデント用とMicrosoft Exchangeインシデント用の2つのサイバー統一調整グループ(UCG)を結成するなど、いくつかの措置を講じました。両UCGは、CISA(サイバーセキュリティ・重要インフラセキュリティ庁)、FBI(連邦捜査局)、ODNI(国家情報長官室)で構成され、NSA(国家安全保障庁)の支援を受けました。UCGの各機関によると、Microsoft Exchange UCGには、過去のUCGに比べてより強力な方法で複数の省庁が参加しています。
CISA issued emergency directives to inform federal agencies of the vulnerabilities and describe what actions to take in response to the incidents. To aid agencies in conducting their own investigations and securing their networks, UCG agencies also provided guidance through advisories, alerts, and tools. For example, the Department of Homeland Security (DHS), including CISA, the FBI, and NSA released advisories for each incident providing information on the threat actor's cyber tools, targets, techniques, and capabilities. CISA and certain agencies affected by the incidents have taken steps and continue to work together to respond to the SolarWinds incident. Agencies have completed steps to respond to the Microsoft Exchange incident. CISAは、連邦政府機関に脆弱性を知らせ、インシデントに対応するためにどのような行動を取るべきかを説明する緊急指令を発行しました。また、各機関が独自に調査を行い、ネットワークのセキュリティを確保するのを支援するため、UCGの各機関は勧告、警告、ツールを通じてガイダンスを提供しました。例えば、CISAを含む国土安全保障省(DHS)、FBI、NSAは、インシデントごとに勧告を発表し、脅威となる人物のサイバーツール、標的、技術、能力に関する情報を提供しました。CISAと事件の影響を受けた一部の機関は、ソーラーウインズ事件への対応策を講じ、引き続き連携しています。各省庁は、Microsoft Exchange社の事件への対応を完了しました。
Agencies also identified multiple lessons from these incidents. For instance, 各省庁は、これらのインシデントから複数の教訓を得ました。例えば、以下のようなものです。
・coordinating with the private sector led to greater efficiencies in agency incident response efforts; ・民間企業との連携により、各省庁のインシデント対応をより効率的に行うことができた。
・providing a centralized forum for interagency and private sector discussions led to improved coordination among agencies and with the private sector; ・省庁間および民間企業との話し合いの場を設けることで、省庁間および民間企業との調整が改善された。
・sharing of information among agencies was often slow, difficult, and time consuming and; ・省庁間での情報共有には時間がかかり、困難で時間のかかるものでした。
・collecting evidence was limited due to varying levels of data preservation at agencies. ・各省庁のデータ保存のレベルが異なるため、証拠の収集が制限されていた。
Effective implementation of a recent executive order could assist with efforts aimed at improving information sharing and evidence collection, among others. 最近発表された大統領令を効果的に実施することで、情報共有や証拠収集などを改善するための取り組みを支援することができる。
Why GAO Did This Study GAOがこの調査を行った理由
The risks to information technology systems supporting the federal government and the nation's critical infrastructure are increasing, including escalating and emerging threats from around the globe, the emergence of new and more destructive attacks, and insider threats from witting or unwitting employees. Information security has been on GAO's High Risk List since 1997. 連邦政府や国の重要なインフラを支える情報技術システムに対するリスクは、世界中からの脅威の増大や出現、より破壊的な新手の攻撃の出現、故意または無意識の従業員によるインサイダー脅威など、ますます高まっています。情報セキュリティは、1997年以来、GAOのハイリスクリストに入っています。
Recent incidents highlight the significant cyber threats facing the nation and the range of consequences that these attacks pose. A recent such incident, involving SolarWinds, resulted in one of the most widespread and sophisticated hacking campaigns ever conducted against the federal government and private sector. Another incident included zero-day Microsoft Exchange Server vulnerabilities that had the potential to affect email servers across the federal government and provide malicious threat actors with unauthorized remote access. According to CISA, the potential exploitation from both incidents posed an unacceptable risk to federal civilian executive branch agencies because of the likelihood of vulnerabilities being exploited and the prevalence of affected software. 最近の事件は、国家が直面している重大なサイバー脅威と、これらの攻撃がもたらす様々な結果を浮き彫りにしています。最近の事件では、SolarWinds社が関与した事件があり、連邦政府や民間企業に対して行われた最も広範で洗練されたハッキングキャンペーンの一つとなりました。また、別の事件では、Microsoft Exchange Serverのゼロデイ脆弱性が、連邦政府全体のメールサーバに影響を与え、悪意のある脅威者に不正なリモートアクセスを許す可能性がありました。CISAによると、この2つのインシデントによる潜在的な悪用は、脆弱性が悪用される可能性が高く、影響を受けるソフトウェアが普及していることから、連邦政府の文民行政府機関に受け入れがたいリスクをもたらしています。
GAO performed its work under the authority of the Comptroller General to conduct an examination of these cybersecurity incidents in light of widespread congressional interest in this area. Specifically, GAO's objectives were to (1) summarize the SolarWinds and Microsoft Exchange cybersecurity incidents, (2) determine the steps federal agencies have taken to coordinate and respond to the incidents, and (3) identify lessons federal agencies have learned from the incidents. GAOは、この分野に対する議会の関心の高さを考慮して、これらのサイバーセキュリティ事件の調査を実施するために、GAOの権限に基づいて作業を行いました。具体的には、GAOの目的は、(1)SolarWindsとMicrosoft Exchangeのサイバーセキュリティ事件を要約し、(2)連邦政府機関が事件を調整・対応するためにとった措置を特定し、(3)連邦政府機関が事件から学んだ教訓を特定することでした。
To do so, GAO reviewed documentation such as descriptions of the incidents, federal agency press releases, response plans, joint statements, and guidance issued by the agencies responsible for responding to the incidents: DHS (CISA), the Department of Justice (FBI), and ODNI with support from NSA. In addition, GAO analyzed incident reporting documentation from affected agencies and after-action reports to identify lessons learned. For all objectives, GAO interviewed agency officials to obtain additional information about the incidents, coordination and response activities, and lessons learned. そのためにGAOは、インシデントの説明、連邦機関のプレスリリース、対応計画、共同声明、インシデントへの対応を担当する省庁が発行したガイダンスなどの文書を確認しました。DHS(CISA)、司法省(FBI)、NSAの支援を受けたODNIが発行したガイダンスなどの文書を調査しました。さらにGAOは、影響を受けた省庁からのインシデント報告書類と事後報告を分析し、得られた教訓を特定した。すべての目的について、GAOはインシデント、調整と対応活動、および学んだ教訓に関する追加情報を得るために、各省庁の担当者にインタビューを行いましたた。
Recommendations 提言事項
Since 2010, GAO has made about 3,700 recommendations to agencies aimed at remedying cybersecurity shortcomings. As of November 2021, about 900 of those recommendations had not yet been fully implemented. GAO will continue to monitor federal agencies' progress in fully implementing these recommendations, including those related to software supply chain management and cyber incident management and response. Five of six agencies provided technical comments, which we incorporated as appropriate. 2010年以降、GAOはサイバーセキュリティの欠点を改善することを目的とした約3,700件の提言を各機関に行ってきました。2021年11月現在、これらの勧告のうち約900件はまだ完全に実施されていません。GAOは、ソフトウェアのサプライチェーン管理やサイバーインシデントの管理と対応に関連する勧告を含め、これらの勧告を完全に実施するための連邦政府機関の進捗状況を引き続き監視します。6つの省庁のうち5つの省庁から技術的なコメントをいただき、適宜反映させました。

 

 

・[PDF] Full Report

の目次...

Letter  レター 
Background  背景 
Threat Actors Exploited Vulnerabilities in SolarWinds Orion and Microsoft Exchange  SolarWinds OrionとMicrosoft Exchangeの脆弱性を悪用した脅威の発生 
Federal Agencies Have Been Taking Action in Response to Significant Cyber Incidents  連邦政府機関は重大なサイバーインシデントに対応して行動を起こしてきた 
Federal Agencies Learned Lessons from Efforts Coordinating and Responding to the SolarWinds and Microsoft Exchange Incidents  連邦政府はSolarWindsとMicrosoft Exchangeのインシデントに対する調整と対応の努力から教訓を得た。
Agency Comments  政府機関のコメント 
Appendix I Detailed Timelines of Steps Taken by Cyber Unified Coordination Group Agencies in Response to the SolarWinds and Microsoft Exchange Incidents  附属書 I SolarWinds と Microsoft Exchange のインシデントに対応して Cyber Unified Coordination Group の各機関が行った措置の詳細なタイムライン 
Appendix II GAO Contacts and Staff Acknowledgments  附属書II GAOの連絡先とスタッフの謝辞 

| | Comments (0)

中国 電気通信端末産業協会 (TAF) が「スマート端末側のビジネスのリスク防止・管理のためのセキュリティガイドライン」等、9つの文書を公表していますね。。。

こんにちは、丸山満彦です。

中国の中国 電気通信端末産業協会 (TAF) が「スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイド」等、9つの文書を公表していますね。。。

电信终端产业协会 (TAF)(電気通信端末産業協会)

2022.01.14 《智能终端侧业务风险防控安全指南》等9项团体标准报批公示 スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイド」など9つのグループ標準が承認申請されました。

 

1、《智能终端侧业务风险防控安全指南 1. スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイド
2、《智能可穿戴设备安全  医疗健康可穿戴设备安全技术要求与测试方法 2. スマート・ウェアラブル・デバイスの安全性 ヘルスケア・ウェアラブル・デバイスの安全性に関する技術的要求事項と試験方法
3、《移动终端应用软件列表权限实施指南 3. 携帯端末アプリケーションソフトウェア一覧の許可に関する実装ガイド
4、《移动应用分发平台:APP开发者信用评价体系 4. 携帯アプリケーション配信プラットフォーム:APP開発者のための信用評価システム
5、《移动应用分发平台信用评价细则 5. 携帯アプリケーション配信プラットフォームの信用評価細則
6、《移动智能终端应用软件调用行为记录能力要求  第3部分:API接口 6. スマート携帯端末アプリケーション・ソフトウェアの呼び出し動作記録機能に関する要求事項 Part3: API インターフェース
7、《APP收集使用个人信息最小必要评估规范  第3部分:图片信息 7. APPが収集・利用する個人情報の必要最小限の評価に関する仕様書 Part3:画像情報
8、《APP收集使用个人信息最小必要评估规范  第9部分:短信信息 8. APPによる個人情報の収集と使用に関する必要最小限の評価仕様 Part9:SMS情報
9、《物联网终端可信上链技术要求 9. IoT端末の信頼できるアップリンクのための技術要件

 

代表して(^^) 《智能终端侧业务风险防控安全指南》スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイドの目次。。。
 
20220117-61225

 

前言 前文
1 范围 1 適用範囲
2 规范性引用文件 2 引用文献
3 术语和定义 3 用語と定義
4 缩略语 4 略語
5 业务风险防控安全框架 5 オペレーショナル・リスクの予防・管理 セキュリティ・フレームワーク
6 业务风险防控模型输入和策略 6 オペレーショナル・リスクの予防・管理モデルの入力と戦略
6.1 概述 6.1 概要
6.2 系统风控模型输入 6.2 システムリスクコントロールモデルの入力
6.3 应用风控模型输入 6.3 アプリケーションリスクコントロールモデルの入力
6.4 身份风控模型输入 6.4 IDリスクコントロールモデルの入力
6.5 业务风险防控策略 6.5 ビジネスリスクの予防・管理戦略
7 业务风险定级 7 オペレーショナル・リスクの分類
7.1 业务风险定级原则和方法 7.1 ビジネスリスク分類の原則と方法
7.2 通用风险评估方法示例 7.2 一般的なリスク評価手法の例
8 业务风险防控安全要求 8 ビジネスリスクの予防と管理 セキュリティ要件
附录 A(资料性)业务风险防控接口 附属書A (情報) オペレーショナルリスクの予防・管理のインターフェース

| | Comments (0)

2022.01.16

金銭目的のサイバー攻撃については全ての国が協力できる(コロニアルパイプラインを攻撃した疑いのあるハッカーを米国の要請によりロシアが逮捕)

こんにちは、丸山満彦です。

ホワイトハウスが、コロニアルパイプラインに対してサイバー攻撃をしたと思われるハッカーを米国捜査当局の要請によりロシア当局が逮捕したことについての電話会見をしていますね。。。

政治的な動機ではないサイバー攻撃(例えば、金銭目的)の解決については、政治的には対立していても、互いに協力ができると思っています。今回のホワイトハウスでの会見の内容が本当であれば、その可能性を示す例なのかもしれません。。。

ウクライナ問題で、微妙な状況であるので、もちろん、この逮捕をロシアが外交的な手段として利用している可能性はあります。。。

なお、引き渡しについての条約は締結されていないようなので、まずはロシアで裁判にかけられることになるのでしょうね。。。

 

White House

・2022.01.14 Background Press Call by a Senior Administration Official on Cybersecurity

Background Press Call by a Senior Administration Official on Cybersecurity サイバーセキュリティに関する米政府高官のプレスコールの背景について
MODERATOR:  Hey, everyone.  Thanks for joining us closer to the end of the day on a Friday.  So, as noted in the invite, this is a background call on cybersecurity.  I’m going to let our speaker get into more details about that. 司会者:皆さん、こんにちは。 金曜日の終業間際にお集まりいただきありがとうございます。 招待状にもありましたが、今回はサイバーセキュリティに関するバックグラウンドコールです。 この件については、スピーカーに詳しく説明してもらうことにします。
Before I turn it over to the speaker, let me just do the ground rules really quickly. 発表者に引き継ぐ前に、基本的なルールを簡単に説明しておきます。
So, this briefing is on background.  It is attributable to a “senior administration official.”  And it is embargoed until the conclusion of the call. 今回のブリーフィングは背景に関するものです。 責任者は "政府高官 "です。 そして、通話が終わるまで禁則事項となっています。
Just for your awareness but not for reporting, the speaker on this call is [senior administration official]. この通話の発言者は[政府高官]であることを、皆さんにお知らせします。
You know, we’re running a little bit behind time today, so we’re only going to have time for a couple of questions.  But if you don’t get your question in, you know how to reach me, and I’m happy to get back to you as soon as I can. 今日は少し時間がないので、2、3の質問にしか答えられません。 しかし、もし質問ができなかった場合は、私に連絡を取っていただければ、できるだけ早くご連絡いたします。
So, with that, I’ll turn it over to you. それでは、次の質問に移ります。
SENIOR ADMINISTRATION OFFICIAL:  Thank you very much.  And good afternoon, everyone.  Like [moderator] said, thank you for joining us late on a Friday afternoon. 政府高官:ありがとうございました。 そして、皆さん、こんにちは。 司会者が言ったように、金曜日の午後遅くにお集まりいただきありがとうございます。
So, we welcome, of course, that the Kremlin is taking law enforcement steps to address ransomware emanating from its borders. もちろん、クレムリンが国境から発信されたランサムウェアに対処するために法執行手段を講じていることを歓迎します。
The President believes in diplomacy.  President Biden and President Putin set up a White House-Kremlin Experts Group on ransomware last June.  As we’ve said and the Russians have acknowledged, we’ve been sharing information with the Russians through this channel, including information related to attacks on American critical infrastructure. 大統領は外交を重視しています。 バイデン大統領とプーチン大統領は、昨年6月にランサムウェアに関するホワイトハウスとクレムリンの専門家グループを立ち上げました。 ロシア側も認めているように、我々はこのチャンネルを通じて、米国の重要インフラへの攻撃に関連する情報などをロシア側と共有してきました。
We understand that one of the individuals who was arrested today was responsible for the attack against Colonial Pipeline last spring. 本日逮捕された人物の中には、昨年春のコロニアル・パイプラインに対する襲撃事件の犯人がいたと聞いています。
We’re committed to seeing those conducting ransomware attacks against Americans brought to justice, including those that conducted these attacks on JBS, Colonial Pipeline, and Kaseya. 私たちは、JBS、コロニアルパイプライン、Kaseyaへの攻撃を含め、米国に対するランサムウェア攻撃を行った者を法で裁くことを約束します。
I also want to be very clear: In our mind, this is not related to what’s happening with Russia and Ukraine.  I don’t speak for the Kremlin’s motives, but we’re pleased with these initial actions. 私たちの考えでは、これはロシアとウクライナで起きていることとは関係ありません。 私はクレムリンの動機については言及しませんが、これらの最初の行動には満足しています。
We’ve also been very clear: If Russia further invades Ukraine, we will impose severe costs on Russia in coordination with our allies and partners. また、ロシアがさらにウクライナに侵攻するようなことがあれば、同盟国やパートナーと連携して、ロシアに厳しいコストを課すということも明確にしています。
As the President has said, cyber criminals are resilient and we will continue to take action to disrupt and deter them while engaging in diplomacy, as we have with Russia, allies, and partners around the world. 大統領が述べたように、サイバー犯罪者は回復力があります。私たちは、ロシア、同盟国、世界中のパートナーとの間で行っているように、外交活動を行いながら、サイバー犯罪者を混乱させ、抑止するための行動を取り続けます。
So, with that, over to you.  Looking forward to your questions. それでは、皆さんにお願いします。 皆さんの質問をお待ちしています。
Q    Thank you so much.  Thanks for doing it.  I want to ask you about Russia and Ukraine.  And I had a little difficulty hearing, but I think you said that if they did anything regarding Ukraine, there would be costs. Q 本当にありがとうございます。 ありがとうございます。 ロシアとウクライナについてお聞きしたいと思います。 少し聞き取りにくかったのですが、ウクライナに関して何かするとコストがかかるとおっしゃっていたように思います。
Do you have any attribution?  I know the Ukrainians have suggested that today’s hacking was related to Russian intelligence services.  Has this moved beyond what the Pentagon said earlier and what the White House said earlier about attributions about today or any other hacking of Ukraine in recent days from Russia? 何か原因があるのでしょうか? ウクライナ側は、今日のハッキングはロシアの諜報機関が関係していると示唆していますよね。 今日のハッキング、あるいはここ数日のロシアによるウクライナへのハッキングについて、ペンタゴンが先に言ったこと、ホワイトハウスが先に言ったこと以上のことが起きているのでしょうか?
SENIOR ADMINISTRATION OFFICIAL:  Hi, Andrea.  Can you hear me now?  I’m sorry.  I have a bad cold, so I know I’m a little hard to hear. 政府高官:こんにちは、アンドレア。 私の声が聞こえますか? 申し訳ありません。 風邪をひいていて、少し聞き取りづらいかもしれませんが。
Q    Oh, I’m so sorry.  Feel better. Q ああ、ごめんなさい。 お大事になさってください。
SENIOR ADMINISTRATION OFFICIAL:  Okay.  Okay, good.  But I’m glad you can hear me.  Okay.  政府高官:オーケー。 いいですよ。 でも、聞こえていてくれて嬉しいです。 そうですね。
So, we don’t have an attribution at this time.  We are in touch with Ukrainians and have offered our support as Ukraine investigates the impact and recovers from the incident.  While we continue to assess the impact to Ukrainians, it seems limited so far, with multiple websites coming back online.  現在のところ、原因は不明です。 我々はウクライナ人と連絡を取っており、ウクライナが影響を調査し、事件から回復するための支援を提供しています。 ウクライナ人への影響を引き続き調査していますが、これまでのところ、複数のウェブサイトがオンラインに戻るなど、影響は限定的なようです。
But I want to note, we are — you know, we and our allies and partners are concerned about this cyberattack, and the President has been briefed.  But that is the status at this time. しかし、私たちと同盟国やパートナーはこのサイバー攻撃に懸念を抱いており、大統領にも説明しています。 しかし、これは現時点での状況です。
Q    Hi.  Thank you so much for agreeing to do this on a Friday evening.  I was curious to know — you said you welcome reports that the Kremlin is taking action.  Obviously, there’s been a suggestion that this operation was done at the direct behest of the White House.  Could you talk a little bit about whether that’s, in fact, true — whether this is something that was done specifically at your urging, with information that the White House had indeed provided?  Thank you. Q こんにちは。 金曜日の夜にお時間をいただき、ありがとうございました。 クレムリンが行動を起こしているという報告を歓迎するとおっしゃっていましたが、これはどういうことなのでしょうか? 明らかに、今回の作戦はホワイトハウスに直接命令されて行われたのではないかという指摘があります。 実際にそうなのか、ホワイトハウスが提供した情報をもとに、あなたの指示で特別に行われたものなのか、少しお話しいただけますか? ありがとうございました。
SENIOR ADMINISTRATION OFFICIAL:  Thank you, Eric.  So, as you know, President Biden and President Putin set up the White House-Kremlin Experts Group on ransomware last June, and we have been meeting within that channel and discussing the need for Russia to take action against ransomware criminals operating from within their borders.  We’ve also shared information regarding individuals operating from within Russia who have conducted disruptive attacks against U.S. critical infrastructure.  政府高官:ありがとうございます、エリック。 ご存知のように、バイデン大統領とプーチン大統領は、昨年6月にランサムウェアに関するホワイトハウスとクレムリンの専門家グループを立ち上げ、その中で会合を持ち、ロシアが自国内で活動するランサムウェア犯罪者に対して行動を起こす必要性について議論してきました。 また、ロシア国内で活動し、米国の重要インフラに対して破壊的な攻撃を行った人物に関する情報も共有しています。
And as I noted, we understand that one of the individuals who was arrested today was indeed the individual responsible for the attack against Colonial Pipeline last spring.  先に述べたように、本日逮捕された人物の一人が、昨年春のコロニアル・パイプラインへの攻撃を行った人物であることがわかっています。
So, this has — we do attribute today’s announcement to the — to, really, the President’s commitment to diplomacy and the channel that he established and the work that has been underway in sharing information and in discussing the need for Russia to take action.    本日の発表は、大統領の外交へのコミットメントと、大統領が設立したチャンネル、そして情報の共有とロシアの行動の必要性を議論するために進められてきた作業の賜物であると考えています。  
That being said, each country pursues its law enforcement operations under, certainly, its own legal system.  And Russia’s announcement today was clearly something that will be — you know, that was — pursued its own law enforcement steps. とはいえ、各国はそれぞれの法制度に基づいて法執行活動を行っています。 今日のロシアの発表は、明らかに自国の法執行手段を追求したものです。
These are our first — these are very important steps, as they represent the Kremlin taking action against criminals operating from within its borders.  And they represent what we’re looking for with regard to continued activities like these in the future. 今回の発表は、クレムリンが自国内で活動する犯罪者に対して行動を起こしたという意味で、非常に重要な第一歩となります。 そして、今後もこのような活動が続くことを期待しています。
Q    Hi.  Thanks for doing the call.  Do you expect anything to happen to these individuals who have been apprehended?  As you know, there’s no extradition treaty, and Russia has a history of not really prosecuting these types of people.  So, what happens now?  What does the White House hope to happen now, in terms of actually making sure that these people won’t return to ransomware? Q こんにちは。 電話をありがとうございました。 逮捕された人たちには何かが起こるのでしょうか? ご存知のように、犯罪者の引き渡し条約はありませんし、ロシアはこの種の人々をあまり起訴してこなかった歴史があります。 では、これからどうなるのでしょうか? ホワイトハウスは、このような人々がランサムウェアに戻ってこないようにするという観点から、今後どのようなことを期待しているのでしょうか。
SENIOR ADMINISTRATION OFFICIAL:  Our expectation is that Russia announce arrests and that Russia would be pursuing legal action within its own system against these criminals for the crimes that they have created — that they have done.  So, that is our expectation. 政府高官:私たちが期待しているのは、ロシアが逮捕者を発表し、ロシアが自国のシステムの中で、これらの犯罪者が起こした犯罪に対して法的措置を取ることです。 それが私たちの期待です。
And it is indeed, to your point, our expectation that they’re brought to justice and, as such, not only for their past crimes, but preventing future ones as well. そして、過去の犯罪だけでなく、将来の犯罪を防ぐためにも、彼らが法の裁きを受けることを期待しています。
MODERATOR:  Thank you.  Again, thanks, everyone, for joining.  I know this was a really short call.  If we didn’t get to your question, please feel free to email or call me, and I’ll make sure that we get back to you.  And then, have a great weekend.  Thanks for your time.  Bye. 司会者:ありがとうございます。 改めて、参加してくださった皆さんに感謝します。 短い時間ではありましたが、ご協力ありがとうございました。 もしご質問にお答えできなかった場合は、お気軽にメールかお電話でご連絡ください。 それでは、良い週末をお過ごしください。 お時間をいただきありがとうございました。 それでは。

Fig1_20210802074601

 

 


ロシア側の発表

Федеральная служба безопасности Российской Федерации (Federal Security Service of the Russian Federation: FSB)

・2022.01.14 ПРЕСЕЧЕНА ПРОТИВОПРАВНАЯ ДЕЯТЕЛЬНОСТЬ ЧЛЕНОВ ОРГАНИЗОВАННОГО ПРЕСТУПНОГО СООБЩЕСТВА

ПРЕСЕЧЕНА ПРОТИВОПРАВНАЯ ДЕЯТЕЛЬНОСТЬ ЧЛЕНОВ ОРГАНИЗОВАННОГО ПРЕСТУПНОГО СООБЩЕСТВА 組織的犯罪者集団のメンバーの違法行為を抑圧した
Федеральной службой безопасности Российской Федерации во взаимодействии со Следственным департаментом МВД России в городах Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях пресечена противоправная деятельность членов организованного преступного сообщества. ロシア連邦連邦保安局は、ロシア内務省捜査局と協力して、モスクワ市、サンクトペテルブルク市、モスクワ市、レニングラード市、リペツク州で、組織的犯罪グループのメンバーの違法行為を抑圧しました。
Основанием для разыскных мероприятий послужило обращение компетентных органов США, сообщивших о лидере преступного сообщества и его причастности к посягательствам на информационные ресурсы зарубежных высокотехнологичных компаний путем внедрения вредоносного программного обеспечения, шифрования информации и вымогательства денежных средств за ее дешифрование. 今回の捜査は、悪意のあるソフトウェアを導入して情報を暗号化し、その解読のために金銭を脅し取ることで、外国のハイテク企業の情報資源を攻撃していた犯行グループのリーダーの関与を通報した米国の所轄官庁からの要請に基づいて行われました。
ФСБ России установлен полный состав преступного сообщества «REvil» и причастность его членов к неправомерному обороту средств платежей, осуществлено документирование противоправной деятельности. ロシアのFSSは、犯罪組織「REvil」の完全な構成を確立し、そのメンバーが支払い手段の違法な売買に関与していることを確認し、違法行為を文書化しました。
С целью реализации преступного замысла указанные лица разработали вредоносное программное обеспечение, организовали хищение денежных средств с банковских счетов иностранных граждан и их обналичивание, в том числе путем приобретения дорогостоящих товаров в сети Интернет. 上記の人物は、犯罪計画を完遂するために、マルウェアを開発し、外国人の銀行口座から資金を盗み、インターネットで高額商品を購入するなどして現金化することを組織しました。
В результате комплекса скоординированных следственных и оперативно-разыскных мероприятий в 25 адресах по местам пребывания 14 членов организованного преступного сообщества изъяты денежные средства: свыше 426 млн рублей, в том числе в криптовалюте, 600 тысяч долларов США, 500 тысяч евро, а также компьютерная техника, криптокошельки, использовавшиеся для совершения преступлений, 20 автомобилей премиум-класса, приобретенные на денежные средства, полученные преступным путем. 組織化された犯罪グループのメンバー14人が拘束された25カ所の住所で、連携した捜査・捜索活動を行った結果、暗号通貨を含む4億2600万ルーブル、60万米ドル、50万ユーロのほか、コンピューターのハードウェア、犯行に使われた暗号通貨の財布、犯罪で得た金で購入した高級車20台などを押収しました。
Задержанным членам ОПС предъявлены обвинения в совершении преступлений, предусмотренных ч. 2 ст. 187 «Неправомерный оборот средств платежей» УК России. 拘束された組織的犯罪集団のメンバーは、ロシア刑法第187条「支払手段の違法な転売」の第2部の罪で起訴されました。
В результате совместных действий ФСБ и МВД России организованное преступное сообщество прекратило существование, используемая в преступных целях информационная инфраструктура нейтрализована. 連邦保安局と内務省が共同で取り組んだ結果、組織化された犯罪結社は消滅し、犯罪目的で使用されていた情報インフラも無力化されました。
Представители компетентных органов США о результатах проведенной операции проинформированы. 米国の所轄官庁の代表者には、この作戦の結果が伝えられています。

 

800pxemblem_of_federal_security_services

 


 

■ 報道

● POLITICO

・2022.01.14 Russia arrests hacker in Colonial Pipeline attack, U.S. says

The arrests followed months of negotiations between the Biden administration and Russian officials around the ransomware attack and other cybersecurity concerns.

CNN

・2022.01.14 US officials believe Russia arrested hacker responsible for Colonial Pipeline attack

The Hill

・2022.01.14 Biden administration says Russia arrested Colonial Pipeline hacker

The Wallstreet Journal

・2022.01.14 Russia Arrests Hackers Tied to Major U.S. Ransomware Attacks, Including Colonial Pipeline Disruption

● Forbes

・2022.01.14 Russia Nabs Colonial Pipeline Hacker In Raids On Ransomware Ring, U.S. Says

 

 

| | Comments (0)

2022.01.15

英国 会計検査院 NAO Blog サイバーセキュリティ:パンデミックは何を変えたか?

こんにちは、丸山満彦です。

英国会計検査院のブログに「サイバーセキュリティ:パンデミックは何を変えたか?」という投稿がありますね。。。

英国の会計検査院 (National Audit Office) には、サイバーセキュリティ担当のディレクターがいるようですね。。。まぁ、重要な分野ですからね。。。

 

National Audit Office: NAO - NAO blog

・2022.01.14 Cyber security: has the pandemic changed anything?

Cyber security: has the pandemic changed anything? サイバーセキュリティ:パンデミックは何を変えたか?
Posted on January 14, 2022 by Tom McDonald 投稿日: 2022年1月14日 投稿者: Tom McDonald
The start of a new year brings the opportunity to look back and reflect on the challenges we faced in dealing with COVID-19 during the last year. One of the many impacts of the pandemic we did not foresee was moving many aspects of our social and economic life online to try and keep them going through lockdowns. This came with considerable advantages, keeping many businesses, social networks and relationships going. But it also came with a significant downside, as we all became more vulnerable to the risks associated with operating online. In addition to the major attacks like WannaCry and SolarWinds, which have affected organisations in the UK and overseas, it is now increasingly likely that each of us has either personally suffered from some kind of online crime or know someone else who has. 新しい年の始まりは、昨年のCOVID-19への対応で直面した課題を振り返り、反省する機会となります。パンデミックの影響で予想できなかったことは、社会的・経済的な生活の多くの側面をオンラインに移行し、ロックダウンの間もそれらを維持しようとしたことでした。これは、多くのビジネス、ソーシャルネットワーク、人間関係を維持できるという大きなメリットがありました。その一方で、オンラインでの活動に伴うリスクに対して私たちがより脆弱になるという、大きなマイナス面もありました。WannaCryやSolarWindsなどの大規模な攻撃が英国や海外の組織に影響を与えていることに加えて、私たち一人一人が何らかのオンライン犯罪の被害に遭っているか、そのような人を知っている可能性がますます高くなっています。
In its latest Annual Report, government’s National Cyber Security Centre (NCSC) is clear about the nature of the risks we have faced during the pandemic, noting the startling finding that “From household goods to vaccine appointments, there have been few avenues criminals have not tried to exploit”. And the move to living more of our lives online has resulted in some shifts in criminal activity. 政府の国家サイバーセキュリティセンター(NCSC)は、最新の年次報告書の中で、パンデミックの間に我々が直面したリスクの性質について明確に述べており、「家財道具からワクチンの予約に至るまで、犯罪者が利用しようとしなかった手段はほとんどなかった」という驚くべき発見をしています。また、生活の多くをオンラインで過ごすようになったことで、犯罪行為にも変化が生じています。
The major trend identified by the NCSC is the growth in criminal groups using ransomware to extort organisations of all kinds. The NCSC describes ransomware as the most immediate cyber security threat to UK businesses: this obviously makes it a threat to the resilience and performance of the economy. But it is also a risk to both central and local government and the wide range of services which they support. So, whether we are taxpayers or service users, we should be concerned at this increased use of ransomware being added to the existing list of cyber threats. NCSCが指摘する大きな傾向は、犯罪グループがランサムウェアを使ってあらゆる種類の組織を脅迫するケースが増えていることです。NCSCは、ランサムウェアを英国企業にとって最も差し迫ったサイバーセキュリティの脅威であるとしています。しかし、ランサムウェアは、中央政府、地方政府、そしてそれらが支える広範なサービスにとってもリスクとなります。納税者であれ、サービス利用者であれ、既存のサイバー脅威のリストにランサムウェアが追加されたことを懸念すべきです。
Unfortunately, the other threats on that list haven’t gone away. The March 2021 Microsoft Exchange Servers incident, in which a sophisticated attacker used zero-day vulnerabilities to compromise at least 30,000 separate organisations, highlighted the dangers posed by supply chain attacks. And there are plenty of examples in the news of other incidents, both malicious and accidental, which have put data, operations and organisational resilience at risk in both private and public sectors. 残念ながら、このリストにある他の脅威はなくなっていません。2021年3月に発生したMicrosoft Exchange Serverの事件では、巧妙な攻撃者がゼロデイ脆弱性を利用して少なくとも3万の個別組織を危険にさらし、サプライチェーン攻撃がもたらす危険性を浮き彫りにしました。その他にも、悪意のあるもの、偶発的なものを問わず、官民を問わず、データ、業務、組織の回復力を危険にさらした事件の例は、ニュースで数多く取り上げられています。
In its new National Cyber Strategy, government has set out some of the things it wants to do to make the UK more resilient to cyber-attack. Like its predecessors, the Strategy is painted on a broad canvas, setting out high-level objectives: it says that the UK should strengthen its grasp of technologies that are critical to cyber security and that it should limit its reliance on individual suppliers or technologies which are developed under regimes that do not share its values. These objectives are aimed at the structural factors behind cyber security. And in the meantime, government is developing its Active Cyber Defence programme – which seeks to reduce the risk of high-volume cyber-attacks ever reaching UK citizens – and pressing ahead with other work on skills, resilience and partnerships across different industries and sectors. 政府は、新しい「国家サイバー戦略」の中で、英国のサイバー攻撃に対する耐性を高めるために、どのようなことをしたいかを示しています。これまでの戦略と同様に、この戦略は大きなキャンバスに描かれており、高レベルの目標を設定しています。すなわち、英国はサイバーセキュリティに不可欠な技術の把握を強化し、価値観を共有しない体制下で開発された個々のサプライヤーや技術への依存を制限すべきであるとしています。これらの目標は、サイバーセキュリティの背後にある構造的な要因を狙ったものです。一方、政府は、大量のサイバー攻撃が英国市民に到達するリスクを低減することを目的とした「アクティブ・サイバー・ディフェンス」プログラムを展開しているほか、スキル、レジリエンス、さまざまな業界・セクター間のパートナーシップに関するその他の作業を進めています。
So, it seems clear that, despite the efforts of public and private sectors, the pandemic has exacerbated some of the threats we face online. But one thing that most experts agree on is that our best defence is getting the basics right. Many of the attacks which we have seen during the pandemic could have been avoided if individuals and organisations had followed recognised good practice. This includes actions like implementing formal information security regimes, avoiding unsupported software and adopting good password practices. We have specific guidance to help Audit Committees think about these sorts of issues in our updated Cyber and Information Security Good Practice Guide. このように、官民一体となった取り組みにもかかわらず、パンデミックによって、私たちがオンラインで直面している脅威のいくつかが悪化していることは明らかなようです。しかし、ほとんどの専門家が同意しているのは、最善の防御策は基本を正しく理解することだということです。今回のパンデミックで発生した攻撃の多くは、個人や組織が認識されているグッドプラクティスに従っていれば回避できたはずです。これには、正式な情報セキュリティレジームの導入、サポートされていないソフトウェアの回避、適切なパスワードの使用などが含まれます。私たちは、監査委員会がこのような問題について考える際に役立つ具体的なガイダンスを、最新の「サイバーおよび情報セキュリティに関するグッド・プラクティス・ガイド」に掲載しています。
So, if you are still thinking about your New Year’s resolutions, how about refreshing your cyber security practices? That may help you avoid becoming the next victim of a cyber-attack. もし、まだ新年の抱負を考えているのであれば、サイバー・セキュリティ対策を見直してみてはいかがでしょうか。そうすれば、次のサイバー攻撃の犠牲者にならずに済むかもしれません。

 

Nao-logo-2

 

 

 


参考

文中のリンクに関係する部分

まるちゃんの情報セキュリティきまぐれ日記

・2021.12.17 英国 国家サイバー戦略

・2021.11.19 英国 NCSC Annual Review 2021 国家サイバーセキュリティセンター2021年報告書

・2021.10.30 英国 会計検査院 サイバー・情報セキュリティ:グッドプラクティスガイド

 

その他。。。

・2021.09.24 英国 国家AI戦略

・2021.07.09 英国 データ保護局 (ICO) 年次報告書を公開していますね。。。

・2021.03.27 英国 国家サイバーセキュリティセンター (NCSC) の新しいCEOが今後のサイバーリスクについて説明し、自己満足にならないように警告

・2021.03.26 英国 デジタル・文化・メディア・スポーツ省 「サイバーセキュリティ侵害調査報告書2021」

・2020.11.09 英国 NCSC Annual Review 2020 国家サイバーセキュリティセンター2020年報告書

 

 

| | Comments (0)

総務省 意見募集 電気通信事業ガバナンス検討会 報告書(案)

こんにちは、丸山満彦です。

総務省が電気通信事業ガバナンス検討会報告書(案)について意見募集をしていますね。。。

総務省

・2022.01.14 電気通信事業ガバナンス検討会 報告書(案)に対する意見募集


1 概要


 総務省では、「電気通信事業ガバナンス検討会」を開催し、デジタル変革時代における安心・安全で信頼できる通信サービス・ネットワークの確保を図るため、電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方について、令和3年5月から検討を行ってきました。
 今般、本検討会において、報告書(案)が取りまとめられましたので、令和4年1月15日(土)から同年2月4日(金)までの間、本案に対する意見募集を行います。

・[PDF] 別紙1「電気通信事業ガバナンス検討会 報告書(案)」

20220114-233059

 

目次

はじめに

第1章 電気通信事業を取り巻く環境の変化
1.1
電気通信サービスの現状
 1.1.1
電気通信サービス市場の概要
 1.1.2 電気通信サービスの重要度の向上

1.2
電気通信サービスを提供する電気通信事業者の多様化
1.3
電気通信サービスを提供するネットワークの多様化

第2章 電気通信事業におけるガバナンスの現状と課題
2.1
電気通信サービスに対するリスクの高まり
 2.1.1
サイバー攻撃の複雑化・巧妙化によるリスク
 2.1.2 サプライチェーンや外国の法的環境による影響等のリスク
 2.1.3 電気通信サービスに係る情報の漏えい等のリスク
 2.1.4 電気通信サービスの停止等のリスク
 2.1.5 情報の外部送信や収集に関連したリスク
 2.1.6 利用者による不安
 2.1.7 今後の方向性

2.2
電気通信事業におけるガバナンスの現状
 2.2.1
国内の電気通信事業におけるガバナンスの現状
  2.2.1.1 電気通信事業の公共性及び電気通信事業法における規律の対象
  2.2.1.3 通信の秘密の漏えいに関する制度の現状
  2.2.1.4 電気通信事業者における自主的な取組の現状
  2.2.1.5 総合的なサイバーセキュリティ対策
  2.2.1.6 政府情報システムのためのセキュリティ評価制度
 2.2.2 ガバナンスに関する国際標準・諸外国の制度等
  2.2.2.1 情報セキュリティに関する国際標準・規格等
  2.2.2.2 ガバナンスに関する諸外国の制度

2.3
利用者が安心できる電気通信サービスの円滑な提供に向けた課題
 2.3.1
情報の漏えい・不適正な取扱い等や電気通信サービスの停止のリスクへの対応
 2.3.2 電気通信事業におけるリスク対策の必要性
 2.3.3 課題と検討の方向性

第3章 電気通信事業ガバナンスの在り方と実施すべき措置
3.1
電気通信事業におけるガバナンス強化に係る基本的な考え方
 3.1.1
電気通信事業における多様な保護法益の確保
 3.1.2 電気通信事業の円滑・適切な運営の確保
 3.1.3 電気通信事業ガバナンスの在り方の検討

3.2
実施すべき措置
 3.2.1
電気通信事業に係る情報の漏えい・不適正な取扱い等に対するリスク対策
  3.2.1.1
適正な取扱いを行うべき情報
  3.2.1.2 利用者情報の適正な取扱いの促進
  3.2.1.3 利用者に関する情報の外部送信の際に講じるべき措置

 3.2.2
通信ネットワークの多様化等を踏まえた電気通信サービスの停止に対するリスク対策
  3.2.2.1
設備の多様化に対応した規律の見直し
  3.2.2.2 事業者間連携によるサイバー攻撃対策
  3.2.2.3 重大事故等のおそれのある事態の報告制度
  3.2.2.4 災害時における考慮事項

 3.2.3
利用者への情報提供
  3.2.3.1
利用者への情報提供の現状
  3.2.3.2 情報の適正な取扱い等に係る利用者への情報提供の強化に向けて

第4章 今後の検討課題

おわりに


 

 

参考

電気通信ガバナンス検討会

 ・2021.04.27 「電気通信事業ガバナンス検討会」の開催


総務省は、デジタル変革時代における安心・安全で信頼できる通信サービス・ネットワークの確保に向けて、電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方について検討するため、「電気通信事業ガバナンス検討会」を開催します。
1 目的


 「デジタル社会」の実現のためには、その中枢基盤として、サイバー空間とフィジカル空間を繋ぐ神経網である通信サービス・ネットワークが安心・安全で信頼され、継続的・安定的かつ確実・円滑に提供されることが不可欠です。
 しかし、最近、通信サービス・ネットワークを司る電気通信事業者において、利用者の個人情報や通信の秘密の漏えい事案が発生するとともに、海外の委託先等を通じ、これらのデータにアクセス可能な状態にあることに関するリスク等が顕在化しています。さらに、電気通信事業者に対するサイバー攻撃により、通信サービスの提供の停止に至る事案や通信設備に関するデータが外部に漏えいしたおそれのある事案が発生するなど、サイバー攻撃のリスク等も深刻化しています。
 以上を踏まえ、デジタル変革時代における安心・安全で信頼できる通信サービス・ネットワークの確保を図るため、電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方について、検討を行います。
2 検討事項

(1)電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方
(2)上記を踏まえた、政策的な対応の在り方
(3)その他

| | Comments (0)

2022.01.14

世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

こんにちは、丸山満彦です。

世界経済フォーラムが毎年出している、グローバルリスクリポートですが、2022年版が公表されていますね。。。

環境系のリスクが上位に上がってきているように感じました。。。

 

World Economic Forum

・2022.01.11 Global Risks 2022: The 'disorderly' net-zero transition is here and it’s time to embrace it

Global Risks

Global Risks Report

・2022.01.11 Global Risks Report 2022

・[PDF

20220114-64730

 

日本のウェブページ

・2022.01.11 グローバルリスク報告書2022年版: 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

 

短期、中期、長期のリスク

0-2 years 主要な短期的なグローバルリスク(0-2年)
Extreme weather 異常気象
Livelihood crises 生活破綻(生活苦)
Climate action failure 気候変動への適応(あるいは対応)の失敗
Social cohesion erosion 社会的結束の侵食
Infectious diseases 感染症の広がり
Mental health deterioration メンタルヘルスの悪化
Cybersecurity failure サイバーセキュリティ対策の失敗
Debt crisis 債務危機
Digital inequality デジタル格差
Asset bubble burst 資産バブルの崩壊
   
2-5 years 主要な中期的なグローバルリスク(2-5年)
Climate action failure 気候変動への適応(あるいは対応)の失敗
Extreme weather 異常気象
Social cohesion erosion 社会的結束の侵食
Livelihood crises 生活破綻(生活苦)
Debt crises 債務危機
Human environmental damage 人為的な環境災害
Geoeconomic confrontations 地政学的対立
Cybersecurity failure サイバーセキュリティ対策の失敗
Biodiversity loss 生物多様性の喪失
Asset bubble burst 資産バブルの崩壊
   
5-10 years 主要な長期的なグローバルリスク(5-10年)
Climate action failure 気候変動への適応(あるいは対応)の失敗
Extreme weather 異常気象
Biodiversity loss 生物多様性の喪失
Natural resource crises 天然資源危機
Human environmental damage 人為的な環境災害
Social cohesion erosion 社会的結束の侵食
Involuntary mitigation 非自発的移住
Adverse tech advances テクノロジー進歩による悪影響
Geoeconomic confrontations 地政学的対立
Geopolitical resource contestation 地政学的資源戦争

 

深刻度に着目すると...

Identify the most severe risks on a global scale over the next 10 years 深刻度から見たグローバルリスク 今後10年
Climate action failure 気候変動への適応(あるいは対応)の失敗
Extreme weather 異常気象
Biodiversity loss 生物多様性の喪失
Social cohesion erosion 社会的結束の侵食
Livelihood crises 生活破綻(生活苦)
Infectious diseases 感染症の広がり
Human environmental damage 人為的な環境災害
Natural resource crises 天然資源危機
Debt crisis 債務危機
Geoeconomic confrontations 地政学的対立
過去分
PDFは第1回から揃いますね。。。

17 2022 2022.01.11 Web PDF Press
16 2021 2021.01.19 Web PDF Press
15 2020 2020.01.15  Web PDF Press
14 2019 2019.01.15 Web PDF Press
13 2018 2018.01.17 Web PDF Press
12 2017 2017.01.11 Web PDF Press
11 2016 2016.01.14 Web PDF Press
10 2015 2015.01.09 Web PDF Press
9 2014 2014.01.12 Web PDF Press
8 2013 2012.10.30 Web PDF Press
7 2012 2012.01.05 Web PDF Press
6 2011 2011.09.27 Web PDF Press
5 2010 2010.01.04 Web PDF Press
4 2009     PDF  
3 2008     PDF  
2 2007     PDF  
1 2006     PDF  
 
 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.28 世界経済フォーラム (WEF) サイバーセキュリティには多様で包括的 (D&I) な人材がなぜ必要なのか?

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.02 世界経済フォーラム (WEF) 石油・ガス業界におけるサプライチェーン・セキュリティの推進:業界分析

・2021.07.01 世界経済フォーラム (WEF) デジタルセーフティの推進:グローバルアクションを調整するためのフレームワーク

・2021.05.21 世界経済フォーラム&ユニセフ・ジェネレーションAIによるスマートトイ賞が22日に発表へ

・2021.05.18 世界経済フォーラム (WEF) 石油・ガス産業におけるサイバーレジリエンス:取締役と執行役のためのプレイブック

・2021.04.25 世界経済フォーラム (WEF) データガバナンスの再設定:承認された公共目的のアクセス (APPA) とその原則の実施のための社会的規準

・2021.04.08 世界経済フォーラム Global Technology Governance Summit

・2021.04.08 世界経済フォーラム サイバーリスクの取締役会ガバナンスための原則 at 2021.03.23

・2021.02.23 2021年の国連の社会正義の日のテーマは「デジタル経済における社会正義の呼びかけ」で、世界経済フォーラムは「デジタル世界において社会正義を如何に実現するかについての4つの視点」を公表していますね。。。

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

・2020.10.17 World Economic Forum ビジネス環境を巡る地域リスクレポート2020 (サイバー攻撃も上位に入っています。。。)

・2020.10.16 World Economic Forumからサイバーセキュリティの報告書(Cyber Information Sharing: Building Collective Security)が出ていましたね。。。

 

 

 

 

» Continue reading

| | Comments (0)

2022.01.13

米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

こんにちは、丸山満彦です。

米国のGAOの予備的調査の結果、各省庁のFISMA要件の実施にはばらつきがあると報告書を公表していますね。。。

● U.S. Government Accountability Office

・2022.01.11 Cybersecurity:Preliminary Results Show That Agencies' Implementation of FISMA Requirements Was Inconsistent

・[PDF] Hilights

・[PDF] Full Report

20220113-45928

 

Cybersecurity:Preliminary Results Show That Agencies' Implementation of FISMA Requirements Was Inconsistent サイバーセキュリティ:予備的調査の結果、各省庁のFISMA要件の実施はばらつきがある
Fast Facts 速報
A 2014 law requires federal agencies to have information security programs. We testified about how agencies have implemented their programs: 2014年の法律により、連邦政府機関は情報セキュリティプログラムを持つことが義務付けられています。私たちは、各省庁がどのようにプログラムを実施したかについて証言しました。
・While agencies have reported some progress, 17 of 23 civilian agencies did not fully meet their cybersecurity targets ・各省庁は一定の進展を報告しているものの、23省庁のうち17省庁はサイバーセキュリティの目標を完全には達成していませんでした。
・Inspectors General reported ineffective programs at 16 of 23 civilian agencies ・23省庁うち16省庁の監察官が、プログラムが効果的でないと報告しました。
・Our recent reports also identified major weaknesses in government-wide and agency-specific cybersecurity initiatives ・最近の報告書では、政府全体および各省庁固有のサイバーセキュリティの取り組みに大きな弱点があることも指摘されています。
・Agency officials have identified obstacles to reporting and made suggestions for improvement ・各省庁の担当者は、報告の障害となっているものを特定し、改善のための提案を行いました。
Federal information security has been a topic on our High Risk List since 1997. 連邦政府の情報セキュリティは、1997年以来、連邦政府のハイリスクリストに掲載されているテーマです。
Highlights ハイライト
What GAO Found GAOの調査結果
Based on GAO's preliminary results, in fiscal year 2020, the effectiveness of federal agencies' implementation of requirements set by the Federal Information Security Modernization Act of 2014 (FISMA) varied. For example, more agencies reported meeting goals related to capabilities for the detection and prevention of cybersecurity incidents, as well as those related to access management for users. However, inspectors general (IG) identified uneven implementation of cyber security policies and practices. For fiscal year 2020 reporting, IGs determined that seven of the 23 civilian Chief Financial Officers Act of 1990 (CFO) agencies had effective agency-wide information security programs. The results from the IG reports for fiscal year 2017 to fiscal year 2020 were similar with a slight increase in effective programs for 2020. GAOの予備的調査の結果によると、2020年会計年度において、2014年連邦情報セキュリティ近代化法(FISMA)で設定された要件の連邦政府機関による実施の効果にはばらつきがありました。例えば、より多くの省庁が、サイバーセキュリティインシデントの検知と防止のための能力や、ユーザーのアクセス管理に関連する目標を達成したと報告しました。しかし、監察官(IG)は、サイバーセキュリティポリシーと実践の実施にばらつきがあることを指摘しました。2020会計年度の報告では、IGは、1990年の最高財務責任者法(CFO)に基づく23省庁のうち、7つ省庁が効果的な機関全体の情報セキュリティプログラムを持っていると判断しました。2017年度から2020年度までのIG報告書の結果では、2020年に向けて効果的なプログラムがわずかに増加しています。
Number of 23 Civilian Chief Financial Officers Act of 1990 Agencies with Effective and Not Effective Agency-Wide Information Security Programs, as Reported by Inspectors General for Fiscal Years 2017-2020 2017~2020年度に監察官が報告した、省庁全体の情報セキュリティプログラムが有効および有効でない23の1990年最高財務責任者法対象省庁の数

20220112-180556
GAO has also routinely reported on agencies' inconsistent implementation of federal cybersecurity policies and practices. Since 2010, GAO has made about 3,700 recommendations to agencies aimed at remedying cybersecurity shortcomings; about 900 were not yet fully implemented as of November 2021. More recent GAO reviews have identified weaknesses regarding access controls, configuration management, and the protection of data shared with external entities. GAO has made numerous recommendations to address these. GAOは、各省庁が連邦政府のサイバーセキュリティ政策や実務を一貫性なく実施していることについても定期的に報告してきました。2010年以降、GAOはサイバーセキュリティの欠点を改善することを目的とした約3,700件の提言を各省庁に行ってきましたが、2021年11月時点で約900件がまだ完全に実施されていません。最近のGAOのレビューでは、アクセス制御、構成管理、外部と共有するデータの保護に関する弱点が指摘されています。GAOはこれらに対処するため、数多くの提言を行っています。
Based on interviews with agency officials, such as chief information security officers, GAO's preliminary results show that officials at 14 CFO Act agencies stated that FISMA enabled their agencies to improve information security program effectiveness to a great extent. Officials at the remaining 10 CFO Act agencies said that FISMA had improved their programs to a moderate extent. The officials also identified impediments to implementing FISMA, such as a lack of resources. Agency officials suggested ways to improve the FISMA reporting process, such as by updating FISMA metrics to increase their effectiveness, improving the IG evaluation and rating process, and increasing the use of automation in report data collection. 最高情報セキュリティ責任者などの省庁関係者へのインタビューに基づいたGAOの予備的調査の結果によると、CFO法適用省庁14の関係者は、FISMAによって省庁の情報セキュリティプログラムの有効性がかなり改善されたと述べています。残りの10のCFO法対象省庁の担当者は、FISMAによってプログラムが中程度に改善されたと述べています。また、担当者は、リソースの不足など、FISMA を実施する上での障害を指摘しています。各省庁の担当者は、FISMA の報告プロセスを改善する方法を提案しました。例えば、FISMA の評価基準を更新してその有効性を高めたり、IGの評価・格付けプロセスを改善したり、報告書のデータ収集における自動化の利用を増やしたりしました。
Why GAO Did This Study GAOがこの調査を行った理由
Federal systems are highly complex and dynamic, technologically diverse, and often geographically dispersed. Without proper safeguards, computer systems are increasingly vulnerable to attack. As such, since 1997, GAO has designated information security as a government-wide high-risk area. 連邦政府のシステムは、非常に複雑で動的であり、技術的にも多様で、地理的にも分散していることが多いです。適切なセーフガードがなければ、コンピュータ・システムはますます攻撃されやすくなります。そのため、1997年以降、GAOは情報セキュリティを政府全体の高リスク分野に指定しています。
FISMA was enacted to provide federal agencies with a comprehensive framework for ensuring the effectiveness of information security controls. FISMA requires federal agencies to develop, document, and implement an information security program to protect the information and systems that support the operations and assets. It also includes a provision for GAO to periodically report on agencies' implementation of the act. FISMAは、情報セキュリティ管理の有効性を確保するための包括的なフレームワークを連邦政府機関に提供するために制定されました。FISMAは、連邦政府機関に対し、業務や資産を支える情報やシステムを保護するための情報セキュリティプログラムを策定し、文書化し、実施することを求めている。また、GAOが各省庁の同法の実施状況を定期的に報告する規定も含まれています。
This testimony discusses GAO's preliminary results from its draft report in which the objectives were to (1) describe the reported effectiveness of federal agencies' implementation of cybersecurity policies and practices and (2) evaluate the extent to which relevant officials at federal agencies consider FISMA to be effective at improving the security of agency information systems. この証言は、GAOの報告書ドラフトの予備的な結果について述べたもので、その目的は、(1)連邦政府機関のサイバーセキュリティポリシーとプラクティスの実施について報告された有効性を説明すること、(2)連邦政府機関の関係者が、FISMAが機関の情報システムのセキュリティを向上させるのに有効であると考えている程度を評価することでした。
To do so, GAO reviewed the 23 civilian CFO Act agencies' FISMA reports, agency-reported performance data, past GAO reports, and OMB documentation and guidance. GAO also interviewed agency officials from the 24 CFO Act agencies (i.e., the 23 civilian CFO Act agencies and the Department of Defense). そのためにGAOは、CFO法対象23省庁のFISMAレポート、省庁が報告したパフォーマンスデータ、過去のGAOレポート、OMBの文書とガイダンスをレビューしました。またGAOは、CFO法対象省庁24(CFO法対象省庁23社と国防総省)の省庁担当者にインタビューを行いました。

 

 


FISMAの評価指標等はCISAのページにあります。。。

CISA

FEDERAL INFORMATION SECURITY MODERNIZATION ACT

 

 

■ このブログ

・2021.05.04 米国 OMB FISMA Report 2020

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

2011.05.29 NIST 2010 Computer Security Division Annual Report

2009.12.25 連邦機関による年次FISMAレポートのメトリックに関するコメントを要求するOMB

2009.05.08 GAO GAO Federal Information System Controls Audit Manual(FISCAM)

・2008.05.23 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C-

・2008.04.15 米国政府 セキュリティ評価関係 2007

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.04.15 米国政府 情報セキュリティ通知簿2006

・2007.04.01 米国政府 セキュリティ評価関係

・2006.03.18 米国政府 情報セキュリティ通知簿2005 2

・2006.03.18 米国政府 OMB Releases Annual FISMA Report

・2006.03.17 米国政府 情報セキュリティ通知簿2005

・2005.02.23 米国政府 情報セキュリティ通知簿2

・2005.02.23 米国政府 情報セキュリティ通知簿

2004.12.08 国家セキュリティ体制 米国の状況・・・

 

-----

・報告書 [Downloded]

 


| | Comments (0)

2022.01.12

デジタル庁 教育データ利活用ロードマップ

こんにちは、丸山満彦です。

デジタル庁が、教育データ利活用ロードマップを公表していますね。。。

まずは、教育現場から紙を無くしましょう。。。というところから始まる感じですかね。。。

 

デジタル庁

・2022.01.07 教育データ利活用ロードマップを策定しました

文書がなく、パワーポイントだけですね。。。

・[PDF] 教育データ利活用ロードマップ(令和4年1月7日デジタル庁、総務省、文部科学省、経済産業省)

20220112-52650

 

ロードマップのポイント① (総論)

・教育のデジタル化のミッションを「誰もが、いつでもどこからでも、誰とでも、自分らしく学べる社会」と掲げ、

・そのためのデータの①スコープ(範囲)②品質③組み合わせ、の充実・拡大という「3つの軸」を設定。

20220112-54552

 

ロードマップのポイント② (各論)

・「ルール」「利活用環境」「連携基盤(ツール)」「データ標準」「インフラ」といったそれぞれの構造に関連する論点や、必要な措置
について整理。

  • 教育データの全体像
  • 調査等のオンライン化・教育データの標準化
  • 教育分野のプラットフォームの在り方
  • 学校・自治体等のデータ利活用環境の整備
  • 教育データ利活用のルール・ポリシー
  • 生涯にわたる学びの環境整備
  • データ連携による支援が必要なこどもへの支援の実現
  • 各自治体において、教育・保育・福祉・医療等のデータを必要に応じて
  • デジタル社会を見据えた教育

20220112-54615

 

ロードマップのポイント③(短期・中期・長期での目指す姿)

・短期(~2022頃)

 ・教育現場を対象にした調査や手続が原則オンライン化
 ・事務等の原則デジタル化など、校務のデジタル化を進め、学校の負担を軽減
 ・インフラ面での阻害要因(例:ネットワーク環境)の解消
 ・教育データの基本項目(例:法令や調査で全国で共通的に取得されている主体情報)が標準化

・中期(~2025頃)

 ・学習者が端末を日常的に使うようになり、教育データ利活用のためのログ収集が可能
 ・内容・活動情報が一定粒度で標準化され、学校・自治体間でのデータ連携が実現
 ・学校・家庭・民間教育間でのそれぞれの学習状況を踏まえた支援が一部実現

・長期(~2030頃)

 ・学習者がPDSを活用して生涯にわたり自らのデータを蓄積・活用できるように
 ・内容・活動情報の更に深い粒度での標準化が実現
 ・支援を必要とするこどもへのプッシュ型の支援が実現
 ・真に「個別最適な学び」と「協働的な学び」が実現

20220112-54634

 

目次

1.教育のデジタル化のミッションビジョン
2.教育データ利活用の現状と目指すべき姿(as isto be
3.教育データの蓄積と流通の将来イメージ
4.教育データの全体像
5.調査等のオンライン化教育データの標準化
6.教育分野のプラットフォームの在り方
7.学校自治体等のデータ利活用環境の整備
8.教育データ利活用のルールポリシー
9.生涯にわたる学びの環境整備
10.データ連携による支援が必要なこどもへの支援の実現
11.デジタル社会を見据えた教育
12.実現に向けた工程表
13.今後の進め方


 

・[PDF] 国民からの意見募集結果・有識者との意見交換について

自治体、教育委員会、大学教授だけでなく、ボストンコンサルティング、グーグル、マイクロソフト等にも意見を聞いているのが興味深いですね。。。

海外の学校の人にも話を聞いたらよかったのに、、、と思ったりはしました。。。

20220112-55559

 

参考

 

● 文部科学省

教育データの利活用に関する有識者会議

 

 

| | Comments (0)

2022.01.11

EU議会 2022年に注目すべき10の課題

こんにちは、丸山満彦です。

EU議会のThink Tankが2022年に注目すべき10の課題を公表していますね。。。

この報告書は、今後1年間に欧州連合(EU)の政治課題として公の場で議論されるであろう重要な課題や政策分野を特定し、その概要を明らかにするために作られているようですね。。。

この報告書や関連文書に目を通すと、EUがどういう背景やデータをもとに議論をしてくるかの一部が見えてくるような気もしますね。。。

1. Radical decoupling: Achieving zero greenhouse gas emissions while maintaining economic growth 1. 根本的な分離:経済成長を維持しつつ、温室効果ガス排出量をゼロにする
2. Securing Europe's supply of semiconductors 2. 欧州における半導体供給の確保
3. Sustainable agriculture: Mission possible?  3. 持続可能な農業:実現可能か? 
4. A new push for nuclear non-proliferation? 4. 核不拡散のための新たな取り組み?
5. Shaping the economic recovery 5. 景気回復
6. ECB monetary policy: Caught between a rock and a hard place 6. 欧州中央銀行の金融政策:岩と岩盤に挟まれて
7. Internet of things: Securing the uptake of connected devices in the EU 7. IoT:EUにおける接続機器の普及の確保
8. Uncharted waters: What to expect after the Conference on the Future of Europe 8. 未知の領域:欧州の未来に関する会議後の展開
9. LGBTIQ equality: Somewhere over the rainbow 9. LGBTIQの平等:虹の向こうに
10. Forward with EU defence  10. EU防衛の推進 

 

European Parliament - Think Tank

・2022.01.10 Ten issues to watch in 2022

・[PDF

20220111-52822


 

 

「2. 欧州における半導体供給の確保」に示されている2つの図は参考になるかもですね。。。

 

20220111-62554

20220111-62808

 

| | Comments (0)

2022.01.10

IEEE 産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析

こんにちは、丸山満彦です。

IEEEが、Industrial and Critical Infrastructure Security: Technical Analysis of Real-Life Security Incidents(産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析)を公表していますね。。。参考になる部分もあるかと思います。。。

攻撃者の分類法について3つのCriteria(フィンガープリント、能力、動機)を用いていていますが、わかりやすいですね。。。

20220110-61203

Fig2. 3つの主要な規準に基づく重要インフラ攻撃者の特徴の分類法

で、攻撃者の例示として次のようなものをあげていますね。。。

  • 外部者
  • 内部関係者
  • 犯罪者/ハクティビスト/スクリプトキディ
  • 産業スパイのアクター
  • サイバーテロリスト
  • 国家背景のアクター

 

取り上げている事例の時系列も改めて見ると良いですね。。。

 

20220110-62800

 

IEEE - IEEE Access

Year: 2021 | Volume: 9  - Industrial and Critical Infrastructure Security: Technical Analysis of Real-Life Security Incidents

・[HTML]

・[PDF]

20220110-55745

概要は、

概要

Abstract 概要
Critical infrastructures and industrial organizations aggressively move towards integrating elements of modern Information Technology (IT) into their monolithic Operational Technology (OT) architectures. Yet, as OT systems progressively become more and more interconnected, they silently have turned into alluring targets for diverse groups of adversaries. Meanwhile, the inherent complexity of these systems, along with their advanced-in-age nature, prevents defenders from fully applying contemporary security controls in a timely manner. Forsooth, the combination of these hindering factors has led to some of the most severe cybersecurity incidents of the past years. This work contributes a full-fledged and up-to-date survey of the most prominent threats and attacks against Industrial Control Systems and critical infrastructures, along with the communication protocols and devices adopted in these environments. Our study highlights that threats against critical infrastructure follow an upward spiral due to the mushrooming of commodity tools and techniques that can facilitate either the early or late stages of attacks. Furthermore, our survey exposes that existing vulnerabilities in the design and implementation of several of the OT-specific network protocols and devices may easily grant adversaries the ability to decisively impact physical processes. We provide a categorization of such threats and the corresponding vulnerabilities based on various criteria. The selection of the discussed incidents and identified vulnerabilities aims to provide a holistic view of the specific threats that target Industrial Control Systems and critical infrastructures. As far as we are aware, this is the first time an exhaustive and detailed survey of this kind is attempted. 重要なインフラストラクチャや産業組織は,最新の情報技術(IT)の要素を一枚岩の運用技術(OT)アーキテクチャに統合しようと積極的に取り組んでいます。しかし,OT システムの相互接続が進むにつれ,様々な敵対者にとって魅力的な標的となっています。一方で、これらのシステムに内在する複雑さと、時代遅れの性質のために、防御側は現代のセキュリティ対策をタイムリーに適用することができません。そのため、これらの障害要因が重なり、過去数年間で最も深刻なサイバーセキュリティ事件が発生しています。本研究では、産業用制御システムや重要インフラに対する最も重要な脅威や攻撃について、これらの環境で採用されている通信プロトコルやデバイスを含めて、本格的な最新の調査を行いました。今回の調査では、攻撃の初期段階または後期段階のいずれかを促進することができる汎用ツールや技術が急増しているため、重要インフラに対する脅威が上昇スパイラルを描くことが明らかになりました。さらに、今回の調査では、OTに特化したネットワークプロトコルやデバイスの設計と実装に存在する脆弱性が、物理的なプロセスに決定的な影響を与える能力を容易に敵に与えていることが明らかになりました。このような脅威とそれに対応する脆弱性を、様々な基準に基づいて分類しています。議論されたインシデントと特定された脆弱性を選択することで、産業用制御システムと重要なインフラを標的とする特定の脅威の全体像を示すことを目的としています。この種の包括的かつ詳細な調査を試みたのは、我々の知る限り、今回が初めてです。

 

章立てです。。。

 ABSTRACT 概略
I. INTRODUCTION I.イントロダクション
II. BACKGROUND II.背景
A. ICS ARCHITECTURE A. ICSアーキテクチャ
B. ICS HARDWARE B. ICSハードウエア
C. ICS PROTOCOLS C. ICSプロトコル
D. ICS SECURITY D. ICSセキュリティ
E. CRITICAL INFRASTRUCTURES E. 重要インフラ
III. RELATED WORK III.関連研究
IV. ADVERSARIAL MODEL IV.敵対的モデル
A. FINGERPRINTING A. フィンガープリンティング
B. CAPABILITIES B. 能力
C. MOTIVES C. 動機
V. INDUSTRIAL CONTROL SYSTEMS AND CRITICAL INFRASTRUCTURE INCIDENTS V.産業用制御システムと重要インフラのインシデント
A. STUXNET A. STUXNET
B. DUQU B. DUQU
C. SHAMOON C. SHAMOON
D. HAVEX D. HAVEX
E. BlackEnergy/2015 UKRAINE POWERGRID CYBERATTACK E. BlackEnergy/2015 UKRAINE POWERGRID CYBERATTACK
F. INDUSTROYER/CrashOverride/2016 UKRAINE POWERGRID CYBERATTACK F. INDUSTROYER/CrashOverride/2016 UKRAINE POWERGRID CYBERATTACK
G. TRITON/TRISIS/HatMan G. TRITON/TRISIS/HatMan
H. VPNFilter H.VPNフィルタ
I. WannaCry I. WannaCry
J. NotPetya J. NotPetya
K. COLONIAL PIPELINE K. コロニアルパイプライン
L. OTHER INCIDENTS L. その他のインシデント
1) GERMAN STEEL MILL 1) ドイツの製鉄所
2) MAROOCHY WATER SERVICES 2) マルーチー・ウォーター・サービス
3) NEW YORK DAM 3) ニューヨーク・ダム
4) ‘‘KEMURI’’ WATER COMPANY 4) ''Kemuri''ウォーター・カンパニー
5) SLAMMER WORM 5) スラマーワーム
6) SoBig VIRUS 6) SoBig VIRUS
7) TEHAMA COLUSA CANAL 7) テハマ・コルサ・キャナル
8) U.S. POWER GRID INTRUSION 8)米国の電力網への侵入
M. DISCUSSION M. DISCUSSION
1) COMMON TOOLS AND APPROACHES 1) 共通のツールとアプローチ
2) VULNERABILITIES CATEGORIZATION 2) 脆弱性の分類
3) AFFECTED PURDUE LEVELS 3)影響を受けたパデュー・レベル
4) MITIGATION 4) 低減
VI. ICS PROTOCOLS VULNERABILITIES VI.ICSプロトコルの脆弱性
A. DNP3 A. DNP3
B. MODBUS B. MODBUS
C. PROFINET C. PROFINET
D. OTHER PROTOCOLS D. その他のプロトコル
VII. ICS DEVICE VULNERABILITIES VII. ICデバイスの脆弱性
A. REVERSE ENGINEERING A. リバースエンジニアリング
B. CONTROL LOGIC INJECTION & MODIFICATIONATTACKS B. 制御ロジックのインジェクションと修正攻撃
C. LADDER LOGIC BASED ATTACKS C. ラダーロジックによる攻撃
D. NATIVE ICS MALWARE D. ネイティブICSマルウェア
E. UNAUTHORIZED ACCESS E. 不正アクセス
F. SIDE CHANNEL ANALYSIS F. サイドチャネル分析
VIII. CONCLUSION VIII. 結論
REFERENCES 参考文献

 

 

» Continue reading

| | Comments (0)

2022.01.09

フランス CNIL Googleに1億5000万ユーロ、Facebookに6000万ユーロの制裁金(ユーザがCookieを受け入れるのと同じくらい容易にCookieを拒否できないので...)

こんにちは、丸山満彦です。

フランスのCNILが「ユーザがCookieを受け入れるのと同じくらい容易にCookieを拒否できない」という理由で、Googleに1億5000万ユーロ(約200億円)、Face Bookに6000万ユーロ(80億円弱)の制裁金を課していますね。。。


CNIL

・2022.01.06 Cookies: GOOGLE fined 150 million euros

・2022.01.06 Cookies: FACEBOOK IRELAND LIMITED fined 60 million euros

 

それはそうと、、、

Metaはプライバシーセンターのウェブページを2022.01.07にオープンしていますね。。。

Meta

・2022.01.07 Introducing Privacy Center

ちなみにプライバシーについては、

https://www.facebook.com/privacy/explanation

Cookieについては、、、

https://www.facebook.com/policy/cookies/

Alphabet

 

特に適時開示とか見つからないですね。。。

 

 


 

Cookies: GOOGLE fined 150 million euros Cookie:GOOGLEに1億5000万ユーロの制裁金
On December 31,2021, the CNIL fined GOOGLE a total of 150 million euros (90 million euros for GOOGLE LLC and 60 million euros for GOOGLE IRELAND LIMITED) because users of google.fr and youtube.com can't refuse or accept cookies as easily. 2021年12月31日、CNILは、google.frやyoutube.comのユーザーがCookieを簡単に拒否したり受け入れたりできないことを理由に、GOOGLEに総額1億5000万ユーロ(GOOGLE LLCに9000万ユーロ、GOOGLE IRELAND LIMITEDに6000万ユーロ)の制裁金を科しました。
Failure to comply with the French Data Protection Act フランス・データ保護法違反
The CNIL has received many complaints about the way cookies can be refused on the websites google.fr and youtube.com. In June 2021, the CNIL carried out an online investigation on these websites and found that, while they offer a button allowing immediate acceptance of cookies, the sites do not implement an equivalent solution (button or other) enabling the user to refuse the deposit of cookies equally easily. Several clicks are required to refuse all cookies, against a single one to accept them. CNILは、google.frとyoutube.comのウェブサイトでCookieを拒否する方法について多くの苦情を受けました。2021年6月、CNILはこれらのウェブサイトをオンラインで調査した結果、これらのサイトでは、Cookieを直ちに受け入れるボタンを提供しているものの、ユーザーが同じように簡単にCookieの受け入れを拒否できる同等のソリューション(ボタン等)を実装していないことがわかりました。すべてのCookieを拒否するには数回のクリックが必要ですが、Cookieを受け入れるには1回のクリックで済みます。
The restricted committee, the CNIL body in charge of issuing sanctions, judged that making the refusal mechanism more complex actually discourages users from refusing cookies and encourages them to opt for the ease of the "I accept" button. 制裁を担当するCNILの機関である制限委員会は、拒否の仕組みをより複雑にすることは、実際にはユーザーがCookieを拒否することを躊躇させ、「受け入れる」ボタンの容易さを選択することを促すと判断しました。
The restricted committee considered that this process affects the freedom of consent of Internet users and constitutes an infringement of Article 82 of the French Data Protection Act, since it is not as easy to refuse cookies as to accept them. 制限委員会は、Cookieを拒否することは受け入れることほど容易ではないことから、このプロセスはインターネットユーザーの同意の自由に影響を与え、フランスのデータ保護法第82条の侵害を構成すると考えました。
The sanctions 制裁措置
The CNIL's restricted committee fined GOOGLE LLC 90 million euros and GOOGLE IRELAND LIMITED 60 million euros, both of which were made public. CNILの制限委員会は、GOOGLE LLCに9,000万ユーロ、GOOGLE IRELAND LIMITEDに6,000万ユーロの制裁金を科し、その金額を公表しました。
It justified these amounts in particular by the number of people affected and the considerable profits that the companies make from advertising revenues indirectly generated from the data collected by cookies. 制限委員会は、特に影響を受けた人々の数と、Cookieによって収集されたデータから間接的に得られる広告収入から両社が得ている利益を鑑みて、これらの金額を正当なものと考えています。
The restricted committee also noted that the CNIL services had already, in February 2021, drawn the attention of the GOOGLE companies to this infringement. It also recalled that the CNIL had communicated on numerous occasions that it should be as easy to refuse cookies as to accept them. また、制限委員会は、CNILのサービスが2021年2月にすでにこの侵害についてグーグル社に注意を促していたことを指摘しました。また、CNILは、Cookieを受け入れるのと同様に、Cookieを拒否するのも簡単であるべきだと何度も伝えていたことも思い出しました。
In addition to the administrative fines, the restricted committee also issued an injunction with periodic penalty payments requiring that the companies provide Internet users located in France, within three months of the notification of the decision, with a means of refusing cookies that is as simple as the existing means of accepting them, in order to guarantee their freedom of consent. Otherwise, the companies may pay a penalty of 100,000 euros per day of delay. 行政処分に加えて、制限委員会は、両社がフランスに所在するインターネットユーザーに対し、同意の自由を保証するために、決定の通知から3ヶ月以内に、既存の受け入れ手段と同等の簡単な方法でクッキーを拒否する手段を提供することを義務付ける定期的な違約金支払いを伴う差止命令を出しました。従わなければ、両社は遅延1日につき10万ユーロの違約金を支払わなければならないでしょう。
Jurisdiction of the CNIL CNILの管轄権
The CNIL is materially competent to verify and sanction operations related to cookies deposited by companies on the terminals of Internet users located in France. The cooperation mechanism provided for by the GDPR (the "one-stop-shop" procedure) is not intended to apply in these procedures insofar as operations related to the use of cookies fall within the scope of the " ePrivacy " directive, transposed in Article 82 of the French Data Protection Act.  CNILは、両社がフランス国内のインターネットユーザーの端末に保存したクッキーに関連する業務を検証し、制裁する実質的な権限を有しています。クッキーの使用に関連する業務が、フランスのデータ保護法第82条に移された「ePrivacy」指令の範囲内である限り、GDPRで規定されている協力メカニズム(「ワンストップショップ」手続き)は、これらの手続きには適用されないことになっています。
The restricted committee considered that the CNIL is also territorially competent pursuant to Article 3 of the French Data Protection Act because the use of cookies is carried out within the "framework of the activities" of GOOGLE FRANCE, which constitutes the "establishment" of GOOGLE LLC and GOOGLE IRELAND LIMITED on French territory. また、制限付き委員会は、クッキーの使用が、GOOGLE LLCとGOOGLE IRELAND LIMITEDのフランス領土での「設立」を構成するGOOGLE FRANCEの「活動の枠組み」内で行われているため、CNILはフランスデータ保護法第3条に基づいて領土的に管轄権を有すると考えました。
It also considered that they are jointly responsible since they both determine the purposes and means of using cookies. また、Cookieを使用する目的と手段を決定するのは両者であるため、共同で責任を負うものと考えられます。
Note: GOOGLE LLC, based in California, develops the search engine Google Search and YouTube. GOOGLE IRELAND LIMITED, with its head office located in Ireland, presents itself as the European head office of the Google group. The company GOOGLE FRANCE is the establishment in France of the company GOOGLE LLC. 注)GOOGLE LLCは、カリフォルニア州に本社を置き、検索エンジン「Google Search」や「YouTube」を開発しています。GOOGLE IRELAND LIMITEDは、アイルランドに本社を置き、Googleグループの欧州本社として活動しています。GOOGLE FRANCEは、GOOGLE LLCがフランスに設立した会社です。
Texte reference 参考資料
The decision (in French - English version to be published soon) 判決文(フランス語-英語版は近日中に公開予定)
> Délibération de la formation restreinte n°SAN-2021-023 du 31 décembre 2021 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED - Légifrance  > Délibération de la formation restreinte n°SAN-2021-023 du 31 décembre 2021 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED - Légifrance 
Texte reference 参考資料
Read more 続きを読む
> The steps of the CNIL's law enforcement process  > CNILの法執行プロセスのステップ 
> The sanctions procedure  > 制裁手続き 
> Cookies: the CNIL fines GOOGLE a total of 150 million euros and FACEBOOK 60 million euros for non-compliance with French legislation  > Cookie:CNILは、フランスの法律を遵守していないとして、GOOGLEに総額1億5000万ユーロ、FACEBOOKに6000万ユーロの制裁金を科します。
> [FR] Cookies : la CNIL sanctionne GOOGLE à hauteur de 150 millions d’euros  Cookie:CNILがGOOGLEに1億5000万ユーロの制裁金

 

 

 

Cookies: FACEBOOK IRELAND LIMITED fined 60 million euros Cookies:FACEBOOK IRELAND LIMITEDに6,000万ユーロの制裁金
On December 31, 2021, the restricted committee of the CNIL fined the company FACEBOOK IRELAND LIMITED 60 million euros because the users of the social network facebook.com residing in France can't refuse cookies as easily as to accept them. 2021年12月31日、CNILの制限委員会は、フランスに居住するソーシャルネットワークfacebook.comのユーザがCookieを受け入れることを簡単に拒否できないことを理由に、FACEBOOK IRELAND LIMITED社に6,000万ユーロの制裁金を科しました。
Failure to comply with the French Data Protection Act フランス・データ保護法違反
The CNIL has received many complaints reporting the way they can refuse cookies on the website facebook.com. CNILは、facebook.comのウェブサイトでCookieを拒否する方法について多くの苦情を受けています。
In April 2021, the CNIL conducted an online investigation on this website and found that, while it offers a button to immediately accept cookies, it does not offer an equivalent solution (button or other) enabling the user to refuse the deposit of cookies as easily. Several clicks are required to refuse all cookies, as opposed to a single one to accept them. The CNIL also noted that the button allowing the user to refuse cookies is located at the bottom of the second window and is entitled "Accept cookies". 2021年4月、CNILがこのウェブサイトについてオンライン調査を行ったところ、Cookieを直ちに受け入れるボタンを提供しているものの、ユーザーがCookieの受け入れを拒否できる同等のソリューション(ボタン等)を提供していないことがわかりました。すべてのCookieを拒否するためには数回のクリックが必要ですが、Cookieを受け入れるためには1回のクリックで済みます。また、CNILは、ユーザーがCookieを拒否できるボタンが2つ目のウィンドウの下部にあり、タイトルが「Accept cookies」であることも指摘しています。
The restricted committee, the CNIL body responsible for issuing sanctions, noted that making the refusal mechanism more complex actually discourages users from refusing cookies and encourages them to opt for the ease of the consent button for cookies in the first window. It considered that such a process affects the freedom of consent of Internet users. 制裁を担当するCNILの機関である制限委員会は、拒否の仕組みをより複雑にすることは、実際にはユーザーがCookieを拒否することを躊躇させ、最初のウィンドウにあるCookieへの同意ボタンの容易さを選択することを促すと指摘しました。このようなプロセスは、インターネットユーザーの同意の自由に影響すると考えました。
The restricted committee also considered that the information given by the company is not clear since, in order to refuse the deposit of cookies, Internet users must click on a button entitled "Accept cookies", displayed in the second window. It considered that such a title necessarily generates confusion and that the user may have the feeling that it is not possible to refuse the deposit of cookies and that they have no way to manage it. また、制限委員会は、Cookieの預託を拒否するためには、インターネット・ユーザーは、2番目のウィンドウに表示された「Cookieを受け入れる」というタイトルのボタンをクリックしなければならないため、会社が提供する情報は明確ではないと考えました。このようなタイトルは必然的に混乱を招き、ユーザーは、Cookieの保存を拒否することはできず、管理する方法がないという印象を持つ可能性があると考えました。
The restricted committee judged that the methods of collecting consent proposed to users, as well as the lack of clarity of information provided to them, constitute violations of Article 82 of the French Data Protection Act. 制限委員会は、ユーザーに提案された同意の収集方法と、ユーザーに提供された情報が明確でないことが、フランスのデータ保護法第82条の違反にあたると判断しました。
The sanctions 制裁措置
The restricted committee fined FACEBOOK IRELAND LIMITED 60 million euros and made it public. 制限委員会は、FACEBOOK IRELAND LIMITEDに6,000万ユーロの制裁金を科し、その金額を公表しました。
It justified this amount by the scope of the processing, the number of data subjects concerned and the considerable profits the company makes from advertising revenues indirectly generated from the data collected by the cookies. 制限委員会は、処理の範囲、関係するデータ対象者の数、およびCookieによって収集されたデータから間接的に得られる広告収入から同社が得ている利益を鑑みて、この金額を正当なものと考えています。
In addition to the administrative fine, the restricted committee also issued an injunction with periodic penalty payment requiring that the company provides Internet users located in France, within three months of the notification of the decision, with a means of refusing cookies that is as simple as the existing means of accepting them, in order to guarantee the freedom of their consent. Otherwise, the company may pay a penalty of 100,000 euros per day of delay. 行政処分に加えて、制限委員会は、同社がフランスに所在するインターネットユーザーに対し、同意の自由を保証するために、決定の通知から3ヶ月以内に、既存の受け入れ手段と同等の簡単な方法でクッキーを拒否する手段を提供することを義務付ける定期的な違約金支払いを伴う差止命令を出しました。従わなければ、同社は遅延1日につき10万ユーロの違約金を支払わなければならないでしょう。
Jurisdiction of the CNIL CNILの管轄権
The CNIL is materially competent to verify and sanction operations related to cookies deposited by the company on the terminals of Internet users located in France. The cooperation mechanism provided for by the GDPR (the "one-stop shop" procedure) is not intended to apply in these procedures insofar as the operations related to the use of cookies fall within the scope of the "ePrivacy" directive, transposed in article 82 of the French Data Protection Act.  CNILは、同社がフランス国内のインターネットユーザーの端末に保存したクッキーに関連する業務を検証し、制裁する実質的な権限を有しています。クッキーの使用に関連する業務が、フランスのデータ保護法第82条に移された「ePrivacy」指令の範囲内である限り、GDPRで規定されている協力メカニズム(「ワンストップショップ」手続き)は、これらの手続きには適用されないことになっています。
The restricted committee considered that the CNIL is also territorially competent pursuant to Article 3 of the French Data Protection Act because the use of cookies is carried out within the "framework of the activities" of the company FACEBOOK FRANCE, which constitutes the "establishment" of the Facebook group on French territory. また、制限委員会は、クッキーの使用が、Facebookグループのフランス領土での「設立」を構成するFACEBOOK FRANCEの「活動の枠組み」内で行われているため、CNILはフランスデータ保護法第3条に基づいて領土的に管轄権を有すると考えました。
Note: The company FACEBOOK IRELAND LIMITED, whose head office is in Ireland, presents itself as the data controller of the Facebook service in the European region. The company FACEBOOK FRANCE is the establishment in France of the Facebook group. 注:アイルランドに本社を置くFACEBOOK IRELAND LIMITED社は、ヨーロッパ地域におけるFacebookサービスのデータ管理者であることを表明しています。FACEBOOK FRANCE社は、フランスにおけるFacebookグループの設立者です。
Texte reference 参考資料
The decision (in French - English version to be published soon) 判決文(フランス語-英語版は近日中に公開予定)
> Délibération de la formation restreinte n°SAN-2021-024 du 31décembre 2021 concernant la société FACEBOOK IRELAND LIMITED - Légifrance  > FACEBOOK IRELAND LIMITEDという会社に関する2021年12月31日付のDélibération de la formation restreinte n°SAN-2021-024 - Légifrance 
Texte reference 参考資料
Read more 続きを読む
> The steps of the CNIL's law enforcement process  > CNILの法執行プロセスのステップ 
> The sanctions procedure  > 制裁の手順 
> [FR] Cookies : sanction de 60 millions d’euros à l’encontre de FACEBOOK IRELAND LIMITED  > [FR] Cookie : FACEBOOK IRELAND LIMITEDへの6,000万ユーロの制裁金 

 

 

Cnil_logolarge

| | Comments (0)

2022.01.08

米国 NY州 プライバシー保護法 (New York privacy act) に再チャレンジ

こんにちは、丸山満彦です。

ニューヨーク州の議会にプライバシー保護法案があがっていますね。。。

 

NEW YORK STATE ASSEMBLY

・2022.01.06 Bill No.: A00680 New York privacy act


New York State Senate

Assembly Bill A680B

・[PDF

 

Seal_of_new_york_statesvg


 

 

» Continue reading

| | Comments (0)

Cloud Security Alliance ヘルスケア分野における人工知能

こんにちは、丸山満彦です。

Cloud Security Alliance (CSA) がヘルスケア分野における人工知能に関する文書を公表していますね。。。

これから診療分野(例えば、画像診断等)の分野では人工知能の利用は進むでしょうね。。。

このガイドは、現時点での医療システムにおけるAI活用の基礎と懸念について、

  • ガイダンス、
  • 課題、
  • 将来予測等

について書いたもので、

遠隔医療、診断管理、患者ケアなどの分野で、AI、機械学習、データマイニングを医療システム全体で効果的に活用する方法について、

  • 事例、
  • 使用例、
  • 治療法

を示すとともに、

  • 倫理的な課題、
  • 法的な問題、
  • AIのバイアスを減らす方法

についても取り上げているようですね。。。

Cloud Security Alliance (CSA)

・2021.01.06 Artificial Intelligence in Healthcare

Artificial Intelligence in Healthcare ヘルスケア分野における人工知能
Artificial intelligence (AI) now has the potential to be integrated into all aspects of healthcare, from management to delivery and diagnosis. These advancements can help improve clinical outcomes, reduce cost, and improve population health. However, there remain some issues with AI that must be addressed. These include ethical and legal issues, a lack of data exchange, regulatory compliance requirements, and patient and provider adoption. 人工知能(AI)は今や、医療の管理から提供、診断に至るまで、医療のあらゆる側面に組み込まれる可能性を持っています。これらの進歩は、臨床転帰の改善、コスト削減、集団衛生の向上に貢献することができます。しかし、AIには対処しなければならない問題が残っています。倫理的・法的問題、データ交換の欠如、規制遵守要件、患者や医療提供者の採用などです。
This document from our Health Information Management Working Group provides an overview of the fundamentals and concerns of using AI in healthcare systems at the present, with guidance, challenges, and predictions for the future. It provides examples, use cases, and treatment methods for how AI, machine learning, and data mining can be effectively utilized throughout a healthcare system, in areas such as telehealth, administering diagnoses, and patient care. It also addresses ethical challenges, legal issues, and how to reduce bias in AI. 当社の医療情報管理ワーキンググループによる本書は、現時点での医療システムにおけるAI活用の基礎と懸念について、ガイダンス、課題、将来の予測を交えて解説しています。遠隔医療、診断管理、患者ケアなどの分野で、AI、機械学習、データマイニングを医療システム全体で効果的に活用する方法について、事例、使用例、治療法を示しています。また、倫理的な課題、法的な問題、AIにおける偏りを減らす方法についても取り上げています。
Key Takeaways: ポイント
・How robotics and Robotic Process Automation (RPA) are used for a multitude of different tasks throughout healthcare delivery organizations (HDOs) ・ロボット工学とロボティック・プロセス・オートメーション(RPA)が、医療提供組織(HDO)全体のさまざまな業務にどのように使用されているか。
・How AI helps healthcare service providers improve the precision of diagnoses ・AIが医療サービス提供者の診断精度を高めるためにどのように役立っているか
・How HDOs can use predictive analytics to provide better services and reduce cost ・HDOがより良いサービスを提供し、コストを削減するための予測分析の利用法
・How telehealth uses AI to distribute electronic medical cards, administer personal consultations, and more ・電子カルテの配布や個人面談など、AIを活用したテレヘルスの仕組み
・How to reduce bias in your AI algorithm and the ethical and legal challenges related to AI  ・AIアルゴリズムの偏りを減らす方法とAIに関する倫理的・法的課題 

・[PDF] 簡単な質問に答えるとダウンロードできます

20220107-172658

 

目次です。。。

Abstract 概要
1. Introduction 1. はじめに
2. Robotics 2. ロボティクス
3. Robotic Process Automation 3. ロボティック・プロセス・オートメーション
4. Diagnosis and Treatment Applications 4. 診断・治療への応用
5. Big Data and Predictive Analytics 5. ビッグデータおよび予測分析
6. AI and Telehealth 6. AIとテレヘルス
7. Bias in AI 7. AIにおけるバイアス
8. Use of AI in the fight against COVID-19 8. COVID-19対策におけるAIの活用
9. Ethical and Legal Challenges 9. 倫理的・法的課題
 9.1 Ethical Challenges  9.1 倫理的な課題
 9.2 Legal Challenges  9.2 法的課題
10. AI and Cloud Computing 10. AIとクラウドコンピューティング
11. Conclusion 11. おわりに
References 参考文献

| | Comments (0)

2022.01.07

JASA 監査人の警鐘 – 2022年 情報セキュリティ十大トレンド

こんにちは、丸山満彦です。

JASA(特定非営利活動法人日本セキュリティ監査協会 )が情報セキュリティ監査人が選ぶ2022年の情報セキュリティ十大トレンドを発表していますね。。。

 

● JASA

・2022.01.06 監査人の警鐘 – 2022年 情報セキュリティ十大トレンド

 

ちなみに過去分は2018年からあります。。。

情報セキュリティ十大トレンド

 

今年の10位までを過去に遡ると。。。

項目 2022 2021 2020 2019 2018
緊急コロナ対策からWithコロナへ 業務優先で後回しにしたセキュリティの再点検 1 1 5 5 5
多様化するワークスペースに対応するセキュリティ対策 2 6 -    
ICTサプライチェーンにおける情報セキュリティリスクの増大 3 11 -    
広がるWeb会議利用の盲点 データ漏洩に注意 4 6 -    
ISMSからサイバーセキュリティ対策マネジメントへ 5 10 -    
個人データ活用におけるビジネスとプライバシーの対立 6 18 -    
クラウドの仕様変更への対応不備によるセキュリティ事故 7 - -    
管理機能が攻撃対象に 社外端末によるシステム管理に潜む重大脆弱性 8 - -    
クラウド相互乗り入れ問題 バタフライエフェクトで自社の業務が停止する 9 3 2 10 -
気を付けよう外部サービスの穴 10 -      

 

Jasa_logo_darkblue

 


2002年に経済産業省で始まった情報セキュリティ監査研究会での議論を踏まえて、情報セキュリティ監査制度を作り、その受け皿としてできたのが、特定非営利活動法人日本セキュリティ監査協会です。。。(情報セキュリティではなく、日本セキュリティなんですよね。。。色々あって...)

ここまで来れたのは、いろいろなひとの力添えがあったのですが、初代事務局長の沓澤さんとその後を引継いだ永宮さんの力が大きいですよね。。。そして、今頑張っている安藤さん...

設立当時、会長に就任することになっていた土居先生に、「NPOの理事長になったら無限責任が発生するので、家屋敷が取られるかもしれないので、気をつけないといけませんよ」と言ったのを覚えています(^^)。

そういえば、いつロゴが変わったのだっけ...

 

» Continue reading

| | Comments (0)

米国 2022.01.01から施行されるカリフォルニア州のプライバシー関連の法改正

こんにちは、丸山満彦です。

カリフォルニア州のプライバシー関連の法の改正の施行が2022.01.01から始まっていますね。。。

どこがどう変わったかまでは追えていないのですが、情報共有まで...

 

AB-694 プライバシーと消費者保護: オムニバス法案

・2021.10.06  議会法案第694号 第 525 章 消費者に関する、ビジネスおよび職業法典の第 12246 条と第 12533 条を改正し、民法の第 1798.140 条、第 1798.145 条、第 1798.199.40 条を改正する法律

● AB-825個人情報:データ侵害:遺伝子データ

・2021.10.06 議会法案第825号 第527章 情報のプライバシーに関する民法第 1798.29 条、第 1798.81.5 条、および第 1798.82 条を改正する法律


● AB-335 2018年カリフォルニア消費者プライバシー法:船舶情報

・2021.10.11 議会法案335号第700章 プライバシーに関する民法第 1798.145 条を改正する法律

● SB-41プライバシー:遺伝子検査会社

・2021.10.07 上院法案第41号第596章 民法第1編第2.6章(第56.18節から始まる)にプライバシーに関する章を追加する法律


参考 カリフォルニア州の民法等の条文のリンク

California Legislartive Information

Civil Code - CIV

遺伝情報関連...

DIVISION 1. PERSONS 38-86
PART 2.6. CONFIDENTIALITY OF MEDICAL INFORMATION 56-56.37
CHAPTER 2.6. Genetic Privacy 56.18-56.186

 

プライバシー関連...

DIVISION 3. OBLIGATIONS 1427-3273.16
PART 1. OBLIGATIONS IN GENERAL 1427-1543
TITLE 1.8. PERSONAL DATA 1798-1798.78
CHAPTER 1. Information Practices Act of 1977 1798-1798.78
ARTICLE 1. General Provisions and Legislative Findings 1798-1798.1
ARTICLE 2. Definitions 1798.3
ARTICLE 5. Agency Requirements 1798.14-1798.23
ARTICLE 6. Conditions of Disclosure 1798.24-1798.24b
ARTICLE 7. Accounting of Disclosures 1798.25-1798.29
ARTICLE 8. Access to Records and Administrative Remedies 1798.30-1798.44
ARTICLE 9. Civil Remedies 1798.45-1798.53
ARTICLE 10. Penalties 1798.55-1798.57
ARTICLE 11. Miscellaneous Provisions 1798.60-1798.69
ARTICLE 12. Construction With Other Laws 1798.70-1798.78
TITLE 1.80. Identification Documents 1798.79-1798.795
TITLE 1.807. DOMESTIC VIOLENCE, SEXUAL ASSAULT, AND STALKING: PERSONAL INFORMATION 1798.79.8-1798.79.95
TITLE 1.81. CUSTOMER RECORDS 1798.80-1798.84
TITLE 1.81.1. CONFIDENTIALITY OF SOCIAL SECURITY NUMBERS 1798.85-1798.89
TITLE 1.81.15. Reader Privacy Act 1798.90-1798.90.05
TITLE 1.81.2. CONFIDENTIALITY OF DRIVER'S LICENSE INFORMATION 1798.90.1
TITLE 1.81.23. COLLECTION OF LICENSE PLATE INFOMATION 1798.90.5-1798.90.55
TITLE 1.81.25. CONSUMER PRIVACY PROTECTION 1798.91
TITLE 1.81.26. Security of Connected Devices 1798.91.04-1798.91.06
TITLE 1.81.26. Security of Connected Devices 1798.91.04-1798.91.06
TITLE 1.81.27. Commercial Use of Booking Photographs 1798.91.1
TITLE 1.81.3. IDENTITY THEFT 1798.92-1798.97
TITLE 1.81.4. PRIVACY OF CUSTOMER ELECTRICAL OR NATURAL GAS USAGE DATA 1798.98-1798.99
TITLE 1.81.45. The Parent’s Accountability and Child Protection Act 1798.99.1
TITLE 1.81.48. Data Broker Registration 1798.99.80-1798.99.88
TITLE 1.81.5. California Consumer Privacy Act of 2018 1798.100-1798.199.100
TITLE 1.81.6. Identity Theft in Business Entity Filings 1798.200-1798.202

 

Fig1_20220106155401

| | Comments (0)

2022.01.06

中国 意見募集 金融商品オンラインマーケティング管理弁法(案)

こんにちは、丸山満彦です。

金融商品のオンライン上での宣伝、販売に関する弁法案についての意見募集ですね。。。

 

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

2021.12.30 关于《金融产品网络营销管理办法(征求意见稿)》公开征求意见的通知
「金融商品オンラインマーケティング管理弁法(案)」に関する意見募集の通知

・[DOCX] 附件1:金融产品网络营销管理办法(征求意见稿)

・附件2:《金融产品网络营销管理办法(征求意见稿)》起草说明

金融产品网络营销管理办法 金融商品オンラインマーケティング管理弁法
(征求意见稿) (意見募集稿)
第一章  总则 第1章 総則
第一条【目的依据】为规范金融产品网络营销活动,保障金融消费者合法权益,促进互联网金融业务健康有序发展,根据《中华人民共和国中国人民银行法》《中华人民共和国银行业监督管理法》《中华人民共和国信托法》《中华人民共和国证券法》《中华人民共和国证券投资基金法》《中华人民共和国保险法》《中华人民共和国广告法》《中华人民共和国反不正当竞争法》《中华人民共和国消费者权益保护法》《中华人民共和国个人信息保护法》《期货交易管理条例》《防范和处置非法集资条例》《互联网信息服务管理办法》《金融信息服务管理规定》等,制定本办法。 第1条【目的と根拠】金融商品のオンラインマーケティング活動を規制し、金融消費者の正当な権利と利益を保護し、インターネット金融ビジネスの健全かつ秩序ある発展を促進するために、「中国人民共和国銀行法」、「中国人民共和国銀行業監督管理法
中華人民共和国信託法」、「中華人民共和国証券法」、「中国人民共和国証券投資基金法」、「中国人民共和国保険法」、「中華人民共和国広告法」、「中国人民共和国不正競争防止法」、「中華人民共和国消費者権益保護法」、「中華人民共和国個人情報保護法」、「違法資金調達防止処理条例」、「違法資金調達防止処理条例」、「インターネット情報サービス運営管理弁法」、「金融情報サービス運営管理規定」などに基づいて制定されている。
第二条【适用范围】金融机构或受其委托的第三方互联网平台经营者开展金融产品网络营销,适用本办法。 第2条【適用範囲】本弁法は、金融機関またはその委託を受けた第三者のインターネット・プラットフォーム事業者が金融商品のオンラインマーケティングを行う場合に適用される。
法律法规、规章和规范性文件对金融产品网络营销另有规定的,从其规定。 法律、規制、規則、規範文書が金融商品のオンラインマーケティングについて別途規定している場合は、その規定に従うものとする。
第三条【相关定义】本办法所称金融机构是指国务院金融管理部门依法批准设立的从事金融业务的机构。本办法所称金融产品,是指金融机构设计、开发、销售的产品和服务,包括但不限于存款、贷款、资产管理产品、保险、支付、贵金属等。 第3条【関連定義】本弁法でいう金融機関とは、法律に基づいて国務院の金融管理部門が認可した金融業務を行う機関である。 本弁法で言及する金融商品とは、金融機関が設計、開発、販売する商品およびサービスを指し、預金、ローン、資産運用商品、保険、決済、貴金属などを含むが、これらに限定されるものではない。
本办法所称第三方互联网平台,是指非金融机构自营的,为金融机构开展网络营销提供网络空间经营场所、信息交互、交易撮合等服务的网站、移动互联网应用程序、小程序、自媒体等互联网媒介。 本弁法でいう第三者のインターネットプラットフォームとは、金融機関が所有していないウェブサイト、モバイル・インターネット・アプリケーション、アプレット、セルフ・メディア、その他のインターネット・メディアで、金融機関がオンラインマーケティングを行うためにサイバースペースのビジネス・プレイス、情報のやりとり、取引の集約、その他のサービスを提供するものをいう。
本办法所称网络营销,是指通过互联网平台对金融产品进行商业性宣传推介的活动,包括但不限于展示介绍金融产品相关信息或金融机构业务品牌,为消费者购买金融产品提供转接渠道等。 本弁法でいうオンラインマーケティングとは、インターネット・プラットフォームを通じて金融商品を商業的に宣伝する活動を指し、金融商品や金融機関のビジネス・ブランドに関連する情報を表示・紹介したり、消費者が金融商品を購入するための紹介ルートを提供したりすることなどが含まれるが、これに限定されるものではない。
第四条【基本原则】开展金融产品网络营销,应当遵守相关法律法规制度和社会公序良俗,诚实守信,公平竞争,保障金融消费者知情权、自主选择权和个人信息安全,不得损害国家利益、社会公众利益和金融消费者合法权益。 第4条【基本原則】 金融機関は、金融商品のオンラインマーケティングを行うにあたり、関連法令および社会秩序・道徳を遵守し、誠実で信頼性が高く、公正な競争を行い、金融消費者の情報入手の権利、独立した選択、個人情報のセキュリティを保護し、国家の利益、公共の利益、金融消費者の合法的な権利・利益を損なわないようにしなければならない。
第五条【营销资质】金融机构应当在金融管理部门许可的业务范围内开展金融产品网络营销。除法律法规、规章和规范性文件明确规定或授权外,金融机构不得委托其他机构和个人开展金融产品网络营销。 第5条【マーケティング資格】金融機関は、金融管理当局が許可した業務の範囲内で、金融商品のオンラインマーケティングを行うものとする。 法律、規制、規範文書で明示的に規定または許可されている場合を除き、金融機関は他の機関や個人に金融商品のオンラインマーケティングの実施を委託してはならない。
第六条【禁止网络营销产品】任何机构和个人不得为非法金融活动提供网络营销服务,包括但不限于非法集资、非法发行证券、非法放贷、非法荐股荐基、虚拟货币交易、外汇按金交易等;不得为私募类资产管理产品、非公开发行证券等金融产品开展面向不特定对象的网络营销。 第6条【オンラインマーケティング商品の禁止】いかなる機関または個人も、違法な資金調達、違法な証券発行、違法な貸付、株式やファンドの違法な推奨、仮想通貨取引、外国為替証拠金取引などの違法な金融活動のためにオンラインマーケティング・サービスを提供してはならない。また、私募の資産運用商品や非公募の証券などの金融商品については、不特定多数を対象としたオンラインマーケティングを行ってはならない。
第二章  营销宣传内容规范 第2章 マーケティング・広報コンテンツの仕様
第七条【审核责任】金融机构应当对网络营销宣传内容的合法合规性负责,建立内容审核机制,落实金融消费者权益保护有关要求,有关审核材料应当存档备查。 第7条【監査責任】金融機関は、オンラインマーケティングおよび広報コンテンツの法令遵守に責任を負い、コンテンツ監査メカニズムを確立し、金融消費者の権利と利益の保護のために関連する要求を実施し、関連する監査資料を保管して検査に供しなければならない。
第三方互联网平台应当使用经金融机构审核确定的网络营销宣传内容对金融产品进行宣传推介,不得擅自变更营销宣传内容。 第三者のインターネットプラットフォームは、金融商品の販売促進のために金融機関が決定したオンラインマーケティングおよび広報コンテンツを使用するものとし、許可なくマーケティングおよび広報コンテンツを変更してはならない。
金融机构从业人员通过直播、自媒体账号、互联网群组等新型网络渠道宣传推介金融产品的,口径应与金融机构审核的网络营销宣传内容保持一致。 金融機関の実務者が、ライブストリーミング、セルフメディアアカウント、インターネットグループなどの新しいオンラインチャネルを通じて金融商品を宣伝する場合、その口径は、金融機関が監査したオンラインマーケティングおよびプロモーションの内容と一致するものでなければならない。
第八条【内容标准】网络营销宣传内容应当与金融产品合同条款保持一致,包含产品名称、产品提供者和销售者名称、产品备案或批复信息、产品期限、功能类型、利率收费、风险提示、限制金融消费者权利和加强金融消费者义务的事项等关键信息,不得有重大遗漏。 第8条【内容基準】オンラインマーケティング広報の内容は、金融商品契約の条件と一致していなければならず、商品名、商品提供者と販売者の名称、商品の申請または承認情報、商品の期間、特徴の種類、金利手数料、リスクのヒント、金融消費者の権利を制限し、金融消費者の義務を強化する事項などの重要な情報が含まれており、重大な省略があってはならない。
网络营销宣传内容应当准确、通俗,符合社会主义精神文明建设的要求,践行社会主义核心价值观,倡导正确的投资理念和健康的消费观。 オンラインマーケティングの宣伝内容は、正確で人気があり、社会主義精神文明の要求に沿っており、社会主義のコアバリューを実践し、正しい投資概念と健全な消費概念を提唱するものでなければならない。
第九条【禁止内容】网络营销宣传不得含有以下内容: 第9条【禁止事項】オンラインマーケティングの宣伝文句には、以下の内容を含んではならない。
(一)虚假、欺诈或引人误解的内容; (1) 虚偽、不正、または誤解を招くような内容。
(二)引用不真实、不准确或未经核实的数据和资料; (2) 真実でない、不正確な、または検証されていないデータや情報を引用すること。
(三)明示或暗示资产管理产品保本、承诺收益、限定损失金额或比例; (3) 明示的または黙示的な資産運用商品の資本保護、リターンの約束、限定的な損失額または割合。
(四)夸大保险责任或保险产品收益,将保险产品收益与存款、资产管理产品等金融产品简单类比; (4) 保険負債や保険商品のリターンを誇張したり、保険商品のリターンを預金や資産運用商品などの金融商品と単純に比較したりすること。
    (五)利用国务院金融管理部门的审核或备案为金融产品提供增信保证; (5) 国務院の財務管理部門の審査または申告を利用して、金融商品の信用補完保証を行うこと。
(六)法律法规、规章和规范性文件禁止的其他内容。 (6) その他、法令・規範で禁止されている内容。
第三章 营销宣传行为规范     第3章 マーケティングと宣伝の行動規範    
第十条【分区展示】对于存款、贷款、资产管理产品、保险、支付、贵金属等不同类别、不同风险等级的金融产品,应当分别设立宣传展示专区。 第10条 【ゾーニング表示】 異なるカテゴリーおよび異なるリスクレベルの預金、ローン、資産運用商品、保険、決済、貴金属およびその他の金融商品については、独立したプロモーションおよび表示エリアを設定しなければならない。
第十一条【精准营销】开展精准营销,应当遵守适当性管理要求,将金融产品推介给适当的金融消费者。根据金融消费者兴趣爱好、消费习惯等开展精准营销的,应当同时提供不针对个人特征推送的选项或便捷的拒绝方式。 第11条【精密マーケティング】精密マーケティングを行うためには、適切な金融消費者に対して、適切性管理の要件を満たした上で、金融商品を紹介しなければならない。 金融消費者の関心事や消費習慣などに基づいて精密マーケティングを行う場合は、個人的な特徴を押し付けない選択肢や、便利な拒否方法を伴うものとしなければならない。
第十二条【禁止骚扰性营销】开展营销宣传不得影响他人正常使用互联网和移动终端。以弹出页面等形式开展营销的,应当显著标明关闭标志,确保一键关闭。不得欺骗、误导用户点击金融产品营销内容。 第12条【ハラスメントマーケティングの禁止】 マーケティングキャンペーンは、他人によるインターネットや携帯端末の正常な利用を妨げてはならない。 ポップアップページなどでマーケティングを行う場合は、1回のクリックで閉じることができるように、閉じる記号を目立つように表示しなければならない。 ユーザーは、金融商品のマーケティング・コンテンツに騙されたり、誤解してクリックしてはならない。
第十三条【组合销售】采用组合方式营销金融产品,应当以显著方式提醒金融消费者注意,不得将组合销售金融产品的选项设定为默认或首选。 第13条【複合的マーケティング】 金融商品の複合的マーケティングの使用は、金融消費者の注意を喚起するために目立つようにしなければならず、金融商品の複合的マーケティングの選択肢をデフォルトまたは優先的に設定してはならない。
第十四条【新型网络营销】通过直播、自媒体账号、互联网群组等新型网络渠道营销金融产品,营销人员应当为金融机构从业人员并具备相关金融从业资质。金融机构应当加强事前审核,指定合规人员审看直播或访问相关自媒体账号、互联网群组;加强营销行为可回溯管理,保存有关视频、音频、图文资料以供查验。 第14条【新ネットワークマーケティング】ライブストリーミング、セルフメディアアカウント、インターネットグループなどの新ネットワークチャネルを通じて金融商品をマーケティングする場合、マーケティング担当者は金融機関の実務担当者であり、関連する金融資格を有していなければならない。 金融機関は、事前監査を強化し、コンプライアンス担当者を指名して生放送を確認したり、関連する自己メディアアカウントやインターネットグループを訪問したりする。マーケティング手法のトレーサビリティー管理を強化し、関連するビデオ、オーディオ、グラフィック資料を保存して検査に供する。
第十五条【嵌套销售】非银行支付机构不得为贷款、资产管理产品等金融产品提供营销服务,不得在支付页面中将贷款、资产管理产品等金融产品作为支付选项,以默认开通、一键开通等方式销售贷款、资产管理产品等金融产品。 第15条【入れ子式販売】ノンバンクの決済機関は、ローンや資産運用商品などの金融商品のマーケティングサービスを提供してはならず、また、決済ページの支払い方法としてローンや資産運用商品などの金融商品を記載したり、デフォルトオープンやワンクリックオープンでローンや資産運用商品などの金融商品を販売してはならない。
第十六条【禁止代言】不得利用学术机构、行业协会、专业人士的名义或者形象作推荐、证明。 第16条【推奨の禁止】学術機関、業界団体、専門家の名称やイメージを推奨や認証に使用してはならない。
 金融机构应当遵守金融管理部门有关规定,不得利用演艺明星的名义或形象作推荐、证明。 金融機関は、金融管理当局の関連規則を遵守し、アクティングスターの名前や画像を推薦や認証のために使用してはならない。
第四章 营销合作行为规范 第4章 マーケティング協力のための行動規範
第十七条【责任划分】金融机构委托第三方互联网平台经营者开展金融产品网络营销的,应当作为业务主体承担管理责任。第三方互联网平台经营者未按约定履行受托义务,损害金融消费者权益或造成其他不良影响的,依法承担相关责任。 第17条【責任の分担】金融機関は、第三者であるインターネット・プラットフォーム事業者に金融商品のオンラインマーケティングを委託する場合、事業者としての管理責任を負うものとする。第三者であるインターネットプラットフォーム事業者が、合意された受託者責任を履行せず、金融消費者の権利・利益を損ない、その他の悪影響を及ぼす場合には、法律に基づき関連する責任を負うものとする。
未经金融管理部门批准,第三方互联网平台经营者不得介入或变相介入金融产品的销售业务环节,包括但不限于就金融产品与消费者进行互动咨询、金融消费者适当性测评、销售合同签订、资金划转等,不得通过设置各种与贷款规模、利息规模挂钩的收费机制等方式变相参与金融业务收入分成。 金融管理当局の承認を得ずに、第三者のインターネットプラットフォーム事業者は、金融商品に関する消費者との双方向の相談、金融消費者の適合性評価、売買契約の締結、資金移動など、金融商品販売のビジネス面に介入したり、偽装したりしてはならず、また、融資や利息の規模に連動した様々な手数料の仕組みを設けて、金融ビジネスの収益分配に参加することを偽装してはならない。
金融机构利用第三方互联网平台的网络空间经营场所,应当确保业务独立、技术安全、数据和个人信息安全。第三方互联网平台经营者应当恪守信息技术服务本位,不得变相开展金融业务活动,不得借助技术手段帮助合作金融机构规避监管。 第三者のインターネット・プラットフォームを利用してサイバースペース上の施設を運営する金融機関は、事業の独立性、技術的セキュリティ、データおよび個人情報のセキュリティを確保する必要があります。第三者のインターネットプラットフォーム事業者は、自社の情報技術サービスの適正を遵守し、偽装して金融ビジネス活動を行ったり、協力的な金融機関が技術を利用して規制を回避することを支援したりしてはならない。
第十八条【事前评估】金融机构委托第三方互联网平台经营者或者利用第三方互联网平台的网络空间经营场所开展金融产品网络营销,应当建立事前评估机制,按照互联网平台资质和承担责任相匹配的原则,从电信业务资质、经营情况、技术实力、服务质量、业务合规和声誉等方面进行评估。 第18条【事前審査】金融機関は、金融商品のオンラインマーケティングを行うために、第三者のインターネット・プラットフォーム事業者に委託し、または第三者のインターネット・プラットフォームのサイバースペース事業所を利用する場合には、事前審査の仕組みを構築し、インターネット・プラットフォームの資格と責任を一致させるという原則に基づき、電気通信事業者としての資格、運営、技術力、サービス品質、業務のコンプライアンス、評判などについて審査を行うものとする。
第十九条【书面协议】金融机构应当与第三方互联网平台经营者签订书面合作协议。合作协议应当包含合作范围、操作流程、各方权责、消费者权益保护、数据安全、争议解决、合作事项变更或终止的过渡安排、违约责任等内容。 第19条【書面による契約】 金融機関は、第三者のインターネットプラットフォーム事業者と書面による協力契約を締結しなければならない。 協力協定には、協力の範囲、業務手順、当事者の権利および責任、消費者の権利および利益の保護、データセキュリティ、紛争解決、協力事項の変更または終了のための経過措置、契約違反の責任などが含まれる。
第二十条【持续管理】金融机构应当持续跟踪评估第三方互联网平台经营者的合规性、安全性以及协议履行情况,及时识别、评估、防范因第三方互联网平台经营者违约或经营失败等导致的风险。如发现违反法律法规、有关规定和协议约定的,应当要求其及时整改,情节严重的,立即终止合作,并将有关问题线索移交相关管理部门。 第20条【継続管理】金融機関は、第三者インターネットプラットフォーム事業者のコンプライアンスやセキュリティ、契約の履行状況を継続的に追跡・評価し、第三者インターネットプラットフォーム事業者の債務不履行や運営上の失敗に起因するリスクを迅速に特定・評価・防止しなければならない。 法令や関連規定、協定などの違反が発見された場合には、適時に是正を求め、重大な場合には、直ちに協力関係を解消し、問題の関連糸口を関連管理部門に移すものとする。
第二十一条【信息安全】金融机构和第三方互联网平台应当采取必要的技术安全措施,保障数据传输的保密性、完整性,防止其他机构和个人非法破解、截留、存储有关数据。 第21条【情報セキュリティ】 金融機関および第三者のインターネットプラットフォームは、データ伝送の機密性および完全性を保護し、他の機関および個人が関連データを不正に解読、傍受および保存することを防止するために、必要な技術的セキュリティ対策を講じなければならない。
金融机构利用第三方互联网平台网络空间经营场所,应当防止第三方互联网平台非法破解、截留、存储客户信息和业务数据。 第三者のインターネット・プラットフォームのサイバースペースを利用して業務を行っている金融機関は、第三者のインターネット・プラットフォームが、顧客情報や業務データを不正に解読、傍受、保管することを防止しなければならない。
第二十二条【入驻管理】第三方互联网平台经营者为金融机构提供网络空间经营场所,应当建立准入管理机制,对入驻金融机构从资质资格、业务合规、社会声誉等方面进行评估;建立经营行为监测机制,发现非法金融活动,立即采取措施予以制止,并将线索移交金融管理部门。 第22条【参入管理】金融機関にサイバースペース事業所を提供する第三者インターネットプラットフォーム事業者は、参入管理機構を構築して、金融機関の参入を資格、業務コンプライアンス、社会的評判の観点から評価し、業務行為の監視機構を構築して、違法な金融行為を発見した場合には直ちに停止措置を講じ、金融管理部門に手がかりを渡さなければならない。
第二十三条【不正当竞争】第三方互联网平台经营者应当遵循平等自愿、公平合理、诚实守信的原则,不得滥用市场优势地位实施歧视性、排他性合作安排,不得阻碍金融消费者通过金融机构渠道查询、办理金融业务。 第23条【不正競争】第三者のインターネットプラットフォーム事業者は、平等と自発性、公正と合理性、誠実と信頼性の原則に従わなければならず、市場での支配的地位を濫用して、差別的または排他的な協力協定を実施したり、金融消費者が金融機関のチャネルを通じて金融サービスを照会したり実施することを妨げたりしてはならない。
第二十四条【品牌混同】第三方互联网平台经营者应当以清晰、醒目的方式展示金融产品提供者名称或相关标识。金融产品名称不得使用第三方互联网平台名称、商标的相关字样,造成金融机构和第三方互联网平台的品牌混同。 第24条【ブランド混合】第三者のインターネットプラットフォーム事業者は、金融商品提供者の名称または関連するロゴを明確かつ目立つように表示しなければならない。 金融商品の名称は、第三者のインターネット・プラットフォームの名称または商標の関連語を使用してはならず、その結果、金融機関と第三者のインターネット・プラットフォームとの間にブランドの混同が生じてはならない。
第二十五条【互联网名称】第三方互联网平台经营者在网站、移动互联网应用程序、小程序、自媒体名称中使用“金融”“交易所”“交易中心”“信托公司”“理财”“财富管理”“财富投资管理”“股权众筹”“贷款”“资产管理”“支付”“清算”“征信”“信用评级”“外汇(汇兑、结售汇、货币兑换)”等金融相关字样或者内容,应当取得相应金融业务资质或金融信息服务业务资质。 第25条 【インターネットの名称】ウェブサイト、モバイルインターネットアプリケーション、アプレット、およびセルフメディアの名称に「金融」、「取引所」、「トレーディングセンター」、 信託会社」、「理財」、「資産管理」、「資産投資管理」、「貸付」「アセットマネジメント」、「支払」、「清算」 、「信用」、「信用格付」、「外貨交換(交換、精算、通貨交換)」などの金融関連の 用語や内容が含まれていれば、それに対応する金融業資格や金融情報サービス業資格を取得する必要がある
第二十六条【商标注册】第三方互联网平台经营者注册和使用包含“金融”“交易所”“交易中心”“信托公司”“理财”“财富管理”“财富投资管理”“股权众筹”“贷款”“资产管理””“支付”“清算”“征信”“信用评级”“外汇(汇兑、结售汇、货币兑换)”等金融相关字样或者内容的商标,应当取得相应金融业务资质或金融信息服务业务资质。 第26条【商標登録】第三者のインターネット・プラットフォーム事業者は、「金融」、「取引所」、「トレーディングセンター」、 信託会社」、「理財」、「資産管理」、「資産投資管理」、「貸付」「アセットマネジメント」、「支払」、「清算」 、「信用」、「信用格付」、「外貨交換(交換、精算、通貨交換)」などの金融関連の用語その他の金融関連の単語またはコンテンツを含む商標を登録および使用する第三者のインターネットプラットフォーム事業者は、対応する金融事業資格または金融情報サービス事業資格を取得する必要がある。
第五章  监督管理 第5章 監督および管理
第二十七条【金融机构监管】金融管理部门按照职责分工采取非现场或现场检查等方式,实施对金融机构金融产品网络营销活动的监督管理。 第27条【金融機関の監督】金融管理部門は、責任分担に従い、金融機関の金融商品のオンラインマーケティング活動の監督・管理を実施するために、立入検査または立入検査等の手段を採用しなければならない。
金融机构、第三方互联网平台经营者及其从业人员应当配合金融管理部门的检查,提供的信息、资料应当及时、准确、完整。 金融機関、第三者のインターネットプラットフォーム事業者およびその実務者は、金融管理部門の検査に協力し、提供する情報や資料は適時、正確かつ完全なものでなければならない。
第二十八条【第三方互联网平台监管】相关部门按照职责分工实施对第三方互联网平台金融产品网络营销活动的监督管理。 第28条【第三者インターネットプラットフォームの監督】関係部門は、責任分担に基づき、第三者インターネットプラットフォームにおける金融商品のオンラインマーケティング活動の監督・管理を実施する。
市场监管部门加强互联网广告管理和反不正当竞争执法,及时向金融管理部门通报有关问题情况并在必要时商请协助调查。 市場監督部門は、インターネット広告の管理と反不正競争の執行を強化し、関連する問題状況を速やかに財務管理部門に伝え、必要に応じて調査の支援を相談する。
网信部门加强互联网信息内容管理,会同电信主管部门、金融管理部门加强数据安全管理和个人信息保护。 インターネット情報部門は、インターネット情報コンテンツの管理を強化し、管轄の通信部門、財務管理部門と連携して、データセキュリティ管理と個人情報保護を強化する。
第二十九条【第三方互联网平台名称与商标管理】金融管理部门会同网信部门、电信主管部门加强对第三方互联网平台名称的监测和管理。对违反本办法第二十五条规定的第三方互联网平台经营者,责令其限期整改。 第29条【第三者インターネットプラットフォームの名称および商標の管理】財務管理部門は、インターネット情報部門および管轄の電気通信部門と連携して、第三者インターネットプラットフォームの名称の監視および管理を強化しなければならない。 本弁法の第25条の規定に違反した第三者のインターネットプラットフォーム事業者は、一定期間内に是正を命じられる。
金融管理部门会同知识产权管理部门、市场监管部门加强商标使用的监测和管理。对违反本办法第二十六条规定的第三方互联网平台经营者,责令其限期整改。 財務管理部門は、知的財産管理部門および市場監督部門と連携して、商標の使用に関する監視・管理を強化する。 本弁法の第26条の規定に違反した第三者のインターネットプラットフォーム事業者に対しては、一定期間内に是正・改善を命じるものとする。
第三十条【打击非法金融活动营销】金融管理部门会同网信部门、电信主管部门、市场监管部门加强对非法金融活动网络营销的监测,按照职责分工予以处置。 第30条【違法金融活動のマーケティング対策】財務管理部門は、インターネット情報部門、電気通信当局、市場監督部門と連携して、違法金融活動のオンラインマーケティングの監視を強化し、責任分担に基づいて処分を行う。
第三十一条【行业自律管理】中国互联网金融协会等有关行业协会依照相关法律法规、规章和规范性文件要求以及本办法规定,制定行业标准和自律规范,完善自律惩戒机制。加强金融类移动互联网应用程序备案管理和金融消费者举报平台运营。配合金融管理部门开展金融产品网络营销日常监测,及时移交有关问题线索。加大对社会公众的金融知识普及教育,引导理性投资、健康消费。   第31条【業界の自主規制管理】中国インターネット金融協会およびその他の関連業界団体は、関連する法律、規則、規範文書および本弁法の規定に基づき、業界標準および自主規制規範を策定し、自主規制の規律メカニズムを改善する。 金融モバイルインターネットアプリケーションの記録管理と金融消費者報告プラットフォームの運営を強化する。 金融管理当局と協力して、金融商品のオンライン販売を日常的に監視し、関連する問題の手がかりをタイムリーに引き渡す。 合理的な投資と健全な消費を導くために、一般市民に対する金融リテラシー教育を強化する。 
第六章  法律责任 第6章 法的責任
第三十二条【金融机构责任】金融机构违反本办法规定开展金融产品网络营销的,除法律法规另有规定外,金融管理部门可采取监管谈话、责令整改、出具警示函以及依法依规可以采取的其他措施。 第32条【金融機関の責任】金融商品のネットワークマーケティングを行うためにこれらの措置の規定に違反して金融機関は、法令に別段の定めがある場合を除き、財務管理部門は、規制協議を取ることができる、整流を注文し、警告書や法律や規制に従って取ることができる他の措置を発行する。
第三十三条【第三方互联网平台责任】第三方互联网平台违反本办法第八条、第九条、第十六条第一款、第二十三条、第二十四条规定开展金融产品网络营销的,市场监管部门可依据《中华人民共和国广告法》《中华人民共和国反不正当竞争法》予以处置。 第33条【第三者インターネットプラットフォームの責任】第三者インターネットプラットフォームが本弁法第8条、第9条、第16条(1)、第23条および第24条の規定に違反して金融商品のオンラインマーケティングを行った場合、市場監督当局は中華人民共和国広告法および中華人民共和国反不正競争法に基づいて対処することができるものとする。
第三方互联网平台违反本办法第二十一条规定开展金融产品网络营销的,网信部门、电信主管部门可依据《中华人民共和国个人信息保护法》予以处置。 第三者のインターネットプラットフォームが、本弁法第21条の規定に違反して金融商品のオンラインマーケティングを行った場合、インターネット情報部門および管轄の電気通信部門は、「中華人民共和国個人情報保護法」に基づいて対処することができる。
第三十四条【非法金融活动营销责任】任何机构和个人违反本办法第五条、第六条、第十四条、第十七条第二和第三款、第二十二条规定开展金融产品网络营销的,金融管理部门、地方金融监管部门可依据《中华人民共和国中国人民银行法》《中华人民共和国银行业监督管理法》《中华人民共和国证券法》《中华人民共和国证券投资基金法》《中华人民共和国保险法》《期货交易管理条例》《防范和处置非法集资条例》等法律法规予以处置。 第34条【違法な金融活動のマーケティングに対する責任】本弁法第5条、第6条、第14条、第17条第2項および第3項、第22条の規定に違反して金融商品のオンラインマーケティングを行った機関または個人がいた場合、財務管理部門および地方の財務監督部門は、「中華人民共和国人民銀行法」、「中華人民共和国銀行監督管理法」、「中華人民共和国証券法」、「中華人民共和国証券投資基金法」、「中華人民共和国保険法」、「先物取引管理条例」、「違法資金調達防止処理条例」等の法令を制定して対応する。
第七章 附则 第7章 附則
第三十五条【参照管理】私募基金管理机构、信用评级机构、地方金融监管部门依法批准设立的地方金融组织开展金融产品网络营销参照本办法相关规定执行。 第35条【参考管理】プライベートエクイティファンド管理機関、信用格付機関、および金融商品のオンラインマーケティングを行うために法律に基づいて現地の金融規制当局が承認した現地金融機関は、本弁法の関連規定を参考にして実施する。
第三十六条【解释权】本办法由中国人民银行、工业和信息化部、市场监管总局、国家互联网信息办公室、银保监会、证监会、外汇局、知识产权局负责解释。 第36条【解釈権】本弁法は、中国人民銀行、工業・情報化部、市場規制総局、国家インターネット情報局、銀監会、SFC、外国為替局、知的財産局によって解釈される。
第三十七条【实施日期和整改期限】本办法自 年 月 日起施行。本办法施行前的金融产品网络营销活动不符合本办法相关要求的,金融机构及受其委托的第三方互联网平台经营者应当在本办法施行之日起6个月内完成整改。 第37条【施行日および修正期間】本弁法は、本年1月から施行する。 本弁法施行前の金融商品のオンラインマーケティング活動が本弁法の関連要求に準拠していない場合、金融機関およびその委託を受けた第三者のインターネットプラットフォーム事業者は、本弁法施行日から6ヶ月以内に修正を完了しなければならない。

 

1_20210612030101

 

 

| | Comments (0)

2022.01.05

中国 インターネット情報サービスのアルゴリズム推奨管理規則

こんにちは、丸山満彦です。

中国サイバースペース管理局が2021年12月31日にインターネット情報サービスのアルゴリズム推奨管理規則が発行され、2022年3月1日に施行すると公表していますね。。。昨年8月末に意見募集していたものですね。。。

いわゆるリコメンデーション機能についての規制が含まれる感じですね。。。

未成年のみならず、高齢者に対する規制も書かれていますね。。。

 

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

2022.01.04 互联网信息服务算法推荐管理规定
インターネット情報サービスのアルゴリズム推奨管理規則

 

互联网信息服务算法推荐管理规定 インターネット情報サービスのアルゴリズム推奨管理規則
《互联网信息服务算法推荐管理规定》已经2021年11月16日国家互联网信息办公室2021年第20次室务会议审议通过,并经工业和信息化部、公安部、国家市场监督管理总局同意,现予公布,自2022年3月1日起施行。 「インターネット情報サービスのアルゴリズム推奨管理規則」は、国家サイバースペース管理局が2021年11月16日に開催した第20回会議で審議・採択され、工業・情報化省、公安省、国家市場監督管理局の同意を得て、ここに公布され、2022年3月1日に発効する。
2021年12月31日 2021年12月31日
互联网信息服务算法推荐管理规定 インターネット情報サービスのアルゴリズム推奨管理規則
第一章 总 则 第1章 総則
第一条 为了规范互联网信息服务算法推荐活动,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康有序发展,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规,制定本规定。 第1条 インターネット情報サービスのアルゴリズム推奨活動を規制し、社会主義の中核的価値観を促進し、国家の安全と社会公共の利益を守り、市民、法人、その他の組織の合法的な権利と利益を保護し、インターネット情報サービスの健全で秩序ある発展を促進するために、「中華人民共和国ネットワークセキュリティ法」、「中華人民共和国データセキュリティ法」、「中華人民共和国個人情報保護法」、「中華人民共和国個人情報保護法」等の法律、行政法きに基づき 「インターネット情報サービス管理弁法」を策定する
第二条 在中华人民共和国境内应用算法推荐技术提供互联网信息服务(以下简称算法推荐服务),适用本规定。法律、行政法规另有规定的,依照其规定。 第2条 中華人民共和国の領域において、インターネット情報サービス(以下、アルゴリズム推奨サービスという)を提供するためにアルゴリズム推奨技術を適用する場合、規定を適用する。 法律または行政規則に別段の定めがある場合は、その規定に基づく。
前款所称应用算法推荐技术,是指利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息。 前項のアルゴリズム推奨技術の応用とは、アルゴリズム技術を用いて、合成、パーソナライズされたプッシュ、ソートと選択、検索とフィルタリング、スケジューリングと意思決定を生成して、ユーザーに情報を提供することである。
第三条 国家网信部门负责统筹协调全国算法推荐服务治理和相关监督管理工作。国务院电信、公安、市场监管等有关部门依据各自职责负责算法推荐服务监督管理工作。 第3条 国家ネットワーク情報部門は、国家アルゴリズム推奨サービスのガバナンスおよび関連する監督・管理業務の調整に責任を負う。 国務院の通信、公安、市場監督などの関連部門は、それぞれの責任に応じて、アルゴリズム推奨サービスの監督・管理を行う。
地方网信部门负责统筹协调本行政区域内的算法推荐服务治理和相关监督管理工作。地方电信、公安、市场监管等有关部门依据各自职责负责本行政区域内的算法推荐服务监督管理工作。 各地のインターネット情報部門は、その行政区域内でアルゴリズム推奨サービスのガバナンスと関連する監督・管理を調整する責任があります。 地方の電気通信、公安、市場監督などの関連部門は、それぞれの責任に基づいて、行政区域内のアルゴリズム推奨サービスの監督・管理に責任を負う。
第四条 提供算法推荐服务,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,遵循公正公平、公开透明、科学合理和诚实信用的原则。 第4条 アルゴリズム推奨サービスの提供は、法令を遵守し、社会道徳・倫理を尊重し、企業倫理・職業倫理を守り、公正・公開・透明性、科学的合理性、正直・信用の原則に従わなければならない。
第五条 鼓励相关行业组织加强行业自律,建立健全行业标准、行业准则和自律管理制度,督促指导算法推荐服务提供者制定完善服务规范、依法提供服务并接受社会监督。 第5条では、関連する業界団体が業界の自己規律を強化し、業界標準、業界ガイドライン、自主規制管理システムを確立・改善し、アルゴリズム推奨サービス提供者がサービス仕様を開発・改善し、法律に基づいてサービスを提供し、社会的監督を受け入れるよう監督・指導することを奨励している。
第二章 信息服务规范 第2章 情報サービス仕様
第六条 算法推荐服务提供者应当坚持主流价值导向,优化算法推荐服务机制,积极传播正能量,促进算法应用向上向善。 第6条 アルゴリズム推奨サービス提供者は、主流の価値観を堅持し、アルゴリズム推奨サービスメカニズムを最適化し、積極的にポジティブなエネルギーを広め、より良いアルゴリズムの適用を促進するものとする。
算法推荐服务提供者不得利用算法推荐服务从事危害国家安全和社会公共利益、扰乱经济秩序和社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动,不得利用算法推荐服务传播法律、行政法规禁止的信息,应当采取措施防范和抵制传播不良信息。 アルゴリズム推奨サービス提供者は、アルゴリズム推奨サービスを利用して、国家安全保障や社会公共の利益を危うくしたり、経済社会秩序を乱したり、他人の合法的な権利や利益を侵害するなど、法律や行政法規で禁止されている行為を行ってはならず、また、アルゴリズム推奨サービスを利用して、法律や行政法規で禁止されている情報を流布してはならず、望ましくない情報の流布を防止し、抵抗するための措置を講じなければならない。
第七条 算法推荐服务提供者应当落实算法安全主体责任,建立健全算法机制机理审核、科技伦理审查、用户注册、信息发布审核、数据安全和个人信息保护、反电信网络诈骗、安全评估监测、安全事件应急处置等管理制度和技术措施,制定并公开算法推荐服务相关规则,配备与算法推荐服务规模相适应的专业人员和技术支撑。 第7条 アルゴリズム推奨サービス提供者は、アルゴリズムの安全性に関する主な責任を遂行し、アルゴリズムの仕組みの監査、科学技術の倫理審査、ユーザー登録、情報公開の監査、データの安全性と個人情報の保護、通信ネットワークの不正行為の防止、セキュリティの評価と監視、セキュリティ事故の緊急処理などの管理システムと技術的措置を確立し、改善し、アルゴリズム推奨サービスに関する規則を策定して公開し、アルゴリズム推奨サービスの規模に応じた専門スタッフと技術サポートを備えるべきであり、アルゴリズム推奨サービスの規模に見合った専門スタッフや技術サポートを提供する。
第八条 算法推荐服务提供者应当定期审核、评估、验证算法机制机理、模型、数据和应用结果等,不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型。 第8条 アルゴリズム推奨サービス提供者は、アルゴリズム機構の仕組み、モデル、データ、適用結果を定期的に見直し、評価、検証するものとし、ユーザーの耽溺や過剰消費を誘発するような、法令違反や倫理道徳に反するアルゴリズムモデルを設定してはならないものとする。
第九条 算法推荐服务提供者应当加强信息安全管理,建立健全用于识别违法和不良信息的特征库,完善入库标准、规则和程序。发现未作显著标识的算法生成合成信息的,应当作出显著标识后,方可继续传输。 第9条 アルゴリズム推奨サービス提供者は、情報セキュリティ管理を強化し、違法・望ましくない情報を特定するための特徴データベースを構築・改善し、データベースに入るための基準・規則・手順を改善しなければならない。 アルゴリズムで生成された合成情報がマークされていないことが判明した場合、その情報の送信を継続する前に、目立つようにマークしなければならない。
发现违法信息的,应当立即停止传输,采取消除等处置措施,防止信息扩散,保存有关记录,并向网信部门和有关部门报告。发现不良信息的,应当按照网络信息内容生态治理有关规定予以处置。 違法な情報を発見した場合は、直ちに送信を停止し、情報の拡散を防止するために排除などの処分を行い、記録を残し、インターネット情報部門や関連部門に報告すること。 好ましくない情報が発見された場合は、ネットワーク情報コンテンツのエコロジーガバナンスに関する関連規定に基づいて処分される。
第十条 算法推荐服务提供者应当加强用户模型和用户标签管理,完善记入用户模型的兴趣点规则和用户标签管理规则,不得将违法和不良信息关键词记入用户兴趣点或者作为用户标签并据以推送信息。 第10条 アルゴリズム推奨サービス提供者は、ユーザモデルとユーザタグの管理を強化し、ユーザモデルに記録されたインタレストポイントのルールとユーザタグの管理ルールを改善し、ユーザのインタレストポイントに違法で好ましくない情報のキーワードを記録したり、ユーザタグとして使用したりせず、それに応じて情報をプッシュするものとする。
第十一条 算法推荐服务提供者应当加强算法推荐服务版面页面生态管理,建立完善人工干预和用户自主选择机制,在首页首屏、热搜、精选、榜单类、弹窗等重点环节积极呈现符合主流价值导向的信息。 第11条 アルゴリズム推奨サービス提供者は、アルゴリズム推奨サービスのページのエコシステムの管理を強化し、ユーザーによる手動介入と独立した選択のメカニズムを確立・改善し、ホームページの最初の画面、ホット検索、選択済み、リスト・カテゴリー、ポップアップ・ウィンドウ、その他の重要なリンクに、主流の価値志向に沿った情報を積極的に提示するものとする。
第十二条 鼓励算法推荐服务提供者综合运用内容去重、打散干预等策略,并优化检索、排序、选择、推送、展示等规则的透明度和可解释性,避免对用户产生不良影响,预防和减少争议纠纷。 第12条 アルゴリズム推奨サービス提供者に対し、コンテンツの非重畳化や分割介入などの戦略を総合的に活用し、検索、ソート、選択、プッシュ、表示などのルールの透明性と解釈可能性を最適化することで、ユーザーへの悪影響を回避し、紛争や論争を防止・軽減することを奨励する。
第十三条 算法推荐服务提供者提供互联网新闻信息服务的,应当依法取得互联网新闻信息服务许可,规范开展互联网新闻信息采编发布服务、转载服务和传播平台服务,不得生成合成虚假新闻信息,不得传播非国家规定范围内的单位发布的新闻信息。 第13条 インターネットニュース情報サービスを提供するアルゴリズム推奨サービス提供者は、法律に基づいてインターネットニュース情報サービスライセンスを取得し、インターネットニュース情報の収集・編集・出版サービス、転載サービス、配信プラットフォームサービスを標準化し、合成された虚偽のニュース情報を生成したり、国家規定の範囲外のユニットが発行したニュース情報を配信したりしてはならない。
第十四条 算法推荐服务提供者不得利用算法虚假注册账号、非法交易账号、操纵用户账号或者虚假点赞、评论、转发,不得利用算法屏蔽信息、过度推荐、操纵榜单或者检索结果排序、控制热搜或者精选等干预信息呈现,实施影响网络舆论或者规避监督管理行为。 第14条 アルゴリズム推奨サービス提供者は、アルゴリズムを利用して、アカウントの虚偽登録、アカウントの不正取引、ユーザーアカウントの操作、虚偽の「いいね」「コメント」「転送」を行ったり、アルゴリズムを利用して、情報の遮断、過剰推奨、リストや検索結果の順位操作、ホット検索や選択の制御等を行い、情報の提示を妨害したり、オンライン世論に影響を与える行為を実施したり、監督管理を回避したりしてはならない。
第十五条 算法推荐服务提供者不得利用算法对其他互联网信息服务提供者进行不合理限制,或者妨碍、破坏其合法提供的互联网信息服务正常运行,实施垄断和不正当竞争行为。 第15条 アルゴリズム推奨サービス提供者は、アルゴリズムを利用して、他のインターネット情報サービス提供者を不当に制限したり、それらの者が合法的に提供するインターネット情報サービスの正常な運営を妨げたり、混乱させたり、独占や不正競争を実施してはならない。
第三章 用户权益保护 第3章 ユーザーの権利・利益の保護
第十六条 算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等。 第16条 アルゴリズム推奨サービス提供者は、アルゴリズム推奨サービスを提供していることを利用者に見やすい形で知らせ、アルゴリズム推奨サービスの基本理念、目的趣旨、主な動作メカニズム等を適切に公表しなければならない。
第十七条 算法推荐服务提供者应当向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项。用户选择关闭算法推荐服务的,算法推荐服务提供者应当立即停止提供相关服务。 第17条 アルゴリズム推奨サービス提供者は、ユーザーの個人的特徴を対象としない選択肢を提供するか、アルゴリズム推奨サービスをオフにする便利な選択肢をユーザーに提供しなければならない。 ユーザーがアルゴリズム推奨サービスの停止を選択した場合、アルゴリズム推奨サービス提供者は、直ちに当該サービスの提供を停止するものとします。
算法推荐服务提供者应当向用户提供选择或者删除用于算法推荐服务的针对其个人特征的用户标签的功能。 アルゴリズム推奨サービス提供者は、アルゴリズム推奨サービスに使用されるユーザータグを、ユーザーの個人的な特徴に合わせて選択または削除する機能をユーザーに提供する。
算法推荐服务提供者应用算法对用户权益造成重大影响的,应当依法予以说明并承担相应责任。 アルゴリズム推奨サービス提供者によるアルゴリズムの適用が、ユーザーの権利や利益に重大な影響を与える場合、法律に基づいて説明し、対応する責任を負わなければならない。
第十八条 算法推荐服务提供者向未成年人提供服务的,应当依法履行未成年人网络保护义务,并通过开发适合未成年人使用的模式、提供适合未成年人特点的服务等方式,便利未成年人获取有益身心健康的信息。 第18条 アルゴリズム推奨サービス提供者は、未成年者にサービスを提供する場合、未成年者の利用に適したモデルを開発し、その特性に適したサービスを提供することにより、法律に基づきインターネット上の未成年者を保護し、未成年者の心身の健康に有益な情報へのアクセスを容易にする義務を果たさなければならない。
算法推荐服务提供者不得向未成年人推送可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好等可能影响未成年人身心健康的信息,不得利用算法推荐服务诱导未成年人沉迷网络。 アルゴリズム推奨サービス提供者は、未成年者が危険な行為や社会道徳に反する行為を真似するきっかけとなる情報や、未成年者の悪い習慣を誘発する情報など、未成年者の心身の健康に影響を与えるような情報を未成年者にプッシュしたり、アルゴリズム推奨サービスを利用して未成年者のインターネット依存症を誘発するような行為をしてはならない。
第十九条 算法推荐服务提供者向老年人提供服务的,应当保障老年人依法享有的权益,充分考虑老年人出行、就医、消费、办事等需求,按照国家有关规定提供智能化适老服务,依法开展涉电信网络诈骗信息的监测、识别和处置,便利老年人安全使用算法推荐服务。 第19条 アルゴリズム推奨サービス提供者が高齢者にサービスを提供する場合、法律に基づいて高齢者の権利と利益を保護し、高齢者の旅行、医療、消費、ビジネスのニーズを十分に考慮し、国家の関連法規に基づいて年齢に応じたインテリジェントなサービスを提供し、法律に基づいて通信ネットワークの不正に関わる情報の監視、特定、処分を行い、高齢者によるアルゴリズム推奨サービスの安全な利用を促進しなければならない。
第二十条 算法推荐服务提供者向劳动者提供工作调度服务的,应当保护劳动者取得劳动报酬、休息休假等合法权益,建立完善平台订单分配、报酬构成及支付、工作时间、奖惩等相关算法。 第20条 労働者に仕事のスケジューリングサービスを提供するアルゴリズム推奨サービス提供者は、労働者が労働報酬、休息、休暇などを得る上での正当な権利と利益を保護し、プラットフォームの順序配分、報酬の構成と支払い、労働時間、報酬と罰などの関連アルゴリズムを確立し、改善しなければならない。
第二十一条 算法推荐服务提供者向消费者销售商品或者提供服务的,应当保护消费者公平交易的权利,不得根据消费者的偏好、交易习惯等特征,利用算法在交易价格等交易条件上实施不合理的差别待遇等违法行为。 第21条 アルゴリズム推奨サービス提供者が消費者に商品を販売し、またはサービスを提供する場合、公正な取引に対する消費者の権利を保護し、消費者の嗜好、取引習慣その他の特性に基づいて取引価格その他の取引条件において不当な差別的取扱いを行うなどの違法行為を実施するためにアルゴリズムを使用してはならない。
第二十二条 算法推荐服务提供者应当设置便捷有效的用户申诉和公众投诉、举报入口,明确处理流程和反馈时限,及时受理、处理并反馈处理结果。 第22条 アルゴリズム推奨サービス提供者は、ユーザーからの苦情や一般からの苦情・報告に対して、便利で効果的な入口を設け、処理プロセスやフィードバックの期限を明確にし、タイムリーに結果を受け取り、処理し、フィードバックするものとする。
第四章 监督管理 第4章 監督および管理
第二十三条 网信部门会同电信、公安、市场监管等有关部门建立算法分级分类安全管理制度,根据算法推荐服务的舆论属性或者社会动员能力、内容类别、用户规模、算法推荐技术处理的数据重要程度、对用户行为的干预程度等对算法推荐服务提供者实施分级分类管理。 第23条 インターネット情報部門は、電気通信、公安、市場監督やその他の関連部門と連携して、アルゴリズム分類のセキュリティ管理システムを確立するために、世論の属性や社会的動員力、コンテンツカテゴリ、ユーザーサイズのアルゴリズム推奨サービスによると、アルゴリズム推奨技術は、データの重要性に対処するために、ユーザーの行動や他のアルゴリズム推奨サービスプロバイダの介入の度合いは、階層的な分類管理を実装する。
第二十四条 具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续。 第24条 世論の属性または社会動員能力を有するアルゴリズム推奨サービス提供者は、サービス提供日から10営業日以内に、インターネット情報サービスのアルゴリズム報告記録システムを通じて、サービス提供者名、サービス形態、申請分野、アルゴリズムタイプ、アルゴリズム自己評価報告書、提案された公開コンテンツなどの情報を記入し、報告記録手続きを行うものとする。
算法推荐服务提供者的备案信息发生变更的,应当在变更之日起十个工作日内办理变更手续。 アルゴリズム推奨サービス提供者の報告記録情報を変更した場合は、変更した日から10営業日以内に変更手続きを行うものとする。
算法推荐服务提供者终止服务的,应当在终止服务之日起二十个工作日内办理注销备案手续,并作出妥善安排。 アルゴリズム推奨サービス提供者がサービスを終了する場合、サービス終了の日から20営業日以内に報告記録のキャンセル手続きを行い、適切な手配を行うものとする。
第二十五条 国家和省、自治区、直辖市网信部门收到备案人提交的备案材料后,材料齐全的,应当在三十个工作日内予以备案,发放备案编号并进行公示;材料不齐全的,不予备案,并应当在三十个工作日内通知备案人并说明理由。 第25条 中央政府直轄の国家・省・自治区・自治体のインターネット情報部門は、提出者から提出された報告記録資料を受け取った後、報告記録資料に不備がない場合は30営業日以内に発行し、提出番号を発行して公開し、報告記録資料に不備がある場合は発行せず、30営業日以内に提出者に通知して理由を説明しなければならない。
第二十六条 完成备案的算法推荐服务提供者应当在其对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。 第26条 アルゴリズム推奨サービス提供者の申請の完了は、その外部サービスのウェブサイト、アプリケーション等の目立つ位置に記録番号を表示し、公開情報へのリンクを提供するものとする。
第二十七条 具有舆论属性或者社会动员能力的算法推荐服务提供者应当按照国家有关规定开展安全评估。 第27条 世論の属性または社会動員能力を有するアルゴリズム推奨サービス提供者は、関連する国の規制に従ってセキュリティ評価を行うものとする。
第二十八条 网信部门会同电信、公安、市场监管等有关部门对算法推荐服务依法开展安全评估和监督检查工作,对发现的问题及时提出整改意见并限期整改。 第28条 電気通信と連携してインターネット情報部門、公安、市場監督とアルゴリズムの他の関連部門は、セキュリティ評価と監督と検査の仕事を遂行するために法律に基づいてサービスを推奨し、問題は是正のためのコメントと期限を提唱するタイムリーな方法で発見する。
算法推荐服务提供者应当依法留存网络日志,配合网信部门和电信、公安、市场监管等有关部门开展安全评估和监督检查工作,并提供必要的技术、数据等支持和协助。 アルゴリズム推奨サービス提供者は、法律に基づいてネットワークログを保持し、インターネット情報部門および電気通信、公安、市場監督などの関連部門と協力してセキュリティ評価および監督・検査作業を行い、必要な技術、データなどのサポートおよび支援を提供するものとします。
第二十九条 参与算法推荐服务安全评估和监督检查的相关机构和人员对在履行职责中知悉的个人隐私、个人信息和商业秘密应当依法予以保密,不得泄露或者非法向他人提供。 第29条 アルゴリズム推奨サービスのセキュリティ評価および監督・検査に携わる関係機関および人員は、法律に基づき、職務遂行上知り得た個人のプライバシー、個人情報および商業上の秘密を保持し、他人に開示したり、不正に提供したりしてはならない。
第三十条 任何组织和个人发现违反本规定行为的,可以向网信部门和有关部门投诉、举报。收到投诉、举报的部门应当及时依法处理。 第30条 この規定に違反する行為を発見した組織または個人は、インターネット情報部門および関連部門に苦情または報告を行うことができる。 苦情や報告を受けた部門は、法律に基づいて速やかに対処しなければならない。
第五章 法律责任 第5章 法的責任
第三十一条 算法推荐服务提供者违反本规定第七条、第八条、第九条第一款、第十条、第十四条、第十六条、第十七条、第二十二条、第二十四条、第二十六条规定,法律、行政法规有规定的,依照其规定;法律、行政法规没有规定的,由网信部门和电信、公安、市场监管等有关部门依据职责给予警告、通报批评,责令限期改正;拒不改正或者情节严重的,责令暂停信息更新,并处一万元以上十万元以下罚款。构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 第31条 アルゴリズム推奨サービス提供者は、第7条、第8条、第9条第1項、第10条、第14条、第16条、第17条、第22条、第24条、第26条の規定に違反しており、法律や行政法規に規定がある場合はその規定に従い、法律や行政法規に規定がない場合は、インターネット情報部門や電気通信、公安、市場監督などの関連部門は、その職務に基づき 警告、批判の通知、修正期限の命令、修正を拒否した場合、または状況が深刻な場合、情報更新の停止を命じ、1万元以上10万元以下の罰金を科す。 公安管理の違反となる場合は、法律に基づいて公安管理の処罰を行い、犯罪となる場合は、法律に基づいて刑事責任を追及する。
第三十二条 算法推荐服务提供者违反本规定第六条、第九条第二款、第十一条、第十三条、第十五条、第十八条、第十九条、第二十条、第二十一条、第二十七条、第二十八条第二款规定的,由网信部门和电信、公安、市场监管等有关部门依据职责,按照有关法律、行政法规和部门规章的规定予以处理。 第32条 アルゴリズム推奨サービス提供者が第6条、第9条第2項、第11条、第13条、第15条、第18条、第19条、第20条、第21条、第27条、第28条第2項の規定に違反した場合、インターネット情報部門および電気通信、公安、市場監督の関連部門は、その職務に基づき、関連法、行政法規、部門法規の規定に基づいて、以下を行う。 を処理しなければならない。
第三十三条 具有舆论属性或者社会动员能力的算法推荐服务提供者通过隐瞒有关情况、提供虚假材料等不正当手段取得备案的,由国家和省、自治区、直辖市网信部门予以撤销备案,给予警告、通报批评;情节严重的,责令暂停信息更新,并处一万元以上十万元以下罚款。 第33条 世論の属性または社会動員能力を有するアルゴリズム推奨サービス提供者は、関連情報を隠蔽したり、虚偽の資料を提供するなどの不適切な手段で報告記録をした場合、中央政府直轄の国家・省・自治区・市のインターネット情報部門は、報告記録を取り消し、警告、通報、批判を行い、状況が深刻な場合は、情報更新の停止を命じ、1万元以上10万元以下の罰金を科す。
具有舆论属性或者社会动员能力的算法推荐服务提供者终止服务未按照本规定第二十四条第三款要求办理注销备案手续,或者发生严重违法情形受到责令关闭网站、吊销相关业务许可证或者吊销营业执照等行政处罚的,由国家和省、自治区、直辖市网信部门予以注销备案。 世論の属性または社会動員能力を有するアルゴリズム推奨サービス提供者は、報告記録手続きのキャンセルの規定の第24条第3項の要件に準拠してサービスを終了することを推奨し、またはそのようなウェブサイトの閉鎖を要求するなどの行政処分の対象となる状況の重大な違反の発生は、関連するビジネスライセンスの失効または事業免許の取り消し、状態と省、自治区、直接中央インターネット部門の下にある自治体は、報告記録をキャンセルする。
第六章 附 则 第6章 附則
第三十四条 本规定由国家互联网信息办公室会同工业和信息化部、公安部、国家市场监督管理总局负责解释。 第34条 本規定は、国家サイバースペース管理局が工業・情報技術省、公安省、国家市場管理局と共同で解釈するものとする。
第三十五条 本规定自2022年3月1日起施行。 第35条 この規定は、2022年3月1日から施行する。

 

 

 

 

 

1_20210612030101

 


 

● まるちゃんの情報セキュリティきまぐれ日記

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

 

| | Comments (0)

中国 ネットワークセキュリティ審査弁法

こんにちは、丸山満彦です。

中国サイバースペース管理局が2021年12月28日にネットワークセキュリティ審査弁法が改定発行され、2022年2月15日に施行すると公表していますね。。。

情報サービス業が安全保障に与える影響を踏まえたの規制という感じでしょうかね。。。

100万人以上のユーザーの個人情報を保有している重要情報インフラ事業者が海外で株式公開する場合、サイバーセキュリティ審査室にサイバーセキュリティクリアランスを提出しなければならないようですね。。。(第7条)

たくさんの省庁が連携していますね。。。

国家互联网信息办公室 国家サイバースペース管理局
中华人民共和国国家发展和改革委员会 中華人民共和国国家発展改革委員会
中华人民共和国工业和信息化部 中華人民共和国工業情報化部
中华人民共和国公安部 中華人民共和国公安部
中华人民共和国国家安全部 中華人民共和国国家安全部
中华人民共和国财政部 中華人民共和国財政部
中华人民共和国商务部 中華人民共和国商務部
中国人民银行 中国人民銀行
国家市场监督管理总局 国家市場監督管理局
国家广播电视总局 国家ラジオ・テレビ総局
中国证券监督管理委员会 中国証券監督管理委員会
国家保密局 国家機密局
国家密码管理局 国家暗号管理局

 

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

2022.01.04 网络安全审查办法
ネットワークセキュリティ審査弁法

 

网络安全审查办法 ネットワークセキュリティ審査弁法
《网络安全审查办法》已经2021年11月16日国家互联网信息办公室2021年第20次室务会议审议通过,并经国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局同意,现予公布,自2022年2月15日起施行。 ネットワークセキュリティ審査弁法は、国家サイバースペース管理局が2021年11月16日に開催した第20回室内会議で検討・採択され、国家発展改革委員会、工業情報化部、公安部、国家安全部、財政部、商務部、中国人民銀行、国家市場管理局、国家ラジオ・テレビ管理局、中国証券監督管理委員会、国家秘密局と国家暗号管理局が合意したので、ここに公布し、2022年2月15日から施行することとする。
2021年12月28日 2021年12月28日
网络安全审查办法 ネットワークセキュリティ審査弁法
第一条 为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》,制定本办法。 第1条 本弁法は、重要情報インフラのサプライチェーンのセキュリティを確保し、ネットワークセキュリティとデータセキュリティを保護し、国家安全保障を維持するために、中華人民共和国国家安全保障法、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、重要情報インフラのセキュリティ保護に関する規則に基づいて制定される。
第二条 关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。 第2条 重要情報インフラ事業者がネットワーク製品・サービスを調達する場合、およびネットワーク・プラットフォーム事業者が国家安全保障に影響を与える、または影響を与える可能性のあるデータ処理活動を行う場合、本弁法に基づきネットワーク・セキュリティ・レビューを行うものとする。
前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人。 前項の重要情報インフラ事業者およびネットワークプラットフォーム事業者を総称して関係者という。
第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。 第3条 ネットワークセキュリティ審査は、ネットワークセキュリティリスクの防止と先端技術の応用の促進の組み合わせ、公正で透明なプロセスと知的財産権保護の組み合わせ、事前審査と継続的な監督の組み合わせ、企業のコミットメントと社会的監督の組み合わせ、セキュリティと起こりうる国家安全保障上のリスクの観点からの製品・サービスおよびデータ処理活動の見直しを主張するものとする。
第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。 第4条 国家サイバースペース管理局は、ネットワークセキュリティ・情報化中央委員会の指導の下、中華人民共和国国家発展改革委員会、中華人民共和国工業情報化部、中華人民共和国公安部、中華人民共和国財政部、中華人民共和国商務部、中国人民銀行、国家市場管理局、ラジオ・テレビ総局、中国証券監督管理委員会、国家機密局、国家暗号管理局と共に、国家ネットワークセキュリティ審査機構を構築する。
网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。 ネットワークセキュリティ審査室は、国家サイバースペース管理局に設置され、ネットワークセキュリティ審査に関連するシステム仕様の策定や、ネットワークセキュリティ審査の組織化を担当する。
第五条 关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。 第5条 重要インフラ事業者は、ネットワーク製品及びサービスを調達する場合には、当該製品及びサービスの利用開始後にもたらされる可能性のある国家安全保障上のリスクを予見しなければならない。 国家安全保障に影響を与える、または影響を与える可能性がある場合は、ネットワークセキュリティ審査室に申告しなければならない。
关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。 重要な情報インフラのセキュリティ保護に取り組んでいる部署では、それぞれの業界や分野で事前判断のガイドラインを策定することができる。
第六条 对于申报网络安全审查的采购活动,关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。 第6条 重要情報インフラ事業者は、ネットワークセキュリティ審査のために宣言された調達活動について、製品・サービス提供者に対して、製品・サービス提供の利便性を利用して利用者データを不正に取得したり、利用者の機器を不正に制御・操作したりしないこと、正当な理由なく製品の供給や必要な技術サポートサービスを中断しないことなどの約束を含む、調達文書や契約を通じて、ネットワークセキュリティ審査に協力することを求めるものとする。
第七条 掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。 第7条 100万人以上のユーザーの個人情報を保有しているオンラインプラットフォーム事業者が海外で株式公開する場合、ネットワークセキュリティ審査室にネットワークセキュリティクリアランスを提出しなければならない。
第八条 当事人申报网络安全审查,应当提交以下材料: 第8条 ネットワークセキュリティ審査を宣言する当事者は、以下の資料を提出するものとする。
(一)申报书; (1) 宣言
(二)关于影响或者可能影响国家安全的分析报告; (2) 国家安全保障への影響、または影響の可能性に関する分析レポート
(三)采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件; (3) 調達書類、契約書、契約書の締結、新規株式公開(IPO)などの上場申請書類の提出
(四)网络安全审查工作需要的其他材料。 (4) その他、ネットワークセキュリティレビュー作業に必要な資料
第九条 网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内,确定是否需要审查并书面通知当事人。 第9条 ネットワークセキュリティ審査室は、本弁法第8条の要件を満たす審査申告資料の受領から10営業日以内に、審査が必要かどうかを判断し、当事者に書面で通知する。
第十条 网络安全审查重点评估相关对象或者情形的以下国家安全风险因素: 第10条 ネットワークセキュリティ審査は、関連する対象物または状況の以下の国家安全保障上のリスク要因を評価することに重点を置く。
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险; (1) 製品およびサービスの使用によってもたらされる重要な情報インフラの不正な制御、妨害または損害のリスク
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害; (2) 製品やサービスの供給の途絶から生じる重要な情報インフラの事業継続性への危険性
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险; (3) 製品およびサービスの安全性、公開性、透明性、ソースの多様性、供給ルートの信頼性、および政治的、外交的、貿易的、その他の要因による供給途絶の危険性
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况; (4) 製品およびサービス提供者による中国の法律、行政規則、部門規則の遵守
(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险; (5) コアデータ、重要データ、大量の個人情報の盗難、漏洩、破壊、不正使用、不正越境のリスク
(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险; (6) リストアップされた重要な情報インフラ、コアデータ、重要なデータ、または大量の個人情報が、外国政府によって影響を受け、コントロールされ、または悪意を持って使用されるリスク、およびネットワーク情報セキュリティのリスク
(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。 (7)重要な情報インフラのセキュリティ、ネットワークセキュリティ、データセキュリティを危険にさらす可能性のあるその他の要因。
第十一条 网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日。 第11条 ネットワークセキュリティ審査室がネットワークセキュリティ審査を行う必要があると判断した場合、関係者に書面で通知した日から30営業日以内に予備審査を完了し、審査結論の勧告を形成し、ネットワークセキュリティ審査作業機構のメンバーおよび関連部門に審査結論の勧告を送付してコメントを求めなければならない。複雑なケースでは、期間を15営業日延長することができる。
第十二条 网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。 第12条 ネットワークセキュリティ審査室のメンバーおよび関連部門は、審査結論案の受領日から15営業日以内に、コメントに対して書面で回答しなければならない。
网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办公室以书面形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理,并通知当事人。 ネットワークセキュリティ審査室のメンバーおよび関連部門の意見が一致している場合、ネットワークセキュリティ審査室は、審査の結論を書面で関係者に通知する。意見が一致していない場合、審査は特別な審査手順に従って処理され、関係者に通知されるものとする。
第十三条 按照特别审查程序处理的,网络安全审查办公室应当听取相关单位和部门意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知当事人。 第13条 ネットワークセキュリティ審査室は、特別審査の手続きに基づき、関連するユニットや部門の意見を聴取し、綿密な分析・評価を行い、再度審査結論案を策定し、ネットワークセキュリティ審査室のメンバーや関連部門の意見を求め、中央ネットワークセキュリティ・情報化委員会に報告し、手続きに基づいて承認を得た後、審査結論を策定し、書面で当事者に通知する。
第十四条 特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。 第14条 特別審査手続は、通常、90営業日以内に完了するものとするが、複雑な場合には延長することができる。
第十五条 网络安全审查办公室要求提供补充材料的,当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。 第15条 ネットワークセキュリティ審査室が追加資料を要求する場合、当事者、製品およびサービス提供者は協力するものとする。 補足資料を提出する時間は、審査時間の一部としてカウントされない。
第十六条 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。 第16条 ネットワークセキュリティ審査室のメンバーが国家安全保障に影響を与える、または影響を与える可能性があると考えるネットワーク製品・サービスおよびデータ処理活動は、ネットワークセキュリティ審査室が中央ネットワークセキュリティ・情報化委員会に報告し、本弁法の規定に従って承認を求め、審査を受けるものとする。
为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。 リスクを防止するために、関係者はネットワークセキュリティレビューの要求事項に従って、レビュー中のリスクを防止・軽減するための対策を講じるものとする。
第十七条 参与网络安全审查的相关机构和人员应当严格保护知识产权,对在审查工作中知悉的商业秘密、个人信息,当事人、产品和服务提供者提交的未公开材料,以及其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或者用于审查以外的目的。 第17条 ネットワークセキュリティ審査に携わる関係機関および担当者は、商業秘密、個人情報、当事者が提出した未公開資料、製品・サービス提供者、その他審査で知り得た未公開情報について、知的財産権を厳格に保護し、守秘義務を負うものとし、情報提供者の同意を得ずに無関係の者に開示したり、審査以外の目的で使用したりしてはならない。
第十八条 当事人或者网络产品和服务提供者认为审查人员有失客观公正,或者未能对审查工作中知悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。 第18条 ネットワーク製品・サービスの当事者または提供者は、審査員が客観的かつ公平でないと判断した場合、または審査で知り得た情報に関して守秘義務を負っていないと判断した場合、ネットワークセキュリティ審査室または関連部門に報告することができる。
第十九条 当事人应当督促产品和服务提供者履行网络安全审查中作出的承诺。 第19条 当事者は、製品およびサービス提供者に対し、ネットワークセキュリティレビューで行われたコミットメントを履行するよう促すものとする。
网络安全审查办公室通过接受举报等形式加强事前事中事后监督。 ネットワークセキュリティ審査室は、報告書等を受け付けることにより、事前、中間、事後の監督を強化する。
第二十条 当事人违反本办法规定的,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。 第20条 当事者がこれらの措置の規定に違反した場合、中華人民共和国ネットワークセキュリティ法および中華人民共和国データセキュリティ法の規定に基づいて対処する。
第二十一条 本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。 第21条 本弁法でいうネットワーク製品・サービスとは、主に基幹ネットワーク機器、重要通信製品、高性能コンピュータ・サーバ、大容量記憶装置、大容量データベース・アプリケーションソフトウェア、ネットワークセキュリティ機器、クラウドコンピューティングサービスなど、重要な情報インフラのセキュリティ、ネットワークセキュリティ、データセキュリティに重要な影響を与えるネットワーク製品・サービスを指すものとする。
第二十二条 涉及国家秘密信息的,依照国家有关保密规定执行。 第22条 国家機密情報が関係する場合は、関連する国家機密規定に基づいて実施するものとする。
国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定。 国がデータセキュリティ審査や外資セキュリティ審査に関する他の規定を設けている場合は、その規定にも従うものとする。
第二十三条 本办法自2022年2月15日起施行。2020年4月13日公布的《网络安全审查办法》(国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局令第6号)同时废止。 第23条 本弁法は2022年2月15日に発効する。2020年4月13日に公布された「ネットワークセキュリティ審査弁法」(国家サイバースペース管理局、国家発展改革委員会、工業・情報技術部、公安部、国家安全部、財政部、商務部、中国人民銀行、国家市場監督管理局、国家ラジオ・テレビ管理局、国家秘密局、国家 (国家暗号管理局の命令第6号)も同時に廃止される。

 

1_20210612030101


 

● まるちゃんの情報セキュリティきまぐれ日記

・2022.01.03 中国 全国人民大会 個人情報保護法についての記事

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年国家情報化計画」を発表していますね。。。

・2021.12.28 中国 全国人民大会 法の支配に向かうデータセキュリティ

・2021.12.27 中国 通信院 テレマティックス白書と量子情報技術の開発と応用に関する調査報告書

・2021.12.26 中国 インターネット上の宗教情報サービスの管理に関する弁法

・2021.12.25 中国 意見募集 産業情報技術分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)

・2021.12.24 中国 通信院 グローバルデジタルガバナンス白書、ブロックチェーン白書、デジタルツインシティ白書、デジタルカーボンニュートラル白書、ビッグデータ白書、インターネット法白書

・2021.12.12 中国 サイバースペース管理局が、CNCERTと中国サイバースペースセキュリティ協会が、アプリによる個人情報の違法・不正な収集・利用に関する監視・分析レポートを発表したと公表していますね。。。

・2021.11.28 中国 国家サイバースペース管理局が「芸能スターのオンライン情報の規制に関連する業務の更なる強化に関する通知」を公表していますね。。。

・2021.11.21 中国通信院 モバイルインターネットアプリケーション(APP)の個人情報保護ガバナンスに関するホワイトペーパー

・2021.11.20 中国 インターネットの法の支配についての普及・教育計画

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.11.01 中国 意見募集 インターネットユーザアカウント名情報の管理に関する規則

・2021.10.22 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

・2021.10.13 中国 TC260 15のセキュリティ関連の標準を決定

・2021.10.04 中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.30 中国 2021年のサイバーセキュリティに関する国家標準プロジェクトリスト

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定(試行)が公表されていますね。。。at 2021.08.16

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2021.08.13 中国 意見募集 「情報セキュリティ技術 情報システムセキュリティ保証評価フレームワーク第1部:導入と一般モデル」の国家標準の改訂案を発表し、意見募集していますね。。。at 2021.07.23

・2021.08.11 中国 通信院 プライバシーコンピューティング白書 (2021) at 2021.07.21

・2021.08.04 中国 通信院 クラウドコンピューティング白書

・2021.07.25 中国 CNCERT / CCが2020年のインターネットセキュリティ報告書を公開

・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

・2021.07.14 中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」

・2021.07.11 中国サイバースペース管理局が「运满满」、「货车帮」、「BOSS直聘」にサイバーセキュリティ審査を開始し、新規ユーザ登録を停止していますね。。。

・2021.07.05 中国 NY証券取引所に2021.06.30に上場した配車サービス「滴滴出行」が個人情報の取扱が不適切としてアプリの提供を2021.07.04に禁止される

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2021.05.20 中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12

・2021.05.19 中国 スパイ対策のセキュリティ作業を強化・標準化する等のための「スパイ活動のセキュリティ対策規定」を制定していました...

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.02 デジタルチャイナの情報セキュリティ・プライバシーに対する中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)の記事

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2020.12.17 中国 セキュリティ評価に合格したクラウドプラットフォーム

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)

・2020.10.29 中国中央銀行がクラウドコンピューティングテクノロジーに関する3つの金融業界標準を発表しましたね。。。

・2020.10.20 中国 パブコメ 商業銀行法改正 商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

・2020.09.10 中国が「グローバル データ セキュリティ イニシアティブ」構想を米国の「クリーン ネットワーク」プログラム発表の1ヶ月後に提案

・2020.07.06 中国のデータセキュリティ法案

 

これ、前のバージョンです。。。

・2020.06.09 中国 「サイバーセキュリティー審査弁法」が6月1日より施行されましたね。。。

・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。

・2020.02.22 中国サイバーセキュリティ関連組織・・・

・2020.02.21 中国のサイバーセキュリティ法(CCSL)関係

・2020.02.04 中国が情報セキュリティ関連の国家標準のパブコメを18件出していました・・・

 

かなり遡りますが、、、

・2005.09.27 中国 新規則策定 ネット上で非合法な集会・デモ禁止

 

| | Comments (0)

欧州データ保護委員会 (EDPB) ガイドライン01/2021「個人情報漏洩の通知に関する事例」Version 2.0

こんにちは、丸山満彦です。

欧州データ保護委員会 (EDPB) が2021年12月14日に採択されたガイドライン01/2021「個人情報漏洩の通知に関する事例」Version 2.0を公開していますね。。。

このガイドラインは、GDPR施行後の監督官庁が得た経験を基に、第29条作業部会 (WP29) の「規則2016/679に基づく個人データ侵害通知に関するガイドライン」(WP250)を補完するものですね。。。

  • データ管理者がデータ侵害にどのように対処するか
  • リスク評価の際にどのような要因を考慮すべきか

を決定する際に役立つような、事例に基づく実践的なガイダンスとなっていますね。。。

このガイドラインでは、様々なデータ侵害例を、

  • 事前のセキュリティ対策の例
  • 侵害をどのように評価するか、

と共に、

  • 緩和策
  • GDPRに基づく報告義務

の両方の観点から、侵害にどのように対応するかについて例示していますね。

事例は、次の6つのカテゴリーに、

  • ランサムウェア
  • データ流出攻撃
  • 内部の人的リスク要因
  • デバイスおよび紙文書の紛失または盗難
  • 郵送ミス
  • その他の事例 - ソーシャルエンジニアリング

18の事例を紹介していますね。。。

 

European Data Protection Board: EDPB

・2022.01.03 Guidelines 01/2021 on Examples regarding Personal Data Breach Notification

・[PDF

20220104-232957

 

1 INTRODUCTION 1 初めに
2 RANSOMWARE 2 ランサムウェア
2.1 CASE No. 01: Ransomware with proper backup and without exfiltration 2.1 事例01:適切なバックアップがあり、流出しないランサムウェア
2.2 CASE No. 02: Ransomware without proper backup 2.2 事例02:適切なバックアップがないランサムウェア
2.3 CASE No. 03: Ransomware with backup and without exfiltration in a hospital 2.3 事例03:病院内でのバックアップあり、流出なしのランサムウェア
2.4 CASE No. 04: Ransomware without backup and with exfiltration 2.4 事例04:バックアップなし、流出ありのランサムウェア
2.5 Organizational and technical measures for preventing / mitigating the impacts of ransomware attacks 2.5 ランサムウェア攻撃の影響を防止/緩和するための組織的/技術的対策
3 Data Exfiltration ATTACKS 3 データ流出攻撃
3.1 CASE No. 05: Exfiltration of job application data from a website 3.1 事例05:ウェブサイトからの求人応募データの流出
3.2 CASE No. 06: Exfiltration of hashed password from a website 3.2 事例06:Web サイトからのハッシュ化されたパスワードの流出
3.3 CASE No. 07: Credential stuffing attack on a banking website 3.3 事例07:銀行サイトへのクレデンシャルスタッフィング攻撃
3.4 Organizational and technical measures for preventing / mitigating the impacts of hacker attacks 3.4 ハッカー攻撃の影響を防止/緩和するための組織的/技術的対策
4 INTERNAL HUMAN RISK SOURCE 4 内部の人的リスク要因
4.1 CASE No. 08: Exfiltration of business data by an employee 4.1 事例08:従業員による業務データの流出
4.2 CASE No. 09: Accidental transmission of data to a trusted third party 4.2 事例09:信頼できる第三者への誤ったデータ送信
4.3 Organizational and technical measures for preventing / mitigating the impacts of internal human risk sources
4.3 内部の人的リスク要因の影響を防止/緩和するための組織的/技術的対策
5 LOST OR STOLEN DEVICES AND PAPER DOCUMENTS 5 デバイスおよび紙文書の紛失または盗難
5.1 CASE No. 10: Stolen material storing encrypted personal data 5.1 事例10:暗号化された個人データを保存した資料の盗難
5.2 CASE No. 11: Stolen material storing non-encrypted personal data 5.2 事例11:暗号化されていない個人情報を保管している盗難物
5.3 CASE No. 12: Stolen paper files with sensitive data 5.3 事例12:センシティブなデータを含む紙のファイルの盗難
5.4 Organizational and technical measures for preventing / mitigating the impacts of loss or theft of devices 5.4 デバイスの紛失または盗難の影響を防止/軽減するための組織的/技術的措置
6 MISPOSTAL 6 郵送ミス
6.1 CASE No. 13: Postal mail mistake 6.1 事例13:郵便物の間違い
6.2 CASE No. 14: Highly confidential personal data sent by mail by mistake 6.2 事例14:ミスによる機密性の高い個人情報の送信

6.3 CASE No. 15: Personal data sent by mail by mistake 6.3 事例15:ミスによる個人情報の送信
6.4 CASE No. 16: Postal mail mistake 6.4 事例16:郵便物の誤送信
6.5 Organizational and technical measures for preventing / mitigating the impacts of mispostal 6.5 誤配の影響を防止/緩和するための組織的/技術的対策
7 Other Cases – Social Engineering 7 その他の事例 - ソーシャルエンジニアリング
7.1 CASE No. 17: Identity theft 7.1 事例17 - ID窃盗
7.2 CASE No. 18: Email exfiltration 7.2 事例18:電子メール漏えい

 

| | Comments (0)

2022.01.04

NISTIR 8389(ドラフト)オープンバンキング技術と先端標準に関するサイバーセキュリティ上の考慮事項

こんにちは、丸山満彦です。

NISTが NISTIR 8389(ドラフト)オープンバンキング技術と先端標準に関するサイバーセキュリティ上の考慮事項を公表し、意見募集をしていますね。。。

NIST - ITL

・2022.01.03 NISTIR 8389 (Draft) Cybersecurity Considerations for Open Banking Technology and Emerging Standards

 

NISTIR 8389 (Draft) Cybersecurity Considerations for Open Banking Technology and Emerging Standards NISTIR 8389(ドラフト)オープンバンキング技術と先端標準に関するサイバーセキュリティ上の考慮事項
Announcement 発表内容
“Open banking” (OB) refers to a new financial ecosystem that provides more choices to individuals and small and mid-size businesses concerning the movement of their money, as well as information between financial institutions. Open banking is already being used in several countries around the world, however, it is yet to be adopted in the United States. Anytime a system becomes more transparent, a potential for abuse occurs, and for open banking, that would be at the API level. 「オープンバンキング(OB)」とは、個人や中小企業が金融機関間での資金や情報の移動について、より多くの選択肢を提供する新しい金融エコシステムのことです。オープンバンキングは、すでに世界のいくつかの国で採用されていますが、米国ではまだ採用されていません。システムの透明性が高まると、悪用される可能性が出てきますが、オープンバンキングの場合は、APIレベルでの悪用が考えられます。
This report contains a definition and description of open banking, its activities, enablers, and cybersecurity, and privacy challenges. This report is not intended to be a promotion of OB within the U.S but rather a factual description of the technology and how various countries have implemented it. Any proposal of a specific API that would be compatible across heterogeneous systems was purposely avoided in this report. 本報告書では、オープンバンキングの定義と説明、その活動、実現要因、サイバーセキュリティとプライバシーの課題について述べています。本報告書は、米国内でのOBの推進を目的としたものではなく、技術の事実関係や各国での導入状況を説明するものです。異種システム間で互換性のある特定のAPIを提案することは、本報告書では意図的に避けている。
Abstract 概要
“Open banking” refers to a new financial ecosystem that is governed by specific security profiles, application interfaces, and guidelines with the objective of improving customer choices and experiences. Open banking ecosystems aim to provide more choices to individuals and small and mid-size businesses concerning the movement of their money, as well as information between financial institutions. Open baking also aims to make it easier for new financial service providers to enter the financial business sector. This report contains a definition and description of open banking, its activities, enablers, and cybersecurity and privacy challenges. Open banking use cases are also presented. 「オープンバンキング」とは、顧客の選択肢と体験を向上させることを目的とした、特定のセキュリティプロファイル、アプリケーションインターフェース、ガイドラインによって管理される新しい金融エコシステムのことです。オープンバンキングのエコシステムは、個人や中小企業が金融機関間でのお金や情報の移動に関して、より多くの選択肢を提供することを目的としています。また、オープンバンキングは、新しい金融サービスプロバイダーが金融ビジネス分野に参入しやすくすることも目的としています。本報告書では、オープンバンキングの定義と説明、その活動内容、実現要因、サイバーセキュリティとプライバシーに関する課題などを紹介しています。また、オープンバンキングのユースケースも紹介しています。

・[PDF] NISTIR 8389 (Draft)

20220104-80931

1 Introduction 1 はじめに
1.1 Fundamental Banking Functions Provided by Financial Institutions 1.1 金融機関が提供する基本的な銀行機能
1.2 Multiple Financial Institutions 1.2 複数の金融機関
1.3 Open Banking Defined 1.3 オープンバンキングの定義
2 Use Cases 2 ユースケース
3 Differences from Conventional e-Banking and Peer-To-Peer Financial Platforms 3 従来のe-バンキングやPeer-To-Peer金融プラットフォームとの違い
4 Survey of Open Banking Approaches Around the World 4 世界各国のオープンバンキングの取り組みに関する調査
4.1 European Union and United Kingdom 4.1 欧州連合と英国
4.1.1 Development of open-banking standards and API specifications 4.1.1 オープンバンキングの標準とAPI仕様の策定
4.1.2 From Open Banking to “Open Finance” 4.1.2 オープンバンキングから "オープンファイナンス "へ
4.1.3 The Impact of Privacy and Cybersecurity Considerations 4.1.3 プライバシーとサイバーセキュリティへの配慮の影響
4.2 Australia 4.2 オーストラリア
4.3 India 4.3 インド
4.4 United States 4.4 米国
4.5 Other Countries 4.5 その他の国々
5 Positive Outcomes and Risks 5 肯定的な結果とリスク
6 Software and Security Practices in Banking-Related Areas 6 銀行関連分野におけるソフトウェアとセキュリティの実務
7 API Security: Widely Deployed Approaches and Challenges 7 APIセキュリティ:広く普及しているアプローチと課題
7.1 Intrabank APIs 7.1 銀行内API
7.2 Interbank APIs 7.2 銀行間API
7.3 API Security 7.3 APIセキュリティ
8 Privacy Relations to NIST and Other Standard Frameworks 8 NISTや他の標準フレームワークとプライバシーの関係
9 Conclusion 9 結論
References 参考文献
List of Appendices 附属書リスト
Appendix A— Acronyms 附属書A - 頭字語
Appendix B— Glossary 附属書B - 用語集

 

・[DOCX] 仮訳

 

| | Comments (0)

«内閣官房 経済安全保障法制に関する有識者会 第2回