2024.05.22

EU 欧州理事会がサイバーの安全性と抗堪性を強化するための結論書を承認

こんにちは、丸山満彦です。

欧州理事会がサイバーの安全性と抗堪性を強化するための結論書を承認していますね...

サイバーの安全で(Secure)と抗堪性がある(Resillient)EUを構築するための「指針を示し」、「原則を定める」ことを目的とし、サイバーセキュリティの将来に関する結論書ということのようです...

サイバーセキュリティ認証スキーム(EUCC)については、サイバーセキュリティ法の下で最初に採択されたスキームとして歓迎する一方、欧州のサイバーセキュリティ認証スキームの発展が遅々として進まず、困難であることに懸念をもっているようですね...

将来に関しては、AI、量子技術、6Gに備えろ...って感じですかね...

 

European Counsil

・ 2024.05.21 Cybersecurity: Council approves conclusions for a more cyber secure and resilient Union

Cybersecurity: Council approves conclusions for a more cyber secure and resilient Union サイバーセキュリティ 欧州理事会、サイバーの安全性と抗堪性を強化するための結論書を承認
The Council has approved conclusions on the future of cybersecurity aiming to provide guidance and setting the principles towards building a more cybersecure and more resilient Union. 欧州理事会は、よりサイバーセキュアでレジリエンスに優れたEUを構築するための指針を示し、原則を定めることを目的とした、サイバーセキュリティの将来に関する結論書を承認した。
The importance of cybersecurity can hardly be underestimated. In the last years, cyber security threats have significantly increased in level, complexity, and scale. This has gone along with a significant increase in global geopolitical tensions. サイバーセキュリティの重要性を過小評価することはできない。ここ数年、サイバーセキュリティの脅威は、そのレベル、複雑さ、規模において著しく増大している。これは、世界的な地政学的緊張の大幅な高まりと相まっている。
"Cybersecurity operates on multiple levels, ensuring the safety of our businesses, governments, and our citizens. Everyone deserves a secure internet and the peace of mind that comes with it. Everyone deserves to feel safe, both online and offline. We must build a robust and resilient digital world through proactive measures and international cooperation." 「サイバーセキュリティは、企業、政府、市民の安全を確保するために、複数のレベルで機能している。誰もが安全なインターネットとそれに伴う安心感を得る権利がある。オンラインでもオフラインでも、誰もが安全だと感じる権利がある。我々は、積極的な対策と国際協力を通じて、堅牢でレジリエンスの高いデジタル世界を構築しなければならない。」
Petra de Sutter, Belgian deputy prime and minister of public administration, public enterprises, telecommunication, and postal services ペトラ・デ・スッター、ベルギー副首相兼行政・エンタープライズ・電気通信・郵便大臣
”Today we set out the principles for the next steps in building a more cyber secure and resilient Union. Focusing on implementation, adoption of harmonised standards, certification, supply chain security, cooperation with the private sector, support for SMEs and adequate funding should be among our main priorities for the future.” 「本日、我々は、よりサイバーセキュアでレジリエンスの高いEUを構築するための次のステップの原則を定めた。実施、統一標準の採用、認証、サプライチェーンセキュリティ、民間セクターとの協力、中小企業への支援、適切な資金調達に重点を置くことが、今後の主要な優先事項のひとつである。」
Mathieu Michel, Belgian Secretary of State for digitisation, administrative simplification, privacy protection, and the building regulation マチュー・ミシェル、ベルギー国務長官(デジタル化、行政簡素化、プライバシー保護、建築規制担当
The Council conclusions recall the importance to focus on implementation, strengthen coordination and collaboration, and avoid fragmentation of cybersecurity rules in sectorial legislation. They also call to further clarify roles and responsibilities in the cyber domain, to strengthen the cooperation in the fight against cybercrime, and to work on a revised blueprint of the cyber crisis management framework. The support to micro, small and medium size enterprises, and the need to respond to the challenges presented by the new technologies are also highlighted. 理事会結論は、実施に焦点を当て、調整と協力を強化し、セクター別法制におけるサイバーセキュリティ規則の断片化を避けることの重要性を想起している。また、サイバー領域における役割と責任をさらに明確にし、サイバー犯罪との闘いにおける協力を強化し、サイバー危機管理枠組みの青写真の改訂に取り組むよう求めている。また、零細・中小企業への支援や、新技術がもたらす課題への対応の必要性も強調されている。
A multistakeholder approach, including cooperation with the private sector and academia is encouraged to close the skills gap. Stressing the importance to attract private capital, the Council conclusions emphasise the need for adequate funding. The external dimension is also highlighted, recalling that an active international policy would be needed to strengthen cooperation with third countries, particularly in the transatlantic context, as a contribution to a strong international ecosystem. In light of the changed and rising threat level, the Council finally invites the European Commission and the High Representative to present a revised cybersecurity strategy. スキルギャップを埋めるため、民間企業や学界との協力を含むマルチステークホルダー・アプローチが奨励される。民間資本を呼び込むことの重要性を強調し、理事会結論は適切な資金調達の必要性を強調している。また、対外的な側面も強調され、強力な国際的エコシステムへの貢献として、特に大西洋横断的な文脈における第三国との協力を強化するために、積極的な国際政策が必要であることが想起される。脅威のレベルの変化と高まりを踏まえ、理事会は最終的に欧州委員会と上級代表者に対し、サイバーセキュリティ戦略の改訂版を提示するよう要請した。
Council conclusions on the future of cybersecurity: implement and protect together サイバーセキュリティの将来に関する理事会結論:共に実施し、共に保護する

 

・[PDF] Council Conclusions on the Future of Cybersecurity: implement and protect together

20240522-55632

 

 

附属書...

ANNEX  附属書 
Council Conclusions on the future of cybersecurity - Implement and protect together -  サイバーセキュリティの将来に関する理事会結論 - 共に実施し、共に保護する - 2024 年 5 月 21 日に開催された理事会会合で承認された。
THE COUNCIL OF THE EUROPEAN UNION,  欧州連合理事会 
RECALLING its conclusions and actions on:  以下に関する結論と行動を想起する: 
– The Joint Communication of 25 June 2013 to the European Parliament and the Council on the Cybersecurity Strategy for the European Union: “An Open, Safe and Secure Cyberspace”[1],  - 欧州連合(EU)のサイバーセキュリティ戦略に関する2013年6月25日の欧州議会および理事会への共同コミュニケーション: 「オープンで安全かつセキュアなサイバー空間」[1]、 
– EU Cyber Defence Policy Framework[2],  - EUサイバー防衛政策枠組み[2]、 
– Internet Governance[3],  - インターネット・ガバナンス[3]、 
– Cyber Diplomacy[4],  - サイバー外交[4]、 
– Strengthening Europe’s Cyber Resilience System and Fostering a Competitive and Innovative Cybersecurity Industry[5],  - 欧州のサイバーレジリエンスシステムの強化、競争力のある革新的なサイバーセキュリティ産業の育成[5]などがある、 
– The Joint Communication of 20 November 2017 to the European Parliament and the Council: “Resilience, Deterrence and Defence: Building strong cybersecurity for the EU”[6],  - 2017年11月20日の欧州議会と理事会への共同コミュニケーション: レジリエンス、抑止力、防衛」: EUのための強力なサイバーセキュリティの構築」[6]、 
– A Framework for a Joint EU Diplomatic Response to Malicious Cyber Activities (“Cyber Diplomacy Toolbox”)[7],  - 悪質なサイバー活動に対するEUの共同外交対応の枠組み(「サイバー外交ツールボックス」)[7]、 
– The EU Coordinated Response to Large-Scale Cybersecurity Incidents and Crises[8]?,  - 大規模サイバーセキュリティインシデントと危機に対するEUの協調対応[8]? 
– EU External Cyber Capacity Building Guidelines[9],  - EU対外サイバー能力構築ガイドライン[9]、 
– Council Implementing Decision (EU) 2018/1993 of 11 December 2018 on the EU Integrated Political Crisis Response Arrangements[10],  - EU統合政治危機対応取決めに関する2018年12月11日の理事会実施決定(EU)2018/1993[10]、 
– Cybersecurity capacity and capabilities building in the EU[11],  - EUにおけるサイバーセキュリティの能力と能力構築[11]、 
– The significance of 5G to the European Economy and the need to mitigate security risks linked to 5G[12],,  - 欧州経済にとっての5Gの意義と5Gに関連するセキュリティリスクを軽減する必要性[12]、、 
– The future of a highly digitised Europe beyond 2020: “Boosting digital and economic competitiveness across the Union and digital cohesion”[13],  - 2020年以降の高度にデジタル化された欧州の未来: 「欧州連合全体のデジタル競争力と経済競争力を高め、デジタル結束を強化する」[13]、 
– Complementary efforts to Enhance Resilience and Counter Hybrid Threats[14],  - レジリエンスを強化し、ハイブリッドな脅威に対抗するための補完的な取り組み[14]、 
– Shaping Europe’s Digital Future[15],  - 欧州のデジタルの未来を形作る[15]、 
– The Cybersecurity of connected devices[16],  - コネクテッドデバイスのサイバーセキュリティ[16]、 
– The EU’s Cybersecurity Strategy for the Digital Decade[17],  - デジタル10年に向けたEUのサイバーセキュリティ戦略[17]、 
– Security and Defence[18],  - 安全保障と防衛[18]、 
– Exploring the potential of the Joint Cyber Unit initiative – complementing the EU Coordinated Response to Large-Scale Cybersecurity Incidents and Crises[19],  - 大規模サイバーセキュリティインシデントと危機へのEU協調対応[19]を補完する「共同サイバーユニット」構想の可能性を探る、 
– A Strategic Compass for Security and Defence[20],  - 安全保障と防衛のための戦略的羅針盤[20]、 
– the development of the European Union's cyber posture[21],  - EUのサイバー態勢の整備[21]、 
– ICT Supply Chain Security[22],  - ICTサプライチェーンのセキュリティ[22]、 
– EU Policy on Cyber Defence[23],  - サイバー防衛に関するEU政策[23]、 
– The EU Space Strategy for Security and Defence[24],  - 安全保障と防衛のためのEU宇宙戦略[24]、 
– Cyber Crisis Management Roadmap[25],  - サイバー危機管理ロードマップ[25]、 
– The Communication from the Commission “Implementation of the 5G cybersecurity Toolbox”[26],  - 欧州委員会からのコミュニケーション「5Gサイバーセキュリティ・ツールボックスの実施」[26]、 
– The future of EU digital policy. - EUのデジタル政策の将来
1. NOTES the ever-increasing interconnectivity and importance of the digital domain for the functioning of our society and economy. UNDERLINES the crucial role of cybersecurity as a cornerstone of a successful digital society by maintaining public trust of the systems on which it relies. HIGHLIGHTS the significantly increasing level, complexity and scale of cybersecurity threats, in particular in the wake of the COVID pandemic, Russia’s war of aggression against Ukraine, growing global geopolitical tensions, as well as technological developments such as Artificial Intelligence and quantum technology. RECOGNISES the European Union (EU) ’s commitment to uphold the international rules-based order to further shape and safeguard the benefits of a free, global, open, and secure cyberspace for future generations.  1. 私たちの社会と経済の機能にとって、デジタル領域の相互接続性と輸入事業者の重要性がますます高まっていることに留意する。デジタル社会が依存するシステムに対する社会の信頼を維持することにより、成功するデジタル社会の礎石としてのサイバーセキュリティの重要な役割を強調する。特に、COVIDパンデミック、ロシアによるウクライナ侵略戦争、世界的な地政学的緊張の高まり、さらには人工知能や量子技術などの技術的発展を受け、サイバーセキュリティの脅威のレベル、複雑さ、規模が著しく増大していることを強調する。欧州連合(EU)が、将来の世代のために、自由で、グローバルで、開かれた、安全なサイバー空間の恩恵をさらに形成し、保護するために、国際的なルールに基づく秩序を維持するというコミットメントを表明する。
2. While NOTING that the infrastructure of the internet is mostly privately owned, and digital services are often offered by private providers, ACKNOWLEDGES the public impact, crossborder nature and spill-over risk of cybersecurity threats, as well as the sole responsibility of each Member State on national security and their responsibility for the response to large-scale cyber security incidents and crises affecting them. Therefore EMPHASISES the key role and shared responsibility of Member States, and the EU to set and implement a clear and agile regulatory and policy framework laying down our collective ability to protect, detect, deter and defend against, cyberattacks and recover from them. The implementation of the framework should build on the multi-stakeholder approach of the cybersecurity ecosystem and cooperation with international organisations and partners.  2. インターネットのインフラはほとんどが民間所有であり、デジタルサービスは多くの場合、民間プロバイダによって提供されていることに留意しつつ、サイバーセキュリティ脅威の公共的影響、国境を越えた性質、波及リスク、ならびに、国家安全保障に関する各加盟国の唯一の責任、自国に影響を及ぼす大規模サイバーセキュリティインデントおよび危機への対応に対する各加盟国の責任を認める。したがって、サイバー攻撃を保護、検知、抑止、防御し、それらから回復するための総合的な能力を定めた明確かつ機動的な規制と政策の枠組みを設定し、実施することは、加盟国およびEUの重要な役割であり、共通の責任であることを防御する。この枠組みは、サイバーセキュリティ・エコシステムのマルチステークホルダー・アプローチと、国際機関やパートナーとの協力に基づいて実施されるべきである。
FOCUS AREAS FOR POLICY-MAKING  政策立案の重点分野 
3. WELCOMES the significant legislative and non-legislative progress achieved within the EU’s cybersecurity policy framework during the last five years, which contributes to strengthening the resilience and competitiveness of the EU economy and society, while also contributing to international rule setting and implementing the UN Framework of Responsible State Behaviour in Cyberspace. Increasing the cyber resilience of entities and the cybersecurity of products with digital elements should be a continued focus for policy makers, including steps such as vulnerability management, supply chain security, the development of the necessary skills throughout the workforce and increased international dialogues on standards and cooperation. Yet, ACKNOWLEDGES the significant human, financial and operational resources required from society, businesses and governments for their implementation.  3. 過去5年間にEUのサイバーセキュリティ政策の枠組みの中で達成された、立法的・非法律的な大きな進展を歓迎する。これは、EUの経済・社会のレジリエンスと競争力の強化に貢献するとともに、国際的なルール設定や国連の「サイバー空間における国家の責任ある行動に関する枠組み」の実施にも寄与している。事業体のサイバーレジリエンスを高め、デジタル要素を含む製品のサイバーセキュリティを強化することは、脆弱性管理、サプライチェーンセキュリティ、労働者全体の必要なスキルの開発、標準と協力に関する国際的な対話の強化などのステップを含め、政策立案者にとって引き続き焦点となるべきである。しかし、その実施には、社会、企業、政府から多大な人的、財政的、経営的資源が必要であることを認める。
4. CALLS on the Member States, Commission and involved European entities to focus on facilitating a structured, efficient, comprehensive and timely implementation of these newly set rules, including with practical guidance. In this regard, CALLS on the Commission, the European Union Agency for Cybersecurity (ENISA), the European Cybersecurity Competence Centre (ECCC), as well as the EU’s Computer Emergency Response Team (CERT-EU), the European Cybercrime Centre Europol (EC3), the NIS Cooperation Group (NIS CG), the CSIRTs Network, EU-CyCLONe (European Union- Cyber Crises Liaison Organisation Network) and national CSIRTs, competent authorities and National Coordination Centres (NCC) to support all stakeholders with this implementation, in line with their respective roles and responsibilities.  4. 加盟国、欧州委員会および欧州の関係事業体に対し、実践的なガイダンスを含め、新たに設定された規則の体系的、効率的、包括的かつタイムリーな実施を促進することに注力するよう求める。この点に関して、欧州委員会、欧州連合サイバーセキュリティ機関(ENISA)、欧州サイバーセキュリティ能力センター(ECCC)、およびEUのコンピュータ緊急対応チーム(CERT-EU)、欧州刑事警察機構(EC3)、NIS協力グループ(NIS CG)に対して要請する、 CSIRTsネットワーク、EU-CyCLONe(欧州連合-サイバー危機連絡組織ネットワーク)、各国のCSIRT、認可当局、国内調整センター(NCC)、がそれぞれの役割と責任に基づき、全ての利害関係者を支援する。
5. CALLS for actions facilitating and supporting compliance and reducing administrative burden, especially for micro, small and medium enterprises (SMEs).  5. コンプライアンスを促進・支援し、特に零細・中小企業(SMEs)の管理負担を軽減する行動を呼びかける。
6. As streamlining incident notification obligations across relevant legislative acts is a particular challenge, ACKNOWLEDGES the potential of the concept of a single entry point for incident notification and ENCOURAGES Member States to reflect on the possibilities to implement it at the national level. INVITES the Commission to prepare, with the support of ENISA and other relevant EU entities, a mapping of relevant reporting obligations set out in the respective EU legislative acts in cyber and digital matters in order to identify opportunities to reduce the administrative burden.  6. インシデント通知の義務を関連する法律行為にまたがって合理化することが特に課題であるため、インシデント通知のための単一エントリーポイントという概念の可能性を認め、加盟国に対し、これを国レベルで実施する可能性について検討するよう促す。欧州委員会に対し、行政負担を軽減する機会を特定するため、ENISAおよびその他の関連するEU事業体の支援を受けて、サイバーおよびデジタルに関するEUの各法令に定められた関連報告義務のマッピングを作成するよう要請する。
7. CALLS on the Commission to swiftly move forward with the adoption of delegated and implementing acts, especially those that are mandatory for the implementation of the NIS2 Directive and the Cyber Resilience Act. CALLS as well to continue the work on harmonised standards in cooperation with Member States, in order to support the implementation of EU cybersecurity legislation building on relevant work of European and International Standardisation bodies. INVITES the Commission, in cooperation with ENISA and the Member States, to closely collaborate with international partners on this subject, in order to safeguard the human-centric approach within such standards.  7. 欧州委員会に対し、委任法および実施法、特にNIS2指令およびサイバー・レジリエンス法の実施に必須となる法律の採択を速やかに進めるよう求める。また、欧州および国際標準化団体の関連作業を土台として、EUサイバーセキュリティ法の実施を支援するため、加盟国と協力して標準の調和に関する作業を継続するよう求める。欧州委員会は、ENISAおよび加盟国と協力し、このような標準の中で人間中心のアプローチを守るため、このテーマに関して国際的なパートナーと緊密に協力することを要請する。
8. STRONGLY CAUTIONS against fragmentation, duplication or overlap of cybersecurity regulation across the Union by sector specific initiatives or lex specialis. Cybersecurity is not only a sector but also a horizontal domain. UNDERLINES the inherent coherence between digital and cybersecurity policy. Therefore, URGES the Commission to ensure a coherent approach in future initiatives, which should strengthen or complement existing structures, avoiding unnecessary complexity and duplication. STRESSES in this regard the importance of thorough impact assessments for all new legislative initiatives which is a key part of the Better Regulation Agenda. CALLS on the Commission to develop a clear overview of the relevant horizontal and sectoral legislative frameworks and their interplay. UNDERLINES the importance of horizontal coordination within the EU on cyber issues across sectors and domains and LOOKS FORWARD to continue to strengthen this coordination.  8. サイバーセキュリティ規制の断片化、重複、重複を防止するため、欧州委員会は、分野別イニシアティブやレックス・スペシャリス(lex specialis)により、欧州連合全体でサイバーセキュリティ規制の断片化、重複、重複を防止するよう強く警告する。サイバーセキュリティは、セクターだけでなく、水平的な領域でもある。デジタル政策とサイバーセキュリティ政策の間に固有の一貫性があることを強調する。従って、欧州委員会に対し、不必要な複雑さや重複を避け、既存の構造を強化または補完するような今後の取り組みにおいて、首尾一貫したアプローチを確保するよう要請する。この点に関して、「より良い規制アジェンダ」の重要な部分である、すべての新規立法構想に対する徹底的な影響評価の重要性を強調する。欧州委員会に対し、関連する水平的および分野別の法的枠組みと、それらの相互関係についての明確な概要を作成するよう求める。分野や領域を超えたサイバー問題に関するEU域内の水平的な協調の重要性を強調し、この協調の継続的な強化を期待する。
9. INVITES the Commission to collaborate with relevant national experts and policy makers, including at strategic level, as well as with all relevant EU entities and networks before launching new initiatives. Similarly INVITES Member States to exchange lessons learned on new national proposals through existing structures.  9. 欧州委員会に対し、新たな取り組みを開始する前に、戦略レベルを含め、各国の関連する専門家および政策立案者、ならびに、すべての関連するEU事業体およびネットワークと協力するよう求める。同様に、加盟国に対し、新たな国別提案に関する教訓を、既存の仕組みを通じて交換することを要請する。
10. WELCOMES the European Common Criteria-based cybersecurity certification scheme (EUCC) as the first adopted scheme under the Cybersecurity Act, yet EXPRESSES concern on the slow and challenging development of the European cybersecurity certification schemes, and calls for the smooth adoption of high quality schemes. EMPHASISES the need for a thorough, comprehensive and transparent review of the European cybersecurity certification framework, to enable a faster and more transparent adoption of certification schemes with full involvement of Member States. In this regard, CALLS on the Commission to take into account the key role of the European Cybersecurity Certification Group.  10. 欧州共通基準に基づくサイバーセキュリティ認証スキーム(EUCC)を、サイバーセキュリティ法の下 で最初に採択されたスキームとして歓迎する一方、欧州のサイバーセキュリティ認証スキームの発展が遅々として進まず、困難であることに懸念を表明し、質の高いスキームの円滑な採用を求める。加盟国の全面的な関与のもと、より迅速かつ透明性の高い認証制度の採用を可能にするため、欧州のサイバーセキュリティ認証の枠組みを徹底的、包括的かつ透明性をもって見直す必要性を強調する。この観点から、欧州委員会に対し、欧州サイバーセキュリティ認証グループの重要な役割を考慮するよう求める。
11. REITERATES that the European cybersecurity certification schemes may decrease fragmentation and ensure harmonisation in the Union, while strengthening resilience and trust in an enhanced digital and cybersecurity ecosystem. NOTES that in certain cases additional requirements going beyond certification may be necessary to ensure trust. WELCOMES the political agreement on the amendment to the Cyber Security Act that introduce the certification of managed security services. ACKNOWLEDGES the opportunity for certification to stimulate higher levels of cybersecurity, including by seeking to make cybersecurity measures standard practice for organisations. RECOGNISES the potential for EU certification to support the implementation of existing legislation and support the actions of competent national authorities within the context of NIS2, the Cyber Resilience Act and other cybersecurity regulations.  11. 欧州のサイバーセキュリティ認証制度は、強化されたデジタルとサイバーセキュリティのエコシステムにおけるレジリエンスと信頼を強化する一方で、欧州連合における断片化を減少させ、調和を確保する可能性があることを指摘する。場合によっては、信頼を確保するために、認証以上の追加要件が必要となる可能性があることに留意する。マネージド・セキュリティ・サービスの認証を導入するサイバーセキュリティ法の改正に関する政治的合意を歓迎する。サイバーセキュリティ対策を組織の標準的な慣行とすることを目指すなど、認証がより高いレベルのサイバーセキュリティを刺激する機会があることを認める。NIS2、サイバーレジリエンス法、その他のサイバーセキュリティ規制の文脈において、EU認証が既存の法律の実施を支援し、所轄の国家当局の行動を支援する可能性を認める。
12. EMPHASISES the need for sufficient skilled experts for all the relevant national and EU entities in the cybersecurity domain. ENCOURAGES cooperation among all stakeholders, including the private sector, academia and public sector to close this skills gap and STRESSES the importance of paying particular attention to closing the digital gender gap as well, taking into account the innovative potential and expansion of the talent pool that a diverse workforce offers. CALLS for the further development of the Cybersecurity Skills Academy and implementation of its actions to strengthen the EU cybersecurity workforce. INVITES ENISA and the ECCC together with the NCCs to continue their involvement and clarify roles, and CALLS to consider exploring the synergies with any future EDIC (European Digital Infrastructure Consortium) on this topic as well as potentially with the European Security and Defence College and the European Union Agency for Law Enforcement Training (CEPOL) Cybercrime Academy. Recognising that workforce skills are highly mobile in a global marketplace, CALLS for international cooperation in particular on the potential for mutual recognition of skills frameworks.  12. サイバーセキュリティ領域において、すべての関連する国やEUの事業体にとって、十分な熟練した専門家が必要であることを強調する。このスキルギャップを解消するために、民間部門、学界、公共部門を含むすべての利害関係者間の協力を奨励し、多様な労働力がもたらす革新的な可能性と人材プールの拡大を考慮し、デジタル男女格差の解消にも特に注意を払うことの重要性を強調する。サイバーセキュリティ技能アカデミーをさらに発展させ、EUのサイバーセキュリティ人材を強化するための行動を実施することを求める。ENISAおよびECCCがNCCとともに関与を継続し、役割を明確化するよう要請するとともに、このテーマに関する将来のEDIC(欧州デジタル・インフラ・コンソーシアム)や、欧州安全保障防衛大学(European Security and Defence College)および欧州連合法執行訓練機関(CEPOL)サイバー犯罪アカデミー(Cybercrime Academy)との相乗効果を検討するよう呼びかける。労働力スキルはグローバル市場において非常に流動的であることを認識し、特にスキルフレームワークの相互承認の可能性について国際協力を呼びかける。
13. Without pre-empting the negotiations of the Multiannual Financial Framework, EMPHASISES the need for adequate funding for EU entities active in the cybersecurity domain in light of the significantly increasing cybersecurity threats across the EU; and. CALLS on the Commission to prioritise between actions when preparing the draft general budget of the Union. ACKNOWLEDGES the need for financial and other incentives to foster innovation in cybersecurity across the EU and secure the digital single market. To this end, CALLS on the Commission, the ECCC and relevant national authorities to stimulate and support use by, in particular, European businesses, research institutions and academia of EU cyber security funding. In light of the scale and complexity of the cybersecurity threats, ACKNOWLEDGES that European funding alone is not sufficient and therefore STRESSES the importance of attracting and investing private capital.  13. 多年次財政枠組みの交渉を先取りすることなく、EU全域でサイバーセキュリティの脅威が著しく増大していることを踏まえ、サイバーセキュリティ分野で活動するEU事業体に十分な資金を提供する必要性を強調する。欧州委員会に対し、欧州連合(EU)の一般予算案を作成する際に、これらの活動の間に優先順位をつけるよう要請する。EU全体でサイバーセキュリティの革新を促進し、デジタル単一市場を確保するためには、財政的およびその他のインセンティブが必要であることを認める。このため、欧州委員会、ECCCおよび関連する各国当局に対し、特に欧州の企業、研究機構および学術機関がEUのサイバーセキュリティ資金を利用することを刺激し、支援するよう要請する。サイバーセキュリティの脅威の規模と複雑さに鑑み、欧州の資金提供だけでは十分でないことを認め、したがって、民間資本の誘致と投資の重要性を強調する。
14. NOTES how during the last five years, notable attention has been directed towards imposing obligations upon potential targets of cyber-attacks, to strengthen their cyber resilience. POINTS out that Member States’ CSIRTs, in line with their respective roles, possess the capacity to undertake proactive measures aimed at safeguarding individual users and organisations on a much larger scale, including the possibility of pre-emptive incident prevention or the provision of centralised assistance for self-protection. WELCOMES the integration of Active Cyber Protection (ACP) as a concept within the NIS2 Directive, as well as Coordinated Vulnerability Disclosures, and SUPPORTS their active promotion. CALLS ON Union entities and Member States to place greater emphasis on concrete and scalable preventive and protective measures and, where appropriate, to collaborate in a cross-border manner and with private entities. CALLS ON ENISA and the ECCC to stimulate such collaborative projects at national and EU level. Such centralised provision of support and protection not only helps achieve cost-effectiveness, but also holds the potential to address the substantial deficit of cybersecurity experts, which might otherwise necessitate individual recruitment by each organisation.  14. 過去5年間、サイバー攻撃を受ける可能性のある標的に対し、そのレジリエンスを強化する義務を課すことに、注目すべき関心が向けられてきたことに留意する。加盟国の CSIRT は、それぞれの役割に応じて、先制的なインシデント防止や自己防衛のための集中的な支援 の提供の可能性を含め、個人ユーザーや組織を保護することを目的としたプロアクティブな対策を、より大規 模に実施する能力を有していることを防御する。NIS2 指令の中に、脆弱性開示の協調と同様に、積極的サイバー保護(ACP)の概念が統合されたことを歓迎し、その積極的な推進を防御する。EU事業体および加盟国に対し、具体的かつスケーラブルな予防・保護措置をより重視し、適切な場合には、国境を越えた態様で、また民間団体と協力するよう求める。ENISAおよびECCCに対し、国内およびEUレベルでこのような共同プロジェクトを刺激するよう求める。このような支援と保護の集中的な提供は、費用対効果の達成に役立つだけでなく、サイバーセキュリティの専門家の大幅な不足に対処する可能性も秘めている。
15. REITERATES the potential of digital identity to bolster online security and trust in a proactive and inclusive manner. With the Regulation for a European Digital Identity Framework, the EU holds a unique prospect to use digital identity in the ongoing battle against phishing or social engineering, which remain persistent and pervasive vectors of cyberattacks. Against the backdrop of increased misuse of emerging and disruptive technologies (such as AI, for example for the creation of deepfakes), the role of authenticated digital identity assumes augmented importance in strengthening digital trust and confidence. UNDERLINES at the same time the importance of preserving the option of anonymity within the digital world and support of the principle of data minimisation, including the use of pseudonyms, asking users to share only the minimum data necessary for the specific purpose. CALLS on the Union to swiftly implement solutions within the European Digital Identity Framework, to allow businesses, organisations, and individuals to voluntarily identify themselves online in a trusted manner, and STRESSES the crucial importance of the cybersecurity of these solutions. ENCOURAGES the timely development of European cybersecurity certification schemes adopted pursuant to Regulation (EU) 2019/881 for the certification of the European Digital Identity Wallets.  15. 積極的かつ包括的な方法で、オンライン・セキュリティと信頼を強化するデジタル ID の可能性を強調する。欧州デジタル ID フレームワークに関する規則により、EU は、サイバー攻撃の持続的かつ広範な 媒介であり続けるフィッシングやソーシャル・エンジニアリングとの継続的な闘いにおいて、デジタル ID を利用するユニークな展望を有している。新興の破壊的技術(例えば、ディープフェイクを作成する AI など)の悪用が増加していることを背景に、 認証されたデジタル ID の役割は、デジタルの信頼と信用を強化する上で重要性を増している。同時に、デジタル世界における匿名性の選択肢を維持することの重要性を強調し、仮名の使用を含むデータ最小化の原則を支持し、特定の目的に必要な最小限のデータのみを共有するようユーザーに求める。欧州連合に対し、欧州デジタルIDフレームワークの中で、企業、組織、個人が信頼できる方法でオンライン上で自発的に身元を確認できるソリューションを速やかに実施するよう求めるとともに、これらのソリューションのサイバーセキュリティが極めて重要であることを強調する。欧州デジタルIDウォレットの認証のために規則(EU)2019/881に従って採用される欧州のサイバーセキュリティ認証スキームのタイムリーな開発を奨励する。
16. WELCOMES the risk assessment on the cybersecurity and resilience of Europe’s communications infrastructures and networks carried out by the NIS Cooperation Group, and CALLS UPON Member States, Commission and ENISA to work on the implementation of the strategic and technical recommendations to mitigate the threats and risks that may have been identified. CALLS on the Commission, the High Representative and ENISA, together with NIS Cooperation Group, within their respective mandates, to swiftly develop a coherent and comprehensive approach across sectors to risk assessment and scenario building, based on a common methodology. This should include prioritisation, minimising duplication, ensuring the quality of these assessments and building synergies, that pursue an all-hazards approach and that the Commission, the High Representative and relevant working parties and networks within the Council take into account the ongoing efforts to counter hybrid threats, such as physical sabotage and foreign information manipulation and interference.  16. NIS協力グループが実施した欧州の通信インフラおよびネットワークのサイバーセキュリティとレジリエンシーに関するリスクアセスメントを歓迎し、加盟国、欧州委員会およびENISAに対し、特定された脅威とリスクを軽減するための戦略的・技術的勧告の実施に取り組むよう求める。欧州委員会、上級代表者およびENISAに対し、NIS協力グループとともに、それぞれの権限の範囲内で、共通の手法に基づき、リスクアセスメントおよびシナリオ構築のための部門を超えた首尾一貫した包括的アプローチを速やかに開発するよう求める。これには、優先順位付け、重複の最小化、アセスメントの質の確保、相乗効果の構築、オール・ハザード・アプローチの追求、欧州委員会、上級代表、理事会内の関連作業部会およびネットワークが、物理的破壊工作や外国による情報操作・妨害などのハイブリッドな脅威に対抗するための現在進行中の取り組みを考慮に入れることなどが含まれるべきである。
17. REITERATES its commitment towards ensuring the security of the ICT supply chains as indicated in the Council Conclusions on ICT supply chain security, while noting the relevance of non-technical risk factors in this context, such as undue influence by a third State on suppliers and service provider. CALLS on the NIS Cooperation Group to continue working on the ICT Supply Chain toolbox and the risk assessments and evaluations with the focus on the ICT supply chain security, in particular in relation to technologies necessary for the green and digital transition.  17. ICTサプライチェーンの安全保障に関する理事会結論に示されたとおり、ICTサプライチェーンの安全保障の確保に向けたコミットメントを表明するとともに、供給業者やプロバイダに対する第三国による不当な影響力など、この文脈における非技術的リスク要因の重要性に留意する。NIS協力グループに対し、ICTサプライチェーンツールボックスと、特にグリーン及びデジタル移行に必要な技術に関連するICTサプライチェーンのセキュリティに焦点を当てたリスクアセスメント及び評価に引き続き取り組むことを要請する。
STRENGTHENING THE INSTITUTIONAL FRAMEWORK  機構枠組みの強化 
18. WELCOMES, over the course of the last five years, the necessary further enhancement of already existing cybersecurity cooperation structures and entities (notably the CSIRTs Network, NIS Cooperation Group, CERT-EU, ENISA) and the creation of new structures (ECCG, EU-CyCLONe, ECCC and network of NCCs and Military CERT operational Network -MICNET-). CALLS upon these structures and entities to fully implement their mandate and, in the context of an increasing complexity of the European cybersecurity ecosystem, to strengthen cooperation and avoid possible duplication of efforts. INVITES Member States driven cooperation networks such as the NIS Cooperation Group, and, supported by ENISA, the CSIRTs Network and EU-CyCLONe to establish a multi-annual strategic perspective, in full respect of their legal mandate. CALLS on the Commission and the High Representative, working closely with relevant EU entities, to develop across policy domains a clear overview of the roles and responsibilities of all relevant EU entities, stakeholders and networks, both civilian and military, active in the cybersecurity domain, including in their interaction.  18. 過去 5 年間にわたり、既に存在するサイバーセキュリティ協力体制や事業体(特に、CSIRTs ネットワーク、NIS 協力グループ、CERT-EU、ENISA)の必要なさらなる強化や、新たな体制(ECCG、EU-CyCLONe、ECCC、NCCs のネットワーク、軍事 CERT 運用ネットワーク -MICNET-)の創設が行われてきたことを歓迎する。欧州のサイバーセキュリティ・エコシステムがますます複雑化する中、これらの機構や事業体に対し、その任務を完全に実施し、協力を強化し、努力の重複を避けるよう求める。加盟国に対し、NIS協力グループや、ENISAの支援を受けたCSIRTsネットワーク、EU-CyCLONeなどの協力ネットワークが、その法的権限を完全に尊重し、複数年にわたる戦略的展望を確立するよう要請する。欧州委員会および上級代表に対し、関連するEU事業体と緊密に協力し、サイバーセキュリティの領域で活動するすべての関連するEUの事業体、利害関係者、ネットワーク(文民、軍を問わず)の役割と責任について、その相互作用も含め、政策領域全体にわたる明確な概要を策定するよう求める。
19. RECOGNISES ENISA's key supportive role to improve the level of cybersecurity in the Union and the Member States. ENCOURAGES ENISA to continue its efforts to support the implementation of relevant Union law and policy, to contribute to common situational awareness through close cooperation with Member States, EU entities, and the private sector, to assess the cyber threat landscape, and to support operational cooperation and the building of capacity. CALLS on the Commission to take duly into account the development of ENISA’s role reviewing the Cybersecurity Act. CALLS upon ENISA to establish clear priorities, including focusing on supporting the Member States through existing structures.  19. EU及び加盟国におけるサイバーセキュリティのレベルを改善するためのENISAの重要な支援的役割を認識する。ENISAに対し、加盟国、EU事業体および民間部門との緊密な協力を通じて、関連するEU法および政策の実施を支援し、共通の状況認識に貢献し、サイバー脅威の状況を評価し、業務協力および能力構築を支援する努力を継続するよう求める。欧州委員会に対し、サイバーセキュリティ法の見直しに伴うENISAの役割の発展を十分に考慮するよう求める。ENISAに対し、既存の体制を通じて加盟国を支援することに重点を置くなど、明確な優先事項を定めるよう求める。
20. UNDERLINES the importance of fortifying the cybersecurity of EU entities to protect information and safeguard a strong EU cyber posture. ENCOURAGES the swift implementation of the Act on a high level of cybersecurity of EU institutions, bodies and agencies, accompanied by a decisive Interinstitutional Cybersecurity Board, enhancement of the security culture within EU entities and an allocation of adequate resources for ICT security. ENCOURAGES CERT-EU to develop its role further in line with this Regulation, and in this regard pay particular attention to the close cooperation with relevant networks such as the CSIRTs Network.  20. 情報を保護し、強力なEUのサイバー態勢を守るため、EU事業体のサイバーセキュリティを強化することの重要性を強調する。断固とした機関間サイバーセキュリティ委員会、EU事業体内のセキュリティ文化の強化、ICTセキュリティのための適切な資源の配分を伴う、EU機構、団体、機関の高水準のサイバーセキュリティに関する法律の速やかな実施を奨励する。CERT-EU に対し、本規則に沿ってその役割をさらに発展させ、この点において、CSIRTs Network のような関連ネットワークとの緊密な協力に特に注意を払うことを奨励する。
21. ACKNOWLEDGES the increasingly important role of the ECCC within the developing cyber framework of the EU. CALLS on the ECCC and the Commission to swiftly complete the actions needed for the ECCC to gain financial autonomy and finalise its institutional set up. ENCOURAGES the National Coordination Centres and the ECCC to swiftly activate the Cybersecurity Competence Community in a streamlined manner, as a bottom-up, inclusive and key forum for collaboration with industry, academic and research organisations, other relevant civil society associations, public entities and other entities dealing with cybersecurity. CALLS on all Union entities and Member States to support this effort and to preserve the central role of the ECCC in coordinating the EU cybersecurity investment strategy, boosting the EU cybersecurity industry and fostering skilled experts to enhance the EU’s cybersecurity resilience, as well as to increase consistency and synergies with the ECCC’s agenda. INVITES policy makers at European and national level to contemplate a more efficient use of investment as an enabler or a complement to legislation in increasing cybersecurity.  21. EU の発展途上のサイバーフレームワークの中で、ECCC の役割がますます重要になっていることを認 める。ECCCと欧州委員会に対し、ECCCが財政的に自立し、機構を最終的に立ち上げるために必要な措置を速やかに完了するよう求める。各国調整センターおよびECCCに対し、産業界、学術研究機関、その他の関連する市民社会団体、公共事業体およびサイバーセキュリティに取り組むその他の事業体との協力のためのボトムアップで包括的かつ重要なフォーラムとして、サイバーセキュリティ能力共同体を合理的な方法で速やかに活性化させるよう求める。EUのすべての事業体および加盟国に対し、この取り組みを支援し、EUのサイバーセキュリティ投資戦略の調整、EUのサイバーセキュリティ産業の活性化、EUのサイバーセキュリティレジリエンスを強化するための熟練した専門家の育成において、ECCCの中心的役割を維持するとともに、ECCCのアジェンダとの一貫性と相乗効果を高めるよう呼びかける。欧州および各国レベルの政策立案者に対し、サイバーセキュリティの強化において、法制化を可能にする、あるいは補完するものとして、投資をより効率的に活用することを検討するよう要請する。
22. Given the crucial role and expertise of the private sector in the security of our digital infrastructure and the protection of entities and citizens that depend on it, CALLS on Member States, the Commission, the High Representative, ENISA, ECCC, the CSIRTs Network and Europol to thoroughly, openly and in a coordinated manner engage with all relevant private sector stakeholders to fortify cybersecurity measures, foster collaborative initiatives, and formulate robust strategies to mitigate the risks posed by cyber threats, including regarding business continuity. Such engagement could include communities of information sharing, support to SMEs, or cooperation agreements on operational projects.  22. 加盟国、欧州委員会、上級代表、ENISA、ECCC、CSIRTs Network、欧州刑事警察機構に対し、サイバーセキュリティ対策を強化し、協力的なイニシアチブを育成し、事業継続に関するものも含め、サイバー脅威がもたらすリスクを軽減するための強固な戦略を策定するために、関連するすべての民間セクターの利害関係者と徹底的、率直かつ協調的に関与するよう求める。このような関与には、情報共有のコミュニティ、中小企業への支援、あるいは業務プロジェク トに関する協力協定などが考えられる。
23. CALLS on Member States and the Commission, in cooperation with all relevant networks and entities on the Union level to increase voluntary information sharing in view of a common situational awareness, including, for Member States, through the EU Intelligence Analysis Centre (EU INTCEN). STRESSES the need to prevent any duplication of efforts in this regard and UNDERLINES the importance of cooperation with the private sector, at national and Union level and according to the appropriate procedures. WELCOMES in this regard the political agreement on the Cyber Solidarity Act including its future contribution to the common detection and situational awareness of cyber threats and incidents.  23. 加盟国および欧州委員会に対し、EUレベルのすべての関連するネットワークおよび事業体と協力し、加盟国に対してはEU情報分析センター(EU INTCEN)を通じたものも含め、共通の状況認識の観点から自発的な情報共有を拡大するよう求める。この点に関し、努力の重複を防ぐ必要性を強調するとともに、国および欧州連合レベルにおいて、適切な手続きに従い、民間部門との協力の重要性を強調する。この観点から、サイバー脅威およびインシデントの共通検知と状況認識への将来的な貢献を含む、サイバー連帯法に関する政治的合意を歓迎する。
24. CALLS on the Commission, relevant Union entities, in particular Europol and Eurojust, and Member States, making best use of the European Multidisciplinary Platform Against Criminal Threats (EMPACT), to strengthen their collaboration on the significant threat posed by cybercrime, including the pressing issue of ransomware, and to enhance processes to investigate cybercrime. Given how law enforcement actions to disrupt cybercriminal activities also contribute to the prevention of further cybersecurity incidents, a structured and mutually beneficial collaboration between the cybersecurity and law enforcement communities is necessary to further enhance the state of cybersecurity in Europe. STRESSES that in the crucial fight against cybercrime, it is equally important to protect data and ensure privacy, including through secure communications. REITERATES that competent authorities must be able to access data in a lawful and targeted manner, in full respect of fundamental rights and the relevant data protection laws, while upholding cybersecurity. REAFFIRMS its support to the development, implementation and use of strong encryption as a necessary means of protecting fundamental rights and the digital security of individuals, governments, industry and society. Therefore, INVITES Member States and the relevant EU entities to stimulate a structured and appropriate information exchange between national CSIRTs and law enforcement, as well as at EU level between Europol, the CSIRTs Network and CERT-EU, including for victim notification purposes.  24. 欧州委員会、欧州連合(EU)の関連事業体、特に欧州刑事警察機構(Europol)と欧州司法機構(Eurojust)および加盟国に対し、犯罪の脅威に対する欧州学際的プラットフォーム(EMPACT)を最大限に活用し、喫緊の課題であるランサムウェアを含むサイバー犯罪がもたらす重大な脅威に関する協力を強化し、サイバー犯罪の捜査プロセスを強化するよう求める。サイバー犯罪者の活動を妨害する法執行機関の行動が、さらなるサイバーセキュリティインシデントの防止にも貢献することを考えると、欧州のサイバーセキュリティの状態をさらに強化するためには、サイバーセキュリティ・コミュニティと法執行機関の間の体系的で相互に有益な協力が必要である。サイバー犯罪との極めて重要な闘いにおいて、安全なコミュニケーションを含め、データを保護しプライバシーを確保することも同様に重要であることを防御する。権限のある認可当局は、サイバーセキュリティを維持しつつ、基本的権利および関連するデータ保護法を完全に尊重し、合法的かつ的を絞った方法でデータにアクセスできなければならないことを強調する。基本的権利および個人、政府、産業、社会のデジタル・セキュリティを保護するために必要な手段として、強力な暗号化の開発、実装、利用を支持することを宣言する。よって、加盟国及び関連する EU 事業体に対し、被害者通知の目的も含め、欧州刑事警察機構、 CSIRTs Network 及び CERT-EU と同様に、各国の CSIRTs と法執行機関の間、及び EU レベルでの構造的かつ適切な情報交換を促進するよう要請する。
25. Given the cyber threat landscape and the fast pace of technological development, HIGHLIGHTS the importance of comprehensive cooperation between civilian and military domains, including between EU cooperation networks. WELCOMES the progress made by Member States and relevant Union entities in implementing the EU Cyber Defence Policy.  25. サイバー脅威の状況及び技術開発の速いペースを考慮し、EUの協力ネットワーク間を含む、文民及び軍事領域間の包括的協力の重要性を強調する。EUサイバー防衛政策の実施における加盟国および関連事業体の進展を歓迎する。
26. Building on the Commission Recommendation on coordinated response to large-scale cybersecurity incidents and crises, and on the provisions of Directive (EU) 2022/2555, guided by the Cyber Crisis Management Roadmap developed in the Council under the Czech Presidency, and without prejudice to the Member States’ sole responsibility for safeguarding national security. STRESSES the need to evaluate and further develop the EU cybersecurity crisis management framework integrating new developments and avoiding fragmented Union procedures.  26. 大規模サイバーセキュリティインシデントおよび危機への協調的対応に関する欧州委員会勧告、および指令(EU)2022/2555の規定に基づき、チェコ議長国の下、理事会で策定されたサイバー危機管理ロードマップを指針とし、加盟国の国家安全保障を守る唯一の責任を損なうことなく、EUサイバー防衛政策を実施する。EUのサイバーセキュリティ危機管理の枠組みを評価し、さらに発展させる必要性を強調する。
27. Therefore ENCOURAGES Member States to regularly take stock of progress achieved in the implementation of the Roadmap, CALLS upon the Commission to swiftly evaluate the current cybersecurity Blueprint and, on this basis, propose a revised Cybersecurity Blueprint in the form of a Council recommendation that will address the current challenges and complex cyber threat landscape, strengthen existing networks, enhance cooperation, and break silos between organisations, utilising to this end first and foremost existing structures. Furthermore, the revised Blueprint should rely on time-tested guiding principles of cooperation (proportionality, subsidiarity, complementarity and confidentiality of information) and expand them to the full crisis management lifecycle and should contribute to aligning and enhancing secure communication in the cybersecurity field. The revised Blueprint should ensure its compatibility with existing frameworks such as the IPCR, the EU Cyber Diplomacy Toolbox, the EU Hybrid Toolbox, the Law Enforcement Emergency Response Protocol (LERP), emerging frameworks such as the Critical Infrastructure Blueprint, sectoral procedures, and overall crisis management structures within Union entities, involving also the High Representative and Europol. In this revised Blueprint, the role of the Commission, the High Representative and ENISA, in line with their competences, should focus in particular on supporting horizontal coordination.  27. したがって、加盟国に対し、ロードマップの実施において達成された進捗状況を定期的に把握するよう求めるとともに、欧州委員会に対し、現行のサイバーセキュリティの青写真を速やかに評価し、そのうえで、現在の課題と複雑なサイバー脅威の状況に対処し、既存のネットワークを強化し、協力を強化し、組織間の縦割りを解消し、そのために何よりもまず既存の構造を活用するような、改訂版サイバーセキュリティの青写真を理事会勧告の形で提案するよう求める。さらに、改訂された青写真は、従来から定評のある協力の指導原則(比例性、補完性、相補性、情報の機密性)に依拠し、それを危機管理のライフサイクル全体に拡大し、サイバーセキュリティ分野における安全なコミュニケーションの調整と強化に貢献するものでなければならない。改訂された青写真は、IPCR、EUサイバー外交ツールボックス、EUハイブリッド・ツールボックス、法執行緊急対応プロトコル(LERP)などの既存の枠組み、重要インフラ青写真などの新たな枠組み、セクター別の手順、上級代表や欧州刑事警察機構も関与するEU事業体内の全体的な危機管理構造との互換性を確保すべきである。このブループリントの改訂において、欧州委員会、上級代表およびENISAの役割は、それぞれの権限に基づき、特に水平的な協調を支援することに重点を置くべきである。
28. UNDERLINES that frequent cybersecurity exercises and training, including, possibly, involving the private sector, strengthen resilience and can effectively decrease the costs, duration and severity of cyber security incidents in organisations. EMPHASIZES that upon its adoption, the new revised Blueprint should be tested as early and to the fullest extent possible, at a technical, operational and political level.  28. サイバーセキュリティの頻繁な演習と訓練は、場合によっては民間セクターの参加も含め、レジリエンスを強化し、組織におけるサイバーセキュリティインシデントのコスト、期間、重大性を効果的に減少させることができることを強調する。改訂された新しい青写真は、その採択後、可能な限り早期に、技術的、運用的、政治的レベルでテストされるべきであることを強調する。
THE INTERNAL/EXTERNAL NEXUS FOR CYBERSECURITY POLICY  サイバーセキュリティ政策の内部と外部の関連性 
29. UNDERSCORES that cybersecurity in the European Union cannot be tackled in a vacuum. and that an active international cyber policy, including in the UN, NATO, OSCE, ITU, Council of Europe and other multilateral and multistakeholder organisations, is an essential contribution to European cybersecurity. A strong European cybersecurity is also key for the European diplomatic posture. Synergies between the EU’s internal and external cyber initiatives should be captured where possible. STRESSES that a secure cyberspace is not only defined at the nexus between internal and external European policy, but also between the digital and the security domains, as well as between the civilian and the defence domain. In this context, the European efforts regarding cyber capacity building, cyber diplomacy and cyber defence via various Council conclusions and instruments contribute significantly to European cybersecurity. STRESSES the importance of pragmatic cooperation while safeguarding the distinction between civilian and military, as well as national and European roles and responsibilities. In full respect of the agreed guiding principles on EU-NATO cooperation, in particular reciprocity, inclusiveness, decision-making autonomy and full transparency towards all Member States, EMPHASISES the importance of close EU-NATO cooperation on emerging and disruptive technologies in view of creating synergies and avoiding unnecessary duplication.  29. また、国連、NATO、OSCE、ITU、欧州評議会、その他の多国間およびマルチステークホルダー組織を含む、積極的な国際サイバー政策が欧州のサイバーセキュリティに不可欠な貢献であることを支持する。強力な欧州のサイバーセキュリティは、欧州の外交姿勢にとっても重要である。EUの内外のサイバー・イニシアチブ間の相乗効果を可能な限り取り込むべきである。安全なサイバー空間は、欧州の内政と外政の接点で定義されるだけでなく、デジタル領域と安全保障領域、さらには文民領域と防衛領域の間でも定義されることを強調する。この観点から、欧州理事会の様々な結論や文書を通じたサイバー能力構築、サイバー外交、サイバー防衛に関する欧州の取り組みは、欧州のサイバーセキュリティに大きく貢献している。文民と軍事の区別、国内と欧州の役割と責任を守りつつ、現実的な協力を行うことの重要性を強調する。EU-NATO協力に関する合意された指導原則、特に相互主義、包括性、意思決定の自主性、全加盟国に対する完全な透明性を十分に尊重し、相乗効果を生み出し、不必要な重複を避けるという観点から、新興技術および破壊的技術に関するEU-NATOの緊密な協力の重要性を強調する。
30. INVITES the Member States and relevant EU entities to engage with countries and actors outside of the Union in order to increase international cooperation against cybercrime. In this regard, WELCOMES the work of the Counter Ransomware Initiative (CRI) and the commitment of the EU, its Member States and entities to the CRI’s Joint Statement on Ransomware Payments as well as the work carried out in cooperation with third states including through EMPACT.  30. サイバー犯罪に対する国際協力を強化するため、加盟国および関連するEU事業体に対し、EU域外の国および関係者と関与するよう求める。この観点から、ランサムウェア対策イニシアティブ(CRI)の活動、ランサムウェアの支払いに関するCRIの共同声明に対するEU、加盟国および事業体のコミットメント、ならびに、EMPACTを含む第三国との協力による活動を歓迎する。
31. UNDERLINES the importance of fostering the European market for trusted digital products. HIGHLIGHTS in this context the adoption of the Cyber Resilience Act that will enhance the overall level of security for all products with digital elements and also UNDERLINES the importance of EU cybersecurity certification schemes. WELCOMES in this context the ongoing transatlantic cooperation, including through the agreement of an EU-US Joint Cyber Safe Product Action Plan to prepare the ground to explore mutual recognition on cybersecurity requirements for IoT hardware and software. WELCOMES the contribution of these efforts to a strong international ecosystem.  31. 信頼できるデジタル製品のための欧州市場を育成することの重要性を強調する。この観点から、デジタル要素を含むすべての製品の全体的なセキュリティレベルを強化するサイバーレジリエンス法の採択を強調するとともに、EUのサイバーセキュリティ認証制度の重要性を強調する。この観点から、IoTハードウェアおよびソフトウェアのサイバーセキュリティ要件に関する相互承認を模索するための基盤を整えるためのEU・米国共同サイバーセーフ製品行動計画の合意を含む、現在進行中の大西洋を越えた協力を歓迎する。強力な国際的エコシステムへのこうした努力の貢献を歓迎する。
32. RECALLS that secure, resilient, accessible, available and affordable digital infrastructure and connectivity solutions are a decisive factor for economic and social progress and development opportunities in third countries; ensuring rights and freedoms of citizens and enabling trusted transactions between citizens, businesses and governments. STRESSES that cyber capacity building and its contribution to the cybersecurity of digital infrastructure is a condition for the transition into a safe, secure and responsible digital society, which contributes also to improving the EU’s collective cybersecurity. EMPHASISES the importance of the Teams Europe approach and calls on the Member States, Commission and High Representative and to strengthen this in cyber capacity building. STRESSES the need to create awareness on the importance of secure connectivity and trusted suppliers in third countries, including by offering technical assistance and by sustaining investment in secure and trusted connectivity, which incentivises increased alignment with the EU Toolbox on 5G cybersecurity.  32. 安全で、レジリエンスがあり、アクセス可能で、利用可能で、安価なデジタル・インフラと接続ソ リューションは、第三国における経済的・社会的進歩と開発の機会にとって決定的な要素であり、市民の権利 と自由を確保し、市民、企業、政府間の信頼できる取引を可能にするものであることを想起する。サイバー・キャパシティ・ビルディングとデジタル・インフラのサイバーセキュリティへの貢献は、安全、安心かつ責任あるデジタル社会への移行の条件であり、EU全体のサイバーセキュリティの改善にも寄与することを強調する。チーム・ヨーロッパのアプローチの重要性を強調し、加盟国、欧州委員会および上級代表者に対し、サイバー能力構築においてこれを強化するよう求める。技術支援を提供し、安全で信頼できる接続への投資を持続させることにより、5Gサイバーセキュリティに関するEUツールボックスとの整合性を高める動機付けを与えることを含め、第三国における安全な接続と信頼できる輸入事業者の重要性に関する認識を高める必要性を強調する。
33. UNDERLINES that the integration of geopolitical considerations into technical endeavours, such as the EU Toolbox on 5G cybersecurity, coordinated risk assessments or specific certification schemes, can present a challenge. This must be approached with due regard for European market principles, while effectively addressing threats and risks. WELCOMES the progress made by Member States in implementing the measures of the EU Toolbox on 5G cybersecurity. However STRESSES the need to complete its implementation in view of minimising exposure to high-risk suppliers and of avoiding dependency on these suppliers at national and EU level. ACKNOWLEDGES the commitments made by the Commission in its Communication from June 2023 to avoid exposure of its corporate communications to mobile networks using high-risk suppliers as well as to make its assessment available for the design of all relevant EU funding programmes and instruments. 33. 5Gサイバーセキュリティに関するEUツールボックス、協調リスクアセスメント、特定の認証スキームなどの技術的な取り組みに地政学的な配慮を統合することは、課題となり得ることを強調する。これは、脅威とリスクに効果的に対処する一方で、欧州市場の原則に十分配慮して取り組まれなければならない。加盟国による5Gサイバーセキュリティに関するEUツールボックスの措置の実施の進展を歓迎する。しかしながら、リスクの高い供給業者へのエクスポージャーを最小化し、国内およびEUレベルでこれらの供給業者への依存を回避する観点から、その実施を完了する必要性を強調する。欧州委員会が、2023年6月のコミュニケーションにおいて、リスクの高い供給業者を利用したモバイルネットワークへの企業通信のエクスポージャーを回避するとともに、その評価をすべての関連するEUの資金調達プログラムや手段の設計に利用できるようにすることを約束したことをアセスメントする。
THE CYBERSECURITY DIMENSION OF EMERGING AND DISRUPTIVE TECHNOLOGIES  新興技術および破壊的技術のサイバーセキュリティの側面 
34. STRESSES the attention needed from an EU cybersecurity policy perspective to the challenges and opportunities presented by emerging and disruptive technologies that are critical to our future development such as AI, quantum and 6G technology. RECOGNISES their potential to introduce game-changing threats to cybersecurity and UNDERSCORES the necessity of addressing these developments with sufficient care and attention. ACKNOWLEDGES at the same time the potential opportunities in the cybersecurity field these technologies offer, including technologies aiming to protect the confidentiality of digital communications such as end-to-end encryption, enhance protection measures and scale-up CSIRT services. Therefore, INVITES Member States, the Commission, ENISA and the NIS Cooperation Group to consider concrete non-legislative risk-based initiatives such as roadmaps and action plans to further guide EU action in this area, incentivising innovation and addressing risks efficiently by leveraging a broad range of existing tools and mechanisms. RECALLING that the use and development of technologies should respect human rights, be privacy-focused and that their use is lawful, safe and ethical. 34. EUのサイバーセキュリティ政策の観点から、AI、量子技術、6G技術など、我々の将来の発展に不可欠な新興技術や破壊的技術がもたらす課題と機会に注意を払う必要があることを強調する。サイバーセキュリティを大きく変える脅威をもたらす可能性を認識し、十分な注意と配慮をもってこれらの開発に取り組む必要性を支持する。同時に、エンドツーエンドの暗号化などデジタルコミュニケーションの機密性を保護する技術、保護対策の強化、CSIRTサービスの拡大など、これらの技術がサイバーセキュリティ分野にもたらす潜在的な機会についても言及する。よって、加盟国、欧州委員会、ENISAおよびNIS協力グループに対し、この分野におけるEUの行動をさらに導き、技術革新にインセンティブを与え、広範な既存のツールやメカニズムを活用することによりリスクに効率的に対処するための、ロードマップや行動計画といった、法律に基づかない具体的な取り組みを検討するよう要請する。技術の使用と開発は、人権を尊重し、プライバシーを重視し、その使用が合法的、安全かつ倫理的であるべきであることを想起する。
35. UNDERLINES that the transition to Post-Quantum Cryptography (PQC) has clear priority to protect classified and sensitive information in anticipation of the threats posed by future cryptographically relevant quantum computers. In this regard, ACKNOWLEDGES the Commission Recommendation on a Coordinated Implementation Roadmap for the transition to PQC addressing the current and future cybersecurity needs in Union entities, national public administrations and other critical infrastructure, taking into consideration the rapidly evolving computing power and novel trends in technologies. ENCOURAGES Member States to further engage and exchange views on activities and strategic decisions for the transition to PQC. RECOGNIZES that the transition to PQC may require hybrid schemes that combine this technology with existing cryptographic approaches. In the future, further improvements could allow quantum key distribution to also contribute to secure communications.  35. ポスト量子暗号(PQC)への移行は、暗号に関連する将来の量子コンピュータがもたらす脅威を予期し、機密情報および機微情報を保護するために明確な優先順位があることを強調する。この点に関し、欧州委員会は、急速に進化する計算能力と斬新な技術動向を考慮し、欧州連合の事業体、各国公共行政機関、その他の重要インフラにおける現在および将来のサイバーセキュリティのニーズに対応する、PQCへの移行のための調整された実施ロードマップに関する欧州委員会勧告を承認する。加盟国に対し、PQCへの移行のための活動や戦略的決定について、さらなる関与と意見交換を行うことを奨励する。PQC への移行には、この技術と既存の暗号アプローチを組み合わせたハイブリッド方式が必要になる可能性があることを認識する。将来的には、更なる改善により、量子鍵配布が安全なコミュニケーションにも貢献する可能性がある。
36. RECOGNISES the role of free and open-source software as a major public good of the digital age as well as the special nature of many open-source development models. NOTES that, given its prevalence in supply chains, free and open-source software also remains a major cybersecurity challenge in the EU and globally. However, the inherent and unique advantage is that its entirely transparent nature allows for security vulnerabilities to be comprehensively addressed. Therefore, UNDERLINES the need to promote a consistent, coherent and transparent policy approach to free and open-source software including concrete measures aimed at supporting the security of free and open-source software projects that are of public interest or widely used across the European economy.  36. デジタル時代の主要な公共財としてのフリー・オープンソースソフトウェアの役割と、 多くのオープンソース開発モデルの特殊性を認識する。サプライチェーンにおける普及を考慮すると、フリーでオープンソースのソフトウェアもまた、EU および世界的なサイバーセキュリティの主要な課題であることに留意する。しかし、その固有のユニークな利点は、完全に透明な性質により、セキュリティの脆弱性に包括的に対処できることである。そのため、公共的な関心や欧州経済全体で広く利用されているフリー・オープンソースソフトウェア・プロジェクトのセキュリティを支援することを目的とした具体的な対策を含め、フリー・オープンソースソフトウェアに対する一貫性、一貫性、透明性のある政策アプローチを推進する必要性を強調する。
CONCLUSION  結論 
37. CONCLUDES that in light of the changed and rising threat level, the EU Cybersecurity Strategy from December 2020 should be reviewed, updating its objectives and approach, setting a clear framework with roles and responsibilities for all entities involved, straightforward and efficient coordination mechanisms and an enhanced cooperation with the private sector and academia. Therefore INVITES the Commission and the High Representative to assess the results and gaps of the current Strategy and its impact, and to present on this basis a revised strategy without undue delay, which will reflect these Conclusions.  37. 脅威のレベルの変化と高まりを踏まえ、2020年12月からのEUサイバーセキュリティ戦略を見直し、その目的とアプローチを更新し、関係するすべての事業体の役割と責任を明確にした枠組みを設定し、わかりやすく効率的な調整メカニズムを構築し、民間部門や学界との協力を強化すべきである。よって、欧州委員会および上級代表に、現行戦略の成果とギャップ、その影響を評価し、これに基づき、本結論を反映した改訂戦略を過度な遅延なく提示するよう求める。

 

[1] 12109/13
[2] 15585/14
[3] 16200/14
[4] 6122/15+COR 1
[5] 14540/16
[6] 14435/17 + COR 1
[7] 10474/17
[8] 10086/18
[9] 10496/18
[10] OJ L 320, 17.12.2018, p.28-34
[11] 7737/19
[12] 14517/19
[13] 9596/19
[14] 14972/19
[15] 8711/20
[16] 13629/20
[17] 7290/21
[18] 8396/21
[19] 13048/21
[20] 7371/22
[21] 9364/22
[22] 13664/22
[23] 15721/22 and 9618/23
[24] 14512/23
[25] 15423/22
[26] C(2023) 4049 Final

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

EUCC...

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2021.05.26 ENISA (IoT製品)サイバーセキュリティ認証 (Certification) EUCCスキーム候補

 

サイバーレジリエンス法

・2024.04.05 欧州 ENISA サイバーレジリエンス法要件標準マッピング - 共同研究センター&ENISA共同分析

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...

 

サイバーセキュリティ法改正案の件...

・2023.04.21 欧州委員会 マネージド・セキュリティサービスの認証にむけたサイバーセキュリティ法の改正案 (2023.04.18)

・2023.04.21 欧州委員会 EUサイバー連帯法の提案 (2023.04.18)

 

 

・2024.01.09 欧州理事会 欧州連合の機構、団体、事務所および機関におけるサイバーセキュリティの高い共通レベルのための措置 (2023.12.13)

| | Comments (0)

EU 欧州理事会がAI法を承認...まもなく発効されますね...

こんにちは、丸山満彦です。

欧州理事会 (European Council) がAI法を承認 した(approved) ようですね...

 

European Coulcil

・2024.05.21 Artificial intelligence (AI) act: Council gives final green light to the first worldwide rules on AI

Artificial intelligence (AI) act: Council gives final green light to the first worldwide rules on AI 人工知能(AI)法: 理事会、AIに関する世界初の規則に最終的な許可を与える
Today the Council approved a ground-breaking law aiming to harmonise rules on artificial intelligence, the so-called artificial intelligence act. The flagship legislation follows a ‘risk-based’ approach, which means the higher the risk to cause harm to society, the stricter the rules. It is the first of its kind in the world and can set a global standard for AI regulation.  本日、欧州理事会は、人工知能に関する規則の調和を目指す画期的な法律、いわゆる人工知能法を承認した。この主要法案は「リスクベース」のアプローチに従っており、社会に危害を及ぼすリスクが高ければ高いほど、規則は厳しくなる。この種の法律は世界初であり、AI規制の世界標準となる可能性がある。
The new law aims to foster the development and uptake of safe and trustworthy AI systems across the EU’s single market by both private and public actors. At the same time, it aims to ensure respect of fundamental rights of EU citizens and stimulate investment and innovation on artificial intelligence in Europe. The AI act applies only to areas within EU law and provides exemptions such as for systems used exclusively for military and defence as well as for research purposes. 新法は、EUの単一市場において、民間および公的機関による安全で信頼できるAIシステムの開発と導入を促進することを目的としている。同時に、EU市民の基本的権利の尊重を確保し、欧州における人工知能への投資と技術革新を促進することも目的としている。AI法は、EU法の範囲内にある分野にのみ適用され、軍事・防衛や研究目的にのみ使用されるシステムなどの例外をプロバイダが規定している。
"The adoption of the AI act is a significant milestone for the European Union. This landmark law, the first of its kind in the world, addresses a global technological challenge that also creates opportunities for our societies and economies. With the AI act, Europe emphasizes the importance of trust, transparency and accountability when dealing with new technologies while at the same time ensuring this fast-changing technology can flourish and boost European innovation. "AI法の採択は、EUにとって重要なマイルストーンとなる。この種の法律としては世界初となるこの画期的な法律は、世界的な技術的課題に対処するものであり、同時に我々の社会と経済に機会を創出するものでもある。AI法によって、欧州は新技術に対処する際の信頼性、透明性、説明責任の重要性を強調すると同時に、この急速に変化する技術が繁栄し、欧州の技術革新を後押しできるようにする」と述べた。
Mathieu Michel, Belgian secretary of state for digitisation, administrative simplification, privacy protection, and the building regulation マチュー・ミシェル、ベルギー国務長官(デジタル化、行政簡素化、プライバシー保護、建築規制担当
Classification of AI systems as high-risk and prohibited AI practices AIシステムのハイリスク分類と禁止されるAI行為
The new law categorises different types of artificial intelligence according to risk. AI systems presenting only limited risk would be subject to very light transparency obligations, while high-risk AI systems would be authorised, but subject to a set of requirements and obligations to gain access to the EU market. AI systems such as, for example, cognitive behavioural manipulation and social scoring will be banned from the EU because their risk is deemed unacceptable. The law also prohibits the use of AI for predictive policing based on profiling and systems that use biometric data to categorise people according to specific categories such as race, religion, or sexual orientation.  新法は、リスクに応じて人工知能の種類を分類している。限定的なリスクしか示さないAIシステムには非常に軽い透明性義務が課される一方、リスクの高いAIシステムには認可が与えられるが、EU市場にアクセスするための一連の要件と義務が課される。例えば、認知行動操作やソーシャルスコアリングのようなAIシステムは、そのリスクが容認できないとみなされるため、EUからの参入が禁止される。また、プロファイリングに基づく予測的な取り締まりや、生体データを使用して人種、宗教、性的指向などの特定のカテゴリーに従って人々を分類するシステムへのAIの使用も禁止されている。
General purpose AI models 汎用AIモデル
The AI act also addresses the use of general-purpose AI (GPAI) models. AI法は、汎用AI(GPAI)モデルの使用にも言及している。
GPAI models not posing systemic risks will be subject to some limited requirements, for example with regard to transparency, but those with systemic risks will have to comply with stricter rules.  システミック・リスクをもたらさないGPAIモデルには、透明性などの限定的な要件が課されるが、システミック・リスクを伴うGPAIモデルには、より厳格なルールが適用される。
A new governance architecture 新たなガバナンス・アーキテクチャー
To ensure proper enforcement, several governing bodies are set up: 適切な執行を確保するため、いくつかのガバナンス団体が設立される:
・An AI Office within the Commission to enforce the common rules across the EU ・欧州委員会内にAI事務局を設置し、EU全域で共通のルールを施行する。
・A scientific panel of independent experts to support the enforcement activitie ・エンフォースメント活動を支援する独立専門家からなる科学委員会
・An AI Board with member states’ representatives to advise and assist the Commission and member states on consistent and effective application of the AI Act ・AI法の一貫した効果的な適用について欧州委員会と加盟国に助言し、支援する加盟国代表者によるAI委員会
・An advisory forum for stakeholders to provide technical expertise to the AI Board and the Commission  ・AI委員会と欧州委員会に技術的な専門知識を提供する利害関係者のためのアドバイザリー・フォーラム 
Penalties 罰則
The fines for infringements to the AI act are set as a percentage of the offending company’s global annual turnover in the previous financial year or a predetermined amount, whichever is higher. SMEs and start-ups are subject to proportional administrative fines.  AI法違反に対する罰金は、違反企業の前会計年度における全世界の年間売上高に対する割合、またはあらかじめ定められた金額のいずれか高い方に設定されている。中小企業や新興企業は、比例制の行政罰の対象となる。
Transparency and protection of fundamental rights 透明性と基本的権利の保護
Before a high-risk AI system is deployed by some entities providing public services, the fundamental rights impact will need to be assessed. The regulation also provides for increased transparency regarding the development and use of high-risk AI systems. High-risk AI systems, as well as certain users of a high-risk AI system that are public entities will need to be registered in the EU database for high-risk AI systems, and users of an emotion recognition system will have to inform natural persons when they are being exposed to such a system. 公共サービスを提供する事業体によっては、リスクの高いAIシステムが導入される前に、基本的人権への影響をアセスメントする必要がある。規制はまた、リスクの高いAIシステムの開発と使用に関する透明性の向上についてもプロバイダが規定している。高リスクのAIシステム、および高リスクのAIシステムの特定の利用者である公的事業体は、EUの高リスクAIシステム用データベースに登録する必要があり、感情認識システムの利用者は、そのようなシステムにさらされている場合、自然人に通知する必要がある。
Measures in support of innovation イノベーション支援措置
The AI act provides for an innovation-friendly legal framework and aims to promote evidence-based regulatory learning. The new law foresees that AI regulatory sandboxes, enabling a controlled environment for the development, testing and validation of innovative AI systems, should also allow for testing of innovative AI systems in real world conditions.  AI法は、イノベーションに優しい法的枠組みをプロバイダとして提供し、エビデンスに基づく規制の学習を促進することを目的としている。新法は、革新的なAIシステムの開発、テスト、検証のための管理された環境を可能にするAI規制のサンドボックスが、現実世界の条件下での革新的なAIシステムのテストも可能にすることを予見している。
Next steps 次のステップ
After being signed by the presidents of the European Parliament and of the Council, the legislative act will be published in the EU’s Official Journal in the coming days and enter into force twenty days after this publication. The new regulation will apply two years after its entry into force, with some exceptions for specific provisions.  欧州議会と欧州理事会の両議長が署名した後、この法律は数日中にEUの官報に掲載され、掲載から20日後に発効する。新規則は発効から2年後に適用されるが、特定の条項については例外がある。
Background 背景
The AI act is a key element of the EU’s policy to foster the development and uptake across the single market of safe and lawful AI that respects fundamental rights. The Commission (Thierry Breton, commissioner for internal market) submitted the proposal for the AI act in April 2021. Brando Benifei (S&D / IT) and Dragoş Tudorache (Renew Europe / RO) were the European Parliament’s rapporteurs on this file and a provisional agreement between the co-legislators was reached on 8 December 2023. AI法は、基本的権利を尊重し、安全かつ合法的なAIの開発と単一市場全体での普及を促進するEUの政策の重要な要素である。欧州委員会(ティエリー・ブルトン域内市場担当委員)は2021年4月、AI法の提案書を提出した。ブランド・ベニフェイ(S&D / IT)とドラゴシュ・トゥドラチェ(Renew Europe / RO)は、この案件に関する欧州議会の報告者を務め、2023年12月8日に共同立法者間の暫定合意に達した。
Regulation laying down harmonised rules on artificial intelligence (artificial intelligence act), 21 May 2024 人工知能に関する調和規則を定める規則(人工知能法) 2024年5月21日
Artificial Intelligence Act, Text of the provisional agreement, 2 February 2024 人工知能法、暫定合意文書、2024年2月2日
Artificial intelligence act, Commission proposal, 14 April 2021 人工知能法、欧州委員会提案、2021年4月14日
A European approach to artificial intelligence (European Commission information)  人工知能に対する欧州のアプローチ(欧州委員会情報) 
A digital future for Europe (background information) 欧州のデジタルな未来(背景情報)
Your life online: how the EU is making it easier and safer for you (feature story)  あなたのオンライン生活:EUはいかにしてより簡単で安全な生活を実現するか(特集記事) 
Artificial intelligence (background information) 人工知能(背景情報)

 

・[PDF] Regulation laying down harmonised rules on artificial intelligence (artificial intelligence act), 21 May 2024

20240521-213137

官報にのったら、きっとHTMLになるよね... ちなみにPDFだと419ページ...

 

 

まるちゃんの情報セキュリティ気まぐれ日記

AI法

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2023.12.10 欧州委員会、欧州議会がAI法について政治的合意

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

 

 

 

| | Comments (0)

2024.05.21

英国 科学技術革新省 先進AIの安全性に関する国際科学報告書

こんにちは、丸山満彦です。

英国の科学技術革新省とAI研究所が「先進AIの安全性に関する国際科学報告書」の中間報告を公表していますね...

「汎用AI(多種多様なタスクをこなすAI)の科学的理解の現状を、そのリスクの理解と管理に焦点をあててまとめたもの」ということのようです...

日本人としては、SONYのCTOの北野宏明さん[wikipedia]の名前がありますね...

参考文献の数がすごい...

 

・2024.05.17 [PDF] International Scientific Report on the Safety of Advanced AI

20240521-44605

・[DOCX][PDF] 仮訳

 

目次...

Forewords まえがき
Executive Summary エグゼクティブサマリー
1 Introduction 1 序文
2 Capabilities 2 能力
2.1 How does General-Purpose AI gain its capabilities? 2.1 汎用AIはどのようにして能力を獲得するのか?
2.2 What current general-purpose AI systems are capable of 2.2 現在の汎用AIシステムは何ができるのか?
2.2.1 Capabilities by modality . 2.2.1 モダリティ別の能力 .
2.2.2 Capabilities and limitations by skill . 2.2.2 スキル別の能力と限界 .
2.3 Recent trends in capabilities and their drivers  2.3 能力の最近の傾向とその促進要因 
2.3.1 Recent trends in compute, data, and algorithms 2.3.1 計算、データ、アルゴリズムに関する最近の傾向
2.3.2 Recent trends in capabilities 2.3.2 能力の最近の傾向
2.4 Capability progress in coming years  2.4 今後数年間における能力の進歩 
2.4.1 If resources continue to be scaled rapidly, would this lead to rapid advancements?  2.4.1 リソースが急速に拡張され続ければ、急速な進歩につながるか?
2.4.2 Will resources be scaled rapidly? . 2.4.2 リソースは急速に拡大するだろうか?
2.4.3 Will algorithmic progress lead to rapid advancements? . 2.4.3 アルゴリズムの進歩は急速な進歩をもたらすか?.
3 Methodology to assess and understand general-purpose AI systems . 3 汎用AIシステムのアセスメントと理解のための方法論 .
3.1 General-purpose AI assessments serve to evaluate model capabilities and impacts.  3.1 汎用AIのアセスメントは、モデルの能力と影響を評価するのに役立つ。
3.2 Approaches for model performance analysis  3.2 モデル性能分析のためのアプローチ 
3.2.1 Case studies  3.2.1 ケーススタディ 
3.2.2 Benchmarks  3.2.2 ベンチマーク 
3.2.3 Red-teaming and adversarial attacks 3.2.3 レッドチームと敵対的攻撃
3.2.4 Auditing  3.2.4 監査 
3.3 Model transparency, explanations, and interpretations  3.3 モデルの透明性、説明、解釈 
3.4 Challenges with studying general-purpose AI systems  3.4 汎用AIシステム研究の課題 
4 Risks  4 リスク 
4.1 Malicious use risks  4.1 悪意のある使用のリスク 
4.1.1 Harm to individuals through fake content  4.1.1 偽コンテンツによる個人への被害 
4.1.2 Disinformation and manipulation of public opinion  4.1.2 偽情報と世論操作 
4.1.3 Cyber offence . 4.1.3 サイバー犯罪
4.1.4 Dual use science risks 4.1.4 科学のデュアルユースリスク
4.2 Risks from malfunctions  4.2 誤作動によるリスク
4.2.1 Risks from product functionality issues  4.2.1 製品の機能問題によるリスク
4.2.2 Risks from bias and underrepresentation 4.2.2 バイアスと過少代表によるリスク
4.2.3 Loss of control 4.2.3 制御不能
4.3 Systemic risks  4.3 システミック・リスク 
4.3.1 Labour market risks  4.3.1 労働市場のリスク
4.3.2 Global AI divide 4.3.2 グローバルAI格差
4.3.3 Market concentration risks and single points of failure  4.3.3 市場集中リスクと単一障害点
4.3.4 Risks to the environment  4.3.4 環境に対するリスク
4.3.5 Risks to privacy  4.3.5 プライバシーに対するリスク 
4.3.6 Copyright infringement  4.3.6 著作権侵害 
4.4 Cross-cutting risk factors  4.4 分野横断的リスク要因 
4.4.1 Cross-cutting technical risk factors 4.4.1 分野横断的な技術的リスク要因
4.4.2 Cross-cutting societal risk factors  4.4.2 分野横断的な社会的リスク要因.
5 Technical approaches to mitigate risks  5 リスク低減のための技術的アプローチ 
5.1 Risk management and safety engineering  5.1 リスクマネジメントと安全工学 
5.1.1 Risk assessment 5.1.1 リスクアセスメント
5.1.2 Risk management 5.1.2 リスクマネジメント
5.2 Training more trustworthy models  5.2 より信頼できるモデルの育成 
5.2.1 Aligning general-purpose AI systems with developer intentions  5.2.1 汎用AIシステムと開発者の意図を一致させる 
5.2.2 Reducing the hallucination of falsehoods  5.2.2 虚偽の幻覚を減らす 
5.2.3 Improving robustness to failures  5.2.3 失敗に対する頑健性を改善する 
5.2.4 Removing hazardous capabilities  5.2.4 危険な能力を取り除く 
5.2.5 Analysing and editing the inner workings of models 5.2.5 モデルの内部構造を分析・編集する
5.3 Monitoring and intervention  5.3 監視と介入 
5.3.1 Detecting general-purpose AI-generated content . 5.3.1 生成的AIコンテンツの検知.
5.3.2 Detecting anomalies and attacks  5.3.2 異常や攻撃を検知する 
5.3.3 Explaining model actions . 5.3.3 モデルの行動を説明する .
5.3.4 Building safeguards into AI systems  5.3.4 AIシステムにセーフガードを組み込む 
5.4 Technical approaches to fairness and representation in general-purpose AI systems 5.4 汎用AIシステムにおける公平性と表現に対する技術的アプローチ
5.4.1 Mitigation of bias and discrimination works throughout the stages of general-purpose AI development and deployment 5.4.1 バイアスと識別の低減は、汎用AIの開発と展開のステージを通して機能する
5.4.2 Is fairness in general-purpose AI systems achievable? 5.4.2 汎用AIシステムにおける公平性は達成可能か?
5.4.3 Challenges in achieving fair general-purpose AI systems 5.4.3 公正な汎用AIシステムを実現する上での課題
5.5 Privacy methods for general-purpose AI systems 5.5 汎用AIシステムのプライバシー手法
6 Conclusion 6 まとめ
Chair’s note on the interim report 中間報告に対する座長のコメント
Differing views 見解の相違
Glossary 用語解説
References 参考文献

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブ・サマリー 
About this report  この報告書について 
• This is the interim publication of the first ‘International Scientific Report on the Safety of Advanced AI’. A diverse group of 75 artificial intelligence (AI) experts contributed to this report, including an international Expert Advisory Panel nominated by 30 countries, the European Union (EU), and the United Nations (UN).  • 本書は、初の「先進的AIの安全性に関する国際科学報告書」の中間発表である。この報告書には、30カ国、欧州連合(EU)、国連(UN)から推薦された国際専門家諮問委員会を含む、75人の人工知能(AI)の専門家からなる多様なグループが貢献した。 
• Led by the Chair of this report, the independent experts writing this report collectively had full discretion over its content.  • 本報告書の議長を筆頭に、本報告書を執筆した独立専門家たちは、その内容に関して全面的な裁量権を有していた。 
• At a time of unprecedented progress in AI development, this first publication restricts its focus to a type of AI that has advanced particularly rapidly in recent years: General-purpose AI, or AI that can perform a wide variety of tasks. Amid rapid advancements, research on general-purpose AI is currently in a time of scientific discovery and is not yet settled science.  • AIの開発がかつてないほど進展している現在、この最初の出版物は、近年特に急速に進歩しているAIのタイプに焦点を絞っている:汎用AI、すなわちさまざまなタスクを実行できるAIである。急速な進歩の中で、汎用AIの研究は現在、科学的発見の時期にあり、まだ定まった科学ではない。 
• People around the world will only be able to enjoy general-purpose AI’s many potential benefits safely if its risks are appropriately managed. This report focuses on identifying these risks and evaluating technical methods for assessing and mitigating them. It does not aim to comprehensively assess all possible societal impacts of general-purpose AI, including its many potential benefits.  • そのリスクが適切に管理されて初めて、世界中の人々が汎用AIの多くの潜在的利益を安全に享受できるようになる。本報告書は、こうしたリスクを特定し、それを評価・軽減するための技術的手法を評価することに焦点を当てている。汎用AIがもたらす多くの潜在的便益を含め、考えられるすべての社会的影響を包括的に評価することを目的としたものではない。 
• For the first time in history, this interim report brought together experts nominated by 30 countries, the EU, and the UN, and other world-leading experts, to provide a shared scientific, evidence-based foundation for discussions and decisions about general-purpose AI safety. We continue to disagree on several questions, minor and major, around general-purpose AI capabilities, risks, and risk mitigations. But we consider this project essential for improving our collective understanding of this technology and its potential risks, and for moving closer towards consensus and effective risk mitigation to ensure people can experience the potential benefits of general-purpose AI safely. The stakes are high. We look forward to continuing this effort.  • 史上初めて、この中間報告書は、30カ国、EU、国連から推薦された専門家と、その他の世界をリードする専門家が一堂に会し、汎用AIの安全性に関する議論と意思決定のための、科学的根拠に基づく共通の基盤を提供した。我々は、汎用AIの能力、リスク、リスク軽減策をめぐるいくつかの疑問について、些細なものから大きなものまで、意見の相違が続いている。しかし、我々はこのプロジェクトが、このテクノロジーとその潜在的リスクに関する我々の集合的理解を向上させ、人々が安全に汎用AIの潜在的利益を体験できるようにするためのコンセンサスと効果的なリスク軽減に近づくために不可欠であると考えている。賭け金は大きい。我々は、この取り組みを継続することを楽しみにしている。
Highlights of the executive summary  エグゼクティブ・サマリーのハイライト 
• If properly governed, general-purpose AI can be applied to advance the public interest, potentially leading to enhanced wellbeing, more prosperity, and new scientific discoveries. However, malfunctioning or maliciously used general-purpose AI can also cause harm, for instance through biased decisions in high-stakes settings or through scams, fake media, or privacy violations.  • 適切に管理されれば、汎用AIは公共の利益を増進するために応用され、幸福の増進、さらなる繁栄、新たな科学的発見につながる可能性がある。しかし、誤作動や悪意を持って使用された汎用AIは、例えば、利害関係の強い場面での偏った判断や、詐欺、フェイクメディア、プライバシー侵害などを通じて、危害をもたらす可能性もある。 
• As general-purpose AI capabilities continue to advance, risks such as large-scale labour market impacts, AI-enabled hacking or biological attacks, and society losing control over general-purpose AI could emerge, although the likelihood of these scenarios is debated among researchers. Different views on these risks often stem from differing expectations about the steps society will take to limit them, the effectiveness of those steps, and how rapidly general-purpose AI capabilities will be advanced.  • 汎用AIの能力が進歩し続けるにつれて、大規模な労働市場への影響、AIを利用したハッキングや生物学的攻撃、社会が汎用AIを制御できなくなるといったリスクが出現する可能性があるが、こうしたシナリオの可能性については研究者の間で議論が分かれている。これらのリスクに関する見解の違いは、社会がリスクを制限するために取る措置、その措置の有効性、汎用AIの能力がどの程度急速に進歩するかについての期待の違いから生じることが多い。 
• There is considerable uncertainty about the rate of future progress in general-purpose AI capabilities. Some experts think a slowdown of progress is by far most likely, while other experts think that extremely rapid progress is possible or likely.  • 汎用AI能力の将来的な進歩速度にはかなりの不確実性がある。進歩が鈍化する可能性が圧倒的に高いと考える専門家もいれば、極めて急速な進歩が可能またはあり得ると考える専門家もいる。 
• There are various technical methods to assess and reduce risks from general-purpose AI that developers can employ and regulators can require, but they all have limitations. For example, current techniques for explaining why general-purpose AI models produce any given output are severely limited.  • 汎用AIによるリスクを評価し、低減するために、開発者が採用でき、規制当局が要求できるさまざまな技術的手法があるが、いずれも限界がある。例えば、汎用AIモデルがどのようなアウトプットを出すのかを説明するための現在の技術は、非常に限られている。 
• The future of general-purpose AI technology is uncertain, with a wide range of trajectories appearing possible even in the near future, including both very positive and very negative outcomes. But nothing about the future of AI is inevitable. It will be the decisions of societies and governments that will determine the future of AI. This interim report aims to facilitate constructive discussion about these decisions.  • 汎用AI技術の未来は不確実であり、非常にポジティブな結果も非常にネガティブな結果も含め、近い将来でさえ幅広い軌跡があり得ると思われる。しかし、AIの未来に必然性はない。AIの未来を決定するのは、社会と政府の決断である。本中間報告書は、こうした決定に関する建設的な議論を促進することを目的としている。 
This report synthesises the state of scientific understanding of general-purpose AI – AI that can perform a wide variety of tasks – with a focus on understanding and managing its risks  本報告書は、汎用AI(多種多様なタスクをこなすAI)の科学的理解の現状を、そのリスクの理解と管理に焦点をあててまとめたものである。 
The capabilities of systems using AI have been advancing rapidly. This has highlighted the many opportunities that AI creates for business, research, government, and private life. It has also led to an increased awareness of current harms and potential future risks associated with advanced AI.  AIを使ったシステムの能力は急速に進歩している。このことは、AIがビジネス、研究、政府、私生活にもたらす多くの機会を浮き彫りにしている。また、高度なAIに関連する現在の危害や将来の潜在的なリスクに対する認識も高まっている。 
The purpose of the International Scientific Report on the Safety of Advanced AI is to take a step towards a shared international understanding of AI risks and how they can be mitigated. This first interim publication of the report restricts its focus to a type of AI whose capabilities have advanced particularly rapidly: general-purpose AI, or AI that can perform a wide variety of tasks.  先進AIの安全性に関する国際科学報告書」の目的は、AIのリスクとその軽減方法について、国際的な共通理解を得るための一歩を踏み出すことである。この報告書の最初の中間発表では、特に急速に能力が進歩したAIの種類、すなわち汎用AI、すなわち多種多様なタスクを実行できるAIに焦点を絞っている。 
Amid rapid advancements, research on general-purpose AI is currently in a time of scientific discovery and is not yet settled science. The report provides a snapshot of the current scientific understanding of general-purpose AI and its risks. This includes identifying areas of scientific consensus and areas where there are different views or open research questions.  急速な進歩の中で、汎用AIの研究は現在、科学的発見の時期にあり、まだ科学として確立していない。本報告書は、汎用AIとそのリスクに関する現在の科学的理解のスナップショットを提供する。これには、科学的コンセンサスが得られている分野と、異なる見解や未解決の研究課題がある分野の特定が含まれる。 
People around the world will only be able to enjoy the potential benefits of general-purpose AI safely if its risks are appropriately managed. This report focuses on identifying risks from general-purpose AI and evaluating technical methods for assessing and mitigating them, including the beneficial use of general-purpose AI to mitigate risks. It does not aim to comprehensively assess all possible societal impacts of general-purpose AI, including what benefits it may offer.  汎用AIのリスクが適切に管理されて初めて、世界中の人々が汎用AIの潜在的な恩恵を安全に享受できるようになる。本報告書は、汎用AIがもたらすリスクを特定し、リスクを軽減するための汎用AIの有益な利用を含め、リスクを評価・軽減するための技術的手法を評価することに焦点を当てている。汎用AIがどのような便益をもたらすかも含め、汎用AIの社会的影響の可能性をすべて包括的に評価することは目的としていない。 
General-purpose AI capabilities have grown rapidly in recent years according to many metrics, and there is no consensus on how to predict future progress, making a wide range of scenarios appear possible  多くの指標によれば、汎用AIの能力は近年急速に成長しており、将来の進歩を予測する方法についてコンセンサスは得られていない。 
According to many metrics, general-purpose AI capabilities are progressing rapidly. Five years ago, the leading general-purpose AI language models could rarely produce a coherent paragraph of text. Today, some general-purpose AI models can engage in multi-turn conversations on a wide range of topics, write short computer programs, or generate videos from a description. However, the capabilities of general-purpose AI are difficult to estimate reliably and define precisely.  多くの指標によれば、汎用AIの能力は急速に進歩している。5年前、主要な汎用AI言語モデルは、まとまった段落の文章をほとんど作成できなかった。今日、いくつかの汎用AIモデルは、幅広いトピックについて何ターンも会話をしたり、短いコンピューター・プログラムを書いたり、説明から動画を生成したりできる。しかし、汎用AIの能力を確実に見積もり、正確に定義することは難しい。 
The pace of general-purpose AI advancement depends on both the rate of technological advancements and the regulatory environment. This report focuses on the technological aspects and does not provide a discussion of how regulatory efforts might affect the speed of development and deployment of general-purpose AI.  汎用AIの進歩のペースは、技術進歩の速度と規制環境の両方に左右される。本報告書では、技術的な側面に焦点を当て、規制の取り組みが汎用AIの開発・展開のスピードにどのような影響を与えるかについては触れていない。 
AI developers have rapidly advanced general-purpose AI capabilities in recent years mostly by continuously increasing resources used for training new models (a trend called ‘scaling’) and refining existing algorithms. For example, state-of-the-art AI models have seen annual increases of approximately 4x in computational resources (‘compute’) used for training, 2.5x in training dataset size, and 1.5-3x in algorithmic efficiency (performance relative to compute). Whether ‘scaling’ has resulted in progress on fundamental challenges such as causal reasoning is debated among researchers.  AI開発者は近年、新しいモデルの学習に使用するリソースを継続的に増やし(「スケーリング」と呼ばれる傾向)、既存のアルゴリズムを改良することで、汎用AIの能力を急速に高めてきた。例えば、最先端のAIモデルでは、学習に使用される計算リソース(「コンピュート」)が毎年約4倍、学習データセットサイズが2.5倍、アルゴリズム効率(コンピュートに対するパフォーマンス)が1.5~3倍に増加している。スケーリング」が因果推論のような基本的な課題の進展をもたらしたかどうかは、研究者の間で議論されている。 
The pace of future progress in general-purpose AI capabilities has substantial implications for managing emerging risks, but experts disagree on what to expect even in the near future. Experts variously support the possibility of general-purpose AI capabilities advancing slowly, rapidly, or extremely rapidly. This disagreement involves a key question: will continued ‘scaling’ of resources and refining existing techniques be sufficient to yield rapid progress and solve issues such as reliability and factual accuracy, or are new research breakthroughs required to substantially advance generalpurpose AI abilities?  汎用AI能力の今後の進歩ペースは、新たなリスクを管理する上で大きな意味を持つが、専門家の間でも、近い将来に何が起こるかについては意見が分かれている。専門家の間では、汎用AIの能力がゆっくりと、あるいは急速に、あるいは極めて急速に進歩する可能性をさまざまに支持している。この意見の相違は、リソースの「スケーリング」を継続し、既存の技術を洗練させるだけで、急速な進歩をもたらし、信頼性や事実の正確さといった問題を解決するのに十分なのか、それとも、汎用AIの能力を大幅に向上させるためには、新たな研究のブレークスルーが必要なのか、という重要な問題を含んでいる。 
Several leading companies that develop general-purpose AI are betting on ‘scaling’ to continue leading to performance improvements. If recent trends continue, by the end of 2026 some general-purpose AI models will be trained using 40x to 100x more compute than the most compute-intensive models published in 2023, combined with training methods that use this compute 3x to 20x more efficiently. However, there are potential bottlenecks to further increasing both data and compute, including the availability of data, AI chips, capital expenditure, and local energy capacity. Companies developing general-purpose AI are working to navigate these potential bottlenecks.  汎用AIを開発するいくつかの大手企業は、性能向上につながり続ける「スケーリング」に賭けている。最近のトレンドが続けば、2026年末までに、汎用AIモデルのいくつかは、2023年に発表された最も計算負荷の高いモデルよりも40倍から100倍多い計算量を使用して学習され、この計算量を3倍から20倍効率的に使用する学習方法と組み合わされることになる。しかし、データ、AIチップ、資本支出、地域のエネルギー容量などの利用可能性を含め、データと計算の両方をさらに増やすには潜在的なボトルネックがある。汎用AIを開発している企業は、これらの潜在的なボトルネックを回避するために取り組んでいる。 
Several research efforts aim to understand and evaluate generalpurpose AI more reliably, but our overall understanding of how general-purpose AI models and systems work is limited  汎用AIをより確実に理解し、評価することを目的とした研究はいくつかあるが、汎用AIのモデルやシステムがどのように機能するかについての全体的な理解は限られている。 
Approaches to managing risks from general-purpose AI often rest on the assumption that AI developers and policymakers can assess the capabilities and potential impacts of general-purpose AI models and systems. But while technical methods can help with assessment, all existing methods have limitations and cannot provide strong assurances against most harms related to general-purpose AI. Overall, the scientific understanding of the inner workings, capabilities, and societal impacts of general-purpose AI is very limited, and there is broad expert agreement that it should be a priority to improve our understanding of general-purpose AI. Some of the key challenges include:  汎用AIによるリスクを管理するアプローチは、AIの開発者や政策立案者が汎用AIのモデルやシステムの能力と潜在的な影響を評価できるという前提に立っていることが多い。しかし、技術的な手法は評価に役立つとはいえ、既存の手法にはすべて限界があり、汎用AIに関連するほとんどの危害に対して強力な保証を提供することはできない。全体として、汎用AIの内部構造、能力、社会的影響に関する科学的理解は非常に限られており、汎用AIの理解を深めることを優先すべきであるとする専門家の幅広い合意がある。主な課題には以下のようなものがある: 
• Developers still understand little about how their general-purpose AI models operate. This is because general-purpose AI models are not programmed in the traditional sense. Instead, they are trained: AI developers set up a training process that involves a lot of data, and the outcome of that training process is the general-purpose AI model. These models can consist of trillions of components, called parameters, and most of their inner workings are inscrutable, including to the model developers. Model explanation and interpretability techniques can improve researchers’ and developers’ understanding of how general-purpose AI models operate, but this research is nascent.  • 開発者は、汎用AIモデルがどのように動作するかについて、まだほとんど理解していない。というのも、汎用AIモデルは伝統的な意味でプログラミングされるわけではないからだ。その代わりに訓練される:AI開発者は、多くのデータを含む学習プロセスを設定し、その学習プロセスの結果が汎用AIモデルである。これらのモデルは、パラメータと呼ばれる何兆ものコンポーネントで構成されることがあり、その内部の仕組みのほとんどは、モデル開発者を含めて不可解である。モデルの説明と解釈可能性の技術は、汎用AIモデルがどのように動作するかについての研究者や開発者の理解を向上させることができるが、この研究はまだ始まったばかりである。 
• General-purpose AI is mainly assessed through testing the model or system on various inputs. These spot checks are helpful for assessing strengths and weaknesses, including vulnerabilities and potentially harmful capabilities, but do not provide quantitative safety guarantees. The tests often miss hazards and overestimate or underestimate capabilities because general-purpose AI systems may behave differently in different circumstances, with different users, or with additional adjustments to their components.  • 汎用AIは主に、モデルやシステムを様々な入力でテストすることで評価される。これらの抜き取り検査は、脆弱性や潜在的に有害な能力を含む長所と短所を評価するのに役立つが、定量的な安全性を保証するものではない。汎用AIシステムは、異なる状況、異なるユーザー、あるいはコンポーネントの追加調整によって異なる挙動を示す可能性があるため、テストはしばしば危険性を見逃し、能力を過大評価または過小評価する。 
• Independent actors can, in principle, audit general-purpose AI models or systems developed by a company. However, companies often do not provide independent auditors with the necessary level of direct access to models or the information about data and methods used that are needed for rigorous assessment. Several governments are beginning to build capacity for conducting technical evaluations and audits.  • 独立監査人は、原則として、企業が開発した汎用AIモデルやシステムを監査することができる。しかし、企業は独立監査人に対し、モデルへの必要なレベルの直接アクセスや、厳密な評価に必要なデータや使用方法に関する情報を提供しないことが多い。いくつかの政府は、技術的な評価や監査を実施するための能力を構築し始めている。 
• It is difficult to assess the downstream societal impact of a general-purpose AI system because research into risk assessment has not been sufficient to produce rigorous and comprehensive assessment methodologies. In addition, general-purpose AI has a wide range of use cases, which are often not predefined and only lightly restricted, complicating risk assessment further. Understanding the potential downstream societal impacts of general-purpose AI models and systems requires nuanced and multidisciplinary analysis. Increasing the representation of diverse perspectives in general-purpose AI development and evaluation processes is an ongoing technical and institutional challenge.  • リスク評価に関する研究が十分でなく、厳密かつ包括的な評価手法が生み出されていないため、汎用AIシステムの下流社会への影響を評価することは困難である。加えて、汎用AIには幅広いユースケースがあり、それらは多くの場合、事前に定義されておらず、軽く制限されているに過ぎないため、リスク評価をさらに複雑にしている。汎用AIのモデルやシステムが下流社会に与える潜在的な影響を理解するには、微妙で学際的な分析が必要である。汎用AIの開発・評価プロセスにおいて、多様な視点の代表を増やすことは、技術的・制度的な継続課題である。 
General-purpose AI can pose severe risks to individual and public safety and wellbeing  汎用AIは、個人や公共の安全と福利に深刻なリスクをもたらす可能性がある。 
This report classifies general-purpose AI risks into three categories: malicious use risks, risks from malfunctions, and systemic risks. It also discusses several cross-cutting factors that contribute to many risks.  本報告書では、汎用AIのリスクを「悪意のある使用によるリスク」「誤作動によるリスク」「システム的リスク」の3つに分類している。また、多くのリスクに寄与するいくつかの横断的要因についても論じている。 
Malicious use. Like all powerful technologies, general-purpose AI systems can be used maliciously to cause harm. Possible types of malicious use range from relatively well-evidenced ones, such as scams enabled by general-purpose AI, to ones that some experts believe might occur in the coming years, such as malicious use of scientific capabilities of general-purpose AI.  意のある使用。あらゆる強力なテクノロジーと同様、汎用AIシステムも悪意を持って利用され、被害をもたらす可能性がある。悪意のある利用には、汎用AIが可能にする詐欺のような比較的実証済みのものから、汎用AIの科学的能力を悪意を持って利用するような、今後数年のうちに起こりうると考える専門家もいる。 
• Harm to individuals through fake content generated by general-purpose AI is a relatively welldocumented class of general-purpose AI malicious use. General-purpose AI can be used to increase the scale and sophistication of scams and fraud, for example through ‘phishing’ attacks enhanced by general-purpose AI. General-purpose AI can also be used to generate fake compromising content featuring individuals without their consent, such as non-consensual deepfake pornography.  • 汎用AIによって生成された偽コンテンツによる個人への被害は、汎用AIの悪意のある使用の中でも比較的文書化されている分類である。汎用AIは、例えば、汎用AIによって強化された「フィッシング」攻撃によって、詐欺や不正行為の規模を拡大し、巧妙化するために使用することができる。汎用AIはまた、非同意のディープフェイクポルノなど、個人を主人公とする偽の危ういコンテンツを本人の同意なしに生成するために使用されることもある。 
• Another area of concern is the malicious use of general-purpose AI for disinformation and manipulation of public opinion. General-purpose AI and other modern technologies make it easier to generate and disseminate disinformation, including in an effort to affect political processes. Technical countermeasures like watermarking content, although useful, can usually be circumvented by moderately sophisticated actors.  • もうひとつ懸念されるのは、偽情報や世論操作のために汎用AIが悪意を持って利用されることだ。汎用AIやその他の最新テクノロジーは、政治的プロセスに影響を与える試みも含め、偽情報の生成と拡散を容易にする。コンテンツの電子透かしのような技術的な対策は、有用ではあるが、中程度に洗練された行為者であれば、通常は回避することができる。 
• General-purpose AI might also be maliciously used for cyber offence, uplifting the cyber expertise of individuals and making it easier for malicious users to conduct effective cyber-attacks. General-purpose AI systems can be used to scale and partially automate some types of cyber operations, such as social engineering attacks. However, general-purpose AI could also be used in cyber defence. Overall, there is not yet any substantial evidence suggesting that general-purpose AI can automate sophisticated cybersecurity tasks.  • 汎用AIは悪意を持ってサイバー犯罪に利用される可能性もあり、個人のサイバー専門知識を高め、悪意のあるユーザーが効果的なサイバー攻撃を行うことを容易にする。汎用AIシステムは、ソーシャル・エンジニアリング攻撃など、ある種のサイバー操作の規模を拡大し、部分的に自動化するために使用することができる。しかし、汎用AIはサイバー防衛にも利用できる。全体として、汎用AIが高度なサイバーセキュリティタスクを自動化できることを示唆する実質的な証拠はまだない。 
• Some experts have also expressed concern that general-purpose AI could be used to support the development and malicious use of weapons, such as biological weapons. There is no strong evidence that current general-purpose AI systems pose this risk. For example, although current general-purpose AI systems demonstrate growing capabilities related to biology, the limited studies available do not provide clear evidence that current systems can ‘uplift’ malicious actors to obtain biological pathogens more easily than could be done using the internet. However, future large-scale threats have scarcely been assessed and are hard to rule out.  • また、一部の専門家は、汎用AIが生物兵器のような兵器の開発や悪意のある使用を支援するために使用される可能性があると懸念を表明している。現在の汎用AIシステムがこのようなリスクをもたらすという強い証拠はない。例えば、現在の汎用AIシステムは、生物学に関連する能力が高まっていることを示してはいるが、利用可能な限られた研究では、現在のシステムが悪意のある行為者を「高揚」させ、インターネットを利用するよりも簡単に生物学的病原体を入手できるという明確な証拠は得られていない。しかし、将来の大規模な脅威はほとんど評価されておらず、排除することは難しい。 
Risks from malfunctions. Even when users have no intention to cause harm, serious risks can arise due to the malfunctioning of general-purpose AI. Such malfunctions can have several possible causes and consequences:  誤作動によるリスク。利用者に危害を加える意図がない場合でも、汎用AIの誤作動によって深刻なリスクが生じる可能性がある。このような誤作動には、いくつかの原因と結果が考えられる: 
• The functionality of products based on general-purpose AI models and systems might be poorly understood by their users, for example due to miscommunication or misleading advertising. This can cause harm if users then deploy the systems in unsuitable ways or for unsuitable purposes.  • 汎用のAIモデルやシステムに基づく製品の機能は、例えば誤ったコミュニケーションや誤解を招くような宣伝のために、利用者に十分に理解されない可能性がある。そのため、ユーザーが不適切な方法や不適切な目的でシステムを導入すると、弊害が生じる可能性がある。 
• Bias in AI systems generally is a well-evidenced problem and remains unsolved for generalpurpose AI, too. General-purpose AI outputs can be biased with respect to protected characteristics like race, gender, culture, age, and disability. This can create risks, including in highstakes domains such as healthcare, job recruitment, and financial lending. In addition, many widely-used general-purpose AI models are primarily trained on data that disproportionately represents Western cultures, which can increase the potential for harm to individuals not represented well by this data.  • AIシステムにおける一般的なバイアスは、十分に証明された問題であり、汎用AIにおいても未解決のままである。汎用AIの出力は、人種、性別、文化、年齢、障害などの保護特性に関して偏る可能性がある。このことは、医療、求人、金融融資など、利害関係の大きい領域を含め、リスクを生じさせる可能性がある。さらに、広く使用されている汎用AIモデルの多くは、主に西洋文化を不当に代表するデータで訓練されているため、このデータではうまく表現されない個人に危害が及ぶ可能性が高まる。 
• 'Loss of control’ scenarios are potential future scenarios in which society can no longer meaningfully constrain general-purpose AI systems, even if it becomes clear that they are causing harm. There is broad consensus that current general-purpose AI lacks the capabilities to pose this risk. Some experts believe that current efforts to develop general-purpose autonomous AI – systems that can act, plan, and pursue goals – could lead to a loss of control if successful. Experts disagree about how plausible loss-of-control scenarios are, when they might occur, and how difficult it would be to mitigate them.  • 「制御不能」シナリオとは、汎用AIシステムが害を及ぼしていることが明らかになったとしても、社会がもはや意味のある制約を与えることができないような、将来の潜在的シナリオである。現在の汎用AIには、このようなリスクを引き起こす能力が欠けているという点については、幅広いコンセンサスが得られている。一部の専門家は、汎用の自律型AI(行動し、計画を立て、目標を追求できるシステム)を開発する現在の取り組みが成功すれば、制御不能に陥る可能性があると考えている。制御不能のシナリオがどの程度確からしいか、いつ起こりうるか、それを緩和するのがどの程度難しいかについては、専門家の間でも意見が分かれている。 
Systemic risks. The widespread development and adoption of general-purpose AI technology poses several systemic risks, ranging from potential labour market impacts to privacy risks and environmental effects:  システミックリスク。汎用AI技術の広範な開発と採用は、潜在的な労働市場への影響からプライバシーリスクや環境への影響に至るまで、いくつかのシステミック・リスクをもたらす: 
• General-purpose AI, especially if it further advances rapidly, has the potential to automate a very wide range of tasks, which could have a significant effect on the labour market. This could mean many people could lose their current jobs. However, many economists expect that potential job losses could be offset, possibly completely, by the creation of new jobs and by increased demand in non-automated sectors.  • 特に汎用AIが急速に進歩すれば、非常に幅広い作業を自動化できる可能性があり、労働市場に大きな影響を与える可能性がある。これは、多くの人々が現在の仕事を失う可能性があることを意味する。しかし、多くのエコノミストは、潜在的な雇用損失は、新たな雇用の創出や非自動化分野での需要増加によって、場合によっては完全に相殺されると予想している。 
• General-purpose AI research and development is currently concentrated in a few Western countries and China. This 'AI Divide' is multicausal, but in part stems from differing levels of access to the compute needed to develop general-purpose AI. Since low-income countries and academic institutions have less access to compute than high-income countries and technology companies do, they are placed at a disadvantage.  • 汎用AIの研究開発は現在、一部の欧米諸国と中国に集中している。この「AI格差」は多因子にわたっているが、汎用AIの開発に必要な計算機へのアクセスレベルの差に起因する部分もある。低所得国や学術機関は、高所得国やテクノロジー企業に比べて計算機へのアクセスが少ないため、不利な立場に置かれている。 
• The resulting market concentration in general-purpose AI development makes societies more vulnerable to several systemic risks. For instance, the widespread use of a small number of general-purpose AI systems in critical sectors like finance or healthcare could cause simultaneous failures and disruptions on a broad scale across these interdependent sectors, for instance because of bugs or vulnerabilities.  • その結果、汎用AI開発における市場の集中は、社会をいくつかのシステミックリスクに対してより脆弱にする。例えば、金融や医療などの重要な分野で少数の汎用AIシステムが広く使用されることで、バグや脆弱性などが原因で、相互依存関係にあるこれらの分野全体で同時に大規模な障害や混乱が発生する可能性がある。 
• Growing compute use in general-purpose AI development and deployment has rapidly increased energy usage associated with general-purpose AI. This trend shows no indications of moderating, potentially leading to further increased CO2 emissions and water consumption.  • 汎用AIの開発・導入におけるコンピュート利用の拡大により、汎用AIに関連するエネルギー使用量が急速に増加している。この傾向は弱まる気配がなく、CO2 排出量と水消費量のさらなる増加につながる可能性がある。 
• General-purpose AI models or systems can pose risks to privacy. For instance, research has shown that by using adversarial inputs, users can extract training data containing information about individuals from a model. For future models trained on sensitive personal data like health or financial data, this may lead to particularly serious privacy leaks.  • 汎用のAIモデルやシステムは、プライバシーにリスクをもたらす可能性がある。例えば、敵対的な入力を使用することで、ユーザーはモデルから個人に関する情報を含むトレーニングデータを抽出できることが研究で示されている。将来、健康や金融データのようなセンシティブな個人データをトレーニングしたモデルの場合、これは特に深刻なプライバシー漏洩につながる可能性がある。 
• Potential copyright infringements in general-purpose AI development pose a challenge to traditional intellectual property laws, as well as to systems of consent, compensation, and control over data. An unclear copyright regime disincentivises general-purpose AI developers from declaring what data they use and makes it unclear what protections are afforded to creators whose work is used without their consent to train general-purpose AI models.  • 汎用AI開発における潜在的な著作権侵害は、従来の知的財産法だけでなく、同意、補償、データに対する管理体制にも課題を突きつけている。不明確な著作権制度は、汎用AI開発者がどのようなデータを使用しているかを申告する意欲を失わせ、汎用AIモデルを訓練するために同意なしに作品が使用されるクリエイターに対してどのような保護が与えられるかを不明確にしている。 
Cross-cutting risk factors. Underpinning the risks associated with general-purpose AI are several cross-cutting risk factors – characteristics of general-purpose AI that increase the probability or severity of not one but several risks:  横断的リスク要因。汎用AIに関連するリスクの根底には、いくつかの横断的なリスク要因がある。つまり、汎用AIの特性は、1つのリスクだけでなく、複数のリスクの確率や深刻度を高める: 
• Technical cross-cutting risk factors include the difficulty of ensuring that general-purpose AI systems reliably behave as intended, our lack of understanding of their inner workings, and the ongoing development of general-purpose AI ‘agents’ which can act autonomously with reduced oversight.  • 技術的な横断的リスク要因としては、汎用AIシステムが意図したとおりに確実に動作することを保証することの難しさ、AIシステムの内部構造に関する我々の理解不足、監視を減らして自律的に行動できる汎用AI「エージェント」の開発進行中などが挙げられる。 
• Societal cross-cutting risk factors include the potential disparity between the pace of technological progress and the pace of a regulatory response, as well as competitive incentives for AI developers to release products quickly, potentially at the cost of thorough risk management.  • 社会的な横断的リスク要因としては、技術進歩のペースと規制対応のペースの間に潜在的な乖離があることや、AI開発者にとって、徹底したリスク管理を犠牲にしてでも製品を迅速にリリースしようとする競争上のインセンティブがあることなどが挙げられる。 
Several technical approaches can help mitigate risks, but no currently known method provides strong assurances or guarantees against harm associated with general-purpose AI  いくつかの技術的アプローチはリスクを軽減するのに役立つが、現在知られている方法で、汎用AIに関連する危害に対する強力な保証や保証を提供できるものはない。 
While this report does not discuss policy interventions for mitigating risks from general-purpose AI, it does discuss technical risk mitigation methods on which researchers are making progress. Despite this progress, current methods have not reliably prevented even overtly harmful general-purpose AI outputs in real-world contexts. Several technical approaches are used to assess and mitigate risks:  本報告書では、汎用AIによるリスクを軽減するための政策的介入については論じないが、研究者が進歩を遂げている技術的なリスク軽減方法については論じる。このような進展にもかかわらず、現在の手法では、実世界の文脈においてあからさまに有害な汎用AIの出力さえも確実に防ぐことはできていない。リスクの評価と軽減には、いくつかの技術的アプローチが用いられている: 
• There is some progress in training general-purpose AI models to function more safely. Developers also train models to be more robust to inputs that are designed to make them fail (‘adversarial training’). Despite this, adversaries can typically find alternative inputs that reduce the effectiveness of safeguards with low to moderate effort. Limiting a general-purpose AI system’s capabilities to a specific use case can help to reduce risks from unforeseen failures or malicious use.  • 汎用のAIモデルをより安全に機能させるためのトレーニングはある程度進んでいる。開発者はまた、モデルが失敗するように設計された入力に対してより頑健になるように訓練している(「敵対的訓練」)。にもかかわらず、敵は通常、安全装置の有効性を低下させる代替入力を低~中程度の労力で見つけることができる。汎用AIシステムの能力を特定のユースケースに限定することで、予期せぬ失敗や悪意のある使用によるリスクを低減することができる。 
• There are several techniques for identifying risks, inspecting system actions, and evaluating performance once a general-purpose AI system has been deployed. These practices are often referred to as ‘monitoring’.  • 汎用AIシステムが配備された後、リスクを特定し、システムの動作を検査し、パフォーマンスを評価するための手法がいくつかある。これらの手法はしばしば「モニタリング」と呼ばれる。 
• Mitigation of bias in general-purpose AI systems can be addressed throughout the lifecycle of the system, including design, training, deployment, and usage. However, entirely preventing bias in general-purpose AI systems is challenging because it requires systematic training data collection, ongoing evaluation, and effective identification of bias. It may also require trading off fairness with other objectives such as accuracy and privacy, and deciding what is useful knowledge and what is an undesirable bias that should not be reflected in the outputs.  • 汎用AIシステムにおけるバイアスの軽減は、設計、トレーニング、配備、使用など、システムのライフサイクル全体を通じて取り組むことができる。しかし、体系的なトレーニングデータの収集、継続的な評価、バイアスの効果的な特定が必要となるため、汎用AIシステムにおけるバイアスを完全に防止することは困難である。また、精度やプライバシーなど他の目的と公平性をトレードオフし、何が有用な知識で、何が出力に反映されるべきではない望ましくないバイアスなのかを決定する必要がある場合もある。 
• Privacy protection is an active area of research and development. Simply minimising the use of sensitive personal data in training is one approach that can substantially reduce privacy risks. However, when sensitive data is either intentionally or unintentionally used, existing technical tools for reducing privacy risks struggle to scale to large general-purpose AI models, and can fail to provide users with meaningful control.  • プライバシー保護は、研究開発の活発な分野である。訓練におけるセンシティブな個人データの使用を最小限に抑えることは、プライバシーリスクを大幅に低減できるアプローチの1つである。しかし、センシティブなデータが意図的または非意図的に使用される場合、プライバシーリスクを低減するための既存の技術ツールは、大規模な汎用AIモデルへの拡張に苦戦し、ユーザーに意味のある制御を提供できない可能性がある。 
Conclusion: A wide range of general-purpose AI trajectories are possible, and much will depend on how societies and governments act  結論幅広い汎用AIの軌跡が可能であり、その多くは社会や政府がどのように行動するかにかかっている。 
The future of general-purpose AI is uncertain, with a wide range of trajectories appearing possible even in the near future, including both very positive and very negative outcomes. But nothing about the future of general-purpose AI is inevitable. How general-purpose AI gets developed and by whom, which problems it gets designed to solve, whether societies will be able to reap general-purpose AI’s full economic potential, who benefits from it, the types of risks we expose ourselves to, and how much we invest into research to mitigate risks — these and many other questions depend on the choices that societies and governments make today and in the future to shape the development of generalpurpose AI.  汎用AIの未来は不確実であり、非常にポジティブな結果も非常にネガティブな結果も含め、近い将来にも幅広い軌跡があり得ると思われる。しかし、汎用AIの未来に必然性はない。汎用AIが誰によってどのように開発されるのか、どのような問題を解決するために設計されるのか、社会は汎用AIの経済的可能性をフルに享受できるのか、誰がその恩恵を受けるのか、私たちはどのようなリスクにさらされるのか、リスクを軽減するための研究にどれだけ投資するのか--こうした疑問や他の多くの疑問は、汎用AIの開発を形成するために社会や政府が今日および将来行う選択にかかっている。 
To help facilitate constructive discussion about these decisions, this report provides an overview of the current state of scientific research and discussion on managing the risks of general-purpose AI. The stakes are high. We look forward to continuing this effort.  こうした決定に関する建設的な議論を促進するため、本報告書では、汎用AIのリスク管理に関する科学的研究と議論の現状を概観する。リスクは大きい。我々は、この取り組みを継続することを楽しみにしている。 

 

 

| | Comments (0)

2024.05.20

米国 NIST SP 800-171 改訂 3 版 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護とNIST SP 800-171A 改訂3版 管理対象非機密情報のセキュリティ要件の評価 (2024.05.14)

こんにちは、丸山満彦です。

NISTが、SP 800-171 改訂3版 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護 SP 800-171A 改訂3版 管理対象非機密情報のセキュリティ要件の評価の確定版を公表していますね...

SP800-53が改正されたのに合わせた改訂ですが、2020年2月に第2版が公表されていますので、4年ちょっとでの改訂となります。

3.14. System and Information Integrity 3.14. システムと情報の完全性
3.15. Planning 3.15. 計画
3.16. System and Services Acquisition 3.16. システムとサービスの取得
3.17. Supply Chain Risk Management 3.17. サプライチェーンリスクマネジメント

が新たに追加されています...

 

● NIST - ITL

・2024.05.14 NIST SP 800-171 Rev.3 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

NIST SP 800-171 Rev. 3 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations NIST SP 800-171 改訂3版 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護
Abstract 概要
The protection of Controlled Unclassified Information (CUI) is of paramount importance to federal agencies and can directly impact the ability of the Federal Government to successfully conduct its essential missions and functions. This publication provides federal agencies with recommended security requirements for protecting the confidentiality of CUI when the information is resident in nonfederal systems and organizations. The requirements apply to components of nonfederal systems that process, store, or transmit CUI or that provide protection for such components. The security requirements are intended for use by federal agencies in contractual vehicles or other agreements established between those agencies and nonfederal organizations. This publication can be used in conjunction with its companion publication, NIST Special Publication 800-171A, which provides a comprehensive set of procedures to assess the security requirements. 管理対象非機密情報(CUI)の防御は、連邦政府機関にとって最も重要であり、連邦政府がその重要な任務と機能を成功裏に遂行する能力に直接影響を与える可能性がある。本書は、連邦機関に対し、情報が連邦機関以外のシステムおよび組織に常駐している場合に、CUIの機密性を保護するための推奨セキュリティ要件を提供する。要件は、CUIを処理、保管、または送信する連邦政府以外のシステムのコンポーネント、またはそのようなコンポーネントの保護を提供するコンポーネントに適用される。本セキュリティ要件は、連邦機関と非連邦機関との間で締結される契約書またはその他の合意において、連邦機関が使用することを意図している。本書は、その関連刊行物である NIST 特別刊行物 800-171A と併せて使用することができ、セキュリティ要件を評価するための包括的な手順を提供する。

 

・[PDF] NIST.SP.800-171r3

171-20240518-55955

・[DOCX] [PDF] 仮訳

 

目次...

1. Introduction 1. 序文
1.1 Purpose and Applicability 1.1 目的と適用性
1.2 Organization of This Publication 1.2 本出版物の構成
2. The Fundamentals 2. 基礎
2.1. Security Requirement Assumptions 2.1. セキュリティ要件の前提
2.2. Security Requirement Development Methodology 2.2. セキュリティ要件の開発
3. The Security Requirements 3. セキュリティ要件
3.1. Access Control 3.1. アクセス制御
3.2. Awareness and Training 3.2. 意識向上およびトレーニング
3.3. Audit and Accountability 3.3. 監査および説明責任
3.4. Configuration Management 3.4. 構成管理
3.5 Identification and Authentication 3.5. 識別および認証
3.6. Incident Response 3.6. インシデント対応
3.7. Maintenance 3.7. 保守
3.8. Media Protection 3.8. 媒体保護
3.9. Personnel Security 3.9. 職員のセキュリティ
3.10. Physical Protection 3.10. 物理的保護
3.11. Risk Assessment 3.11. リスクアセスメント
3.12. Security Assessment and Monitoring 3.12. セキュリティアセスメントと監視
3.13. System and Communications Protection 3.13. システムおよび通信の保護
3.14. System and Information Integrity 3.14. システムおよび情報の完全性
3.15. Planning 3.15. 計画
3.16. System and Services Acquisition 3.16. システムとサービスの取得
3.17. Supply Chain Risk Management 3.17. サプライチェーンのリスクマネジメント
References 参考文献
Appendix A. Acronyms 附属書 A. 略語
Appendix B. Glossary 附属書 B. 用語集
Appendix C. Tailoring Criteria 附属書 C. テーラリング基準
Appendix D. Organization-Defined Parameters 附属書 D. 組織定義のパラメータ
Appendix E. Change Log 附属書 E. 変更履歴

 

評価のほう...

・2024.05.14 NIST SP 800-171A Rev. 3 Assessing Security Requirements for Controlled Unclassified Information

 

NIST SP 800-171A Rev. 3 Assessing Security Requirements for Controlled Unclassified Information NIST SP 800-171A 改訂3版 管理対象非機密情報のセキュリティ要件の評価
Abstract 概要
The protection of Controlled Unclassified Information (CUI) is of paramount importance to federal agencies and can directly impact the ability of the Federal Government to successfully conduct its essential missions and functions. This publication provides organizations with assessment procedures and a methodology that can be used to conduct assessments of the security requirements in NIST Special Publication 800-171, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations. The assessment procedures are flexible and can be customized to the needs of organizations and assessors. Assessments can be conducted as independent, third-party assessments or as government-sponsored assessments. The assessments can be applied with various degrees of rigor based on customer-defined depth and coverage attributes. 管理対象非機密情報(CUI)の保護は、連邦政府機関にとって最も重要であり、連邦政府がその重要な任務と機能を成功裏に遂行する能力に直接影響を与える可能性がある。本書は、NIST特別刊行物800-171「非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護」のセキュリティ要件の評価を実施するために使用できる評価手順および手法を組織に提供する。評価手順は柔軟であり、組織や評価者のニーズに合わせてカスタマイズすることができる。アセスメントは、独立したサードパーティによるアセスメントとして実施することも、政府主催のアセスメントとして実施することもできる。アセスメントは、顧客が定義した深さとカバレッジの属性に基づいて、さまざまな厳しさで適用することができる。

 

・[PDF] NIST.SP.800-171Ar3

171a-20240518-55801

 

 

 

こちらのウェブページにも追加されています...

Cybersecurity and Privacy Reference Tool CPRT

 

 

 

 


 

参考

NIST文書の翻訳がいくつかあります...

● IPA

セキュリティ関連NIST文書について

 

 

● まるちゃんの情報セキュリティ気まぐれ日記

SP800-53, 171, 172関係...

・2023.11.13 NIST 意見募集 SP 800-171 Rev.3(最終ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護、NIST SP 800-171A 改訂第3版(初期公開ドラフト) 管理対象非機密情報のセキュリティ要件の評価

・2023.05.13 米国 NIST 意見募集 SP 800-171 Rev.3(ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護

・2022.07.21 NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第4版の更新分析、ISO/IEC27001とのマッピング表等の追加

・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン

・2020.03.17 NIST SP 800-53 Rev. 5(Draft) Security and Privacy Controls for Information Systems and Organizations (Final Public Draft)

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

 

少し前...

・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations

・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog

・2010.05.10 NIST SP800-53関係の情報

 

 

国防総省の委託先の管理の話...

・2024.01.03 米国 国防総省 パブコメ サイバーセキュリティ成熟度認証規則案 (2023.12.26)

・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.10 米国 CMMC Ver.2.0

・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.05.01 Cybersecurity成熟度モデル認証制度は普及するか、しないか・・・

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

 

 

 

 

| | Comments (0)

2024.05.19

米国 NIST IR 8498(初公開ドラフト) スマートインバータのサイバーセキュリティ: 住宅用および商用簡易太陽光発電システムのガイドライン (2024.05.10)

こんにちは、丸山満彦です。

NISTが、NIST IR 8498(初公開ドラフト) スマートインバータのサイバーセキュリティ: 住宅用および商用簡易太陽光発電システムのガイドライン を発表していますね...

● NIST - ITL

・2024.05.10 NIST IR 8498 (Initial Public Draft) Cybersecurity for Smart Inverters: Guidelines for Residential and Light Commercial Solar Energy Systems

NIST IR 8498 (Initial Public Draft) Cybersecurity for Smart Inverters: Guidelines for Residential and Light Commercial Solar Energy Systems  NIST IR 8498(初公開ドラフト) スマートインバータのサイバーセキュリティ: 住宅用および商用簡易太陽光発電システムのガイドライン
Announcement 発表
The use of small-scale solar energy systems to generate electricity continues to increase. Smart inverters provide two critical functions to a small-scale solar energy system: they convert the direct current (DC) produced by solar panels to the alternating current (AC) used in homes and businesses, and they manage the flow of excess energy to the local electric grid. 小規模太陽光発電システムの利用は増加の一途をたどっている。スマート・インバータは、小規模太陽光発電システムに2つの重要な機能をプロバイダとして提供する。すなわち、ソーラー・パネルで生成された直流(DC)を家庭や企業で使用される交流(AC)に変換し、余剰エネルギーを地域の電力網に流すことを管理する。
This report provides practical cybersecurity guidelines for small-scale solar inverter implementations typically used in homes and small businesses. The report also presents recommendations to smart inverter manufacturers to improve the cybersecurity capabilities in their products. 本報告書では、一般家庭や小規模企業で使用される小規模ソーラーインバーター実装のための実用的なサイバーセキュリティガイドラインを提供する。また、スマートインバーター製造事業者に対し、製品のサイバーセキュリティ機能を改善するための提言も行っている。
These recommendations build on the IoT cybersecurity capability baselines defined in NIST IR 8259A and NIST IR 8259B by providing smart-inverter specific information for all baseline cybersecurity capabilities. これらの提言は、NIST IR 8259AおよびNIST IR 8259Bで定義されたIoTサイバーセキュリティ能力のベースラインに基づいており、すべてのベースラインサイバーセキュリティ能力についてスマートインバータ固有の情報を提供している。
Abstract 概要
The use of residential and light-commercial inverters connected to the distribution network and not directly owned and operated by the utility to generate electricity for homes and small businesses continues to increase. In addition to supplying power to individual homeowners and small business owners these systems can supply power to the electric grid. 配電網に接続され、電力会社が直接所有・運営しない住宅用および商用簡易インバーターの使用は、家庭や小規模事業所向けの発電のために増加し続けている。これらのシステムは、個々の住宅所有者や小規模事業者に電力を供給するだけでなく、電力網に電力を供給することもできる。
Smart inverters provide two critical functions to a small-scale solar energy system; they convert the direct current (DC) produced by solar panels to the alternating current (AC) used on the electric grid, in homes, and businesses. They also manage the flow of excess energy to the electric grid. The “smart” in smart inverter allows these devices to assist the local electric utility in addressing anomalies on the electric grid. However, properly responding to anomalies requires that the smart inverter be configured to behave in a grid-friendly, supportive manner. An improperly configured inverter can respond in inappropriate ways that exacerbate anomalies. スマート・インバータは、小規模な太陽光発電システムに2つの重要な機能を提供する。ソーラー・パネルによって生成された直流(DC)を、電力網や家庭、企業で使用される交流(AC)に変換する。また、余剰エネルギーの電力網への流れを管理する。スマート・インバーターの「スマート」は、これらの機器が地域の電力会社を支援し、電力網の異常に対処することを可能にする。しかし、異常に適切に対応するには、スマート・インバータがグリッドに優しく、支援的な動作をするように設定されている必要がある。不適切に設定されたインバータは、異常を悪化させる不適切な対応をする可能性がある。

 

・[PDF] NIST.IR.8498.ipd

8498-20240518-55948

 

目次...

1. Introduction 1. 序文
1.1. Audience  1.1. 想定読者 
1.2. Report Organization 1.2. 報告書の構成
2. Cybersecurity Guidelines for Owners and Installers 2. 所有者と設置者のためのサイバーセキュリティ・ガイドライン
2.1. Guideline #1: Change Default Passwords and Credentials 2.1. ガイドライン#1: デフォルトのパスワードと認証情報を変更する
2.2. Guideline #2: Use Role-Based Access Control (RBAC)  2.2. ガイドライン#2:役割ベースのアクセス制御(RBAC)を使用する 
2.3. Guideline #3: Record Events in a Log 2.3. ガイドライン#3: ログにイベントを記録する
2.4. Guideline #4: Update Software Regularly 2.4. ガイドライン#4: ソフトウェアを定期的にアップデートする
2.5. Guideline #5: Backup System Information 2.5. ガイドライン#5: システム情報をバックアップする
2.6. Guideline #6: Disable Unused Features 2.6. ガイドライン#6: 使わない機能は無効にする
2.7. Guideline #7: Protect the Communications Connections. 2.7. ガイドライン#7: コミュニケーション接続を防御する。
3. Cybersecurity Recommendations for Smart Inverter Manufacturers 3. スマート・インバータ製造事業者に対するサイバーセキュリティの推奨事項
3.1. Recommended Baseline Cybersecurity Capabilities 3.1. 推奨されるベースライン・サイバーセキュリティ能力
Conclusion  結論 
References 参考文献
Appendix A. Selected Bibliography 附属書 A. 参考文献
Appendix B. List of Symbols, Abbreviations, and Acronyms 附属書 B. 記号、略語、頭字語リスト
Appendix C. Residential and Light Commercial Solar Energy System Setup Cybersecurity Checklist 附属書 C. 住宅用および商用簡易太陽エネルギーシステムのセットアップサイバーセキュリティチェックリスト
Appendix D. Smart Inverter Testing 附属書D. スマートインバータのテスト
D.1. Testing Results for Guideline #1: Change Default Passwords and Credentials  D.1. ガイドライン#1のテスト結果:デフォルトパスワードと認証情報の変更
D.2. Testing Results for Guideline #2: Use Role-Based Access Control D.2. ガイドライン#2のテスト結果:役割ベースのアクセス制御の使用
D.3. Testing Results for Guideline #3: Record Events in a Log  D.3. ガイドライン#3のテスト結果:ログのイベントの記録
D.4. Testing Results for Guideline #4: Update Software Regularly D.4. ガイドライン#4のテスト結果:ソフトウェアの定期的アップデート
D.5. Testing Results for Guideline #5:Backup Systems Information  D.5. ガイドライン#5のテスト結果:システム情報のバックアップ 
D.6. Testing Results for Guideline #6: Disable Unused Features D.6. ガイドライン#6のテスト結果:使用していない機能の無効化
D.7. Testing Results for Guideline #7: Protect the Communications Connections D.7. ガイドライン#7のテスト結果:コミュニケーション接続の防御
Appendix E. Mapping to General Cybersecurity Guidance  附属書E. 一般的なサイバーセキュリティガイダンスへのマッピング 
E.1. General Cybersecurity Guidance that Informs the Guidelines  E.1. ガイドラインに影響を与える一般的なサイバーセキュリティガイダンス
 E.1.1. The NIST Cybersecurity Framework (CSF) Version 2.0  E.1.1. NIST サイバーセキュリティフレームワーク(CSF)バージョン 2.0
 E.1.2. Center for Internet Security Critical Security Controls (CSC) Version 8  E.1.2. Center for Internet Security CSC (Critical Security Controls) バージョン 8
E.1.3. NIST Special Publication 800-53r5 E.1.3. NIST 特別刊行物 800-53r5
E.1.4. NIST Special Publication 800-213A E.1.4. NIST 特別刊行物 800-213A
E.1.5. The MITRE ATT&CK Framework E.1.5. MITRE ATT&CK フレームワーク
E.1.6. ISA/IEC 62443-2-1 E.1.6. ISA/IEC 62443-2-1

 

 

システムの全体像

1_20240519060801

 

 

スマートインバーターの要素...

1_20240519060501

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

| | Comments (0)

2024.05.18

米国 NIST IR 8504 NoSQLデータベースにおけるアクセス制御 (2024.05.07)

こんにちは、丸山満彦です。

NISTが、NIST IR 8504 NoSQLデータベースにおけるアクセス制御の確定版を発表していますね...

そう言われてみれば、NoSQLデータベースのアクセス制御については、まとまって勉強したことないなぁ、、、と思ったまま、勉強していなかったり、、、

 

● NIST - ITL

・2024.05.07 NIST IR 8504 Access Control on NoSQL Databases 

 

NIST IR 8504 Access Control on NoSQL Databases NIST IR 8504 NoSQLデータベースにおけるアクセス制御
Abstract 概要
NoSQL database systems and data stores often outperform traditional RDBMS in various aspects, such as data analysis efficiency, system performance, ease of deployment, flexibility/scalability of data management, and users’ availability. However, with an increasing number of people storing sensitive data in NoSQL databases, security issues have become critical concerns. NoSQL databases suffer from vulnerabilities, particularly due to the lack of effective support for data protection, including weak authorization mechanisms. As access control is a fundamental data protection requirement of any database management system DBMS, this document focuses on access control on NoSQL database systems. NoSQLデータベースシステムやデータストアは、データ分析効率、システム性能、導入の容易さ、データ管理の柔軟性/拡張性、ユーザーの可用性など、様々な面で従来のRDBMSを上回ることが多い。しかし、NoSQLデータベースに機密データを保存する人が増えるにつれ、セキュリティ問題が重大な関心事となっている。NoSQLデータベースは脆弱性に悩まされており、特に認可メカニズムが脆弱であるなど、データ保護のための効果的なサポートが欠如していることが原因となっている。アクセス制御はあらゆるデータベース管理システムDBMSの基本的なデータ保護要件であるため、本文書ではNoSQLデータベースシステムのアクセス制御に焦点を当てる。

 

・[PDF] NIST.IR.8504

8504-20240518-55743

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction. 1. 序文
2. Overview of NoSQL Database Systems 2. NoSQLデータベースシステムの概要
2.1. Types of NoSQL Databases Systems 2.1. NoSQLデータベースシステムの種類
2.1.1. Key-Value Model  2.1.1. キー・バリュー・モデル 
2.1.2. Wide-Column Model 2.1.2. ワイドカラムモデル
2.1.3. Document Model 2.1.3. 文書モデル
2.1.4. Graph Model 2.1.4. グラフモデル
2.2. Features of NoSQL Database Systems 2.2. NoSQLデータベースシステムの特徴
2.2.1. Flexible Data Model 2.2.1. 柔軟なデータモデル
2.2.2. Horizontal Scalability 2.2.2. 水平方向のスケーラビリティ
2.2.3. Fast Queries 2.2.3. 高速クエリー
2.2.4. Security Deficiencies 2.2.4. セキュリティの欠陥
3. Access Control Model on NoSQL Database Systems 3. NoSQLデータベースシステムにおけるアクセス制御モデル
3.1. Relationship Structures of NoSQL Models 3.1. NoSQLモデルの関係構造
3.2. Access Control Rules from NoSQL Relationship Structures 3.2. NoSQL関係構造からのアクセス制御ルール
3.2.1. Key-Value Model 3.2.1. キー値モデル
3.2.2. Wide-Column and Document Models 3.2.2. ワイドカラムとドキュメントモデル
3.2.3. Graph Model 3.2.3. グラフモデル
3.3. Access Control Model Implementations 3.3. アクセス制御モデルの実装
4. Considerations of Access Control for NoSQL Systems 4. NoSQLシステムのアクセス制御に関する考察
4.1. Fine-Grained Access Control 4.1. 細かいアクセス制御
4.2. Security 4.2. セキュリティ
4.3. Query Language 4.3. クエリー言語
4.4. Data Consistency 4.4. データの一貫性
4.5. Performance 4.5. パフォーマンス
4.6. Audit 4.6. 監査
4.7. Environment Conditions Control 4.7. 環境条件管理
4.8. Support for AI 4.8. AIへの対応
4.9. Combine RDBMS 4.9. RDBMSを組み合わせる
5. Conclusion 5. 結論
References  参考文献 
Appendix A 附属書A
A.1. Federation of Access Control A.1. アクセス制御の連合体
A.2. Graph NoSQL Implementation for AC Policies A.2. ACポリシーのためのグラフNoSQL実装

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブ・サマリー 
NoSQL stands for “not only SQL” or “non-SQL,” which typically refer to any non-relational database that stores data in a format other than relational tables. It shifts away from relational database management systems (RDBMS) for dealing with enormous and constantly growing data and infrastructure needs and increasingly uses the Web 3.0 framework for big data and real-time web applications, including handling unstructured data like documents, emails, and social media. NoSQL databases are particularly useful for managing unstructured or very large data objects stored across distributed and cooperating devices. Use cases for retrieving such data range from critical scenarios (e.g., storing financial data and healthcare records) to more casual applications (e.g., chat log data, video, and images, readings from smart devices). Major Web 2.0 companies have developed or adopted different flavors of NoSQL databases to meet their growing data and infrastructure needs.   NoSQLとは「not only SQL」または「non-SQL」の略で、一般的にはリレーショナル・テーブル以外の形式でデータを格納する非リレーショナル・データベースを指す。莫大かつ絶えず増大するデータとインフラのニーズに対応するため、リレーショナル・データベース管理システム(RDBMS)から移行し、文書、電子メール、ソーシャルメディアなどの非構造化データの取り扱いを含め、ビッグデータとリアルタイム・ウェブ・アプリケーションのためのウェブ3.0フレームワークをますます利用するようになっている。NoSQLデータベースは、分散して連携するデバイスにまたがって保存された非構造化データや非常に大きなデータオブジェクトを管理するのに特に有用である。このようなデータを検索するユースケースは、クリティカルなシナリオ(金融データや医療記録の保存など)から、よりカジュアルなアプリケーション(チャットログデータ、ビデオ、画像、スマートデバイスからの読み取りなど)まで多岐にわたる。主要なWeb 2.0企業は、増大するデータとインフラのニーズに対応するため、さまざまな種類のNoSQLデータベースを開発または採用している。 
NoSQL database systems and data stores often outperform traditional RDBMS in various aspects, such as data analysis efficiency, system performance, ease of deployment, flexibility/scalability of data management, and users’ availability. However, with an increasing number of people storing sensitive data in NoSQL databases, security issues have become critical concerns. NoSQL databases suffer from vulnerabilities, particularly due to the lack of effective support for data protection, including weak authorization mechanisms. As access control is a fundamental data protection requirement of any database management system (DBMS), this document discusses access control on NoSQL database systems by illustrating the NoSQL database types along with their support for access control models and describing considerations from the perspective of access control.   NoSQLデータベースシステムやデータストアは、データ分析効率、システム性能、導入の容易さ、データ管理の柔軟性/拡張性、ユーザーの可用性など、さまざまな面で従来のRDBMSを上回ることが多い。しかし、NoSQLデータベースに機密データを保存する人が増えるにつれ、セキュリティ問題が重大な関心事となっている。NoSQLデータベースは脆弱性に悩まされており、特に認可メカニズムが脆弱であるなど、データ保護のための効果的なサポートが欠如していることが原因となっている。アクセス制御はあらゆるデータベース管理システム(DBMS)の基本的なデータ保護要件であるため、本文書では NoSQL データベースシステムにおけるアクセス制御について、NoSQL データベースの種類とアクセス制御モデルのサポートを例示し、アクセス制御の観点からの考慮事項を説明する。 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.02 米国 NIST 意見募集 NIST IR 8504(初公開ドラフト) NoSQLデータベースにおけるアクセス制御

 

 

| | Comments (0)

2024.05.17

防衛省 防衛研究所 脅威インテリジェンスの機能的・歴史的視座 民間セクターにおける共有エコシステム分析と公共セクターの関与について

こんにちは、丸山満彦です。

防衛省防衛研究所が、「新領域の安全保障シリーズ」の第2弾として、東京海上ホールディングス株式会社の石川朝久さんによる「脅威インテリジェンスの機能的・歴史的視座:民間セクターにおける共有エコシステム分析と公共セクターの関与について」を公開していますね...

脅威インテ令ジェンすについての安全保障で発展した脅威インテリジェンスがサイバー空間において民間部門で応用され発展していったことを踏まえて、国による脅威インテリジェンスと民間のインテリジェンスについての機能的な面としての相違を、目的、調査主体・調査対象、共有インセンティブについて説明している。官民連携が言われている中での論点整理として活用できそうですね。。。

また、歴史的な観点からは、2010年まで(黎明期)、2013年頃まで(理論構築)、2017年頃まで(普及と共助の開始)、それ以降(公助の開始)と四段階にわけて説明している。これも今後のインテリジェンス情報を国、民間機関がどのように活用すべきか参考になる...

 

● 防衛省 防衛研究所
 
・2024.05.14 [PDF]「脅威インテリジェンスの機能的・歴史的視座 民間セクターにおける共有エコシステム分析と公共セクターの関与について

20240517-14503

 

| | Comments (0)

2024.05.16

個人情報保護委員会 経済産業省 グローバルCBPRシステムの稼働に向けた文書等の公表 (2024.04.30)

こんにちは、丸山満彦です。

グローバルCBPRフォーラムが、グローバル越境プライバシールール(CBPR: Cross-Border Privacy Rules)フォーラムにおいて、越境個人データに関する新たな国際企業認証制度であるグローバルCBPRシステムの稼働に必要な文書を公表しています...

Global CBPR Forum

・2024.04.30 Global CBPR Forum Announces the Establishment of the Global CBPR and Global PRP Systems and Welcomes New Global CAPE Participants

1_20240516023201

Global CBPR Forum Announces the Establishment of the Global CBPR and Global PRP Systems and Welcomes New Global CAPE Participants グローバル CBPR フォーラム、グローバル CBPR およびグローバル PRP システムの設立を発表し、新たなグローバル CAPE 参加者を迎える
Celebrating the second anniversary of its establishment, the Global CBPR Forum (Forum) announces the establishment of the Global CBPR and Global PRP Systems with the appointment of Accountability Agents and the publication of the System documents.  The publication of these documents sets the stage for Accountability Agents to start issuing Global CBPR and Global PRP certifications to interested organizations this summer. グローバル CBPR フォーラム(フォーラム)は、設立 2 周年を迎え、アカウンタビリティ・エージェン トの任命とシステム文書の公表をもって、グローバル CBPR システムとグローバル PRP システムの設立を発表する。 これらの文書の公表は、説明責任代理人がこの夏、関心のある組織に対してグローバルCBPRおよびグローバルPRP認証の発行を開始するための段階を整えるものである。
The Forum has approved the following Accountability Agents to operate in these jurisdictions: フォーラムは、これらの管轄区域で活動する以下の説明責任代理人を承認した:
Japan: Japan Institute for Promotion of Digital Economy and Community ・日本:財団法人日本情報経済社会推進協会
Korea: Korea Internet Security Agency ・韓国  インターネットセキュリティ振興院
Singapore: Infocomm Media Development Authority ・シンガポール:情報・メディア・開発局
Chinese Taipei: Institute for Information Industry ・台湾: 情報産業機構
United StatesBBB National ProgramsNCC GroupSchellmanTRUSTe ・米国 BBB National Programs、NCC Group、Schellman、TRUSTe
Accountability Agents are key partners in the Global CBPR and the Global PRP Systems. They will certify the data protection and privacy policies of interested organizations based on the Global CBPR Program Requirements and Intake Questionnaire and the Global PRP System Program Requirements and Intake Questionnaire which Accountability Agents will use to assess organizations seeking Global CBPR and Global PRP certifications. Interested organizations located in the above-mentioned jurisdictions can contact the relevant Accountability Agents for more information on the certifications.  アカウンタビリティ・エージェントは、グローバルCBPRおよびグローバルPRPシステムの重要なパートナーである。説明責任代理人は、グローバル CBPR およびグローバル PRP の認証を受けようとする組織を評価するために使用するグローバル CBPR プログラム要件およびインテーク質問票、およびグローバル PRP システムプログラム要件およびインテーク質問票に基づいて、関心のある組織のデータ・プライバシー方針を認証する。上記の管轄区域に所在する関心のある組織は、認証の詳細について、関連する説明責任代理人に問い合わせることができる。
PEAs from Bermuda, Dubai and the UK join the Global CAPE バミューダ、ドバイ、英国のPEAがグローバルCAPEに加わる
The Global CBPR Forum is also pleased to announce the participation of Privacy Enforcement Authorities from outside the Asia-Pacific region in the Global Cooperation Arrangement for Privacy Enforcement (CAPE), a multilateral arrangement for PEAs to failitate cross-border enforcement of data protection and privacy laws. グローバルCBPRフォーラムはまた、データ保護およびプライバシー法の国境を越えた執行を促進するためのPEAのための多国間取り決めである、プライバシー執行のためのグローバル協力取り決め(CAPE)に、アジア太平洋地域以外からのプライバシー執行機関が参加したことを発表する。
(A photo taken in celebration of these three authorities’ participation in the Global CAPE, on the occasion of a reception hosted by the US Federal Trade Commission in Washington, D.C., on April 2, 2024) (2024年4月2日、ワシントンD.C.で開催された米国連邦取引委員会主催のレセプションで、これら3当局のグローバルCAPE参加を記念して撮影された写真)。
The Office of the Privacy Commissioner of Bermuda, the Office of the Commissioner of Data Protection of the Dubai International Financial Center Authority, and the UK Information Commissioner’s Office have joined the Global CAPE. Together with PEAs from Canada, Japan, Korea, Mexico, the Philippines, Singapore, Chinese Taipei, and the US, the total number of Global CAPE participants now stands at 27. The full list of Global CAPE participants can be found here. バミューダ・プライバシー・コミッショナー事務所、ドバイ国際金融センター庁データ防御コミッショナー事務所、英国情報コミッショナー事務所がグローバルCAPEに参加した。カナダ、日本、韓国、メキシコ、フィリピン、シンガポール、チャイニーズ・タイペイ、米国のPEAと合わせ、グローバルCAPE参加者は27となった。グローバルCAPE参加者の全リストはこちらで見ることができる。
Coming Soon: 5th Global CBPR Forum Workshop in Tokyo, May 2024 まもなく開催 第5回グローバルCBPRフォーラム・ワークショップ、2024年5月東京で開催
On May 15-17, the Forum will also be welcoming government officials, regulators, and other privacy experts from around the world to its fifth multilateral, multistakeholder workshop in Tokyo, Japan. The workshop is being hosted by the U.S. International Trade Administration (ITA), the Personal Information Protection Commission (PPC), Japan and the Ministry of Economy, Trade and Industry (METI), Japan. If you are interested in learning more, please reach out to CBPRevent@dev.global. 5月15日から17日にかけて、フォーラムは第5回多国間、マルチステークホルダーワークショップを東京で開催し、世界中から政府関係者、規制当局、その他のプライバシー専門家を迎える。このワークショップは、米国国際貿易庁(ITA)、日本の個人情報保護委員会(PPC)、日本の経済産業省(METI)が主催する。ご興味のある方は、CBPRevent@dev.global。

 

この夏からグローバルCBPRとグローバルPRP認証の発行を開始する予定ということですね...

認証機関は、

ということで日本では、一般財団法人日本情報経済社会推進協会 (JIPDEC)  ですね...

JIPDECは、Pマーク制度を運用していますが、合わせて認定機関としても、認証機関としても活動していますね。2024.03.31現在で、17,681事業者がPマークを取得していますね...ということで、順当というかんじですかね...

 

システム文書...

Documents

Global Cross-Border Privacy Rules (CBPR) Declaration グローバル・クロスボーダー・プライバシー・ルール(CBPR)宣言
Global Cross-Border Privacy Rules (CBPR) Framework グローバル・クロスボーダー・プライバシー・ルール(CBPR)フレームワーク
Terms of Reference 参照条件
Template Letter of Intent for Associate Status アソシエート・ステータスの意向表明書のテンプレート
Global Cooperation Arrangement for Privacy Enforcement (CAPE) プライバシー執行のためのグローバル協力取り決め(CAPE)
Template Letter of Intent for Global CAPE グローバルCAPEに関する意向表明書の雛形
Global CBPR and Global PRP Systems Policies, Rules, and Guidelines グローバルCBPRおよびグローバルPRPシステムの方針、規則、ガイドライン
Global CBPR Forum Accountability Agent Application グローバル CBPR フォーラム説明責任代理人申請書
Global CBPR System Program Requirements グローバル CBPR システムプログラム要件
Global CBPR System Program Requirements Map グローバル CBPR システムプログラム要件マップ
Global PRP System Program Requirements グローバル PRP システムプログラム要件
Global PRP System Program Requirements Map グローバル PRP システムプログラム要件マップ
Global CBPR System Intake Questionnaire グローバル CBPR システム・インテーク・アンケート
Global PRP System Intake Questionnaire グローバル PRP システムに関する質問票

 

このことは、2024.05.07に個人情報保護委員会、経済産業省とも発表していますね...

 

個人情報保護委員会

・2024.05.07 グローバルCBPRシステムの稼働に向けた文書等の公表について

 

経済産業省

・2027.05.07 グローバル越境プライバシールール(CBPR)システムの稼働に向けて文書(ポリシー、ルール及びガイドライン等)を公表しました




 

まるちゃんの情報セキュリティ気まれ日記

・2023.07.17 英国 CBPRフォーラムのアソシエイトになる (2023.07.06)

・2022.11.01 第44回 世界プライバシー会議 顔認識に関する決議

・2022.04.23 米国 フィリピン シンガポール 台湾 グローバル越境プライバシールール(CBPR)フォーラム設立関連...

・2022.04.22 個人情報保護委員会 経済産業省 グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言

・2016.07.14 経済産業省 越境データフローに係る制度等の調査研究の報告書

 



 

 

| | Comments (0)

2024.05.15

米国 MITRE 連邦政府機関向けの新たなAI実験・プロトタイピング機能を創設 (2024.05.07)

こんにちは、丸山満彦です。

MITREが連邦政府機関向けの新たなAI実験・プロトタイピング機能を創設したようですね...

NVIDIA DGX SuperPOD™だそうです...

 

MITRE

・2024.05.07 MITRE to Establish New AI Experimentation and Prototyping Capability for U.S. Government Agencies

MITRE to Establish New AI Experimentation and Prototyping Capability for U.S. Government Agencies MITRE、米国政府機関向けに新たなAI実験およびプロトタイピング能力を確立する
MITRE Federal AI Sandbox to be Powered by NVIDIA DGX SuperPOD  MITRE Federal AI SandboxはNVIDIA DGX SuperPODを搭載する 
McLean, Va., May 7, 2024 – MITRE is building a new capability intended to give its artificial intelligence (AI) researchers and developers access to a massive increase in computing power. The new capability, MITRE Federal AI Sandbox, will provide better experimentation of next generation AI-enabled applications for the federal government. The Federal AI Sandbox is expected to be operational by year’s end and will be powered by an NVIDIA DGX SuperPOD™ that enables accelerated infrastructure scale and performance for AI enterprise work and machine learning. ヴァージニア州マクリーン、2024年5月7日 - MITREは、人工知能(AI)の研究者と開発者が膨大なコンピューティング・パワーを利用できるようにすることを目的とした新機能を構築している。この新機能「MITRE Federal AI Sandbox」は、連邦政府向けの次世代AI対応アプリケーションの実験を改善する。連邦AIサンドボックスは年内に運用を開始する予定で、AIエンタープライズ業務と機械学習のためのインフラ規模の拡大と性能の加速を可能にするNVIDIA DGX SuperPOD™を搭載する。
As U.S. government agencies seek to apply AI across their operations, few have adequate access to supercomputers and the deep expertise required to operate the technology and test potential applications on secure infrastructure.  米国政府機関が業務全体にAIを適用しようとしている中、スーパーコンピュータへの十分なアクセスや、安全なインフラ上で技術を運用し、潜在的なアプリケーションをテストするのに必要な深い専門知識を持っているところはほとんどない。
"The recent executive order on AI encourages federal agencies to reduce barriers for AI adoptions, but agencies often lack the computing environment necessary for experimentation and prototyping," says Charles Clancy, MITRE, senior vice president and chief technology officer. "Our new Federal AI Sandbox will help level the playing field, making the high-quality compute power needed to train and test custom AI solutions available to any agency ."  MITREのチャールズ・クランシー上級副社長兼最高技術責任者(CTO)は次のように述べている。「AIに関する最近の大統領令は、連邦政府機関に対してAI導入の障壁を減らすよう促しているが、政府機関には実験やプロトタイピングに必要なコンピューティング環境がないことが多い。我々の新しいFederal AI Sandboxは、カスタムAIソリューションの訓練とテストに必要な高品質の計算能力をどのような機関でも利用できるようにし、競争の場を平準化するのに役立つだろう。」
MITRE will apply the Federal AI Sandbox to its work for federal agencies in areas including national security, healthcare, transportation, and climate. Agencies can gain access to the benefits of the Federal AI Sandbox through existing contracts with any of the six federally funded research and development centers MITRE operates. MITREは連邦AIサンドボックスを、国家安全保障、ヘルスケア、交通、気候などの分野で連邦政府機関向けの業務に適用する。各省庁は、MITREが運営する6つの連邦政府出資の研究開発センターとの既存の契約を通じて、Federal AI Sandboxの恩恵にアクセスすることができる。
Sandbox capabilities offer computing power to train cutting edge AI applications for government use including large language models (LLMs) and other generative AI tools. It can also be used to train multimodal perception systems that can understand and process information from multiple types of data at once such as images, audio, text, radar, and environmental or medical sensors, and reinforcement learning decision aids that learn by trial and error to help humans make better decisions. サンドボックスの機能は、大規模言語モデル(LLM)やその他の生成的AIツールを含む、政府用の最先端AIアプリケーションを訓練するためのコンピューティングパワーを提供する。また、画像、音声、テキスト、レーダー、環境・医療センサーなど、複数の種類のデータからの情報を一度に理解・処理できるマルチモーダル知覚システムや、人間がより良い意思決定を行えるよう試行錯誤しながら学習する強化学習意思決定支援システムの訓練にも利用できる。
"MITRE’s purchase of a DGX SuperPOD to assist the federal government in its development of AI initiatives will turbocharge the U.S. federal government’s efforts to leverage the power of AI," says Anthony Robbins, vice president of public sector, NVIDIA. "AI has enormous potential to improve government services for citizens and solve big challenges, like transportation and cyber security."  NVIDIAの公共部門担当副社長であるアンソニー・ロビンズ氏は、次のように述べている。「MITREがDGX SuperPODを購入し、連邦政府のAIイニシアチブの開発を支援することで、AIのパワーを活用するための米国連邦政府の取り組みが加速するでしょう。AIは、市民のための政府サービスを改善し、交通やサイバーセキュリティのような大きな課題を解決する大きな可能性を秘めている。」
The NVIDIA DGX SuperPOD powering the sandbox is capable of an exaFLOP of performance to train and deploy custom LLMs and other AI solutions at scale. サンドボックスを駆動するNVIDIA DGX SuperPODは、カスタムLLMやその他のAIソリューションを大規模に訓練・展開するために、エクサFLOPの性能を発揮する。

 

・2024.05.07 Federal AI Sandbox

Federal AI Sandbox 連邦AIサンドボックス
To realize the incredible potential of AI within the federal government, a secure sandbox environment with significant computational power is needed for prototyping, training, and testing complex AI model 連邦政府内でAIの驚異的な可能性を実現するためには、複雑なAIモデルのプロトタイピング、トレーニング、テストのために、大きな計算能力を備えたセキュアなサンドボックス環境が必要である。
AI has the potential to drive transformational advances in fields including healthcare, cybersecurity, transportation, finance, climate, and national security—but to harness this impact the nation must accelerate safe and secure prototyping of new AI solutions built around government datasets. AIは、ヘルスケア、サイバーセキュリティ、交通、金融、気候、国家安全保障などの分野で変革をもたらす可能性を秘めているが、このインパクトを活用するためには、政府は政府のデータセットを基に構築された新しいAIソリューションの安全かつセキュアなプロトタイピングを加速させなければならない。
MITRE’s new flagship AI supercomputer will streamline and expand government access to the high-end computing that drives modern AI. An AI supercomputer at this scale is ideal for training new, government-specific large frontier AI models, including LLMs, other generative AI, machine vision and multimodal perception systems, and reinforcement learning decision aids. MITREの新しいフラッグシップAIスーパーコンピューターは、最新のAIを推進するハイエンド・コンピューティングへの政府アクセスを合理化し、拡大する。この規模のAIスーパーコンピューターは、LLM、その他の生成的AI、マシンビジョン、マルチモーダル知覚システム、強化学習意思決定支援など、政府固有の新しい大規模フロンティアAIモデルのトレーニングに最適である。

 

 

・[PDF

20240515-04359

 

 

MITRE is investing in a massive AI supercomputer to power a new federal AI sandbox.  MITREは、連邦政府の新しいAIサンドボックスを動かすために、巨大なAIスーパーコンピューターに投資している。
AI has the potential to drive transformational advances in fields like healthcare, cybersecurity, transportation, finance, climate, and national security—but to harness this impact the nation must accelerate safe and secure prototyping of new AI solutions built around government datasets.  AIは、ヘルスケア、サイバーセキュリティ、交通、金融、気候、国家安全保障などの分野で変革をもたらす可能性を秘めているが、この影響力を活用するためには、政府は政府のデータセットを基に構築された新しいAIソリューションの安全かつセキュアなプロトタイピングを加速させなければならない。
Today, few federal agencies have adequate access to large-scale computing infrastructure. This situation inhibits public sector innovation by limiting the creation and evaluation of customized AI tools like large language models (LLMs) similar to ChatGPT. MITRE’s new flagship AI supercomputer will streamline and expand government access to the high-end computing that drives modern AI. The NVIDIA DGX SuperPOD system powering the sandbox is capable of an exaFLOP of 8-bit AI compute, meaning it performs a quintillion math operations each second to train and deploy custom LLMs and other AI solutions at scale.  今日、大規模なコンピューティング・インフラに十分アクセスできる連邦機関はほとんどない。この状況は、ChatGPTのような大規模言語モデル(LLM)のようなカスタマイズされたAIツールの作成と評価を制限することで、公共部門のイノベーションを阻害している。MITREの新しいフラッグシップAIスーパーコンピュータは、最新のAIを駆動するハイエンドコンピューティングへの政府アクセスを合理化し、拡大する。サンドボックスを駆動するNVIDIA DGX SuperPODシステムは、8ビットAIコンピュートのエクサFLOPが可能であり、これはカスタムLLMやその他のAIソリューションを大規模に訓練・展開するために、毎秒5億回の数学演算を実行することを意味する。
Federal agencies can gain access to the benefits of MITRE’s AI sandbox through existing contracts with any of the six federally funded research and development centers that MITRE operates. The sandbox, which launches in late 2024, will substantially augment MITRE’s AI Platform—increasing compute power by two orders of magnitude.  連邦政府機関は、MITREが運営する6つの連邦政府出資の研究開発センターとの既存の契約を通じて、MITREのAIサンドボックスのメリットを利用できる。2024年後半に開始されるサンドボックスは、MITREのAIプラットフォームを大幅に増強し、計算能力を2桁増加させる。
An AI supercomputer at this scale is ideal for training new, government-specific large frontier AI models, including LLMs, other generative AI, machine vision and multimodal perception systems, and reinforcement learning decision aids. MITRE continues to invest in innovation and resources that enable our experts, often in collaboration with government, industry, and academia, to solve complex problems in the public interest. この規模のAIスーパーコンピューターは、LLM、その他の生成的AI、マシンビジョン、マルチモーダル知覚システム、強化学習意思決定支援など、政府固有の新しい大規模フロンティアAIモデルのトレーニングに最適である。MITREは、我々の専門家が政府、産業界、学界としばしば協力し、公共の利益のために複雑な問題を解決することを可能にするイノベーションとリソースへの投資を続けている。
To realize the incredible potential of AI within the federal government, a secure sandbox environment with significant computational power is needed for prototyping, training, and testing complex AI models. 連邦政府内でAIの驚異的な可能性を実現するためには、複雑なAIモデルのプロトタイピング、トレーニング、テストのために、大きな計算能力を持つ安全なサンドボックス環境が必要である。

 

 

| | Comments (0)

2024.05.14

米国 CISA テクノロジー企業68社がセキュア・バイ・デザインの誓約をしたと発表していますね...(2024.05.08)

こんにちは、丸山満彦です。

米国のCISAが、テクノロジー企業68社がセキュア・バイ・デザインの誓約をしたと発表していますね...

68社ですから、私がしっている主要なテクノロジー企業は全て入っているのではないかと思います...

 

Cybersecurity & Infrstracture Security Agency; CISA

プレス...

・2024.05.08 CISA Announces Secure by Design Commitments from Leading Technology Providers

 

CISA Announces Secure by Design Commitments from Leading Technology Providers CISA、大手技術プロバイダによるセキュア・バイ・デザインの誓約を発表
WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) announced voluntary commitments by 68 of the world’s leading software manufacturers to CISA’s Secure by Design pledge to design products with greater security built in. ワシントン - 本日、サイバーセキュリティ・インフラセキュリティ庁(CISA)は、世界有数のソフトウェア製造事業者 68 社が、CISA の「セキュア・バイ・デザイン(Secure by Design)」誓約に自発的に取り組み、より高いセキュリティを組み込んだ製品を設計することを発表した。
“More secure software is our best hope to protect against the seemingly never-ending scourge of cyberattacks facing our nation. I am glad to see leading software manufacturers recognize this by joining us at CISA to build a future that is more secure by design,” CISA Director Jen Easterly said. “I applaud the companies who have already signed our pledge for their leadership and call on all software manufacturers to take the pledge and join us in creating a world where technology is safe and secure right out of the box.” CISAのディレクターであるジェン・イースタリー氏は、 次のように述べた。「より安全なソフトウェアは、わが国が直面しているサイバー攻撃の終わりがないように見える惨劇から身を守るための最良の希望である。主要なソフトウェア製造事業者が、設計によってより安全な未来を築くためにCISAに参加し、このことを認識していることをうれしく思う。「すでに誓約書に署名した企業のリーダーシップに拍手を送るとともに、すべてのソフトウェア製造事業者が誓約書に署名し、箱から出してすぐに技術が安全でセキュアな世界を実現するために、われわれと一緒に参加するよう呼びかける」。
A list of the 68 companies, including leading software manufacturers, participating in the pledge can be found at the Secure by Design Pledge page, and statements of support for the pledge can be read here. この誓約に参加している大手ソフトウェアメーカーを含む68社のリストは、Secure by Design Pledgeのページで見ることができる。
By catalyzing action by some of the largest technology manufacturers, the Secure by Design pledge marks a major milestone in CISA’s Secure by Design initiative. Participating software manufacturers are pledging to work over the next year to demonstrate measurable progress towards seven concrete goals. Collectively, these commitments will help protect Americans by securing the technology that our critical infrastructure relies on. セキュア・バイ・デザイン誓約は、CISAのセキュア・バイ・デザイン・イニシアチブの重要なマイルストーンとなる。参加するソフトウェア製造事業者は、7つの具体的な目標に向けて測定可能な進捗を実証するため、今後1年間取り組むことを誓約している。これらの誓約をまとめることで、重要なインフラが依存する技術を保護し、米国人を守ることができる。
“A more secure by design future is indeed possible. The items in the pledge directly address some of the most pervasive cybersecurity threats we at CISA see today, and by taking the pledge software manufacturers are helping raise our national cybersecurity baseline,” CISA Senior Technical Advisor Jack Cable said. “Every software manufacturer should recognize that they have a responsibility to protect their customers, contributing to our national and economic security. I appreciate the leadership of those who signed on and hope that every technology manufacturer will follow suit.” CISA上級技術顧問のジャック・ケーブル氏は、 次のように述べた。「より安全な設計による未来は確かに可能である。この誓約書の項目は、CISAが今日目にしている最も広範なサイバーセキュリティの脅威のいくつかに直接対処するものであり、ソフトウェア製造事業者は、この誓約書に署名することで、国のサイバーセキュリティの基準値を引き上げる手助けをすることになる。すべてのソフトウェア製造事業者は、自社の顧客を保護し、国家と経済の安全保障に貢献する責任があることを認識すべきである。私は、署名した人々のリーダーシップに感謝するとともに、すべての技術製造者がこれに続くことを望んでいる。」
The seven goals of the pledge are: 誓約の7つの目標は以下の通りである:
Multi-factor authentication (MFA). Within one year of signing the pledge, demonstrate actions taken to measurably increase the use of multi-factor authentication across the manufacturer’s products. 多要素認証(MFA):多要素認証(MFA)。誓約書に署名してから1年以内に、製造事業者の製品全体で多要素認証の利用を測定可能なほど増やすための行動を実証する。
Default passwords. Within one year of signing the pledge, demonstrate measurable progress towards reducing default passwords across the manufacturers’ products. デフォルトパスワード:誓約書に署名してから 1 年以内に、製造事業者全体でデフォルトパスワードの削減に向けて測定可能な進捗を示す。
Reducing entire classes of vulnerability. Within one year of signing the pledge, demonstrate actions taken towards enabling a significant measurable reduction in the prevalence of one or more vulnerability classes across the manufacturer’s products. 脆弱性のクラス全体の削減:誓約書署名から1年以内に、製造事業者製品全体で1つ以上の脆弱性クラスの普及を測定可能なほど大幅に削減することを可能にするために取られた行動を実証する。
Security patches. Within one year of signing the pledge, demonstrate actions taken to measurably increase the installation of security patches by customers. セキュリティパッチの適用:誓約書署名後 1 年以内に、顧客によるセキュ リティパッチのインストールを測定可能な程 増加させるために取られた行動を示す。
Vulnerability disclosure policy. Within one year of signing the pledge, publish a vulnerability disclosure policy (VDP) that authorizes testing by members of the public on products offered by the manufacturer, commits to not recommending or pursuing legal action against anyone engaging in good faith efforts to follow the VDP, provides a clear channel to report vulnerabilities, and allows for public disclosure of vulnerabilities in line with coordinated vulnerability disclosure best practices and international standards. 脆弱性開示の方針:誓約書に署名してから 1 年以内に、脆弱性開示方針(VDP)を公表する。この方針は、製造事 業者が提供する製品について一般ユーザーによるテストを認可し、VDP に従 う誠実な取り組みを行う者に対して法的措置を推奨または追求しないことを約束し、 脆弱性を報告するための明確なチャネルを提供し、調整された脆弱性開示のベストプラク ティスと国際標準に沿った脆弱性の一般公開を可能にするものである。
CVEs. Within one year of signing the pledge, demonstrate transparency in vulnerability reporting by including accurate Common Weakness Enumeration (CWE) and Common Platform Enumeration (CPE) fields in every Common Vulnerabilities and Exposures (CVE) record for the manufacturer’s products. Additionally, issue CVEs in a timely manner for, at minimum, all critical or high impact vulnerabilities (whether discovered internally or by a third party) that either require actions by a customer to patch or have evidence of active exploitation. CVE:誓約書に署名してから1年以内に、製造事業者の製品に関するすべての共通脆弱性一覧表(Common Weakness Enumeration:CWE)および共通プラットフォーム一覧表(Common Platform Enumeration:CPE)フィールドを、すべての共通脆弱性一覧表(Common Vulnerabilities and Exposures:CVE)に正確に含めることにより、脆弱性報告の透明性を実証する。さらに、顧客によるパッチ適用が必要な、または悪用された形跡がある、重要または影響度の高い脆弱性(社内またはサードパーティによって発見されたものであるかを問わない)については、少なくともすべて適時にCVEを発行すること。
・Evidence of intrusions. Within one year of signing the pledge, demonstrate a measurable increase in the ability for customers to gather evidence of cybersecurity intrusions affecting the manufacturer’s products. 侵入の証拠:誓約書に署名してから1年以内に、製造事業者の製品に影響を及ぼすサイバーセキュリティ侵入の証拠を収集する顧客の能力が測定可能なほど向上していることを実証する。
Each goal has core criteria which manufacturers are committing to work towards, in addition to context and example approaches to achieve the goal and demonstrate measurable progress. To enable a variety of approaches, software manufacturers participating in the pledge have the discretion to decide how best they can meet and demonstrate the core criteria of each goal, but progress should be demonstrated in public. 各目標には、製造事業者が取り組むことを約束する中核的な基準に加え、目標を達成し、測定可能な進捗を実証するための背景やアプローチ例が示されている。多様なアプローチを可能にするため、誓約に参加するソフトウェア製造事業者は、各目標の中核的基準を満たし、実証するための最善の方法を決定する裁量権を有するが、進捗状況は公開の場で実証されるべきである。
CISA’s global Secure by Design initiative, launched last year, implements the White House’s National Cybersecurity Strategy by shifting the cybersecurity burden away from end users and individuals to technology manufacturers who are most able to bear it. CISA urges software manufacturers to review CISA’s Secure by Design guidance and Secure by Design alerts to build security into their products. 昨年開始されたCISAのグローバルな「セキュア・バイ・デザイン」イニシアチブは、サイバーセキュリティの負担をエンドユーザーや個人から、最も負担能力のある技術製造者に移すことで、ホワイトハウスの国家サイバーセキュリティ戦略を実施するものである。CISAは、ソフトウェア製造事業者に対し、CISAのSecure by DesignガイダンスとSecure by Designアラートを確認し、自社製品にセキュリティを組み込むよう促している。

 

1_20240514054301

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

セキュア・バイ・デザイン(セキュリティ・バイ・デザイン)が表題にあるもの...

・2023.10.18 Five Eyes、ドイツ、オランダ、ノルウェー、韓国、イスラエル、日本、シンガポール、チェコ他 セキュア・バイ・デザイン原則の改訂

・2023.09.08 米国 CISA 幼稚園から高校まで (K-12) への教育ソフト開発会社とセキュア・バイ・デザインの誓約をかわす (2023.09.05)

・2023.04.15 CISA他 サイバーセキュリティリスクのバランスを変える:セキュリティ・バイ・デザインとセキュリティ・バイ・デフォルトの原則とアプローチ

・2022.06.03 英国 防衛省 セキュア・バイ・デザイン要求

 

 

| | Comments (0)

金融庁 金融審議会「サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ」

こんにちは、丸山満彦です。

金融庁の「金融審議会」(神田先生や、岩下先生が委員です)の「サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ」(堀江先生や藤本貴子さんが委員です)により、サステナビリティの開示と保証についての議論が始まっていますが、財務情報以外の保証という観点で非常に興味があります...特に、法制化された保証制度になるのかどうかという点で...

サステナビリティ情報の開示を保証をどのように進めていくのか?という話になっています。

・プライム市場から始めていくべきか、すべての市場で始めるか?

・1年目は開示だけし、2年目から開示についての保証を始めるか?

等が議論されていますね...

また、メリット・デメリットありますが、

義務化するというのであれば、

・プライム市場から始め、準備を整えた上で、開示と保証を同時にするのがよいのだろうと個人的には思います。

 

第1回会合での堀江先生の発表...


【堀江委員】 
   御指名ありがとうございました。環境整備について、ごく簡単に意見を述べさせていただければと思っています。
 企業において相応の手間とコストをかけてサステナビリティ情報を作成、開示する以上、法令等で縛られているから渋々開示を行うという後ろ向きの姿勢ではなくて、国内はもとより、海外からも投資先として選ばれるための前向きの姿勢を持った、そういう開示の姿勢、戦略的な開示といったことについての啓蒙をぜひしていただきたい。法令等で強制されているから、これは開示しないと駄目、あれは開示しないと駄目と、ちょっと表現はよくないんですけども、開示地獄なんて、このようなことにもなりかねない。ですから、これを機会に、うまく企業価値の向上等とも絡めて、開示が適切に行われるような仕組みづくりというものをお考えいただけるとよろしいのではないかと思います。
 もう既に意見としても出ましたが、こういう戦略的な開示の前提として、やはり情報の作成と開示を効果的かつ効率的に行うためには、適切な内部統制の整備とか、ガバナンス体制の整備はもう恐らく不可欠ではないかと思います。
 また、この開示基準の任意適用の期間で、資料の30、31ページ目に出ているところに関してでございますけれども、任意適用の期間の取扱いでございますが、強制適用の準備期間としての位置づけだけではなくて、ほかの委員からも意見が出ておりましたとおり、当面、強制適用から外れる企業に対する適用の促進という視点もとても重要ではないかと思います。
 なお、サステナビリティ情報は、言うまでもなく財務情報と関連づけて利用されるものでありまして、かつ、我が国のサステナビリティの情報の開示基準が国際基準と整合的なものになるということであれば、今後、国際財務報告基準の任意適用の対象拡大にもつながってくるのではないかと考えております。
 以上でございます。


 

企業体全体として、ガバナンス、内部統制の仕組みが重要となるという堀江先生の指摘には頷けるところがございますね...

 

金融庁

金融審議会 - サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ

諮問文...


サステナビリティ情報に係る昨今の国際的な動向や要請を踏まえ、我が国資本市場の一層の機能発揮に向け、投資家が中長期的な企業価値を評価し、建設的な対話を行うに当たって必要となる情報を、信頼性を確保しながら提供できるよう、同情報の開示やこれに対する保証のあり方について検討を行うこと。


 

第2回 2024.05.14 開催通知 資料    
      資料1 事務局説明資料  
      資料2 参考資料  
      資料3 意見書(吉元委員)  
第1回 2024.03.26 開催通知 資料   議事録
      資料1 諮問文  
      資料2 「サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ」メンバー名簿  
      資料3 事務局説明資料  
      資料4 事務局参考資料  

 

1_20240514050602

 

ちなみに、Big4を含めた監査法人等が会員となっている、「一般社団法人サステナビリティ情報審査協会」(2007年8月15日設立 旧:日本環境情報審査協会)というのがありますね。。。サステナビリティ報告書の保証についての推進等を図っていますね...シンボルマーク制度を運用していますね...

認定した団体による保証の付与は、2022年で165社になっていますね...

 

一般社団法人サステナビリティ情報審査協会 (J-SUS)

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

サステナビリティで検索...

・2024.04.06 日本公認会計士協会 サステナビリティ報告・保証業務等に関するIESBA倫理規程改訂公開草案の翻訳

・2024.03.03 日本公認会計士協会 「サステナビリティ報告に対する信頼の構築:早急に求められる統合的内部統制」の翻訳 (2024.02.26)

・2023.12.13 経団連 IAASB公開草案 国際サステナビリティ保証基準 (ISSA) 5000「サステナビリティ保証業務の一般的要求事項」へのコメント (2023.12.01)

・2023.11.22 内部監査人協会 COSO『サステナビリティ報告に係る有効な内部統制(ICSR)の実現』の翻訳 (2023.10.04)

・2023.09.25 日本公認会計士協会 IAASB公開草案 国際サステナビリティ保証基準(ISSA)5000「「サステナビリティ保証業務の一般的要求事項」

・2023.06.15 IFAC サステナビリティ報告書の保証 (2023.05.31)

・2021.04.27 欧州委員会 非財務情報開示指令の改正案発表 対象企業が大幅に増加

・2021.04.05 コーポレートガバナンス・コード改訂(案)

・2020.11.26 英国生まれの国際統合報告委員会 (IIRC) と米国生まれのサステナビリティ会計基準審議会 (SASB) が合併に・・・

 

一気に10年以上遡りますが...(記録は残しておくものですね...リンクは切れていますが...)

・2009.03.27 KPMGあずさサステナビリティ株式会社(あずさ監査法人グループ)のCSR報告書に対する独立第三者の審査報告書

・2007.02.23 日興コーディアル 中央青山PwCサスティナビリティ研究所及び新日本監査法人によるサスティナビリティ報告書に対する保証意見

・2005.10.24 環境報告書審査・登録制度が始まる

 

 

| | Comments (0)

2024.05.13

欧州連合 欧州対外活動庁 対外情報操作・干渉(FIMI)に関する国際規範の研究 (2024.04.30)

こんにちは、丸山満彦です。

欧州連合 欧州対外活動庁 (EEAS) が「対外情報操作・干渉(FIMI)に関する国際規範の研究」を公表していますね...

この文書の目的は、FIMIに特化した国際規範の策定に関する提言を行うことであり、規範の内容や策定プロセスも含まれるとのことです。

攻撃元へのハックバックは許されるがそれは、事前に表明を行い、表現・情報の自由やその他の人権に対する制限が合法的なものであることを確認するなど、対抗措置を講じるための他の条件が尊重されている必要があるとのことです...

 

・2024.04.30 Study on International Norms for Foreign Information Manipulation and Interference (FIMI)

 

・[PDF

20240512-165922

・[DOCX][PDF] 仮訳

 

目次...

EXECUTIVE SUMMARY エグゼクティブサマリー
INTRODUCTION 序文
THE INTERNATIONAL LEGAL FRAMEWORK APPLICABLE TO FIMI AND OTHER INFORMATION OPERATIONS 第II部 FIMIおよびその他の情報活動に適用される国際的な法的枠組み
II.1 SOVEREIGNTY II.1 主権
II.2 NON-INTERVENTION II.2 不干渉
II.3 DUE DILIGENCE II.3 デュー・ディリジェンス
II.4. INTERNATIONAL HUMAN RIGHTS LAW II.4 国際人権法
II.5 INTERNATIONAL HUMANITARIAN LAW II.5 国際人道法
II.6 STATE RESPONSIBILITY AND COUNTERMEASURES II.6 国の責任と対策
PART III – INTERNATIONAL NORMS AND NORMSETTING PROCESSES FOR CYBER OPERATIONS AND INTERNET GOVERNANCE 第III部 サイバー活動とインターネット・ガバナンスのための国際規範と規範設定プロセス
III.1 THE NORMS OF RESPONSIBLE STATE BEHAVIOUR IN THE ICT ENVIRONMENT III.1 ICT環境における国家の責任ある行動の規範
II.2 THE DRAFT UN CYBERCRIME CONVENTION II.2 国連サイバー犯罪条約ドラフト
III.3 THE NORMS FOR INTERNET GOVERNANCE III.3 インターネット・ガバナンスの規範
III.4 THE TALLINN AND OXFORD PROCESSES III.4 タリンとオックスフォードのプロセス
PART IV - CONCLUSIONS AND RECOMMENDATIONS 第IV部 結論と提言
IV.1 THE SUBSTANCE OF NORMS IV.1 規範の実質
IV.2 NORM-SETTING PROCESSES IV.2 規範設定プロセス
REFERENCES 参考文献

 

エグゼクティブサマリー ...

EXECUTIVE SUMMARY エグゼクティブサマリー
・This research paper is entitled ‘Study on International Norms for Foreign Information Manipulation and Interference (FIMI)’. Its purpose is to offer recommendations on the development of international norms specific to FIMI, including the content of those norms and their development processes.  ・ この研究論文は、「対外情報操作・妨害(FIMI)に関する国際規範の研究」と題するものである。その目的は、FIMIに特化した国際規範の策定に関する提言を行うことであり、その規範の内容や策定プロセスも含まれる。 
・It will do so by drawing on existing rules and principles of international law applicable to FIMI as well as norm-setting processes established in related fields, such as cyberspace.  ・ これは、FIMIに適用される国際法の既存の規則や原則、およびサイバー空間などの関連分野で確立された規範設定プロセスを活用することによって行われる。 
・Prominent norm-setting processes include those established within the auspices of the United Nations (UN) to discuss the use of information and communications technologies (ICTs) in the context of international peace and security and internet governance. ・ 顕著な規範設定プロセスとしては、国際平和と安全保障、インターネット・ガバナンスの文脈における情報通信技術(ICTs)の使用を議論するために、国連(UN)の後援の下で設立されたものがある。
・This study is centred on FIMI. Nevertheless, it concludes that, while operational frameworks developed to tackle FIMI tend to be behaviourcentric, international law applies more broadly to information operations writ large. Different factors are relevant when assessing the lawfulness of FIMI and other information operations under international law, particularly their content, means and methods, effects, actors, and targets. This analysis is in many ways similar to and overlaps with the work has already been carried out by the European External Action Service (EEAS) using the so-called ABCDE framework, which looks at the actor, behaviour, content, degree, effect of FIMI operations.  ・ 本研究は、FIMIに焦点を当てている。とはいえ、FIMIに取り組むために開発された作戦枠組みは行動中心主義になりがちだが、国際法は情報活動全般により広く適用される、と結論付けている。国際法の下でFIMIやその他の情報活動の合法性を評価する際には、特にその内容、手段・方法、効果、行為主体、標的など、さまざまな要素が関係してくる。この分析は、欧州対外活動庁(EEAS)が、情報活動の行為者、行動、内容、程度、効果に注目する、いわゆるABCDEフレームワークを用いてすでに実施してきた作業と多くの点で類似しており、また重複している。 
・To understand the international legal framework applicable to FIMI, it is necessary to consider how international law applies to various types of information operations – not just FIMI. ・ FIMIに適用される国際的な法的枠組みを理解するためには、FIMIに限らず、さまざまな種類の情報活動に国際法がどのように適用されるかを検討する必要がある。
・In line with international law, norms for FIMI should consider not only the means and methods by which these activities are carried out but also their actors, content, targets, effects, and other relevant legal criteria, similarly to the way the EEAS uses the ABCDE framework.  ・ 国際法に沿って、FIMIに関する規範は、EEASがABCDEの枠組みを用いる方法と同様に、これらの活動が実施される手段や方法だけでなく、その主体、内容、対象、効果、その他の関連する法的基準も考慮すべきである。 
・The international legal framework applicable to FIMI is made up of different but related rules and principles applicable to the behaviour of States and non-State actors online and offline; these must be considered holistically. ・ FIMIに適用される国際的な法的枠組みは、国家および非国家主体のオンラインおよびオフラインでの行動に適用される、異なるが関連する規則と原則で構成されている。
・International legal rules and principles applicable to FIMI include sovereignty, non-intervention, due diligence, State responsibility, international human rights law and international humanitarian law.  ・ FIMIに適用される国際法上の規則や原則には、主権、不干渉、デュー・ディリジェンス、国家責任、国際人権法、国際人道法などがある。 
・They overlap to some extent but cover different phenomena and therefore different types of FIMI, based on their particular triggers, thresholds and conditions. ・ これらはある程度重複しているが、異なる現象を対象としており、従って、特定のトリガー、閾値、条件に基づいて、異なるタイプのFIMIを対象としている。
・The human rights to freedom of expression and information, recognised under international human rights law, lie at the heart and centre of the applicable international legal framework and should inform FIMI norms. They require that any limitations on private speech, including lawful or unlawful FIMI activities, be grounded in law, legitimate, necessary, and proportionate. ・ 国際人権法の下で認められている表現と情報の自由に対する人権は、適用される国際法 的枠組みの中心であり核心であり、FIMI規範に反映されるべきである。これらの人権は、合法的または非合法的なFIMI活動を含め、私的言論に対するいかなる制限も、法律に根拠があり、合法的で、必要で、かつ比例的であることを要求している。
・International norms for FIMI should mirror this international legal framework. Drawing on the lessons from the cyber and internet governance contexts, their drafting process should be Stateled, inclusive of as many like-minded States as possible, including developed and developed countries, consensus-based, and informed by the input of different stakeholders, such as the industry, academia, and civil society. ・ 金融商品取引法に関する国際規範は、この国際的な法的枠組みを反映したものでなければならな い。サイバー・ガバナンスやインターネット・ガバナンスの文脈から得られた教訓を踏まえ、その起草プロ セスは、スタテル化され、先進国や先進国を含むできるだけ多くの志を同じくする国々が参加し、コンセンサスに基づき、産業界、学界、市民社会などのさまざまなステークホルダーの意見を反映したものであるべきである。

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

FIMI関連...

・2023.02.10 欧州連合 欧州対外行動庁 外国人による情報操作と干渉の脅威に関する報告書

・2022.12.14 ENISA 外国人による情報操作と干渉(FIMI)とサイバーセキュリティ - 脅威状況

 

 

 

| | Comments (0)

2024.05.12

ドイツ 第20回ドイツITセキュリティ会議

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (BSI) が、第20回ドイツITセキュリティ会議を2024.05.07-08で開催(バーチャル)し、4週間公開するようですね..

今年のテーマは「サプライチェーンのセキュリティ」と「協力」のようですね...

世界各国でサプライチェーンセキュリティーは言われていますね。そして、焦点は中小企業...これも同じ...

協力(コラボレーション)も米国でも言われていますね。

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.05.07 BSI eröffnet 20. Deutschen IT-Sicherheitskongress: Cybersicherheit gemeinsam erhöhen

 

20. Deutscher IT-Sicherheitskongress

 

そして、公開されているのはこちらから(https://meetyoo.live)。。。(まずは、登録が必要ですが。。。)

ドイツ語ですけどね...

 

プログラムの内容...

開会式

  • クラウディア・プラットナー、連邦情報セキュリティ局総裁
  • マルクス・リヒター、連邦内務・内務省事務次官兼連邦政府情報技術担当委員
  • ユハン・レパサール、欧州連合サイバーセキュリティ機関ENISA事務局長

重要インフラの回復力

  • 鉄道ネットワーク事業者における暗号アジャイルIoT通信
  • 電力網におけるサイバーレジリエンス:OT脆弱性管理の実際
  • 船舶のサイバーセキュリティ - 船橋を試験・開発実験室として利用する

脅威インテリジェンス

  • ウクライナにおけるロシアの攻撃とその影響を分析するためにインターネットスキャンとパッシブ測定を使用する
  • 合法的なインターネットサービスが台頭する中、悪意のあるインフラを積極的に特定する(LIS)。
  • MANTRA - サイバー脅威インテリジェンスの共有、分析、知識モデリングのためのグラフベースの手法とモデル

情報セキュリティの管理

  • Microsoft Power Platformを例とした、クラウドにおけるエンドツーエンドの自動化におけるガバナンスとセキュリティ
  • CSAFverse の開発:ビッグバンから 17 ヶ月半後
  • 情報セキュリティの観点からサービスプロバイダを監査する必要性

安全な通信

  • 最優秀学生賞:プライベート5Gネットワークの認証メカニズムとしてのEAP-TLSの探求
  • あらゆるレベルでのTLSライブラリの組み合わせテスト
  • セキュアなC-ITS通信 - デジタル交通インフラの安全確保への貢献

人工知能/機械学習

  • サイバーセキュリティとIT意識向上のためのAIベースの次世代学習プラットフォーム:適応学習環境とパーソナライゼーションは、IT意識向上トレーニングにおける学習の成功とユーザーエクスペリエンスを向上させることができるか?
  • 組織におけるLLMの信頼できる利用のための実践的ソリューション

パネルディスカッション

  • "サイバーネーション・ドイツ:協力の勝利 "

オープニング

  • フリーデリケ・ダーンス、連邦内務省・内務局長
  • クラウディア・プラットナー、連邦情報セキュリティ局局長
  • ゲルハルト・シャブヒューザー連邦情報セキュリティ局副局長

経済におけるサイバーセキュリティ

  • パブリッククラウドを活用したBCM戦略の実施
  • エネルギープラントにおけるIDSによる攻撃検知-実用化と侵入テスト(現場報告)
  • 最優秀学生賞:属性ベースのアクセス制御(ABAC)を使用した重要インフラにおける安全なIoT通信
  • 使えるセキュリティ - ITセキュリティにおける人的要因
  • 最優秀学生賞:AIが支援するサイバー攻撃に対する従業員の感化

使用可能なセキュリティの設計と評価。ある大学とのBSIプロジェクトからの提言

  • (ワークベース)ヒューマンファクター:破壊的要因としての人間からセキュリティ保証者としての人間へ

サプライチェーンにおけるセキュリティ

  • サプライヤー管理 - 実践と将来への展望
  • 「サプライチェーンにおけるセキュリティ/有効な標的としてのITサービスプロバイダーへの攻撃

物理システム

  • 最優秀学生賞:上空からの脅威: 自由に利用可能なドローンの情報セキュリティにおけるハザード分析
  • 来るべきKRITIS包括法の文脈における物理的侵入テスト:レジリエンスを高めるための試行錯誤のアプローチ
  • ICS/OTセキュリティ:合成とシミュレーションを用いた産業制御ネットワークにおけるStegoMalwareの検出性能の評価と検証

セキュリティ・システムへの信頼

  • エクスカーション「ドイツとヨーロッパにおけるクロスレベルの協力」
  • 認証とアジャイル・モダン・ソフトウェア開発 - 矛盾?
  • 誰に電話する?インシデント対応分野におけるサポートサービスの分類学的比較
  • 私はロボットです、私を信じてください:トラストポイントが工場での信頼をどのように可能にするか

暗号技術の最新動向

  • 単に量子セキュア:Botan暗号ライブラリとポスト量子暗号の統合
  • 金融サービスプロバイダーがポスト量子暗号(PQK)に移行する際の課題
  • 量子セキュアVPNインフラ

賞金授与式・閉会

 

1_20240512054701

 

 

 

 

| | Comments (0)

SNS事業者に対する統制も... 特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律が成立

こんにちは、丸山満彦です。

2024.05.10に参議院で、「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案」が、可決されされていますね...

SNSで他人の権利を侵害する情報の流通による被害が深刻化する一方、情報発信のための公共的な基盤としての特定電気通信役務の機能が重要性を増していることを踏まえて、大規模なSNS事業者を大規模特定電気通信役務提供者として指定して、侵害情報送信防止措置の実施手続の迅速化及び送信防止措置の実施状況の透明化を図るための義務を課す等の措置を講じようとするものですね...

SNSで自己の権利を侵害された時、申し出をすれば、もう少しましな対応になるのでしょう...

参議院での5月10日の投票結果...(といっても「起立採決により可決されました」としか書いていませんが...)

参議院 - 本会議投票結果

日付 案件名
令和06年5月10日 日程第1 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案(内閣提出、衆議院送付)
日程第2 雇用保険法等の一部を改正する法律案(内閣提出、衆議院送付)
日程第3 防衛省設置法等の一部を改正する法律案(内閣提出、衆議院送付)
日程第4 重要経済安保情報の保護及び活用に関する法律案(内閣提出、衆議院送付)
日程第5 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律の一部を改正する法律案(内閣提出、衆議院送付)

 

法律案の内容はこちらから...

参議院議案情報

提出回次 提出番号 件名
213 34 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案 議案要旨 提出法律案

 

・[PDF] 議案要旨


(総務委員会)

特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案(閣法第三四号)(衆議院送付)要旨

本法律案は、近年、インターネット上のSNS等の特定電気通信役務を利用して行われる他人の権利を侵害する情報の流通による被害が深刻化する一方、情報発信のための公共的な基盤としての特定電気通信役務の機能が重要性を増していることに鑑み、大規模なSNS事業者等を大規模特定電気通信役務提供者として指定し、侵害情報送信防止措置の実施手続の迅速化及び送信防止措置の実施状況の透明化を図るための義務を課す等の措置を講じようとするものであり、その主な内容は次のとおりである。

一、 題名を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。

二、 大規模なSNS事業者等を大規模特定電気通信役務提供者として指定する。

三、 侵害情報送信防止措置の実施手続の迅速化として、大規模特定電気通信役務提供者は、SNS等において自己の権利を侵害されたとする者から削除の申出を受け付ける方法を公表し、必要な体制を整備して削除についての調査を行うとともに、一定期間内にその結果等を申出者に通知しなければならないこととする。

四、 送信防止措置の実施状況の透明化として、大規模特定電気通信役務提供者は、削除等の実施に関する基準を定め、公表するとともに、削除等を行ったときは、その旨及びその理由を発信者に通知しなければならないこととする。

五、 この法律は、公布の日から起算して一年を超えない範囲内において政令で定める日から施行する。

なお、本法律案については、衆議院において、大規模特定電気通信役務提供者が毎年一回公表しなければならない事項として、送信防止措置の実施状況及び当該実施状況について自ら行った評価を明記する修正が行われた。


 

・[PDF] 提出法律案


第二一三回

閣第三四号

特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案

特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律(平成十三年法律第百三十七号)の一部を次のように改正する。

題名を次のように改める。

特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律次中「第四章 発信者情報開示命令事件に関する裁判手続(第八条-第十九条)」を

「 第四章 発信者情報開示命令事件に関する裁判手続(第八条-第十九条)

第五章 大規模特定電気通信役務提供者の義務(第二十条-第三十四条)

第六章 罰則(第三十五条-第三十八条) 」

に改める。

第一条中「侵害」を「侵害等」に、「を定める」を「を定め、あわせて、侵害情報送信防止措置の実施手続の迅速化及び送信防止措置の実施状況の透明化を図るための大規模特定電気通信役務提供者の義務について定める」に改める。

第二条中第九号を第十三号とし、第六号から第八号までを四号ずつ繰り下げ、第五号を第六号とし、同号の次に次の三号を加える。

七 侵害情報等 侵害情報、侵害されたとする権利及び権利が侵害されたとする理由をいう。

八 侵害情報送信防止措置 侵害情報の送信を防止する措置をいう。

九 送信防止措置 侵害情報送信防止措置その他の特定電気通信による情報の送信を防止する措置(当該情報の送信を防止するとともに、当該情報の発信者に対する特定電気通信役務の提供を停止する措置(第二十六条第二項第二号において「役務提供停止措置」という。)を含む。)をいう。

第二条中第四号を第五号とし、同条第三号中「(特定電気通信設備を用いて提供する電気通信役務(電気通信事業法第二条第三号に規定する電気通信役務をいう。第五条第二項において同じ。)をいう。同条第三項において同じ。)」を削り、同号を同条第四号とし、同条第二号の次に次の一号を加える。

三 特定電気通信役務 特定電気通信設備を用いて提供する電気通信役務(電気通信事業法第二条第三号に規定する電気通信役務をいう。第五条第二項において同じ。)をいう。

第二条に次の一号を加える。

十四 大規模特定電気通信役務提供者 第二十条第一項の規定により指定された特定電気通信役務提供者をいう。

第三条第二項第二号中「侵害情報、侵害されたとする権利及び権利が侵害されたとする理由(以下この号において「侵害情報等」という。)」を「侵害情報等」に、「侵害情報の送信を防止する措置(以下この号において「送信防止措置」という。)」を「侵害情報送信防止措置」に、「当該侵害情報の」を「当該申出に係る侵害情報の」に、「当該送信防止措置」を「当該侵害情報送信防止措置」に改める。

第十七条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第二条第九号」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律第二条第十三号」に改める。

本則に次の二章を加える。

第五章 大規模特定電気通信役務提供者の義務

(大規模特定電気通信役務提供者の指定)

第二十条 総務大臣は、次の各号のいずれにも該当する特定電気通信役務であって、その利用に係る特定電気通信による情報の流通について侵害情報送信防止措置の実施手続の迅速化及び送信防止措置の実施状況の透明化を図る必要性が特に高いと認められるもの(以下「大規模特定電気通信役務」という。)を提供する特定電気通信役務提供者を、大規模特定電気通信役務提供者として指定することができる。

一 当該特定電気通信役務が次のいずれかに該当すること。

イ 当該特定電気通信役務を利用して一月間に発信者となった者(日本国外にあると推定される者を除く。ロにおいて同じ。)及びこれに準ずる者として総務省令で定める者の数の総務省令で定める期間における平均(以下この条及び第二十四条第二項において「平均月間発信者数」という。)が特定電気通信役務の種類に応じて総務省令で定める数を超えること。

ロ 当該特定電気通信役務を利用して一月間に発信者となった者の延べ数の総務省令で定める期間における平均(以下この条及び第二十四条第二項において「平均月間延べ発信者数」という。)が特定電気通信役務の種類に応じて総務省令で定める数を超えること。

二 当該特定電気通信役務の一般的な性質に照らして侵害情報送信防止措置(侵害情報の不特定の者に対する送信を防止するために必要な限度において行われるものに限る。

以下同じ。)を講ずることが技術的に可能であること。

三 当該特定電気通信役務が、その利用に係る特定電気通信による情報の流通によって権利の侵害が発生するおそれの少ない特定電気通信役務として総務省令で定めるもの以外のものであること。

2総務大臣は、大規模特定電気通信役務提供者について前項の規定による指定の理由がなくなったと認めるときは、遅滞なく、その指定を解除しなければならない。

3総務大臣は、第一項の規定による指定及び前項の規定による指定の解除に必要な限度において、総務省令で定めるところにより、特定電気通信役務提供者に対し、その提供する特定電気通信役務の平均月間発信者数及び平均月間延べ発信者数を報告させることができる。

4総務大臣は、前項の規定による報告の徴収によっては特定電気通信役務提供者の提供する特定電気通信役務の平均月間発信者数又は平均月間延べ発信者数を把握することが困難であると認めるときは、当該平均月間発信者数又は平均月間延べ発信者数を総務省令で定める合理的な方法により推計して、第一項の規定による指定及び第二項の規定による指定の解除を行うことができる。

(大規模特定電気通信役務提供者による届出)

第二十一条 大規模特定電気通信役務提供者は、前条第一項の規定による指定を受けた日から三月以内に、総務省令で定めるところにより、次に掲げる事項を総務大臣に届け出なければならない。

一 氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

二 外国の法人若しくは団体又は外国に住所を有する個人にあっては、国内における代表者又は国内における代理人の氏名又は名称及び国内の住所

三 前二号に掲げる事項のほか、総務省令で定める事項

2 大規模特定電気通信役務提供者は、前項各号に掲げる事項に変更があったときは、遅滞なく、その旨を総務大臣に届け出なければならない。

(被侵害者からの申出を受け付ける方法の公表)

第二十二条 大規模特定電気通信役務提供者(前条第一項の規定による届出をした者に限る。以下同じ。)は、総務省令で定めるところにより、その提供する大規模特定電気通信役務を利用して行われる特定電気通信による情報の流通によって自己の権利を侵害されたとする者(次条において「被侵害者」という。)が侵害情報等を示して当該大規模特定電気通信役務提供者に対し侵害情報送信防止措置を講ずるよう申出を行うための方法を定め、これを公表しなければならない。

2 前項の方法は、次の各号のいずれにも適合するものでなければならない。

一 電子情報処理組織を使用する方法による申出を行うことができるものであること。

二 申出を行おうとする者に過重な負担を課するものでないこと。

三 当該大規模特定電気通信役務提供者が申出を受けた日時が当該申出を行った者(第二十五条において「申出者」という。)に明らかとなるものであること。

(侵害情報に係る調査の実施)

第二十三条 大規模特定電気通信役務提供者は、被侵害者から前条第一項の方法に従って侵害情報送信防止措置を講ずるよう申出があったときは、当該申出に係る侵害情報の流通によって当該被侵害者の権利が不当に侵害されているかどうかについて、遅滞なく必要な調査を行わなければならない。

(侵害情報調査専門員)

第二十四条 大規模特定電気通信役務提供者は、前条の調査のうち専門的な知識経験を必要とするものを適正に行わせるため、特定電気通信による情報の流通によって発生する権利侵害への対処に関して十分な知識経験を有する者のうちから、侵害情報調査専門員(以下この条及び次条第二項第二号において「専門員」という。)を選任しなければならない。

2大規模特定電気通信役務提供者の専門員の数は、当該大規模特定電気通信役務提供者の提供する大規模特定電気通信役務の平均月間発信者数又は平均月間延べ発信者数及び種別に応じて総務省令で定める数(当該大規模特定電気通信役務提供者が複数の大規模特定電気通信役務を提供している場合にあっては、それぞれの大規模特定電気通信役務の平均月間発信者数又は平均月間延べ発信者数及び種別に応じて総務省令で定める数を合算した数)以上でなければならない。

3大規模特定電気通信役務提供者は、専門員を選任したときは、総務省令で定めるところにより、遅滞なく、その旨及び総務省令で定める事項を総務大臣に届け出なければならない。これらを変更したときも、同様とする。

(申出者に対する通知)

第二十五条 大規模特定電気通信役務提供者は、第二十三条の申出があったときは、同条の調査の結果に基づき侵害情報送信防止措置を講ずるかどうかを判断し、当該申出を受けた日から十四日以内の総務省令で定める期間内に、次の各号に掲げる区分に応じ、当該各号に定める事項を申出者に通知しなければならない。ただし、申出者から過去に同一の内容の申出が行われていたときその他の通知しないことについて正当な理由があるときは、この限りでない。

一 当該申出に応じて侵害情報送信防止措置を講じたとき その旨

二 当該申出に応じた侵害情報送信防止措置を講じなかったとき その旨及びその理由

2 前項本文の規定にかかわらず、大規模特定電気通信役務提供者は、次の各号のいずれかに該当するときは、第二十三条の調査の結果に基づき侵害情報送信防止措置を講ずるかどうかを判断した後、遅滞なく、同項各号に掲げる区分に応じ、当該各号に定める事項を申出者に通知すれば足りる。この場合においては、同項の総務省令で定める期間内に、次の各号のいずれに該当するか(第三号に該当する場合にあっては、その旨及びやむを得ない理由の内容)を申出者に通知しなければならない。

一 第二十三条の調査のため侵害情報の発信者の意見を聴くこととしたとき。

二 第二十三条の調査を専門員に行わせることとしたとき。

三 前二号に掲げる場合のほか、やむを得ない理由があるとき。

(送信防止措置の実施に関する基準等の公表)

第二十六条 大規模特定電気通信役務提供者は、その提供する大規模特定電気通信役務を利用して行われる特定電気通信による情報の流通については、次の各号のいずれかに該当する場合のほか、自ら定め、公表している基準に従う場合に限り、送信防止措置を講ずることができる。この場合において、当該基準は、当該送信防止措置を講ずる日の総務省令で定める一定の期間前までに公表されていなければならない。

一 当該大規模特定電気通信役務提供者が送信防止措置を講じようとする情報の発信者であるとき。

二 他人の権利を不当に侵害する情報の送信を防止する義務がある場合その他送信防止措置を講ずる法令上の義務(努力義務を除く。)がある場合において、当該義務に基づき送信防止措置を講ずるとき。

三 緊急の必要により送信防止措置を講ずる場合であって、当該送信防止措置を講ずる情報の種類が、通常予測することができないものであるため、当該基準における送信防止措置の対象として明示されていないとき。

2大規模特定電気通信役務提供者は、前項の基準を定めるに当たっては、当該基準の内容が次の各号のいずれにも適合したものとなるよう努めなければならない。

一 送信防止措置の対象となる情報の種類が、当該大規模特定電気通信役務提供者が当該情報の流通を知ることとなった原因の別に応じて、できる限り具体的に定められていること。

二 役務提供停止措置を講ずることがある場合においては、役務提供停止措置の実施に関する基準ができる限り具体的に定められていること。

三 発信者その他の関係者が容易に理解することのできる表現を用いて記載されていること。

四 送信防止措置の実施に関する努力義務を定める法令との整合性に配慮されていること。

3大規模特定電気通信役務提供者は、第一項第三号に該当することを理由に送信防止措置を講じたときは、速やかに、当該送信防止措置を講じた情報の種類が送信防止措置の対象となることが明らかになるよう同項の基準を変更しなければならない。

4第一項の基準を公表している大規模特定電気通信役務提供者は、おおむね一年に一回、当該基準に従って送信防止措置を講じた情報の事例のうち発信者その他の関係者に参考となるべきものを情報の種類ごとに整理した資料を作成し、公表するよう努めなければならない。

(発信者に対する通知等の措置)

第二十七条 大規模特定電気通信役務提供者は、その提供する大規模特定電気通信役務を利用して行われる特定電気通信による情報の流通について送信防止措置を講じたときは、次の各号のいずれかに該当する場合を除き、遅滞なく、その旨及びその理由を当該送信防止措置により送信を防止された情報の発信者に通知し、又は当該情報の発信者が容易に知り得る状態に置く措置(第二号及び次条第三号において「通知等の措置」という。)を講じなければならない。この場合において、当該送信防止措置が前条第一項の基準に従って講じられたものであるときは、当該理由において、当該送信防止措置と当該基準との関係を明らかにしなければならない。

一 当該大規模特定電気通信役務提供者が送信防止措置を講じた情報の発信者であるとき。

二 過去に同一の発信者に対して同様の情報の送信を同様の理由により防止したことについて通知等の措置を講じていたときその他の通知等の措置を講じないことについて正当な理由があるとき。

(措置の実施状況等の公表)

第二十八条 大規模特定電気通信役務提供者は、毎年一回、総務省令で定めるところにより、次に掲げる事項を公表しなければならない。

一 第二十三条の申出の受付の状況

二 第二十五条の規定による通知の実施状況

三 三 前条の規定による通知等の措置の実施状況

四 前三号に掲げる事項のほか、大規模特定電気通信役務提供者がこの章の規定に基づき講ずべき措置の実施状況を明らかにするために必要な事項として総務省令で定める事項

(報告の徴収)

第二十九条 総務大臣は、第二十二条、第二十四条、第二十五条、第二十六条第一項若しくは第三項、第二十七条又は前条の規定の施行に必要な限度において、大規模特定電気通信役務提供者に対し、その業務に関し報告をさせることができる。

(勧告及び命令)

第三十条 総務大臣は、大規模特定電気通信役務提供者が第二十二条、第二十四条、第二十五条、第二十六条第一項若しくは第三項、第二十七条又は第二十八条の規定に違反していると認めるときは、当該大規模特定電気通信役務提供者に対し、その違反を是正するために必要な措置を講ずべきことを勧告することができる。

2 総務大臣は、前項の規定による勧告を受けた大規模特定電気通信役務提供者が、正当な理由がなく当該勧告に係る措置を講じなかったときは、当該大規模特定電気通信役務提供者に対し、当該勧告に係る措置を講ずべきことを命ずることができる。

(送達すべき書類)

第三十一条 第二十条第一項の規定による指定、第二十九条の規定による報告の徴収、前条第一項の規定による勧告又は同条第二項の規定による命令は、総務省令で定める書類を送達して行う。

2 第二十条第一項の規定による指定又は前条第二項の規定による命令に係る行政手続法

(平成五年法律第八十八号)第三十条の規定による通知は、同条の書類を送達して行う。

この場合において、同法第三十一条において読み替えて準用する同法第十五条第三項の規定は適用しない。

(送達に関する民事訴訟法の準用)

第三十二条 前条の規定による送達については、民事訴訟法第九十九条、第百一条、第百三条、第百五条、第百六条、第百八条及び第百九条の規定を準用する。この場合において、同法第九十九条第一項中「執行官」とあるのは「総務大臣の職員」と、同法第百八条中「裁判長」とあり、及び同法第百九条中「裁判所」とあるのは「総務大臣」と読み替えるものとする。

(公示送達)

第三十三条 総務大臣は、次に掲げる場合には、公示送達をすることができる。

一 送達を受けるべき者の住所、居所その他送達をすべき場所が知れない場合

二 外国においてすべき送達について、前条において読み替えて準用する民事訴訟法第百八条の規定によることができず、又はこれによっても送達をすることができないと認めるべき場合

三 前条において読み替えて準用する民事訴訟法第百八条の規定により外国の管轄官庁に嘱託を発した後六月を経過してもその送達を証する書面の送付がない場合

2公示送達は、送達をすべき書類を送達を受けるべき者にいつでも交付すべき旨を総務省令で定める方法により不特定多数の者が閲覧することができる状態に置くとともに、その旨が記載された書面を総務省の掲示場に掲示し、又はその旨を総務省の事務所に設置した電子計算機の映像面に表示したものの閲覧をすることができる状態に置く措置をとることにより行う。

3公示送達は、前項の規定による措置を開始した日から二週間を経過することによって、その効力を生ずる。

4外国においてすべき送達についてした公示送達にあっては、前項の期間は、六週間とする。

(電子情報処理組織の使用)

第三十四条 総務大臣の職員が、情報通信技術を活用した行政の推進等に関する法律(平成十四年法律第百五十一号)第三条第九号に規定する処分通知等であって第三十一条の規定により書類を送達して行うこととしているものに関する事務を、同法第七条第一項の規定により同法第六条第一項に規定する電子情報処理組織を使用して行ったときは、第三十二条において読み替えて準用する民事訴訟法第百九条の規定による送達に関する事項を記載した書面の作成及び提出に代えて、当該事項を当該電子情報処理組織を使用して総務大臣の使用に係る電子計算機(入出力装置を含む。)に備えられたファイルに記録しなければならない。

第六章 罰則

第三十五条 第三十条第二項の規定による命令に違反した場合には、当該違反行為をした者は、一年以下の拘禁刑又は百万円以下の罰金に処する。

第三十六条 次の各号のいずれかに該当する場合には、当該違反行為をした者は、五十万円以下の罰金に処する。

一 第二十一条の規定による届出をせず、又は虚偽の届出をしたとき。

二 第二十九条の規定による報告をせず、又は虚偽の報告をしたとき。

第三十七条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関し、次の各号に掲げる規定の違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。

一 第三十五条又は前条第一号 一億円以下の罰金刑

二 前条第二号 同条の罰金刑

第三十八条 次の各号のいずれかに該当する者は、三十万円以下の過料に処する。

一 正当な理由がなく、第二十条第三項の規定による報告をせず、又は虚偽の報告をした者二 第二十四条第三項の規定による届出をせず、又は虚偽の届出をした者

附 則

(施行期日)

第一条 この法律は、公布の日から起算して一年を超えない範囲内において政令で定める日から施行する。

(検討)

第二条 政府は、この法律の施行後五年を経過した場合において、この法律による改正後の規定の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。

(経過措置)

第三条 この法律の施行の日からデジタル社会の形成を図るための規制改革を推進するためのデジタル社会形成基本法等の一部を改正する法律(令和五年法律第六十三号)附則第一条第二号に掲げる規定の施行の日(以下この条において「デジタル社会形成基本法施行日」という。)の前日までの間におけるこの法律による改正後の特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律(次条において「新法」という。)第三十三条の規定の適用については、同条第二項中「旨を総務省令で定める方法により不特定多数の者が閲覧することができる状態に置くとともに、その旨が記載された書面を」とあるのは「旨を」と、「掲示し、又はその旨を総務省の事務所に設置した電子計算機の映像面に表示したものの閲覧をすることができる状態に置く措置をとる」とあるのは「掲示する」と、同条第三項中「措置を開始した」とあるのは「掲示を始めた」とする。デジタル社会形成基本法施行日以後におけるデジタル社会形成基本法施行日前にした公示送達に対する同条の規定の適用についても、同様とする。

(調整規定)

第四条 この法律の施行の日が刑法等の一部を改正する法律(令和四年法律第六十七号)の施行の日(以下この条において「刑法施行日」という。)前である場合には、この法律の施行の日から刑法施行日の前日までの間における新法第三十五条の規定の適用については、同条中「拘禁刑」とあるのは、「懲役」とする。刑法施行日以後における刑法施行日前にした行為に対する同条の規定の適用についても、同様とする。

(医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律の一部改正)

第五条 医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(昭和三十五年法律第百四十五号)の一部を次のように改正する。

第七十二条の五第二項中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に、「第二条第三号」を「第二条第四号」に改める。

第七十二条の六中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第二条第四号」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律第二条第五号」に改める。

(いじめ防止対策推進法の一部改正)

第六条 いじめ防止対策推進法(平成二十五年法律第七十一号)の一部を次のように改正する。

第十九条第三項中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に、「第二条第六号」を「第二条第十号」に改める。

(私事性的画像記録の提供等による被害の防止に関する法律の一部改正)

第七条 私事性的画像記録の提供等による被害の防止に関する法律(平成二十六年法律第百二十六号)の一部を次のように改正する。

第一条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。

第四条の見出しを「(特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の特例)」に改め、同条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に、「第二条第三号」を「第二条第四号」に、「第二条第四号」を「第二条第五号」に改める。

(民事訴訟法等の一部を改正する法律の一部改正)

第八条 民事訴訟法等の一部を改正する法律(令和四年法律第四十八号)の一部を次のように改正する。

附則第九十一条の前の見出しを削り、同条を次のように改める。

第九十一条 削除

附則第九十二条に見出しとして「(特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の一部改正)」を付し、同条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律(平成十三年法律第百三十七号)」に改め、特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第十七条の改正規定の次に次のように加える。

第三十二条中「第九十九条、第百一条」を「第百条第一項、第百一条、第百二条の二」に、「、第百八条及び第百九条」を「及び第百八条」に改め、同条後段を次のように改める。

この場合において、同項中「裁判所」とあり、及び同条中「裁判長」とあるのは「総務大臣」と、同法第百一条第一項中「執行官」とあるのは「総務大臣の職員」と読み替えるものとする。

第三十四条中「第百九条」を「第百条第一項」に改める。

(性をめぐる個人の尊厳が重んぜられる社会の形成に資するために性行為映像制作物への出演に係る被害の防止を図り及び出演者の救済に資するための出演契約等に関する特則等に関する法律の一部改正)

第九条 性をめぐる個人の尊厳が重んぜられる社会の形成に資するために性行為映像制作物への出演に係る被害の防止を図り及び出演者の救済に資するための出演契約等に関する特則等に関する法律(令和四年法律第七十八号)の一部を次のように改正する。

目次、第一条及び第三章の章名中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。

第十六条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に、「第二条第三号」を「第二条第四号」に、「第二条第四号」を「第二条第五号」に改める。

(民事関係手続等における情報通信技術の活用等の推進を図るための関係法律の整備に関する法律の一部改正)

第十条 民事関係手続等における情報通信技術の活用等の推進を図るための関係法律の整備に関する法律(令和五年法律第五十三号)の一部を次のように改正する。

目次中

「 第十八章 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部改正等

第一節 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部改正(第百九十九条)

第二節 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部改正に伴う経過措置(第二百条・第二百一条) 」を

「 第十八章 特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の一部改正等 第一節 特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の一部改正(第百九十九条)

第二節 特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の一部改正に伴う経過措置(第二百条・第二百一条)

第三節 特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の一部改正に伴う関係法律の整備(第二百一条の二) 」に改める。

第十八章の章名及び同章第一節の節名中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。

第百九十九条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律(」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律(」に改め、同条のうち特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律目次の改正規定中「」に」の下に「、「第二十条-第三十四条」を「第二十一条-第三十五条」に、「第三十五条-第三十八条」を

「第三十六条-第三十九条」に」を加え、同改正規定の次に次のように加える。

第二条第九号中「第二十六条第二項第二号」を「第二十七条第二項第二号」に改め、同条第十四号中「第二十条第一項」を「第二十一条第一項」に改める。

第百九十九条のうち特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第十二条を改め、同条の次に二条を加える改正規定の次に次のように加える。

第三十八条第一号中「第二十条第三項」を「第二十一条第三項」に改め、同条第二

号中「第二十四条第三項」を「第二十五条第三項」に改め、同条を第三十九条とする。

第三十七条第一号中「第三十五条」を「第三十六条」に改め、同条を第三十八条とする。

第三十六条第一号中「第二十一条」を「第二十二条」に改め、同条第二号中「第二十九条」を「第三十条」に改め、同条を第三十七条とする。

第三十五条中「第三十条第二項」を「第三十一条第二項」に改め、同条を第三十六条とする。

第三十四条中「第三十一条」を「第三十二条」に、「第三十二条」を「第三十三条」に改め、第五章中同条を第三十五条とし、第三十三条を第三十四条とし、第三十二条を第三十三条とする。

第三十一条第一項中「第二十条第一項」を「第二十一条第一項」に、「第二十九条」を「第三十条」に改め、同条第二項中「第二十条第一項」を「第二十一条第一項」に改め、同条を第三十二条とする。

第三十条第一項中「第二十二条、第二十四条、第二十五条、第二十六条第一項若しくは第三項、第二十七条又は第二十八条」を「第二十三条、第二十五条、第二十六条、第二十七条第一項若しくは第三項、第二十八条又は第二十九条」に改め、同条を第三十一条とする。

第二十九条中「第二十二条、第二十四条、第二十五条、第二十六条第一項若しくは第三項、第二十七条」を「第二十三条、第二十五条、第二十六条、第二十七条第一項若しくは第三項、第二十八条」に改め、同条を第三十条とする。

第二十八条第一号中「第二十三条」を「第二十四条」に改め、同条第二号中「第二十五条」を「第二十六条」に改め、同条を第二十九条とし、第二十七条を第二十八条とし、第二十六条を第二十七条とする。

第二十五条中「第二十三条」を「第二十四条」に改め、同条を第二十六条とし、第二十四条を第二十五条とし、第二十三条を第二十四条とする。

第二十二条第二項第三号中「第二十五条」を「第二十六条」に改め、同条を第二十三条とし、第二十一条を第二十二条とする。

第二十条第一項第一号中「第二十四条第二項」を「第二十五条第二項」に改め、同条を第二十一条とし、第四章中第十九条を第二十条とする。

第百九十九条のうち特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第十九条を同法第二十条とする改正規定を削る。

第百九十九条のうち特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第十八条を改め、同条に一項を加える改正規定中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。

第百九十九条のうち特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第十七条の改正規定中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第二条第九号」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律第二条第十三号」に改める。

第百九十九条のうち特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律第十七条を同法第十八条とし、同法第十六条の次に一条を加える改正規定中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。

第十八章第二節の節名、第二百条及び第二百一条中「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律」に改める。

第十八章に次の一節を加える。

第三節 特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律の一部改正に伴う関係法律の整備

第二百一条の二 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律(令和六年法律第▼▼▼号)の一部を次のように改正する。

附則第四条中「新法第三十五条」を「特定電気通信による情報の流通によって発生する権利侵害等への対処に関する法律第三十六条」に改める。  

理 由

近年、インターネット上のSNS等の特定電気通信役務を利用して行われる他人の権利を侵害する情報の流通による被害が深刻化する一方、情報発信のための公共的な基盤としての特定電気通信役務の機能が重要性を増していることに鑑み、大規模なSNS事業者等を大規模特定電気通信役務提供者として指定し、侵害情報送信防止措置の実施手続の迅速化及び送信防止措置の実施状況の透明化を図るための義務を課す等の措置を講ずる必要がある。これが、この法律案を提出する理由である。


 

 

衆議院 - 議案情報

まだ、衆議院で審議中になっていますが...

提出回次 番号 議案件名 審議状況 経過情報 本文情報
213 34 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案
参議院で審議中 経過
本文及び修正案

 

衆議院での修正


特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案に対する修正案

特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案の一部を次のように修正する。

本則に二章を加える改正規定のうち第二十八条第四号中「前三号」を「前各号」に改め、同号を同条第六号とし、同条第三号の次に次の二号を加える。

四 送信防止措置の実施状況(前三号に掲げる事項を除く。)
五 前各号に掲げる事項について自ら行った評価


 

総務省内閣官房が法案を提出した時...

総務省 - 国会提出法案

国会提出日 法律案名 資料
令和6年3月1日 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案 概要【325 KB】
要綱【97 KB】
法律案・理由【160 KB】
新旧対照条文【254 KB】
参照条文【310 KB】
 (所管課室名)
総合通信基盤局電気通信事業部利用環境課

 

1_20240512055501

 

| | Comments (0)

2024.05.11

日本でもセキュリティクリアランス制度が本格的に導入されることになりましたね...

こんにちは、丸山満彦です。

2024.05.10に参議院で、「重要経済安保情報の保護及び活用に関する法律案」、が可決しましたね...

いわゆるセキュリティクリアランス制度の導入ってやつですね...

海外でセキュリティクリアランスを持っている人と一緒に仕事をしたことがあるのですが、制度が違うのでしょうが、なんかいろいろと面倒な感じでしたね...(海外出張とか...)

 

また、あわせて、「重要経済安保情報の保護及び活用に関する法律案」も可決されています。これは、基幹インフラに一般港湾運送事業社を加えるというものですね...

同時に、特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案も、可決されされています...

参議院での5月10日の投票結果...(といっても「起立採決により可決されました」としか書いていませんが...)

 

参議院 - 本会議投票結果

日付 案件名
令和06年5月10日 日程第1 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律案(内閣提出、衆議院送付)
日程第2 雇用保険法等の一部を改正する法律案(内閣提出、衆議院送付)
日程第3 防衛省設置法等の一部を改正する法律案(内閣提出、衆議院送付)
日程第4 重要経済安保情報の保護及び活用に関する法律案(内閣提出、衆議院送付)
日程第5 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律の一部を改正する法律案(内閣提出、衆議院送付)

 

法律案の内容はこちらから...

参議院議案情報

提出回次 提出番号 件名
213 24 重要経済安保情報の保護及び活用に関する法律案 議案要旨 提出法律案
213 25 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律の一部を改正する法律案 議案要旨 提出法律案

 

重要経済安保情報の保護及び活用に関する法律案

● [PDF] 議案要旨


(内閣委員会)

重要経済安保情報の保護及び活用に関する法律案(閣法第二四号)(衆議院送付)要旨本法律案の主な内容は次のとおりである。

一、 行政機関の長は、当該行政機関の所掌事務に係る重要経済基盤保護情報であって、公になっていないもののうち、その漏えいが我が国の安全保障に支障を与えるおそれがあるため、特に秘匿することが必要であるもの(特別防衛秘密及び特定秘密に該当するものを除く。)を重要経済安保情報として指定するものとする。

二、 重要経済安保情報を保有する行政機関の長は、我が国の安全保障の確保に資する活動を行う事業者であって重要経済安保情報の保護のために必要な施設設備を設置していること等の基準に適合するもの(以下「適合事業者」という。)に当該重要経済安保情報を利用させる必要があると認めたときは、当該適合事業者との契約に基づき、当該重要経済安保情報を提供することができる。

三、 重要経済安保情報の取扱いの業務は、原則として、適性評価において重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者でなければ行ってはならない。

四、 適性評価は、行政機関の長が、当該行政機関の職員等について、当該者の同意を得て、適性評価調査の結果に基づき実施することとし、適性評価調査は、原則として、適性評価を実施する行政機関の長の求めにより内閣総理大臣が一元的に行うものとする。

五、 政府は、重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定に関し、統一的な運用を図るための基準を定めるものとする。

六、 重要経済安保情報の取扱いの業務により知り得た重要経済安保情報を漏らした者等に対する所要の罰則を設ける。

七、 この法律は、一部の規定を除き、公布の日から起算して一年を超えない範囲内において政令で定める日から施行する。

なお、本法律案は、衆議院において、重要経済安保情報の指定等の状況についての国会への報告等の規定を設けること、重要経済安保情報の提供を受ける国会におけるその保護に関する方策について、国会において、検討を加え、その結果に基づいて必要な措置を講ずるものとすること等を内容とする修正が行われた。


 

● [PDF] 提出法律案


第二一三回閣第二四号

重要経済安保情報の保護及び活用に関する法律案

目次

第一章 総則(第一条・第二条)

第二章 重要経済安保情報の指定等(第三条-第五条)

第三章 他の行政機関等に対する重要経済安保情報の提供(第六条-第九条)

第四章 適合事業者に対する重要経済安保情報の提供等(第十条)

第五章 重要経済安保情報の取扱者の制限(第十一条)

第六章 適性評価(第十二条-第十七条)

第七章 雑則(第十八条-第二十一条)

第八章 罰則(第二十二条-第二十七条)

附則

第一章 総則

(目的)

第一条 この法律は、国際情勢の複雑化、社会経済構造の変化等に伴い、経済活動に関して行われる国家及び国民の安全を害する行為を未然に防止する重要性が増大している中で、重要経済基盤に関する情報であって我が国の安全保障(外部からの侵略等の脅威に対して国家及び国民の安全を保障することをいう。以下同じ。)を確保するために特に秘匿することが必要であるものについて、これを適確に保護する体制を確立した上で収集し、整理し、及び活用することが重要であることに鑑み、当該情報の保護及び活用に関し、重要経済安保情報の指定、我が国の安全保障の確保に資する活動を行う事業者への重要経済安保情報の提供、重要経済安保情報の取扱者の制限その他の必要な事項を定めることにより、その漏えいの防止を図り、もって我が国及び国民の安全の確保に資することを目的とする。

(定義)

第二条 この法律において「行政機関」とは、次に掲げる機関をいう。

一 法律の規定に基づき内閣に置かれる機関(内閣府を除く。)及び内閣の所轄の下に置かれる機関

二 内閣府、宮内庁並びに内閣府設置法(平成十一年法律第八十九号)第四十九条第一項及び第二項に規定する機関(これらの機関のうち、国家公安委員会にあっては警察庁を、第四号の政令で定める機関が置かれる機関にあっては当該政令で定める機関を除く。)

三 国家行政組織法(昭和二十三年法律第百二十号)第三条第二項に規定する機関(第五号の政令で定める機関が置かれる機関にあっては、当該政令で定める機関を除く。)

四 内閣府設置法第三十九条及び第五十五条並びに宮内庁法(昭和二十二年法律第七十号)第十六条第二項の機関並びに内閣府設置法第四十条及び第五十六条(宮内庁法第十八条第一項において準用する場合を含む。)の特別の機関で、警察庁その他政令で定めるもの

五 国家行政組織法第八条の二の施設等機関及び同法第八条の三の特別の機関で、政令で定めるもの

六 会計検査院

2 この法律において「行政機関の長」とは、次の各号に掲げる行政機関の区分に応じ、当該各号に定める者をいう。

一 次号及び第三号に掲げる機関以外の機関 当該機関の長

二 前項第四号及び第五号の政令で定める機関(次号に掲げるものを除く。) 当該機関ごとに政令で定める者

三 合議制の機関 当該機関

3 この法律において「重要経済基盤」とは、我が国の国民生活又は経済活動の基盤となる公共的な役務であってその安定的な提供に支障が生じた場合に我が国及び国民の安全を損なう事態を生ずるおそれがあるものの提供体制並びに国民の生存に必要不可欠な又は広く我が国の国民生活若しくは経済活動が依拠し、若しくは依拠することが見込まれる重要な物資(プログラムを含む。)の供給網をいう。

4 この法律において「重要経済基盤保護情報」とは、重要経済基盤に関する情報であって次に掲げる事項に関するものをいう。

一 外部から行われる行為から重要経済基盤を保護するための措置又はこれに関する計画若しくは研究

二 重要経済基盤の脆(ぜい)弱性、重要経済基盤に関する革新的な技術その他の重要経済基盤に関する重要な情報であって安全保障に関するもの

三 第一号の措置に関し収集した外国(本邦の域外にある国又は地域をいう。以下同じ。)の政府又は国際機関からの情報

四 前二号に掲げる情報の収集整理又はその能力

第二章 重要経済安保情報の指定等

(重要経済安保情報の指定)

第三条 行政機関の長は、当該行政機関の所掌事務に係る重要経済基盤保護情報であって、公になっていないもののうち、その漏えいが我が国の安全保障に支障を与えるおそれがあるため、特に秘匿することが必要であるもの(特別防衛秘密(日米相互防衛援助協定等に伴う秘密保護法(昭和二十九年法律第百六十六号)第一条第三項に規定する特別防衛秘密をいう。)及び特定秘密(特定秘密の保護に関する法律(平成二十五年法律第百八号。以下「特定秘密保護法」という。)第三条第一項に規定する特定秘密をいう。以下同じ。)に該当するものを除く。)を重要経済安保情報として指定するものとする。

2 行政機関の長は、前項の規定による指定(以下「指定」という。)をしたときは、政令で定めるところにより指定に関する記録を作成するとともに、当該指定に係る重要経済安保情報の範囲を明らかにするため、重要経済安保情報である情報について、次の各号のいずれかに掲げる措置を講ずるものとする。

一 政令で定めるところにより、重要経済安保情報である情報を記録する文書、図画、電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録をいう。以下この号において同じ。)若しく物件又は当該情報を化体する物件に重要経済安保情報の表示(電磁的記録にあっては、当該表示の記録を含む。)をすること。

二 重要経済安保情報である情報の性質上前号に掲げる措置を講ずることが困難である場合においては、政令で定めるところにより、当該情報について指定が行われた旨を当該情報を取り扱う者に通知すること。

3 行政機関の長は、重要経済安保情報である情報について前項第二号に掲げる措置を講じた場合において、当該情報について同項第一号に掲げる措置を講ずることができることとなったときは、直ちに当該措置を講ずるものとする。

(指定の有効期間及び解除)

第四条 行政機関の長は、指定をするときは、当該指定の日から起算して五年を超えない範囲内においてその有効期間を定めるものとする。

2 行政機関の長は、指定の有効期間(この項の規定により延長した有効期間を含む。)が満了する時において、当該指定をした情報が前条第一項に規定する要件を満たすときは、政令で定めるところにより、五年を超えない範囲内においてその有効期間を延長するものとする。

3 指定の有効期間は、通じて三十年を超えることができない。

4 前項の規定にかかわらず、行政機関の長は、政府の有するその諸活動を国民に説明する責務を全うする観点に立っても、なお指定に係る情報を公にしないことが現に我が国及び国民の安全を確保するためにやむを得ないものであることについて、その理由を示して、内閣の承認を得た場合(行政機関が会計検査院であるときを除く。)は、当該指定の有効期間を、通じて三十年を超えて延長することができる。ただし、次に掲げる情報を除き、指定の有効期間は、通じて六十年を超えることができない。

一 現に行われている外国の政府又は国際機関との交渉に不利益を及ぼすおそれのある情報

二 情報収集活動の手法又は能力に関する情報

三 人的情報源に関する情報

四 外国の政府又は国際機関から六十年を超えて指定を行うことを条件に提供された情報

五 前各号に掲げる情報に準ずるもので政令で定める重要な情報

5 行政機関の長は、前項の内閣の承認を得ようとする場合においては、当該指定に係る重要経済安保情報の保護に関し必要なものとして政令で定める措置を講じた上で、内閣に当該重要経済安保情報を提示することができる。

6 行政機関の長は、第四項の内閣の承認が得られなかったときは、公文書等の管理に関する法律(平成二十一年法律第六十六号)第八条第一項の規定にかかわらず、当該指定に係る情報が記録された行政文書ファイル等(同法第五条第五項に規定する行政文書ファイル等をいう。)の保存期間の満了とともに、これを国立公文書館等(同法第二条第三項に規定する国立公文書館等をいう。)に移管しなければならない。

7 行政機関の長は、指定をした情報が前条第一項に規定する要件を欠くに至ったときは、有効期間内であっても、政令で定めるところにより、速やかにその指定を解除するものとする。

(重要経済安保情報の保護措置)

第五条 行政機関の長は、指定をしたときは、第三条第二項に規定する措置のほか、第十一条第一項又は第二項の規定により重要経済安保情報の取扱いの業務を行うことができることとされる者のうちから、当該行政機関において当該指定に係る重要経済安保情報の取扱いの業務を行わせる職員の範囲を定めることその他の当該重要経済安保情報の保護に関し必要なものとして政令で定める措置を講ずるものとする。

2 警察庁長官は、都道府県警察が保有する情報について指定をしたときは、当該都道府県警察に対し当該指定をした旨を通知するものとする。

3 前項の場合において、警察庁長官は、都道府県警察が保有する重要経済安保情報の取扱いの業務を行わせる職員の範囲その他の当該都道府県警察による当該重要経済安保情報の保護に関し必要なものとして政令で定める事項について、当該都道府県警察に指示するものとする。この場合において、当該都道府県警察の警視総監又は道府県警察本部長(以下「警察本部長」という。)は、当該指示に従い、当該重要経済安保情報の取扱いの業務を行わせる職員の範囲を定めることその他の当該重要経済安保情報の適切な保護のために必要な措置を講じ、及びその職員に当該重要経済安保情報の取扱いの業務を行わせるものとする。

第三章 他の行政機関等に対する重要経済安保情報の提供

(他の行政機関に対する重要経済安保情報の提供)

第六条 重要経済安保情報を保有する行政機関の長は、他の行政機関が我が国の安全保障に関する事務を遂行するために当該重要経済安保情報を利用する必要があると認めたときは、当該他の行政機関に当該重要経済安保情報を提供することができる。ただし、当該重要経済安保情報を保有する行政機関以外の行政機関の長が当該重要経済安保情報について指定をしているとき(当該重要経済安保情報が、この項の規定により当該保有する行政機関の長から提供されたものである場合を除く。)は、当該指定をしている行政機関の長の同意を得なければならない。

2 前項の規定により他の行政機関に重要経済安保情報を提供する行政機関の長は、当該重要経済安保情報の取扱いの業務を行わせる職員の範囲その他の当該他の行政機関による当該重要経済安保情報の保護に関し必要なものとして政令で定める事項について、あらかじめ、当該他の行政機関の長と協議するものとする。

3 第一項の規定により重要経済安保情報の提供を受ける他の行政機関の長は、前項の規定による協議に従い、当該重要経済安保情報の取扱いの業務を行わせる職員の範囲を定めることその他の当該重要経済安保情報の適切な保護のために必要な措置を講じ、及びその職員に当該重要経済安保情報の取扱いの業務を行わせるものとする。

(都道府県警察に対する重要経済安保情報の提供等)

第七条 警察庁長官は、警察庁が保有する重要経済安保情報について、その所掌事務のうち我が国の安全保障に関するものを遂行するために都道府県警察にこれを利用させる必要があると認めたときは、当該都道府県警察に当該重要経済安保情報を提供することができる。

2 第五条第三項の規定は、前項の規定により都道府県警察に重要経済安保情報を提供する場合について準用する。

3 警察庁長官は、警察本部長に対し、当該都道府県警察が保有する重要経済安保情報で第五条第二項の規定による通知に係るものの提供を求めることができる。

(外国の政府等に対する重要経済安保情報の提供)

第八条 重要経済安保情報を保有する行政機関の長は、その所掌事務のうち我が国の安全保障に関するものを遂行するために必要があると認めたときは、外国の政府又は国際機関であって、この法律の規定により行政機関が当該重要経済安保情報を保護するために講ずることとされる措置に相当する措置を講じているものに当該重要経済安保情報を提供することができる。ただし、当該重要経済安保情報を保有する行政機関以外の行政機関の長が当該重要経済安保情報について指定をしているとき(当該重要経済安保情報が、第六条第一項の規定により当該保有する行政機関の長から提供されたものである場合を除く。)は、当該指定をしている行政機関の長の同意を得なければならない。

(その他公益上の必要による重要経済安保情報の提供)

第九条 第四条第五項、前三条、次条第一項及び第十八条第三項に規定するもののほか、行政機関の長は、次に掲げる場合に限り、重要経済安保情報を提供するものとする。

一 重要経済安保情報の提供を受ける者が次に掲げる業務又は公益上特に必要があると認められるこれらに準ずる業務において当該重要経済安保情報を利用する場合(次号から第四号までに掲げる場合を除く。)であって、当該重要経済安保情報を利用し、又は知る者の範囲を制限すること、当該業務以外に当該重要経済安保情報が利用されないようにすることその他の当該重要経済安保情報を利用し、又は知る者がこれを保護するために必要なものとして、イに掲げる業務にあっては国会において定める措置、イに掲げる業務以外の業務にあっては政令で定める措置を講じ、かつ、我が国の安全保障に著しい支障を及ぼすおそれがないと認めたとき。

イ 各議院又は各議院の委員会若しくは参議院の調査会が国会法(昭和二十二年法律第七十九号)第百四条第一項(同法第五十四条の四第一項において準用する場合を含む。)又は議院における証人の宣誓及び証言等に関する法律(昭和二十二年法律第二百二十五号)第一条の規定により行う審査又は調査であって、国会法第五十二条第二項(同法第五十四条の四第一項において準用する場合を含む。)又は第六十二条の規定により公開しないこととされたもの

ロ 刑事訴訟法(昭和二十三年法律第百三十一号)第三百十六条の二十七第一項(同条第三項及び同法第三百十六条の二十八第二項において準用する場合を含む。)の規定により裁判所に提示する場合のほか、刑事事件の捜査又は公訴の維持に必要な業務であって、当該業務に従事する者以外の者に当該重要経済安保情報を提供することがないと認められるもの

二 民事訴訟法(平成八年法律第百九号)第二百二十三条第六項(同法第二百三十一条の三第一項において準用する場合を含む。)の規定により裁判所に提示する場合

三 情報公開・個人情報保護審査会設置法(平成十五年法律第六十号)第九条第一項の規定により情報公開・個人情報保護審査会に提示する場合

四 会計検査院法(昭和二十二年法律第七十三号)第十九条の四において読み替えて準用する情報公開・個人情報保護審査会設置法第九条第一項の規定により会計検査院情報公開・個人情報保護審査会に提示する場合

2 警察本部長は、第七条第三項の規定による求めに応じて警察庁に提供する場合のほか、前項第一号に掲げる場合(当該警察本部長が提供しようとする重要経済安保情報が同号ロに掲げる業務において利用するものとして提供を受けたものである場合以外の場合にあっては、同号に規定する我が国の安全保障に著しい支障を及ぼすおそれがないと認めることについて、警察庁長官の同意を得た場合に限る。)、同項第二号に掲げる場合又は都道府県の保有する情報の公開を請求する住民等の権利について定める当該都道府県の条例(当該条例の規定による諮問に応じて審議を行う都道府県の機関の設置について定める都道府県の条例を含む。)の規定で情報公開・個人情報保護審査会設置法第九条第一項の規定に相当するものにより当該機関に提示する場合に限り、重要経済安保情報を提供することができる。

第四章 適合事業者に対する重要経済安保情報の提供等

第十条 重要経済安保情報を保有する行政機関の長は、重要経済基盤の脆弱性の解消、重要経済基盤の脆弱性及び重要経済基盤に関する革新的な技術に関する調査及び研究の促進、重要経済基盤保護情報を保護するための措置の強化その他の我が国の安全保障の確保に資する活動の促進を図るために、当該脆弱性の解消を図る必要がある事業者又は当該脆弱性の解消に資する活動を行う事業者、当該調査若しくは研究を行う事業者又は当該調査若しくは研究に資する活動を行う事業者、重要経済基盤保護情報を保有する事業者又は重要経済基盤保護情報の保護に資する活動を行う事業者その他の我が国の安全保障の確保に資する活動を行う事業者であって重要経済安保情報の保護のために必要な施設設備を設置していることその他政令で定める基準に適合するもの(次条第四項を除き、以下「適合事業者」という。)に当該重要経済安保情報を利用させる必要があると認めたときは、当該適合事業者との契約に基づき、当該適合事業者に当該重要経済安保情報を提供することができる。ただし、当該重要経済安保情報を保有する行政機関以外の行政機関の長が当該重要経済安保情報について指定をしているとき(当該重要経済安保情報が、第六条第一項の規定により当該保有する行政機関の長から提供されたものである場合を除く。)は、当該指定をしている行政機関の長の同意を得なければならない。

2 行政機関の長は、当該行政機関の長が保有していない情報であって、当該行政機関の長がその同意を得て適合事業者に行わせる調査又は研究その他の活動により当該適合事業者が保有することが見込まれるものについて指定をした場合において、前項本文に規定する目的のために当該情報を当該適合事業者に利用させる必要があると認めたときは、当該適合事業者に対し、当該情報について指定をした旨を通知するものとする。この場合において、当該行政機関の長は、当該適合事業者との契約に基づき、当該指定に係る情報を、当該適合事業者に重要経済安保情報として保有させることができる。

3 前二項の契約には、次に掲げる事項を定めなければならない。

一 次条第一項又は第二項の規定により重要経済安保情報の取扱いの業務を行うことができることとされる者のうち、当該適合事業者が指名して重要経済安保情報の取扱いの業務を行わせる代表者、代理人、使用人その他の従業者(以下この条、第十二条第一項第一号及び第二号並びに第十三条第二項において「従業者」という。)の範囲

二 重要経済安保情報の保護に関する業務を管理する者の指名に関する事項

三 重要経済安保情報の保護のために必要な施設設備の設置に関する事項

四 従業者に対する重要経済安保情報の保護に関する教育に関する事項

五 前項の規定により重要経済安保情報を保有する適合事業者にあっては、当該行政機関の長から求められた場合には当該重要経済安保情報を当該行政機関の長に提供しなければならない旨

六 前各号に掲げるもののほか、当該適合事業者による当該重要経済安保情報の保護に関し必要なものとして政令で定める事項

4 第一項の規定により重要経済安保情報の提供を受け、又は第二項の規定により重要経済安保情報を保有する適合事業者は、当該各項の契約に従い、当該重要経済安保情報の取扱いの業務を行わせる従業者の範囲を定めることその他の当該重要経済安保情報の適切な保護のために必要な措置を講じ、及びその従業者に当該重要経済安保情報の取扱いの業務を行わせるものとする。

5 第二項の規定により適合事業者に重要経済安保情報を保有させている行政機関の長は、同項の契約に基づき、当該適合事業者に対し、当該重要経済安保情報の提供を求めることができる。

6 第四項に規定する適合事業者は、前条第一項第一号に掲げる場合(同号に規定する我が国の安全保障に著しい支障を及ぼすおそれがないと認めることについて、当該適合事業者が提供しようとする重要経済安保情報について指定をした行政機関の長の同意を得た場合に限る。)又は同項第二号若しくは第三号に掲げる場合には、重要経済安保情報を提供することができる。

7 第四項に規定する適合事業者は、前二項の規定により提供する場合を除き、重要経済安保情報を提供してはならない。

第五章 重要経済安保情報の取扱者の制限

第十一条 重要経済安保情報の取扱いの業務は、当該業務を行わせる行政機関の長若しくは当該業務を行わせる適合事業者に当該重要経済安保情報を提供し、若しくは保有させる行政機関の長又は当該業務を行わせる警察本部長が直近に実施した次条第一項又は第十五条第一項の規定による適性評価(第十三条第一項(第十五条第二項において読み替えて準用する場合を含む。)の規定による評価対象者(次条第二項に規定する評価対象者をいう。同条第一項第一号イ及び第二号において同じ。)への通知があった日から十年を経過していないものに限る。)において重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(次条第一項第三号又は第十五条第一項第三号に掲げる者として次条第三項(第十五条第二項において読み替えて準用する場合を含む。)の規定による告知があった者(次項において「再評価対象者」という。)を除く。)でなければ行ってはならない。ただし、次に掲げる者については、次条第一項又は第十五条第一項の規定による適性評価を受けることを要しない。

一 行政機関の長(当該行政機関が合議制の機関である場合にあっては、当該機関の長)

二 国務大臣(前号に掲げる者を除く。)

三 内閣官房副長官

四 内閣総理大臣補佐官

五 副大臣

六 大臣政務官

七 前各号に掲げるもののほか、職務の特性その他の事情を勘案し、次条第一項又は第十五条第一項の規定による適性評価を受けることなく重要経済安保情報の取扱いの業務を行うことができるものとして政令で定める者

2 前項の規定にかかわらず、重要経済安保情報の取扱いの業務を行わせる行政機関の長若しくは当該業務を行わせる適合事業者に当該重要経済安保情報を提供し、若しくは保有させる行政機関の長又は当該業務を行わせる警察本部長が特定秘密保護法第十二条第一項又は第十五条第一項の規定により直近に実施したこれらの規定による適性評価(当該適性評価の後に当該行政機関の長又は警察本部長による次条第一項又は第十五条第一項の規定による適性評価が実施された場合のものを除く。以下「特定秘密直近適性評価」という。)において特定秘密の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(再評価対象者及び特定秘密保護法第十二条第一項第三号又は第十五条第一項第三号に掲げる者として特定秘密保護法第十二条第三項(特定秘密保護法第十五条第二項において読み替えて準用する場合を含む。)の規定による告知があった者を除く。)は、当該特定秘密直近適性評価に係る特定秘密保護法第十三条第一項(特定秘密保護法第十五条第二項において準用する場合を含む。)の規定による通知があった日から五年間に限り、重要経済安保情報の取扱いの業務を行うことができる。

3 特定秘密保護法第十六条第一項の規定にかかわらず、行政機関の長及び警察本部長は、重要経済安保情報の取扱いの業務を自ら行わせ、又は適合事業者が行わせるのに必要な限度において、同項に規定する適性評価の結果に係る情報を自ら利用し、又は提供することができるものとする。

4 特定秘密保護法第十六条第二項の規定にかかわらず、特定秘密保護法第五条第四項に規定する適合事業者及び特定秘密保護法第十六条第二項に規定する事業主は、重要経済安保情報の取扱いの業務を自ら行わせ、又は当該事業主に係る適合事業者が行わせるのに必要な限度において、特定秘密保護法第十三条第二項又は第三項の規定により通知された内容(同条第二項に規定する結果に係るものに限る。)を自ら利用し、又は提供することができるものとする。

第六章 適性評価

(行政機関の長による適性評価の実施)

第十二条 行政機関の長は、次に掲げる者について、その者が重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないことについての評価(以下「適性評価」という。)を実施するものとする。

一 当該行政機関の職員(当該行政機関が警察庁である場合にあっては、警察本部長を含む。次号において同じ。)又は当該行政機関との第十条第一項若しくは第二項の契約(同号において「契約」という。)に基づき重要経済安保情報の提供を受け、若しくは重要経済安保情報を保有する適合事業者の従業者として重要経済安保情報の取扱いの業務を新たに行うことが見込まれることとなった者であって、次に掲げるもの以外のもの

イ 当該行政機関の長が直近に実施した適性評価において重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(第三号において「直近適性評価認定者」という。)のうち、当該適性評価に係る次条第一項の規定による評価対象者への通知があった日から十年を経過していないものであって、引き続き当該おそれがないと認められるもの

ロ 当該行政機関の長が実施した特定秘密直近適性評価において特定秘密の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(以下この項において「特定秘密直近適性評価認定者」という。)のうち、当該特定秘密直近適性評価に係る特定秘密保護法第十三条第一項の規定による通知があった日から五年を経過していないものであって、引き続き当該おそれがないと認められるもの

二 当該行政機関の職員又は当該行政機関との契約に基づき重要経済安保情報の提供を受け、若しくは重要経済安保情報を保有する適合事業者の従業者として重要経済安保情報の取扱いの業務を現に行う者であって、当該行政機関の長が直近に実施した適性評価に係る次条第一項の規定による評価対象者への通知があった日から十年(特定秘密直近適性評価認定者である者にあっては、当該行政機関の長が実施した特定秘密直近適性評価に係る特定秘密保護法第十三条第一項の規定による通知があった日から五年)を経過した日以後重要経済安保情報の取扱いの業務を引き続き行うことが見込まれるもの

三 直近適性評価認定者又は特定秘密直近適性評価認定者であって、引き続き重要経済安保情報を漏らすおそれがないと認めることについて疑いを生じさせる事情があるもの

2 適性評価は、適性評価の対象となる者(以下「評価対象者」という。)について、次に掲げる事項についての調査(以下この条及び第十六条第一項において「適性評価調査」という。)を行い、その結果に基づき実施するものとする。

一 重要経済基盤毀損活動(重要経済基盤に関する公になっていない情報のうちその漏えいが我が国の安全保障に支障を与えるおそれがあるものを取得するための活動その他の活動であって、外国の利益を図る目的で行われ、かつ、重要経済基盤に関して我が国及び国民の安全を著しく害し、又は害するおそれのあるもの並びに重要経済基盤に支障を生じさせるための活動であって、政治上その他の主義主張に基づき、国家若しくは他人を当該主義主張に従わせ、又は社会に不安若しくは恐怖を与える目的で行われるものをいう。)との関係に関する事項(評価対象者の家族(配偶者(婚姻の届出をしていないが、事実上婚姻関係と同様の事情にある者を含む。以下この号において同じ。)、父母、子及び兄弟姉妹並びにこれらの者以外の配偶者の父母及び子をいう。以下この号において同じ。)及び同居人(家族を除く。)の氏名、生年月日、国籍(過去に有していた国籍を含む。)及び住所を含む。)

二 犯罪及び懲戒の経歴に関する事項

三 情報の取扱いに係る非違の経歴に関する事項 四 薬物の濫用及び影響に関する事項

五 精神疾患に関する事項

六 飲酒についての節度に関する事項

七 信用状態その他の経済的な状況に関する事項

3 適性評価は、あらかじめ、政令で定めるところにより、次に掲げる事項を評価対象者に対し告知した上で、その同意を得て実施するものとする。ただし、第七項の規定の適用を受けて実施する場合においては、当該告知をすることを要しない。

一 前項各号に掲げる事項について適性評価調査が行われる旨

二 適性評価調査を行うため必要な範囲内において、第六項の規定により質問させ、若しくは資料の提出を求めさせ、又は照会して報告を求めることがある旨

三 評価対象者が第一項第三号に掲げる者であるときは、その旨

4 行政機関の長は、適性評価を実施するときは、第七項の規定の適用を受けて実施される場合を除き、内閣総理大臣に対し、必要な資料を添えて、適性評価調査を行うよう求めるものとする。ただし、当該行政機関の業務の遂行に支障を及ぼすおそれがある場合(当該適性評価が同項の規定の適用を受けて実施される場合を除く。)には、当該行政機関の長が、政令で定めるところにより、自ら適性評価調査を行うものとする。

5 内閣総理大臣は、行政機関の長から前項の規定により適性評価調査を行うよう求められたときは、政令で定めるところにより、当該評価対象者について適性評価調査を行い、当該評価対象者が重要経済安保情報を漏らすおそれに関する意見(第七項において「調査意見」という。)を付して、当該適性評価調査の結果を当該行政機関の長に通知するものとする。

6 適性評価調査を行う内閣総理大臣又は行政機関の長は、適性評価調査を行うため必要な範囲内において、その職員に評価対象者若しくは評価対象者の知人その他の関係者に質問させ、若しくは評価対象者に対し資料の提出を求めさせ、又は公務所若しくは公私の団体に照会して必要な事項の報告を求めることができる。

7 第二項の規定にかかわらず、評価対象者が、適性評価を実施する行政機関の長(以下この項において「実施行政機関の長」という。)以外の行政機関の長又は警察本部長が実施した適性評価(次条第一項(第十五条第二項において読み替えて準用する場合を含む。)の規定による通知があった日から十年を経過しておらず、かつ、第五項(第十五条第二項において読み替えて準用する場合を含む。)の規定により内閣総理大臣が当該適性評価に係る適性評価調査を行ったものに限り、当該適性評価の後に実施行政機関の長による適性評価が実施された場合のものを除く。)のうち直近のもの(以下この条において「直近他機関適性評価」という。)において重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者である場合において、当該評価対象者について実施行政機関の長が実施する適性評価については、適性評価調査を行わず、直近他機関適性評価において行われた適性評価調査の結果に基づき実施するものとする。この場合において、内閣総理大臣は、実施行政機関の長の求めに応じ、直近他機関適性評価において行われた適性評価調査の結果及びこれに付した調査意見を当該実施行政機関の長に通知するものとする。

8 前項の規定の適用を受けて実施された適性評価を受けた評価対象者に対して行われた次条第一項の規定による通知は、前条第一項並びにこの条第一項第一号イ及び第二号の規定の適用については、直近他機関適性評価の結果について次条第一項(第十五条第二項において読み替えて準用する場合を含む。)の規定による評価対象者への通知が行われた日に行われたものとみなす。

(適性評価の結果等の通知)

第十三条 行政機関の長は、適性評価を実施したときは、その結果(当該適性評価が前条第七項の規定の適用を受けて実施された場合にあっては、その旨を含む。次項及び次条第一項において同じ。)を評価対象者及び内閣総理大臣に対し通知するものとする。

2 行政機関の長は、適合事業者の従業者について適性評価を実施したときはその結果を、当該従業者が前条第三項の同意をしなかったことにより適性評価が実施されなかったときはその旨を、それぞれ当該適合事業者に対し通知するものとする。

3 前項の規定による通知を受けた適合事業者は、当該評価対象者が当該適合事業者の指揮命令の下に労働する派遣労働者(労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(昭和六十年法律第八十八号)第二条第二号に規定する派遣労働者をいう。第十六条第二項において同じ。)であるときは、当該通知の内容を当該評価対象者を雇用する事業主に対し通知するものとする。

4 行政機関の長は、第一項の規定により評価対象者に対し重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められなかった旨を通知するときは、適性評価の円滑な実施の確保を妨げない範囲内において、当該おそれがないと認められなかった理由を併せて通知するものとする。ただし、当該評価対象者があらかじめ当該理由の通知を希望しない旨を申し出た場合は、この限りでない。

(行政機関の長に対する苦情の申出等)

第十四条 評価対象者は、前条第一項の規定により通知された適性評価の結果その他当該評価対象者について実施された適性評価について、書面で、行政機関の長に対し、苦情の申出をすることができる。

2 行政機関の長は、前項の苦情の申出を受けたときは、これを誠実に処理し、処理の結果を苦情の申出をした者に通知するものとする。

3 評価対象者は、第一項の苦情の申出をしたことを理由として、不利益な取扱いを受けない。

(警察本部長による適性評価の実施等)

第十五条 警察本部長は、次に掲げる者について、適性評価を実施するものとする。

一 当該都道府県警察の職員(警察本部長を除く。次号において同じ。)として重要経済安保情報の取扱いの業務を新たに行うことが見込まれることとなった者であって、次に掲げるもの以外のもの

イ 当該警察本部長が直近に実施した適性評価において重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(第三号において「直近警察適性評価認定者」という。)のうち、当該適性評価に係る次項において読み替えて準用する第十三条第一項の規定による評価対象者への通知があった日から十年を経過していないものであって、引き続き当該おそれがないと認められるもの

ロ 当該警察本部長が実施した特定秘密直近適性評価において特定秘密の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(以下この項において「特定秘密直近警察適性評価認定者」という。)のうち、当該特定秘密直近適性評価に係る特定秘密保護法第十五条第二項において準用する特定秘密保護法第十三条第一項の規定による通知があった日から五年を経過していないものであって、引き続き当該おそれがないと認められるもの

二 当該都道府県警察の職員として重要経済安保情報の取扱いの業務を現に行う者であって、当該警察本部長が直近に実施した適性評価に係る次項において読み替えて準用する第十三条第一項の規定による評価対象者への通知があった日から十年(特定秘密直近警察適性評価認定者である者にあっては、当該警察本部長が実施した特定秘密直近適性評価に係る特定秘密保護法第十五条第二項において準用する特定秘密保護法第十三条第一項の規定による通知があった日から五年)を経過した日以後重要経済安保情報の取扱いの業務を引き続き行うことが見込まれるもの

三 直近警察適性評価認定者又は特定秘密直近警察適性評価認定者であって、引き続き重要経済安保情報を漏らすおそれがないと認めることについて疑いを生じさせる事情があるもの

2 前三条(第十二条第一項並びに第十三条第二項及び第三項を除く。)の規定は、前項の規定により警察本部長が実施する適性評価について準用する。この場合において、第十二条第三項第三号中「第一項第三号」とあるのは「第十五条第一項第三号」と、同条第四項中「内閣総理大臣」とあるのは「警察庁長官を通じて内閣総理大臣」と、「行政機関の業務」とあるのは「都道府県警察の業務」と、同条第五項中「結果を」とあるのは「結果を警察庁長官を通じて」と、同条第七項中「適性評価を実施する行政機関の長(以下この項において「実施行政機関の長」という。)以外の行政機関の長又は警察本部長」とあるのは「行政機関の長又は適性評価を実施する警察本部長(以下この項において「実施警察本部長」という。)以外の警察本部長」と、「実施行政機関の長による」とあるのは「実施警察本部長による」と、「実施行政機関の長が」とあるのは「実施警察本部長が」と、「実施行政機関の長の求め」とあるのは「実施警察本部長が警察庁長官を通じて行う求め」と、「当該実施行政機関の長」とあるのは「警察庁長官を通じて当該実施警察本部長」と、同条第八項中「この条第一項第一号イ」とあるのは「第十五条第一項第一号イ」と、第十三条第一項中「ものとする」とあるのは「ものとする。

この場合において、内閣総理大臣への通知は、警察庁長官を通じて行うものとする」と読み替えるものとする。

(適性評価に関する個人情報の利用及び提供の制限)

第十六条 内閣総理大臣並びに行政機関の長及び警察本部長は、重要経済安保情報の保護以外の目的のために、評価対象者が第十二条第三項(前条第二項において読み替えて準用する場合を含む。)の同意をしなかったこと、評価対象者についての適性評価の結果その他適性評価又は適性評価調査の実施に当たって取得する個人情報(生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。以下この項において同じ。)を自ら利用し、又は提供してはならない。ただし、適性評価又は適性評価調査の実施によって当該個人情報に係る特定の個人が国家公務員法(昭和二十二年法律第百二十号)第三十八条各号、同法第七十五条第二項に規定する人事院規則の定める事由、同法第七十八条各号、第七十九条各号若しくは第八十二条第一項各号、検察庁法(昭和二十二年法律第六十一号)第二十条第一項各号、外務公務員法(昭和二十七年法律第四十一号)第七条第一項に規定する者、自衛隊法(昭和二十九年法律第百六十五号)第三十八条第一項各号、第四十二条各号、第四十三条各号若しくは第四十六条第一項各号、同法第四十八条第一項に規定する場合若しくは同条第二項各号若しくは第三項各号若しくは地方公務員法(昭和二十五年法律第二百六十一号)第十六条各号、第二十八条第一項各号若しくは第二項各号若しくは第二十九条第一項各号又はこれらに準ずるものとして政令で定める事由のいずれかに該当する疑いが生じたとき及び特定秘密保護法第十二条第四項に基づく照会に対して必要な事項を報告するときは、この限りでない。

2 第十三条第二項又は第三項の規定による通知を受けた適合事業者及び適合事業者の指揮命令の下に労働する派遣労働者を雇用する事業主は、重要経済安保情報の保護以外の目的のために、当該通知の内容を自ら利用し、又は提供してはならない。

(権限又は事務の委任)

第十七条 内閣総理大臣又は行政機関の長は、政令(内閣の所轄の下に置かれる機関及び会計検査院にあっては、当該機関の命令)で定めるところにより、この章に定める権限又は事務をその職員に委任することができる。

第七章 雑則

(重要経済安保情報の指定等の運用基準等)

第十八条 政府は、重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定(行政機関の長が、事業者が適合事業者に該当すると認めることをいう。第三項及び次条において同じ。)に関し、統一的な運用を図るための基準を定めるものとする。

2 内閣総理大臣は、前項の基準を定め、又はこれを変更しようとするときは、我が国の安全保障に関する情報の保護、行政機関等の保有する情報の公開、公文書等の管理等に関し優れた識見を有する者の意見を聴いた上で、その案を作成し、閣議の決定を求めなければならない。

3 内閣総理大臣は、重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定が第一項の基準に従って行われていることを確保するため必要があると認めるときは、行政機関の長(会計検査院を除く。)に対し、重要経済安保情報である情報を含む資料の提出及び説明を求め、並びに重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定について必要な勧告をし、又はその勧告の結果とられた措置について報告を求めることができる。

(関係行政機関の協力)

第十九条 内閣総理大臣及び関係行政機関の長は、重要経済安保情報の指定、適性評価の実施、適合事業者の認定その他この法律の規定により講ずることとされる措置に関し、重要経済基盤保護情報であって特に秘匿することが必要であるものの漏えいを防止するため、相互に協力するものとする。

(政令への委任)

第二十条 この法律に定めるもののほか、この法律の実施のための手続その他この法律の施行に関し必要な事項は、政令で定める。

(この法律の解釈適用)

第二十一条 この法律の適用に当たっては、これを拡張して解釈して、国民の基本的人権を不当に侵害するようなことがあってはならず、国民の知る権利の保障に資する報道又は取材の自由に十分に配慮しなければならない。

2 出版又は報道の業務に従事する者の取材行為については、専ら公益を図る目的を有し、かつ、法令違反又は著しく不当な方法によるものと認められない限りは、これを正当な業務による行為とするものとする。

第八章 罰則

第二十二条 重要経済安保情報の取扱いの業務に従事する者がその業務により知り得た重要経済安保情報を漏らしたときは、五年以下の拘禁刑若しくは五百万円以下の罰金に処し、又はこれを併科する。重要経済安保情報の取扱いの業務に従事しなくなった後においても、同様とする。

2 第四条第五項、第八条、第九条、第十条第五項若しくは第六項又は第十八条第三項の規定により提示され、又は提供された重要経済安保情報について、当該提示又は提供の目的である業務により当該重要経済安保情報を知り得た者がこれを漏らしたときは、三年以下の拘禁刑若しくは三百万円以下の罰金に処し、又はこれを併科する。第九条第一項第一号ロに規定する場合において提示された重要経済安保情報について、当該重要経済安保情報の提示を受けた者がこれを漏らしたときも、同様とする。

3 前二項の罪の未遂は、罰する。

4 過失により第一項の罪を犯した者は、一年以下の拘禁刑又は三十万円以下の罰金に処する。

5 過失により第二項の罪を犯した者は、六月以下の拘禁刑又は二十万円以下の罰金に処する。

第二十三条 外国の利益若しくは自己の不正の利益を図り、又は我が国の安全若しくは国民の生命若しくは身体を害すべき用途に供する目的で、人を欺き、人に暴行を加え、若しくは人を脅迫する行為により、又は財物の窃取若しくは損壊、施設への侵入、有線電気通信の傍受、不正アクセス行為(不正アクセス行為の禁止等に関する法律(平成十一年法律第百二十八号)第二条第四項に規定する不正アクセス行為をいう。)その他の重要経済安保情報を保有する者の管理を害する行為により、重要経済安保情報を取得したときは、当該違反行為をした者は、五年以下の拘禁刑若しくは五百万円以下の罰金に処し、又はこれを併科する。

2 前項の罪の未遂は、罰する。

3 前二項の規定は、刑法(明治四十年法律第四十五号)その他の罰則の適用を妨げない。

第二十四条 第二十二条第一項又は前条第一項に規定する行為の遂行を共謀し、教唆し、又は煽(せん)動した者は、三年以下の拘禁刑又は三百万円以下の罰金に処する。

2 第二十二条第二項に規定する行為の遂行を共謀し、教唆し、又は煽動した者は、二年以下の拘禁刑又は二百万円以下の罰金に処する。

第二十五条 第二十二条第三項若しくは第二十三条第二項の罪を犯した者又は前条の罪を犯した者のうち第二十二条第一項若しくは第二項若しくは第二十三条第一項に規定する行為の遂行を共謀したものが自首したときは、その刑を減軽し、又は免除する。

第二十六条 第二十二条の規定は、日本国外において同条の罪を犯した者にも適用する。

2 第二十三条及び第二十四条の罪は、刑法第二条の例に従う。

第二十七条 法人(法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同じ。)の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、第二十二条第一項若しくは第三項(同条第一項に係る部分に限る。)又は第二十三条第一項若しくは第二項の違反行為をしたときは、その行為者を罰するほか、その法人又は人に対し、各本条の罰金刑を科する。

2 法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。

附 則

(施行期日)

第一条 この法律は、公布の日から起算して一年を超えない範囲内において政令で定める日から施行する。ただし、第十八条第一項及び第二項(基準の変更に係る部分を除く。)の規定並びに附則第五条、第六条及び第八条の規定は、公布の日から施行する。

(重要経済安保情報の取扱いの業務を行わせる行政機関等の職員に関する経過措置)

第二条 この法律の施行の日(次条及び附則第四条において「施行日」という。)から起算して一年を超えない範囲内において政令で定める日の前日までの間においては、第十一条第一項の規定にかかわらず、行政機関の長又は警察本部長は、当該行政機関又は都道府県警察の職員のうち当該行政機関の長又は警察本部長が指名する者に重要経済安保情報の取扱いの業務を行わせることができる。この場合において、第五条第一項及び第三項並びに第六条第二項及び第三項の規定の適用については、第五条第一項中「第十一条第一項又は第二項の規定により重要経済安保情報の取扱いの業務を行うことができることとされる者のうちから、当該行政機関」とあるのは「当該行政機関」と、同項及び同条第三項並びに第六条第三項中「の範囲を定める」とあるのは「を指名する」と、第五条第三項及び第六条第二項中「範囲その他」とあるのは「指名その他」とする。

(民事訴訟法の規定により裁判所に重要経済安保情報を提示する場合に関する経過措置)

第三条 施行日から民事訴訟法等の一部を改正する法律(令和四年法律第四十八号)の施行の日の前日までの間における第九条第一項第二号の規定の適用については、同号中「第二百二十三条第六項(同法第二百三十一条の三第一項において準用する場合を含む。)」とあるのは、「第二百二十三条第六項」とする。

(調整規定)

第四条 施行日が刑法等の一部を改正する法律(令和四年法律第六十七号)の施行の日(以下この条において「刑法施行日」という。)前である場合には、刑法施行日の前日までの間における第二十二条(第三項を除く。)、第二十三条第一項及び第二十四条の規定(以下この条において「第二十二条等の規定」という。)の適用については、第二十二条第一項及び第二項、第二十三条第一項並びに第二十四条中「拘禁刑」とあるのは「懲役」と、第二十二条第四項及び第五項中「拘禁刑」とあるのは「禁錮」とする。刑法施行日以後における刑法施行日前にした行為に対する第二十二条等の規定の適用についても、同様とする。

(政令への委任)

第五条 前三条に定めるもののほか、この法律の施行に関し必要な経過措置(罰則に関する経過措置を含む。)は、政令で定める。

(孤独・孤立対策推進法の一部改正)

第六条 孤独・孤立対策推進法(令和五年法律第四十五号)の一部を次のように改正する。

第二十四条第一項中「第四条第一項第三十五号」を「第四条第一項第三十六号」に改める。

(防衛省が調達する装備品等の開発及び生産のための基盤の強化に関する法律の一部改正)

第七条 防衛省が調達する装備品等の開発及び生産のための基盤の強化に関する法律(令和五年法律第五十四号)の一部を次のように改正する。

第十五条第二項第一号中「この法律」の下に「又は重要経済安保情報の保護及び活用に関する法律(令和六年法律第▼▼▼号)」を加える。

第二十七条第一項中「特別防衛秘密及び」を「特別防衛秘密、」に、「特定秘密に」を「特定秘密及び重要経済安保情報の保護及び活用に関する法律第三条第一項に規定する重要経済安保情報に」に改める。

(内閣府設置法の一部改正)

第八条 内閣府設置法の一部を次のように改正する。

第四条第一項第三十五号中「第三項第二十七号の五」を「第三項第二十七号の六」に改め、同号を同項第三十六号とし、同項第三十四号の次に次の一号を加える。

三十五 重要経済安保情報の保護及び活用に関する法律(令和六年法律第▼▼▼号)に基づく重要経済安保情報の保護及び活用のための基本的な政策に関する事項

第四条第三項中第二十七号の五を第二十七号の六とし、第二十七号の四を第二十七号の五とし、第二十七号の三の次に次の一号を加える。

二十七の四 重要経済安保情報の保護及び活用に関する法律に基づく重要経済安保情報の保護及び活用に関する事務に関すること(他省の所掌に属するものを除く。)。  

理 由

国際情勢の複雑化、社会経済構造の変化等に伴い、経済活動に関して行われる国家及び国民の安全を害する行為を未然に防止する重要性が増大している中で、重要経済基盤に関する情報であって我が国の安全保障を確保するために特に秘匿することが必要であるものについて、これを適確に保護する体制を確立した上で収集し、整理し、及び活用することが重要であることに鑑み、当該情報の保護及び活用に関し、重要経済安保情報の指定、我が国の安全保障の確保に資する活動を行う事業者への重要経済安保情報の提供、重要経済安保情報の取扱者の制限その他の必要な事項を定める必要がある。これが、この法律案を提出する理由である。


 

衆議院で、少し変更されたところがありますね...

衆議院 - 議案情報

まだ、衆議院で審議中になっていますが...

提出回次 番号 議案件名 審議状況 経過情報 本文情報
213 24 重要経済安保情報の保護及び活用に関する法律案 参議院で審議中 経過 本文及び修正案
213 25 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律の一部を改正する法律案 参議院で審議中 経過 本文

 

衆議院での修正


重要経済安保情報の保護及び活用に関する法律案に対する修正案

重要経済安保情報の保護及び活用に関する法律案の一部を次のように修正する。

目次中「第二十一条」を「第二十二条」に、「第二十二条―第二十七条」を「第二十三条―第二十八条」に改める。

第九条第一項中「第十八条第三項」を「第十八条第四項」に改め、同項第一号中「掲げる業務にあっては」の下に「附則第十条の規定に基づいて」を加える。

第十八条第一項中「第三項及び次条において」を「以下」に改め、同条中第三項を第四項とし、第二項の次に次の一項を加える。

3 内閣総理大臣は、毎年、第一項の基準に基づく重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定の状況を前項に規定する者に報告し、その意見を聴かなければならない。

第二十七条第一項中「第二十二条第一項」を「第二十三条第一項」に、「第二十三条第一項」を「第二十四条第一項」に改め、同条を第二十八条とする。

第二十六条第一項中「第二十二条」を「第二十三条」に改め、同条第二項中「第二十三条及び第二十四条」を「第二十四条及び第二十五条」に改め、同条を第二十七条とする。

第二十五条中「第二十二条第三項」を「第二十三条第三項」に、「第二十三条第二項」を「第二十四条第二項」に、「第二十二条第一項」を「第二十三条第一項」に、「第二十三条第一項」を「第二十四条第一項」に改め、同条を第二十六条とする。

第二十四条第一項中「第二十二条第一項」を「第二十三条第一項」に改め、同条第二項中「第二十二条第二項」を「第二十三条第二項」に改め、同条を第二十五条とし、第二十三条を第二十四条とする。

第二十二条第二項中「第十八条第三項」を「第十八条第四項」に改め、同条を第二十三条とし、第七章中第二十一条を第二十二条とし、第二十条を第二十一条とし、第十九条を第二十条とし、第十八条の次に次の一条を加える。

(国会への報告等)

第十九条 政府は、毎年、前条第三項の意見を付して、重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定の状況について国会に報告するとともに、公表するものとする。

附則第一条ただし書中「第八条」の下に「から第十条まで」を加える。

附則第四条中「第二十二条(」を「第二十三条(」に、「第二十三条第一項」を「第二十四条第一項」に、「第二十四条」を「第二十五条」に、「第二十二条等の規定」を「第二十三条等の規定」に、「第二十二条第一項」を「第二十三条第一項」に、「第二十二条第四項」を「第二十三条第四項」に改める。

附則に次の二条を加える。

(指定及び解除の適正の確保)

第九条 政府は、重要経済安保情報の指定及びその解除の適正を確保するために必要な方策について検討し、その結果に基づいて所要の措置を講ずるものとする。

 (国会に対する重要経済安保情報の提供及び国会におけるその保護措置の在り方)

第十条 国会に対する重要経済安保情報の提供については、政府は、国会が国権の最高機関であり各議院がその会議その他の手続及び内部の規律に関する規則を定める権能を有することを定める日本国憲法及びこれに基づく国会法等の精神にのっとり、この法律を運用するものとし、重要経済安保情報の提供を受ける国会におけるその保護に関する方策については、国会において、検討を加え、その結果に基づいて必要な措置を講ずるものとする。


 

 

内閣官房が法案を提出した時...

内閣官房 - 国会提出法案(第213回 通常国会)

法律案 国会提出日 担当部局 資料
重要経済安保情報の保護及び活用に関する法律案 R6.2.27 経済安全保障法制準備室 概要(PDF/267KB)
要綱(PDF/142KB)
法律案・理由(PDF/195KB)
新旧対照表(PDF/94KB)
参照条文(PDF/192KB)

 

 

1_20240511063101

 

 


 

具体的な審査項目は、おそらく米国連邦政府の標準様式86 (SF-86) を真似てくると思うので、私のこちらの記事も参考にしてくださいませ...米国の審査項目の仮対訳を載せています...

 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.24 Rand研究所 セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する(+米国セキュリティクリアランス関連リンク)

 

 

その他、こちらも...

 

まるちゃんの情報セキュリティ気まぐれ日記

日本...

・2024.02.28 内閣 重要経済安保情報の保護及び活用に関する法律案が閣議決定

・2024.02.20 経団連 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する提言 (2024.02.15)

・2024.01.30 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 最終取りまとめ (2024.01.19)

・2023.12.22 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第9回)

・2023.10.12 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第7回)

・2023.08.27 参議院常任委員会調査室・特別調査室:セキュリティ・クリアランス制度導入の方向性と主な論点 ~技術流出の防止等による国力向上を目指した制度構築に向けて~

・2023.06.08 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 中間論点整理

・2023.04.08 自民党 セキュリティ・クリアランスで法整備を経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言

・2023.02.27 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.10.19 自民党 わが国が目指すべき 経済安全保障の全体像について~新たな国家安全保障戦略策定に向けて~ (2022.10.04)

 

 

米国...

・2024.02.26 米国 GAO 国防総省インテリジェンス:プログラムの監督を強化しリスクを管理するために必要な行動

・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

・2023.11.20 NIST 意見募集 IR8496 NIST IR 8496(初公開ドラフト) データ収集改善のためのデータ格付の概念と考察

・2023.11.05 RAND研究所 多様で信頼される労働力 - 国家安全保障担当者の審査における偏見の可能性と不公平の原因となりうる要素の検証

・2023.07.24 Rand研究所 セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する(+米国セキュリティクリアランス関連リンク)

・2022.08.18 米国 国土安全保障省 内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要

・2021.09.21 国務省OIG 国務省のセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要

 

| | Comments (0)

2024.05.10

ドイツ BSI 重要インフラに関する基本的なデータ(インシデント数も)を公表していますね...

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (BSI) が、重要インフラ (Kritischen Infrastrukturen) に関する基本的なデータを公表していますね...

四半期ごとに更新されるようです...

 

ドイツにおける重要インフラはとそれぞれの分野のオペレーター数は現時点では次のようです。

Sektor 分野 オペレーター数
Energie エネルギー 295
Wasser 79
Ernährung 食料 56
IT und Telekommunikation IT・通信 66
Gesundheit ヘルスケア 210
Finanz- und Versicherungswesen 金融・保険 125
Transport und Verkehr 運輸・交通 81
Siedlungsabfallentsorgung 廃棄物処理 207
  合計 1,119

で、報告されたインシデント数も公表されています...

オペレーター数との比率も合わせてみてみるとこんな感じ...

オレンジが少し高めの分野、グリーンが低めの分野...

分野 O:オペレーター数 I:インシデント数 I/O
エネルギー 295 50 0.17
79 10 0.13
食料 56 3 0.05
IT・通信 66 25 0.38
ヘルスケア 210 26 0.12
金融・保険 125 34 0.27
運輸・交通 81 32 0.40
廃棄物処理 207 1 0.00
合計 1,119 181 0.16

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.05.06 KRITIS in Zahlen: BSI veröffentlicht Statistiken zu Kritischen Infrastrukturen

KRITIS in Zahlen: BSI veröffentlicht Statistiken zu Kritischen Infrastrukturen 数字で見るKRITIS BSI、重要インフラに関する統計を公表
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 6. Mai 2024 die Webseite KRITIS in Zahlen veröffentlicht, auf der grundlegende Kennzahlen zu Kritischen Infrastrukturen (KRITIS) zur Verfügung stehen. Auf KRITIS in Zahlen macht das BSI einen Teil der Arbeit für und mit Kritischen Infrastrukturen erlebbar. 2024年5月6日、連邦情報セキュリティ局(BSI)は、重要インフラ(KRITIS)に関する基本的な主要数値を提供するウェブサイト「KRITIS in Figures」を公開した。KRITIS in Figuresでは、BSIは重要インフラのための、また重要インフラに関わる業務の一部を具体化している。
Es werden Daten zu registrierten KRITIS-Betreibern, zu Nachweisen und zu Meldungen veröffentlicht. Die Daten werden quartalsweise beziehungsweise jährlich aktualisiert. Jedes Diagramm und jede Tabelle ist mit einer Erläuterung der Auswertung versehen. KRITISの登録事業者、証拠、報告書に関するデータが公表されている。データは四半期ごとまたは年ごとに更新される。各図や表には、分析の説明が添えられている。
KRITIS in Zahlen gibt einen Überblick über die nach dem BSI-Gesetz registrierten Betreiber und deren Anlagen und schlüsselt sie nach KRITIS-Sektoren auf. Zusätzlich zeigt die Seite auch Statistiken zu Störungsmeldungen, die im ersten Quartal 2024 von Betreibern beim Nationalen IT-Lagezentrum abgegeben wurden und die regelmäßig auch Teil des BSI-Lageberichts sind. 数字で見るKRITISは、BSI法に基づき登録された事業者とそのシステムの概要を提供し、KRITIS分野別に分類している。さらに、2024年第1四半期に事業者が全国IT状況センターに提出したインシデントレポートの統計も掲載されており、BSI状況報告にも定期的に掲載されている。
Außerdem werden Zahlen zu den in Nachweisen dokumentierten Reifegraden der Managementsysteme für Informationssicherheit (ISMS) und Geschäftskontinuität (BCMS) und zu den Umsetzungsgraden der Systeme zu Angriffserkennung (SzA) nach KRITIS-Sektoren veröffentlicht. Diese basieren auf dem jeweils letzten eingereichten Nachweis, mit dem Betreiber alle zwei Jahre ihre IT-Sicherheit nachweisen müssen. さらに、証明書に記載された情報セキュリティマネジメントシステム(ISMS)と事業継続マネジメントシステム(BCMS)の成熟度、およびKRITISセクター別の攻撃検知システムの実装レベルに関する数値も公表されている。これらは、事業者が2年ごとにITセキュリティを証明するために提出する最新の証拠に基づいている。
Das BSI wird auf KRITIS in Zahlen in Zukunft weitere Statistiken zu Kritischen Infrastrukturen veröffentlichen. BSIは今後、KRITISの重要インフラに関する統計データをさらに公表する予定である。

 

データはこちら...

KRITIS in Zahlen

目次的なもの...

KRITIS in Zahlen 数字で見るKRITIS
Einleitende Informationen はじめに
Begriffsdefinitionen 用語の定義
Betreiber und Anlagen nach KRITIS-Sektoren gemäß BSIG BSIGによるKRITIS分野別のオペレーターと施設
Managementsysteme für Informationssicherheit und Geschäftskontinuität 情報セキュリティと事業継続のための管理体制
Einsatz von Systemen zur Angriffserkennung 攻撃検知システムの利用状況
Gemeldete Vorfälle 報告されたインシデント
Ausblick 見通し

 

1_20240510062701

| | Comments (0)

CISA We Can Secure Our World! (子供向けに歌にするというのはよいですね...)

こんにちは、丸山満彦です。

CISAが、スマートフォンを初めて渡す親子向け?に1分のセキュリティ教育用の音楽ビデオをつくっています。。。

日本でいうと5年生から中1年生くらい向けでしょうかね...

MFA推しです。。。

子供の学習用の教材とか見ていると、米国の教材には歌にして覚えるとか多いように思います。リズムに合わせて歌うと覚えやすいし、何度も歌うので記憶するという効果があるのかもしれませんね...

英語という言語がアップテンポの音楽にあっているのかもしれませんが、日本ではあまり見ないなぁと思いました。

日本ではしまじろう??? でも、しまじろうの短いビデオも英語の歌のものを日本語に訳しているのが多くて、いまいちテンポと言葉がmatchしていない感じだしなぁ...

 

CISA

・2024.05.09 We Can Secure Our World! CISA just launched our second Secure Our World PSA. Watch now!

・[YouTube] We can Secure Our World

| | Comments (0)

2024.05.09

CSA サイバー・保護サーフェイスの定義 (日本語翻訳)

こんにちは、丸山満彦です。

CSAが今年の3月にDefining the Zero Trust Protect Surfaceを公表していたのですが、すっかり失念していました。そして、これまた4月には日本語版と韓国語版が公表されていました..

そして、この文書が参照している、次の2つの文書も失念していますね...(^^;;

・[PDF] NSTAC Report to the President onZero Trust and Trusted Identity Management

・[PDF] CISA Zero Trust Maturity Model V2

あらら...

 

要旨は...


この文書の目的は、John Kindervag が最初に策定し社会化したNSTAC Report to the President onZero Trust and Trusted Identity Managementに記載されている 5 つのステップのゼロトラスト実装プロセスの第 1 ステップを反復的に実行するためのガイダンスを提供することです。5 つのステップのそれぞれについて詳細なガイダンスを作成するために、別の CSA リサーチ文書が作成されているところです。

この重要な最初のステップである「保護サーフェス の定義」では、組織のデータ、アプリケーション、資産、サービス(DAAS)の要素を特定し、ビジネスリスクと現在のセキュリティ成熟度の評価を行い、実装の優先順位付けを行います。本稿では、DAAS 要素を保護サーフェスにグループ化するなど、このプロセスの背後にある方法論に焦点を当てます。

ビジネス情報システムを構成する攻撃サーフェスと保護サーフェスの相互関係や、CISA Zero Trust Maturity Model V2実装の優先順位付けに活用する方法など、重要な検討事項と概念について説明します。このガイダンスは、組織がゼロトラスト実装の複雑さを乗り越えるための反復可能なプロセスを採用することを支援します。


 

対象とする読者も次のような感じですね...


主な対象者: ゼロトラストアーキテクトおよび実装チーム、最高情報セキュリティ責任者、情報セキュリティ管理者、ITセキュリティアナリスト

第二の対象者: CxO(CEO、CISO、CFO、CTO、CIO)、プライバシー・コンプライアンス・オフィサー、IT監査・評価者、ソフトウェア開発者、ネットワーク・セキュリティ・エンジニア


 

目次...

Abstract 要旨
Target Audience 対象とする読者
Introduction to Zero Trust ゼロトラスト入門
Document Scope 文書の範囲
Business Assets Overview ビジネス資産の概要
Zero Trust Implementation Process ゼロトラスト導入プロセス
Overview of the Protect Surface 保護サーフェスの概要
Prioritizing Iterative Execution of the 5-Step Process 5-ステッププロセスの反復実行の優先順位付け
Caution Regarding DAAS Elements Whose Purpose Is Uncertain 目的が不明確なDAAS要素に関する注意
DAAS Elements Comprising a Protect Surface 保護サーフェスを構成するDAAS要素
Data データ
Applications and Workloads アプリケーションとワークロード
Assets: Systems and Devices 資産: システムとデバイス
Services サービス
NSTAC, CISA Maturity Model and Protect Surfaces NSTAC、CISA成熟度モデルと保護サーフェス
Risks and Impacts of Protect Surface Compromises 保護サーフェスの侵害がもたらすリスクと影響
Applying Data Classifications データ分類の適用
Attack Surface Versus Protect Surface 攻撃サーフェスと保護サーフェス
Looking Ahead, After Protect Surfaces are Defined 保護サーフェスが定義された後の展望
Conclusion 結論
Useful References 参考文献

 

 

Cloud Security Alliance; CSA

・2024.04.14 Defining the Zero Trust Protect Surface - Japanese Translation

20240509-50152

 

 

オリジナルの英語版...

・2024.03.05 Defining the Zero Trust Protect Surface

20240509-51241

 

韓国語翻訳版も...

・2024.04.24 Defining the Zero Trust Protect Surface - Korean Translation

20240509-51607

 

 


参照されている文書...

 

CISA

・2022.02.23 [PDF] NSTAC Report to the President onZero Trust and Trusted Identity Management

20240509-51937

 

 

成熟度モデル

Zero Trust Maturity Model

・2023.04 [PDF] CISA Zero Trust Maturity Model V2

20240509-52305

 

 

 

| | Comments (0)

2024.05.08

英国 米国 オーストラリア LockBitの管理者に対する新たな一連の措置を発表

こんにちは、丸山満彦です。

英国、米国、オーストラリア、ユーロポールが、LockBitのロシア人を制裁(第二弾)したと発表していますね...

制裁は資産凍結なので、米国は財務省、英国とオーストラリアは外務省からの発表となっています...

LockBitに関しては、もちろん日本も協力しています(^^)

1_20240508010001

 

しかし報奨金すごいね...もちろん最高額を貰うのは簡単ではないと思いますが、それでも最高額が10M$=15億円ですよ。日本の宝くじ以上(^^)

 

米国

 ●  

・2024.05.07 United States Sanctions Senior Leader of the LockBit Ransomware Group

United States Sanctions Senior Leader of the LockBit Ransomware Group 米国、ランサムウェア「LockBit」グループの上級リーダーを制裁する
The United States reveals the identity of and imposes sanctions on Dmitry Khoroshev, a senior leader of the LockBit ransomware group  米国、ランサムウェア・ロックビット・グループの上級リーダーであるドミトリー・ホロシェフの身元を明らかにし、制裁を科す 
WASHINGTON — Today, the United States designated Dmitry Yuryevich Khoroshev, a Russian national and a leader of the Russia-based LockBit group, for his role in developing and distributing LockBit ransomware. This designation is the result of a collaborative effort with the U.S. Department of Justice, Federal Bureau of Investigation, the United Kingdom’s National Crime Agency, the Australian Federal Police, and other international partners. Concurrently, the Department of Justice is unsealing an indictment and the Department of State is announcing a reward offer for information leading to the arrest and/or conviction of Khoroshev. The United Kingdom and Australia are also announcing the designation of Khoroshev.  ワシントン - 米国は本日、ロシア国籍でロシアを拠点とする LockBit グループのリーダーである Dmitry Yuryevich Khoroshev 氏を、LockBit ランサムウェアの開発と配布に関与したとして指定した。この指定は、米国司法省、連邦捜査局、英国国家犯罪局、オーストラリア連邦警察、その他の国際的パートナーとの共同作業の結果である。同時に司法省は起訴状の封印を解き、国務省はホロシェフの逮捕および/または有罪判決につながる情報に対する報奨金の提供を発表している。英国とオーストラリアもホロシェフの指名手配を発表している。
“Today’s action reaffirms our commitment to dismantling the ransomware ecosystem and exposing those who seek to conduct these attacks against the United States, our critical infrastructure, and our citizens,” said Under Secretary of the Treasury for Terrorism and Financial Intelligence Brian E. Nelson. “The United States, in close coordination with our British and Australian partners, will continue to hold accountable the individuals responsible for these disruptive and threatening activities.” 「ブライアン・E・ネルソン財務次官(テロ・金融情報担当)は、「本日の措置は、ランサムウェアのエコシステムを解体し、米国、米国の重要インフラ、そして米国市民に対してこのような攻撃を行おうとする者たちの正体を暴くという我々のコミットメントを再確認するものである。「米国は、英国やオーストラリアのパートナーとの緊密な連携のもと、こうした破壊的で脅威的な活動を行う個人の責任を追及していく。
This designation follows several other recent U.S. Government actions against Russian cybercriminals involved in ransomware, including the disruption of the LockBit ransomware infrastructure and sanctions against LockBit group affiliates. Russia, where groups such as LockBit are free to launch ransomware attacks against the United States, and its allies and partners, continues to offer safe harbor for cybercriminals. The United States has previously stressed that Russia must take concrete steps to prevent cyber criminals from freely operating in its jurisdiction. Today’s actions reflect the commitment of the United States to a long-term, coordinated, and sustained approach to disrupt and degrade the ransomware ecosystem. 今回の指定は、LockBitランサムウェア・インフラストラクチャの破壊やLockBitグループ関連会社に対する制裁など、ランサムウェアに関与するロシアのサイバー犯罪者に対する米国政府の最近の措置に続くものである。ロックビットのようなグループが米国やその同盟国、パートナーに対して自由にランサムウェア攻撃を仕掛けているロシアは、サイバー犯罪者に安全な港を提供し続けている。米国は以前から、ロシアが自国の司法管轄区でサイバー犯罪者が自由に活動するのを防ぐための具体的な措置を講じるべきだと強調してきた。本日の行動は、ランサムウェアのエコシステムを破壊し、劣化させるための長期的、協調的、持続的なアプローチに対する米国のコミットメントを反映したものである。
Additionally, the U.S. Department of State (State) announced a reward of up to $10 million for information leading to Russian national Dmitry Yuryevich Khoroshev’s arrest and/or conviction for participating in, conspiring to participate in or attempting to participate in, transnational organized crime. On February 20, 2024, the Department of State announced reward offers (up to $10 million) seeking information leading to the identity and location of key leaders of the LockBit ransomware variant group as well as information leading to the arrests and/or convictions of members of the LockBit ransomware variant group (up to $5 million).    さらに、米国国務省は、ロシア人のドミトリー・ユリエヴィチ・ホロシェフが国際組織犯罪に参加した、参加することを共謀した、または参加しようとした容疑で逮捕および/または有罪判決を受けた場合に、その情報につながる報奨金として最高1,000万ドルを出すと発表した。2024年2月20日、加盟国は、ロックビット(LockBit)ランサムウェア亜種グループの主要指導者の身元と居場所につながる情報、およびロックビット(LockBit)ランサムウェア亜種グループのメンバーの逮捕および/または有罪判決につながる情報(最高500万ドル)を求める報奨金(最高1,000万ドル)の提供を発表した。  
LOCKBIT: ONE OF THE MOST PROLIFIC RANSOMWARE GROUPS IN THE WORLD ロックビット:世界で最も多発するランサムウェアグループの1つ
The Russia-based LockBit ransomware group is one of the most active ransomware groups in the world and is best known for its ransomware variant of the same name. According to the Department of Justice, LockBit has targeted over 2,500 victims worldwide and is alleged to have received more than $500 million in ransom payments. Since January 2020, affiliates using LockBit have attacked organizations across an array of critical infrastructure sectors, including financial services, education, emergency services, and healthcare.  ロシアを拠点とするLockBitランサムウェア・グループは、世界で最も活発なランサムウェア・グループの1つであり、同名のランサムウェア亜種で最もよく知られている。司法省によると、LockBitは世界中で2,500人以上の被害者を標的にし、5億ドル以上の身代金の支払いを受けたとされている。2020年1月以降、LockBitを使用する関連会社は、金融サービス、教育、緊急サービス、ヘルスケアなど、重要なインフラ部門の組織を攻撃してきた。
LockBit operates on a Ransomware-as-a-Service model, where the group licenses its ransomware software to affiliated cybercriminals in exchange for payment, including a percentage of the paid ransoms. A Ransomware-as-a-Service cybercrime group maintains the functionality of a particular ransomware variant, sells access to that ransomware variant to individuals or groups of operators (often referred to as “affiliates”), and supports affiliates’ deployment of ransomware in exchange for upfront payment, subscription fees, a portion of profits, or a combination of upfront payment, subscription fees, and a portion of profits. Additionally, LockBit is known for its double extortion tactics, where its cybercriminals exfiltrate large amounts of data from its victims before encrypting the victim’s computer systems and demanding ransom payments. LockBitはRansomware-as-a-Service(ランサムウェア・アズ・ア・サービス)モデルで運営されており、同グループは身代金支払いのパーセンテージを含む支払いと引き換えに、ランサムウェア・ソフトウェアを提携するサイバー犯罪者にライセンス供与している。Ransomware-as-a-Service サイバー犯罪グループは、特定のランサムウェアの亜種の機能を維持し、そのランサムウェアの亜種へのアクセスを個人またはオペレータのグループ(しばしば「関連会社」と呼ばれる)に販売し、前払金、サブスクリプション料、利益の一部、または前払金、サブスクリプション料、利益の一部の組み合わせと引き換えに、関連会社によるランサムウェアの展開をサポートする。さらに、LockBitは二重の恐喝戦術で知られており、サイバー犯罪者は被害者のコンピュータシステムを暗号化し身代金の支払いを要求する前に、被害者から大量のデータを流出させる。
CYBERCRIMINAL RESPONSIBLE FOR THE LOCKBIT RANSOMWARE VARIANT EXPOSED  ロックビット・ランサムウェアの亜種を暴露したサイバー犯罪者 
Dmitry Yuryevich Khoroshev (Khoroshev), a Russian national and a leader of LockBit, is the primary operator of the well-known and public-facing LockBit-related cybercrime moniker, “LockBitSupp.” As a core LockBit group leader and developer of the LockBit ransomware, Khoroshev has performed a variety of operational and administrative roles for the cybercrime group, and has benefited financially from the LockBit ransomware attacks. In addition, Khoroshev has facilitated the upgrading of the LockBit infrastructure, recruited new developers for the ransomware, and managed LockBit affiliates. He is also responsible for LockBit’s efforts to continue operations after their disruption by the U.S. and its allies earlier this year. ロシア国籍でLockBitのリーダーであるドミトリー・ユリエヴィッチ・ホロシェフ(ホロシェフ)は、LockBitに関連するサイバー犯罪の呼称である "LockBitSupp "の主要な運営者である。LockBitグループの中核的リーダーであり、LockBitランサムウェアの開発者であるホロシェフは、サイバー犯罪グループの運営・管理面でさまざまな役割を果たし、LockBitランサムウェア攻撃から金銭的利益を得てきた。さらにホロシェフは、LockBitのインフラのアップグレードを促進し、ランサムウェアの新しい開発者を募集し、LockBitの関連会社を管理してきた。ホロシェフ氏はまた、今年初めに米国とその同盟国によって妨害された後、ロックビットが事業を継続するための努力の責任者でもある。
OFAC is designating Khoroshev pursuant to Executive Order (E.O.) 13694, as amended by E.O. 13757, for being responsible for or complicit in, or having engaged in, directly or indirectly, cyber-enabled activities described in subsection (a)(ii)(D) of section 1 of E.O. 13694, as amended. OFACは、大統領令(E.O.)13694(E.O.13757により改正)に基づき、ホロシェフを、E.O.13694の第1節(a)(ii)(D)に記載されたサイバー対応活動に直接的または間接的に関与している、もしくは加担しているとして指定する。
SANCTIONS IMPLICATIONS  制裁への影響 
As a result of today’s action, all property and interests in property of this individual that are in the United States or in the possession or control of U.S. persons must be blocked and reported to OFAC. OFAC’s regulations generally prohibit all dealings by U.S. persons or within the United States (including transactions transiting the United States) that involve any property or interests in property of blocked persons. In addition, persons that engage in certain transactions with the individual designated today may themselves be exposed to designation.  本日の措置の結果、米国内にある、または米国人が所有もしくは管理している、この個人のすべての財産および財産の権利は、阻止され、OFACに報告されなければならない。OFACの規制は一般的に、米国人による、または米国内における、ブロック対象者の財産または財産に対する権益に関わるすべての取引(米国を通過する取引を含む)を禁止している。さらに、今日指定されている個人と特定の取引を行う者は、自らも指定の対象となる可能性がある。
The power and integrity of OFAC sanctions derive not only from its ability to designate and add persons to the Specially Designated Nationals and Blocked Persons (SDN) List but also from its willingness to remove persons from the SDN List consistent with the law. The ultimate goal of sanctions is not to punish but to bring about a positive change in behavior. For information concerning the process for seeking removal from an OFAC list, including the SDN List, please refer to OFAC’s Frequently Asked Question 897 here. For detailed information on the process to submit a request for removal from an OFAC sanctions list, please click here. OFACの制裁の権限と完全性は、特別指定国民およびブロック対象者(SDN)リストに人物を指定し、追加する能力だけでなく、法律と整合性のあるSDNリストから人物を削除する意思からも導き出される。制裁の最終的な目標は、罰することではなく、行動に前向きな変化をもたらすことである。SDNリストを含むOFACリストからの削除を求めるプロセスに関する情報は、OFACのよくある質問897を参照されたい。OFAC制裁リストからの削除要請の提出プロセスに関する詳細情報については、こちらを参照のこと。
See OFAC’s Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments  for information on the actions that OFAC would consider to be mitigating factors in any related enforcement action involving ransomware payments with a potential sanctions nexus. As laid out in the advisory, OFAC strongly encourages all ransomware victims to contact relevant government agencies, including the Federal Bureau of Investigation, to report a ransomware attack. For information on complying with sanctions applicable to virtual currency, see OFAC’s Sanctions Compliance Guidance for the Virtual Currency Industry 潜在的な制裁関連性を有するランサムウェアの支払いに関連する関連執行措置において、OFACが緩和要因とみなす行為に関する情報については、OFACの「ランサムウェアの支払の促進に関する潜在的制裁リスクに関する最新勧告」を参照のこと。勧告に記載されているとおり、OFACは、すべてのランサムウェア被害者に対し、連邦捜査局を含む関連政府機関に連絡してランサムウェア攻撃を報告するよう強く奨励している。仮想通貨に適用される制裁の遵守に関する情報については、OFACの仮想通貨業界向け制裁遵守ガイダンスを参照のこと。
Further, the Cybersecurity & Infrastructure Security Agency in conjunction with other U.S. Departments and Agencies and foreign partners published two cybersecurity advisories, “Understanding Ransomware Threat Actors: LockBit” and “LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability.” These advisories detail the threats posed by this group and provide recommendations to reduce the likelihood and impact of future ransomware incidents. さらに、サイバーセキュリティ・インフラセキュリティ庁は、他の米国省庁や海外のパートナーとともに、2つのサイバーセキュリティ勧告「ランサムウェア脅威行為者の理解」を発表した: LockBit」と「LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability」である。これらの勧告は、このグループによる脅威を詳述し、将来のランサムウェアインシデントの可能性と影響を低減するための推奨事項を提供している。
For more information on the individuals designated today, click here. 本日指定された個人の詳細については、ここをクリック。

 

英国

GOV.UK - Foreign affairs

・2024.05.07 UK and allies sanction prolific cyber hacker

UK and allies sanction prolific cyber hacker 英国と同盟国、多発するサイバーハッカーを制裁する
The UK, US and Australia have sanctioned Russian leader of cyber-crime gang LockBit. 英国、米国、オーストラリアは、サイバー犯罪組織ロックビットのロシア人リーダーを制裁した。
・UK, US and Australia sanction Russian leader of cyber-crime gang LockBit.   ・英国、米国、オーストラリアは、サイバー犯罪集団ロックビットのロシア人リーダーを制裁した。 
・LockBit were one of the most prolific ransomware groups in recent years, responsible for attacks on over 200 UK businesses and major public service providers.   ・LockBitは近年最も多発したランサムウェアグループの1つで、英国の200以上の企業や主要な公共サービスプロバイダーへの攻撃をプロバイダとして行っていた。 
・UK and Allies crack down on malicious cyber-criminal activity emanating from Russia that seeks to undermine global integrity, prosperity and security. ・英国と同盟国は、世界の完全性、繁栄、安全保障を損なおうとするロシア発の悪質なサイバー犯罪活動を取り締まる。
The UK, US and Australia have today (Tuesday 7 May) sanctioned a senior Russia-based leader of LockBit, once one of the world’s most pernicious cybercrime gangs.  英国、米国、オーストラリアは本日(5月7日火曜日)、かつて世界で最も悪質なサイバー犯罪集団のひとつであったロックビットのロシアを拠点とする上級リーダーを制裁した。
Today’s sanctions target Russian national Dmitry Khoroshev who has been identified, as part of an ongoing international law enforcement investigation, as one of the leaders of LockBit, the ransomware group responsible for extorting over $1 billion from thousands of victims globally.  本日の制裁は、現在進行中の国際的な法執行捜査の一環として、世界中の数千人の被害者から10億ドル以上を恐喝したランサムウェアグループ、ロックビットのリーダーの一人であることが特定されたロシア国籍のドミトリー・ホロシェフを対象としている。
In February the NCA announced that it had infiltrated the group’s network and taken control of its services, compromising the entire criminal enterprise. The group has attempted to rebuild over the last two months, however the NCA assesses that as a result of this investigation, they are currently running at limited capacity and the global threat from LockBit has significantly reduced.  NCAは2月、同グループのネットワークに侵入し、サービスを制御して犯罪エンタープライズ全体を危険にさらしたと発表した。同グループは過去2ヶ月間にわたり再建を試みてきたが、NCAは今回の捜査の結果、現在は限られた能力で運営されており、ロックビットによる世界的な脅威は大幅に減少したと評価している。
The gang was responsible for 25% of ransomware attacks globally last year, targeting thousands of victims over the years including over 200 UK businesses. LockBit orchestrated a malicious online campaign, illegally stealing and using sensitive data to extract billions of dollars from business and individuals.    ロックビットは昨年、全世界でランサムウェア攻撃の25%に関与し、200社以上の英国企業を含む数千人の被害者を標的とした。ロックビットは悪質なオンラインキャンペーンを指揮し、機密データを不正に盗み、利用して企業や個人から数十億ドルを抽出した。  
Today’s measures will directly target a senior leader of the gang responsible for these atrocious attacks. Khoroshev will now be subject to a series of asset freezes and travel bans.    本日の措置は、このような残虐な攻撃に責任のある一団の上級リーダーを直接標的にするものである。ホロシェフは今後、一連の資産凍結と渡航禁止の対象となる。  
Sanctions Minister, Anne-Marie Trevelyan said:  アンヌ=マリー・トレヴェリアン制裁相は次のように述べた: 
Together with our allies we will continue to crack down on hostile cyber activity which is destroying livelihoods and businesses across the world.  我々は同盟国とともに、世界中の生活とビジネスを破壊している敵対的なサイバー活動を取り締まり続ける。
In sanctioning one of the leaders of LockBit we are taking direct action against those who continue to threaten global security, while simultaneously exposing the malicious cyber-criminal activity emanating from Russia.”  ロックビットのリーダーの一人を制裁することで、我々は世界の安全保障を脅かし続ける人々に対して直接的な行動を起こすと同時に、ロシアから発せられる悪質なサイバー犯罪活動を暴露することになる」。
National Crime Agency Director General Graeme Biggar said:  国家犯罪対策庁のグレーム・ビガー長官は次のように述べた: 
These sanctions are an important moment in our fight against cyber criminals behind the LockBit ransomware group, which is now on its knees following our disruption earlier this year.  この制裁措置は、今年初めの我々の混乱に続き、今膝をついているLockBitランサムウェア・グループの背後にいるサイバー犯罪者に対する我々の戦いにおける重要な瞬間である。
They have caused untold damage to schools, hospitals and major companies across the world, who’ve had to pick up the pieces following devastating cyber attacks.  彼らは世界中の学校、病院、大企業に計り知れない損害を与えており、壊滅的なサイバー攻撃の後、その破片を拾い上げなければならなかった。
Dmitry Khoroshev thought he was beyond reproach, even offering $10m to anyone who could reveal his identity, but these actions dispel that myth. Our investigation into LockBit and its affiliates continues and, working with our international partners, we’ll do everything we can to undermine their operations and protect the public.”  ドミトリー・ホロシェフは、自分の正体を明かせば誰にでも1000万ドルを提供するとまで言って、自分は非難される筋合いはないと考えていたが、今回の行動はその神話を払拭するものだ。ロックビットとその関連会社に対する我々の調査は続いており、国際的なパートナーと協力しながら、彼らの活動を弱体化させ、国民を守るために全力を尽くす。
Eleanor Fairford, National Cyber Security Centre (NCSC) Deputy Director for Incident Management, said:  ナショナル・サイバー・セキュリティ・センター(NCSC)のインシデント管理担当副所長であるエレノア・フェアフォードは、次のように述べた: 
Ransomware attacks pose a massive threat to UK businesses and their impacts can be severe and long-lasting, disrupting operations and putting potentially sensitive data at risk.  ランサムウェア攻撃は英国企業にとって大きな脅威であり、その影響は深刻かつ長期に及び、業務を中断させ、潜在的な機密データをリスクにさらす可能性がある。
It is crucial organisations ensure they have strong online defences to reduce their risk of falling victim and to protect the information they are responsible for.  被害者になるリスクを軽減し、責任ある情報を保護するために、組織が強力なオンライン防御を確保することが極めて重要である。
Prevention is the most effective mitigation, and we urge all organisations to follow the NCSC’s ⁠ransomware guidance to help protect their networks and improve their resilience to attacks.”  予防は最も効果的な軽減策であり、我々はすべての組織がNCSCのランサムウェア・ガイダンスに従い、ネットワークを保護し、攻撃に対するレジリエンスを向上させることを強く求める。
The UK has sanctioned Khoroshev as part of our wider commitment to cracking down on malicious cyber activity and working with our international partners to promote international security and stability in cyberspace.   英国がホロシェフに制裁を科したのは、悪質なサイバー活動を取り締まり、サイバー空間における国際的な安全と安定を促進するために国際的なパートナーと協力するという、英国のより広範なコミットメントの一環である。 
These sanctions have been delivered jointly with Australia and the US and are the latest in our efforts to counter malicious cyber-criminal activity emanating from Russia that seek to undermine the integrity, prosperity and security of the UK and our allies.   今回の制裁は、オーストラリアおよび米国と共同で実施されたものであり、英国および同盟国の完全性、繁栄、安全を損なおうとするロシア発の悪質なサイバー犯罪活動に対抗するための最新の取り組みである。 
Background 背景
・The NCSC and the NCA assess that LockBit was the leading ransomware threat to the UK and globally since the demise of the Conti ransomware strain in mid 2022. The strain first emerged at the end of 2019 and by 2022 was the most frequently used variant across the world.  ・NCSCとNCAは、2022年半ばにContiランサムウェアの系統が消滅して以来、LockBitは英国および世界に対する主要なランサムウェアの脅威であったと評価している。この株は2019年末に初めて出現し、2022年までに世界中で最も頻繁に使用される亜種となった。
・LockBit caused significant disruption to many UK organisations and services, having severe short to medium term impact on prominent services within the private sector. The organised crime group responsible for LockBit, as well as the affiliates using the malware represented a significant threat to victims’ data due to their tactic of stealing data and publishing it on its darkweb data leaks site (DLS).  ・LockBitは英国の多くの組織やサービスに大きな混乱を引き起こし、民間部門の著名なサービスに短期から中期にかけて深刻な影響を与えた。LockBitの実行犯である組織犯罪グループと、このマルウェアを使用する関連会社は、データを盗み出し、ダークウェブ・データリークス・サイト(DLS)で公開するという手口により、被害者のデータにとって重大な脅威となった。
・According to industry sources, LockBit have leaked data from more victims on their DLS than any other ransomware group since records began, with more than 2000 victims worldwide listed.  ・業界筋によると、LockBitは記録が始まって以来、他のどのランサムウェアグループよりも多くの被害者のデータをDLSに流出させており、全世界で2000人以上の被害者がリストアップされているという。
・You can report a suspected cyber crime online here - Where to Report a Cyber Incident - GOV.UK (www.gov.uk) ・サイバー犯罪の疑いがある場合、オンラインで報告することができる - サイバーインシデントの報告先 - GOV.UK (www.gov.uk)

 

 

 

オーストラリア

Minister for Foreign Affairs

・2024.05.08 Cyber sanction imposed on Russian citizen for ransomware activity

Cyber sanction imposed on Russian citizen for ransomware activity ランサムウェア活動でロシア市民にサイバー制裁を科す
Joint media release with: 共同メディアリリース
・The Hon Richard Marles, Deputy Prime Minister and Minister for Defence ・リチャード・マールズ副首相兼国防大臣
・The Hon Clare O’Neil MP, Minister for Cyber Security ・クレア・オニール議員(サイバーセキュリティ担当大臣
Australia has imposed a targeted financial sanction and travel ban on Russian citizen Dmitry Yuryevich Khoroshev for his senior leadership role in the LockBit ransomware group. オーストラリアは、ロックビット(LockBit)ランサムウェア・グループで指導的役割を果たしたロシア人ドミトリー・ユリエヴィチ・ホロシェフ(Dmitry Yuryevich Khoroshev)氏に対し、経済制裁と渡航禁止を科した。
This is the second use of Australia's autonomous cyber sanctions framework and part of ongoing coordinated international law enforcement action. これは、オーストラリアの自律的なサイバー制裁の枠組みを利用した2回目のもので、現在進行中の国際的な法執行活動の一環である。
Australia continues to experience an increase in persistent and pervasive ransomware activity by cyber criminals across Australian critical infrastructure, government, industry and community sectors. オーストラリアでは、オーストラリアの重要なインフラ、政府、産業、コミュニティーの各セクターで、サイバー犯罪者による執拗で広範なランサムウェア活動が増加し続けている。
Under Operation Cronos, the Australian Signals Directorate and Australian Federal Police worked with international partners, including the United Kingdom (UK) and United States (US), to identify Dmitry Yuryevich Khoroshev as part of LockBit's senior leadership. クロノス作戦の下、オーストラリア信号総局とオーストラリア連邦警察は、英国(UK)や米国(US)を含む国際的なパートナーと協力し、ドミトリー・ユリエヴィチ・ホロシェフをロックビットの上級指導者の一人として特定した。
Lockbit is a prolific criminal ransomware group and works to destabilise and disrupt key sectors for financial gain. ロックビットは多産な犯罪的ランサムウェアグループであり、金銭的利益を得るために主要セクターを不安定化させ、混乱させるために活動している。
LockBit ransomware has been used against Australian, UK and US businesses, comprising 18% of total reported Australian ransomware incidents in 2022-23 and 119 reported victims in Australia. ロックビットのランサムウェアはオーストラリア、英国、米国の企業に対して使用されており、2022-23年に報告されたオーストラリアのランサムウェアインシデント全体の18%を占め、オーストラリアでは119件の被害が報告されている。
The new sanction under the cyber sanctions framework makes it a criminal offence to provide assets to Dmitry Yuryevich Khoroshev, or to use or deal with his assets. サイバー制裁の枠組みに基づく新たな制裁は、ドミトリー・ユリエヴィチ・ホロシェフに資産をプロバイダとして提供すること、あるいは彼の資産を使用したり取引したりすることを犯罪とする。
The framework is intended to disrupt and deter the perpetrators of malicious cyber activity, such as ransomware. この枠組みは、ランサムウェアのような悪質なサイバー活動の加害者を混乱させ、抑止することを目的としている。
The Australian Government continues to discourage businesses and individuals from paying ransoms or extortion claims to cyber criminals and can provide help and advice. オーストラリア政府は、企業や個人がサイバー犯罪者に身代金や恐喝金を支払うことを引き続き推奨しており、支援やアドバイスを提供することができる。
If you are asked to pay a ransom you should: 身代金の支払いを要求された場合は、以下のことを行うべきである:
・Call the Australian Cyber Security Hotline on 1300 CYBER1 (1300 292 371) for cyber security assistance; and ・オーストラリアのサイバーセキュリティ・ホットライン(1300 CYBER1 (1300 292 371))に電話し、サイバーセキュリティに関する支援を求める。
・Report the cybercrime, incident or vulnerability to the Australian Signals Directorate ・サイバー犯罪、インシデント、脆弱性をオーストラリア信号総局に報告する。
Australian businesses can help protect themselves from ransomware by backing up their files and work, and ensuring staff remain vigilant to possible threats.   オーストラリアの企業は、ファイルや作業をバックアップし、従業員が可能性のある脅威への警戒を怠らないようにすることで、ランサムウェアから身を守ることができる。 
More information and tips can be found at Ransomware | Cyber.gov.au より詳しい情報とヒントは、ランサムウェア|Cyber.gov.auに掲載されている。
Further detail about Operation Cronos can be found on the AFP website. クロノス作戦の詳細については、AFPのウェブサイトを参照のこと。
Quote attributable to Deputy Prime Minister and Minister for Defence, Richard Marles: リチャード・マールス副首相兼国防相の言葉を引用する:
"We continue to see governments, critical infrastructure, businesses and households in Australia targeted by malicious cyber actors. 「オーストラリアでは、政府、重要インフラ、企業、一般家庭が悪意のあるサイバー犯罪者に狙われている。
The Australian Signals Directorate and the Australian Federal Police have worked with international counterparts to link Dmitry Yuryevich Khoroshev to LockBit's senior leadership. オーストラリア通信総局とオーストラリア連邦警察は、ドミトリー・ユリエヴィチ・ホロシェフをロックビットの幹部と結びつけるために、国際的な協力機関と協力してきた。
"Cyber sanctions are a key component of the Australian Government's work to deter cybercrime and help protect Australians by exposing the activities and identity of cyber criminals operating across jurisdictions." サイバー制裁は、サイバー犯罪を抑止するためのオーストラリア政府の活動の重要な要素であり、管轄区域を超えて活動するサイバー犯罪者の活動や身元を明らかにすることで、オーストラリア国民の保護に役立つ
Quote attributable to Minister for Foreign Affairs, Senator the Hon Penny Wong: ペニー・ウォン外務大臣による:
"Australia remains committed to promoting a rules-based cyberspace, grounded in international law and norms of responsible behaviour, and holding accountable those who flout the rules." 「オーストラリアは、国際法と責任ある行動規範に基づき、ルールに基づくサイバー空間を推進し、ルールに背く者に責任を負わせることに引き続き尽力する。
"Sanctions impose costs and consequences on individuals for their actions – we will continue to use them where and when appropriate." 「制裁措置は、個人の行動に対してコストと結果を課すものであり、我々は適切な場合、適切な場所で制裁措置を継続する。
Quote attributable to Minister for Cyber Security, the Hon Clare O'Neil MP: クレア・オニール・サイバーセキュリティ大臣の言葉である:
"Today's announcement demonstrates the Australian Government's ongoing commitment under the 2023-2030 Australian Cyber Security Strategy to continue to deter and respond to malicious cyber activity. 「本日の発表は、2023-2030年オーストラリア・サイバーセキュリティ戦略の下、悪質なサイバー活動を抑止し対応し続けるというオーストラリア政府の継続的なコミットメントを示すものである。
"This sanction is an important step in breaking the ransomware business model, preventing cybercriminals from profiting from attacks on Australian citizens and businesses. 「今回の制裁は、ランサムウェアのビジネスモデルを打破し、サイバー犯罪者がオーストラリア市民や企業への攻撃から利益を得ることを防ぐための重要な一歩である。
"The damage done by LockBit in Australia is significant. For too long, criminals like those behind LockBit have hidden in the shadows. Our government is changing that. Hunting down cyber criminals by working with our international partners to hack the hackers and punishing them where we can." 「ロックビットがオーストラリアに与えた被害は大きい。あまりにも長い間、ロックビットの背後にいるような犯罪者は影に隠れていた。政府はそれを変えようとしている。国際的なパートナーと協力してハッカーをハッキングし、可能な限り罰することで、サイバー犯罪者を追い詰めている"

 

ユーロポール

Europol

・2024.05.07 New series of measures issued against the administrator of LockBit

New series of measures issued against the administrator of LockBit LockBitの管理者に対する新たな一連の措置が発表された。
Today, authorities from the United Kingdom, United States and Australia are revealing the second phase of Operation Cronos – the sanctions. 本日、英国、米国、オーストラリアの認可は、「オペレーション・クロノス」の第二段階である制裁措置を明らかにした。
The administrator and developer of LockBit, a Russian national, is now subject to a series of asset freezes and travel bans issued by the UK Foreign, Commonwealth and Development Office, alongside the US Department of the Treasury’s Office of Foreign Assets Control (OFAC) and the Australian Department of Foreign Affairs and Trade. LockBitの管理者であり開発者であるロシア人は、現在、米国財務省外国資産管理局(OFAC)およびオーストラリア外務貿易省と並んで、英国外務・連邦・開発局による一連の資産凍結および渡航禁止の対象となっている。
Prosecutors in the United States have also unsealed an indictment against him based on his alleged role as the creator, developer, and administrator of the LockBit ransomware variant. Additionally, authorities in the United States are offering a reward of up to USD 10 million for information leading to his arrest and/or conviction. 米国の検察当局はまた、LockBitランサムウェア亜種の作成者、開発者、管理者としての彼の役割の疑いに基づき、彼に対する起訴状を公開した。さらに米国当局は、彼の逮捕および/または有罪判決につながる情報に対して最高1000万米ドルの報奨金を提供している。
These measures follow a first phase of action in February 2024 which was led by the UK’s National Crime Agency and resulted in the compromise of LockBit’s primary platform and other critical infrastructure. The sanctions form part of a concerted campaign supported by Europol and Eurojust to severely damage the capability and credibility of the LockBit ransomware group. これらの措置は、2024年2月に英国国家犯罪局が主導し、LockBitの主要プラットフォームやその他の重要インフラを侵害した第一段階の措置に続くものである。今回の制裁措置は、欧州刑事警察機構と欧州司法機構が支援する、ランサムウェア集団LockBitの能力と信頼性に深刻なダメージを与えるための協調キャンペーンの一環である。
The true impact of LockBit’s criminality was previously unknown, but data obtained from their systems showed that more than 7 000 attacks were built using their services between June 2022 and February 2024. The top five countries hit were the United States, United Kingdom, France, Germany and China. ロックビットの犯罪行為の真の影響はこれまで不明だったが、彼らのシステムから入手したデータによると、2022年6月から2024年2月までの間に、7000件以上の攻撃が彼らのサービスを利用して構築されていた。攻撃を受けた上位5カ国は米国、英国、フランス、ドイツ、中国だった。
Europol disseminates some 3 500 victim intelligence packages 欧州刑事警察機構は約3,500件の被害者情報パッケージを配布している。
Law enforcement is now in possession of over 2 500 decryption keys and are continuing to contact LockBit victims to offer support. 法執行機関は現在、2,500以上の復号鍵を所持しており、ロックビットの被害者に連絡を取り、支援を提供し続けている。
Europol has been exploiting the vast amount of data gathered during the investigation and the first phase of action to identify these victims, who are located all over the world. Its European Cybercrime Centre (EC3) has disseminated some 3 500 intelligence packages containing information about Lockbit victims to 33 countries. 欧州刑事警察機構(Europol)は、世界中にいる被害者を特定するため、捜査と第一段階の活動で収集した膨大なデータを活用している。欧州サイバー犯罪センター(EC3)は、ロックビットの被害者に関する情報を含む約3,500の情報パッケージを33カ国に配布した。
With Europol’s support, the Japanese Police, the National Crime Agency and the Federal Bureau of Investigation have concentrated their technical expertise to develop decryption tools designed to recover files encrypted by the LockBit ransomware. 欧州刑事警察機構の支援を受けて、日本の警察、国家犯罪対策庁、連邦捜査局は、ロックビット・ランサムウェアによって暗号化されたファイルを復元するために設計された復号化ツールを開発するために、それぞれの技術的専門知識を集中させた。
These solutions have been made available for free on the No More Ransom portal, available in 37 languages. これらのソリューションは、37の言語で利用可能なNo More Ransomポータルで無料で利用できるようになった。

 

NCAが管理するリークサイトは、犯罪グループを暴露する様々な情報をホストするために再び使用されている。以下のリンクからTor経由でアクセスできる:

  • lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onion
  • lockbitapt34kvrip6xojylohhxrwsvpzdffgs5z4pbbsywnzsbdguqd.onion
  • lockbitaptawjl6udhpd323uehekiyatj6ftcxmkwe5sezs4fqgpjpid.onion

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.21 警察庁 ランサムウェア被疑者の検挙及び関連犯罪インフラのテイクダウン関係とランサムウェアによる暗号化被害データに関する復号ツールの開発

・2024.02.21 米国 英国 LockBitのネットワークに侵入し破壊

・2023.09.13 英国 NCSC ランサムウェア、恐喝、サイバー犯罪のエコシステムについての白書

・2023.07.26 Europol インターネット組織犯罪評価(IOCTA)2023 (2023.07.19)

・2023.06.16 Five Eyes ドイツ フランス LookBitに対する包括的なアドバイザリーを公表

・2023.05.20 米国 司法省 LockBit、Babuk、Hiveに関わったロシア人を起訴

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

 

・2021.09.05 米国 CISA FBI 休日と週末のためのランサムウェアの認識

 

| | Comments (0)

フランス CNIL 介護施設におけるビデオ監視についての勧告を発表

こんにちは、丸山満彦です。

そういえば、ブログの記事数が6,000を超えているみたいです...

介護施設において、従業員が入居者に虐待をしていないかを監視するためのビデオ監視システムの導入についてのガイダオですね...(施設側が導入するものであり、親族側で導入するものはこれとはまた別...)日本も高齢化が進むとこういう問題も検討していくことが重要となっていくんでしょうね...

フランスのCNILの見解は、特別な場合を除き、介護施設は入所者の寝室にビデオ監視システムを設置してはならない...というかんじですね...

特別な場合というのは、虐待が疑われる場合などが考えられますね...

でも、虐待が疑われると言っても、親族の訪問時にはビデオを止めないといけないとか...厳密ですよね...

フランスのプライバシー保護の感覚が理解できるかもしれませんね...

 

1_20240508012901

 

● Commission nationale de l'informatique et des libertés; CNIL

プレス...

・2024.05.02 Vidéosurveillance dans les chambres d’Ehpad : la CNIL publie sa recommandation

 

Vidéosurveillance dans les chambres d’Ehpad : la CNIL publie sa recommandation 介護施設におけるビデオ監視:CNILが勧告を発表
Adoptée à la suite d’une consultation publique, cette recommandation rappelle que les Ehpad ne sont pas censés installer des dispositifs de vidéosurveillance dans les chambres des résidents, sauf circonstances exceptionnelles. この勧告は、特別な場合を除き、介護施設は入所者の寝室にビデオ監視システムを設置してはならないとするものである。
À la suite de la médiatisation de cas de maltraitance au sein d’établissements d’hébergement pour personnes âgées dépendantes (Ehpad), la CNIL a été saisie de plusieurs demandes de conseil concernant l’installation de dispositifs de vidéosurveillance dans les chambres des résidents de ces établissements. 依存的な高齢者のための宿泊施設(Ehpad)で虐待が行われた事例がメディアで報道されたことを受け、CNILは、これらの施設の入所者の寝室にビデオ監視システムを設置することについての助言を求める要請を数件受けた。
Afin de répondre à ces préoccupations, la CNIL a ainsi soumis un projet de recommandation à une consultation publique en 2023. Les nombreuses contributions reçues lui ont permis de mieux comprendre les préoccupations du public et les besoins du secteur, et d’enrichir sa recommandation définitive. このような懸念に対応するため、CNILは2023年に勧告案を提出し、公開協議を行った。寄せられた多くの投稿により、CNILは国民の懸念とこの分野のニーズをより深く理解し、最終勧告をより充実したものにすることができた。
Des conditions restrictives de mise en œuvre 厳しい実施条件
Dans sa recommandation, la CNIL précise les conditions qu’un établissement doit remplir avant d’envisager la mise en place d’un dispositif de vidéosurveillance dans des chambres de résidents. En principe, une telle installation ne peut être envisagée que pour assurer la sécurité des personnes hébergées dans le cadre d’une enquête pour maltraitance (conditions cumulatives) seulement : CNILは勧告の中で、居住者の部屋にビデオ監視システムの設置を検討する前に、施設が満たさなければならない条件を明記している。原則として、このような設置が検討されるのは、虐待の調査の一環として入居者の安全を確保する場合に限られる(累積条件):
en cas de suspicion étayée de mauvais traitements (hématomes constatés, changements comportementaux, etc.) malgré les dispositifs alternatifs mis en place pour assurer la sécurité des personnes hébergées (par exemple, un bouton d’appel d’urgence sans fil, des procédures de signalement et de suivi d’événements préoccupants, la création d’équipe de travail afin de permettre l’intervention des soignants en binôme) ; 収・容者の安全を確保するための代替措置(例えば、無線緊急通報ボタン、懸念される事象の報告および監視のための手順、ケアワーカーが2人1組で介入できるようにするための作業チームの設置など)が講じられているにもかかわらず、虐待の疑い(血腫の観察、行動の変化など)が立証された場合
ET après échec des procédures d’enquêtes n’ayant pas permis de détecter une situation de maltraitance, dès lors qu’un doute subsiste. 調査手順がうまくいかず、虐待の状況を発見できなかった後、疑いが残る場合。
Avant la mise en place d’un dispositif de vidéosurveillance, l’établissement doit notamment respecter les garanties suivantes : ビデオ監視システムを設置する前に、施設は特に以下の保証に従わなければならない:
limiter l’activation dans le temps ; ・時間の経過とともに作動を制限すること;
désactiver le dispositif de vidéosurveillance lors des visites des proches, sauf si le soupçon de maltraitance porte sur ces derniers ; ・虐待が疑われない限り、親族の訪問時にはビデオ監視システムを停止すること;
établir et appliquer un cadre interne quant aux conditions justifiant l’installation d’un dispositif de vidéosurveillance. Cette procédure devrait avoir été préalablement présentée au Conseil de la vie sociale (CVS), qui pourra formuler des propositions ; ・ビデオ監視システムの設置を正当化する条件のための内部枠組みを確立し、適用すること。この手続きは事前に社会生活協議会(CVS)に提示されるべきであり、CVSは提案を行うことができる;
informer les salariés de manière individuelle et collective quant à la possibilité que des dispositifs de vidéosurveillance soient installés au sein des chambres des résidents ; ・入居者の部屋にビデオ監視システムが設置される可能性があることを、従業者に個人的・集団的に知らせる
recueillir le consentement des personnes hébergées ou lorsque la personne n’est pas en mesure de consentir, celui-ci devra être recueilli dans le respect des règles spécifiques liées à la protection des majeurs ; ・入居者の同意を得るか、本人が同意できない場合は、成人の保護に関する特定の規則に従って同意を得なければならない;
・« flouter », dans la mesure du possible, les parties intimes de la personne concernée dès lors que les soins qui lui sont apportés sont réalisés dans son lit ; ・ベッド上で介護を行う場合、可能な限り、当該者のプライベートな部分を「ぼかす」こと;
insérer au sein du règlement intérieur la possibilité qu’un dispositif de vidéosurveillance soit mis en place dans la chambre d’un résident en cas de suspicions fortes de maltraitance et y faire notamment figurer les modalités de visionnage ; ・虐待が強く疑われる場合、入居者の居室にビデオ監視システムを設置する可能性を内規に盛り込むこと;
・lorsque la demande émane de la famille ou des proches, l’installation d’un tel dispositif devrait être réalisée en concertation avec l’établissement, tenant compte des procédures d’enquêtes, du respect du cadre interne en matière de faisceaux d’indices, de l’information du personnel, le cas échéant ; ・家族または親しい友人からの要請があった場合、そのようなシステムの設置は、調査手順、証拠の束に関する内部規定の遵守、および該当する場合は職員の情報を考慮し、施設と協議の上、実施されるべきである;
sensibiliser et former le personnel chargé de gérer et de mettre en œuvre ces dispositifs. ・このようなシステムの管理・実施に責任を持つ職員を教育・訓練すること。
L’interdiction d’installer des caméras pour améliorer le service offert à la personne concernée 関係者へのサービス向上のためのカメラ設置の禁止
Au regard des atteintes à la dignité des personnes hébergées, il est en principe interdit d’installer des caméras pour améliorer le service offert à la personne concernée en renforçant son « confort » (par exemple intervention rapide en cas de demande particulière formulée par la personne), même lorsqu’elle a donné son consentement. La CNIL estime à cet égard que d’autres dispositifs moins attentatoires à la vie privée des personnes hébergées existent et devraient être privilégiés pour atteindre cette finalité (enquêtes de satisfaction, cahiers de doléance, dispositifs d’appel-malade, dialogue avec le Conseil de vie sociale, etc.). 入居者の尊厳に対する攻撃を考慮すると、たとえ入居者の同意があったとしても、入居者の「快適さ」(例えば、入居者から特定の要求があった場合の迅速な介入)を向上させることによって、入居者に提供されるサービスを改善するためにカメラを設置することは原則として禁止されている。この点に関して、CNILは、この目的を達成するためには、入居者のプライバシーにあまり立ち入らない他のシステム(満足度調査、苦情の小冊子、シックコールシステム、社会生活協議会との対話など)が存在し、それを優先すべきであると考えている。
Par ailleurs, pour assurer la sécurité des personnes hébergées en cas de chute ou d’accident, la CNIL rappelle que des dispositifs autres que ceux utilisant la vidéosurveillance peuvent être mis en place (capteurs de présence placés sous le sol et susceptibles de détecter la moindre anomalie, bracelet susceptible de détecter une chute brutale grâce à un accéléromètre, capteurs/boitiers infrarouges capables de détecter une chute et d’envoyer un message d’alerte au personnel, etc.). さらに、転倒や事故が発生した場合の入居者の安全を確保するために、CNILは、ビデオ監視を利用した装置以外の装置を設置することも可能であると指摘している(床下に設置され、わずかな異常を検知できる存在センサー、加速度計を利用して急な転倒を検知できるブレスレット、転倒を検知してスタッフに警告メッセージを送信できる赤外線センサー/ボックスなど)。
La nécessité de réaliser une analyse d’impact relative à la protection des données (AIPD) データ保護影響評価(DPIA)の必要性
Au regard des risques élevés qu’est susceptible d’engendrer ce traitement pour les droits et libertés des personnes concernées, les organismes mettant en œuvre ce dispositif de vidéosurveillance devront réaliser une AIPD. この処理が関係者の権利と自由にもたらす可能性の高いリスクを考慮すると、このビデオ監視システムを導入する組織はDPIAを実施しなければならない。
La CNIL se tient, à cet égard, à la disposition des organismes pour les accompagner dans la réalisation de leur AIPD. この点に関して、CNILはDPIAの実施を支援するため、組織を自由に利用できる。
Document reference 参考文書
Recommandation relative à l’installation de dispositifs de vidéosurveillance au sein des chambres d’Ehpad 介護施設の居室へのビデオ監視システムの設置に関する勧告
Recommandation - Mise en place de dispositifs de vidéosurveillance au sein des chambres des établissements accueillant des personnes âgées 勧告 - 高齢者施設の寝室におけるビデオ監視システムの設置
[ PDF-298.94 Ko ] [PDF-298.94 Ko]
Texte reference 参考テキスト
Texte de référence 参考テキスト
Délibération n° 2024-024 du 29 février 2024 portant adoption d'une recommandation relative à la mise en place de dispositifs de vidéosurveillance au sein des chambres des établissements accueillant des personnes âgées (Légifrance) 高齢者向け施設の居室におけるビデオ監視システムの設置に関する勧告を採択する2024年2月29日付審議No.2024-024(レギフランス)
Texte reference 参考資料
Pour approfondir 詳細はこちら
L'accompagnement social et médico-social 社会的および医療社会的支援
Les personnes âgées, en situation de handicap ou en difficulté 高齢者、障害者、困難な状況にある人々

 

・[PDF]

20240507-200046

 

Délibération n° 2024-024 du 29 février 2024 portant adoption d'une recommandation relative à la mise en place de dispositifs de vidéosurveillance au sein des chambres des établissements accueillant des personnes âgées  高齢者施設の居室におけるビデオ監視システムの設置に関する勧告を採択した2024年2月29日付審議第2024-024号 
La Commission nationale de l’informatique et des libertés,  フランス情報保護局
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;  個人データの処理に関する個人の保護および当該データの自由な移動に関する2016年4月27日の欧州議会および理事会規則(EU)2016/679を考慮し、指令95/46/EC(一般データ保護規則またはGDPR)を廃止する; 
Vu la loi n° 7 8-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 8-I-2°-b) ;  情報処理、データファイルおよび個人の自由に関する1978年1月6日改正法第78-17号(「情報処理および個人の自由に関する法律」)、特にその第8条-I-2°-b)を考慮する; 
Après avoir entendu le rapport de M. Philippe Latombe, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,  Philippe Latombe委員の報告およびDamien Milic政府委員の見解を聴取した、 
Adopte une recommandation relative à la mise en place de dispositifs de vidéosurveillance au sein des chambres des établissements accueillant des personnes âgées.  高齢者施設の寝室におけるビデオ監視システムの設置に関する勧告を採択する。
Article 1er : Le contexte  第1条:背景 
1. À la suite de la médiatisation de cas de maltraitance au sein d’établissements d’hébergement pour personnes âgées dépendantes (EHPAD), certains organismes sociaux et médico-sociaux ont interrogé la CNIL concernant la possibilité et les conditions d’’installation de dispositifs de vidéosurveillance au sein des chambres des résidents.  1. 扶養高齢者施設(EHPAD)における虐待の事例が報道されたことを受け、一部の社会団体および医療社会団体は、CNILに対し、入居者の寝室にビデオ監視システムを設置する可能性と条件について質問した。
L’installation de caméras dans les lieux ouverts au public tels que les espaces d’entrée et de sortie d’un organisme social ou médico-social est soumise aux dispositions du RGPD et de la loi « informatique et libertés » ; elle doit également faire l’objet d’une autorisation délivrée par la préfecture du lieu d’implantation du dispositif.  社会的・医療的組織の出入り口など、一般に公開されている場所へのカメラの設置は、RGPDおよびフランスデータ保護法の規定に従う。
Concernant les espaces des EHPAD ouverts aux résidents, à leurs invités et au personnel, l’installation de dispositifs de vidéosurveillance est en principe autorisée pour assurer la sécurité des biens et des personnes à condition de ne pas placer sous surveillance constante les salariés ou les résidents (Pour plus d’informations, nous vous invitons à consulter la page « Vidéosurveillance – Vidéoprotection »).  入居者、そのゲスト、職員が出入りする老人ホームのエリアに関しては、従業員や入居者が常時監視下に置かれていないことを条件に、原則として、人と財産の安全を確保するためにビデオ監視システムの設置が許可されている(詳細については、「ビデオ監視-ビデオ保護」のページを参照)。
2. L’installation de caméras au sein des chambres de personnes hébergées dans des EHPAD soulève, en revanche, de nombreuses interrogations juridiques et éthiques. Un tel dispositif est en effet susceptible de porter atteinte tant aux droits des salariés qu’à ceux des personnes hébergées pour lesquelles la chambre représente le seul espace d’intimité dans lequel elles peuvent poursuivre leur vie affective et familiale.  2. 一方、老人ホームに入居する人々の寝室にカメラを設置することは、多くの法的・倫理的問題を提起する。このようなシステムは、寝室が感情や家庭生活を追求できる唯一のプライバシーの場所である従業員と入居者の両方の権利を侵害する可能性が高い。
3. La présente recommandation a vocation à encadrer les dispositifs de vidéosurveillance mis en place par les seuls EHPAD (les établissements médicaux étant confrontés à des contraintes différentes) et non par les proches des résidents. Ces derniers sont invités à se rapprocher des directions d’établissements, dans l’hypothèse où ils envisageraient l’installation d’une caméra pour assurer la sécurité du membre de leur famille. Seul l’établissement peut en principe mettre en place le dispositif, afin que celui-ci soit le plus respectueux des droits et libertés de chacun. 3. この勧告の目的は、ナーシングホーム(医療施設は異なる制約に直面している)が単独で設置するビデオ監視システムの枠組みを提供することであり、入居者の親族が設置するものではない。親族は、家族の安全を確保するためにカメラの設置を検討している場合、施設の管理者に連絡するよう求められる。原則として、すべての入居者の権利と自由を尊重するために、施設のみがシステムを設置することができる。
RÉPUBLIQUE FRANÇAISE  フランス共和国 
3 Place de Fontenoy, TSA 80715 – 75334 PARIS CEDEX 07 – 01 53 73 22 22 – www.cnil.fr  3 Place de Fontenoy, TSA 80715 - 75334 PARIS CEDEX 07 - 01 53 73 22 22 - www.cnil.fr 
Les données personnelles nécessaires à l’accomplissement des missions de la CNIL sont traitées dans des fichiers destinés à son usage exclusif.  CNILの業務遂行に必要な個人情報は、CNIL専用のファイルとして処理される。
Les personnes concernées peuvent exercer leurs droits Informatique et Libertés en s’adressant au délégué à la protection des données (DPO) de la CNIL via un formulaire en ligne ou par courrier postal. Pour en savoir plus :[web] 関係者は、オンラインフォームまたは郵送でCNILのデータ保護責任者(DPO)に連絡することにより、データ保護の権利を行使することができる。詳細は[web]
Article 2 : Les enjeux  第2条:課題
2.1 - Le nécessaire respect de la vie privée et de l’intimité des personnes hébergées  2.1 - ホストされた個人のプライバシーと親密性を尊重する必要性 
4. La question essentielle pour toute structure souhaitant installer des caméras dans les chambres des résidents repose sur l’équilibre à trouver entre la sécurité offerte par ce système aux personnes hébergées et le respect de leur vie privée et de leur intimité (art. 8 de la Convention européenne des droits de l’Homme, art. 7 de la Charte des droits fondamentaux, art. 9 du code civil).  4. 入居者の居室にカメラを設置しようとする組織にとって重要な問題は、このシステムによって入居者に提供されるセキュリティと、入居者のプライバシーと親密さの尊重との間でバランスをとることである(欧州人権条約第8条、基本権憲章第7条、民法第9条)。
5. Le déploiement de tels dispositifs est susceptible de priver les personnes hébergées de la possibilité de pouvoir vivre dans leur chambre sans être l’objet d’une surveillance, et notamment d’une surveillance permanente, ce qui constitue une atteinte à leurs droits fondamentaux.  5. このような機器の配備は、監視、特に常時監視を受けることなく自室で生活する可能性を住民から奪う可能性が高く、住民の基本的権利の侵害を構成する。
6. L’installation de caméras doit en conséquence répondre à un réel besoin et être mis en œuvre sous réserve du respect de conditions strictes du RGPD et de la loi « informatique et libertés ».  6. したがって、カメラの設置は真の必要性を満たすものでなければならず、RGPDとフランス情報保護法の厳格な条件を遵守した上で実施されなければならない。
Au regard des atteintes à la dignité des personnes hébergées, il est en principe interdit d’installer des caméras pour améliorer le service offert à la personne concernée en renforçant son « confort » (par exemple intervention rapide en cas de demande particulière formulée par la personne), même lorsqu’elle a donné son consentement.  被入居者の尊厳に対する攻撃を考慮すると、たとえ被入居者の同意があったとしても、被入居者の「快適性」(たとえば、被入居者から特別な要求があった場合の迅速な介入)を向上させることによって、当該被入居者に提供されるサービスを改善するためにカメラを設置することは原則として禁止される。 
D’autres dispositifs moins attentatoires à la vie privée des personnes hébergées devraient être privilégiés (enquêtes de satisfaction ; cahiers de doléances à destination des personnes hébergées et des familles ; dispositifs d’appel-malade disposant de modalités d’activités variées – à la voix, au geste, etc. - ; dialogue avec le Conseil de la vie sociale ; etc.).  その他、入居者のプライバシーを侵害することの少ないシステム(満足度調査、入居者とその家族向けの苦情小冊子、音声、ジェスチャーなど様々な活動モードを備えた患者コールシステム、生活協議会との対話など)が好まれるべきである。- 社会生活協議会との対話など)。 
En conséquence, un dispositif de vidéosurveillance mis en œuvre pour une telle finalité ne satisfait pas, en principe, aux conditions de nécessité et de proportionnalité auxquelles doivent se conformer les organismes souhaitant mettre en œuvre un traitement. L’amélioration du service offert aux personnes ne saurait en effet justifier une atteinte aussi forte aux droits et libertés des personnes concernées.  したがって、このような目的で導入されたビデオ監視システムは、原則として、処理を導入しようとする組織が遵守しなければならない必要性と比例性の条件を満たさない。個人に提供されるサービスを向上させることは、当該個人の権利と自由をこのように大きく侵害することを正当化することはできない。
Par ailleurs, pour assurer la sécurité des personnes hébergées en cas de chute ou d’accident, des dispositifs autres que ceux utilisant la vidéosurveillance peuvent être mis en place (capteurs de présence placés sous le sol et susceptibles de détecter la moindre anomalie, bracelet susceptible de détecter une chute brutale grâce à un accéléromètre, capteurs/boîtiers infrarouges capables de détecter une chute et d’envoyer un message d’alerte au personnel, etc.), sous réserve du recueil du consentement de la personne hébergée (lorsqu’elle n’est pas en mesure de consentir, celui-ci devra être recueilli, le cas échéant, dans le respect des règles spécifiques liées à la protection des majeurs).  さらに、転倒や事故が発生した場合の入居者の安全を確保するために、関係者の同意のもと、ビデオ監視を利用した装置以外の装置(床下に設置され、わずかな異常を検知できる存在センサー、加速度計を利用して急な転倒を検知できるリストバンド、転倒を検知してスタッフに警告メッセージを送信できる赤外線センサー/ボックスなど)を設置することができる。 入居者の同意が得られない場合は、成人の保護に関する具体的な規則に従い、場合によっては同意を得なければならない)。
Dès lors, l’installation d’un dispositif de vidéosurveillance ne peut être envisagé que pour assurer la sécurité des personnes hébergées dans le cadre d’une enquête pour maltraitance (conditions cumulatives) :  従って、ビデオ監視システムの設置は、虐待の調査(累積条件)においてのみ、入居者の安全を確保するためにのみ想定される: 
・en cas de suspicion étayée de mauvais traitement (hématomes constatés, changements comportementaux, etc.) malgré les dispositifs alternatifs mis en place (par exemple un bouton d’appel d’urgence sans fil, des procédures internes de détection des événements indésirables, des procédures de signalement et de suivi d’événements préoccupants, la création d’équipe de travail afin de permettre l’intervention des soignants en binôme),  ・虐待の疑いが立証された場合(血腫の観察、行動の変化など)、代替措置(例:無線緊急通報ボタン、望ましくない出来事を検知するための内部手順、心配な出来事を報告しフォローアップするための手順、ケアスタッフが2人1組で働けるようにするための作業チームの設置など)が講じられているにもかかわらず、 
・après échec des procédures d’enquêtes internes si celles-ci n’ont pas permis de lever le doute sur une situation de maltraitance ou d’en déterminer l’origine.  ・虐待の状況についての疑念を取り除くことができなかった場合、またはその原因を特定することができなかった場合、内部調査手続きが失敗した後。
2.2 - La proportionnalité du contrôle d’activité des salariés  2.2 - 従業員の行動監視の比例性 
7. Chacun a droit au respect de sa vie privée, y compris les salariés sur leur lieu de travail et pendant leur temps de travail.  7. すべての人は、職場内および勤務時間中の従業員を含め、私生活を尊重される権利を有する。
8. Si le pouvoir de surveillance de l’employeur est légitime puisqu’il est conduit à contrôler le travail réalisé, à l’évaluer et à donner des directives sur celui à effectuer, ce pouvoir comporte des limites tenant à la transparence de la mesure, à sa légitimité et à sa proportionnalité par rapport au but poursuivi.  8. 使用者の監視権限は、遂行される仕事を監視し、それを評価し、遂行されるべき仕事について指示を与えることにつながるため、合法的なものであるが、この権限には、措置の透明性、正当性、追求される目的との関係における比例性という点で限界がある。
9. Ainsi, les dispositifs de vidéosurveillance sur les lieux de travail, qui sont notamment légitimes dès lors qu’ils visent à assurer la sécurité des biens et des personnes hébergées, doivent veiller à ne pas porter une atteinte disproportionnée aux droits et libertés fondamentaux des salariés.  9. 従って、職場におけるビデオ監視システムは、特に財産や収容される人の安全を確保することを目的とする場合には合法的であるが、従業員の基本的権利と自由を不当に侵害しないようにしなければならない。
10. Une telle atteinte serait constituée si les salariés étaient surveillés en continu sur leur poste de travail ou pendant l’exercice de leur activité professionnelle, sauf à justifier de circonstances particulières justifiant cette atteinte.  10. このような侵害は、そのような侵害を正当化する特別な事情が証明されない限り、従業員がワークステーションで、または職業活動の遂行中に継続的に監視される場合に構成される。
Article 3 : Les conditions de mise en œuvre de tels dispositifs  第3条:当該システムの実施条件 
À noter  注意事項 
Les établissements, les services et les lieux de vie et d’accueil doivent informer sans délai les autorités administratives compétentes de tout dysfonctionnement grave dans leur gestion ou leur organisation susceptible d’affecter la prise en charge des usagers, leur accompagnement ou le respect de leurs droits (art. L. 331-8-1 du code de l’action sociale et des familles (CASF)).  施設、サービス、生活施設および受入施設は、利用者に提供されるケア、利用者の支援、または利用者の権利の尊重に影響を及ぼす可能性のある、その管理または組織における重大な不具合について、所轄の行政当局に直ちに報告しなければならない(CASF(Code de l'action sociale et des familles)第331-8-1条)。
Avant d’envisager l’installation de dispositifs de vidéosurveillance au sein d’un établissement pour suspicions fortes de maltraitance, il est important de porter à la connaissance de chaque salarié et intervenant extérieur (psychologue, kinésithérapeute, etc.) les éléments suivants :  虐待の疑いが強い施設にビデオ監視システムの設置を検討する前に、すべての従業員および外部の協力者(心理学者、理学療法士など)に以下のことを知らせることが重要である: 
・une personne physique est susceptible d’engager sa responsabilité pénale en cas de nondénonciation de mauvais traitements infligés à une personne qui n’est pas en mesure de se protéger notamment en raison de son âge ou d’une maladie (article L. 434-3 du code pénal) ; 
・個人は、特に年齢や病気のために自分を守ることができない人に対する虐待を報告しなかった場合、刑事責任を負う可能性がある(フランス刑法434-3条); 
・les établissements doivent informer sans délai les autorités administratives compétentes (agence régionale de santé, préfet de département, président du conseil général) de tout dysfonctionnement grave dans leur gestion ou leur organisation, susceptible d’affecter la prise en charge des usagers, leur accompagnement ou le respect de leurs droits ;  ・事業所は、利用者に提供されるケア、利用者の支援、または利用者の権利の尊重に影響を及ぼす可能性のある、管理または組織の重大な不具合について、関連する行政当局(地域保健機関、県知事、一般評議会議長)に直ちに報告しなければならない; 
・un salarié ou agent ayant témoigné de mauvais traitements infligés à une personne accueillie au sein de son établissement peut faire l’objet d’une protection identique à celle offerte aux lanceurs d’alerte (art. L. 313-24 du CASF).  ・従業員または代理人が、その施設内で被介護者に行われた虐待を証言した場合、内部告発者に提供される保護と同様の保護を受けることができる(CASF313-24条)。
Ces éléments devraient être rappelés de manière régulière par le personnel encadrant, notamment via des formations spécifiques concernant la lutte contre la maltraitance et lors de la signature du contrat de travail.  監督スタッフは、特に虐待との闘いに関する特別な研修を通じて、また雇用契約を締結する際に、これらの点について定期的に注意を喚起されるべきである。
3.1 - Pour assurer la sécurité des personnes hébergées  3.1 - 入居者の安全を確保するために 
11. Un dispositif de vidéosurveillance installé à des fins de prévention des incidents de sécurité dans la chambre d’une personne hébergée apparaît en principe disproportionné dans la mesure où : 
11. 被入居者の居室におけるセキュリティ事故を防止する目的で設置されたビデオ監視システ ムは、原則として、以下の点で不釣り合いであると思われる: 
・il porte une atteinte particulièrement forte à la dignité des personnes hébergées, filmées en permanence dans leur lieu de vie ;  ・常時居室を撮影される被入居者の尊厳に特に強い影響を与える; 
・il est susceptible de placer les salariés sous surveillance continue.  ・従業員を継続的に監視下に置く可能性がある。
12. Les organismes devraient étudier la possibilité de mettre en œuvre des moyens alternatifs moins intrusifs pour assurer la sécurité des personnes hébergées (par exemple un bouton d’appel d’urgence sans fil, des procédures internes de détection des événements indésirables, des procédures de signalement et de suivi d’événements préoccupants, la création d’équipes de travail afin de permettre l’intervention des soignants en binôme).  12. 組織は、入居者の安全を確保するための、より侵入的でない代替手段(例えば、無線緊急通報ボタン、望ましくない出来事を検知するための内部手順、懸念される出来事を報告しフォローアップするための手順、ケアスタッフが2人1組で働けるようにするための作業チームの創設など)を導入する可能性を研究すべきである。
13. Toutefois, en cas de suspicions fortes de maltraitance à l’encontre d’une personne hébergée, basées sur un faisceau d’indices concordants (hématomes, changements comportementaux, etc.) malgré l’existence de dispositifs alternatifs et d’échecs des procédures d’enquêtes internes, un organisme doit pouvoir installer ponctuellement un dispositif de vidéosurveillance dans la chambre des seules personnes concernées. Dans une telle situation, le responsable de traitement doit cependant apporter des garanties appropriées et notamment :  13. ただし、代替措置が存在し、内部調査手順が機能していないにもかかわらず、確証となる証拠(血腫、行動の変化など)に基づき、入居者に対する虐待が強く疑われる場合、組織は、関係者の居室のみに臨時でビデオ監視システムを設置できなければならない。ただし、このような場合、データ管理者は適切な保証を提供しなければならない: 
・imiter l’activation dans le temps ; 
・時間経過に伴う起動の制限; 
・désactiver le dispositif de vidéosurveillance lors des visites de proches sauf si le soupçon de maltraitance porte sur ces derniers ;  ・親族の訪問時には、親族が虐待されている疑いがない限り、ビデオ監視システムを停止すること; 

・établir et appliquer un cadre en interne, quant aux conditions justifiant l’installation de ce type de dispositifs (il doit par exemple s’agir d’une demande émanant des proches de la personne hébergée à l’établissement faisant suite à des cas de suspicions fortes et avérées de maltraitance, etc.). Cette procédure devrait avoir été préalablement présentée au Conseil de la vie sociale (CVS), qui pourra formuler des propositions ;  ・この種のシステムの設置を正当化する条件について、内部的な枠組みを確立し、適用すること(例えば、虐待の疑いが強く、証明された場合などには、施設に収容されている人の親族からの要請でなければならない)。この手続きは事前に社会生活協議会(CVS)に提示する必要があり、CVSは提案することができる; 

 
・informer les salariés de manière individuelle (p. ex. : lors de la signature du contrat de travail) et de manière collective (p. ex. : affiches) quant à la possibilité que des dispositifs de vidéosurveillance soient installés au sein des chambres des résidents ; 
・入居者の居室にビデオ監視システムが設置される可能性があることを、従業員に個人的(雇用契約締結時など)に、また集団的(ポスターなど)に知らせる;
・ « flouter », dans la mesure du possible, les parties intimes de la personne concernée dès lors que les soins qui lui sont apportés sont réalisés dans son lit. S’agissant de la prise d’images dans les lieux d’intimité (toilettes, douches), celle-ci doit être proscrite sauf circonstances exceptionnelles (c’est-à-dire lorsque les procédures d’enquêtes internes et le dispositif de vidéosurveillance installé au sein de la chambre n’ont pas permis de détecter une situation de maltraitance mais qu’il subsiste une forte suspicion quant à la possibilité que ces actes soient réalisés au sein de ces lieux) ;  ・ベッド上で介護を行う場合、可能な限り、当該者のプライベートな部分を「ぼかす」こと。プライベートエリア(トイレ、シャワー)で撮影された画像は、例外的な場合(内部調査手続きや居室に設置されたビデオ監視システムで虐待の状況が検出されなかったが、これらのエリアでこれらの行為が行われた可能性が強く疑われる場合)を除き、禁止されなければならない; 
・insérer au sein du règlement intérieur la possibilité qu’un dispositif de vidéosurveillance soit mis en place dans la chambre d’un résident en cas de suspicions fortes de maltraitance et y faire notamment figurer les modalités de visionnage (accès aux images strictement limité au seul personnel habilité ; conditions d’accès aux images par la famille ; etc.) ;  ・虐待が強く疑われる場合、入居者の居室にビデオ監視システムを設置する可能性を内規に盛り込み、閲覧手順(権限のあるスタッフのみに画像閲覧を厳格に制限、家族による画像閲覧の条件など)を盛り込む; 
・lorsque la demande émane de la famille ou des proches, l’installation d’un tel dispositif devrait être réalisée en concertation avec l’établissement, tenant compte des procédures d’enquête interne, de prévention et d’alerte ; du respect du cadre interne en matière de faisceaux d’indices ; de l’information du personnel, le cas échéant ;  ・家族または親しい友人からの要請があった場合、このようなシステムの設置は、内部の調査、予防、警告の手順、手がかりに関する内部の枠組みへの準拠、該当する場合は職員の情報などを考慮し、施設と協議の上、実施されるべきである; 
 ・ensibiliser et former le personnel chargé de gérer et de mettre en œuvre ces dispositifs.  ・このようなシステムの管理・実施に責任を持つ職員を教育・訓練すること。
À noter  留意すべき事項 
Le consentement de la personne concernée devra être recueilli avant l’installation d’un dispositif de vidéosurveillance, y compris lorsque la demande provient de ses proches. Lorsque la personne n’est pas en mesure de consentir, le consentement devra être recueilli, dans le respect des règles spécifiques liées à la protection des majeurs  ビデオ監視システムを設置する前に、家族からの要請を含め、本人の同意を得なければならない。本人の同意が得られない場合は、成人の保護に関する特定の規則に従い、同意を得なければならない。 
Lorsque l’initiative revient à l’établissement, ce dernier devra permettre à la personne concernée, de refuser l’installation de ce type de dispositif.  主導権が施設側にある場合は、本人がこの種の装置の設置を拒否できるようにしなければならない。 
SCHÉMA RÉCAPITULATIF  概要図 
Fig
14. Le responsable de traitement devra par ailleurs s’assurer de la conformité de son traitement au RGPD et aux dispositions de la loi « informatique et libertés » (durée de conservation limitée à quelques jours si les images ne révèlent pas de maltraitance à l’égard du résident ou, dans le cas contraire, à la durée de la procédure contentieuse ; respect des droits des personnes concernées ; sécurité et confidentialité des données ; etc.). Il devra également informer les personnes concernées préalablement à l’installation des caméras :  14. データ管理者はまた、その処理がRGPDおよびフランスデータ保護法の規定(画像の保存期間は、入居者に対する虐待が判明しない場合は数日間、判明した場合は法的手続きの期間内に限定、データ対象者の権利の尊重、データの安全性および機密性など)に準拠していることを保証しなければならない。また、カメラを設置する前に、関係者に通知しなければならない: 
・pour les résidents, cela peut se faire en insérant dans le contrat d’hébergement une clause indiquant l’éventuelle mise en œuvre de ce traitement. Cette dernière devrait notamment préciser qu’un tel dispositif ne devrait être mis en place que par l’établissement d’hébergement et non par la famille ;
・入居者については、宿泊契約書に、このような処理が実施される可能性があることを示す条項を挿入することでこれを行うことができる。この条項には、このようなシステムは宿泊施設によってのみ設置されるべきであり、家族によって設置されるべきでないことを明記すべきである; 
・pour les salariés, en insérant, par exemple, dans le règlement intérieur de la structure préalablement présenté au comité social et économique, une mention indiquant la possibilité d’installer des dispositifs de vidéosurveillance dans les chambres des résidents pour lesquels il existe une suspicion grave de maltraitance.  ・従業員に対しては、例えば、社会経済委員会に事前に提出された施設の内部規則に、虐待の重大な疑いがある入居者の居室にビデオ監視システムを設置する可能性を示す条項を挿入することによって行うことができる。
15. L’établissement doit par ailleurs en principe s’assurer que les résidents et salariés ont été informés individuellement de manière effective au moment de la mise en place des caméras (par courriel, affichage, etc.), sauf si cette information apparaît incompatible avec les objectifs de l’enquête et la protection des droits des personnes victimes de mauvais traitements.  15. また、調査や虐待被害者の権利擁護の目的にそぐわないと思われる場合を除き、原則として、監視カメラ設置の際には、効果的な方法(電子メール、掲示等)で入居者及び職員に個別に情報提供がなされたことを確認しなければならない。 
3.2 - La nécessité de réaliser une analyse d’impact relative à la protection des données (AIPD)  3.2 - データ保護影響評価(DPIA)の必要性 
16. Au regard des risques élevés qu’est susceptible d’engendrer ce traitement pour les droits et libertés des personnes concernées, l’organisme mettant en œuvre ce dispositif de vidéosurveillance devra réaliser une analyse d’impact relative à la protection des données (AIPD). Une telle AIPD ne pouvant être réalisée en urgence, cela implique d’avoir réfléchi à la possibilité d’utilisation d’un tel dispositif à l’avance, en cas de suspicion de maltraitance.  16. この処理が関係者の権利と自由にもたらす可能性の高いリスクを考慮すると、このビデ オ監視システムを実施する組織は、データ保護影響評価(DPIA)を実施しなければならな い。このようなDPIAは緊急に実施することができないため、虐待が疑われる場合には、このようなシステムを使用する可能性について事前に検討する必要がある。 
17. L’AIPD permettra de définir des conditions de mise en œuvre du dispositif de vidéosurveillance limitant autant que possible les risques pour les personnes concernées d’une part, et de démontrer la conformité du traitement au RGPD en cas de contrôle, d’autre part.  17. DPIAは、一方ではデータ対象者へのリスクを可能な限り抑えるような方法でビデオ監視シ ステムを実施するための条件を定義することを可能にし、他方では、検査が行われた場 合に処理がGDPRに準拠していることを証明することを可能にする。
18. Cette analyse, qui pourra s’appuyer sur l’ensemble des garanties énoncées au sein de la présente recommandation afin d’en simplifier sa réalisation, devra contenir une description détaillée du traitement mis en œuvre, tant sur les aspects techniques qu’opérationnels. L’organisme mettant en œuvre le dispositif devra plus particulièrement insister sur :  18. この分析は、その実施を簡素化するために、本勧告に定めるすべての保証に基づくことができるが、技術面及び運用面の両方において、実施される処理の詳細な説明を含むべきである。特に,システムを実施する組織は,次の点を強調すべきである: 
・les raisons l’ayant conduit à considérer que des moyens alternatifs moins intrusifs s’avéraient inefficaces ;  ・代替的な、より立ち入りの少ない方法が効果的でないと考えるに至った理由; 
・les garanties qu’il met en œuvre pour ne pas mettre sous surveillance continue les salariés travaillant dans l’établissement ;  ・その事業所で働く従業員が継続的な監視下に置かれないようにするために実施している保護措置; 
・les mesures pour assurer la confidentialité des données ; ・データの機密性を確保するための措置 
・les précautions prises pour protéger la vie privée des personnes hébergées.  ・入居者のプライバシーを保護するために取られた予防措置。
19. S’il apparait que le niveau de risque résiduel reste élevé, l’AIPD devra faire l’objet d’une transmission à la CNIL.  19. 残存リスクのレベルが依然として高いと思われる場合は、AIPDをCNILに提出しなければならない。
Article 4 : Publication au Journal officiel de la République française  第4条:フランス共和国官報への掲載 
20. La présente délibération sera publiée au Journal officiel de la République.  20. 本決定はフランス共和国官報に掲載される。 

 

20240507-220345

 

| | Comments (0)

2024.05.07

OECD 閣僚会議声明とAI原則の改訂...

こんにちは、丸山満彦です。

2024.05.02-03にパリでOECD閣僚理事会が開催され、気候変動やデジタル化、高齢化がもたらす経済的・社会的影響、法の支配に対する挑戦などの課題について話されたようですね...

OECD

・2024.05 OECD Ministerial Council Meeting 2024

そして、OECDのAI原則が技術進歩に合わせて、改正されましたね...

 

OECD

・2024.05.03 OECD updates AI Principles to stay abreast of rapid technological developments

・2024.05.03 OECD、急速な技術の進歩に合わせてAI原則を更新

 

OECD updates AI Principles to stay abreast of rapid technological developments OECD、急速な技術の進歩に合わせてAI原則を更新
03/05/2024 - The 2024 OECD Ministerial Council Meeting (MCM) has adopted revisions to the landmark OECD Principles on Artificial Intelligence (AI). In response to recent developments in AI technologies, notably the emergence of general-purpose and generative AI, the updated Principles more directly address AI-associated challenges involving privacy, intellectual property rights, safety, and information integrity. 03/05/2024 - 2024年のOECD閣僚理事会(MCM)で、人工知能(AI)に関するOECD原則の改訂版が採択されました。特に汎用AIや生成AIの出現など、近年のAI技術の進歩を踏まえて更新されたこの原則は、プライバシー、知的財産権、安全性、情報の完全性など、AI関連課題に今まで以上に踏み込んで対応しています。
With 47 adherents now including the EU and a general scope that ensures applicability to AI developments around the world, the OECD AI Principles provide a blueprint for policy frameworks on how to address AI risks and shape AI policies. As the first intergovernmental standard on AI, they advocate for AI that is innovative and trustworthy, and that upholds human rights and democratic values. 現在、EUを含む47の国と地域が準拠し、世界各国のAI開発に適用できるよう対象範囲を一般的にしたOECDのAI原則は、AIリスクへの対処方法とAI政策の策定方法に関する政策枠組みの青写真を提供するものです。AIに関する最初の政府間基準として、この原則は、人権と民主主義の価値観を擁護する、革新的で信頼できるAIを提唱しています。
Tracking developments since the Principles were first adopted in 2019, the OECD AI Policy Observatory shows that venture capital investments in generative AI startups have increased nine-fold, demand for AI skills has soared by 130%, and the share of large firms using AI, on average in the OECD, has nearly doubled to more than four times their smaller counterparts. These developments coincide with significant policy attention and action, evidenced by more than 1 000 AI initiatives in over 70 countries and jurisdictions. 2019年にAI原則が最初に採択されて以来、その進展を追跡調査してきたOECDのAI政策に関するオブザーバトリーによれば、生成AIスタートアップ企業へのベンチャーキャピタル投資は9倍に増え、AIスキルの需要は130%増えています。また、AIを使用している大企業の比率は、OECD諸国平均でほぼ倍増し、小規模企業の4倍以上となっています。70以上の国・地域で1,000件以上のAIイニシアティブが発表されたことからもわかる通り、こうした発展に伴って重要な政策や措置も導入されつつあります。
The imperative is growing to develop and deploy AI systems to boost productivity, accelerate scientific research, promote environmental sustainability, and improve healthcare and education while upholding human rights and democratic values. But risks such as to privacy, security, fairness and well-being are developing at an unprecedented speed and scale, turning into real-world harms such as the perpetuation of bias and discrimination, the creation and dissemination of mis-and-dis information and the distortion of public discourse and markets. 人権と民主的な価値観を擁護しつつ、生産性を高め、科学研究を加速させ、環境の持続可能性を促進し、医療と教育を改善するため、AIシステムを開発・普及させる必要性は高まっています。しかし一方で、プライバシー、セキュリティ、公平性、福祉などのリスクもこれまでにないスピードと規模で高まっており、偏見や差別の継続、誤情報や偽情報の作成と拡散、公共政策にかかわる発言や市場の歪みなど、現実世界での害も広がっています。
Key elements of the OECD revisions, which ensure that the Principles remain relevant, robust and fit-for-purpose, include: 今回のOECD改訂の主眼点は、当原則が今も適切・堅牢で、目的に適合していることを確実にすることです。それには以下が含まれます:
Addressing safety concerns, so that if AI systems risk causing undue harm or exhibit undesired behaviour, robust mechanisms and safeguards exist to override, repair, and/or decommission them safely AIシステムが不当な害を引き起こすリスクがある、または望ましくない動作を示す場合、それらを安全にオーバーライド、修復、および/または廃止するための堅牢なメカニズムと保護手段が存在するよう、安全上の懸念に対処すること。
Reflecting the growing importance of addressing mis- and disinformation, and safeguarding information integrity in the context of generative AI 誤情報や偽情報に対処し、生成AIに関して情報の完全性を保護することの重要性の高まりを反映すること。
Emphasising responsible business conduct throughout the AI system lifecycle, involving co-operation with suppliers of AI knowledge and AI resources, AI system users, and other stakeholders AI知識やAIリソースのサプライヤー、AIシステムユーザー、その他のステークホルダーとの協力を含め、AIシステムのライフサイクル全体にわたって責任ある企業行動を強調すること。
Clarifying the information regarding AI systems that constitute transparency and responsible disclosure AIシステム関連情報を明確にして透明性と責任ある開示を提供すること。
Explicitly referencing environmental sustainability, a concern that has grown considerably in importance over the past five years この5年間で重要性が大いに高まっている環境の持続可能性について明示的に言及すること。
Underscoring the need for jurisdictions to work together to promote interoperable governance and policy environments for AI, as the number of AI policy initiatives worldwide surges 世界的にAI政策イニシアティブの数が急増する中、国・地域が協力してAIの相互運用可能なガバナンスと政策環境を促進する必要性を強調すること。
“The OECD has helped shape digital policy agendas for decades, through evidence-based recommendations and extensive multilateral and multi-stakeholder cooperation,” OECD Secretary-General Mathias Cormann said. “The OECD AI Principles are a global reference point for AI policymaking, facilitating global policy interoperability and promoting innovation with humans at the centre. The revised OECD AI Principles will provide a blueprint for global interoperability on AI policy and for policymakers to keep pace with technology, by addressing general-purpose and generative AI and their effects on our economies and societies.” マティアス・コーマンOECD事務総長は、次のように述べています。「OECDは、エビデンスに基づく提言や、複数の国やステークホルダー間における広範な協力を通じて、何十年にもわたってデジタル政策を形作るための支援を提供してきました。OECDのAI原則は、AI政策の策定における世界基準として、グローバルな政策の相互運用性を可能にするとともに人間中心のイノベーションを促進します。改訂されたOECDのAI原則は、汎用AIと生成AI、およびそれらが我々の経済社会に与える影響に対応することにより、AI政策に関する世界的な相互運用性を確保し、政策立案者が技術の進歩に適応するための青写真を提供するものです。」
The Recommendation of the OECD Council on Artificial Intelligence, which includes the OECD AI Principles, contains definitions that underpin and encourage international interoperability; the Recommendation’s definitions of an AI system and its lifecycle are used around the world, including in the European Union, Japan and the United States. The definitions also inform work of the United Nations and EU-US Trade and Technology Council. OECD AI原則を含むOECD人工知能に関する理事会勧告には、国際的な相互運用性を裏付け、奨励する定義が含まれ、勧告によるAIシステムとそのライフサイクルの定義は、欧州連合、日本、米国を含む世界中で使用されています。この定義は、国際連合並びに米国と欧州連合の貿易・技術評議会(TTC)の作業にも影響を与えています。

 

 

・2024.05.03 Recommendation of the Council on Artificial Intelligence

・2024.05.03 [PDF] 人工知能に関する理事会勧告

20240507-03937

Recommendation of the Council on Artificial Intelligence 人工知能に関する理事会勧告
THE COUNCIL, 理事会は:
HAVING REGARD to Article 5 b) of the Convention on the Organisation for Economic Co-operation and Development of 14 December 1960; 1960 年 12 月 14 日の経済協力開発機構条約の第 5(b)に鑑み、 
HAVING REGARD to standards developed by the OECD in the areas of privacy, digital security, consumer protection and responsible business conduct; プライバシー、デジタル・セキュリティ、消費者保護及び責任ある企業行動の分野で OECD が策定した標準に鑑み、
HAVING REGARD to the Sustainable Development Goals set out in the 2030 Agenda for Sustainable Development adopted by the United Nations General Assembly (A/RES/70/1) as well as the 1948 Universal Declaration of Human Rights; 国連総会で採択された持続可能な開発のための 2030 アジェンダで設定された持続可能な開発目標(A/RES/70/1)及び 1948 年の世界人権宣言に鑑み、 
HAVING REGARD to the important work being carried out on artificial intelligence (hereafter, “AI”) in other international governmental and non-governmental fora; その他の政府機関及び非政府団体が国際場裏において人工知能(以下、「AI」という)に関する重要な取組を行っていることに鑑み、
RECOGNISING that AI has pervasive, far-reaching and global implications that are transforming societies, economic sectors and the world of work, and are likely to increasingly do so in the future; AI が広範で多大な影響を世界的に及ぼし、社会や経済分野及び仕事の世界を変革させており、また、そのような影響が将来さらに強くなる可能性が高いことを認識し、
RECOGNISING that AI has the potential to improve the welfare and well-being of people, to contribute to positive sustainable global economic activity, to increase innovation and productivity, and to help respond to key global challenges; AI には、人々の福祉と幸福を増進し、確かで持続可能な世界の経済活動に貢献し、イノベーションと生産性を向上させるとともに、地球規模の重要な課題の解決の一助となる可能性があることを認識し、
RECOGNISING that, at the same time, these transformations may have disparate effects within, and between societies and economies, notably regarding economic shifts, competition, transitions in the labour market, inequalities, and implications for democracy and human rights, privacy and data protection, and digital security; それと同時に、これらの変革は、特に、経済のシフト、競争、労働市場の変化、格差、並びに民主主義と人権、プライバシーとデータの保護、及びデジタル・セキュリティに関して、社会及び経済の内部又は社会間及び経済間において本質的に異なる影響を与える可能性があることを認識し、
RECOGNISING that trust is a key enabler of digital transformation; that, although the nature of future AI applications and their implications may be hard to foresee, the trustworthiness of AI systems is a key factor for the diffusion and adoption of AI; and that a well-informed whole-of-society public debate is necessary for capturing the beneficial potential of the technology, while limiting the risks associated with it; 信頼がデジタル変革の成功要因であること、将来的な AI の利活用とその影響を予測することは難しいものの AI システムの信頼性が AI の普及と導入の鍵となる重要な要素であること、及びこのようなテクノロジーの有益な可能性を引き出しつつ関連するリスクを限定的なものにするためには十分な情報提供の下で社会全体で行われる開かれた議論が必要であることを認識し、
UNDERLINING that certain existing national and international legal, regulatory and policy frameworks already have relevance to AI, including those related to human rights, consumer and personal data protection, intellectual property rights, responsible business conduct, and competition, while noting that the appropriateness of some frameworks may need to be assessed and new approaches developed; 法律、規制、政策に係る国内及び国際的な既存の枠組については、人権、消費者及び個人データの保護、知的財産権、責任ある企業行動、並びに競争に関するものを含め、その妥当性の評価や新たなアプローチの開発が必要となる場合があるものの、既に AI との関連性を有することが示されていることを強調し、
RECOGNISING that given the rapid development and implementation of AI, there is a need for a stable policy environment that promotes a human-centric approach to trustworthy AI, that fosters research, preserves economic incentives to innovate, and that applies to all stakeholders according to their role and the context; AI の急速な発展と実装を踏まえ、信頼できる AI に対する人間中心のアプローチを推進し、研究を促進し、イノベーションのための経済的なインセンティブを保持し、かつその役割と状況に応じて全てのステークホルダーに対して適用される安定的な政策環境の必要性を認識し、
CONSIDERING that embracing the opportunities offered, and addressing the challenges raised, by AI applications, and empowering stakeholders to engage is essential to fostering adoption of trustworthy AI in society, and to turning AI trustworthiness into a competitive parameter in the global marketplace. AI の利活用がもたらす機会を歓迎するとともに、それによって生じる課題に対処すること、及びステークホルダーがこれらに関与するために必要な能力を身に付けることは、社会における信頼できる AI の導入の推進や、AI の信頼性が世界市場での競争力のパラメータとなっていくために不可欠なものであると考え、
On the proposal of the Digital Policy Committee: デジタル政策委員会の提案に対し: 
I.AGREES that for the purpose of this Recommendation the following terms should be understood as follows: I. 以下の用語については、本勧告の適用に当たり次のように理解されるべきものであることに同意する:
‒AI system: An AI system is a machine-based system that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments. Different AI systems vary in their levels of autonomy and adaptiveness after deployment. ‒ AIシステム:AIシステムは、明示的又は黙示的な目的のために、実環境又は仮想環境に影響を及ぼす、予測、コンテンツ、推奨、又は決定などの出力をどのように生成するか、受け取った入力内容から推論する機械ベースのシステムである。展開後の自律性と順応性のレベルは、AI システムによってそれぞれ異なる。 
‒AI system lifecycle: An AI system lifecycle typically involves several phases that include to: plan and design; collect and process data; build model(s) and/or adapt existing model(s) to specific tasks; test, evaluate, verify and validate; make available for use/deploy; operate and monitor; and retire/decommission. These phases often take place in an iterative manner and are not necessarily sequential. The decision to retire an AI system from operation may occur at any point during the operation and monitoring phase. ‒ AIシステムのライフサイクル:AIシステムのライフサイクルは、通常、計画と設計、データの収集と処理、(モデルの構築及び/又は既存のモデルの特定のタスクへの適合、テスト、評価、検証、妥当性確認、使用/展開のための利用可能化、稼働とモニタリング、稼働停止/終了など、いくつかの段階から構成される。これらの段階はしばしば相互に作用し合い、かつ必ずしも順番に実行されるものではない。AI システムの稼働を終了する決定は、稼働とモニタリングの段階のどの時点でも行われる可能性がある。
‒AI actors: AI actors are those who play an active role in the AI system lifecycle, including organisations and individuals that deploy or operate AI. ‒ AI アクター:AI アクターとは、AI システムのライフサイクルにおいて能動的な役割を果たす者であり、AI の展開又は稼働を行う組織や個人が含まれる。 
‒AI knowledge: AI knowledge refers to the skills and resources, such as data, code, algorithms, models, research, know-how, training programmes, governance, processes, and best practices required to understand and participate in the AI system lifecycle, including managing risks. ‒ AI ナレッジ(knowledge):AI ナレッジ(knowledge)とは、データ、コード、アルゴリズム、モデル、研究、ノウハウ、トレーニング・プログラム、ガバナンス、プロセス及びベスト・プラクティスなど、リスク管理を含めた AI システムのライフサイクルを理解し、これに参画するために必要となるスキル及びリソースを指している。
‒Stakeholders: Stakeholders encompass all organisations and individuals involved in, or affected by, AI systems, directly or indirectly. AI actors are a subset of stakeholders. ‒ ステークホルダー:ステークホルダーには、直接的なものであるか間接的なものであるかを問わず、AI システムに関与するか、又は AI システムから影響を受ける組織及び個人の全てが含まれる。AI アクターはステークホルダーの一部である。 
Section 1: Principles for responsible stewardship of trustworthy AI 第 1 節:信頼できる AI の責任あるスチュワードシップのための原則 
II.RECOMMENDS that Members and non-Members adhering to this Recommendation (hereafter the “Adherents”) promote and implement the following principles for responsible stewardship of trustworthy AI, which are relevant to all stakeholders. II. 本勧告を遵守する加盟国及び非加盟国(以下、「遵守国」という)に対し、全てのステークホルダーに関係する以下の「信頼できる AI の責任あるスチュワードシップのための原則」を推進かつ履行するよう勧告する。
III.CALLS ON all AI actors to promote and implement, according to their respective roles, the following principles for responsible stewardship of trustworthy AI. III. 全ての AI アクターが、それぞれの役割に応じ、以下の「信頼できる AI の責任あるスチュワードシップのための原則」を推進かつ履行するよう求める
IV.UNDERLINES that the following principles are complementary and should be considered as a whole. IV. 以下の原則は相互に補完的なものであり、全体でまとめて考慮されるものであることを強調する。
1.1. Inclusive growth, sustainable development and well-being 1.1. 包摂的な成長、持続可能な開発及び幸福 
Stakeholders should proactively engage in responsible stewardship of trustworthy AI in pursuit of beneficial outcomes for people and the planet, such as augmenting human capabilities and enhancing creativity, advancing inclusion of underrepresented populations, reducing economic, social, gender and other inequalities, and protecting natural environments, thus invigorating inclusive growth, well-being, sustainable development and environmental sustainability. ステークホルダーは、人間の能力の増強や創造性の向上、少数派の包摂の促進、経済・社会・性別その他の格差の改善、及び自然環境の保護などがもたらす包摂的な成長、幸福、持続可能な開発及び環境の持続可能性といった、人々と地球にとって有益な結果を追求することにより、信頼できる AI の責任あるスチュワードシップに積極的に取り組むべきである。
1.2. Respect for the rule of law, human rights and democratic values, including fairness and privacy 1.2. 法の支配、人権並びに公平性及びプライバシーを含む民主主義的価値の尊重 
a)AI actors should respect the rule of law, human rights, democratic and human-centred values throughout the AI system lifecycle. These include non-discrimination and equality, freedom, dignity, autonomy of individuals, privacy and data protection, diversity, fairness, social justice, and internationally recognised labour rights. This also includes addressing misinformation and disinformation amplified by AI, while respecting freedom of expression and other rights and freedoms protected by applicable international law. a) AI アクターは、AI システムのライフサイクルの全体を通じて、法の支配、人権並びに民主主義的及び人間中心の価値観を尊重すべきである。これらには、無差別及び平等、自由、尊厳、自主自律、プライバシーとデータの保護、多様性、公平性、社会正義及び国際的に承認された労働者の権利が含まれる。これには、適用される国際法によって保護された表現の自由及びその他の権利と自由を尊重しつつ、AI によって増幅された誤情報や偽情報に対処することも含まれる。
b)To this end, AI actors should implement mechanisms and safeguards, such as capacity for human agency and oversight, including to address risks arising from uses outside of intended purpose, intentional misuse, or unintentional misuse in a manner appropriate to the context and consistent with the state of the art. b) の目的を達成するため、AI アクターは、意図された目的外の使用や意図的な不正使用、または意図しない誤用などから生じるリスクに対処することも含め、人間の主体性や人間による監視の余地を残しておくことなど、状況に適した形で、かつ技術の水準を踏まえたメカニズム及びセーフガードを実装すべきである。
1.3. Transparency and explainability 1.3. 透明性及び説明可能性 
AI Actors should commit to transparency and responsible disclosure regarding AI systems. To this end, they should provide meaningful information, appropriate to the context, and consistent with the state of art: AI アクターは、AI システムに関する透明性及び責任ある開示に積極的に関与すべきである。これらを達成するため、AI アクターは、以下のために、状況に適した形で、かつ技術の水準を踏まえ、意味のある情報提供を行うべきである:
i.to foster a general understanding of AI systems, including their capabilities and limitations, i. AI システムの能力及び限界も含め、一般的な理解を深めること。
ii.to make stakeholders aware of their interactions with AI systems, including in the workplace, ii. 職場におけるものを含め、AI システムが使われていることをステークホルダーに認識してもらうこと。
iii.where feasible and useful, to provide plain and easy-to-understand information on the sources of data/input, factors, processes and/or logic that led to the prediction, content, recommendation or decision, to enable those affected by an AI system to understand the output, and, iii. そうすることが実行可能かつ有益な場合には、AI システムに影響される者がその出力を理解できるようにするため、予測、コンテンツ、推奨、又は決定をもたらしたデータ/入力情報の出所、要因、プロセス及び/又は理論に関して平明で理解しやすい情報を提供すること。
iv.to provide information that enable those adversely affected by an AI system to challenge its output. iv. AI システムの悪影響を受けた人々が出力に対する異議を申し立てることができるような情報を提供すること。
1.4. Robustness, security and safety 1.4. 頑健性、セキュリティ及び安全性 
a)AI systems should be robust, secure and safe throughout their entire lifecycle so that, in conditions of normal use, foreseeable use or misuse, or other adverse conditions, they function appropriately and do not pose unreasonable safety and/or security risks. a)  AI システムは、通常の使用、予見可能な使用や誤用、又はその他の悪条件においても正常に機能するとともに、不合理な安全上及び/又はセキュリティ上のリスクをもたらすことがないように、そのライフサイクル全体にわたって頑健で、セキュア、かつ安全であるべきである。
b)Mechanisms should be in place, as appropriate, to ensure that if AI systems risk causing undue harm or exhibit undesired behaviour, they can be overridden, repaired, and/or decommissioned safely as needed. b) AI システムが過度の損害を引き起こす又は望ましくない動作を示す危険性がある場合であって、適当な場合には、必要に応じてそれらをオーバーライド、修復、及び/又は安全に廃止できるようにするためのメカニズムを整備しておくべきである。
c)Mechanisms should also, where technically feasible, be in place to bolster information integrity while ensuring respect for freedom of expression. c)  また、技術的に可能な場合には、表現の自由を尊重しつつ情報インテグリティを強化するためのメカニズムも整備すべきである。
1.5. Accountability 1.5. アカウンタビリティ 
a)AI actors should be accountable for the proper functioning of AI systems and for the respect of the above principles, based on their roles, the context, and consistent with the state of the art. a) AI アクターは、その役割と状況に基づき、かつ技術の水準を踏まえた形で、AI システムが適正に機能していること及び上記の原則を尊重していることについて、アカウンタビリティを果たすべきである。
b)To this end, AI actors should ensure traceability, including in relation to datasets, processes and decisions made during the AI system lifecycle, to enable analysis of the AI system’s outputs and responses to inquiry, appropriate to the context and consistent with the state of the art. b) この目的のために、AI アクターは、AI システムの出力及び問合せに対する応答の分析を可能とするため、データセット、プロセス及び AI システムのライフサイクルの中で行われた決定に関するものを含めて、状況に適した形で、かつ技術の水準を踏まえたトレーサビリティを確保すべきである。
c)AI actors, should, based on their roles, the context, and their ability to act, apply a systematic risk management approach to each phase of the AI system lifecycle on an ongoing basis and adopt responsible business conduct to address risks related to AI systems, including, as appropriate, via co-operation between different AI actors, suppliers of AI knowledge and AI resources, AI system users, and other stakeholders. Risks include those related to harmful bias, human rights including safety, security, and privacy, as well as labour and intellectual property rights. c) AI アクターは、その役割、状況及び能力に基づき、系統化されたリスクマネジメントのアプローチを AI システムのライフスタイルの各段階に継続的に適用し、適当な場合には、異なる AI アクター、AI ナレッジと AI リソースの提供者、AI システムの利用者、その他のステークホルダー間の協力を通じるなどして、AI システムに関連するリスクに対応するための責任ある企業行動を採用すべきである。リスクには、有害なバイアスに加え、安全、セキュリティ及びプライバシーなどの人権、労働者の権利、知的財産権に関連するリスクが含まれる。
Section 2: National policies and international co-operation for trustworthy AI 第 2 節:信頼できる AI のための国家政策と国際協力 
V.RECOMMENDS that Adherents implement the following recommendations, consistent with the principles in section 1, in their national policies and international co-operation, with special attention to small and medium-sized enterprises (SMEs). V. 遵守国に対し、国内の政策及び国際的な協力に関し、中小企業(SME)に対する特別の注意を払いながら、第1節の原則と整合させつつ以下の勧告を実行するよう勧告する。 
2.1. Investing in AI research and development 2.1. AI の研究開発への投資 
a)Governments should consider long-term public investment, and encourage private investment, in research and development and open science, including interdisciplinary efforts, to spur innovation in trustworthy AI that focus on challenging technical issues and on AI-related social, legal and ethical implications and policy issues. a)  技術的に困難な課題や AI の社会的・法的・倫理的な影響と政策課題に焦点を当てた信頼できる AI のイノベーションを促進するため、各国政府は、学際的な取組を含め、研究開発やオープンサイエンスの分野で長期的な公共投資を検討し、かつ民間投資を奨励すべきである。 
b)Governments should also consider public investment and encourage private investment in open-source tools and open datasets that are representative and respect privacy and data protection to support an environment for AI research and development that is free of harmful bias and to improve interoperability and use of standards. b) また、各国政府は、有害なバイアスがない AI の研究開発のための環境を支援し、かつ相互運用性と技術標準の利用を向上させるため、代表性を有し、かつプライバシーとデータの保護を尊重するオープンソースのツールやオープンなデータセットに対する公共投資を検討し、かつ民間投資を奨励すべきである。 
2.2. Fostering an inclusive AI-enabling ecosystem 2.2. 包摂的な AI を推進するためのエコシステムの整備  
Governments should foster the development of, and access to, an inclusive, dynamic, sustainable, and interoperable digital ecosystem for trustworthy AI. Such an ecosystem includes inter alia, data, AI technologies, computational and connectivity infrastructure, and mechanisms for sharing AI knowledge, as appropriate. In this regard, governments should consider promoting mechanisms, such as data trusts, to support the safe, fair, legal and ethical sharing of data. 各国政府は、信頼できる AI のための包摂的でダイナミック、持続可能で相互運用可能なデジタル・エコシステムの開発及びそれへのアクセスを促進すべきである。このエコシステムには、適切である限りにおいて、特に、データ、AI 技術、計算及び接続性のためのインフラ並びに AI ナレッジを共有するためのメカニズムが含まれる。これに関連し、各国政府は、データ・トラストのような、安全、公平、適法、かつ倫理的なデータ共有のためのメカニズムに対する支援を検討すべきである。 
2.3. Shaping an enabling interoperable governance and policy environment for AI 2.3. AI を推進するための相互運用可能なガバナンス及び政策環境の形成  
a)Governments should promote an agile policy environment that supports transitioning from the research and development stage to the deployment and operation stage for trustworthy AI systems. To this effect, they should consider using experimentation to provide a controlled environment in which AI systems can be tested, and scaled-up, as appropriate. They should also adopt outcome-based approaches that provide flexibility in achieving governance objectives and co-operate within and across jurisdictions to promote interoperable governance and policy environments, as appropriate. a)  各国政府は、信頼できる AI システムの研究・開発段階から展開・稼働の段階への移行を支援するための機動的な政策環境整備を促進すべきである。この観点から、各国政府は、適切な限りにおいて、AI システムのテストや規模の拡張を可能とする制御された環境を提供する実証実験の利用を検討すべきである。また、適切な限りにおいて、ガバナンスの目的達成に向けて柔軟性を提供する結果ベースのアプローチを採用するとともに、各国の管轄権の及ぶ領域の内外で協力して相互運用可能なガバナンスと政策環境を促進すべきである。 
b)Governments should review and adapt, as appropriate, their policy and regulatory frameworks and assessment mechanisms as they apply to AI systems to encourage innovation and competition for trustworthy AI. b)  各国政府は、信頼できる AI のイノベーションと競争を奨励するため、適切な限りにおいて、AI システムに適用される政策や規制の枠組とその評価のメカニズムについて見直し、かつ状況に順応させるべきである。 
2.4. Building human capacity and preparing for labour market transformation 2.4. 人材育成及び労働市場の変化への備え 
a)Governments should work closely with stakeholders to prepare for the transformation of the world of work and of society. They should empower people to effectively use and interact with AI systems across the breadth of applications, including by equipping them with the necessary skills. a) 各国政府は、仕事の世界と社会全体の変化に備えるために、ステークホルダーと緊密に協働すべきである。政府は人々に必要なスキルを習得させるなどして、広範囲に適用される AI システムを人々が効果的に利用し、かつそれとうまく関わることができるようにすべきである。 
b)Governments should take steps, including through social dialogue, to ensure a fair transition for workers as AI is deployed, such as through training programmes along the working life, support for those affected by displacement, including through social protection, and access to new opportunities in the labour market. b) 各国政府は、AI の普及がもたらす労働市場の変化が労働者にとって公平なものであるようにするため、就労期間を通じたトレーニング・プログラム、社会的保護も含めた離職を余儀なくされた者の支援、かつ労働市場における新たな機会へのアクセス提供等を通じて、社会対話も含め、様々な措置を講じるべきである。 
c)Governments should also work closely with stakeholders to promote the responsible use of AI at work, to enhance the safety of workers, the quality of jobs and of public services, to foster entrepreneurship and productivity, and aim to ensure that the benefits from AI are broadly and fairly shared. c)  また、各国政府は、職場における AI の責任ある利用の推進、労働者の安全及び仕事と公共サービスの質の向上、並びに起業家精神と生産性の向上のため、かつ AI の恩恵が幅広くかつ公平に共有されることを目指して、ステークホルダーと密接に協働すべきである。 
2.5. International co-operation for trustworthy AI 2.5. 信頼できる AI のための国際協力 
a)Governments, including developing countries and with stakeholders, should actively co-operate to advance these principles and to progress on responsible stewardship of trustworthy AI. a) 開発途上国を含め、各国政府は、ステークホルダーとともに、本勧告が掲げる原則の推進、及び信頼できる AI の責任あるスチュワードシップの進展のために、積極的に協力すべきである。 
b)Governments should work together in the OECD and other global and regional fora to foster the sharing of AI knowledge, as appropriate. They should encourage international, cross-sectoral and open multi-stakeholder initiatives to garner long-term expertise on AI. b) 各国政府は、OECD 及びその他の国際的並びに地域的なフォーラムを通じ、適切な限りにおいて、AI ナレッジの共有を促進するために協働すべきである。こうしたフォーラムは、AI に関する長期的な専門性を確保するため、国際的、分野横断的、かつ開放的なマルチ・ステークホルダーによる取組を奨励すべきである。 
c)Governments should promote the development of multi-stakeholder, consensus-driven global technical standards for interoperable and trustworthy AI. c)  各国政府は、相互運用性を有し、また、信頼できる AI のため、マルチ・ステークホルダーの合意に基づく国際的な技術基準の開発を推進すべきである。 
d)Governments should also encourage the development, and their own use, of internationally comparable indicators to measure AI research, development and deployment, and gather the evidence base to assess progress in the implementation of these principles. d)  各国政府はさらに、AI の研究開発及び展開を計測するための国際的に比較可能な指標の開発と各国政府自身による利用とを奨励するとともに、本勧告が掲げる原則の履行の進捗をモニターするための土台となるエビデンスを収集すべきである。 
VI.INVITES the Secretary-General and Adherents to disseminate this Recommendation. VI. 事務総長と遵守国に対し、本勧告を広く普及させるよう求める。 
VII.INVITES non-Adherents to take due account of, and adhere to, this Recommendation. VII.  非遵守国に対し、本勧告を十分に考慮し、かつ遵守するよう求める。 
VIII.INSTRUCTS the Digital Policy Committee, through its Working Party on AI Governance, to: VIII. デジタル政策委員会に対して、AI ガバナンス作業部会を通して次の事項を行うよう指示する。すなわち: 
a)continue its important work on artificial intelligence building on this Recommendation and taking into account work in other international fora, and to further develop the measurement framework for evidence-based AI policies; a) 本勧告を踏まえ、また、他の国際場裏における取組を考慮しつつ、本委員会におけるAIに関する重要な作業を継続し、エビデンスに基づいた AI政策の計測に係る枠組の開発をさらに進めていくこと。 
b)develop and iterate further practical guidance on the implementation of this Recommendation to meet evolving developments and new policy priorities; b) 状況の変化と新たな政策優先事項に対応するため、本勧告の履行のためのさらに実用的なガイダンスを作成及び更新すること。 
c)provide a forum for exchanging information on AI policy and activities including experience with the implementation of this Recommendation, and to foster multi-stakeholder and interdisciplinary dialogue to promote trust in and adoption of AI; and c) AI に関する政策や取組について、本勧告の履行に係る実例を含め、情報交換のためのフォーラムを提供するとともに、AI の信頼と導入を推進するためにマルチ・ステークホルダーかつ学際的な意見交換を促進すること。 
d)report to Council, in consultation with other relevant committees, on the implementation, dissemination and continued relevance of this Recommendation no later than five years following its revision and at least every ten years thereafter. d) 関係する他の委員会と協議した上で、本勧告の改訂後 5 年以内、及び少なくともその後10 年毎に、本勧告の履行、普及、継続的な関連性について理事会に報告すること。 

 

 

背景情報...

Background information 背景情報
The Recommendation on Artificial Intelligence (AI) (hereafter the “Recommendation”) – the first intergovernmental standard on AI – was adopted by the OECD Council meeting at Ministerial level on 22 May 2019 on the proposal of the Digital Policy Committee (DPC, formerly the Committee on Digital Economy Policy, CDEP). The Recommendation aims to foster innovation and trust in AI by promoting the responsible stewardship of trustworthy AI while ensuring respect for human rights and democratic values. In June 2019, at the Osaka Summit, G20 Leaders welcomed the G20 AI Principles, drawn from the Recommendation.  人工知能(AI)に関する勧告(以下、「勧告」)は、AIに関する初の政府間標準であり、デジタル政策委員会(DPC、旧デジタル経済政策委員会、CDEP)の提案に基づき、2019年5月22日に閣僚級で開催されたOECD理事会で採択された。この勧告は、人権と民主的価値の尊重を確保しつつ、信頼できるAIの責任ある管理を促進することにより、AIにおけるイノベーションと信頼を促進することを目的としている。2019年6月、大阪サミットでG20首脳は、勧告から導き出されたG20 AI原則を歓迎した。
The Recommendation was revised by the OECD Council on 8 November 2023 to update its definition of an “AI System”, in order to ensure the Recommendation continues to be technically accurate and reflect technological developments, including with respect to generative AI. On the basis of the 2024 Report to Council on its implementation, dissemination and continued relevance, the Recommendation was revised by the OECD Council meeting at Ministerial level on 3 May 2024 to reflect technological and policy developments, including with respect to generative AI, and to further facilitate its implementation. この勧告は、2023年11月8日にOECD理事会により改訂され、「AIシステム」の定義を 更新した。これは、この勧告が技術的に正確であり続け、生成的AIを含む技術開発を 反映していることを保証するためである。その実施、普及、継続的妥当性に関する2024年理事会報告書に基づき、2024年5月3日に閣僚級で開催されたOECD理事会により、生成的AIを含む技術的・政策的発展を反映し、その実施をさらに促進するために、勧告が改訂された。
The OECD’s work on Artificial Intelligence 人工知能に関するOECDの取り組み
Artificial Intelligence (AI) is a general-purpose technology that has the potential to: improve the welfare and well-being of people, contribute to positive sustainable global economic activity, increase innovation and productivity, and help respond to key global challenges. It is deployed in many sectors ranging from production, education, finance and transport to healthcare and security. 人工知能(AI)は、人々の福祉と幸福を向上させ、持続可能なグローバル経済活動に貢献し、イノベーションと生産性を高め、主要なグローバル課題への対応を支援する可能性を持つ汎用技術である。生産、教育、金融、輸送から医療、安全保障に至るまで、多くの分野で導入されている。
Alongside benefits, AI also raises challenges for our societies and economies, notably regarding economic shifts and inequalities, competition, transitions in the labour market, and implications for democracy and human rights. AIの恩恵と同時に、AIは我々の社会と経済に課題も提起している。特に、経済のシフトと不平等、競争、労働市場の移行、民主主義と人権への影響などである。
The OECD has undertaken empirical and policy activities on AI in support of the policy debate since 2016, starting with a Technology Foresight Forum on AI that year, followed by an international conference on AI: Intelligent Machines, Smart Policies in 2017. The Organisation also conducted analytical and measurement work that provides an overview of the AI technical landscape, maps economic and social impacts of AI technologies and their applications, identifies major policy considerations, and describes AI initiatives from governments and other stakeholders at national and international levels. OECDは、2016年以降、政策論議を支援するため、AIに関する実証的・政策的活動を実施しており、同年のAIに関するテクノロジー・フォーサイト・フォーラムに始まり、2017年には「AI:インテリジェント・マシン、スマートな政策」に関する国際会議を開催した。ガバナンスはまた、AIの技術的状況の概要を提供する分析・測定作業、AI技術とその応用による経済的・社会的影響のマッピング、主要な政策上の検討事項の特定、政府および国内・国際レベルの他の利害関係者によるAIの取り組みについての説明も行った。
This work has demonstrated the need to shape a stable policy environment at the international level to foster trust in and adoption of AI in society. Against this background, the OECD Council adopted, on the proposal of DPC, a Recommendation to promote a human-centred approach to trustworthy AI, that fosters research, preserves economic incentives to innovate, and applies to all stakeholders. この作業により、社会におけるAIへの信頼と導入を促進するために、国際レベルで安定した政策環境を形成する必要性が示された。このような背景から、OECD理事会はDPCの提案に基づき、研究を促進し、イノベーションへの経済的インセンティブを維持し、すべての利害関係者に適用される、信頼できるAIへの人間中心のアプローチを促進するための勧告を採択した。
An inclusive and participatory process for developing the Recommendation 包括的かつ参加型の勧告策定プロセス
The development of the Recommendation was participatory in nature, incorporating input from a broad range of sources throughout the process. In May 2018, the DPC agreed to form an expert group to scope principles to foster trust in and adoption of AI, with a view to developing a draft Recommendation in the course of 2019. The informal AI Group of experts at the OECD was subsequently established, comprising over 50 experts from different disciplines and different sectors (government, industry, civil society, trade unions, the technical community and academia) - see[web] for the full list. Between September 2018 and February 2019 the group held four meetings. The work benefited from the diligence, engagement and substantive contributions of the experts participating in the group, as well as from their multi-stakeholder and multidisciplinary backgrounds. 勧告の策定は参加型であり、プロセス全体を通じて幅広い情報源からの意見を取り入れた。2018年5月、ドラフト委員会は、2019年中に勧告案を作成することを視野に入れ、AIへの信頼と導入を促進するための原則を検討する専門家グループを結成することに合意した。その後、OECDの非公式なAI専門家グループが設立され、さまざまな分野、さまざまなセクター(政府、産業界、市民社会、労働組合、技術コミュニティ、学界)の50人以上の専門家で構成された-全リストは[web]を参照。2018年9月から2019年2月にかけて、同グループは4回の会合を開催した。この作業は、グループに参加した専門家の勤勉さ、関与、実質的な貢献だけでなく、マルチステークホルダーで学際的な背景からも恩恵を受けた。
Drawing on the final output document of the informal group, a draft Recommendation was developed in the DPC and with the consultation of other relevant OECD bodies and approved in a special meeting on 14-15 March 2019. The OECD Council adopted the Recommendation at its meeting at Ministerial level on 22-23 May 2019. 非公式グループの最終アウトプット文書に基づき、DPCおよび他のOECD関連団体の協議を経て勧告案が作成され、2019年3月14~15日の特別会合で承認された。OECD理事会は2019年5月22~23日の閣僚級会合でこの勧告を採択した。
Scope of the Recommendation  勧告の範囲 
Complementing existing OECD standards already relevant to AI – such as those on privacy and data protection, digital security risk management, and responsible business conduct – the Recommendation focuses on policy issues that are specific to AI and strives to set a standard that is implementable and flexible enough to stand the test of time in a rapidly evolving field. The Recommendation contains five high-level values-based principles and five recommendations for national policies and international co-operation. It also proposes a common understanding of key terms, such as “AI system”, “AI system lifecycle”, and “AI actors”, for the purposes of the Recommendation. プライバシー・データ保護、デジタル・セキュリティ・リスク管理、責任ある企業行動など、すでにAIに関連する既存のOECD基準を補完するものであるが、本勧告はAIに特有な政策課題に焦点を当て、急速に進化する分野において時の試練に耐えうるよう、実施可能かつ柔軟な標準を設定するよう努めている。勧告には、ハイレベルの価値観に基づく5つの原則と、各国の政策や国際協力に関する5つの勧告が含まれている。また、「AIシステム」、「AIシステム・ライフサイクル」、「AIアクター」といった重要な用語の共通理解も提案している。
More specifically, the Recommendation includes two substantive sections: より具体的には、勧告には2つの実質的なセクションがある:
1. Principles for responsible stewardship of trustworthy AI: the first section sets out five complementary principles relevant to all stakeholders: i) inclusive growth, sustainable development and well-being; ii) respect for the rule of law, human rights and democratic values, including fairness and privacy; iii) transparency and explainability; iv) robustness, security and safety; and v) accountability. This section further calls on AI actors to promote and implement these principles according to their roles. 信頼できるAIの責任ある管理のための原則:最初のセクションでは、すべてのステークホルダーに関連する5つの補完的原則を定めている:i) 包括的な成長、持続可能な開発、幸福; ii) 公平さとプライバシーを含む、法の支配、人権、民主的価値の尊重。iii) 透明性と説明可能性 iv) 堅牢性、セキュリティ、安全性、および v) 説明責任 さらに本セクションでは、AI関係者に対し、それぞれの役割に応じてこれらの原則を推進・実施するよう求める。
2. National policies and international co-operation for trustworthy AI: consistent with the five aforementioned principles, the second section provides five recommendations to Members and non-Members having adhered to the Recommendation (hereafter the “Adherents”) to implement in their national policies and international co-operation: i) investing in AI research and development; ii) fostering an inclusive AI-enabling ecosystem; iii) shaping an enabling interoperable governance and policy environment for AI; iv) building human capacity and preparing for labour market transformation; and v) international co-operation for trustworthy AI. 信頼できるAIのための国家政策と国際協力:前述の5つの原則に基づき、第2章では、勧告を順守した加盟国および非加盟国(以下、「順守国」)に対し、国家政策と国際協力において実施すべき5つの勧告を提示する: i) AIの研究開発に投資する; ii) AIを可能にする包括的なエコシステムを育成する; iii) AIを可能にする相互運用可能なガバナンスと政策環境を形成する; iv) 人的能力の構築と労働市場の変革に備える。v) 信頼できるAIのための国際協力
2023 and 2024 Revisions of the Recommendation  2023年および2024年の勧告改定 
In 2023, a window of opportunity was identified to maintain the relevance of the Recommendation by updating its definition of an “AI System”, and the DPC approved a draft revised definition in a joint session of the Committee and its Working Party on AI Governance (AIGO) on 16 October 2023. The OECD Council adopted the revised definition of “AI System” at its meeting on 8 November 2023. The update of the definition included edits aimed at:  2023年、「AIシステム」の定義を更新することにより、勧告の妥当性を維持する機会の窓が特定され、ドラフト委員会は2023年10月16日、同委員会とそのAIガバナンスに関する作業部会(AIGO)の合同会合において、定義の改訂案を承認した。OECD理事会は2023年11月8日の会合で「AIシステム」の改訂定義を採択した。定義の更新には、以下を目的とした編集が含まれる: 
・clarifying the objectives of an AI system (which may be explicit or implicit); ・AIシステムの目的(明示的または暗黙的)を明確にする;
・underscoring the role of input which may be provided by humans or machines; ・人間または機械によってプロバイダされる入力の役割を強調する;
・clarifying that the Recommendation applies to generative AI systems, which produce “content”; ・この勧告は、「コンテンツ」を生成する生成的AIシステムに適用されることを明確にする;
・substituting the word “real” with “physical” for clarity and alignment with other international processes; ・明確性と他の国際的プロセスとの整合性のため、"real "を "physical "に置き換える;
・reflecting the fact that some AI systems can continue to evolve after their design and deployment. ・AIシステムの中には、設計・配備後も進化し続けるものがあるという事実を反映する。
In line with the conclusions of the 2024 Report to Council, the Recommendation was further revised at the 2024 Meeting of the Council at Ministerial level to maintain its continued relevance and facilitate its implementation five years after its adoption. Specific updates aimed at:  2024年理事会報告書の結論に沿い、この勧告は2024年理事会閣僚級会合でさらに改訂され、その継続的な妥当性を維持し、採択から5年後の実施を促進した。具体的な更新の目的は以下の通りである: 
・reflecting the growing importance of addressing misinformation and disinformation, and safeguarding information integrity in the context of generative AI;  誤情報や偽情報への対応、生成的AIの文脈における情報の完全性を守ることの重要性の高まりを反映する; 
・addressing uses outside of intended purpose, intentional misuse, or unintentional misuse;  ・意図された目的以外の使用、意図的な誤用、意図しない誤用に対処する; 
・clarifying the information AI actors should provide regarding AI systems to ensure transparency and responsible disclosure; ・透明性と責任ある情報開示を確保するため、AIシステムに関してAIアクターが提供すべき情報を明確にする;
・addressing safety concerns, so that if AI systems risk causing undue harm or exhibit undesired behaviour, they can be overridden, repaired, and/or decommissioned safely by human interaction; ・AIシステムが不当な危害をもたらすリスクや望ましくない挙動を示した場合、人間の操作によって安全に無効化、修復、および/または廃止できるように、安全性への懸念に対処する;
・emphasising responsible business conduct throughout the AI system lifecycle, involving co-operation with suppliers of AI knowledge and AI resources, AI system users, and other stakeholders, ・AIの知識やAIのリソースの供給者、AIシステムの利用者、その他の利害関係者と協力し、AIシステムのライフサイクル全体を通じて責任ある事業活動を行うことを強調する、
・underscoring the need for jurisdictions to work together to promote interoperable governance and policy environments for AI, against the increase in AI policy initiatives worldwide, and ・世界的なAI政策イニシアチブの増加に対して、AIに関する相互運用可能なガバナンスと政策環境を促進するために、管轄区域が協力する必要性を強調する。
・introducing an explicit reference to environmental sustainability, of which the importance has grown considerably since the adoption of the Recommendation in 2019. ・2019年の勧告採択以来、その重要性が大幅に高まっている環境の持続可能性についての明確な言及を導入する。
Furthermore, some of the headings of the principles and recommendations were expanded for clarity, and the text on traceability and risk management was further elaborated and moved to the “Accountability” principle as the most appropriate principle for these concepts.  さらに、原則と勧告の見出しの一部を明確化するために拡大し、トレーサビリティとリスクマネジメントに関する文章をさらに精緻化し、これらの概念に最も適した原則である「説明責任」の原則に移した。

 

 


 

閣僚声明...

 

OECD

・2024.05 OECD Ministerial Council Meeting 2024

OECD Ministerial Council Meeting 2024 2024年OECD閣僚理事会
CO-CREATING THE FLOW OF CHANGE:  変化の流れを共創する 
Leading Global Discussions with Objective and Reliable Approaches Towards Sustainable and Inclusive Growth 持続可能で包括的な成長に向けて、客観的で信頼できるアプローチでグローバルな議論をリードする
Governments are facing complex and interrelated issues ranging from climate change and digitalisation, to the economic and social impacts of population ageing, to challenges to the rule of law. These are shared challenges that are best tackled together.  ガバナンスは、気候変動やデジタル化から、高齢化の経済的・社会的影響、法の支配への挑戦に至るまで、複雑で相互に関連する問題に直面している。これらは、共に取り組むことが最善である共通の課題である。
Effective policy cooperation on the strong foundation of evidence-based best practice and multilateral dialogue is essential and the 2024 OECD Ministerial Council Meeting is an opportunity to engage in high-level discussions among Members and non-Members on the issues critical to today’s international community.  エビデンスに基づくベスト・プラクティスと多国間対話という強固な基盤に基づく効果的な政策協力が不可欠であり、2024年OECD閣僚理事会は、今日の国際社会にとって重要な課題について、加盟国・非加盟国間でハイレベルの議論を行う機会となる。
The theme for the 2024 MCM on “Leading Global Discussions with Objective and Reliable Approaches towards Sustainable and Inclusive Growth” comprises three overarching pillars:  2024年MCMのテーマである「持続可能で包摂的な成長に向けた客観的かつ信頼できるアプローチでグローバルな議論をリードする」は、3つの包括的な柱からなる: 
• A Diverse, Inclusive, and Likeminded OECD: Strengthening the Outreach of our Work.  ・多様で,包括的で,好意的なOECD: 我々の活動のアウトリーチを強化する。
• An Economic Order based on the Shared Values: Firmly Maintaining Free and Fair Trade and Enhancing Economic Resilience.  ・共通の価値観に基づく経済秩序: 自由で公正な貿易を堅持し,経済のレジリエンスを高める。
• Co-creating a Better Future: Addressing Emerging Challenges at Global Scale.  ・より良い未来を共同創造する: グローバル規模で新たな課題に取り組む。
The 2024 MCM will further leverage the strengths of the OECD to support policymakers around the world to develop sound and well-coordinated policy responses to each of the structural shifts in front of us, grounded in our shared values of democracy, the protection of human rights, the rule of law and market-based economic principles. A renewed commitment to strong and effective multilateralism, with the OECD at the centre of global cooperation, will help promote global efforts to co-create better policies for better lives and a better future.  2024年MCMは、OECDの強みをさらに活用し、民主主義、人権擁護、法の支配、市場経済原則という共通の価値観に立脚しつつ、世界中の政策立案者が、目の前の構造転換のそれぞれに対して、健全かつ十分に調整された政策対応を展開できるよう支援する。OECDをグローバルな協力の中心に据え、強力かつ効果的な多国間主義への新たなコミットメントは、より良い生活とより良い未来のために、より良い政策を共創するためのグローバルな努力を促進する助けとなるであろう。
The 2024 MCM, chaired by Japan, with Mexico and the Netherlands as Vice-Chairs, will take place on 2 and 3 May 2024 at the OECD Headquarters in Paris.  2024年のMCMは、日本が議長を務め、メキシコとオランダが副議長として、2024年5月2日と3日にパリのOECD本部で開催される。

 

・[PDF]

20240507-62659

 

仮訳(機械翻訳..)

CO-CREATING THE FLOW OF CHANGE: LEADING GLOBAL DISCUSSIONS WITH OBJECTIVE AND RELIABLE APPROACHES TOWARDS SUSTAINABLE AND INCLUSIVE GROWTH  変化の流れを共創する:持続可能で包摂的な成長に向けた客観的で信頼できるアプローチでグローバルな議論をリードする 
On the occasion of the 2024 OECD Ministerial Council Meeting, we[1] assembled on 2-3 May 2024 under the leadership of Japan as MCM Chair, on the 60th anniversary of its accession to the OECD, and as Vice Chairs the Netherlands, and Mexico celebrating its 30th anniversary of membership, on the theme of “Co-creating the Flow of Change: Leading Global Discussions with Objective and Reliable Approaches towards Sustainable and Inclusive Growth.”  2024年OECD閣僚理事会に際し、我々は[1]、「変化の流れを共創する」をテーマに、OECD加盟60周年を迎えた日本がMCM議長として、また、加盟30周年を迎えたオランダとメキシコが副議長として、2024年5月2-3日に集った: 持続可能で包摂的な成長に向けて、客観的で信頼できるアプローチでグローバルな議論をリードする。" 
1. As set out in the 2021 Vision Statement, we form a like-minded community committed to shared values of individual liberty, democracy, open and transparent markets, the rule of law, protection of human rights, gender equality, environmental sustainability, tackling inequalities, promoting diversity and social inclusion. Our work is underpinned by the OECD’s distinctive capability for objective and highly reliable evidence-based analysis, standards and robust peer reviews to address the global challenges of our time.  1. 2021年ビジョン・ステートメントにあるように、私たちは、個人の自由、民主主義、オープンで透明性の高い市場、法の支配、人権の保護、男女平等、環境の持続可能性、不平等への取り組み、多様性の促進、社会的包摂といった共通の価値観にコミットする志を同じくするコミュニティを形成している。私たちの活動は、客観的で信頼性の高い証拠に基づく分析、標準、そして確固たるピアレビューというOECDの特徴的な能力によって支えられており、現代のグローバルな課題に取り組んでいる。
2. The macroeconomic situation is of modest growth with significant uncertainties surrounding disinflation pace and geopolitical tensions, which are affecting not only the economy, but society as a whole. In this context, we will address a wide range of social challenges such as demographic change, climate change, digital divides, and inequalities, to achieve sustainable economic growth, while dealing with fiscal challenges. We will also seek to build a sustainable and inclusive economy and society where all, including vulnerable groups, can experience prosperity and better lives. In order to achieve such a society while aiming at transforming initiatives to solve social challenges into engines for growth, we recognise the importance of improving productivity and quality of employment, as well as promoting science, technology and innovation through boosting investment, including in human capital such as education and skills training and R&D. We also reaffirm the importance of the digital and green transformations through wider applications of new technologies, fostering startups and supporting SMEs, striving to ensure free and fair trade, enhancing people’s well-being, and achieving gender equality and social and digital inclusion.  2. マクロ経済の状況は、緩やかな成長であり、ディスインフレ・ペースや地政学的緊張をめぐる重大な不確実性が、経済のみならず社会全体に影響を及ぼしている。このような状況の中、人口動態の変化、気候変動、デジタルデバイド(情報格差)、不平等など幅広い社会的課題に取り組み、財政的課題に対処しつつ、持続可能な経済成長を実現する。また、脆弱性を含む全ての人々が豊かさとより良い生活を実感できる、持続可能で包摂的な経済社会の構築を目指す。社会的課題の解決に向けた取組を成長の原動力へと転換することを目指しながら、そのような社会を実現するために、我々は、教育・技能訓練や研究開発などの人的資本への投資を強化することを通じて、科学・技術・イノベーションを促進するとともに、生産性や雇用の質を改善することの重要性を認識する。また、我々は、新技術の広範な応用、新興企業の育成と中小企業の支援、自由で公正な貿易の確保、人々の福利の向上、男女平等と社会的・デジタル的包摂の達成を通じた、デジタルとグリーンの変革の重要性を再確認する。
3. We condemn Russia’s aggression against Ukraine in the strongest possible terms. Russia’s unjustifiable and unprovoked war against Ukraine is a clear violation of international law and a serious threat to the rules-based international order. Russia’s war has caused human suffering, disrupted global supply chains, and diminished energy and food security worldwide. We reaffirm our commitment to support the people and democratically elected government of Ukraine and reiterate our firm commitment to Ukraine’s recovery and reconstruction including through the OECD Ukraine Country Programme, as part of an initial accession dialogue. We continue to work with the Ukrainian authorities, and in coordination with other international actors, and look forward to a successful outcome from the Ukraine Recovery Conference in Berlin in June.  3. 我々は、ウクライナに対するロシアの侵略を最も強い言葉で非難する。ロシアのウクライナに対する不当かついわれのない戦争は、明白な国際法違反であり、ルールに基づく国際秩序に対する深刻な脅威である。ロシアの戦争は、人的被害を引き起こし、世界のサプライチェーンを混乱させ、世界中のエネルギーと食糧の安全保障を低下させている。我々は、ウクライナの国民と民主的に選出された政府を支援するという我々のコミットメントを再確認し、最初の加盟対話の一環として、OECDウクライナ国別プログラムを含め、ウクライナの復興と再建に向けた我々の確固たるコミットメントを改めて表明する。我々は、引き続きウクライナ当局と協力し、また他の国際的アクターと協調して、6月にベルリンで開催されるウクライナ回復会議が成功裏に終わることを期待する。
4. We express deep concern about the negative economic and social impacts of the evolving conflicts in the Middle East.  4. 我々は、中東における紛争の進展が経済・社会に及ぼす悪影響について深い懸念を表明する。
5. In an increasingly complex geopolitical environment, we welcome the OECD’s increased global outreach and engagement, and its efforts to bridge advanced, emerging and developing economies in addressing global challenges and ensuring the OECD remains a relevant and impactful organisation. We will strengthen the OECD’s engagement with the United Nations in support of effective multilateralism. We strongly welcome the adoption of Argentina Accession Roadmap, along with the ongoing accession processes for Brazil, Bulgaria, Croatia, Peru and Romania. We will continue our collaboration with Key Partners and others, including through Regional and Country Programmes, emphasizing our engagement across diverse regions such as Southeast Asia, South East Europe, Middle East and North Africa (MENA), Latin America and the Caribbean (LAC) and Eurasia. We commit to further strengthening our cooperation with Africa through the implementation of the OECD-Africa Partnership, building on the signing of the Memorandum of Understanding (MOU) with the African Union and the launch of the African Virtual Investment Platform (AfVIP), to promote shared prosperity through sustainable and inclusive development. We will continue to contribute to global governance through our active engagement with the G20, G7 and APEC. We remain open to future requests for membership from all regions.  5. 複雑化する地政学的環境において、我々は、OECDが世界的なアウトリーチと関与を強化し、世界的な課題に取り組む先進国、新興国、途上国の架け橋となり、OECDが適切かつ影響力のある組織であり続けるための努力を行っていることを歓迎する。我々は、効果的な多国間主義を支援するため、OECDの国連への関与を強化する。我々は、ブラジル、ブルガリア、クロアチア、ペルー、ルーマニアの現在進行中の加盟プロセスとともに、アルゼンチン加盟ロードマップの採択を強く歓迎する。我々は、東南アジア、南東ヨーロッパ、中東・北アフリカ(MENA)、ラテンアメリカ・カリブ海地域(LAC)、ユーラシア等の多様な地域にわたる我々の関与を強調しつつ、地域及び国別プログラムを通じたものを含め、主要パートナー等との協力を継続する。我々は、持続可能で包摂的な開発を通じて共通の繁栄を促進するため、アフリカ連合との了解覚書(MOU)の調印とアフリカ仮想投資プラットフォーム(AfVIP)の立ち上げを基礎として、OECDアフリカ・パートナーシップの実施を通じてアフリカとの協力をさらに強化することを約束する。我々は、G20、G7、APECへの積極的な関与を通じて、グローバル・ガバナンスに貢献し続ける。我々は、すべての地域からの将来の加盟要請に対して引き続きオープンである。
6. We reaffirm the strategic priority of the Indo-Pacific region with a view to identifying countries for potential membership and renew our commitments to the region on the occasion of the 10th anniversary of the OECD Southeast Asia Regional Programme (SEARP). Since the launch of SEARP in 2014, OECD co-operation with the Indo-Pacific has continued to strengthen and deepen through Country Programmes, Joint Work Programmes and regional networks. Building on this long-standing collaboration, we strongly welcome the historic decision to open accession discussions with Indonesia and adoption of the Accession Roadmap. We welcome Thailand’s request to join the Organisation. We welcome the revision of the MOU with the Economic Research Institute for ASEAN and East Asia (ERIA) which strengthens OECD engagement in the region. We welcome the Implementation Plan for the OECD Strategic Framework for the Indo-Pacific, and commit to the promotion of global outreach and further dissemination of wide-ranging OECD standards and best practices in the IndoPacific region through its implementation. We will strive to enhance cooperation with the Association of Southeast Asian Nations (ASEAN) and other international organisations in the region.  6. 我々は、加盟候補国の特定を視野に入れたインド太平洋地域の戦略的優先順位を再確認し、OECD東南アジア地域プログラム(SEARP)の10周年を機に、同地域に対する我々のコミットメントを更新する。2014年のSEARP発足以来、OECDのインド太平洋地域に対する協力は、国別プログラム、共同作業プログラム、地域ネットワークを通じて強化・深化を続けてきた。このような長年の協力関係を基礎として、我々は、インドネシアとの加盟協議を開始する歴史的な決定と加盟ロードマップの採択を強く歓迎する。我々は、タイからの加盟要請を歓迎する。我々は、域内におけるOECDの関与を強化するASEAN・東アジア経済研究所(ERIA)とのMOUの改訂を歓迎する。我々は、インド太平洋のためのOECD戦略的枠組みに関する実施計画を歓迎し、その実施を通じて、インド太平洋地域におけるグローバルなアウトリーチの促進と、広範なOECDの標準とベスト・プラクティスの更なる普及にコミットする。我々は、東南アジア諸国連合(ASEAN)及び域内の他の国際機関との協力の強化に努める。
7. We reaffirm our continued commitment to maintaining and strengthening the rules-based, inclusive, free and fair multilateral trading system, with the World Trade Organization (WTO) at its core. We reaffirm our commitments to WTO reform at the thirteenth WTO Ministerial Conference (MC13) which demonstrated the importance of strengthening and improving all the functions of the WTO, so that it can effectively respond to today’s key global trade challenges. We will accelerate discussions on Dispute Settlement reform with a view to having a fully and well-functioning dispute settlement system accessible to all Members by 2024. We encourage all WTO members to promptly finalise their domestic processes to formally accept the WTO Agreement on Fisheries Subsidies so that it enters into force, and to conclude the negotiations on additional provisions, to reach a comprehensive agreement as soon as possible. We recognise the need for all WTO members to work towards a meaningful outcome on agriculture reform at MC14, in line with Article 20 of the Agreement on Agriculture. We support the ongoing work of the WTO and emphasise the role of the OECD in helping governments addressing challenges in areas such as development, the environment, small economies, micro, small and medium-sized enterprises, and gender equality. We welcome the decision to continue to reinvigorate the Work Programme on Electronic Commerce and to maintain the moratorium on customs duties on electronic transmissions as decided at MC13, which provides certainty and predictability for the digital economy. We also commit to working towards the conclusion of negotiations of the Joint Statement Initiative (JSI) on E-Commerce by the summer. We value the substantive work of the OECD on digital trade. We further welcome OECD work on level playing field. In this regard, as a leading norm to enhance transparency and accountability of state-owned enterprises (SOEs), we adopt the revised OECD Recommendation on Guidelines on Corporate Governance of State-Owned Enterprises (SOEs) and we recognise the importance of their implementation by both OECD Members and non-Members. We also recognise the importance of global level playing field and addressing non-market policies and practices, which in turn support well-functioning markets underpinned by a rules-based system. We will continue our discussions on gaps between the existing WTO rules and real-world situations to secure a global level playing field including in relation to industrial subsidies and forced technology transfer. We welcome the implementation of the revised OECD Arrangement on Officially Supported Export Credits incorporating more flexible financing terms and conditions including for climate-friendly transactions, while ensuring a level playing field.  7. 我々は、世界貿易機関(WTO)を中核とする、ルールに基づく、包摂的で自由かつ公正な多国間貿易システムの維持・強化に対する我々の継続的なコミットメントを再確認する。我々は、WTOが今日の主要な世界貿易上の課題に効果的に対応できるよう、WTOの全ての機能を強化し改善することの重要性を示した第13回WTO閣僚会議(MC13)におけるWTO改革への我々の対応を再確認する。我々は、2024年までに全ての加盟国が利用可能な完全かつ十分に機能する紛争解決システムを有することを目指し、紛争解決改革に関する議論を加速させる。我々は、全てのWTO加盟国に対し、漁業補助金に関するWTO協定を正式に受諾し、発効させるための国内プロセスを速やかに完了させ、追加的な条項に関する交渉を妥結させ、可能な限り早期に包括的な協定に到達することを奨励する。我々は、全てのWTO加盟国が、農業に関する協定の第20条に則り、MC14において農業改革に関する有意義な成果に向けて努力する必要性を認識する。我々は、WTOの継続的な作業を支持するとともに、開発、環境、小規模経済、零細・中小企業、ジェンダー平等などの分野における課題に取り組む政府を支援するOECDの役割を強調する。我々は、電子商取引に関する作業計画の再活性化を継続し、デジタル経済に確実性と予測可能性を提供する、MC13で決定された電子通信に対する関税のモラトリアムを維持するとの決定を歓迎する。我々はまた、夏までに電子商取引に関する共同声明イニシアティブ(JSI)の交渉妥結に向けて努力することを約束する。我々は、デジタル貿易に関するOECDの実質的な作業を評価する。我々はさらに、公平な競争条件に関するOECDの作業を歓迎する。この観点から、国有企業(SOEs)の透明性と説明責任を強化するための主導的規範として、我々は、国有企業(SOEs)のコーポレート・ガバナンスに関するガイドラインに関するOECD勧告の改訂版を採択し、OECD加盟国と非加盟国の双方によるその実施の重要性を認識する。我々はまた、グローバルな公平な競争条件と、非市場的な政策及び慣行への取組みの重要性を認識する。我々は、産業補助金及び強制的な技術移転との関連も含め、グローバルな公平な競争条件を確保するため、既存のWTOルールと現実の状況との間のギャップに関する議論を継続する。我々は、公平な競争条件を確保しつつ、気候変動に配慮した取引を含む、より柔軟な融資条件を組み込んだ、公的支援輸出クレジットに関するOECDアレンジメントの改訂版の実施を歓迎する。
8. We affirm our commitment to enhancing cooperation on economic resilience and economic security through inter alia reducing vulnerabilities and countering practices that undermine international rules and norms. We recognise that the Principles on Resilient and Reliable Supply Chains, comprised of transparency, diversification, security, sustainability, and trustworthiness and reliability, are essential principles on which to build resilient supply chains among trusted partners, and we will work together to secure sustainable, reliable and trustworthy sources for strategic goods, including critical minerals essential for the green and digital transformations. We express serious concern over economic coercion, and call on all countries to refrain from its use which infringes upon the international order, centered on respect for sovereignty and the rule of law, and will work together with partners to ensure that attempts to weaponise economic dependencies will fail. We welcome OECD work that contributes to building our fact-based awareness on supply chain resilience and economic coercion and look forward to further analytical work. We commit to responding to comprehensive strategies to use non-market policies and practices that distort a global level playing field as well as other practices that create strategic dependencies and systemic vulnerabilities, which can then be exploited through economic coercion. We will work together on other economic security issues such as promoting and protecting critical and emerging technologies, enhancing resilience of critical infrastructure, and countering harmful practices in the digital sphere.  8. 我々は、特に、脆弱性を削減し、国際的なルール及び規範を損なう慣行に対抗することを通じて、経済のレジリエンス及び経済の安全保障に関する協力を強化するとのコミットメントを確認する。我々は、透明性、多様性、安全性、持続可能性、信頼性及び信頼性からなる「レジリエンスと信頼性のサプライチェーンに関する原則」が、信頼できるパートナー間でレジリエンスなサプライチェーンを構築するために不可欠な原則であることを認識し、グリーン及びデジタル変革に不可欠な重要鉱物を含む戦略物資について、持続可能で信頼できる、信頼できる供給源を確保するために協力する。我々は、経済的強制に深刻な懸念を表明し、全ての国に対し、主権の尊重と法の支配を中心とする国際秩序を侵害するその使用を控えるよう求める。我々は、サプライチェーンのレジリエンスと経済的強制力に関する事実に基づく認識の構築に貢献するOECDの作業を歓迎し、さらなる分析作業を期待する。我々は、グローバルな公平な競争条件を歪める非市場的な政策や慣行、戦略的な依存関係やシステミックな脆弱性を生み出し、それを経済的強制力を通じて悪用するその他の慣行を利用する包括的な戦略に対応することを約束する。我々は、重要技術や新興技術の促進・保護、重要インフラのレジリエンスの強化、デジタル領域における有害な慣行への対抗など、その他の経済安全保障上の課題についても協力する。
9. We welcome the revision of the 2019 OECD Recommendation on Artificial Intelligence (AI) and call on the OECD to support international implementation of the revised Recommendation. With the recognition that the Hiroshima Process International Guiding Principles and the Code of Conduct complement the implementation of the Recommendation, we support the Hiroshima AI Process and stress the importance of advancing international efforts to improve interoperability between AI governance frameworks, including for generative AI. We welcome the additional countries who support the outcomes of the Hiroshima AI Process to promote safe, secure and trustworthy AI as part of the Hiroshima AI Process Friends Group. We look forward to the OECD’s active contribution to international discussions on AI, at fora such as the UN, G7, G20, the Global Partnership on AI (GPAI), the AI Seoul Summit and the AI Paris Summit, with a focus on addressing the risk of mis- and dis- information and algorithmic biases as a major risk to our societies, democratic values and trust in institutions, as well as responding to impacts on the labour market and promoting an inclusive AI-enabling ecosystem. We call on the OECD to develop an action plan to harness the benefits and address the risks of AI in the labour market. We also welcome broad work on policy measures to counter mis- and dis- information including those relevant to OECD digital policies. We value the OECD’s leading role in advancing Data Free Flow with Trust (DFFT), in promoting cross-border data flows and in providing expert analysis on the digital economy, including analytical work regarding challenges to the free flow of data. We encourage work to facilitate trusted data flows and welcome the Expert Community. We commit to initiating discussions on enhancing visibility of data governance and privacy and the possible options of further strengthening the relevant committee structure. We welcome the Declaration on Transformative Science, Technology and Innovation Policies for a Sustainable and Inclusive Future, adopted[2] at the Ministerial-level meeting of the OECD Committee for Scientific and Technological Policy (CSTP), and emphasise the need for transformative science, technology and innovation policies for a sustainable and inclusive future. We call on the OECD to develop guidance for a human-centric and rights-oriented digital transformation that benefits all.  9. 我々は、人工知能(AI)に関する2019年OECD勧告の改訂を歓迎し、OECDが改訂勧告の国際的な実施を支援することを求める。広島プロセス国際指導原則と行動規範が勧告の実施を補完するとの認識の下、我々は広島AIプロセスを支持し、生成的AIを含むAIガバナンスの枠組み間の相互運用性を改善するための国際的な取り組みを進めることの重要性を強調する。我々は、広島AIプロセス・フレンド・グループの一員として、安全・安心・信頼のAIを促進する広島AIプロセスの成果を支持する追加的な国々を歓迎する。我々は、OECDが、国連、G7、G20、AIに関するグローバル・パートナーシップ(GPAI)、AIソウル・サミット、AIパリ・サミットなどの場において、AIに関する国際的な議論に積極的に貢献することを期待する。その際、我々の社会、民主的価値、機構に対する信頼に対する主要なリスクとして、情報の誤認・誤用やアルゴリズムのバイアスのリスクへの対応、労働市場への影響への対応、包括的なAIを可能にするエコシステムの促進に重点を置く。我々は、OECDに対し、労働市場におけるAIの恩恵を活用し、リスクに対処するための行動計画を策定するよう求める。また、我々は、OECDのデジタル政策に関連するものを含め、誤った情報や誤った情報に対抗するための政策措置に関する広範な作業を歓迎する。我々は、国境を越えたデータの流れを促進し、データの自由な流れに対する課題に関する分析作業を含むデジタル経済に関する専門家による分析を提供するDFFT(Data Free Flow with Trust)の推進におけるOECDの主導的役割を評価する。我々は、信頼されたデータの流れを促進するための作業を奨励し、専門家コミュニティを歓迎する。我々は、データ・ガバナンスとプライバシーの可視性の強化、及び関連する委員会構造の更なる強化の可能性について議論を開始することを約束する。我々は、OECD科学技術政策委員会(CSTP)の閣僚級会合で採択された「持続可能で包括的な未来のための変革的な科学技術・イノベーション政策に関する宣言」[2]を歓迎し、持続可能で包括的な未来のための変革的な科学技術・イノベーション政策の必要性を強調する。我々は、OECDに対し、万人に恩恵をもたらす人間中心かつ権利志向のデジタル変革のためのガイダンスを策定するよう求める。
10. We will continue to work together to reform the international tax system through the swift and effective implementation of the OECD/G20 BEPS Inclusive Framework’s Two-Pillar Solution to address the tax challenges arising from the digitalisation and globalisation of the economy. We call on all members of the Inclusive Framework to finalise expeditiously the work on Pillar One with a view to signing the Multilateral Convention (MLC) by the end of June. We welcome the 2023 update of the OECD/G20 Roadmap on Developing Countries and International Taxation. We recognise the respective roles of governments, business, and other stakeholders, and acknowledge the diverse approaches to implement relevant international standards, including the revised OECD Guidelines for Multinational Enterprises on Responsible Business Conduct. We reaffirm the importance of strengthening international cooperation on global value chains to promote respect for human rights, including internationally recognised labour rights, and the protection of the environment, leading to increased predictability and clarity for businesses. We commit to the effective and timely implementation of the revised G20/OECD Principles of Corporate Governance that support the resilience and sustainability of corporations, which, in turn, contributes to the resilience and sustainability of the broader economy, and look forward to the finalisation of the revised Methodology for Assessing the Implementation of the Principles.  10. 我々は、経済のデジタル化とグローバル化から生じる税制上の課題に対処するため、OECD/G20のBEPS包括的枠組みの「2つの柱による解決策」の迅速かつ効果的な実施を通じて、国際的な税制を改革するために引き続き協力する。我々は、包括的枠組みの全てのメンバーに対し、6月末までに多国間条約(MLC)に署名することを視野に、第一の柱に関する作業を迅速に最終化することを求める。我々は、途上国と国際課税に関するOECD/G20ロードマップの2023年の更新を歓迎する。我々は、政府、ビジネス及びその他のステークホルダーのそれぞれの役割を認識し、責任ある企業行動に関する多国籍企業向けOECDガイドラインの改訂版を含む、関連する国際標準を実施するための多様なアプローチを認識する。我々は、国際的に認知された労働者の権利を含む人権の尊重及び環境の保護を促進するため、グローバル・バリューチェーンに関する国際協力を強化することの重要性を再確認し、企業にとっての予測可能性と明確性の向上につなげる。我々は、企業のレジリエンスと持続可能性を支援し、ひいてはより広範な経済のレジリエンスと持続可能性に貢献する、改訂されたG20/OECDコーポレート・ガバナンス原則の効果的かつタイムリーな実施にコミットし、原則の実施評価のための改訂された手法の最終化を期待する。
11. We welcome the revised Declaration on International Investment and Multinational Enterprises, which aims to enable an open and transparent international investment environment and encourage multinational enterprises to contribute towards economic and social development. To attract “more, better, and safe FDI”, we will holistically consider inclusive economic growth, sustainability, and security in Emerging Markets and Developing Economies (EMDEs) and extend support to non-Member countries. Furthermore, we affirm the finalisation of the Investment Facilitation for Development Agreement and the continuation of discussions on its incorporation into the legal framework of the WTO.  11. この宣言は、オープンで透明性の高い国際投資環境を実現し、多国籍企業が経済的・社会的発展に貢献することを奨励することを目的としている。より多く、より良く、より安全なFDI」を誘致するため、我々は、新興市場・途上国経済(EMDEs)における包括的な経済成長、持続可能性、安全保障を総合的に検討し、非加盟国への支援を拡大する。さらに、我々は、開発のための投資円滑化協定の最終化及びWTOの法的枠組みへの組込みに関する議論の継続を確認する。
12. Based on the outcome of the first Global Stocktake (GST), we reaffirm our commitment to strengthening the implementation of the Paris Agreement and accelerating urgent action in this critical decade to keep the 1.5°C goal within reach and to achieve the common goal of net-zero by 2050. We emphasise the importance of simultaneously achieving net-zero, economic growth, and energy security, pursuing various pathways while taking into account national circumstances and recognising the need to develop further clean energy technologies. We reiterate our call on the OECD to continue to examine environmentally beneficial and harmful support measures across all sectors and provide evidence-based analysis to support reform. We call on all Parties to the Paris Agreement and the United Nations Framework Convention on Climate Change (UNFCCC) to commit to work collectively to peak global greenhouse gas emissions immediately and by no later than 2025, and to contribute to global efforts in line with the Global Stocktake decision, including tripling renewable energy capacity globally, doubling the global average annual rate of energy efficiency improvements by 2030, accelerating efforts towards the phasedown of unabated coal power, and transitioning away from fossil fuels in energy systems in a just, orderly and equitable manner, accelerating action in this critical decade so as to achieve net zero by 2050 in keeping with the science. We urge all countries, in particular major emitters, to submit their next Nationally Determined Contributions (NDCs) with ambitious, economy-wide reduction targets, covering all greenhouse gases, sectors and categories and aligned with keeping a limit of 1.5 °C temperature rise within reach, based on the best available science and the highest possible ambition. We reaffirm existing UNFCCC climate finance efforts, including the developed country commitment to the collective goal of providing and mobilising US$100 billion annually, which looks likely to have been met as of 2022 according to the statement by the OECD Secretary-General in 2023. We also look forward to an ambitious New Collective Quantified Goal on climate finance in 2024. We recognise the role of the IEA in shaping a secure and sustainable energy future for all.  12. 第1回グローバル・ストックテイク(GST)の結果に基づき、我々は、パリ協定の実施を強化し、1.5℃の目標を達成し、2050年までにネット・ゼロという共通の目標を達成するために、この重要な10年間における緊急の行動を加速させるとの我々のコミットメントを再確認する。我々は、ネット・ゼロ、経済成長、エネルギー安全保障を同時に達成することの重要性を強調し、各国の状況を考慮しつつ様々な道筋を追求し、更なるクリーン・エネルギー技術の開発の必要性を認識する。我々は、OECDに対し、あらゆるセクターにわたる環境に有益な支援策と有害な支援策を引き続き検討し、改革を支援するためのエビデンスに基づく分析を提供するよう、改めて要請する。我々は、パリ協定と気候変動枠組条約(UNFCCC)の全ての締約国に対し、世界の温室効果ガス排出量を直ちに、遅くとも2025年までにピークに到達させるために集団として取り組むことを約束し、また、再生可能エネルギー容量を世界全体で3倍にすることを含め、グローバル・ストックテイク決定に沿った世界的な取り組みに貢献することを求める、 2030年までにエネルギー効率の改善率を世界平均で年2倍にすること、停止していない石炭発電の段階的削減に向けた努力を加速すること、そして、公正で秩序ある衡平な方法でエネルギーシステムにおける化石燃料からの脱却を図り、この重要な10年間における行動を加速することで、科学に則り2050年までにネット・ゼロを達成することを含む。我々は、全ての国、特に主要排出国に対し、利用可能な最善の科学と可能な限り高い野心に基づき、全ての温室効果ガス、セクター、カテゴリーをカバーし、気温上昇1.5℃の制限を達成するための野心的な経済全体の削減目標を含む、次回の国別決定貢献(NDCs)を提出するよう求める。我々は、毎年1,000億米ドルを拠出・動員するという集団目標に対する先進国のコミットメントを含め、既存のUNFCCC気候変動資金への取り組みを再確認する。我々はまた、2024年の気候変動資金に関する野心的な新共同定量化目標に期待している。我々は、すべての人のための安全で持続可能なエネルギーの未来を形作る上でのIEAの役割を認識する。
13. We emphasise that transition finance, in line with keeping a limit of 1.5°C temperature rise within reach, avoiding carbon lock-ins and based on effective emissions reduction, is needed as it contributes to achieving a net-zero society. We emphasise that the rapid mobilisation of private finance through the establishment of ‘high integrity carbon markets’ and utilisation of Article 6 of the Paris Agreement can contribute to achieving net zero emissions by 2050. We affirm the significance of the OECD’s work on the interplays between voluntary and compliance carbon markets to enhance environmental integrity. We endeavour to achieve sustainable productivity growth contributing to reducing GHG emissions in all economic sectors and to taking action to reinforce rural development and food security whilst strengthening our natural carbon sinks. We welcome the launch of the OECD report ‘A Territorial Approach to Climate Action and Resilience (TACAR)’ at COP28. We welcome the steady progress made at the Inclusive Forum on Carbon Mitigation Approaches (IFCMA), including the launch of the Ministerial dialogue and work on carbon intensity metrics. We expect new membership, cooperation with international organisations, and further work that will lead to greater progress on cross-border climate change initiatives.  13. 我々は、1.5℃の気温上昇を達成可能な範囲にとどめ、カーボン・ロックインを回避し、効果的な排出削減に基づく移行資金が、ネット・ゼロ社会の達成に貢献することから、必要であることを強調する。我々は、「完全性の高い炭素市場」の確立とパリ協定第6条の活用を通じて、民間資金を迅速に動員することが、2050年までにネット・ゼロ排出を達成することに貢献できることを強調する。我々は、環境十全性を高めるための自主的炭素市場と遵守的炭素市場の相互作用に関するOECDの作業の重要性を確認する。我々は、全ての経済部門における温室効果ガス排出削減に貢献する持続可能な生産性成長を達成し、また、自然の炭素吸収源を強化しつつ、農村開発と食料安全保障を強化するための行動をとるよう努める。我々は、COP28において、OECDの報告書「気候変動対策とレジリエンスへの地域的アプローチ(TACAR)」が発表されたことを歓迎する。我々は、炭素低減アプローチに関する包括的フォーラム(IFCMA)において、閣僚級ダイアログの開始や炭素原単位評価指標に関する作業など、着実な進展があったことを歓迎する。我々は、新たな加盟、国際組織との協力、国境を越えた気候変動イニシアティブの更なる進展につながる更なる作業を期待する。
14. Recognising the interlinked global crises of climate change, biodiversity loss, and pollution, we commit to enhancing synergies and preventing trade-offs, as appropriate, as we pursue transformation toward net-zero, climate-resilient, circular and nature positive economies, taking into account just transitions, in light of the sixth session of the United Nations Environment Assembly (UNEA-6) resolution 6/7 on promoting synergies. Given the importance of trade in a circular economy to enhance environmentally sound recycling at the global level, we will work with stakeholders, including businesses, to increase circularity in our economies and improve international cooperation, and to increase environmentally sound recycling, including through relevant OECD decisions and rules and coordination to implement procedures. We will promote circular businesses, which will include utilizing the circular economy and resource-efficiency principles. We are committed to taking urgent action in support of the swift and full implementation of the Kunming-Montreal Global Biodiversity Framework (KMGBF), including the transition to nature-positive economies. We are determined to revise our National Biodiversity Strategies and Action Plans (NBSAPs) in line with the KMGBF and its goals and targets, and continue to work towards the implementation of the NBSAPs. We commit to supporting efforts for a sustainable Oceans and Water management to advance long-term environmental, economic and social development. We also commit to playing a constructive role in the Intergovernmental Negotiating Committee with an ambition to complete the work by the end of 2024 to develop an international legally binding instrument on plastic pollution, based on a comprehensive approach that addresses the full life cycle of plastic.  14. 我々は、気候変動、生物多様性の喪失、汚染という相互に関連する地球規模の危機を認識し、シナジーの促進に関する第6回国連環境総会(UNEA-6)決議6/7に照らして、公正な移行を考慮しつつ、ネット・ゼロ、気候レジリエンス、通達、自然共生型経済への変革を追求する際に、適宜、シナジーを強化し、トレードオフを防止することにコミットする。地球レベルで環境的に健全なリサイクルを強化するための循環型経済における貿易の重要性に鑑み、我々は、企業を含む利害関係者と協力し、我々の経済における循環性を高め、国際協力を改善し、OECDの関連する決定や規則、手続を実施するための調整を含め、環境的に健全なリサイクルを増加させる。我々は、循環経済と資源効率原則の活用を含む通達ビジネスを推進する。我々は、自然に配慮した経済への移行を含む、昆明・モントリオール世界生物多様性枠組み(KMGBF)の迅速かつ完全な実施を支援するための緊急行動をとることを約束する。我々は、KMGBFとその目標・ターゲットに沿って、生物多様性国家戦略・行動計画(NBSAPs)を改定し、NBSAPsの実施に向けて引き続き取り組むことを決意する。我々は、長期的な環境的、経済的、社会的発展を促進するため、持続可能な海洋と水の管理のための努力を支援することを約束する。我々はまた、プラスチックの全ライフサイクルに対応する包括的なアプローチに基づき、プラスチック汚染に関する国際的な法的拘束力のある文書を作成するための作業を2024年末までに完了させるという野心を持って、政府間交渉委員会において建設的な役割を果たすことにコミットする。 
15. We reaffirm universal respect for human rights and fundamental freedoms for all as enshrined in the UN Charter, and commit to achieving sustainable development in a peaceful and stable international environment. Recognising the importance of human dignity, we recommit to supporting, as an international community, developing countries most in need in achieving the Sustainable Development Goals (SDGs). The HumanitarianDevelopment-Peace (HDP) Nexus and the Women, Peace and Security (WPS) agenda, including its application to Disaster Risk Reduction (DRR), are increasingly important for building diverse and resilient societies to sustain peace. In this regard, we emphasise the need to address financing gaps to achieve the SDGs using all sources of finance. We continue to invite all providers of development cooperation to adhere more closely to international standards and practices that improve effectiveness, transparency and accountability in development cooperation. In particular, development finance should be provided in a transparent and fair manner in line with international rules and standards. We emphasise the importance of stepping up implementation of the G20 Common Framework in a predictable, timely, orderly and coordinated manner, and call on the international community to further enhance debt transparency through actions by all creditors and debtor countries, including through debt data sharing exercises. We commit to contributing to discussions towards the Summit of the Future and the Fourth International Conference on Financing for Development. We note that to follow up on the Summit for a New Global Financing pact (NFP), the OECD hosts the Secretariat of the Paris Pact for People and the Planet (4P). We commit to promoting quality infrastructure investment in line with the G20 Principles for Quality Infrastructure Investment and through the G7 Partnership for Global Infrastructure and Investment and initiatives such as the Global Gateway. We welcome efforts to operationalise the Blue Dot Network (BDN), and the hosting of the BDN secretariat in the OECD. We acknowledge the progress of the FAST-Infra certification scheme. We encourage the OECD to analyse and address the potential impact and spillovers of OECD standards and recommendations on non-Members, especially on developing countries. Furthermore, building on the commitments in our 2021 Vision Statement, we will deliver a new whole-of-OECD Strategy on Development for adoption at the 2025 MCM, to optimise our approach to sustainable development.  15. 我々は、国連憲章に謳われている全ての者の人権と基本的自由の普遍的な尊重を再確認し、平和で安定した国際環境における持続可能な開発の達成にコミットする。我々は、人間の尊厳の重要性を認識し、国際社会として、持続可能な開発目標(SDGs)の達成を最も必要としている開発途上国を支援することを約束する。人道・開発・平和(HDP)ネクサスと女性・平和・安全保障(WPS)アジェンダは、災害リスク軽減(DRR)への適用を含め、平和を維持するための多様でレジリエンスある社会を構築するために、ますます重要となっている。この観点から、我々は、あらゆる資金源を用いてSDGs達成のための資金ギャップに対処する必要性を強調する。我々は、すべての開発協力プロバイダに対し、開発協力の有効性、透明性、説明責任を改善する国際標準と慣行をより緊密に遵守するよう引き続き要請する。特に、開発資金は、国際的なルールと標準に沿った透明かつ公正な方法で提供されるべきである。我々は、予測可能、タイムリー、秩序ある協調的な方法で、G20共通枠組みの実施を強化することの重要性を強調し、国際社会に対し、債務データ共有の実施を含む、全ての債権者及び債務国による行動を通じて、債務の透明性を更に強化することを求める。我々は、未来サミット及び第4回開発資金国際会議に向けた議論に貢献することを約束する。我々は、新たな国際金融協定(NFP)のためのサミットをフォローアップするため、OECDが「人と地球のためのパリ協定(4P)」の事務局を主催していることに留意する。我々は、「質の高いインフラ投資のためのG20原則」に沿って、また、「グローバル・インフラと投資のためのG7パートナーシップ」や「グローバル・ゲートウェイ」のようなイニシアティブを通じて、質の高いインフラ投資を促進することにコミットする。我々は、ブルードット・ネットワーク(BDN)の運用に向けた努力と、OECDにおけるBDN事務局のホスティングを歓迎する。我々は、FAST-Infra認証スキームの進展を認める。我々は、OECDが、OECDの標準と勧告が非加盟国、特に途上国に及ぼす潜在的な影響と波及効果について分析し、対処することを奨励する。さらに、我々の2021年ビジョン声明におけるコミットメントに基づき、我々は、持続可能な開発への我々のアプローチを最適化するため、2025年MCMでの採択に向けて、開発に関するOECD全体の新たな戦略を提供する。
16. In line with the OECD’s Contribution to Promoting Gender Equality, we encourage the OECD to continue to mainstream gender equality and inclusion, taking an intersectional approach, grounded in credible analysis using gender-disaggregated data. We welcome the progress of the Gender Dashboard, currently in its pilot phase, the gender policy reviews and the Gender Data Initiative, as well as the upcoming first edition of the OECD Forum on Gender Equality that incorporates best practices. Towards the goal of achieving a sustainable and inclusive economy and society, we commit to making progress to reduce gender gaps in employment and pay. We also recommit to building resilient education and training systems, to ensure inclusive and equitable quality education for all, from early childhood, through to the provision of lifelong learning opportunities as well as learning opportunities to improve well-being. We recognise the importance of using multidimensional indicators, in addition to economic growth as measured by GDP, with a view to improving all people’s wellbeing, and welcome the establishment of the OECD Knowledge Exchange Platform on Well-being Metrics and Policy Practice (KEP) that provides a space for sharing experience and solutions across countries. We also welcome the OECD Forum on Well-being to be held in Rome in November. We welcome the commitments made at the OECD Health Committee Ministerial Meeting in the Declaration on Building Better Policies for More Resilient Health Systems and hope that the OECD will contribute to promoting Universal Health Coverage (UHC) and strengthening pandemic prevention, preparedness and response (PPPR).  16. OECDの男女共同参画推進への貢献に沿って、我々は、OECDが、男女別データを用いた信頼できる分析に基づき、交差的アプローチをとりながら、ジェンダー平等とインクルージョンの主流化を継続することを奨励する。我々は、現在パイロット段階にあるジェンダー・ダッシュボード、ジェンダー政策レ ビュー、ジェンダー・データ・イニシアティブの進展、およびベスト・プラクティスを組み込んだ OECD男女共同参画フォーラムの第1版が予定されていることを歓迎する。持続可能で包摂的な経済社会を達成するという目標に向けて、我々は、雇用と賃金におけるジェンダー格差の縮小を進展させることにコミットする。また、我々は、幼児期から生涯学習の機会の提供、さらには幸福を向上させるための学習の機会の提供まで、全ての人々のための包摂的で公平な質の高い教育を確保するために、レジリエンスのある教育・訓練制度を構築することを約束する。我々は、すべての人々のウェルビーイングの改善を視野に入れ、GDPで測定される経済成長に加えて、多面的な指標を用いることの重要性を認識し、国を超えて経験や解決策を共有する場を提供する「ウェルビーイングの指標と政策実践に関するOECD知識交換プラットフォーム(KEP)」の設立を歓迎する。また、11月にローマで開催されるOECDウェルビーイング・フォーラムを歓迎する。我々は、OECD保健委員会閣僚会合での「よりレジリエンスに富んだ保健システムのためのより良い政策の構築に関する宣言」におけるコミットメントを歓迎し、OECDがユニバーサル・ヘルス・カバレッジ(UHC)の推進とパンデミック予防・準備・対応(PPPR)の強化に貢献することを希望する。
17. We commend the OECD’s policy recommendations based on credible data-based analysis. We support the Secretary-General’s efforts to enhance the global-relevance and inclusiveness of the OECD. We also support his endeavour to strive to achieve gender equality, nationality diversity and inclusion in line with OECD Staff Regulations. We look forward to the OECD’s continued support in delivering quality, data-driven policies for sustainable societies so that future generations can enjoy economic and social well-being.  17. 我々は、信頼できるデータに基づく分析に基づくOECDの政策提言を称賛する。我々は、OECDのグローバルな関連性と包括性を強化する事務総長の努力を支持する。また、男女平等、国籍の多様性、OECD職員規則に沿ったインクルージョンの達成に向けた事務総長の努力を支持する。我々は、将来の世代が経済的・社会的幸福を享受できるよう、持続可能な社会のための質の高い、データ主導の政策を提供するためのOECDの継続的な支援を期待する。
18. We welcome the designation of Costa Rica as the Chair of the MCM in 2025.  18. 我々は、コスタリカが2025年のMCM議長に指名されたことを歓迎する。
[1] Ministers and representatives of Australia, Austria, Belgium, Bulgaria, Canada, Chile, Colombia, Costa Rica, Croatia, Czechia, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Iceland, Ireland, Israel, Italy, Japan, Latvia, Lithuania, Luxembourg, Mexico, the Netherlands, New Zealand, Norway, Peru, Poland, Portugal, Republic of Korea, Romania, the Slovak Republic, Slovenia, Spain, Sweden, Switzerland, Türkiye, the United Kingdom, the United States, and the European Union. [1] オーストラリア、オーストリア、ベルギー、ブルガリア、カナダ、チリ、コロンビア、コスタリカ、クロアチア、チェコ、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、アイスランド、アイルランド、イスラエル、イタリア、日本、ラトビア、リトアニア、ルクセンブルグ、メキシコ、オランダ、ニュージーランド、ノルウェー、ペルー、ポーランド、ポルトガル、大韓民国、ルーマニア、スロバキア共和国、スロベニア、スペイン、スウェーデン、スイス、トルコ、英国、米国、欧州連合の閣僚および代表者。
[2] The Declaration was not adopted by Israel.  [2] イスラエルはこの宣言を採択していない

 


 

外務省

・2024.05.03 OECD閣僚理事会(結果概要)

 


1. 概要

  • 今次閣僚会合では、我が国は「変化の流れの共創」のテーマの下、10年ぶり3回目となる議長国を務め、多国間での協力を通じ国際社会が直面する危機を乗り越えられるよう議論をリードしました。

  • 岸田総理大臣は、開会式における基調演説を行った他、炭素緩和アプローチに関する包摂的フォーラム(IFCMA)閣僚対話、生成AIに関するサイドイベント、東南アジア地域プログラム10周年記念式典においてそれぞれスピーチを行いました。

  • 5月2日(1日目)には、マクロ経済、自由で公正な貿易・投資、経済的強靱性等の分野について議論が行われました。

  • 5月3日(2日目)には、OECDによるアウトリーチ、環境問題・気候変動、持続可能な開発、AI・DFFTを含むデジタル等の分野について議論が行われました。

 

 

| | Comments (0)

米国 NSA FBI 国務省 北朝鮮がDMARCの脆弱なセキュリティポリシーを悪用してスピアフィッシング

こんにちは、丸山満彦です。

米国のNSA、FBI、国務省が北朝鮮がDMARCの脆弱なセキュリティポリシーを悪用したスピアフィッシングについての警告をしていますね...

National Security Agency/Central Security Service

プレス...

NSA Highlights Mitigations against North Korean Actor Email Policy Exploitation NSA が北朝鮮による電子メールポリシー搾取に対する緩和策を強調する
FORT MEADE, Md. – The National Security Agency (NSA) joins the Federal Bureau of Investigation (FBI) and the U.S. Department of State in releasing the Cybersecurity Advisory (CSA), “North Korean Actors Exploit Weak DMARC Security Policies to Mask Spearphishing Efforts,” to protect against Democratic People’s Republic of Korea (DPRK, aka North Korea) techniques that allow emails to appear to be from legitimate journalists, academics, or other experts in East Asian affairs. 米国家安全保障局(NSA)は、米連邦捜査局(FBI)および米国務省とともに、サイバーセキュリティ勧告(CSA)「北朝鮮による脆弱なDMARCセキュリティポリシーの悪用によるスピアフィッシング行為」を発表し、合法的なジャーナリストや学者、その他東アジア問題の専門家からのメールと見せかける朝鮮民主主義人民共和国(DPRK、別名北朝鮮)のテクニックから保護することを明らかにした。
The DPRK leverages these spearphishing campaigns to collect intelligence on geopolitical events, adversary foreign policy strategies, and any information affecting DPRK interests by gaining illicit access to targets’ private documents, research, and communications. 朝鮮民主主義人民共和国は、このようなスピアフィッシング・キャンペーンを利用して、地政学的な出来事、敵対国の外交政策戦略、朝鮮民主主義人民共和国の利益に影響するあらゆる情報について、ターゲットの個人的な文書、研究、通信に不正にアクセスすることで情報を収集している。
“Spearphishing continues to be a mainstay of the DPRK cyber program and this CSA provides new insights and mitigations to counter their tradecraft,” said NSA Cybersecurity Director Dave Luber.
「NSAのサイバーセキュリティ・ディレクターであるデイブ・ルーバーは、「スピアフィッシングは北朝鮮のサイバープログラムの主軸であり続けており、このCSAは彼らの手口に対抗するための新たな洞察と緩和策を提供している。
The report contains background on the DPRK’s cyber program and past information-gathering examples, an explanation of how a strong Domain-based Message Authentication Reporting and Conformance (DMARC) policy can help block DPRK actors, red flag indicators of malicious activity, two sample emails used by DPRK cyber actors, and mitigation measures. 本レポートには、北朝鮮のサイバー・プログラムと過去の情報収集事例に関する背景、強力なDomain-based Message Authentication Reporting and Conformance (DMARC)ポリシーがどのように北朝鮮の行為者をブロックするのに役立つかの説明、悪意のある活動のレッドフラッグ・インジケータ、北朝鮮のサイバー行為者が使用する2つの電子メールのサンプル、および緩和策が記載されている。

 

 

・2024.05.02 [PDF] CSA: North Korean Actors Exploit Weak DMARC Security Policies to Mask Spearphishing Efforts

20240506-44309

 

North Korean Actors Exploit Weak DMARC Security Policies to Mask Spearphishing Efforts  北朝鮮がDMARCの脆弱なセキュリティポリシーを悪用してスピアフィッシングを行う 
SUMMARY  概要 
The Federal Bureau of Investigation (FBI), the U.S. Department of State, and the National Security Agency (NSA) are jointly issuing this advisory to highlight attempts by Democratic People’s Republic of Korea (DPRK, a.k.a. North Korea) Kimsuky cyber actors to exploit improperly configured DNS Domain-based Message Authentication, Reporting and Conformance (DMARC) record policies to conceal social engineering attempts. Without properly configured DMARC policies, malicious cyber actors are able to send spoofed emails as if they came from a legitimate domain’s email exchange.  米連邦捜査局(FBI)、米国務省、および国家安全保障局(NSA)は共同でこの勧告を発出し、朝鮮民主主義人民共和国(DPRK、別名北朝鮮)のキムスキー(Kimsuky)サイバー・アクターが不適切に設定されたDNS Domain-based Message Authentication, Reporting and Conformance(DMARC)レコード・ポリシーを悪用してソーシャル・エンジニアリングの試みを隠蔽しようとしていることを明らかにする。DMARCポリシーが適切に設定されていないと、悪意のあるサイバー行為者は、あたかも正当なドメインの電子メール交換から来たかのようになりすました電子メールを送信することができる。
The North Korean cyber actors have conducted spearphishing campaigns posing as legitimate journalists, academics, or other experts in East Asian affairs with credible links to North Korean policy circles. North Korea leverages these spearphishing campaigns to collect intelligence on geopolitical events, adversary foreign policy strategies, and any information affecting North Korean interests by gaining illicit access to targets’ private documents, research, and communications.   北朝鮮のサイバー・アクターは、合法的なジャーナリスト、学者、または北朝鮮の政策サークルと信頼できるつながりを持つ東アジア問題の専門家を装ったスピアフィッシング・キャンペーンを実施している。北朝鮮はこのようなスピアフィッシング・キャンペーンを活用し、ターゲットの私的な文書、調査、通信に不正にアクセスすることで、地政学的な出来事、敵対国の外交政策戦略、北朝鮮の利益に影響するあらゆる情報に関する情報を収集している。 
This Joint Cybersecurity Advisory (CSA) includes indicators of North Korean social engineering (page 4) for potential victims receiving spearphishing emails as well as mitigation measures (page 9) for organizations who could be victims of North Korean impersonation. For additional information on state-sponsored North Korean malicious cyber activity, see the June 2023 Kimsuky CSA, “North Korea using Social Engineering to Enable Hacking of Think Tanks, Academia, and Media.”  この共同サイバーセキュリティ勧告(CSA)には、スピアフィッシング・メールを受信する潜在的な被害者のための北朝鮮のソーシャル・エンジニアリングの指標(4ページ)、および北朝鮮になりすます被害に遭う可能性のある組織のための緩和策(9ページ)が含まれている。国家が支援する北朝鮮の悪意あるサイバー活動に関する追加情報については、2023年6月のKimsuky CSA、"North Korea using Social Engineering to Enable Hacking of Think Tanks, Academia, and Media "を参照のこと。

 

 


 

参考

報告書で参照されている過去の発表について...

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.03 米国 韓国 北朝鮮のサイバー部隊がシンクタンク、学術機関、ニュースメディア部門を標的にした攻撃をしていると注意喚起

 



 

| | Comments (0)

2024.05.06

韓国 個人情報委員会 個人情報処理方針作成指針の改訂版を公開 (2024.04.30)

こんにちは、丸山満彦です。

韓国の個人情報保護委員会が、個人情報処理方針作成指針の改訂版を公開していますね...

昨年に法改正されたことに伴うものですね...

14歳未満の児童の個人情報保護についても韓国では始まっていますね...

 

● 개인정보보호위원회(個人情報委員会)

 プレス...

・2024.04.30 개인정보위, 개인정보 처리방침 작성지침 개정본 공개

개인정보위, 개인정보 처리방침 작성지침 개정본 공개 個人情報委員会、個人情報処理方針の作成指針の改訂版を公開
- 개인정보 보호법 개정 사항을 반영하여 개인정보 처리방침 작성 방법 현행화 ・個人情報保護法の改正事項を反映して個人情報処理方針の作成方法を現行化
- 모바일 앱 사업자를 위한 개인정보 처리방침 공개방법 제시 ・モバイルアプリ事業者のための個人情報処理方針の公開方法提示
- 14세 미만 아동을 위한 개인정보 처리방침 작성 방법 및 예시 안내 ・14歳未満の児童のための個人情報処理方針の作成方法及び例示の提示
  개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 개인정보 보호법(이하 ‘법’) 개정 사항을 반영한 ‘개인정보 처리방침 작성지침’(이하 ‘작성지침’) 개정본을 공개했다.    個人情報保護委員会(委員長コ・ハクス、以下「個人情報委員会」)は、個人情報保護法(以下「法」)の改正事項を反映した「個人情報処理方針の作成指針」(以下「作成指針」)の改定版を公開した。
  개인정보위는 개인정보처리자가 법 제30조에 따라 수립․공개하고 있는 개인정보 처리방침(이하 ‘처리방침’)을 적정하고 투명하게 작성 및 공개할 수 있도록 작성지침을 마련하여 안내해왔다.    個人情報委員会は、個人情報処理者が法第30条に基づいて樹立・公開している個人情報処理方針(以下、「処理方針」)を適正かつ透明に作成及び公開できるように作成指針を設けて提示してきた。
  이번 작성지침 개정본에서 달라진 내용은 다음과 같다.   今回の作成指針改訂版で変わった内容は次の通りである。
  ➊ 법 개정에 따라 신설․변경된 사항을 반영하였다.   ➊法改正により新設・変更された事項を反映した。
  법 개정에 따라 처리방침의 필수 작성 항목으로 신설된 ‘민감정보의 공개 가능성 및 비공개 선택 방법’, ‘국외 수집’, ‘이동형 영상정보처리기기’에 대한 작성 방법을 새롭게 마련하였으며,   法改正により、処理方針の必須作成項目として新設された「機密情報の公開可能性及び非公開選択方法」、「国外収集」、「移動型映像情報処理機器」に対する作成方法を新たに設けた
  동의 제도 개편에 따라 정보주체의 동의 없이 처리하는 개인정보의 항목과 처리의 법적 근거를 동의를 받아 수집하는 개인정보와 구분하여 기재하도록 하였다.   同意制度の改編により、情報主体の同意なしに処理する個人情報の項目と処理の法的根拠を同意を得て収集する個人情報と区分して記載するようにした。
  또한, 법 개정에 따라 국외 이전에 관하여 처리방침에 명시하여야 하는 사항을 현행화하였으며, 정보주체의 권리행사 방법의 하나로 이번에 신설된 ‘자동화된 결정에 대한 거부 및 설명요구’의 방법과 절차를 구체적으로 안내하도록 하였다.   また、法改正により、国外移転に関して処理方針に明示しなければならない事項を現行化し、情報主体の権利行使方法の一つとして今回新設された「自動化された決定に対する拒否及び説明要求」の方法と手続きを具体的に提示するようにした。
  ➋ ‘온라인 행태정보 처리에 관한 사항’에 대한 안내를 구체화하였다.   ➋'オンライン行動情報の処理に関する事項'に関する提示を具体化した。
  개인정보위가 올해 1월에 발표한 ‘맞춤형 광고에 활용되는 온라인 행태정보 보호를 위한 정책방안’에 따라 온라인 행태정보 처리에 대한 책임성, 투명성을 강화할 수 있도록 행태정보의 수집·이용·제공 및 그 거부에 관한 사항에 대한 안내를 구체화하였다.   個人情報委員会が今年1月に発表した'オーダーメイド広告に活用されるオンライン行動情報保護のための政策方案'に基づき、オンライン行動情報の処理に対する責任性、透明性を強化できるよう、行動情報の収集・利用・提供及びその拒否に関する事項についての提示を具体化した。
  먼저, 개인정보처리자가 쿠키 등 개인정보 자동 수집장치를 설치·운영하여 온라인 행태정보를 수집하는 경우, 정보주체를 식별하는 형태로 처리하는지 여부를 기준으로 처리방침 작성방법을 구분하여 제시하였다.   まず、個人情報処理者がクッキーなどの個人情報自動収集装置を設置・運営してオンライン行動情報を収集する場合、情報主体を識別する形で処理するかどうかを基準に処理方針の作成方法を区分して提示した。
  또한, 개인정보처리자가 온라인 행태정보를 직접 수집하는 경우 뿐만 아니라, 웹·앱에서 제3자가 개인정보 자동수집장치를 통해 행태정보를 수집하도록 허용하는 경우, 수집해가는 행태정보에 관한 사항*을 기재하도록 권장하였다.   また、個人情報処理者がオンライン行動情報を直接収集する場合だけでなく、ウェブ・アプリで第3者が個人情報自動収集装置を通じて行動情報を収集することを許可する場合、収集する行動情報に関する事項*を記載することを推奨した。
    * 수집도구 명칭, 수집해가는 사업자, 수집도구 종류, 수집해가는 행태정보 항목, 수집 목적, 거부방법 등     * 収集ツールの名称、収集する事業者、収集ツールの種類、収集する行動情報の項目、収集目的、拒否方法など。
  ➌ 처리방침의 공개 방법을 명확화하였다.   ➌処理方針の公開方法を明確にした。
  기존에는 홈페이지 하단(Footer 영역)에 처리방침을 공개하도록 할 뿐 모바일 환경 등에 적합한 공개 방법에 대한 안내가 없었으나, 이번 개정으로 웹/앱의 첫 화면 또는 서비스 메뉴 등 정보주체가 바로 접근할 수 있는 영역에 처리방침을 공개하도록 하여 정보주체의 접근성을 높였다.   従来はホームページの下部(Footer領域)に処理方針を公開するようにしただけで、モバイル環境などに適した公開方法についての提示がなかったが、今回の改正でウェブ/アプリの最初の画面またはサービスメニューなど、情報主体がすぐにアクセスできる領域に処理方針を公開するようにし、情報主体のアクセス性を高めた。
  또한 개인정보처리자가 여러개의 웹/앱 서비스를 운영하는 경우 정보주체가 쉽게 알아보고 이해할 수 있도록 처리방침을 수립·공개해야 한다는 원칙을 제시하고, 이 원칙 하에서 서비스별로 별도의 처리방침을 수립하거나, 서비스를 종합한 통합 처리방침을 수립하는 것 모두 가능하도록 적용 기준을 명확히 하였다.    また、個人情報処理者が複数のウェブ/アプリサービスを運営する場合、情報主体が分かりやすく理解できるように処理方針を樹立・公開しなければならないという原則を提示し、この原則の下で、サービス別に別の処理方針を樹立するか、サービスを総合した統合処理方針を樹立することができるように適用基準を明確にした。
  ➍ 아동을 위한 처리방침 작성 방안도 정비하였다.   ➍児童のための処理方針の作成案も整備した。
  14세 미만 아동의 권리 보장을 위해 아동에게 안내가 필요한 항목을 위주로 아동이 쉽게 이해할 수 있는 언어를 활용한 아동용 처리방침 작성방법 및 작성 예시(안)을 마련하여 부록으로 제시하였으며, 그 밖에도 공공기관, 소상공인을 위한 처리방침 작성 방법도 함께 안내하였다.   14歳未満の児童の権利保障のため、児童に提示が必要な項目を中心に、児童が理解しやすい言語を活用した児童用処理方針の作成方法及び作成例(案)を設け、附属書として提示し、その他、公共機関、中小企業のための処理方針の作成方法も一緒に提示した。
  작성지침 개정본은 개인정보위 누리집*(www.pipc.go.kr) 및 개인정보 포털**(www.privacy.go.kr)에서 확인할 수 있다.   作成指針の改定版は、個人情報委員会ホームページ*(www.pipc.go.kr)及び個人情報ポータル**(www.privacy.go.kr)で確認することができる。
    * 개인정보위 누리집(www.pipc.go.kr)>법령‧정책>법령정보>지침(가이드라인)에서 내려받기 가능     * 個人情報委員会ホームページ(www.pipc.go.kr)>法令・政策>法令情報>指針(ガイドライン)でダウンロード可能。
   ** 개인정보 포털(privacy.go.kr)>자료>지침자료에서 내려받기 가능    ** 個人情報ポータル(privacy.go.kr)>資料>指針資料でダウンロード可能
  양청삼 개인정보정책국장은 “개인정보 처리방침은 개인정보처리자가 개인정보를 어떤 목적으로 어떻게 처리하는지 확인할 수 있도록 하여 정보주체의 권리를 보장하는 가장 기본적인 수단으로서 중요한 의미를 갖는다”라며,    ヤン・チョンサム個人情報政策局長は「個人情報処理方針は、個人情報処理者が個人情報をどのような目的でどのように処理するかを確認できるようにし、情報主体の権利を保障する最も基本的な手段として重要な意味を持つ」と述べた、 
  “개인정보처리자가 작성지침을 참고하여 정보주체가 쉽게 이해하고 접근할 수 있는 처리방침을 마련하는 데 도움이 되길 바란다”라고 밝혔다.   "個人情報処理者が作成指針を参考にして、情報主体が簡単に理解し、アクセスできる処理方針を策定するのに役立つことを期待している"と明らかにした。
* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다. * その他詳細は添付ファイルをご確認ください。

 

法令等...

法令

改正日 法令名   制定日
1 2023.09.15 개인정보 보호법 個人情報保護法 2011.09.30
2 2023.09.15 개인정보 보호법 시행령 個人情報保護法施行令 2011.09.30

 

ガイドライン

지침(가이드라인)

いっぱいありますが...

・2024.04.30 [PDF]개인정보처리방침 작성지침個人情報処理方針作成指針)

20240506-71450

 


 

法改正についての情報

 

● JETRO

調査レポート

・2024.02.27 韓国の改正個人情報保護法(2024年2月)

・・[PDF]

20240506-72433

 

| | Comments (0)

米国 英国 カナダ 親ロシア派ハクティビストによる北米および欧州のOT機器に対する継続的な悪意あるサイバー活動に対するセキュリティ対策

こんにちは、丸山満彦です。

米国のCISA、NSA、FBI他、英国のNSCA、カナダのCCCSが、親ロシア派ハクティビストによる北米および欧州のOT機器に対する継続的な悪意あるサイバー活動に対するセキュリティ対策を公表していますね...

他と書いたが、他が重要ですよね...

 

Environmental Protection Agency (EPA) 環境保護庁(EPA)
Department of Energy (DOE) エネルギー省(DOE)
United States Department of Agriculture (USDA) 米国農務省(USDA)
Food and Drug Administration (FDA) 食品医薬品局(FDA)
Multi-State Information Sharing and Analysis Center (MS-ISAC) 複数州情報共有分析センター(MS-ISAC)

 

推奨事項...

1. OT ネットワークへのすべてのアクセスに多要素認証を導入する

2. HMI の

(1) すべてのデフォルトパスワードと弱いパスワードを直ちに変更し、強力で一意のパスワー ドを使用する

(2) 工場出荷時のデフォルトパスワードが使用されていないことを確認する

3. VNCを利用可能な最新バージョンに更新し、すべてのシステムとソフトウェアがパッチと必要なセキュリティアップデートで最新であることを確認する

4. 認可されたデバイスIPアドレスのみを許可する許可リストを確立する。

 

 

National Security Agency/Central Security Service

プレス...

・2024.05.01 Urgent Warning from Multiple Cybersecurity Organizations on Current Threat to OT Systems

Urgent Warning from Multiple Cybersecurity Organizations on Current Threat to OT Systems OTシステムに対する現在の脅威に関する複数のサイバーセキュリティ組織からの緊急警告
FORT MEADE, Md. – Pro-Russia hacktivists are conducting malicious cyber activity against operational technology (OT) devices and critical infrastructure organizations are encouraged to implement mitigations, according to a Fact Sheet released today by the National Security Agency (NSA), the Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), Environmental Protection Agency (EPA), Department of Energy (DOE), United States Department of Agriculture (USDA), Multi-State Information Sharing and Analysis Center (MS-ISAC), the U.K. National Cyber Security Centre, and the Canadian Centre for Cyber Security. フォートミード(マサチューセッツ州) - 親ロシア派ハクティビストは、運用技術(OT)機器に対して悪質なサイバー活動を実施しており、重要インフラ組織は、緩和策を実施することが推奨される、と国家安全保障局(NSA)、サイバーセキュリティ・インフラ・セキュリティ局(CISA)、連邦捜査局(FBI)、環境保護庁(EPA)、エネルギー省(DOE)、米国農務省(USDA)、複数州情報共有分析センター(MS-ISAC)、英国国立サイバーセキュリティセンター、カナダ・サイバーセキュリティセンターが本日発表したファクトシートが伝えている。 英国国家サイバーセキュリティセンター、カナダ・サイバーセキュリティセンターである。
According to the report, “Defending OT Operations Against Ongoing Pro-Russia Hacktivist Activity,” the hacktivists are compromising small-scale OT systems in North American and European Water and Wastewater Systems (WWS), dams, energy, and food and agriculture sectors. 報告書「進行中の親ロシア派ハクティビストの活動からOTオペレーションを守る」によると、ハクティビストは北米や欧州の上下水道システム(WWS)、ダム、エネルギー、食品・農業分野の小規模なOTシステムを侵害している。
Since 2022, the authoring organizations observed malicious activity and are releasing this joint guidance to share information and mitigations associated with the pro-Russia hacktivists’ recent cyber operations against OT.  2022年以降、作成組織は悪意ある活動を観察し、OTに対する親ロシア派ハクティビストの最近のサイバー作戦に関連する情報と緩和策を共有するために、この共同ガイダンスを発表する。
“This year we have observed pro-Russia hacktivists expand their targeting to include vulnerable North American and European industrial control systems,” said Dave Luber, NSA’s Director of Cybersecurity. “NSA highly recommends critical infrastructure organizations’ OT administrators implement the mitigations outlined in this report, especially changing any default passwords, to improve their cybersecurity posture and reduce their system’s vulnerability to this type of targeting. 「NSAのサイバーセキュリティ担当ディレクターであるデイブ・ルーバーは、「今年、親ロシア派のハクティビストたちが、脆弱な北米や欧州の産業用制御システムに標的を拡大していることが確認された。「NSAは、重要インフラ組織のOT管理者に対し、サイバーセキュリティ態勢を改善し、この種の標的に対するシステムの脆弱性を低減するため、本報告書に概説されている緩和策、特にデフォルトパスワードの変更を実施することを強く推奨している。
The recommendations in this report include hardening human machine interfaces, limiting exposure of OT systems to the internet, using strong and unique passwords, and implementing multifactor authentication for all access to the OT network.  These recommendations are helpful to counter any actors using these techniques.  本レポートの推奨事項には、ヒューマン・マシン・インターフェースの強化、OTシステムのインターネットへの露出の制限、強固でユニークなパスワードの使用、OTネットワークへのすべてのアクセスに対する多要素認証の実装などが含まれる。 これらの勧告は、このようなテクニックを使う行為者に対抗するのに役立つ。

 

 

・2024.05.01 [PDF] Fact Sheet: Defending OT Operations Against Ongoing Pro-Russia Hacktivist Activity

20240506-33735