2022.07.04

総務省 経済産業省 「情報信託機能の認定に係る指針Ver2.2(案)」及び「情報銀行におけるプロファイリングの取扱いに関する議論の整理(案)」に対する意見募集の結果等

こんにちは、丸山満彦です。

総務省と経済産業省が、「情報信託機能の認定に係る指針Ver2.2(案)」及び「情報銀行におけるプロファイリングの取扱いに関する議論の整理(案)」に対する意見募集の結果、「情報信託機能の認定に係る指針Ver2.2」及び「情報銀行におけるプロファイリングの取扱いに関する議論の整理」を公表していますね。。。

総務省

・2022.06.30 情報信託機能の認定に係る指針Ver2.2(案)」及び「情報銀行におけるプロファイリングの取扱いに関する議論の整理(案)」に対する意見募集の結果、「情報信託機能の認定に係る指針Ver2.2」及び「情報銀行におけるプロファイリングの取扱いに関する議論の整理」の公表


1 概要

 総務省及び経済産業省では、「情報信託機能の認定スキームの在り方に関する検討会」(以下「検討会」という。)を開催し、平成30年6月には民間団体等による情報銀行の任意の認定の仕組みに関する「情報信託機能の認定に係る指針ver1.0」が、令和3年8月には「情報信託機能の認定に係る指針ver2.1」が取りまとめられました。
 また、令和2年及び令和3年個人情報保護法に対応するべく「情報信託機能の認定に係る指針ver2.1」の見直しを含めた検討が行われるとともに、健康・医療分野の情報の取扱いに関連し、検討会においてプロファイリングの取扱いに関する問題提起がなされたことを受け、情報銀行におけるプロファイリングの規律の在り方に関する議論が行われました。
 この度、検討会にて作成した「情報信託機能の認定に係る指針Ver2.2(案)」及び「情報銀行におけるプロファイリングの取扱いに関する議論の整理(案)」について、令和4年4月27日(水)から同年5月26日(木)までの間意見を募集した結果、6件の意見がありました。
 本日、提出された意見とこれに対する考え方、「情報信託機能の認定に係る指針Ver2.2」及び「情報銀行におけるプロファイリングの取扱いに関する議論の整理」を公表します。

2 意見募集の結果

 提出された意見とこれに対する考え方は別紙1のとおりです。
 また、意見を踏まえて修正した、「情報信託機能の認定に係る指針Ver2.2」は別紙2、「情報銀行におけるプロファイリングの取扱いに関する議論の整理」は別紙3のとおりです。

 

● 経済産業省

・2022.06.30 「情報信託機能の認定に係る指針Ver2.2(案)」及び「情報銀行におけるプロファイリングの取扱いに関する議論の整理(案)」に対する意見募集の結果、「情報信託機能の認定に係る指針Ver2.2」及び「情報銀行におけるプロファイリングの取扱いに関する議論の整理」を取りまとめました

 


1.概要

経済産業省及び総務省では、「情報信託機能の認定スキームの在り方に関する検討会」(以下「検討会」という。)を開催し、平成30年6月には民間団体等による情報銀行の任意の認定の仕組みに関する「情報信託機能の認定に係る指針ver1.0」が、令和3年8月には「情報信託機能の認定に係る指針ver2.1」が取りまとめられました。

また、令和2年及び令和3年個人情報保護法に対応するべく「情報信託機能の認定に係る指針ver2.1」の見直しを含めた検討が行われるとともに、健康・医療分野の情報の取扱いに関連し、検討会においてプロファイリングの取扱いに関する問題提起がなされたことを受け、情報銀行におけるプロファイリングの規律の在り方に関する議論が行われました。

この度、検討会にて作成した「情報信託機能の認定に係る指針Ver2.2(案)」及び「情報銀行におけるプロファイリングの取扱いに関する議論の整理(案)」について、令和4年4月27日(水曜日)から同年5月26日(木曜日)までの間意見を募集した結果、6件の意見がありました。

 本日、提出された意見とこれに対する考え方、「情報信託機能の認定に係る指針Ver2.2」及び「情報銀行におけるプロファイリングの取扱いに関する議論の整理」を公表します。

2.意見募集の結果

提出された意見とこれに対する考え方は別紙1のとおりです。

また、意見を踏まえて修正した、「情報信託機能の認定に係る指針Ver2.2」は別紙2、「情報銀行におけるプロファイリングの取扱いに関する議論の整理」は別紙3のとおりです。

関連資料


 

20220704-124441

 

参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.03 総務省 経済産業省 「情報信託機能の認定に係る指針Ver2.2(案)」及び「情報銀行におけるプロファイリングの取扱いに関する議論の整理(案)」

 

| | Comments (0)

英国 商業的なサイバー能力は合法的かつ責任を持って使用されなければならない by 国家サイバーセキュリティセンター長 (2022.06.28)

こんにちは、丸山満彦です。

英国の国家サイバーセキュリティセンター長(National Cyber Security Centre CEO)が、テルアビブで開催されたCyber Weekに登壇し、演説したことが、公表されていますね。。。

次のことが重要なのでしょうかね。。。

・学術界、産業界、政府間の連携

・(ウクライナへのロシア侵攻以後であっても)ランサムウェアは世界最大のサイバー脅威であり続けている

・回復力(レジリエンス)とそのための準備が重要である。

あと、末尾に2022.05.19に英国のSuella Braverman司法長官 [wikipedia] のInternational Law in Future Frontiers に関するスピーチも載せています。。。興味深いです。。。

 

● U.K. Goverment - Natinal Cyber Security Centre 

・2022.06.28 Commercial cyber capabilities must be used legally and responsibly, says UK NCSC CEO

Commercial cyber capabilities must be used legally and responsibly, says UK NCSC CEO 商業的なサイバー能力は合法的かつ責任を持って使用されなければならないと、英国NCSCのCEOは述べました
Lindy Cameron's speech at Tel Aviv Cyber Week emphasised the importance of partnerships and international regulation of sophisticated cyber capabilities. テルアビブ・サイバーウィークでのリンディ・キャメロンのスピーチは、高度なサイバー能力に関するパートナーシップと国際的な規制の重要性を強調しました。
The head of the UK’s National Cyber Security Centre (NCSC) has delivered an international speech emphasising the importance of legal and responsible use of commercial cyber capabilities. 英国の国家サイバーセキュリティセンター(NCSC)のトップは、商業的なサイバー能力を合法的かつ責任を持って使用することの重要性を強調する国際的なスピーチを行いました。
Speaking to an audience at the globally prestigious Cyber Week hosted by Tel Aviv University, Lindy Cameron also discussed how the ties between academia, industry, and governments are key to countering the latest cyber threats. リンディ・キャメロンは、テルアビブ大学主催の世界的に権威のあるサイバーウィークで聴衆を前に、最新のサイバー脅威に対抗するためには、学術界、産業界、政府間の連携がいかに重要であるかについても述べました。
The CEO of the UK NCSC – which is part of the world-leading intelligence agency GCHQ – will say that even following the illegal Russian invasion of Ukraine, ransomware remains the biggest global cyber threat most organisations must manage. 世界をリードする情報機関GCHQの一部である英国NCSCのCEOは、ロシアのウクライナへの不法侵入の後でも、ランサムウェアはほとんどの組織が管理しなければならない世界最大のサイバー脅威であり続けていると述べました。
She will also praised Ukrainian cyber defenders for their response to Russia’s invasion, highlighting the resilience of their networks in repelling many attacks. She said: また、ロシアの侵攻に対するウクライナのサイバー擁護者の対応を称賛し、多くの攻撃を撃退したネットワークの回復力を強調する予定です。彼女は次のように述べました。
“Russia has consistently used cyber pressure to stress its rivals, distract them, and where possible disable them. 「ロシアは一貫して、ライバルにストレスを与え、注意をそらし、可能であれば無力化するために、サイバー圧力を使ってきました。」
“But – just as they have on the battlefield – the Ukrainian cyber defenders have done an incredible job of repelling many of these attacks. They are real heroes. 「しかし、戦場と同じように、ウクライナのサイバー防衛隊は、これらの攻撃の多くを撃退するという信じられないような仕事を成し遂げました。彼らは真の英雄です。」
“And I think resilience and preparation are at the heart of this success.” 「そして、この成功の核心は、回復力と準備にあると思います。」
The main focus of her speech was the international regulation of sophisticated cyber capabilities. Lindy Cameron said: 彼女のスピーチの主な焦点は、高度なサイバー能力の国際的な規制であった。リンディ・キャメロンは次のように述べました。
“If we’re going to maintain a cyberspace which is a safe and prosperous place for everyone, it is vital that such capabilities are produced and used in a way that is legal, responsible and proportionate. 「私たちが誰にとっても安全で豊かなサイバースペースを維持しようとするならば、そのような能力が、合法的で、責任感があり、適切な方法で生産され、使用されることが極めて重要です。
“I am delighted that Israel has tightened export controls around these tools, making it far more difficult for nations with concerning records on privacy and human rights to acquire such intrusive spyware. 「イスラエルがこれらのツールの輸出規制を強化し、プライバシーや人権に問題のある国々がこのような侵入型スパイウェアを入手することをはるかに困難にしたことは喜ばしいことです。」
“It is really important that every actor, from the developer to the end-user of these types of technology and capability acts responsibly, with appropriate safeguards to protect against misuse.” 「この種の技術や能力の開発者からエンドユーザーまで、すべての関係者が悪用から守るための適切な保護措置を講じて、責任ある行動をとることが本当に重要です。」
Describing Israel as a “shining” example of what can be done when a nation takes cyber security seriously, she said: イスラエルは、国家がサイバーセキュリティに真剣に取り組んだときに何ができるかを示す「輝く」例であると、彼女は述べました。
“The technology developed here is truly world class. The talent in the cyber security sector is second to none. And your defences are some of the strongest in the world. 「イスラエルで開発された技術は、まさにワールドクラスです。サイバーセキュリティの分野における才能は、他の追随を許しません。そして、その防御は世界でも最も強固なものです。」
“But making the most of our digital future is too big an issue for any one nation to handle alone. 「しかし、デジタルの未来を最大限に活用することは、一国だけで対処するには大きすぎる問題です。」
“Whether it is drip feed irrigation or health and climate tech, Israel has always been proud to innovate for the benefit of people, well beyond your borders. 「イスラエルは、灌漑や医療、気候変動に関する技術など、国境を越えて人々の役に立つ技術革新を常に誇りとしてきました。」
“So, I hope you will continue to produce cyber security solutions which are safe, strong but also affordable for the whole world.” 「ですから、これからも、安全で、強力で、しかも全世界にとって手頃な価格のサイバーセキュリティ・ソリューションを生み出し続けることを期待します。」
Turning to ransomware and how the upward trend of the commercialisation of such capabilities dramatically lowers the technical knowhow required to conduct criminal operations, she said: ランサムウェアについては、その商業化が進み、犯罪行為に必要な技術的ノウハウが劇的に低下していることを指摘し、次のように述べました。
“But - even with a war raging in Ukraine - the biggest global cyber threat we still face is ransomware. That tells you something of the scale of the problem. 「しかし、ウクライナで戦争が勃発しても、私たちが直面している最大のグローバルなサイバー脅威はランサムウェアなのです。このことが、問題の大きさを物語っています。」
“Ransomware attacks strike hard and fast. They are evolving rapidly, they are all-pervasive, they're increasingly offered by gangs as a service, lowering the bar for entry into cyber crime. 「ランサムウェアの攻撃は激しく、そして速い。ランサムウェアは急速に進化し、あらゆるところに蔓延しており、ギャングがサービスとして提供することも多く、サイバー犯罪への参入のハードルが低くなっています。」
“And that's what makes them such a threat – not just the nationally significant incidents that my team and I we deal with in the NCSC, but also the hundreds of incidents we see that affect the UK more widely every year. 「私たちNCSCのチームが扱う国内での重大事件だけでなく、毎年、英国に広く影響を及ぼす数百の事件もこうした脅威になります。」
“These complex attacks have the potential to affect our societies and economies significantly, if it were not for the expertise of our incident management operators working in collaboration with their counterparts in industry and their international counterparts gathered here today.” 「これらの複雑な攻撃は、今日ここに集まった産業界の関係者や国際的な関係者と協力して活動する事故管理オペレータの専門知識がなければ、私たちの社会や経済に大きな影響を与える可能性があります」。
Returning to the theme of partnerships, Lindy Cameron emphasised that prosperous relationships between different institutions are key to countering the latest cyber threats: リンディ・キャメロンは、「パートナーシップ」というテーマに戻り、最新のサイバー脅威に対抗するためには、異なる機関同士の豊かな関係が重要であることを強調しました。
“To succeed, partnerships are essential. So, we are building stronger ties between academia, industry and government. 「成功するためには、パートナーシップは不可欠です。成功するためには、パートナーシップが不可欠です。ですから、私たちは、学術界、産業界、政府間のより強い結びつきを構築しています。」
“We must come together around our shared values. Each nation bringing its own particular skills and strengths to build a network which is naturally resilient to attack, one which favours innovation, discourse and creativity over control and coercion.” 「私たちは、共通の価値観のもとに団結しなければなりません。各国はそれぞれ固有のスキルや強みを持ち寄り、攻撃に自然に強いネットワークを構築しています。」

 

スピーチ本文

・2022.06.28 Lindy Cameron speech at Tel Aviv Cyber Week

Lindy Cameron speech at Tel Aviv Cyber Week テルアビブ・サイバーウィークでのリンディ・キャメロン長官のスピーチ
The CEO of the NCSC emphasises the ties between academia, industry and government in countering cyber threats. NCSCのCEOは、サイバー脅威に対抗するための学術界、産業界、政府間の結びつきを強調しています。
Good morning everyone. And it’s fantastic to be here again in Tel Aviv. 皆さん、おはようございます。またテルアビブに来ることができ、大変うれしく思います。
Thank you so much for inviting me. And thanks to those of you who are joining us online - thanks for tuning in. It's great to be back here for a 2nd year running despite the challenges of COVID. お招きいただき、本当にありがとうございます。そして、オンラインで参加してくださっている方々にも感謝します。COVIDの挑戦にもかかわらず、2年連続でここに戻ってこられたのは素晴らしいことです。
I would like to start by congratulating Gaby Portnoy on his appointment as Director General of the Israel National Cyber Directorate earlier this year. まず、今年初めにイスラエル国家サイバー総局の局長に就任されたGaby Portnoy氏にお祝いを申し上げたいと思います。
My own organisation - the UK’s National Cyber Security Centre - and the INCD share an awful lot in terms of mission and of outlook. 私の所属する英国の国家サイバーセキュリティセンターとINCDは、その使命と展望において非常に多くのことを共有しています。
Our collaborations over the years have really delivered and I look forward to expanding the partnership in the years ahead. 私たちの長年の協力関係は実を結んでおり、今後数年間でこのパートナーシップを拡大することを楽しみにしています。
Since I was here in Tel Aviv this time last year, the brutal Russian invasion of Ukraine has not only changed the geo-political landscape but transformed the context for our work on cyber security. 昨年の今頃、私はここテルアビブにいましたが、ロシアの残忍なウクライナ侵攻は、地政学的な状況を変えただけでなく、私たちのサイバーセキュリティに関する仕事の文脈も一変させました。
When the first Russian tank crossed into Ukrainian territory, the unthinkable suddenly became a terrifying reality. 最初のロシアの戦車がウクライナの領土を横切ったとき、考えられないことが突然、恐ろしい現実となったのです。
Millions of innocent people have had their lives, homes and families taken from them. 何百万人もの罪のない人々が、その命、家、家族を奪われたのです。
And while Russia inflicted this physical oppression, they were also conducting a cyber campaign. This came as no surprise. Russia has consistently used cyber pressure to stress its rivals, distract them, and where possible disable them. そして、ロシアはこのような物理的な抑圧を加える一方で、サイバーキャンペーンも行っていたのです。これは驚くことではありません。ロシアは一貫して、ライバルにストレスを与え、注意をそらし、可能であれば無力化するためにサイバー圧力を使ってきました。
But – just as they have done on the battlefield – Ukrainian cyber defenders have done an incredible job of repelling many of these attacks. They are real heroes. しかし、戦場と同じように、ウクライナのサイバー防衛隊は、これらの攻撃の多くを撃退するという信じられないような仕事をやってのけた。彼らは真の英雄です。
And I think resilience and preparation are at the heart of this success. I’ll come back to this point shortly. そして、この成功の核心は、回復力と準備にあると思います。この点については、またすぐに触れたいと思います。
But for all the pernicious activity that we have seen from Russia in the last few months in cyber space and beyond, we must not lose sight of the longer-term strategic challenges posed by the continued growth of China as a technological and economic power. しかし、ここ数カ月、サイバー空間やそれ以外の場所でロシアから見られたあらゆる悪質な活動について、私たちは、技術力および経済力として成長を続ける中国がもたらす長期的な戦略的課題を見失ってはなりません。
Because in cyber security this challenge is particularly acute because of the globalised nature of digital technology. なぜなら、サイバーセキュリティにおいては、デジタル技術のグローバル化により、この課題は特に深刻だからです。
The Chinese government’s use of technology is about coercion and control. And the country’s technological and economic power mean they can export this vision very widely. 中国政府によるテクノロジーの利用は、強制と統制を目的としています。そして、この国の技術力と経済力は、このビジョンを非常に広く輸出することができることを意味します。
Once the world relies on technology delivered with an authoritarian bias, it will constrain our choices. いったん世界が権威主義的なバイアスをもって提供されるテクノロジーに依存すれば、それは我々の選択を制約することになります。
As allies…as equals…our more open systems can take time to reach agreement. And when we leave important choices unmade, we leave gaps in our defences which will be rapidly exploited. 同盟国として、対等な立場で、よりオープンなシステムで合意に達するには時間がかかるかもしれません。そして、重要な選択をしないままにしておくと、防御の隙間ができてしまい、それが急速に利用されることになるのです。
So these challenges - from China, Russia and others - make it impossible for us to leave cyber security for another day. 中国、ロシア、その他の国々からのこうした挑戦は、私たちがサイバーセキュリティを別の日に残しておくことを不可能にしています。
So now is the time to innovate, educate and empower our citizens. ですから、今こそイノベーションを起こし、教育し、市民に力を与えるべき時なのです。
The democracies of the world have to challenge themselves to develop technologies and systems which allow us to avoid reliance on products not aligned with our values. 世界の民主主義国家は、我々の価値観に合わない製品に依存しないような技術やシステムの開発に挑戦しなければならないのです。
And I hope that the ‘start-up nation’ of Israel can play an important role in this innovation over the years to come. そして、「新興国」イスラエルが、今後何年にもわたって、このイノベーションにおいて重要な役割を果たすことを期待しています。
But – even with a war raging in Ukraine – the biggest global cyber threat we still face is ransomware. しかし、ウクライナで戦争が勃発しても、私たちが直面している世界的なサイバー脅威の最大のものはランサムウェアです。
That tells you something of the scale of the problem. このことは、問題の規模を物語っています。
Ransomware attacks strike hard and fast. They are evolving rapidly, they are all-pervasive, they're increasingly offered by gangs as a service, lowering the bar for entry into cyber crime. ランサムウェアの攻撃は激しく、速い。ランサムウェアは急速に進化しており、あらゆるところに蔓延しています。また、ギャングがサービスとして提供することも増えており、サイバー犯罪への参入のハードルが低くなっています。
And that's what makes them such a threat – not just the nationally significant incidents that my team and I deal with in the NCSC, but also the hundreds of incidents we see that affect the UK more widely every year. 私やNCSCのチームが扱う国内での重大事件だけでなく、毎年、英国に広く影響を及ぼす何百もの事件も、このような脅威となっています。
These complex attacks have the potential to affect our societies and economies significantly, if it were not for the expertise of our incident management operators working in collaboration with their counterparts in industry and their international counterparts gathered here today. これらの複雑な攻撃は、今日ここに集まった産業界の関係者や国際的な関係者と協力して活動する事故管理オペレータの専門知識なしには、私たちの社会や経済に大きな影響を与える可能性があります。
So, we worked hard over the last year, to really understand, with our law enforcement partners, the criminal system behind ransomware. We want to drive down profits and drive up the risk to the criminals. We continue to work on understanding the scale, nature and evolution of their techniques. 私たちは昨年、法執行機関のパートナーとともに、ランサムウェアの背後にある犯罪システムを理解するために、懸命に取り組みました。私たちは、犯罪者の利益を減少させ、リスクを増加させたいと考えています。私たちは、犯罪者の技術の規模、性質、進化を理解するための努力を続けています。
We want to make ransomware an unprofitable and unattractive business. ランサムウェアを収益性の低い、魅力的でないビジネスにしたいのです。
Russia may dominate the headlines at the moment, but this threat of ransomware has not gone away – and nor have we stopped our relentless focus on it. 今はロシアが話題の中心かもしれませんが、ランサムウェアの脅威は消えていませんし、私たちもランサムウェアへの徹底的な取り組みを止めてはいません。
But it’s not all doom and gloom. しかし、悲観的な話ばかりではありません。
I’ve mentioned Ukraine, and closer to home, just look at the work undertaken by our hosts here in Israel - a shining example of what can be done when a nation takes cyber security seriously. ウクライナについて触れましたが、身近なところでは、ここイスラエルで私たちのホストが行っている活動をご覧になってください。
The technology developed here is truly world class. The talent in the cyber security sector is second to none. And your defences are some of the strongest in the world. この国で開発された技術は、まさにワールドクラスです。サイバーセキュリティの分野では、他の追随を許さないほどの才能があります。そして、その防御は世界でも最も強固なもののひとつです。
But making the most of our digital future is too big an issue for any one nation to handle alone. しかし、デジタルの未来を最大限に活用することは、一国だけで扱うには大きすぎる問題です。
Whether its drip feed irrigation or health and climate tech, Israel has always been proud to innovate for the benefit of people, well beyond your borders. 点滴にせよ、健康・気候技術にせよ、イスラエルは常に、国境を越えて人々のためにイノベーションを起こすことを誇りとしてきました。
So, I hope you will continue to produce cyber security solutions which are safe, strong and affordable for the whole world. ですから、これからも全世界のために、安全で、強く、手頃な価格のサイバーセキュリティ・ソリューションを生み出し続けてほしいと思います。
Because an isolationist stance is just not going to work, long term. I think the war in Ukraine is a case in point there. なぜなら、孤立主義的なスタンスでは、長期的にうまくいかないからです。ウクライナの戦争は、その典型例だと思います。
Technology and tactics developed there won't remain local problems. We've all watched that carefully. そこで開発された技術や戦術は、ローカルな問題として残ることはないでしょう。私たちはそれを注意深く見守ってきました。
An important part of our response to this as an international community is a clearer definition and enforcement of the rules that govern activity in cyberspace. 国際社会としての対応で重要なのは、サイバースペースでの活動を統制するルールをより明確に定義し、実施することです。
If we are to ensure that the digital world remains a place of opportunity, and to avoid it becoming a place of conflict and struggle, we must be clearer about the guidelines and norms that transcend international borders. We must explore innovative new technologies and share lessons learnt. デジタルの世界がチャンスの場であり続け、紛争や闘争の場にならないようにするには、国境を越えたガイドラインや規範をより明確にしなければなりません。革新的な新技術を探求し、学んだ教訓を共有しなければなりません。
Last month, the UK's Attorney-General set out the UK views on how international law applies in cyberspace in peace time. 先月、英国の司法長官は、平時のサイバースペースにおける国際法の適用方法について、英国の見解を示しました。
She focused on providing more detail on the rule on prohibited intervention. Her speech brings this to life by providing examples from key sectors of the sort of cyber behaviour that would be unlawful if conducted in peacetime. 彼女は、禁止された介入に関するルールについて、より詳細な情報を提供することに焦点を当てました。同弁護士は、平時に行われた場合には違法となるようなサイバー行動について、主要なセクターから例を挙げて説明し、これを現実のものとしました。
She stressed that the United Kingdom’s aim is to ensure that future frontiers evolve in a way that reflects our democratic values and interests, as well as those of our allies. また、英国の目的は、将来のフロンティアが、わが国の民主主義的価値と利益、そして同盟国の利益を反映する形で発展していくようにすることだと強調しました。
We need clarity on the points of law if they are to be part of a framework for governing international relations and if they are to rein in irresponsible cyber behaviour. 国際関係を統治する枠組みの一部となり、無責任なサイバー行動を抑制するためには、法律のポイントを明確にする必要があります。
Another very significant element is the international regulation of sophisticated cyber capabilities. Some of which have been pioneered here, in Israel. もう一つの非常に重要な要素は、高度なサイバー能力の国際的な規制です。そのうちのいくつかは、ここイスラエルで先駆的に開発されたものです。
If we’re going to maintain a cyberspace which is a safe and prosperous place for everyone, it is vital that such capabilities are produced and used in a way that is legal, responsible and proportionate. 私たちが誰にとっても安全で豊かなサイバースペースを維持しようとするならば、そのような能力が合法的で、責任感があり、適切な方法で生産され、使用されることが極めて重要です。
I am delighted that Israel has tightened export controls around these tools, making it far more difficult for nations with concerning records on privacy and human rights to acquire such intrusive spyware. イスラエルがこうしたツールの輸出規制を強化し、プライバシーや人権に問題のある国々がこうした侵入型スパイウェアを入手するのをはるかに困難にしたことは喜ばしいことです。
It is really important that every actor, from the developer to the end-user of these types of technology and capability acts responsibly, with appropriate safeguards to protect against misuse. この種の技術や能力の開発者からエンドユーザーまで、すべての関係者が悪用から保護するための適切なセーフガードを用いて、責任ある行動をとることが本当に重要です。
There is a key role here for those of you in the private sector, for our respective cyber industries and technology companies in conducting due diligence and ensuring their products are not deployed in a manner that creates harm or undermines these principles. 民間企業の皆さん、サイバー産業やテクノロジー企業の皆さんは、デューディリジェンスを行い、自社の製品がこれらの原則を損なったり、損害を与えるような形で配備されないようにすることが重要な役割となります。
One of the great benefits of coming to fantastic events like this at Tel Aviv Cyber Week is the opportunity to learn from others and exchange ideas. テルアビブ・サイバーウィークのような素晴らしいイベントに参加する大きなメリットの一つは、他の人から学び、アイデアを交換する機会であることです。
In the UK, we take our ‘whole of society’ approach to cyber security really seriously. We want everyone ‘on the team’, pulling together to present a cohesive and resilient digital face to the world. Every citizen, business and utility, every school, charity and hospital. And I think that is something that we look to you for some real lessons on. 英国では、サイバーセキュリティに対する「社会全体」での取り組みに真摯に取り組んでいます。私たちは、すべての人が「チーム」となり、力を合わせて、結束力のある、弾力的なデジタルの顔を世界に示すことを望んでいます。すべての市民、企業、公共事業、学校、慈善団体、病院がそうです。そのために、私たちは皆さんに本当の意味での教訓を求めたいと考えています。
We want to help create a society that is resilient to cyber attacks, where cyber security is second nature to all of us. 私たちは、サイバー攻撃に強い社会、サイバーセキュリティが当たり前の社会を作りたいと考えています。
Israel is already some way ahead in this process. Your cyber security ecosystem of businesses, education, and research is thoroughly inspirational. I am personally in awe of your cyber education programme – it is something that the UK’s CyberFirst scheme has learnt many lessons from. イスラエルは、このプロセスにおいて、すでにいくつかの点で先を行っています。ビジネス、教育、研究からなるサイバーセキュリティのエコシステムは、非常に刺激的です。個人的には、イスラエルのサイバー教育プログラムに畏敬の念を抱いています。このプログラムは、英国のサイバーファースト計画から多くの教訓を得たものです。
And I appreciate that building this kind of depth of understanding, as Professor Ben-Israel said, takes time. But early investment really pays dividends. ベン・イスラエル教授がおっしゃるように、このような深い理解を得るには時間がかかります。しかし、早期の投資は実に大きな利益をもたらします。
The same is true of organisations around the world as they build resilience to cyber compromises. このことは、世界中の組織がサイバー攻撃への耐性を強化する際にも同じことが言えます。
Which is why my organisation has been encouraging organisations throughout the UK to follow the advice that we give as NCSC to improve their resilience – learning from the lessons we've seen in Ukraine of how to build that resilience in the face of the Russian onslaught. 私の組織では、NCSCとしてのアドバイスに従って回復力を高めるよう、英国内の組織に働きかけています。ロシアの猛攻に直面したときに回復力を高める方法について、ウクライナで見た教訓から学んでいるわけです。
And learning the lessons of Ukrainian cyber security in recent months has been something we've tried to help our companies in the UK to understand. そして、ここ数カ月のウクライナのサイバーセキュリティの教訓を学ぶことは、英国の企業にも理解してもらおうとしたことでした。
But to build this kind of resilience we need to create an environment where people are not too busy putting out the little fires to focus on the longer term. しかし、このようなレジリエンスを構築するためには、人々が小さな火事を消すことに忙しく、長期的な視点に集中できないような環境を作り出す必要があります。
Which is why the NCSC is really proud of our Active Cyber Defence programme, which helps to reduce the volume of low-level commodity attacks. And we’ve had some noteworthy successes. NCSCが、低レベルのコモディティ攻撃の量を減らすのに役立つ「アクティブ・サイバー・ディフェンス」プログラムを高く評価しているのはそのためです。そして、私たちは特筆すべき成功を収めています。
Our ‘Takedown project’, for example, removed 3.1 million malicious URLs in 2021. Which we think saved the UK £223 million. 例えば、私たちの「Takedownプロジェクト」は、2021年に310万件の悪質なURLを削除しました。これにより、英国は2億2,300万ポンドを節約できたと我々は考えています。
In the same period, our  ‘Protective DNS’ service handled more than 600 billion requests. 160 million of which were blocked from accessing known sources of malicious content. 同じ期間に、私たちの「Protective DNS」サービスは6,000億以上のリクエストを処理しました。そのうち1億6000万件は、悪質なコンテンツの既知のソースへのアクセスをブロックしました。
And, one service that I am particularly proud of is our Suspicious Email Reporting Service, because we enlist the great British public to help us. So far, the public have told us about 10.5 million suspicious emails, from which we’ve taken down 76,000 online scams. It's a great example of our “whole of society” approach in action and it helps our citizens feel as if they're helping us as a country, not just to protect themselves, but to protect the nation as a whole. また、私が特に誇りに思っているサービスのひとつに、「疑わしい電子メール報告サービス」があります。これは、英国の優れた一般市民の協力を得ているためです。これまで、1,050万通の不審なメールについて一般の方から情報をいただき、その中から76,000件のオンライン詐欺を取り締まりました。これは、私たちの「社会全体で取り組む」アプローチの好例であり、国民が自分たちを守るためだけでなく、国全体を守るために協力しているのだと実感できるようになります。
So, this ambitious approach to a whole of society approach to cyber. But I think to succeed, partnerships are essential. So, we are building stronger ties between academia, industry and government. つまり、この野心的なアプローチは、サイバーに対する社会全体のアプローチなのです。しかし、成功するためには、パートナーシップが不可欠だと思います。そこで私たちは、学術界、産業界、政府間のより強い結びつきを構築しています。
We’re reaching out to startups, with initiatives designed to spur the development of tools which will protect the UK’s smaller and medium sized businesses. 英国の中小企業を保護するツールの開発に拍車をかけるために、新興企業にも手を差し伸べています。
And we are engaging, as we are here, with our friends and allies. そして、ここにいるように、私たちは友人や同盟国とも関わっています。
We must come together around our shared values. Each nation bringing its own particular skills and strengths to build a network which is naturally resilient to attack, one which favours innovation, discourse and creativity over control and coercion. 私たちは、共通の価値観のもとに団結しなければなりません。各国はそれぞれ固有のスキルと強みを持ち寄り、攻撃に自然に強いネットワークを構築し、支配や強制よりもイノベーションや言論、創造性を優先させます。
They are big challenges, and they point to even larger actions. So, I look forward to discussing them with you here at Cyber Week, and in the months and years to come. これらは大きな挑戦であり、さらに大きな行動を指し示しています。このサイバーウィークで、そしてこれからの数ヶ月、数年の間に、皆さんと一緒にこれらの課題について議論できることを楽しみにしています。
Thank you for your time. お忙しい中、ありがとうございました。

 

1_20220704055101

 

 

» Continue reading

| | Comments (0)

2022.07.03

米国 FBI-IC3が盗んだ個人情報とディープフェイクを利用してリモートワーク等に応募していると警告していますね。。。

こんにちは、丸山満彦です。

ディープフェイクが身近になってくると、こういう事件は起こってきますよね。。。

2020年の第24回サイバー犯罪に関する白浜シンポジウムのテーマが、「AIはサイバーセキュリティの夢を見るか?で私もスマートサイバー AI活用時代のサイバーリスク管理 という演題で講演しましたが、ここで、フェイク動画についてのなりすましについて簡単に紹介しました。。。

・[PDF] スマートサイバー AI活用時代のサイバーリスク管理

今回の場合は、リモート面接においての話ですが、特定の人の顔画像、音声情報、個人の履歴書等を盗み、その人になりすまし、AIを活用して本人になりすまし、機密情報に触れられる職に就き、必要な機密情報を盗むということが、これから日常的になるのでしょうかね。。。

懸念していたことが、現実社会においても広がってきているという状況ですね。。。そして、今後ますます広がっていくでしょうね。。。

 

 ● Federal Bureau of Investigation - Internet Crime Complaint Center: FBI-ICS3

・2022.06.28 Deepfakes and Stolen PII Utilized to Apply for Remote Work Positions

Deepfakes and Stolen PII Utilized to Apply for Remote Work Positions リモートワークの応募にディープフェイクや盗まれた個人情報が利用される事例が発生
The FBI Internet Crime Complaint Center (IC3) warns of an increase in complaints reporting the use of deepfakes and stolen Personally Identifiable Information (PII) to apply for a variety of remote work and work-at-home positions. Deepfakes include a video, an image, or recording convincingly altered and manipulated to misrepresent someone as doing or saying something that was not actually done or said. FBIインターネット犯罪苦情センター(IC3)は、様々なリモートワークや在宅勤務の職種に応募するために、ディープフェイクと盗まれた個人識別情報(PII)が使用されているという苦情が増加していることを警告する。ディープフェイクとは、ビデオ、画像、または録音を説得力を持って改変・操作し、実際には行われていないことを誰かが行った、または言ったと誤解させるようなものを指す。
The remote work or work-from-home positions identified in these reports include information technology and computer programming, database, and software related job functions. Notably, some reported positions include access to customer PII, financial data, corporate IT databases and/or proprietary information. この報告書に記載されているリモートワークや在宅勤務の職種には、情報技術、コンピュータ・プログラミング、データベース、ソフトウェア関連の職務が含まれている。特に、顧客の個人情報、財務データ、企業のITデータベースおよび/または専有情報にアクセスする職種が含まれていることが報告されている。
Complaints report the use of voice spoofing, or potentially voice deepfakes, during online interviews of the potential applicants. In these interviews, the actions and lip movement of the person seen interviewed on-camera do not completely coordinate with the audio of the person speaking. At times, actions such as coughing, sneezing, or other auditory actions are not aligned with what is presented visually. 苦情では、応募者のオンライン面接において、音声スプーフィング、または潜在的な音声ディープフェイクが使用されていることが報告されている。これらの面接では、カメラで撮影された面接者の動作や唇の動きが、話している人の音声と完全に一致していない。咳やくしゃみなどの聴覚的な動作と、視覚的に提示された動作が一致しないことがある。
IC3 complaints also depict the use of stolen PII to apply for these remote positions. Victims have reported the use of their identities and pre-employment background checks discovered PII given by some of the applicants belonged to another individual. また、IC3への苦情では、遠隔地のポジションに応募するために、盗まれた個人情報が使用されていることが指摘されている。被害者は、自分のIDが使用されたことを報告し、雇用前のバックグラウンド・チェックで、応募者の何人かが提供したPIIが別の個人のものであることを発見した。

 

Ic3_20220703044601

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2022.03.20 米国 カーネギーメロン大学ソフトウェア工学研究所 Deep Fakeの作成と検出はどの程度簡単か?

・2022.01.26 英国王立学会 オンライン情報環境(フェイク情報は削除すべき、削除すべきでない?)at 2022.01.19

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.10.12 中国 科学技術部 新世代の人工知能倫理規定 at 2021.09.26

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.21 米国 上院議員がデータ保護法案を再提出

・2021.06.04 欧州検査院 特別報告書 EUに影響を与える偽情報:対処しても対処しきれない

・2021.01.26 RAND研究所 真実の崩壊に対抗するためのメディアリテラシー標準についての報告

・2021.01.18 新聞紙学的(平和博さんのブログ) - ディープフェイクスにどれだけ騙される? 意外な実験結果とは

・2020.12.07 民主主義を守るための偽情報との戦い

・2020.11.23 Europol, UNICRI, Trendmicro 犯罪者もAIを活用!(ディープフェイクだけではない)

・2020.10.22 米国GAOのブログでDeepfakeが取り上げられていますね。。。

・2020.10.12 欧州議会は「人工知能、ロボットおよび関連技術の倫理的側面の枠組み」を採択しましたね。。。

・2020.09.04 マイクロソフトがDeepfake検出ツールを発表してました。。。

・2020.08.10 DeepfakeについてのNATO, CSET, Partnership on AI, GAOの報告書(少し前ですが・・・)

・2020.07.02 ディズニーがメガピクセルのディープフェイクで映画?

・2020.04.20 別人になりきってオンラインビデオ会議に参加できるオープンソースのディープフェイクツール「Avatarify」...

・2020.01.27 Deepfake

| | Comments (0)

経済産業省 車載用半導体サプライチェーン検討WG 中間報告「自動車サプライチェーンの強靭化に向けた取組」

こんにちは、丸山満彦です。

経済産業省(製造産業局自動車課、商務情報政策局情報産業課)の車載用半導体サプライチェーン検討WGが、中間報告「自動車サプライチェーンの強靭化に向けた取組」を公表していますね。。。

製造においては特定部品の不足が産業全体に影響にするわけですから、それがその国の基幹産業の場合は重要となってきますね。。。

しかし、かつては産業のコメと言われて世界に半導体を供給していた国が、ファブレス、ファウンドリの領域では米国、台湾勢に抑えられてしまい、国としても根本的解決になるような方法を持てなくなってしまったのかもしれませんね。。。

見極めの悪さか、判断力の悪さか、経営の意思決定が遅れ、没落していったのかもしれませんね。。。

経済産業省

・2022.07.01 車載用半導体サプライチェーン検討WG 中間報告「自動車サプライチェーンの強靭化に向けた取組」を公表しました


中間報告「自動車サプライチェーンの強靭化に向けた取組」の概要

(1)車載用半導体の安定調達に向けた取組
〇生産計画の提示方法の改善
半導体メーカーの予見性向上を図るため、自動車メーカーからサプライヤーに提示する生産計画の改善を実施(期間の長期化、情報粒度・提示頻度の向上等)。

〇半導体の製品・工程変更手続の標準化
調達先の複線化や切替えを効率化するため、半導体の素材変更等の際に必要となる製品・工程変更手続において、自動車メーカーごとの品質評価プロセスを標準化し評価期間を短縮。

(2)自動車サプライチェーンの強靭化に向けた方向性
自動車メーカーが平時からサプライチェーンリスクを分析し、コストとリスクのバランスを考慮しつつ、柔軟かつ強固なサプライチェーンの構築を目指す。この際、個社で解決できない課題については、業界横断での取組や政府のサポートを得つつ、進めていく。

〇サプライチェーンリスク評価
・社内外のデータベース・分析ツールの活用を進めることで、サプライチェ-ンの構造把握を効率的に実施。
・一部のサプライヤーは自社の競争情報である等の理由で取引先情報を開示していないという現状を踏まえ、情報開示に理解を得られるよう平時から関係を強化。
・カーボンフットプリントの計算等の社会的要請を背景とした自動車産業の横断的なデータ連携基盤の構築も見据え、情報流通のあり方について検討。

〇サプライチェーンリスク対応
・リスクの高い部素材については、代替調達先の事前評価やコスト面も考慮しつつ在庫の積み増しを検討。
・車両電子プラットフォームの高度化や、旧世代の半導体の生産撤退リスク等を考慮し、中長期的な半導体戦略を構築。
・部素材産業のカーボンニュートラル実現に向けた支援によって国内生産基盤を維持。その上で撤退が避けられない場合には、特定国への依存を回避する形で調達先の複線化について検討。


 

・[PDF] 自動車サプライチェーンの強靱化に向けた取組

20220703-35736

 


 

参考

● 株式会社日立ハイテク - みんなの試作広場

半導体入門講座

| | Comments (0)

2022.07.02

中国 国家サイバースペース管理局「個人情報の越境移転に関する標準契約条項(意見募集案)」

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が「個人情報の越境移転に関する標準契約条項(意見募集案)」を公表し、意見募集をしていますね。。。

国家互联网信息办公室(国家サイバースペース管理局)

2022.06.30 国家互联网信息办公室关于《个人信息出境标准合同规定(征求意见稿)》 国家サイバースペース管理局「個人情報の越境移転に関する標準契約条項(意見募集案)

 

内容は、、、

个人信息出境标准合同规定 個人情報の越境移転に関する標準的契約条項
(征求意见稿) (意見募集案)
第一条 为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动,根据《中华人民共和国个人信息保护法》,制定本规定。 第1条 個人情報の流出活動を規制し、個人情報の権益を保護し、国境を越えた個人情報の安全かつ自由な流通を促進するため、「中華人民共和国個人情報保護法」に基づき、本規定を制定する。
第二条 个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第(三)项,与境外接收方订立合同向中华人民共和国境外提供个人信息的,应当按照本规定签订个人信息出境标准合同(以下简称“标准合同”)。 第2条 個人情報処理事業者は、中華人民共和国個人情報保護法第38条第1項第3号に基づき、海外の受取人に対し個人情報を提供する契約を締結する場合、これらの規定に基づき、個人情報の越境移転に関する標準契約(以下「標準契約」という)を締結するものとする。
个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。 その他、個人情報の越境移転に関して、個人情報取扱事業者と海外の受取人との間で締結される契約は、本標準契約に抵触しないものとする。
第三条 依据标准合同开展个人信息出境活动,应坚持自主缔约与备案管理相结合,防范个人信息出境安全风险,保障个人信息依法有序自由流动。 第3条 標準契約に基づいて個人情報の越境移転を行う場合、独立した契約と記録管理の組み合わせを遵守し、個人情報の越境移転セキュリティリスクを防止し、法律に従って個人情報の秩序と自由な流れを確保しなければならない。
第四条 个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息: 第4条 個人情報取扱事業者は、次の各号にも該当する場合は、標準契約によって個人情報を国外に提供することができる。
(一)非关键信息基础设施运营者; (一)非重要情報インフラ事業者。
(二)处理个人信息不满100万人的; (二)100万人未満の個人情報を取り扱うもの
(三)自上年1月1日起累计向境外提供未达到10万人个人信息的; (三) 前年の1月1日からの国外への個人情報の提供の累計が10万人に達しないとき。
(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。 (四) 前年の1月1日以降、外国への機微な個人情報の提供の累計が1万人に達しない場合。
第五条 个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估,重点评估以下内容: 第5条 個人情報取扱事業者は、個人情報を国外に提供する前に、以下の要素に着目して、個人情報保護に与える影響について事前に評価を行うものとする。
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性; (一)個人情報取扱事業者及び海外受取事業者の個人情報の取扱いの目的、範囲及び方法の適法性、正当性及び必要性について。
(二)出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险; (二) 越境移転される個人情報の量、範囲、種類及び機密性、並びに個人情報の越境移転に起因する個人情報の権利及び利益に対する起こり得る危険性
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全; (三) 海外の受取人が負う責任及び義務並びにその責任及び義務を履行するための管理及び技術的な措置並びに能力が国外に持ち出される個人情報の安全を保障することができるかどうか。
(四)个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等; (四) 越境後の個人情報の漏えい、破壊、改ざん、不正使用等のリスク、個人が個人情報の権利・利益を守るための手段が開かれているか等
(五)境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响; (五) 海外の受取人の国または地域における個人情報保護に関する政策や規制が標準契約の履行に与える影響。
(六)其他可能影响个人信息出境安全的事项。 (六) その他、個人情報の越境の安全性に影響を与える事項。
第六条 标准合同包括以下主要内容: 第6条 標準契約書の主な内容は次のとおりである。
(一)个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等; (一) 個人情報の処理者及び海外受取人の氏名、住所、連絡先等の基本情報。
(二)个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等; (二)越境する個人情報の目的、範囲、種類、機密性、数量、方法、保管期間、保管場所等
(三)个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等; (三) 個人情報取扱事業者及び海外受取事業者の個人情報保護に関する責任及び義務並びに個人情報等の持ち出しに伴い発生し得る安全上のリスクを防止するために講じた技術的及び管理的措置。
(四)境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响; (四) 海外の受取人の国または地域における個人情報保護に関する政策や規制が、この契約条件の遵守に与える影響。
(五)个人信息主体的权利,以及保障个人信息主体权利的途径和方式; (五) 個人情報主体の権利、及び個人情報主体の権利を保護する方法・手段
(六)救济、合同解除、违约责任、争议解决等。 (六) 救済措置、契約の解除、契約不履行責任、紛争解決等
第七条 个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。备案应当提交以下材料: 第7条 個人情報取扱事業者は、標準契約書の発効日から10営業日以内に、所在地の省内インターネット情報部門に契約書を提出しなければならない。 記録のため、以下の資料を提出すること。
(一)标准合同; (一)標準契約。
(二)个人信息保护影响评估报告。 (二) 個人情報保護に関する影響評価報告書。
个人信息处理者对所备案材料的真实性负责。标准合同生效后个人信息处理者即可开展个人信息出境活动。 個人情報取扱事業者は、提出された資料の真偽について責任を負うものとする。 個人情報処理事業者は、標準契約の効力発生後、個人情報の越境移転を行うことがでる。
第八条 在标准合同有效期内出现下列情况之一的,个人信息处理者应当重新签订标准合同并备案: 第8条 個人情報処理事業者は、標準契約の有効期間中に次の各号の一に該当する事由が生じたときは、標準契約を再締結し、これを届け出るものとする。
(一)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的; (一) 海外の受取人に提供する個人情報の利用目的、範囲、種類、機密性、数量、方法、保管場所及び海外受取人による個人情報の利用及び取扱いの変更、又は国外での個人情報の保管期間の延長。
(二)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的; (二) 海外の受取人の所在する国または地域の個人情報保護方針および規則の変更で、個人情報の権利・利益に影響を及ぼす可能性があるもの。
(三)可能影响个人信息权益的其他情况。 (三) その他個人情報の権利利益に影響を及ぼす可能性のある事情。
第九条 参与标准合同备案的机构和人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。 第9条 標準契約書の提出に関わる機関および職員は、職務遂行上知り得た個人のプライバシー、個人情報、商業上の秘密および業務上の機密を法律に従い守秘し、他人に開示し、または違法に使用してはならない。
第十条 任何组织和个人发现个人信息处理者违反本规定的,有权向省级以上网信部门投诉、举报。 第10条 個人情報取扱事業者が本規定に違反していると認める組織または個人は、省レベル以上のインターネット情報部門に苦情または通報する権利を有する。
第十一条 省级以上网信部门发现通过签订标准合同的个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的,应当书面通知个人信息处理者终止个人信息出境活动。个人信息处理者应当在收到通知后立即终止个人信息出境活动。 第11条 省レベル以上のインターネット情報部門は、標準契約の締結による個人情報越境移転が、実際の処理過程で個人情報越境移転の安全管理のための要件を満たさなくなったと判断した場合、個人情報加工業者に書面により通知し、個人情報越境移転を中止させなければならない。 個人情報処理事業者は、通知を受けた後、直ちに個人情報の越境移転を停止する。
第十二条 个人信息处理者按照本规定与境外接收方签订标准合同向境外提供个人信息,出现以下情形之一的,由省级以上网信部门依照《中华人民共和国个人信息保护法》的规定,责令限期改正;拒不改正或者损害个人信息权益的,责令停止个人信息出境活动,依法予以处罚;构成犯罪的,依法追究刑事责任。 第12条 個人情報取扱事業者が、本規定に基づき海外の受取人と標準契約を締結し、個人情報を国外に提供する場合、省レベル以上のインターネット情報部門は、「中華人民共和国個人情報保護法」の規定に基づき、一定期間内に是正を命ずる。また、是正せず個人情報の権利・利益を損害した場合は、個人情報越境移転行為の停止を命じ、法律に基づき処罰する。 刑事責任は、法律に従って調査される。
(一)未履行备案程序或者提交虚假材料进行备案的; (一) 申告手続きに従わず、または虚偽の申告資料を提出した場合。
(二)未履行标准合同约定的责任义务,侵害个人信息权益造成损害的; (二)標準契約で合意した責任義務を履行せず、個人情報の権利利益を侵害し、損害を与えた場合。
(三)出现影响个人信息权益的其他情形。 (三) その他個人情報の権利利益に影響を及ぼす場合。
第十三条 本规定自___年___月___日起施行。 第13条 この規定は、○月○日から施行する。

 

1_20210612030101

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.20 中国 「ネットワークセキュリティ審査弁法」についての2つの専門家の意見

・2022.01.05 中国 ネットワークセキュリティ審査弁法

・2022.01.03 中国 全国人民大会 個人情報保護法についての記事

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年国家情報化計画」を発表していますね。。。

・2021.12.28 中国 全国人民大会 法の支配に向かうデータセキュリティ

・2021.12.27 中国 通信院 テレマティックス白書と量子情報技術の開発と応用に関する調査報告書

・2021.12.26 中国 インターネット上の宗教情報サービスの管理に関する弁法

・2021.12.25 中国 意見募集 産業情報技術分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)

・2021.12.24 中国 通信院 グローバルデジタルガバナンス白書、ブロックチェーン白書、デジタルツインシティ白書、デジタルカーボンニュートラル白書、ビッグデータ白書、インターネット法白書

・2021.12.12 中国 サイバースペース管理局が、CNCERTと中国サイバースペースセキュリティ協会が、アプリによる個人情報の違法・不正な収集・利用に関する監視・分析レポートを発表したと公表していますね。。。

・2021.11.20 中国 インターネットの法の支配についての普及・教育計画

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.11.01 中国 意見募集 インターネットユーザアカウント名情報の管理に関する規則

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.10.22 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

・2021.10.04 中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定(試行)が公表されていますね。。。at 2021.08.16

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2021.08.11 中国 通信院 プライバシーコンピューティング白書 (2021) at 2021.07.21

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.14 中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2021.05.20 中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12

・2021.05.19 中国 スパイ対策のセキュリティ作業を強化・標準化する等のための「スパイ活動のセキュリティ対策規定」を制定していました...

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2021.01.05 2020年のプライバシー・データセキュリティ法関係のコンパクトなまとめ

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)

・2020.10.20 中国 パブコメ 商業銀行法改正 商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

・2020.07.06 中国のデータセキュリティ法案

・2020.06.09 中国 「サイバーセキュリティー審査弁法」が6月1日より施行されましたね。。。

・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。

 


 

越境移転関係

・2022.06.23 個人情報保護委員会「個人情報保護委員会の国際戦略」の公表

・2022.04.23 米国 フィリピン シンガポール 台湾 グローバル越境プライバシールール(CBPR)フォーラム設立関連..

・2022.04.22 個人情報保護委員会 経済産業省 グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言

・2022.03.08 経済産業省 データの越境移転に関する研究会 報告書 (2022.02.28)

・2021.11.21 欧州データ保護委員会 (EDPB) 意見募集 第三国または他の国への個人データの移転と認定する基準についてのガイド「GDPR第5章における第3条の適用と国際移転に関する規定との相互関係に関するガイドライン 05/2021」

・2021.07.04 ロシア 通信・IT・マスメディア監督連邦サービス (Roskomnadzor) が「Google、Facebook、WhatsApp、Twitterは、ロシア人利用者のデータベースのロシアへのローカライズを確認していない」と発表

時代は少し遡り...

・2016.07.14 経済産業省 越境データフローに係る制度等の調査研究の報告書

 

 

| | Comments (0)

デジタル庁 デジタル社会推進標準ガイドラインにセキュリティに関するドキュメントが追加されましたね。。。

こんにちは、丸山満彦です。

デジタル庁が、デジタル社会推進標準ガイドラインを公表していますが、そこにセキュリティに関するドキュメントが4つ、データ連携に関するドキュメントが1つ追加されましたね。。。

デジタル庁の「次世代セキュリティアーキテクチャ検討会」委員をしておりまして、こういうガイドラインが充実していけば良いと思っております。。。

● デジタル庁資料 - デジタル社会推進標準ガイドライン

 

セキュリティに関するドキュメント

ドキュメント名 本文
[PDF]
統合版[ZIP] 最終改定 ドキュメントの位置づけ 概要
DS-200 政府情報システムにおけるセキュリティ・バイ・デザインガイドライン 2,145KB 4,151KB 2022.06.30 Informative 情報システムに対して効率的にセキュリティを確保するためには、情報システムの企画から運用まで一貫したセキュリティ対策(セキュリティ・バイ・デザイン)を実施する必要がある。本文書はシステムライフサイクルにおけるセキュリティ対策を俯瞰的にとらえるため、各工程でのセキュリティ実施内容、要求事項を記載するとともに、関係者の役割を定義する。
DS-210 ゼロトラストアーキテクチャ適用方針 774KB 981KB 2022.06.30 Informative クラウドサービスの利活用拡大や、リモートワーク等の業務環境の変化に伴い、従来の境界型のセキュリティモデルだけでは、近年の高度化したサイバー攻撃を完全に予防・防御することは困難になってきており、ゼロトラストな考え方の適用が求められている。本文書は、ゼロトラスト・アーキテクチャを適用するための基本方針を説明するとともに、導入時の留意事項について述べる。
DS-211 常時リスク診断・対処(CRSA)アーキテクチャ 1,073KB 1,491KB 2022.06.30 Informative ゼロトラストアーキテクチャの環境下において、安定且つ安全なサービス提供を実現するためには、政府全体のサイバーセキュリティリスクを早期に検知し、低減する事が必要となる。本文書は、この活動を継続的に実施するための、情報収集・分析を目的としたプラットフォームのアーキテクチャについて説明する。
DS-221 政府情報システムにおける脆弱性診断導入ガイドライン 1,078KB 1,292KB 2022.06.30 Informative 政府情報システムにおいてサイバーレジリエンスを確保するためには、脆弱性診断を実施することが重要である。本文書は、最適な脆弱性診断を選定、調達できるようにするための、脆弱性導入に係る基準とその指針について説明する。


データ連携に関するドキュメント

ドキュメント名 本文
[PDF]
統合版
[ZIP]
最終改定 ドキュメントの位置づけ 概要
DS-400 政府相互運用性フレームワーク(GIF)   34,884KB 2022.06.30 Informative データの利活用、連携がスムースに行える社会を実現するための技術的体系として、「政府相互運用性フレームワーク(Government Interoperability Framework)」(GIF​)を提供する。当フレームワークを利用してデータを整備することで、拡張性が高く、連携が容易なデータを設計することが可能。

 

Digital




» Continue reading

| | Comments (0)

2022.07.01

公安調査庁 国際テロリズム要覧2022

こんにちは、丸山満彦です。

公安調査庁が1993年(平成5年)から毎年発刊している国際テロリズム要覧が、19回目の今年からウェブでPDF公開されるようになったようです。。。462ページあります。。。

公安調査庁

・ 2022.06.28 国際テロリズム要覧2022


「国際テロリズム要覧2022」は、主に2022年1月までのテロ事案やテロ組織の動向に関する国内外の報道のほか、国際機関、諸外国の政府・研究機関等が発表した資料等の公開情報を整理し、取りまとめたものです。
 なお、公安調査庁は、テロ組織等を認定又は指定する事務は行っておらず、本要覧中のテロ組織等に係る記述は、公安調査庁の独自の評価を加えたものではなく、上記のとおり、各種公開情報に基づくものです。


 

・[PDF] 国際テロリズム要覧 2022




各国ごとに記載されています(なのでページ数は多い)

ポイントとしては、次の図が参考になるかもしれません。。。

 

20220701-41440出典:国際テロリズム2022 001ページ

 

コラムで、「サイバー空間をめぐるテロの脅威」があります。

20220701-43035

出典:国際テロリズム2022 025ページ

 

要は、

・2021年末時点では、イスラム過激組織(ISIL、アルカイダ等)による組織的かつ大規模なサイバー攻撃事案は確認されていない。

・ISIL については、組織としてサイバー攻撃の実行を呼び掛ける声明や機関誌は特段把握されていない

けど、

・ISIL 等は主として、サイバー空間を自組織の思想の拡散、リクルート活動、テロの計画や準備に関する連絡等の目的で利用している状況がうかがわれる。

・ISIL 等との関連が疑われる個人又はグループによるサイバー攻撃事案については、従前から各国で発生している

・「アルカイダ」は、機関誌「ワン・ウンマ」英語版第 2 号(2020 年 6 月)において、サイバー空間での「ジハード」を「E-Jihad」と位置付けた上で、金融機関、航空システム等の重要インフラに対するサイバー攻撃を呼び掛けている。

 

| | Comments (0)

ENISA 年次プライバシーフォーラム (APF) 2022 in Warsaw (2022.06.24)

こんにちは、丸山満彦です。

ENISAが2022.06.23-24にワルシャワで開催された第10回年次プライバシーフォーラム (APF) 2022 の概要を公表していますね。。。

● ENISA

・2022.06.24 The Annual Privacy Forum (APF) celebrates its first 10 years, as the links between privacy protection & cybersecurity continue to grow

パネルディスカッションでは、次の3つが議論されたようですね。。。

AI and privacy challenges AIとプライバシーの課題
privacy preserving data sharing プライバシー保護データ共有
Privacy by Design and cookies. プライバシーバイデザインとCookie

 

Key take-aways 主な成果
What became clear from the discussion is that: 今回のディスカッションで明らかになったことは、以下の通りである。
The issues touched upon at the APF affect an ever-broader cross-sector of stakeholders and the open debate needs to continue. APFで取り上げられた問題は、これまで以上に幅広いステークホルダーに影響を与えており、オープンな議論を継続する必要がある。
AI systems may process personal information independently without taking into account compliance with GDPR data protection principles such as: purpose limitation, data minimization, accountability, fairness or transparency. This may lead to unexpected consequences and negative impacts for individuals, demanding action in terms of adequate safeguards. AIシステムは、目的の限定、データの最小化、説明責任、公平性、透明性といったGDPRデータ保護原則の遵守を考慮することなく、独自に個人情報を処理する可能性がある。これは、個人にとって予期せぬ結果や悪影響をもたらす可能性があり、適切な保護措置の観点からの対応を要求している。
The risks for privacy stemming from the rapid advancement of digital solutions and the use of multiple sources represent ever-moving targets. They require an approach which addresses the continuously evolving technological and legal challenges, such as: デジタルソリューションの急速な発展と複数の情報源の利用から生じるプライバシーに関するリスクは、常に変化する標的である。それらは、以下のような継続的に進化する技術的・法的課題に対処するアプローチを必要とする。
・The rule-based use of large AI models in relation to how they may be combined and for what purposes they should be used; ・大規模なAIモデルをどのように組み合わせ、どのような目的で使用するかに関連するルールベースの使用。
・The definition of criteria for trustworthiness in the technologies used providing a sufficient, adequate and meaningful information to users of the technologies and the data subjects; ・技術の利用者とデータ対象者に十分で適切かつ意味のある情報を提供するために使用される技術の信頼性基準の定義。
・Drawing attention to the increasing power of large platforms to predict data subject behaviour and considering a rule-based approach on collective data protection in addition to data subject protection; ・データ主体の行動を予測する大規模なプラットフォームの力が増大していることに注意を喚起し、データ主体の保護に加えて、集団データ保護に関する規則に基づくアプローチを検討すること。
・A collaboration strategy between DPAs which fosters effective enforcement; ・効果的なエンフォースメントを促進するDPA間の連携戦略。
・Privacy preserving data sharing which remains a challenge in the current new EU legislative initiatives. This should take into account the technical aspects of secure date transfers, anti-money laundry and anti-terrorism enforcement, as well as the different roles and bodies that are involved in the supervision related to data sharing including which of these bodies acts as the coordinating authority; and finally ・現在のEUの新たな立法措置において課題となっているプライバシーを保護したデータ共有。これは、安全なデータ転送、アンチマネーロンダリング、アンチテロの実施に関する技術的側面と、データ共有に関連する監督に関与する様々な役割や機関(これらの機関のうち誰が調整当局として機能するかを含む)を考慮する必要がある。
・New tools to adequately respond to the new emerging EU Regulations like the Digital Services Act, Digital Markets Act, the AI Act and NIS2 Directive in order to better protect our fundamental rights. ・デジタルサービス法、デジタル市場法、AI法、NIS2指令などの新しいEU規制に適切に対応し、我々の基本的権利をよりよく保護するための新しいツール。
From a privacy regulator perspective, it is important to build bridges between scientific research and the practice in data protection to effectively deal with new technologies. The principles of transparency, interpretability, explainability and fairness are key. プライバシー規制当局の立場からは、新しい技術に効果的に対処するために、科学的研究とデータ保護の実務の間に橋を架けることが重要である。透明性、解釈可能性、説明可能性、公平性の原則が重要である。
If privacy by design is applied in cookie banners, data subjects would not be required to define the settings, as they are set in a way that only the minimal settings are default. This especially should be the case for third party cookies. The attention of those parties using cookie banners should be placed on explaining the purpose of using cookies instead of technology-based explanations. クッキーバナーにおいてプライバシー・バイ・デザインが適用されれば、最低限の設定のみがデフォルトとなるように設定されるため、データ主体が設定を定義する必要はなくなるはずである。特にサードパーティのクッキーについてはそうであるべきである。クッキーバナーを使用する側の注意としては、技術的な説明ではなく、クッキーを使用する目的を説明することに重点を置くべきである。
This 10th version of the Annual Privacy Forum provided great points to consider for the challenges ahead and set the scene for future Annual Privacy Forums. 今回の第10回年次プライバシー・フォーラムは、今後の課題を考える上で大きなポイントを提供し、今後の年次プライバシー・フォーラムの舞台を整えた。
The next Annual Privacy Forum is planned in 1st and 2nd of June, 2023 in Lyon, France. The APF invites you to join us in 次回の年次プライバシーフォーラムは、2023年6月1日、2日にフランス・リヨンで開催する予定である。APFは、皆様の参加を待っている。

 

AFP自体のウェブページは、

Annual Privacy Forum 2022

プログラムは、

PROGRAMME

| | Comments (0)

2022.06.30

日本公認会計士協会 国際会計士倫理基準審議会公開草案「テクノロジー関連のIESBA倫理規程改訂案」 に対する意見について

こんにちは、丸山満彦です。

日本公認会計士協会が国際会計士倫理基準審議会公開草案「テクノロジー関連のIESBA倫理規程改訂案」 に対する意見を公表していますね。。。

監査法人系の会社によるコンサルティング業務のIT関連ビジネスについての独立性(自己レビュー等)に関係する内容も含まれていますね。。。米国のPCAOBはさらに厳しい規則を課しています。。。

 

日本公認会計士協会

・2022.06.27 国際会計士倫理基準審議会公開草案「テクノロジー関連のIESBA倫理規程改訂案」 に対する意見について

・[PDF] 本文(日本語)

20220630-62125

 

なお、元になったのは、、、

International Ethics Standards Board for AccountantsTECHNOLOGY: ETHICS & INDEPENDENCE CONSIDERATIONS

・2022.02.18 PROPOSED TECHNOLOGY-RELATED REVISIONS TO THE CODE

・[PDF] Proposed Technology-related Revisions to the Code

Phpthumb_generated_thumbnail

 

国際基準とPCAOBの独立性の比較も参考になりますね。。。

・2022.05.06 (press) IESBA STAFF RELEASES BENCHMARKING REPORT COMPARING THE INTERNATIONAL INDEPENDENCE STANDARDS WITH U.S. SEC AND PCAOB INDEPENDENCE RULES

・2022.05.06 SUMMARY: BENCHMARKING THE INTERNATIONAL INDEPENDENCE STANDARDS

Thumbnail

| | Comments (0)

公安調査庁 「公安調査局長・公安調査事務所長会議」における公安調査庁長官訓示(2022.06.23)

こんにちは、丸山満彦です。

2022.06.23に公安調査庁長官が、公安調査局長・公安調査事務所長会議での訓示が公開されていますね。。。

 

概要は、

1. 経済安全保障に関する取組の強化・推進(経済安全保障特別調査室を設置)
(1)
官民連携の推進
(2)
国内外の関係機関との更なる連携の強化
(3)
機能・体制の強化

2. サイバー空間における脅威に対する取組の強化・推進(サイバー特別調査室を設置等)

3. 我が国の外交・安全保障に関する各種動向の迅速かつ的確な把握
(1)
北朝鮮
(2) 中国は
(3)
ロシア
(4)
インフルエンス・オペレーション(偽情報の流布なども含めた活動)
(5)
国際テロ情勢(ISIL、アルカイダなどの国際テロ組織、アフガニスタン)
(6)
ウクライナ情勢

4. いわゆるオウム真理教に対する観察処分の適正かつ厳格な実施

ということのようです。。。

 

サイバーセキュリティ部分...


第二に、サイバー空間における脅威に対する取組の強化・推進についてです。
 サイバー攻撃が国内外で常態化し、その手口も巧妙化する中で、特に我が国の周辺国等は、その政治的、軍事的、経済的目的を達成するため、サイバー空間を利用した諜報活動や重要インフラの破壊、偽情報の流布などによる情報操作といったサイバー戦能力を強化しており、我が国の安全保障に与える影響等を注視していかなければなりません。
 このような情勢を受け、サイバー攻撃事案等に係る情報収集・分析能力を強化するため、本年4月、サイバー特別調査室を設置しました。サイバー関連情報については、高まる情報ニーズの中、当庁に寄せられる期待にこれまで以上に応える必要があります。各局・事務所においても、サイバー特別調査室と緊密に連携し、同関連調査をより一層推進していただきたいと思います。


 

公安調査庁

・2022.06.23 「公安調査局長・公安調査事務所長会議」における公安調査庁長官訓示

 

1hroyyh9_400x400

| | Comments (0)

2022.06.29

メタバースのシステム構成論(佐藤一郎教授の資料 at 総務省 情報通信法学研究会AI分科会(令和4年度第1回会合))

こんにちは、丸山満彦です。

昨日は、欧州議会のThink Tankによるメタバース:機会、リスク、政策への影響について載せましたが、今日は総務省情報通信法学研究会AI分科会(令和4年度第1回会合)の佐藤一郎教授(構成員)のメタバースのシステム構成論です。。。

技術進歩とともに、できることが増えることにより、その結果は良い面にも悪い面にも影響を及ぼす、だからどのような政策が必要かというのが昨日の話ですが、そもそも技術の限界はどのようなものかというのが、今回の佐藤先生の資料から見えてくる部分もあるように思います。

これは読む価値があると思います。。。

個人的には、技術進歩により変わってきている一つの要素に没入感があると思います。演算速度、通信速度が高まり、現実に近い画像解像度、音質を3D的に表現しつつ他人とインタラクティブにコミュニケーションができるようになったきたということですね。。。(と言っても、視覚と聴覚だけですが。。。)

それ以外は既に歴史を振り返って検証すればわかることが多いのではないかと思っています。。。(それも佐藤先生の資料にありますが、、、)

そういう意味では、健康や心理的な側面の検討をより進める必要があるのかもしれません。。。

そして当面は、仮想社会ができても、現実社会との紐付けからは逃れられないようにする必要があるようのではないかと思います。つまり、KYC的なものは必要ということになると思います。。。(人類が仮想空間で過ごす時間が現実空間で過ごす時間より増えても、KYC的なものが必要なのは変わらないのであれば、常に必要ということかもしれない。)

ということで、当面の利用は、少人数による管理された環境下(例えば企業内でのコミュニケーション、会員間でのゲームやシミュレーション等)で使われるのが現実的なのかもしれません。。。

とはいえ、プラットフォーマの手数料も含めたシステム開発費、運用費の負担に比した利用のメリットがどれだけあるのか???ということを現実的に突き詰めていく頃には、どのようなものが残っているのかというのは興味があります。。。(もちろん、技術進歩により、同じ性能における開発費や運用費も下がっていくでしょうし。。。)

 

総務省  - 情報通信法学研究会 Fig1_20220629050001

・2022.06.29 情報通信法学研究会AI分科会(令和4年度第1回会合) 

[PDF] 資料1         佐藤構成員発表資料

20220629-45813


[PDF] 資料2         成原構成員解説資料
[PDF] 参考資料1 情報通信法学研究会開催要綱
[PDF] 参考資料2 情報通信法学研究会分科会構成
[PDF] 参考資料3 学術雑誌『情報通信政策研究』第6巻第1号の特集について


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.28 欧州議会 Think Tank メタバース:機会、リスク、政策への影響

・2022.06.09 新しい資本主義のグランドデザイン及び実行計画 経済財政運営と改革の基本方針2022

 

 

| | Comments (0)

2022.06.28

JIPDEC 将来の脅威に対応できるISMS構築のエッセンス ~クラウドセキュリティに役立つISO規格~

こんにちは、丸山満彦です。

一般財団法人 日本情報経済社会推進協会 (JIPDEC) が、情報セキュリティ対策を行うためのエッセンスを紹介したガイドブック「将来の脅威に対応できるISMS構築のエッセンス ~クラウドセキュリティに役立つISO規格~」を新たにまとめ、発行していますね。。。

12ページでコンパクトにまとめられているということですかね。。。

主なポイントは以下のとおりとのことです。。。



■ テレワークによる職場環境やクラウドサービス活用を含むシステム変更等によって変化するリスクにどう対応するかを解説
■ 情報セキュリティにおけるガバナンスの重要性を解説
■ デジタルトランスフォーメーション(DX)推進に即したセキュリティ対策の考え方を紹介


 

● JIPDEC

・2022.06.27 JIPDEC クラウドサービス提供&利用のリスク対応を解説したガイドブックを発行 - 今、そして将来の脅威にどう対応する?ISO規格をもとにISMS構築のエッセンスを解説!

・[PDF] 将来の脅威に対応できるISMS 構築のエッセンス ~クラウドセキュリティに役立つISO 規格~ 

20220628-51355

 

目次...

1 はじめに
2
目的に沿った運用にするには
 2.1
ガバナンス
 2.2
リスクマネジメント
 2.3
運用時の注意事項
3
効果的な仕組みづくりのために ~ISMS 適合性評価制度の活用~
4
おわりに


 

 

| | Comments (0)

欧州議会 Think Tank メタバース:機会、リスク、政策への影響

こんにちは、丸山満彦です。

欧州議会のThink Tankが、メタバースをめぐる、機会、リスク、政策への影響について考察したレポートを公表していますね。。。

メタバースというか、仮想現実、拡張現実を利用し、没入感を高めたデジタル環境において、人間社会にどのようなチャンスとリスクがあるのか、それを踏まえてどのような政策が必要かを考察している資料ですね。。。

さすが欧州ですね。日本ではここまで踏み込んで検討していないでしょうね。。。

 

European Parliament - Think Tank

・2022.06.24 Metaverse: Opportunities, risks and policy implications

Metaverse: Opportunities, risks and policy implications メタバース:機会、リスク、政策への影響
One of the most talked about concepts in modern technology, the metaverse can be described as an immersive and constant virtual 3D world where people interact by means of an avatar to carry out a wide range of activities. Such activities can range from leisure and gaming to professional and commercial interactions, financial transactions or even health interventions such as surgery. While the exact scope and impact of the metaverse on society and on the economy is still unknown, it can already be seen that the metaverse will open up a range of opportunities but also a number of risks in a variety of policy areas. Major tech companies are scaling up their metaverse activities, including through mergers and acquisitions. This has given impetus to a debate on how merger regulations and antitrust law should apply. Business in the metaverse is expected to be underpinned largely by cryptocurrencies and non-fungible tokens, raising issues of ownership, misuse, interoperability and portability. Furthermore, the huge volume of data used in the metaverse raises a number of data protection and cybersecurity issues (e.g. how to collect user consent or protect avatars against identity theft). There is considerable scope for a wide range of illegal and harmful behaviours and practices in the metaverse environment. This makes it essential to consider how to attribute responsibility, inter alia, for fighting illegal and harmful practices and misleading advertising practices, and for protecting intellectual property rights. Moreover, digital immersion in the metaverse can have severe negative impacts on health, especially for vulnerable groups, such as minors, who may require special protection. Finally, the accessibility and inclusiveness of the metaverse remain areas where progress has still to be made in order to create an environment of equal opportunities. 現代技術で最も話題になっている概念の一つであるメタバースは、人々がアバターによって交流し、様々な活動を行う没入型かつ恒常的な仮想3D世界と表現することができる。このような活動は、レジャーやゲームから、専門家や商人との交流、金融取引、あるいは手術などの健康介入に至るまで、多岐にわたる。メタバースが社会や経済に及ぼす正確な範囲や影響はまだ不明だが、メタバースがさまざまな政策分野において、さまざまな機会をもたらすと同時に、多くのリスクをもたらすことはすでに確認されている。大手ハイテク企業は、M&Aを含め、メタバース活動を拡大している。このため、合併規制や独禁法の適用をどうするかという議論に弾みがついている。メタバースにおけるビジネスは、主に暗号通貨や非ファンジブルトークンに支えられ、所有権、不正使用、相互運用性、ポータビリティの問題が生じると予想される。さらに、メタバースで使用される膨大なデータは、多くのデータ保護とサイバーセキュリティの問題を提起する(例えば、利用者の同意を収集する方法、ID盗難からアバターを保護する方法など)。メタバース環境では、さまざまな違法・有害な行動や行為が行われる可能性がかなりある。このため、特に違法・有害な行為や誤解を招くような広告手法との戦い、および知的財産権の保護について、どのように責任を帰属させるかを検討することが不可欠である。さらに、メタバースにおけるデジタルへの没入は、特に特別な保護を必要とする未成年者などの脆弱な集団にとって、健康に深刻な悪影響を及ぼす可能性がある。最後に、メタバースのアクセシビリティと包摂性は、機会均等の環境を作るために、依然として進展が必要な領域である。

 

検討している内容は、次の7分野で、

o Competition  o 競争
o Data protection o データ保護
o Liabilities o 負債
o Financial transactions o 金融取引
o Cybersecurity  o サイバーセキュリティ 
o Health o 健康
o Accessibility and inclusiveness o アクセシビリティと包摂性

それぞれ、課題、考えられる政策的影響を分析しています。

非常に参考になると思います。

 

・2022.06.24 [PDF] Metaverse - Opportunities, risks and policy implications

20220628-43121

内容は、、、

» Continue reading

| | Comments (0)

2022.06.27

日本公認会計士協会 経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」を公表

日本公認会計士協会が、経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」を公表していますね。。。

興味深いです!!!

 

日本公認会計士協会 (JICPA)

・2022.06.27 経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」の公表について

・[PDF] 本文

20220627-155943

 

目次


総論
1.本研究資料の作成の背景
2.本研究資料の作成の前提事項

会計不正の動向
1.会計不正の公表会社数
2.会計不正の類型と手口
3.会計不正の主要な業種内訳
4.会計不正の上場市場別の内訳
5.会計不正の発覚経路
6.会計不正の関与者
7.会計不正の発生場所
8.会計不正の不正調査体制の動向
9.会計不正と内部統制報告書の訂正の関係

【参考】会計不正の定義


 

今年+過去分

2022.06.27  経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」 PDF
2021.07.29  経営研究調査会研究資料第8号「上場会社等における会計不正の動向(2021年版)」 PDF
2020.07.17 経営研究調査会研究資料第7号「上場会社等における会計不正の動向(2020年版)」 PDF
2019.06.19  経営研究調査会研究資料第6号「上場会社等における会計不正の動向(2019年版)」 PDF
2018.05.16  経営研究調査会研究資料第5号「上場会社等における会計不正の動向」 PDF

 


 

まるちゃんの情報セキュリティティ日記

・2021.07.31 日本公認会計士協会 経営研究調査会研究資料第8号「上場会社等における会計不正の動向(2021年版)」を公表

・2020.07.20 日本公認会計士協会 経営研究調査会研究資料第7号「上場会社等における会計不正の動向(2020年版)」を公表

| | Comments (0)

ドイツ BSI TR-03161 ヘルスケア分野でのアプリケーション等に対するセキュリティ要求事項

こんにちは、丸山満彦です。

ドイツが、ヘルスケア分野のアプリケーションについてのセキュリティ要求事項を「モバイルアプリケーション (TR-03161-1)」 、「ウェブアプリケーション (TR-03161-2)」 、「バックグラウンドシステム (TR-03161-3)」に分けて公表していますね。。。

 

Bundesamt für Sicherheit in der Informationstechnik: BSI

プレス...

・2022.06.23 Bundesamt für Sicherheit in der Informationstechnik BSI veröffentlicht Technische Richtlinien zur Sicherheit von Digitalen Gesundheitsanwendungen

BSI veröffentlicht Technische Richtlinien zur Sicherheit von Digitalen Gesundheitsanwendungen BSI、デジタルヘルス・アプリケーションのセキュリティに関する技術指針を発表
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Sicherheitsanforderungen an Anwendungen im Gesundheitswesen veröffentlicht. Im Rahmen unterschiedlicher explorativer Projekte konnte das BSI in den letzten Jahren Erkenntnisse über den aktuellen Stand der IT-Sicherheit im Gesundheitswesen gewinnen. Um Herstellern und Betreibern mit präventiven Maßnahmen weitere Hilfestellungen geben zu können, wurden Sicherheitsanforderungen für unterschiedliche Teilbereiche von Anwendungen im Gesundheitswesen verfasst. Die Technische Richtlinie (TR) umfasst in mehreren Teilen Anforderungen an mobile Anwendungen (TR-03161-1), Web-Anwendungen (TR-03161-2) und Hintergrundsysteme (TR-03161-3). ドイツ連邦情報セキュリティ局 (BSI) は、ヘルスケア分野のアプリケーションに対するセキュリティ要件を発表しました。BSIは、さまざまな探索的プロジェクトの枠組みの中で、近年のヘルスケア分野におけるITセキュリティの現状について知見を得ることができました。メーカーやオペレーターに予防策を提供できるよう、ヘルスケア分野のさまざまなアプリケーションのサブエリアについて、セキュリティ要件が作成されています。本技術指針は、モバイルアプリケーション (TR-03161-1) 、ウェブアプリケーション (TR-03161-2) 、バックグラウンドシステム (TR-03161-3) の要件をいくつかのパートに分けて構成しています。
Die Anforderungen basieren auf dem aktuellen Stand der Technik im Gesundheitswesen und den Erkenntnissen aus unterschiedlichen Projekten des BSI. Darüber hinaus repräsentieren sie aus Sicht des BSI das Ergebnis eines regelmäßigen Austauschs mit der Industrie sowie der Beteiligung des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Unter Berücksichtigung der stark fortschreitenden Digitalisierung im Gesundheitswesen und des sich wandelnden Standes der Technik, pflegt das BSI weiterhin einen regelmäßigen Austausch mit Vertretern der Industrie und den zuständigen Behörden. Die sich hieraus ergebenden Erkenntnisse werden im Rahmen einer jährlichen Evaluierung der TR berücksichtigt und in Form von Anpassungen und Erweiterungen mit aufgenommen. 要件は、ヘルスケアにおける現状と、BSIのさまざまなプロジェクトで得られた知見に基づいています。さらに、BSIの観点からは、産業界との定期的な交流や、連邦医薬品・医療機器研究所 (BfArM) 、連邦データ保護・情報自由委員会 (BfDI) の関与の結果であると言えるでしょう。BSIは、急速に進むヘルスケア分野のデジタル化とその状況の変化を考慮し、産業界や所轄官庁の代表者と定期的な交流を続けています。その結果得られた知見は、毎年行われるTRの評価で考慮され、適応や拡張の形で盛り込まれます。
Für den Nachweis der Konformität gegenüber den beschriebenen Sicherheitsanforderungen bietet das BSI jeweils ein Zertifizierungsverfahren nach TR an. 記載されたセキュリティ要件に適合していることを証明するために、BSI は TR に従った認証手続きを提供します。
Digitale Gesundheitsanwendungen (DiGA) nach § 33 a SGB V und digitale Pflegeanwendungen (DiPA) nach § 40 a SGB XI können grundsätzlich als Anwendungen im Gesundheitswesen gewertet werden. Eine Anerkennung der Zertifizierung nach TR für DiGA in Bezug auf § 139 e Absatz 10 SGB V und DiPA in Bezug auf § 78 a SGB XI Absatz 7 als Nachweis der einzuhaltenden Sicherheitsanforderungen obliegt dem BfArM. 33 a SGB Vによるデジタルヘルスアプリケーション (DiGA) と40 a SGB XIによるデジタルケアアプリケーション (DiPA) は、基本的にヘルスケア分野におけるアプリケーションとして評価することができる。満たすべき安全要件の証明として、SGB V §139 e 10 項に関する DiGA および SGB XI §78 a 7 項に関する DiPA の TR による認証の承認は、BfArM の責任です。

 

 

・2022.06.23 BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen

BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen BSI TR-03161 ヘルスケア分野でのアプリケーションに対する要求事項
Gegenstand der Technischen Richtlinie 技術指針の対象
Nach Einschätzung des Bundesministeriums für Gesundheit stehen die Gesundheitssysteme der westlichen Welt vor großen Herausforderungen. Es gilt immer mehr ältere und chronisch kranke Menschen zu behandeln, teure medizinische Innovationen zu bezahlen und strukturschwache ländliche Gebiete medizinisch zu versorgen [BMG-EHI]. Anwendungen im Gesundheitswesen können helfen, solche und andere Herausforderungen besser zu lösen. Sie haben das allgemeine Ziel bei „der Behandlung und Betreuung von Patientinnen und Patienten“ zu unterstützen und ,,die Möglichkeiten [zu] nutzen, die moderne Informations- und Kommunikationstechnologien (IKT) bieten“ [BMG-EH]. 連邦保健省によると、欧米の医療制度は大きな課題に直面しています。高齢者や慢性疾患患者が増え、高価な医療技術革新に費用がかかり、構造的に弱い地方に医療を提供しなければならないのです[BMG-EHI]。ヘルスケア・アプリケーションは、このような課題をよりよく解決するために役立ちます。これらは、「患者の治療とケア」を支援し、「現代の情報通信技術 (ICT) が提供する可能性を利用する」ことを一般的な目的としています[BMG-EH]。
Die Familie von Technische Richtlinien (TR) richtet sich an Hersteller von Anwendungen im Gesundheitswesen. Zusätzlich kann sie als Richtlinie für Anwendungen betrachtet werden, welche sensible Daten verarbeiten oder speichern. 技術ガイドライン (TR) ファミリーは、ヘルスケア分野のアプリケーションメーカーを対象としています。また、機密性の高いデータを処理・保管するアプリケーションのガイドラインとしても考慮できる。
Zielsetzung der Technischen Richtlinie 技術指針の目的
Die Digitalisierung aller Lebensbereiche, sei es im Beruf, in Heimumgebungen, im Individual- oder im öffentlichen Personenverkehr, schreitet stetig voran. Bereits im Jahr 2018 überschritt die Anzahl der Internetnutzer die Grenze von vier Milliarden Menschen. Zwei Drittel der zurzeit 7,6 Milliarden Menschen zählenden Weltbevölkerung nutzen ein Mobiltelefon. Mehr als drei Milliarden Menschen nutzen soziale Netzwerke und tun dies in neun von zehn Fällen über ihr Smartphone (vgl. [GDR18]). Diese Entwicklung setzt sich im Gesundheitswesen mit dem Trend zum „Self-Tracking“, aber auch mit der zunehmenden Forderung nach der effizienten Nutzung einmal erhobener medizinischer Daten fort. Insbesondere im Gesundheitswesen ist es dabei komfortabel, dass orts- und zeitunabhängig auf die eigenen medizinischen Daten zugegriffen werden kann. Anwendungen speichern in diesem Fall sensible und persönliche Daten - von der Pulsfrequenz, über Aufzeichnungen des Schlafrhythmus bis hin zu Medikationsplänen sowie ärztlichen Verordnungen und Bescheinigungen. Sie verbinden den Nutzer mit entsprechenden Services und fungieren als Kommunikations-Knotenpunkte. Ein kompromittiertes Endgerät kann somit das gesamte digitale Leben des Nutzers ungewollt offenlegen und zu hohem finanziellen Schaden führen. Das Einhalten von geeigneten Sicherheitsstandards kann dies wesentlich erschweren und möglicherweise sogar verhindern. Schon während der Entwicklungsphase sollten Hersteller sehr verantwortungsvoll planen, wie eine Anwendung personenbezogene und andere sensible Daten verarbeitet, speichert und schützt. 職場、家庭環境、個人、公共交通機関など、生活のあらゆる場面でデジタル化が着実に進行しています。すでに2018年には、インターネット利用者が40億人を突破しています。現在、世界の人口76億人のうち、3分の2が携帯電話を使用しています。30億人以上の人々がソーシャルネットワークを利用し、10件中9件はスマートフォンから利用しています ([GDR18]を参照) 。このような動きは、ヘルスケア分野でも続いており、「セルフトラッキング」の流れに加え、一度収集した医療データの効率的な活用が求められています。特に医療分野では、場所や時間に関係なく自分の医療データにアクセスできるのは便利なことです。この場合、アプリケーションには、脈拍や睡眠リズムの記録、投薬計画、医療処方箋や証明書など、機密性の高い個人情報が保存されます。ユーザーを対応するサービスに接続し、通信ノードとして機能する。エンドデバイスが危険にさらされると、意図せずユーザーのデジタルライフ全体が明らかになり、高額な金銭的損害につながる可能性があるのです。適切なセキュリティ基準を遵守することで、このような事態をより困難なものとし、場合によっては防ぐことができます。開発段階であっても、メーカーはアプリケーションが個人情報やその他の機密情報をどのように処理し、保存し、保護するかについて、非常に責任ある計画を立てる必要があります。
Die IT-Sicherheit verfolgt im Wesentlichen drei Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit. ITセキュリティは、基本的に3つの保護目標を追求しています。機密性、完全性、可用性。
Gerade bei Anwendungen im Gesundheitswesen ist die Einhaltung dieser Anforderungen von besonderer Wichtigkeit. Insbesondere im Gesundheitswesen ist die Vertraulichkeit von Gesundheitsdaten, die unwillentlich offenbart werden, für immer verloren. Der Patient könnte hierfür zwar Schadensersatz erhalten, die unwillentliche Offenbarung kann allerdings nicht ungeschehen gemacht werden. Darüber hinaus können durch das ungewollte Bekanntwerden von Gesundheitsdaten unerwünschte Folgen mit erheblichen Auswirkungen im sozialen wie auch im beruflichen Umfeld entstehen. Sollte ein Angreifer in der Lage sein, sensible Daten eines Dritten zu manipulieren und damit deren Integrität zu verletzen, könnte er wesentlichen Einfluss auf Therapieentscheidungen und letztlich die Gesundheit des Betroffenen haben. 特に、ヘルスケア分野のアプリケーションでは、これらの要件への適合が重要です。特に医療分野では、意図せず公開された健康データの機密性は永遠に失われます。この場合、患者は補償を受けることができるが、強制的な開示は元に戻すことができません。また、意図せずして健康データが開示されると、社会的・職業的に大きな影響を及ぼし、好ましくない結果になることもあります。万が一、攻撃者が第三者の機密データを操作し、その完全性を侵害した場合、治療の意思決定、ひいては本人の健康に大きな影響を与える可能性があります。
Diese Familie von Technische Richtlinien soll als Leitfaden dienen, um Entwickler von Anwendungen bei der Erstellung sicherer Lösungen zu unterstützen. この技術ガイドラインファミリーは、アプリケーション開発者が安全なソリューションを作成するためのガイドとして機能することを目的としています。
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 1: Mobile Anwendungen BSI TR-03161 ヘルスケアアプリケーションの要件 - パート1:モバイルアプリケーション
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 2: Web-Anwendungen BSI TR-03161 ヘルスケアアプリケーションの要件 - パート2:ウェブアプリケーション
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 3: Hintergrundsysteme BSI TR-03161 ヘルスケアアプリケーションの要件 - Part 3: バックグラウンドシステム
Biometrie bei mobilen Gesundheitsanwendungen モバイルヘルスアプリケーションにおけるバイオメトリクス
Neue mobile Gesundheitsanwendungen sehen unter anderem auch eine biometrische Benutzerauthentisierung vor. Allerdings weist der Markt eine hohe Zahl an biometrischen Komponenten für mobile Endgeräte auf, welche sich in Performanz und Fälschungssicherheit deutlich unterscheiden. Um sicherzustellen, dass die biometrischen Authentifizierungsverfahren auf Smartphones für mobile Gesundheitsanwendungen ein ausreichendes Vertrauensniveau erreichen, will das BSI biometrische Authentifikationssysteme auf Smartphones prüfen und im Frühjahr 2022 eine initiale Whitelist geeigneter Geräte veröffentlichen, welche danach in regelmäßigen Abständen aktualisiert werden wird. Eine Verwendung biometrischer Authentisierungsmethoden wird nur für Geräte in dieser Whitelist zulässig sein, alle anderen werden sich auf die klassischen PIN/Passwort-Verfahren beschränken müssen. モバイルヘルスの新しいアプリケーションには、バイオメトリクスによるユーザー認証が含まれます。しかし、市場にはモバイル機器用の生体認証部品が数多く存在し、その性能や偽造防止性能は大きく異なっているのが現状です。BSIは、モバイルヘルスアプリケーション用のスマートフォンにおける生体認証手順が十分な信頼性を達成できるよう、スマートフォンにおける生体認証システムのテストを行い、2022年春に適切なデバイスの初期ホワイトリストを公開し、その後定期的に更新する予定です。生体認証の使用は、このホワイトリストに登録された機器にのみ許可され、それ以外の機器では従来のPIN/パスワードによる認証に限定されます。
Die Anforderungen für diese Prüfung ergeben sich aus der - derzeit im Finalisierungs- und Veröffentlichungsprozess befindlichen - Technischen Richtlinie TR-03161-1 (Anhang C). Hersteller von Endgeräten, die an einer Listung ihrer Endgeräte in dieser Whitelist interessiert sind, werden gebeten, sich mit dem BSI in Verbindung zu setzen. In diesem Zuge werden die konkreten Prüfanforderungen sowie nähere Informationen zum Prüfprozess bereitgestellt. Die Prüfung besteht dabei im Wesentlichen aus zwei Komponenten. Zunächst benötigt das BSI eine Herstellererklärung, die dokumentiert, dass das jeweilige Endgerät die näher bezeichneten Anforderungen erfüllt und wie diese Prüfung seitens des Hersteller erfolgt ist. Diese Herstellererklärung wird dann im BSI auf Plausibilität geprüft. Darüber hinaus behält sich das BSI eine stichprobenartige praktische Kontrolle der Endgeräte vor. 本テストの要求事項は、現在最終版として発行されている技術指針 TR-03161-1  (Annex C) から導き出されたものです。このホワイトリストへの掲載を希望するエンドデバイスの製造者は、BSI に連絡することが望まれる。本講座では、具体的なテスト要件に加え、テストプロセスに関するより詳細な情報を提供します。このテストは、基本的に2つの要素で構成されています。まず、BSIは、それぞれのエンドデバイスが指定された要件を満たしていること、そしてこのテストが製造者によってどのように実施されたかを文書化した製造者の宣言を要求しています。この製造者の宣言は、BSIでもっともらしいかどうかチェックされる。さらに、BSI は、エンドデバイスのランダムな実地チェックを行う権利を留保します。
Endgeräte werden in die Whitelist aufgenommen, soweit die Angaben in der Herstellererklärung plausibel sind und - sofern einschlägig - eine etwaige stichprobenartige Prüfung des jeweiligen Endgeräts keine Zweifel an der Herstellererklärung aufgeworfen hat. Erfolgt die stichprobenartige Kontrolle nach der initialen Listung des Endgerätes in der Whitelist, kann ein negatives Prüfergebnis zur Entfernung dieses Gerätes von der Whitelist führen. Jeder Eintrag in der Whitelist beinhaltet die Hersteller- und Modellbezeichnung, die zugelassene biometrische Modalität und die ggf. notwendige Konfiguration für ein als geeignet eingestuftes Gerät. Weitere Informationen werden nicht veröffentlicht. Insbesondere ist nicht geplant, eine Art „Blacklist“ mit solchen Geräten, die die Anforderungen nicht erfüllen, zu veröffentlichen. 端末機器は、製造者の宣言に記載されている情報が妥当であり、かつ (該当する場合) 各端末機器のランダムチェックで製造者の宣言に疑義が生じない場合に、ホワイトリストに掲載されます。ホワイトリストにエンドデバイスを最初に登録した後にランダムチェックを実施した場合、テスト結果がよくなければ、このデバイスをホワイトリストから削除することができます。ホワイトリストの各項目には、メーカー名とモデル名、承認された生体認証モダリティ、適切と判断されたデバイスに必要な設定 (ある場合) が含まれています。それ以外の情報は公開されません。特に、要件を満たさないそのような機器の「ブラックリスト」のようなものを公表する予定はない。
Der gesamte Prüf- und Veröffentlichungsprozess erfolgt seitens des BSI unter Wahrung der Vertraulichkeit. Den Herstellern wird zudem - sowohl im Falle einer Aufnahme ihrer Endgeräte in die Whitelist als auch im Falle einer Ablehnung - unter angemessener Fristsetzung Gelegenheit zur Stellungnahme gegeben werden. テストと公表の全プロセスは、BSIが機密を保持しながら実施します。さらに、製造者は、合理的な期間内に、ホワイトリストにエンドデバイスを含める場合と拒否する場合の両方について、意見を述べる機会を与えられます。
Aufgrund des dargestellten Prüfprozesses erhebt die Whitelist keinen Anspruch auf Vollständigkeit. Aus der fehlenden Listung eines Endgerätes in der Whitelist kann somit nicht zwingend der Schluss gezogen werden, dass dieses Gerät die Prüfanforderungen nicht erfüllt. 上記のような審査のため、ホワイトリストが完全であるとは言えません。ホワイトリストに含まれていないからといって、必ずしもテスト要件を満たしていないとは限りません。

 

モバイル版 T1

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 1: Mobile Anwendungen

20220627-141320

ウェブアプリケーション版 T2

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 2: Web-Anwendungen

20220627-141339

バックグラウンドシステム版 T3

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 3: Hintergrundsysteme

20220627-141353

 

目次は共通項目が多いので、、、

     -1 -2  -3
1 Einleitung 1 はじめに
1.1 Gegenstand der Technischen Richtlinie 1.1 技術指針の主題
1.2 Zielsetzung der Technischen Richtlinie 1.2 技術指針の目的
1.3 Übersicht der Technischen Richtlinie 1.3 技術指針の概要
1.3.1 Methodik 1.3.1 方法論
1.3.2 Begriffe 1.3.2 用語の説明
2 Überblick der Sicherheitsanforderungen an Anwendungen im Gesundheitswesen 2 ヘルスケアアプリケーションに求められるセキュリティ要件の概要
2.1 Anwendungskonzepte auf mobilen Endgeräten 2.1 モバイル端末におけるアプリケーションの概念
2.1.1 Native-Anwendungen 2.1.1 ネイティブアプリケーション
2.1.2 Hybride Ansätze 2.1.2 ハイブリッド・アプローチ
2.2 Web-Anwendungen 2.2 ウェブアプリケーション
2.3 Hintergrundsysteme 2.3 バックグラウンド・システム
2.3.1 Selbst gehostete Systeme 2.3.1 セルフホストシステム
2.3.2 Extern gehostete Systeme 2.3.2 外部からホストされるシステム
2.3.3 Cloud Computing 2.3.3 クラウドコンピューティング
2.4 Security Problem Definition 2.4 セキュリティ問題の定義
2.4.1 Annahmen 2.4.1 前提条件
2.4.2 Bedrohungen 2.4.2 脅威
2.4.3 Organisatorische Sicherheitspolitiken 2.4.3 組織的なセキュリティポリシー
2.4.4 Restrisiken 2.4.4 残留リスク
3 Prüfaspekte für Anwendungen im Gesundheitswesen 3 ヘルスケアアプリケーションのためのテストの側面
3.1 Prüfaspekte 3.1 テスト面
3.1.1 Prüfaspekt (1): Anwendungszweck 3.1.1 テスト側面  (1) :適用目的
3.1.2 Prüfaspekt (2): Architektur 3.1.2 テスト側面  (2) :アーキテクチャ
3.1.3 Prüfaspekt (3): Quellcode 3.1.3 テスト側面  (3) :ソースコード
3.1.4 Prüfaspekt (4): Drittanbieter-Software 3.1.4 テスト側面  (4) :サードパーティソフトウェア
3.1.5 Prüfaspekt (5): Kryptographische Umsetzung 3.1.5 テスト側面  (5) :暗号化実装
3.1.6 Prüfaspekt (6): Authentifizierung 3.1.6 テスト側面  (6) :認証
3.1.7 Prüfaspekt (7): Datensicherheit 3.1.7 テスト側面  (7) :データセキュリティ
3.1.8 Prüfaspekt (8): Kostenpflichtige Ressourcen 3.1.8 テスト側面  (8) :有償リソース
3.1.9 Prüfaspekt (9): Netzwerkkommunikation 3.1.9 テスト側面  (9)  :ネットワーク通信  
3.1.10 Prüfaspekt (10): Plattformspezifische Interaktionen 3.1.10 テスト側面  (10)  :プラットフォーム固有のインタラクション  
3.1.9 Prüfaspekt (9): Netzwerksicherheit 3.1.9 テスト側面 (9) :ネットワークセキュリティ    
3.1.10 Prüfaspekt (10): Organisatorische Sicherheit
3.1.10 テスト側面 (10) :組織的なセキュリティ    
3.1.11 Prüfaspekt (11): Resilienz 3.1.11 テスト側面  (11)  :回復力  
4 Prüfschritte einer Anwendung im Gesundheitswesen 4. ヘルスケアアプリケーションのテストステップ
4.1 Anforderungen an die Prüfung 4.1 テスト要件
4.2 Protokollierung der Ergebnisse 4.2 結果の記録
4.3 Testcharakteristika 4.3 テスト特性
4.3.1 Testcharakteristik zu Prüfaspekt (1): Anwendungszweck 4.3.1 テスト側面  (1)  に対するテスト特性:適用目的
4.3.2 Testcharakteristik zu Prüfaspekt (2): Architektur 4.3.2 テスト側面  (2)  のテスト特性:アーキテクチャ
4.3.3 Testcharakteristik zu Prüfaspekt (3): Quellcode 4.3.3 テスト側面  (3)  のテスト特性:ソースコード
4.3.4 Testcharakteristik zu Prüfaspekt (4): Drittanbieter-Software 4.3.4 テスト側面  (4)  :サードパーティソフトウェアに関するテスト特性
4.3.5 Testcharakteristik zu Prüfaspekt (5): Kryptographische Umsetzung 4.3.5 テスト側面  (5)  のテスト特性:暗号化実装
4.3.6 Testcharakteristik zu Prüfaspekt (6): Authentifizierung 4.3.6 テスト側面  (6)  のテスト特性:認証
4.3.7 Testcharakteristik zu Prüfaspekt (7): Datensicherheit 4.3.7 テスト側面  (7)  に対するテスト特性:データセキュリティ
4.3.8 Testcharakteristik zu Prüfaspekt (8): Kostenpflichtige Ressourcen 4.3.8 テスト側面  (8)  のテスト特性:有償リソース
4.3.9 Testcharakteristik zu Prüfaspekt (9): Netzwerkkommunikation 4.3.9 テスト側面 (9) のテスト特性:ネットワーク通信
4.3.10 Testcharakteristik zu Prüfaspekt (10): Plattformspezifische Interaktionen 4.3.10 テスト側面 (10) :プラットフォーム固有のインタラクションに関するテスト特性
4.3.11 Testcharakteristik zu Prüfaspekt (11): Resilienz 4.3.11 テスト側面 (11) のテスト特性:弾力性 (Resilience  
5 Sicherheitsstufen und Risikoanalyse 5 セキュリティレベルとリスク分析
Anhang A: Schutzbedarf sensibler Datenelemente 附属書A:機密データ要素の保護要件
Anhang B: Begutachtungsperspektive 附属書B:評価の視点
B.1. Primäres Designziel B.1. 設計の主目的
B.2. Schutzmechanismen B.2. 保護機構
B.3. Sichere Entwicklung B.3. 安全な開発
B.4. Authentifizierung B.4. 認証
B.5. Sicherheit der Kommunikation B.5. 通信セキュリティ
B.6. Weitere Prüfthemen B.6. その他のテストトピック
Anhang C: Anforderungen an biometrische Authentifizierungs- und Verifizierungsverfahren für Anwendungen im Gesundheitswesen 附属書C:ヘルスケアアプリケーションのためのバイオメトリクス認証および検証方法に関する要求事項    
C.1.  Anforderungen an die Leistung und an die Erkennung von Präsentationsangriffen biometrischer Systeme auf mobilen Endgeräten C.1. モバイル機器上の生体認証システムの性能とプレゼンテーション攻撃検知の要件    
C.1.1. Begriffe C.1.1. 用語    
C.1.2. [GEN] Allgemeine Anforderungen C.1.2 [GEN] 一般要求事項    
Abkürzungsverzeichnis 略語一覧
Literaturverzeichnis 参照情報

 

参考になるBSIのページ...

eHealth – Cyber-Sicherheit im Gesundheitswesen

eHealth – Cyber-Sicherheit im Gesundheitswesen eHealth - ヘルスケア分野でのサイバーセキュリティ
Der Bereich eHealth befasst sich mit der Digitalisierung im Gesundheitswesen. Er wird thematisch in verschiedene Abschnitte aufgeteilt. Zum einen geht es um die elektronische Gesundheitskarte (eGK) und die dazugehörige Telematikinfrastruktur (TI) und zum anderen um die Cyber-Sicherheit von in Deutschland eingesetzter Medizintechnik. eHealthの分野では、ヘルスケア分野のデジタル化を扱っています。テーマ別に分かれています。一方では、電子健康保険証 (eGK) と関連するテレマティクスインフラ (TI) を扱い、他方では、ドイツで使用されている医療技術のサイバーセキュリティを扱っています。
Moderne Gesundheitsversorgung: digital und sicher 現代の医療:デジタルとセキュア
Medizinische Versorgung in Deutschland wird allen zu Teil. Sie ist ein Gradmesser für den Wohlstand, die Stärke und Solidarität in einer Gesellschaft. Das Gesundheitswesen in unserem Land gilt weltweit als eines der besten – auch, weil es in vielen Bereichen digitalisiert ist. Die elektronische Patientenakte, die Messung, Speicherung und Auswertung von Gesundheitsdaten per App oder die Video-Sprechstunde sind Beispiele für digitale Technologien, die derzeit die deutsche Gesundheitswirtschaft verändern. Von der Digitalisierung profitieren alle Akteure im Gesundheitswesen – von den Patientinnen und Patienten über die Kliniken und Arztpraxen bis hin zu den Krankenkassen. Digitale Gesundheitsfürsorge kann das Leben der Menschen erleichtern, lange Wege und Wartezeiten minimieren und im Krankheits- oder Notfall schnell helfen. ドイツの医療は誰でも受けられます。社会の繁栄、力強さ、連帯感を測る尺度である。我が国の医療制度は世界でもトップクラスと言われていますが、それは多くの分野でデジタル化されているからです。電子患者ファイル、アプリによる健康データの測定・保存・評価、ビデオ診察などは、現在ドイツの医療業界を変えつつあるデジタル技術の一例です。患者から診療所、医師会、医療保険会社まで、医療システムのすべてのプレーヤーがデジタル化の恩恵を受けています。デジタルヘルスケアは、人々の生活をより快適にし、長時間の移動や待ち時間を最小限に抑え、病気や緊急事態の際には迅速に対応することができます。
Doch alle Vorteile von eHealth sind ohne Informationssicherheit nicht denkbar. Denn die Digitalisierung erhöht auch im Gesundheitswesen das Risiko von IT-Sicherheitsvorfällen und Cyber-Angriffen. Wozu das führen kann, belegen zahlreiche Vorfälle der letzten Monate und Jahre: Krankenhäuser mussten in den Notbetrieb gehen, Millionen sensibler Patientendaten wurden gestohlen oder waren über längere Zeiträume öffentlich ohne Passwortschutz im Internet zugänglich. Hinzu kommen immer wieder Berichte über Schwachstellen in vernetzten Medizingeräten wie Insulinpumpen, Patientenmonitoren oder Beatmungsgeräten. Deren Ausfall oder Manipulation durch unbefugte Dritte kann im Ernstfall unmittelbare Folgen für Gesundheit, Leib und Leben eines Patienten haben. しかし、eヘルスがもたらすすべてのメリットは、情報セキュリティなしには考えられません。また、デジタル化により、医療分野におけるITセキュリティ事故やサイバー攻撃のリスクも高まっています。ここ数カ月、数年にわたる数々の事件は、このことが何をもたらすかを示しています。病院が緊急操業に入らなければならなくなったり、何百万という患者の機密データが盗まれたり、パスワード保護なしで長期間にわたってインターネット上で一般公開されたりしています。また、インスリンポンプ、患者用モニター、人工呼吸器など、ネットワーク接続された医療機器の脆弱性が繰り返し報告されています。その故障や権限のない第三者による操作は、緊急時に患者の健康、生命、身体に対して直ちに影響を与える可能性があります。
Sichere Digitalisierung gestalten 安全なデジタル化の設計
All diese Vorfälle kann sich eine moderne Gesellschaft nicht leisten. Auch deshalb gehören Einrichtungen des Gesundheitswesens zu den Kritischen Infrastrukturen in Deutschland. Als zentrales Kompetenzzentrum für Informationssicherheit in Deutschland übernimmt das BSI Verantwortung als Gestalter einer sicheren Digitalisierung in diesem für die Gesellschaft so wichtigen Bereich. 現代社会は、このような事件ばかりではいられない。ドイツで医療施設が重要インフラとされる理由のひとつがこれです。BSIは、ドイツにおける情報セキュリティの中央コンピテンスセンターとして、社会にとって重要なこの分野の安全なデジタル化の形成者としての責任を担っています。
Mit dem IT-Sicherheitsgesetz von 2015 hat das BSI die Zuständigkeit als Aufsichtsbehörde für Betreiber Kritischer Infrastrukturen (KRITIS) auch im Sektor Gesundheitswesen erhalten. Kritische Infrastrukturen im Gesundheitswesen sind beispielsweise Krankenhäuser und Kliniken mit mehr als 30.000 stationären Behandlungsfällen pro Jahr oder Pharmahersteller mit mehr als 4,65 Millionen in Verkehr gebrachte Packungen pro Jahr. 2015年のITセキュリティ法により、BSIは医療分野でも重要インフラ (CRITIS) の運用者の監督官庁としての責任を担うことになりました。ヘルスケア分野の重要インフラとは、例えば、年間3万件以上の入院患者を抱える病院や診療所、年間465万個以上の医薬品を上市している製薬会社などを指します。
Als Cyber-Sicherheitsbehörde des Bundes leistet das BSI einen wesentlichen Beitrag bei der Gestaltung der großen Digitalisierungsprojekte im Gesundheitswesen. Das BSI befasst sich mit der Weiterentwicklung der elektronischen Gesundheitskarte, mit dem Notfalldatenmanagement und dem elektronischen Medikationsplan im Zusammenhang mit der Arzneimitteltherapiesicherheit, mit der elektronischen Patientenakte, mit der Telematikinfrastruktur sowie der IT-Sicherheit von Medizinprodukten, beispielweise mit dem Projekt ManiMed - Manipulation von Medizinprodukten. Das BSI hat auch dafür gesorgt, dass die Corona-Warn-App des Bundes ein hohes Maß an Informationssicherheit bietet – nicht zuletzt ein wesentlicher Faktor für die hohe Akzeptanz der App in der Bevölkerung. 連邦政府のサイバーセキュリティ当局として、BSIはヘルスケア分野における主要なデジタル化プロジェクトの形成に大きく貢献しています。BSIは、電子健康カード、緊急時データ管理、薬物療法セキュリティに関連した電子投薬計画、電子患者ファイル、テレマティクス・インフラ、医療機器のITセキュリティのさらなる開発に取り組んでおり、例えば、ManiMedプロジェクト (医療機器の操作性) などがあります。BSIは、連邦政府のコロナ警報アプリが高いレベルの情報セキュリティを提供することを保証しており、このことが、同アプリが国民に高いレベルで受け入れられている重要な要因であることは言うまでもありません。
Das BSI leistet einen wesentlichen Beitrag zur sicheren Digitalisierung im Gesundheitswesen. Davon profitieren Kliniken, Ärztinnen und Ärzte ebenso wie die Patientinnen und Patienten. BSIは、ヘルスケア分野における安全なデジタル化に大きく貢献しています。これは、クリニック、医師、患者さんのいずれにもメリットがあります。
ARNE SCHÖNBOHM, PRÄSIDENT DES BSI アルネ・シェーンボーム (BSI会長)
Das BSI unterstützt in den IT-Anwendungsfeldern im Gesundheitsbereich mit Vorgaben, Sicherheitsstandards in Form von Technischen Richtlinien oder IT-Grundschutz-Bausteinen sowie konkreter Hilfestellung und Beratung für Behörden und Unternehmen, um schnell praktikable und zugleich sichere Anwendungen zu realisieren. Wichtig ist dabei die enge Zusammenarbeit des BSI mit Partnern wie der gematik, dem Bundesministerium für Gesundheit (BMG), dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), der Kassenärztlichen Bundesvereinigung (KBV) sowie der Kassenzahnärztlichen Bundesvereinigung (KZBV). BSIは、医療分野のITアプリケーション分野において、実用的であると同時に安全なアプリケーションを迅速に実装するために、仕様、技術ガイドラインやIT-Grundschutzビルディングブロックの形式によるセキュリティ標準、当局や企業に対する具体的な支援やアドバイスなどのサポートを提供しています。ここでは、BSIとgematik、連邦保健省 (BMG) 、連邦データ保護・情報自由委員会 (BfDI) 、連邦医薬品・医療機器研究所 (BfArM) 、全国法定保険医協会 (KBV) 、全国法定保険歯科医協会 (KZBV) といったパートナーとの密接な連携が重要な意味をもっています。

 

 

| | Comments (0)

中国 TC260 個人情報の国際的な処理活動に関するセキュリティ認証仕様

こんにちは、丸山満彦です。

中国の全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) (TC260)が、個人情報の国際的な処理活動に関するセキュリティ認証仕様を公表していますね。。。

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

・2022.06.24 关于发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》的通知

 

关于发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》的通知 サイバーセキュリティ基準実務指針-個人情報の越境処理活動に関するセキュリティ認証仕様-」の公表に関する通知
为落实《个人信息保护法》关于建立个人信息保护认证制度的相关要求,指导个人信息处理者规范开展个人信息跨境处理活动,秘书处组织编制了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》。 個人情報保護法の個人情報保護認証制度の確立に関する関連要求事項を実施し、個人情報の国境を越えた処理活動を標準化するために、事務局は「サイバーセキュリティ基準-個人情報の国境を越えた処理活動のセキュリティ認証仕様に関する実践ガイダンス」を作成した。
本《实践指南》提出了个人信息跨境处理活动安全的基本原则,规定了个人信息跨境处理活动的基本要求和个人信息主体权益保障要求。 本実務指針は、個人情報の越境処理活動の安全に関する基本原則を提示し、個人情報の越境処理活動の基本要件及び個人情報主体の権益を保護するための要件を規定するものである。 

 

・[PDF] 网络安全标准实践指南——个人信息跨境处理活动安全认证规范

20220627-62808

概要...

摘要 概要
本实践指南依据有关政策法规要求,为落实《个人信息 保护法》建立个人信息保护认证制度提供认证依据。申请个 人信息保护认证的个人信息处理者应当符合GB/T 35273《信 息安全技术 个人信息安全规范》的要求;对于开展跨境处 理活动的个人信息处理者,还必须符合本实践指南的要求。 本实践指南从基本原则、个人信息处理者和境外接收方在跨 境处理活动中应遵循的要求、个人信息主体权益保障等方面 提出了要求,为认证机构实施个人信息保护认证提供跨境处 理活动认证依据,也为个人信息处理者规范个人信息跨境处 理活动提供参考。 本実務指針は、関連する政策や法規の要求事項に基づいて、個人情報保護法の施行と個人情報保護認証制度の確立のための認証根拠を提供するものである。 個人情報保護認証を申請する個人情報処理者は、GB/T 35273「情報セキュリティ技術個人情報セキュリティ仕様」の要求を遵守しなければならず、国境を越えた処理活動を行う個人情報処理者は、本実務指針の要求も遵守しなければならない。本実務指針は、基本原則、越境処理活動において個人情報取扱事業者及び海外受取人が遵守すべき要件、個人情報主体の権益保護等の観点から要件を定めており、認証機関が越境処理活動に関する個人情報保護認証を実施するための基礎となり、また個人情報取扱事業者が個人情報の越境処理活動を規制するための参考となるものである。

 

目次...

摘 要 概要
1 适用情形 1 該当する状況
2 认证主体 2 認証対象
3 基本原则 3 基本原則
4 基本要求 4 基本要件
4.1 有法律约束力的协议 4.1 法的拘束力のある契約
4.2 组织管理 4.2 組織管理
4.3 个人信息跨境处理规则 4.3 国境を越えた個人情報の取り扱いに関する規定
4.4 个人信息保护影响评估 4.4 個人情報保護影響評価
5 个人信息主体权益保障 5 個人情報主体の権利保護について
5.1 个人信息主体权利 5.1 個人情報の主体の権利
5.2 个人信息处理者和境外接收方的责任义务 5.2 個人情報の処理者およびオフショア受領者の責任と義務

 

・[DOC] 仮対訳

 

| | Comments (0)

2022.06.26

英国 国防AI戦略 (2022.06.15)

こんにちは、丸山満彦です。

英国国防省が、国防AI戦略を公表していました。。。

よくできているように見えますね。。。

英国は、政策決定の枠組みが決まっているので、品質よく政策が策定、実行されるところもあるのでしょうかね。。。

 

U.K. Government - Defence and armed forces

・2022.06.15 Policy paper Defence Artificial Intelligence Strategy

Defence Artificial Intelligence Strategy

 

国防省のAIについてのビジョンは、

Our vision is that, in terms of AI, we will be the world’s most effective, efficient, trusted and influential Defence organisation for our size. 私たちのビジョン:AIという観点から、私たちの規模で、世界で最も効果的、効率的、信頼され、影響力のある国防組織になること。

4つの目標その具体的な活動...

Objective 1: Transform Defence into an ‘AI ready’ organisation. 目標1:国防を「AIに対応できる」組織へ変革する。
Actions to achieve objective 1: Upskill leaders and workforce, recruit key talent; address policy challenges; modernise digital, data and technology enablers. 目標1を達成するための行動:リーダーと労働力を強化し、重要な人材を採用し、政策の課題に対処し、デジタル、データ、技術のイネーブラを近代化する。
Objective 2: Adopt and exploit AI at pace and scale for Defence advantage. 目標2:国防の優位性のために、ペースと規模に応じてAIを導入し、活用する。
Actions to achieve objective 2: Organise for success; Exploit near and longer-term opportunities; Systematic experimentation; Collaborate internationally. 目標2を達成するための行動:成功のための組織化、短期および長期の機会の活用、体系的な実験、国際的な協力。
Objective 3: Strengthen the UK’s defence and security AI ecosystem. 目標3:英国の防衛・安全保障AIエコシステムを強化する。
Actions to achieve objective 3: Build confidence and clarify requirements; Address commercial barriers; Incentivise engagement and co-creation; Support business growth. 目的3を達成するための行動:信頼を築き、要件を明確にする;商業的障壁に対処する;関与と共同創造にインセンティブを与える;ビジネスの成長を支援する。
Objective 4: Shape global AI developments to promote security, stability and democratic values. 目標4:安全保障、安定、民主主義の価値を促進するために、グローバルなAIの発展を形成する。
Actions to achieve objective 4: Champion responsible global AI development; Promote security and stability; Develop future security policy. 目的4を達成するための行動:責任あるグローバルなAI開発を支持し、安全保障と安定を促進し、将来の安全保障政策を発展させる。

Fig1_20220626050801出典:U.K. Defence Artificial Intelligence Strategy

 

期待される成果とガバナンス

The four outcomes of AI adoption for Defence: Decision Advantage, Efficiency, Unlock New Capabilities, Empower the Whole Force. 国防のためのAI導入の4つの成果:意思決定の優位性、効率性、新しい能力の解放、全軍の能力強化
The Governance of AI in Defence: There is no single overall owner for AI in Defence. Every business unit and Function has an important role to play if we are to achieve our goals. 国防におけるAIのガバナンス:国防におけるAIの全体的な所有者は一人ではありません。目標を達成するためには、すべてのビジネスユニットとファンクションが重要な役割を担っています。
MOD Head Office: Set AI policy and strategy, define capability targets, direct strategic programmes and ensure overall coherence. 国防省 本部:AI政策と戦略を設定し、能力目標を定め、戦略的プログラムを指示し、全体的な一貫性を確保する。
Business units / Functional Leads: Pursue the forms of AI most relevant to them, guided by this Strategy and direction from Head Office. ビジネスユニット/ファンクショナルリード:この戦略と本部の指示に基づき、各自に最も適したAIの形態を追求する。
Strategic Command: Ensure strategic and operational integration across the warfighting domains. 戦略的コマンド:戦域を越えた戦略的・作戦的統合を確保する。
Overall strategic coherence is managed jointly by the Defence AI and Autonomy Unit (DAU) and the Defence AI Centre (DAIC). The DAU sets strategic policy frameworks governing development, adoption and use of AI. The DAIC is the focal point for AI R&D and technical issues. 全体的な戦略の一貫性は、国防AI・自律化ユニット(DAU)と国防AIセンター(DAIC)が共同で管理する。DAUは、AIの開発、採用、使用を管理する戦略的な政策枠組みを設定する。DAICは、AIの研究開発と技術的な問題の中心的な役割を果たす。

Fig2_20220626053101

出典:U.K. Defence Artificial Intelligence Strategy

 

目次...

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 The global technology context 1.1 世界のテクノロジー事情
1.1.1 The significance of Artificial Intelligence 1.1.1 人工知能の重要性
1.1.2 AI threats 1.1.2 AIの脅威
1.1.3 AI Competition 1.1.3 AIとの競争
1.2 Our response 1.2 私たちの対応
1.3 Ambitious, safe and responsible use of AI 1.3 野心的で安全かつ責任あるAIの使用
1.3.1 Our commitment as a responsible AI user 1.3.1 責任あるAIユーザーとしての私たちのコミットメント
1.3.2 Our commitment to our people 1.3.2 私たちの社員に対するコミットメント
2 Transform into an ‘AI Ready’ organisation 2 「AI Ready」な組織への変革
2.1 Culture, skills and policies 2.1 文化、スキル、ポリシー
2.1.1 Strategic planning for Defence AI skills 2.1.1 国防AIスキルのための戦略的計画
2.1.2 Applying the brightest minds to the AI challenge 2.1.2 AIへの挑戦のための優秀な頭脳の適用
2.1.3 AI leadership at all levels 2.1.3 全レベルでのAIリーダーシップ
2.1.4 Upskilling our workforce 2.1.4 労働力のアップスキル
2.1.5 Diversity and Inclusion 2.1.5 多様性と包括性
2.1.6 Policy, process and legislation 2.1.6 政策、プロセス、法規制
2.2 Digital, data and technology enablers 2.2 デジタル、データ、テクノロジーのイネーブラー
2.2.1 Trusted, coherent and reliable data 2.2.1 信頼できる、一貫性のある、信頼できるデータ
2.2.2 Computing power, networks and hardware 2.2.2 コンピューティングパワー、ネットワーク、ハードウェア
2.2.3 The Defence AI Centre (DAIC) 2.2.3 国防AIセンター(DAIC)
2.2.4 Technical assurance, certification and governance 2.2.4 技術保証、認証、ガバナンス
3 Adopt and Exploit AI at Pace and Scale for Defence Advantage 3 防衛の優位性のために、ペースと規模でAIを採用し、利用する
3.1 Organising for success 3.1 成功のための組織化
3.2 Our approach to delivery 3.2 配信へのアプローチ
3.3 Promoting pace, innovation and experimentation 3.3 ペース、イノベーション、実験の促進
3.3.1 Securing our AI operational advantage 3.3.1 AI運用の優位性の確保
3.4 Working across Government 3.4 政府全体との連携
3.5 International capability collaboration 3.5 国際的な能力協力
3.5.1 Key AI partnerships 3.5.1 主要なAIパートナーシップ
4 Strengthen the UK’s Defence and Security AI Ecosystem 4 英国の国防・安全保障AIエコシステムの強化
4.1 The UK’s AI strengths 4.1 英国のAIの強み
4.1.1 Defence’s role in spurring technological innovation 4.1.1 技術革新を促進するための国防の役割
4.2 Partnership on the basis of trust 4.2 信頼を基礎としたパートナーシップ
4.3 Clearly communicating our AI requirements, intent and expectations 4.3 AIの要件、意図、期待を明確に伝えること
4.4 Addressing barriers to frictionless collaboration 4.4 摩擦のないコラボレーションへの障壁に対処する
4.4.1 Information age acquisition and procurement policy 4.4.1 情報化時代の取得・調達政策
4.5 Incentivising engagement and co-creation 4.5 エンゲージメントと共創のインセンティブを与える
4.5.1 Understanding and reflecting market forces 4.5.1 市場の力を理解し反映させる
4.5.2 Talent exchange 4.5.2 タレント交換
4.5.3 Simplifying access to Defence assets 4.5.3 国防資産へのアクセスの簡素化
4.5.4 Promoting co-creation 4.5.4 共同創作の促進
4.5.5 Business support services 4.5.5 ビジネス支援サービス
5 Shape Global AI Developments to Promote Security, Stability and Democratic Values 5 安全保障、安定、民主的価値観を促進するためのグローバルな AI 開発の形成
5.1 Shape the global development of AI in line with UK goals and values 5.1 英国の目標と価値観に沿ったAIの世界的な発展を形作る
5.1.1 Promote safe and responsible military development and use 5.1.1 安全で責任ある軍事開発と利用を促進する
5.1.2 Influence the global development of AI technologies 5.1.2 AI技術の世界的な発展に影響を与える
5.2 Promote security and stability 5.2 安全保障と安定の促進
5.2.1 Counter-proliferation and arms control 5.2.1 拡散対策と軍備管理
5.2.2 Protecting critical technologies 5.2.2 重要技術の保護
5.2.3 Build confidence and minimise risk 5.2.3 信頼の構築とリスクの最小化
5.3 Develop future security policy 5.3 将来の安全保障政策の策定
5.3.1 AI, strategic systems and deterrence 5.3.1 AI、戦略的システム、抑止力
6 Strategy implementation and beyond 6 戦略の実施とその後
6.1 Priorities 6.1 優先順位
6.2 Leadership and governance 6.2 リーダーシップとガバナンス
6.3 Looking ahead 6.3 今後の展望

 

・[PDF] Defence Artificial Intelligence Strategy

20220626-53536

 

ブログの記事も参考になります。

U.K. GovernmentCentre for Data Ethics and Innovation Blog

・2022.06.15 Enabling the responsible use of AI in defence by

 

 

| | Comments (0)

2022.06.25

SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

こんにちは、丸山満彦です。

NISTが、SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証を公表し、意見募集をしていますね。。。

昨年3月から初期ドラフトを段階的に発表してきたものです。

これの日本政府版を考えることを想定すると、日米の国力の差は歴然ですね。。。日本製品がないですからね。。。

執筆には、NSA、MITREのメンバーに加えてベンダーからは、ArcherDell TechnologiesEclypsiumHewlett Packard EnterpriseHP Inc.IBMIntelSeagateが参加していますね。。。

 

NIST - ITL

2022.06.23 SP 1800-34 (Draft) Validating the Integrity of Computing Devices

SP 1800-34 (Draft) Validating the Integrity of Computing Devices SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証
Announcement 発表
What Is This Guide About? このガイドは何について書かれているのか?
Technologies today rely on complex, globally distributed and interconnected supply chain ecosystems to provide reusable solutions. Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Managing cyber supply chain risks requires, in part, ensuring the integrity, quality, and resilience of the supply chain and its products and services. This project demonstrates how organizations can verify that the internal components of their computing devices are genuine and have not been altered during the manufacturing or distribution processes. 今日のテクノロジーは、再利用可能なソリューションを提供するために、複雑でグローバルに分散し、相互接続されたサプライチェーンエコシステムに依存している。組織は、意図的であるか否かを問わず、サイバーサプライチェーンの侵害のリスクにさらされることが多くなっている。サイバーサプライチェーンのリスクを管理するには、サプライチェーンとその製品およびサービスの整合性、品質、および弾力性を確保することが一部で必要とされている。このプロジェクトでは、コンピュータデバイスの内部コンポーネントが本物であり、製造や流通の過程で変更されていないことを組織が確認する方法を紹介する。
Share Your Expertise 専門知識を共有する
Please download the document and share your expertise with us to strengthen the draft practice guide. The public comment period for this draft is now open and will close on July 25th, 2022. You can stay up to date on this project by sending an email to supplychain-nccoe@nist.gov to join our Community of Interest. Also, if you have any project ideas for our team, please let us know by sending an email to the email address above. We look forward to your feedback. 実践ガイドのドラフトを強化するために、ドキュメントをダウンロードし、あなたの専門知識を共有してください。このドラフトに対するパブリックコメント期間は現在開始されており、2022年7月25日に終了する予定である。このプロジェクトに関する最新情報は、supplychain-nccoe@nist.gov までメールをお送りいただき、Community of Interestにご参加ください。また、私たちのチームに対するプロジェクトのアイデアがあれば、上記のメールアドレスにメールを送ってお知らせください。皆様のご意見をお待ちしている。
Additional NIST Supply Chain Work NISTのサプライチェーンに関するその他の作業
NIST is also working on an important effort, the National Initiative for Improving Cybersecurity in Supply Chains (NIICS) with the private sector and others in government to improve cybersecurity in supply chains. This initiative will help organizations to build, evaluate, and assess the cybersecurity of products and services in their supply chains, an area of increasing concern. For more information on this effort, you can click here. NISTは、サプライチェーンにおけるサイバーセキュリティを向上させるために、民間企業や政府関係者とともに「サプライチェーンにおけるサイバーセキュリティ向上のための国家イニシアチブ(NIICS)」という重要な取り組みも行っている。このイニシアティブは、組織がサプライチェーンにおける製品やサービスのサイバーセキュリティを構築、評価、査定することを支援するもので、この分野はますます懸念されている。この取り組みの詳細については、こちらをご覧ください。
Abstract 概要
Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the cyber supply chain and its products and services. This project will demonstrate how organizations can verify that the internal components of the computing devices they acquire, whether laptops or servers, are genuine and have not been tampered with. This solution relies on device vendors storing information within each device, and organizations using a combination of commercial off-the-shelf and open-source tools that work together to validate the stored information. This NIST Cybersecurity Practice Guide provides a draft describing the work performed so far to build and test the full solution. 組織は、意図的であるか否かにかかわらず、サイバーサプライチェーンの侵害のリスクにさらされることが多くなっている。サイバーサプライチェーンリスクには、偽造、不正生産、改ざん、盗難、予期せぬソフトウェアやハードウェアの挿入などがある。これらのリスクを管理するには、サイバー・サプライ・チェーンとその製品・サービスの完全性を確保する必要がある。このプロジェクトでは、組織が入手したコンピューティングデバイスの内部コンポーネントが、ノートパソコンであれサーバーであれ、本物であり、改ざんされていないことを確認する方法を実証する。このソリューションは、デバイスベンダーが各デバイス内に情報を保存し、組織が市販のツールとオープンソースのツールを組み合わせて使用し、保存された情報を検証することに依存している。このNISTサイバーセキュリティ実践ガイドは、完全なソリューションを構築しテストするためにこれまでに行われた作業を説明するドラフトを提供する。

 

NIST SP 1800-34 ipd

・2022.06.23 Validating the Integrity of Computing Devices NIST 1800-34 Practice Guide Draft

・[PDF] NIST SP 1800-34: Complete Guide

 

20220625-24825

 

目次...

1  Summary 1 概要
1.1  Challenge 1.1 課題
1.2  Solution 1.2 解決策
1.3  Benefits 1.3 利点
2  How to Use This Guide 2 このガイドの使い方
2.1 Typographic Conventions 2.1 タイポグラフィの規則
3 Approach 3 アプローチ
3.1  Audience 3.1 対象者
3.2  Scope 3.2 スコープ
3.2.1  Scenario 1: Creation of Verifiable Platform Artifacts 3.2.1 シナリオ1:検証可能なプラットフォームアーティファクトの作成
3.2.2  Scenario 2: Verification of Components During Acceptance Testing 3.2.2 シナリオ2:受入テストにおけるコンポーネントの検証
3.2.3  Scenario 3: Verification of Components During Use 3.2.3 シナリオ3:使用時のコンポーネントの検証
3.3  Assumptions 3.3 前提条件
3.4  Risk Assessment 3.4 リスクアセスメント
3.4.1  Threats 3.4.1 脅威
3.4.2  Vulnerabilities 3.4.2 脆弱性
3.4.3  Risk 3.4.3 リスク
3.5  Security Control Map 3.5 セキュリティコントロールマップ
3.6  Technologies 3.6 技術
3.6.1  Trusted Computing Group 3.6.1 トラステッドコンピューティンググループ
4  Architecture 4 アーキテクチャ
4.1  Architecture Description 4.1 アーキテクチャの説明
4.2  Existing Enterprise IT Management Systems 4.2 既存の企業IT管理システム
4.2.1  SIEM Tools 4.2.1 SIEMツール
4.2.2  Asset Discovery and Management System 4.2.2 資産発見・管理システム
4.2.3  Configuration Management System 4.2.3 コンフィギュレーション管理システム
4.2.4  Enterprise Dashboards 4.2.4 エンタープライズダッシュボード
4.3  Supporting Platform Integrity Validation Systems 4.3 サポートするプラットフォーム整合性検証システム
4.3.1  Host Integrity at Runtime and Start-up Attestation Certificate Authority (HIRS ACA)25  4.3.1 ランタイムおよびスタートアップ時のホスト完全性認証局(HIRS ACA)
4.3.2  Network Boot Services 4.3.2 ネットワークブートサービス
4.3.3  Platform Manifest Correlation System 4.3.3 プラットフォームマニフェスト相関システム
4.3.4  Eclypsium Analytic Platform 4.3.4 分析プラットフォーム
4.4  Computing Devices 4.4 コンピューティングデバイス
4.4.1  HP Inc 4.4.1 HP Inc.
4.4.2  Dell Technologies 4.4.2 デル・テクノロジー
4.4.3  Intel 4.4.3 インテル
4.4.4 Hewlett Packard Enterprise (HPE) 4.4.4 ヒューレット・パッカード・エンタープライズ(HPE)
4.4.5 Seagate 4.4.5 シーゲイト
5  Security Characteristic Analysis 5 セキュリティ特性分析
5.1  Assumptions and Limitations 5.1 前提条件と制限事項
5.2  Build Testing 5.2 ビルドテスト
5.2.1  Scenario 1 5.2.1 シナリオ1
5.2.2  Scenario 2 5.2.2 シナリオ2
5.2.3  Scenario 3 5.2.3 シナリオ3
5.3  Scenarios and Findings 5.3 シナリオと調査結果
5.3.1  Supply Chain Risk Management (ID.SC) 5.3.1 サプライチェーンリスクマネジメント(ID.SC)
5.3.2  Asset Management (ID.AM) 5.3.2 アセットマネジメント(ID.AM)
5.3.3  Identity Management, Authentication and Access Control (PR.AC) 5.3.3 アイデンティティ管理、認証、アクセス制御(PR.AC)
5.3.4  Data Security (PR.DS) 5.3.4 データセキュリティ(PR.DS)
5.3.5  Security Continuous Monitoring (DE.CM) 5.3.5 セキュリティ継続監視(DE.CM)
6  Future Build Considerations 6 今後の構築に関する考察
Appendix A List of Acronyms 附属書 A 頭字語(英語)リスト
Appendix B References 附属書 B 参考文献
Appendix C Project Scenario Sequence Diagrams 附属書 C プロジェクトシナリオシーケンスダイアグラム

 


まるちゃんの情報セキュリティティ気まぐれ日記

 

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2021.11.25 NIST SP 1800-34C (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.03.18 NIST SP 1800-34 (Draft) Validating the Integrity of Computing Devices (コンピューティングデバイスの完全性の検証)(Preliminary Draft)

» Continue reading

| | Comments (0)

2022.06.24

個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

こんにちは、丸山満彦です。

個人情報保護委員会で「第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」が開催され、資料が公開されていますね。。。

欧州主要国における顔識別機能付カメラの利用に関する法制度の調査と報告書案が示されていますね。。。

個人情報保護委員会

・2022.06.20 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・[PDF] 議事次第 議事次第

・[PDF] 資料1 報告書素案

20220624-33426

・[PDF] 資料2 欧州主要国における顔識別機能付カメラの利用に関する法制度の調査

20220624-33625

 


 

Fig_20220201061401

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2022.05.25 個人情報保護委員会 第4回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.04.17 個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

AI規制法案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念


欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。

Faicial Recognition

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

米国 2021年連邦ローテーシナル・サイバー要員プログラム法、2021年州・地方政府サイバーセキュリティ法に大統領が署名 (2022.06.21)

こんにちは、丸山満彦です。

バイデン大統領が、2021年連邦ローテーシナル・サイバー要員プログラム法、2021年州・地方政府サイバーセキュリティ法に署名していますね。。。

2021年連邦ローテーシナル・サイバー要員プログラム法は、連邦政府内でサイバー人材を派遣しあい、人材リソースの共有を促進し、教育効果も高めるために実施するのだろうと思います。

2021年州・地方政府サイバーセキュリティ法は、DHSと州・地方政府等の連携を深め、連邦政府が、州・地方政府のサイバー耐性を強化することを支援するというものだろうと思います。

不足するサイバー人材を共有と育成を通じて強化していこうということなんでしょうかね。。。

日本でも参考になるかもしれませんね。。。

 

The White House

・2021.06.21 Press Release: Bill Signed: S. 1097, S. 2520, and S. 3823

Press Release: Bill Signed: S. 1097, S. 2520, and S. 3823 プレスリリース 法案S. 1097、S. 2520、S. 3823は署名された
On Tuesday, June 21, 2022, the President signed into law: 2022年6月21日(火) 、大統領は法案に署名した。
S. 1097, the “Federal Rotational Cyber Workforce Program Act of 2021,” which establishes a Federal rotational cyber workforce program for the Federal cyber workforce; S. 1097「2021年連邦ローテーシナル・サイバー要員プログラム法」は、連邦サイバー要員のための連邦ローテーシナル・サイバー要員プログラムを確立するものである。
Thank you to Senators Peters, Hoeven, and Rosen and Representatives Khanna and Mace for their leadership. ピータース、ホーヴェン、ローゼン各上院議員、カンナ、メイス両衆院議員のリーダーシップに感謝する。
S. 2520, the “State and Local Government Cybersecurity Act of 2021,” which requires the Department of Homeland Security to increase collaboration with State, local, Tribal, and territorial governments on cybersecurity issues; S. 2520「2021年州・地方政府サイバーセキュリティ法」は、国土安全保障省に対し、サイバーセキュリティ問題に関して州・地方・部族・準州政府との協力を強化するよう求めるものである。
Thank you to Senators Peters, Portman, and Rosen, and Representative Neguse for their leadership. ピータース、ポートマン、ローゼン各上院議員、ネグセ代表のリーダーシップに感謝する。
S. 3823, the “Bankruptcy Threshold Adjustment and Technical Corrections Act,” which raises certain bankruptcy threshold limits and makes technical corrections to the Bankruptcy Administration Improvement Act. S. 3823, "破産閾値調整および技術的修正に関する法律", これは破産基準額の引き上げと破産行政改善法の技術的修正を行うものである。
 Thank you to Senators Grassley, Durbin, Whitehouse, and Cornyn, and Representatives Neguse and Cline for their leadership.  グラスリー、ダービン、ホワイトハウス、コーニン各上院議員、ネグズ、クライン両衆議院議員のリーダーシップに感謝する。

 

Congress Gov

S.1097 - Federal Rotational Cyber Workforce Program Act of 2021

概要...

Federal Rotational Cyber Workforce Program Act of 2021 2021年連邦ローテーシナル・サイバー要員プログラム法
This bill establishes a rotational cyber workforce program under which certain federal employees may be detailed among rotational cyber workforce positions at other agencies. 本法案は、特定の連邦職員が他省庁の連邦ローテーシナル・サイバー要員職の間で詳細な情報を得ることができるローテーシナル・サイバー要員プログラムを確立するものである。
This bill authorizes an agency to determine whether a workforce position involving information technology, cybersecurity, or other cyber-related functions in that agency is eligible for the program. 本法案は、情報技術、サイバーセキュリティ、またはその他のサイバー関連機能に関わる要員職が、その機関のプログラムの対象となるかどうかを決定する権限を省庁に与えている。
Additionally, the bill requires the Office of Personnel Management to issue a Federal Rotational Cyber Workforce Program operation plan providing policies, processes, and procedures for detailing employees among rotational cyber workforce positions at agencies. さらに、本法案は、人事管理局に対し、各省庁のローテーシナル・サイバー要員職間の職員の詳細に関する方針、プロセス、手順を定めたローテーシナル・サイバー要員プログラムの運営計画を発行することを求めている。
The Government Accountability Office must assess the operation and effectiveness of the rotational cyber workforce program by addressing the extent to which agencies have participated in the program and the experiences of employees serving in the program. 政府説明責任局は、各省庁がどの程度このプログラムに参加しているか、またこのプログラムに従事している職員の経験を取り上げることにより、ローテーシナル・サイバー要員プログラムの運用と有効性を評価しなければならない。

条文...

S.1097 - Federal Rotational Cyber Workforce Program Act of 2021 117th Congress (2021-2022)  S.1097 -  2021年連邦ローテーシナル・サイバー要員プログラム法  第117回議会 (2021-2022) 
SECTION 1. SHORT TITLE. 第1条 短いタイトル
This Act may be cited as the “Federal Rotational Cyber Workforce Program Act of 2021”. 本法は、「2021年連邦ローテーシナル・サイバー要員プログラム法」として引用されることがある。
SEC. 2. DEFINITIONS. 第2条 定義
In this Act: 本法において
(1) AGENCY.—The term “agency” has the meaning given the term “Executive agency” in section 105 of title 5, United States Code, except that the term does not include the Government Accountability Office. (1) 省庁:「省庁」という用語は、政府説明責任局を含まないことを除き、合衆国法典第5編第105節において「行政省庁」という用語に与えられている意味を有する。
(2) COMPETITIVE SERVICE.—The term “competitive service” has the meaning given that term in section 2102 of title 5, United States Code. (2) 競争サービス:「競争サービス」という用語は、合衆国法典第5編第2102節においてその用語が与えられている意味を有する。
(3) COUNCILS.—The term “Councils” means— (3) 評議会:「評議会」という用語は、以下を意味する。
(A) the Chief Human Capital Officers Council established under section 1303 of the Chief Human Capital Officers Act of 2002 (5 U.S.C. 1401 note); and (A) 2002年最高人事責任者法(5 U.S.C. 1401注) の第1303条に基づき設立された最高人事責任者評議会。
(B) the Chief Information Officers Council established under section 3603 of title 44, United States Code. (B) 米国連邦法典第 44 編第 3603 条に基づき設立された最高情報責任者評議会。
(4) CYBER WORKFORCE POSITION.—The term “cyber workforce position” means a position identified as having information technology, cybersecurity, or other cyber-related functions under section 303 of the Federal Cybersecurity Workforce Assessment Act of 2015 (5 U.S.C. 301 note). (4) サイバー要員職:「サイバー要員職」という用語は、2015年連邦サイバーセキュリティ人材評価法(5 U.S.C. 301注) 第303条に基づき、情報技術、サイバーセキュリティ、またはその他のサイバー関連機能を有すると特定される職を意味する。
(5) DIRECTOR.—The term “Director” means the Director of the Office of Personnel Management. (5) ディレクター :「ディレクター」という用語は、人事管理局のディレクターを意味する。
(6) EMPLOYEE.—The term “employee” has the meaning given the term in section 2105 of title 5, United States Code. (6) 従業員:「従業員」という用語は、合衆国法典第 5 編第 2105 条に規定される意味を有する。
(7) EMPLOYING AGENCY.—The term “employing agency” means the agency from which an employee is detailed to a rotational cyber workforce position. (7) 雇用省庁:「雇用省庁」という用語は、職員がローテーシナル・サイバー要員職に就くために派遣される省庁を意味する。
(8) EXCEPTED SERVICE.—The term “excepted service” has the meaning given that term in section 2103 of title 5, United States Code. (8) 除外勤務:「除外勤務」という用語は、合衆国法典第5編第2103節に規定される意味を持つ。
(9) ROTATIONAL CYBER WORKFORCE POSITION.—The term “rotational cyber workforce position” means a cyber workforce position with respect to which a determination has been made under section 3(a) (1) . (9) ローテーショナル・サイバー要員職:「ローテーショナル・サイバー要員職」という用語は、第3条 (a) (1) に基づく決定が行われたサイバー要員職をいう。
(10) ROTATIONAL CYBER WORKFORCE PROGRAM.—The term “rotational cyber workforce program” means the program for the detail of employees among rotational cyber workforce positions at agencies. (10) ローテーショナル・サイバー要員プログラム:「ローテーショナル・サイバー要員プログラム」という用語は、省庁のローテーショナル・サイバー要員職の間で職員を細かく分類するためのプログラムを意味する。
(11) SECRETARY.—The term “Secretary” means the Secretary of Homeland Security. (11) 長官:「長官」という用語は、国土安全保障省の長官を意味する。
SEC. 3. ROTATIONAL CYBER WORKFORCE POSITIONS. 第3条 ローテーシナル・サイバー要員職
(a) Determination With Respect To Rotational Service.— (a) ローテショナル勤務に関する決定。
(1) IN GENERAL.—The head of each agency may determine that a cyber workforce position in that agency is eligible for the rotational cyber workforce program, which shall not be construed to modify the requirement under section 4(b) (3) that participation in the rotational cyber workforce program by an employee shall be voluntary. (1) 一般:各省庁の長は、当該省庁のサイバー要員職がローテーシナル・サイバー要員プログラムに適格であると判断することができるが、これは、職員によるローテーシナル・サイバー要員プログラムへの参加は任意でなければならないという第 4 項 (b) (3) の要件を修正するものと解釈されてはならない。
(2) NOTICE PROVIDED.—The head of an agency shall submit to the Director— (2) 提供される通知:省庁の長は、局長に以下を提出するものとする。
(A) notice regarding any determination made by the head of the agency under paragraph (1) ; and (A) 第(1) 項に基づき当該省庁の長が行った決定に関する通知。
(B) for each position with respect to which the head of the agency makes a determination under paragraph (1) , the information required under subsection (b) (1) . (B) (1) に基づく決定が行われた各職種について、(b) (1) に基づき必要とされる情報。
(b) Preparation Of List.—The Director, with assistance from the Councils and the Secretary, shall develop a list of rotational cyber workforce positions that— (b) リストの作成-長官は、審議会および長官の支援を得て、以下のようなローテーショナル・サイバー要員職のリストを作成するものとする。
(1) with respect to each such position, to the extent that the information does not disclose sensitive national security information, includes— (1) 各職種について、国家安全保障上の機密情報を開示しない範囲において、以下を含む。
(A) the title of the position; (A) 役職のタイトル
(B) the occupational series with respect to the position; (B) 当該職種に関する職業系列
(C) the grade level or work level with respect to the position; (C) 当該職種の等級または業務レベル。
(D) the agency in which the position is located; (D) 当該職種の所属省庁
(E) the duty location with respect to the position; and (E) 当該職種の勤務地。
(F) the major duties and functions of the position; and (F) 職務の主な任務と機能。
(2) shall be used to support the rotational cyber workforce program. (2) ローテーシナル・サイバー要員プログラムを支援するために使用されるものとする。
(c) Distribution Of List.—Not less frequently than annually, the Director shall distribute an updated list developed under subsection (b) to the head of each agency and other appropriate entities. (c) リストの配布:少なくとも年に一度、長官は (b) に基づいて作成された最新のリストを各省庁の長および他の適切な団体に配布しなければならない。
SEC. 4. ROTATIONAL CYBER WORKFORCE PROGRAM. 第4条 ローテーシナル・サイバー要員プログラム
(a) Operation Plan.— (a) 運用計画
(1) IN GENERAL.—Not later than 270 days after the date of enactment of this Act, and in consultation with the Councils, the Secretary, representatives of other agencies, and any other entity as the Director determines appropriate, the Director shall develop and issue a Federal Rotational Cyber Workforce Program operation plan providing policies, processes, and procedures for a program for the detailing of employees among rotational cyber workforce positions at agencies, which may be incorporated into and implemented through mechanisms in existence on the date of enactment of this Act. (1) 一般:本法律の制定日から270日以内に、審議会、長官、他の省庁の代表者、および長官が適切と判断する他の団体と協議の上、長官は、省庁のローテーシナル・サイバー要員職間で職員の詳細を決めるためのプログラムの方針、プロセス、手順を定めた連邦ローテーシナル・サイバー要員プログラム運用計画を策定し発行しなければならず、これは本法の制定日に存在する機構に組み込まれて実施することが可能だ。
(2) UPDATING.—The Director may, in consultation with the Councils, the Secretary, and other entities as the Director determines appropriate, periodically update the operation plan developed and issued under paragraph (1) . (2) 更新:長官は、審議会、長官、および長官が適切と判断する他の組織と協議して、第 (1) 項に基づいて作成・発行された運用計画を定期的に更新することができる。
(b) Requirements.—The operation plan developed and issued under subsection (a) shall, at a minimum— (b) 要件:(a) に基づいて作成、発行された運営計画は、最低限次のことを行わなければならない。
(1) identify agencies for participation in the rotational cyber workforce program; (1) ローテーシナル・サイバー要員プログラムに参加する省庁を特定する。
(2) establish procedures for the rotational cyber workforce program, including— (2) 以下を含む、ローテーシナル・サイバー要員プログラムの手順を確立する。
(A) any training, education, or career development requirements associated with participation in the rotational cyber workforce program; (A) ローテーシナル・サイバー要員プログラムへの参加に関連する訓練、教育、またはキャリア開発要件。
(B) any prerequisites or requirements for participation in the rotational cyber workforce program; and (B) ローテーシナル・サイバー要員プログラムへの参加に必要な前提条件または要件
(C) appropriate rotational cyber workforce program performance measures, reporting requirements, employee exit surveys, and other accountability devices for the evaluation of the program; (C) 適切なローテーシナル・サイバー要員プログラムの成果指標、報告要件、従業員の退社調査、およびプログラム評価のためのその他の説明責任装置。
(3) provide that participation in the rotational cyber workforce program by an employee shall be voluntary; (3) 従業員によるローテーシナル・サイバー要員プログラムへの参加は任意であることを規定する。
(4) provide that an employee shall be eligible to participate in the rotational cyber workforce program if the head of the employing agency of the employee, or a designee of the head of the employing agency of the employee, approves of the participation of the employee; (4) 被雇用者の雇用省庁の長、または雇用省庁の長の被指名人が、被雇用者の参加を承認した場合、被雇用者はローテーシナル・サイバー要員プログラムに参加する資格を有すると規定する。
(5) provide that the detail of an employee to a rotational cyber workforce position under the rotational cyber workforce program shall be on a nonreimbursable basis; (5) ローテーシナル・サイバー要員プログラムに基づくローテーシナル・サイバー要員職への職員の派遣は、経費負担がないものとすることを規定する。
(6) provide that agencies may agree to partner to ensure that the employing agency of an employee that participates in the rotational cyber workforce program is able to fill the position vacated by the employee; (6) 各省庁は、ローテーシナル・サイバー要員プログラムに参加する職員の雇用省庁が、その職員が空けた職を埋めることができるように、提携することに同意することができることを規定する。
(7) require that an employee detailed to a rotational cyber workforce position under the rotational cyber workforce program, upon the end of the period of service with respect to the detail, shall be entitled to return to the position held by the employee, or an equivalent position, in the employing agency of the employee without loss of pay, seniority, or other rights or benefits to which the employee would have been entitled had the employee not been detailed; (7) ローテーシナル・サイバー要員プログラムの下でローテーシナル・サイバー要員職に派遣された職員は、派遣に関する勤務期間が終了した時点で、給与、年功、その他派遣されていなかった場合に与えられるであろう権利や利益を失うことなく、その職員が雇用する省庁で、その職員が持っていた職、または同等の職に戻る権利があることを義務付ける。
(8) provide that discretion with respect to the assignment of an employee under the rotational cyber workforce program shall remain with the employing agency of the employee; (8) ローテーシナル・サイバー要員プログラムに基づく職員の配置に関する裁量は、当該職員の雇用省庁に委ねられることを規定する。
(9) require that an employee detailed to a rotational cyber workforce position under the rotational cyber workforce program in an agency that is not the employing agency of the employee shall have all the rights that would be available to the employee if the employee were detailed under a provision of law other than this Act from the employing agency to the agency in which the rotational cyber workforce position is located; (9) 職員の雇用省庁ではない省庁で、ローテーシナル・サイバー要員プログラムに基づきローテーシナル・サイバー要員職に派遣された職員は、雇用省庁からローテーシナル・サイバー要員職のある省庁へ、本法以外の法律の規定に基づいて職員が派遣された場合に与えられるすべての権利を有することを義務付ける。
(10) provide that participation by an employee in the rotational cyber workforce program shall not constitute a change in the conditions of the employment of the employee; and (10) 職員がローテーシナル・サイバー要員プログラムに参加することは、当該職員の雇用条件の変更にはならないことを規定する。
(11) provide that an employee participating in the rotational cyber workforce program shall receive performance evaluations relating to service in the rotational cyber workforce program in a participating agency that are— (11) ローテーシナル・サイバー要員プログラムに参加する職員は、参加省庁におけるローテーシナル・サイバー要員プログラムでの勤務に関連し、以下のような業績評価を受けるものとする。
(A) prepared by an appropriate officer, supervisor, or management official of the employing agency, acting in coordination with the supervisor at the agency in which the employee is performing service in the rotational cyber workforce position; (A) 雇用省庁の適切な役員、監督者、または管理職員が、当該職員がローテーシナル・サイバー要員として勤務している省庁の監督者と連携して作成したものであること。
(B) based on objectives identified in the operation plan with respect to the employee; and (B) 当該従業員に関する業務計画で特定された目標に基づく。
(C) based in whole or in part on the contribution of the employee to the agency in which the employee performed such service, as communicated from that agency to the employing agency of the employee. (C) 当該職員が勤務していた省庁から当該職員の雇用省庁に伝達された、当該職員による当該省庁への貢献の全部または一部に基づくものであること。
(c) Program Requirements For Rotational Service.— (c) ローテーション勤務のためのプログラム要件。
(1) IN GENERAL.—An employee serving in a cyber workforce position in an agency may, with the approval of the head of the agency, submit an application for detail to a rotational cyber workforce position that appears on the list developed under section 3(b) . (1) 一般:ある省庁のサイバー要員職の職員は、その省庁の長の承認を得て、第3項 (b) に基づいて作成されたリストに掲載されているサイバー要員職のローテーションへの派遣申請を提出することができる。
(2) OPM APPROVAL FOR CERTAIN POSITIONS.—An employee serving in a position in the excepted service may only be selected for a rotational cyber workforce position that is in the competitive service with the prior approval of the Office of Personnel Management, in accordance with section 300.301 of title 5, Code of Federal Regulations, or any successor thereto. (2) 特定の職に対する人事院の承認: 除外勤務の職に就いている職員は、連邦規則集第5編300.301項またはその後継に従って、人事院の事前承認を得た場合にのみ、競争勤務のローテーショナル・サイバー要員職に選出されることができる。
(3) SELECTION AND TERM.— (3) 選定と期間
(A) SELECTION.—The head of an agency shall select an employee for a rotational cyber workforce position under the rotational cyber workforce program in a manner that is consistent with the merit system principles under section 2301(b) of title 5, United States Code. (A) 選考:省庁の長は、合衆国法典第 5 編第 2301 条(b) に基づく能力主義の原則に合致する方法で、ロー テーション・サイバー要員プログラムのローテーシナル・サイバー要員職の職員を選考するものとする。
(B) TERM.—Except as provided in subparagraph (C) , and notwithstanding section 3341(b) of title 5, United States Code, a detail to a rotational cyber workforce position shall be for a period of not less than 180 days and not more than 1 year. (B) 期間:(C) 項に規定される場合を除き、また合衆国法典第 5 編第 3341(b) 条にかかわらず、ロー テーション・サイバー要員職への派遣は、180 日以上 1 年以下の期間でなければならない。
(C) EXTENSION.—The Chief Human Capital Officer of the agency to which an employee is detailed under the rotational cyber workforce program may extend the period of a detail described in subparagraph (B) for a period of 60 days unless the Chief Human Capital Officer of the employing agency of the employee objects to that extension. (C) 延長:ローテーシナル・サイバー要員プログラムのもとで職員が派遣される省庁の人的資源最高責任者は、その職員の雇用省庁の人的資源最高責任者が延長に反対しない限り、(B) 項に記載の派遣の期間を 60 日間延長することができる。
(4) WRITTEN SERVICE AGREEMENTS.— (4) 書面による業務委託契約
(A) IN GENERAL.—The detail of an employee to a rotational cyber workforce position shall be contingent upon the employee entering into a written service agreement with the employing agency under which the employee is required to complete a period of employment with the employing agency following the conclusion of the detail that is equal in length to the period of the detail. (A) 一般:ローテーショナル・サイバー要員職への派遣は、派遣終了後、派遣期間と同程度の雇用期間を雇用省庁で過ごすことを義務付ける、書面による勤務契約を従業員が雇用省庁と締結することを条件とする。
(B) OTHER AGREEMENTS AND OBLIGATIONS.—A written service agreement under subparagraph (A) shall not supersede or modify the terms or conditions of any other service agreement entered into by the employee under any other authority or relieve the obligations between the employee and the employing agency under such a service agreement. Nothing in this subparagraph prevents an employing agency from terminating a service agreement entered into under any other authority under the terms of such agreement or as required by law or regulation. (B) その他の契約および義務:(A) 号に基づく書面による業務協定は、他の権限に基づき被雇用者が締結したその他の業務協定の条件に取って代わり、または条件を変更するものではなく、当該業務協定に基づく被雇用者と雇用省庁の間の義務を免除するものでもない。本項は、雇用省庁が他の権限の下で締結されたサービス契約を、当該契約の条件に基づき、または法律もしくは規則の要求に従って終了させることを妨げるものではない。
SEC. 5. REPORTING BY GAO. 第5条 GAOによる報告
Not later than the end of the third fiscal year after the fiscal year in which the operation plan under section 4(a) is issued, the Comptroller General of the United States shall submit to Congress a report assessing the operation and effectiveness of the rotational cyber workforce program, which shall address, at a minimum— 第4項 (a) に基づく運営計画が発行された会計年度の後、第3会計年度末までに、米国会計検査院は、ローテーシナル・サイバー要員プログラムの運営と効果を評価する報告書を議会に提出し、最低限以下の事項を記載しなければならない。
(1) the extent to which agencies have participated in the rotational cyber workforce program, including whether the head of each such participating agency has— (1) 各省庁がローテーシナル・サイバー要員プログラムにどの程度参加しているか、各参加省庁の長が以下を行ったかどうかを含む。
(A) identified positions within the agency that are rotational cyber workforce positions; (A) 当該省庁において、ローテーシナル・サイバー要員となる役職を特定したこと、
(B) had employees from other participating agencies serve in positions described in subparagraph (A) ; and (B) 他の参加省庁の職員に (A) 号に記載された職務を担当させたこと、および
(C) had employees of the agency request to serve in rotational cyber workforce positions under the rotational cyber workforce program in participating agencies, including a description of how many such requests were approved; and (C) 当該省庁の職員が、参加省庁のローテーシナル・サイバー要員プログラムの下でローテーシナル・サイバー要員職に就くことを要請し、そのような要請が何件承認されたかの説明も含めている。
(2) the experiences of employees serving in rotational cyber workforce positions under the rotational cyber workforce program, including an assessment of— (2) ローテーシナル・サイバー要員プログラムの下でローテーシナル・サイバー要員として勤務した従業員の経験(以下の評価を含む) 。
(A) the period of service; (A) 勤務期間
(B) the positions (including grade level and occupational series or work level) held by employees before completing service in a rotational cyber workforce position under the rotational cyber workforce program; (B) ローテーシナル・サイバー要員プログラムの下でローテーシナル・サイバー要員職に就く前に従業員が就いていた職(等級レベル、職業系列または業務レベルを含む) 。
(C) the extent to which each employee who completed service in a rotational cyber workforce position under the rotational cyber workforce program achieved a higher skill level, or attained a skill level in a different area, with respect to information technology, cybersecurity, or other cyber-related functions; and (C) ローテーシナル・サイバー要員プログラムの下でローテーシナル・サイバー要員職での勤務を終えた各従業員が、情報技術、サイバーセキュリティ、またはその他のサイバー関連機能に関して、どの程度高いスキルレベルを達成したか、または異なる分野でスキルレベルを達成したか。
(D) the extent to which service in rotational cyber workforce positions has affected intra-agency and interagency integration and coordination of cyber practices, functions, and personnel management. (D) ローテーシナル・サイバー要員職での勤務が、サイバー業務、機能、および人事管理の省庁内および省庁間の統合および調整にどの程度影響を及ぼしたか。
SEC. 6. SUNSET. 第6条 適用期間
Effective 5 years after the date of enactment of this Act, this Act is repealed. 本法律成立の日から5年後に、本法律は廃止される。

 

 


S.2520 - State and Local Government Cybersecurity Act of 2021

概要...

State and Local Government Cybersecurity Act of 2021 2021年州・地方政府サイバーセキュリティ法
This bill provides for collaboration between the Department of Homeland Security (DHS) and state, local, tribal, and territorial governments, as well as corporations, associations, and the general public, regarding cybersecurity. 本法案は、国土安全保障省(DHS)と州・地方・部族・準州政府、および企業・団体・一般市民とのサイバーセキュリティに関する協力について定めるものである。
The bill expands DHS responsibilities through grants and cooperative agreements, including provision of assistance and education related to cyber threat indicators, proactive and defensive measures and cybersecurity technologies, cybersecurity risks and vulnerabilities, incident response and management, analysis, and warnings. 法案は、サイバー脅威の指標、事前対策と防御策、サイバーセキュリティ技術、サイバーセキュリティのリスクと脆弱性、事故対応と管理、分析、警告に関する支援と教育の提供を含む、助成金と協力協定を通じてDHSの責任を拡大する。
The bill requires the National Cybersecurity and Communications Integration Center, upon request, to coordinate with entities such as the Multi-State Information Sharing and Analysis Center to engage in specified activities, including to (1) conduct exercises with state, local, tribal, or territorial government entities; (2) provide operational and technical cybersecurity training to such entities; and (3) promote cybersecurity education and awareness. この法案は、国家サイバーセキュリティ通信統合センターが、要請に応じて、複数州情報共有分析センターなどの団体と調整し、(1)州、地方、部族、または領土の政府団体と演習を行う、(2)これらの団体に運用および技術のサイバーセキュリティ訓練を提供する、(3)サイバーセキュリティ教育と認識を促進する、などの特定の活動に従事するよう要求している。

 

条文...

S.2520 - State and Local Government Cybersecurity Act of 2021117th Congress (2021-2022)  S.2520 - 2021年州・地方政府サイバーセキュリティ法 第117回議会 (2021-2022) 
SECTION 1. SHORT TITLE. 第1条 短いタイトル
This Act may be cited as the “State and Local Government Cybersecurity Act of 2021”. 本法は、「2021年州および地方政府サイバーセキュリティ法」として引用されることがある。
SEC. 2. AMENDMENTS TO THE HOMELAND SECURITY ACT OF 2002. 第2条 2002年国土安全保障法の改正
Subtitle A of title XXII of the Homeland Security Act of 2002 (6 U.S.C. 651 et seq.) is amended— 2002年国土安全保障法(6 U.S.C. 651 et seq.) のタイトルXXIIのサブタイトルAは、以下のように修正される。
(1) in section 2201 (6 U.S.C. 651) , by adding at the end the following: (1) 第2201条(6 U.S.C. 651) において、末尾に以下を追加する
“(7) SLTT ENTITY.—The term ‘SLTT entity’ means a domestic government entity that is a State government, local government, Tribal government, territorial government, or any subdivision thereof.”; and (7) SLTT ENTITY:「SLTT組織体」という用語は、州政府、地方自治体、部族政府、準州政府、またはその下部組織である国内政府組織体を意味する」、
(2) in section 2209 (6 U.S.C. 659) — (2) 第2209条(6 U.S.C.659) において、
(A) in subsection (c) (6) , by inserting “operational and” before “timely”; (A) 第(c) (6) 項において、「適時」の前に「運用上および」を挿入する。
(B) in subsection (d) (1) (E) , by inserting “, including an entity that collaborates with election officials,” after “governments”; and (B) 第(d) (1) (E) 項において、「政府」の後に「選挙管理者と協力する団体を含め、」を挿入する。
(C) by adding at the end the following: (C) 末尾に以下を追加する。
“(p) Coordination On Cybersecurity For SLTT Entities.— 「(p) SLTT事業者のためのサイバーセキュリティに関する調整。
“(1) COORDINATION.—The Center shall, upon request and to the extent practicable, and in coordination as appropriate with Federal and non-Federal entities, such as the Multi-State Information Sharing and Analysis Center— 「(1) 調整:センターは、要請があれば、実行可能な範囲で、連邦省庁および非連邦省庁(Multi-State Information Sharing and Analysis Center など) と適切に連携して、以下を行うものとする。
“(A) conduct exercises with SLTT entities; 「(A) SLTT 団体と演習を実施する。
“(B) provide operational and technical cybersecurity training to SLTT entities to address cybersecurity risks or incidents, with or without reimbursement, related to— 「(B) 払い戻しの有無にかかわらず、サイバーセキュリティのリスクやインシデントに対処するために、SLTT組織体に運用および技術的なサイバーセキュリティのトレーニングを提供し、以下の事項に関連するものである。
“(i) cyber threat indicators; 「(i) サイバー脅威の指標、
“(ii) defensive measures; 「(ii) 防御策、
“(iii) cybersecurity risks; 「(iii) サイバーセキュリティリスク、
“(iv) vulnerabilities; and 「(iv) 脆弱性;および
“(v) incident response and management; 「(v) 事故対応と事故管理。
“(C) in order to increase situational awareness and help prevent incidents, assist SLTT entities in sharing, in real time, with the Federal Government as well as among SLTT entities, actionable— 「(C) 状況認識を高め、インシデントの予防を支援するため、SLTT組織体が、連邦政府およびSLTT組織体間で、リアルタイムで、実行可能な以下の情報を共有することを支援する。
“(i) cyber threat indicators; 「(i) サイバー脅威の指標、
“(ii) defensive measures; 「(ii) 防御策、
“(iii) information about cybersecurity risks; and 「(iii) サイバーセキュリティのリスクに関する情報、および
“(iv) information about incidents; 「(iv) インシデントに関する情報。
“(D) provide SLTT entities notifications containing specific incident and malware information that may affect them or their residents; 「(D) SLTT組織体またはその住民に影響を与える可能性のある特定のインシデントおよびマルウェア情報を含む通知をSLTT組織体に提供する。
“(E) provide to, and periodically update, SLTT entities via an easily accessible platform and other means— 「(E) SLTT組織体に、簡単にアクセスできるプラットフォームやその他の手段で、以下を提供し、定期的に更新する。
“(i) information about tools; 「(i) ツールに関する情報、
“(ii) information about products; 「(ii) 製品に関する情報、
“(iii) resources; 「(iii) リソース、
“(iv) policies; 「(iv) ポリシー、
“(v) guidelines; 「(v) ガイドライン、
“(vi) controls; and 「(vi) 管理策、及び
“(vii) other cybersecurity standards and best practices and procedures related to information security, including, as appropriate, information produced by other Federal agencies; 「(vii) 情報セキュリティに関するその他のサイバーセキュリティ基準およびベストプラクティス、手順(適宜、他の連邦省庁によって作成された情報を含む) 。
“(F) work with senior SLTT entity officials, including chief information officers and senior election officials and through national associations, to coordinate the effective implementation by SLTT entities of tools, products, resources, policies, guidelines, controls, and procedures related to information security to secure the information systems, including election systems, of SLTT entities; 「(F) SLTT組織体の選挙システムを含む情報システムを保護するために、情報セキュリティに関するツール、製品、リソース、ポリシー、ガイドライン、コントロール、および手順をSLTT組織体が効果的に実施するよう、最高情報責任者や上級選挙管理者を含むSLTT組織体の幹部と各国の協会を通じて協力する。
“(G) provide operational and technical assistance to SLTT entities to implement tools, products, resources, policies, guidelines, controls, and procedures on information security; 「(G) SLTT組織体が情報セキュリティに関するツール、製品、リソース、ポリシー、ガイドライン、コントロール、手続きを実施するために、運営上および技術上の支援を提供する。
“(H) assist SLTT entities in developing policies and procedures for coordinating vulnerability disclosures consistent with international and national standards in the information technology industry; and 「(H) SLTT組織体が、情報技術産業における国際・国内標準に沿った脆弱性開示の調整を行うための方針と手順を策定するのを支援する。
“(I) promote cybersecurity education and awareness through engagements with Federal agencies and non-Federal entities. 「(I) 連邦省庁および非連邦省庁との関わりを通じて、サイバーセキュリティの教育および認識を促進する。
“(q) Report.—Not later than 1 year after the date of enactment of this subsection, and every 2 years thereafter, the Secretary shall submit to the Committee on Homeland Security and Governmental Affairs of the Senate and the Committee on Homeland Security of the House of Representatives a report on the services and capabilities that the Agency directly and indirectly provides to SLTT entities.”. 「(q) 報告書:本款の制定日から1年以上経過し、その後2年ごとに、長官は上院の国土安全保障・政府問題委員会と下院の国土安全保障委員会に、同庁が直接および間接的にSLTT組織体に提供するサービスおよび能力に関する報告書を提出するものとする。

 

Fig1_20210802074601

 

| | Comments (0)

2022.06.23

自己保存欲を学習したAIの行く末

こんにちは、丸山満彦です。

ちょっと、朝起きて思いついたことを文献調査もせずに忘れないようにと思い、書いているだけです。。。すみません。。。

AIが自動的に自己保存 (self-preservation) 欲を得るというのは難しいかもしれませんが、AIを搭載したロボットのようなものに、自己保存欲を学習させることは可能かもしれません。。。もちろん、自己保存欲をどのようにして学習させるのか?という問題はあります。。。(例えば、ロボットに何かの事象を与え、そのロボットの機能が減ればマイナスのポイントを与え、ロボットが自分で減った機能を復元あるいは強化すればプラスのポイントを与え、、、というようなことをシミュレーションさせ続けるような感じかなぁ、、、。でも、計算量が多すぎて電力足らないか、、、)

でももし、自己保存欲を持った自律型ロボットのようなものができ、複数種類のそのようなロボットを、自己再生が十分にできる環境に置いた場合、どのようなことが起こるのかということをシミュレーションとかはできるような気がしました。。。

どういうことが起こるのですかね。。。

Fig1_20220623060901

| | Comments (0)

個人情報保護委員会「個人情報保護委員会の国際戦略」の公表

こんにちは、丸山満彦です。

個人情報保護委員会が。第204回 個人情報保護委員会(2022.03.30開催)で決定した、「個人情報保護委員会の国際戦略」を公表していますね。。。

この案は当日の資料の[PDF] 資料2-2 令和4年度個人情報保護委員会活動方針(案)の「別添1」に記載されています。。。


個人情報保護委員会

・2022.06.22 「国際戦略」を掲載しました。

・[PDF] 「個人情報保護委員会の国際戦略」(令和4年3月30日個人情報保護委員会決定)

20220622-232138


個人情報保護委員会の国際戦略

令和4年3月 30 日個人情報保護委員会

 近年、デジタル社会の進展に伴うデータの流通の増加、特に経済・社会活動のグローバル化及び情報通信技術の進展に伴い、個人情報を含むデータの円滑な越境流通の重要性が更に増している。こうした状況下において、日本政府は、2019年に「信頼性が確保された自由なデータ流通の確保(DFFT)」を提唱し、特に日本がG7ホスト国となる2023年に向けて、政府全体としてDFFTを推進している。

こうした中、個人情報保護の分野では、世界各国においてそれぞれ独自の個人情報保護法制を整備する動きが進んでおり、各国の法制等の世界潮流の把握や企業活動のグローバル化に伴う各国当局との連携、データローカライゼーションや無制限なガバメントアクセスといった新たなリスクへ対応するための国際機関等との協議を更に進めることが求められている。

また、国内においても、デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)による個人情報保護法の改正等(以下「令和3年改正法」という。)による公的部門の一元化に伴い、新たに、公的部門に係る個人データの流通に係る対応も求められることとなる。

個人情報保護委員会(以下「委員会」という。)は、従前より、DFFT推進のための施策に取り組んできているほか、各国の法制等の世界潮流の把握、各国当局との連携の強化を進めているところであるが、上記の状況を踏まえ、委員会が主体となって進める国際的な取組に関する当面の戦略を明確化するものである。

1.DFFT推進の観点から個人情報が安全・円滑に越境移転できる国際環境の構築

  日本がG7ホスト国となる2023年を見据え、DFFTを更に推進するため、世界プライバシー会議(GPA)、アジア太平洋プライバシー機関(APPA)やG7等の国際的な枠組みにおいてDFFTの重要性についての発信や対話を通じた連携の深化を図る。加えて、米国、欧州、アジア太平洋諸国等の各国・地域との対話等を通じて、同志国(like minded countries)の国々との協力関係の強化を図る。これにより、米国や欧州との連携の深化やアジア太平洋諸国等との中期的な協力関係の強化、ひいてはDFFTに資するグローバルスタンダードの確立を目指す。

  • グローバルな企業認証制度に軸足を置き、その構築、そして対象や参加者の拡大を目指す。その際、欧州GDPRとAPEC CBPRのような異なる枠組みを共存させ、排他的なアプローチには与せず多くの企業が参加できる包括的なアプローチを志向する。取組を進めるに当たっては、事業者側のニーズを把握した上で、ビジネスの様態や規模に応じて、複数の選択肢から利用しやすい越境移転のスキームを選ぶことができる環境を目指す。
  • 個人の権利利益を保護する上で我が国と同様の水準にあると認められる個人情報の保護に関する制度を有している国との間の相互な個人データ移転の枠組みの維持・発展を図るほか、その他既存のデータ移転枠組みの深化を推進していく。既存の日EU相互認証については、委員会が、民間部門と公的部門双方の監視・監督を行うこととなったこと等を踏まえ、枠組みの対象範囲の拡大の検討を開始する。
  • DFFTを脅かす、無制限なガバメントアクセスやデータローカライゼーション等の新たなリスクについて、米国や欧州、またG7やOECD諸国といった同志国と緊密に協議を重ねつつ、グローバルスタンダードの形成に貢献する。

2.国際動向の把握と情報発信

  情報通信技術の飛躍的な進展とそれに伴う個人情報保護に関する課題に対応するため、各国との情報や問題意識の共有を図ることに加え、技術革新や社会的課題等への対応についての世界潮流を踏まえた上で、我が国の政策立案に活かしていく。

  • GPAやAPPA等の国際フォーラム等において、新たな技術・ビジネス様態と個人情報保護、プライバシーの関係について我が国の取組を積極的に発信するとともに、関係国の対応の把握、連携の深化を図る。
  • 委員会が収集した情報については、広く発信し、政策立案や、国境を越えて活動する事業者が活用できるようにする。

3.国境を越えた執行協力体制の強化

  事業者等の国境を越えた活動の増加や個人情報を含むデータの国境を越えた流通の増大を受け、自国のみでは対応できない事案の益々の増加が予想されることから、委員会は、委員会が対応する個別の執行事案について、関係各国・機関等との連携を推進し、諸外国からの協力が必要な時に得られるような協力関係を強化する。

  • 各国の執行当局が参加する国際的な枠組みに参加するほか、戦略的に連携が求められる諸外国の個人情報保護当局を中心に緊密な協力関係を築いていく。
  • 令和3年改正法の施行に伴い、令和4年以降、公的部門においても委員会が一元的に当該規律を解釈運用することになることを踏まえ、各国の個人情報保護当局における権限行使の在り方や関係省庁との協力関係の把握を進める。

(以上)


 

参考

デジタル庁

信頼性が確保された自由なデータ流通の確保(DFFT)

デジタル庁 - 法令

デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)

 

| | Comments (0)

一般社団法人セキュアドローン協議会 ドローンセキュリティガイド 第3版 (2022.06.16)

こんにちは、丸山満彦です。

一般社団法人セキュアドローン協議会が「ドローンセキュリティガイド 第3版」を 2022.06.16に公開していましたね。。。

2018.03.18に第1版、2021.04.01に第2版を出していますが、その後2022.03.31に経済産業省が、「無人航空機を対象としたサイバーセキュリティガイドライン」を策定していまし、機体登録制度も始まっていますし、、、それも踏まえての改訂なんでしょうね。。。

一般社団法人セキュアドローン協議会はBig4ではデロイトが会員ですね。私が関わっていた頃には入会していなかったので、最近なんですかね。。。

 

一般社団法人セキュアドローン協議会

・2022.06.16 セキュアドローン協議会、『ドローンセキュリティガイド 第3版』公開


【本セキュリティガイドの概要】

本セキュリティガイドの策定を通して、信頼できるドローンの安心安全な操作環境とデータ送信環境を確立していくための指標を提言しています。
産業用ドローンが普及していくためには、情報処理においてこれまで配慮されてきた情報セキュリティ対策や、最新のIoT関連のセキュリティ技術との連携が重要になり、ドローンにおけるセキュリティリスク、機体制御、機体管理、ドローン機器、通信、アプリケーションやクラウドなどドローンソリューション全体におけるセキュリティ、ドローン機体メーカー、ドローンサービス提供事業者、ドローン活用ユーザそれぞれのとるべきセキュリティ対策要件など産業利用における指標を記述しています。

【本セキュリティガイドの主な改定内容】

  • クラウドを使用したドローンの認証例
  • リモートIDについて
  • ドローン関連サービス、プロトタイプ開発事例

ドローンセキュリティガイド

ドローンセキュリティガイド第3版 ダウンロードフォーム

20220622-160437

 

変更箇所は、


以下の章の追記ならびに修正。

5.3. クラウドを使用したドローンの認証例
7. リモート ID について
8. ドローン関連サービス、プロトタイプ開発事例
9.業務運用に関する注意点


 


関連...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.08 NATO CCDCOE 武力紛争時のプライバシーとデータ保護の権利

・2022.05.11 インド サイバーインシデントが発生したら6時間以内にCERT-Inに報告しなければならない... (2022.04.28)

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.26 米国 White House ドローン対策国家計画

・2022.04.14 経済産業省 無人航空機を対象としたサイバーセキュリティガイドラインを策定 (2022.03.31)

・2022.04.07 経団連 Society 5.0の扉を開く ― デジタル臨時行政調査会に対する提言 ― (2022.03.31)

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

・2021.09.04 英国 ブレグジット後のグローバルデータ計画 at 2021.08.26

・2021.06.26 欧州委員会 合同サイバーユニットを提案

・2020.11.04 情報ネットワーク法学会 第20回研究大会

・2020.10.13 米空軍は「連邦U-2ラボがU-2 Dragon LadyをKubernetesで飛行させた」と公開していますね。。。

・2020.06.09 米空軍は、2021年7月にAIが操縦する戦闘機と人間が操縦する戦闘機でドッグファイトをすることを考えているようですね。。。


 

 

» Continue reading

| | Comments (0)

2022.06.22

日本医師会 サイバーセキュリティ支援制度の運用を開始 (2022.06.01)

こんにちは、丸山満彦です。

日本医師会がサイバーセキュリティ支援制度の運用を2022.06.01から開始していましたね。。。

内容は、次の3つのようです。


(1)日本医師会サイバーセキュリティ対応相談窓口(緊急相談窓口)

 サイバーセキュリティに関連する日常の些細なセキュリティトラブルから重大トラブルまで幅広く相談できる相談窓口(年中無休・受付時間:9時~21時)を設置。無料で何度でも利用が可能としている。

(2)セキュリティ対策強化に向けた無料サイト(Tokio Cyber Port)の活用

 サイバー攻撃に対する意識の向上や予防のため、東京海上日動火災保険(株)が運営するサイバーセキュリティ情報発信ポータルサイト「Tokio Cyber Port」の活用を推奨(関連ニュースやコラム、標的型攻撃メール訓練、各種マニュアル等が提供されている)。

(3)日本医師会サイバー攻撃一時支援金・個人情報漏えい一時支援金制度

 日本医師会A(1)会員が開設・管理する医療機関において、「サイバー攻撃の被害を受けた場合」「サイバー攻撃に起因しない個人情報漏えいが発生した場合」に該当する被害が発生した際に、初期対応を支援する費用として一時金を支払う(事由発生日:2022年6月1日以降)。


ただし、


いわゆる「サイバ ーリスク保険」ではなく、サイバー攻撃により発生した損害賠償責任や費用損害に関する補償等を行うものではない。


とのことです。。。

 

日本医師会 - 日医 online

・2022.06.01 日本医師会サイバーセキュリティ支援制度の運用を開始

Jma

 


 

関連

● 東京海上日動火災保険

Tokio Cyber Port

 

 

| | Comments (0)

International Cybersecurity Challenge 2022 の優勝はヨーロッパチーム、2位はアジアチーム

こんにちは、丸山満彦です。

2022.06.14-17にギリシャのアテネで第1回 International Cybersecurity Challenge (ICC) が開催され、65カ国から集まったメンバーが7地域のチームにわかれ競い合った結果、優勝はヨーロッパチーム、2位はアジアチームとなったようですね。。。

日本からは、Code Blueでお馴染み?の篠田佳奈さんが支援者として、そしてセキュリティキャンプチームがメンバーとして参加しております。素晴らしい成果だと思います。おめでとうございます!!!

支援者であるENISAのプレスリリースでも取り上げられていますね。。。

来年の2023年は、DHS, CISAも関わって米国で8月に開催予定のようです。

その次の年は、NISC、経済産業省、総務省も加って日本で開催できると良いですね。。。

 

International Cybersecurity Challenge

1_20220621234901

チームはこちらから。。。

Teams

スポンサーはこちらから。。。日本からは、TrendMicroの名前が上がっています。。。

Sponsors

 

ENISA

・2022.06.20 Hats off to Team Europe - Winners of the 1st International Cybersecurity Challenge!

Hats off to Team Europe - Winners of the 1st International Cybersecurity Challenge! 第1回インターナショナル・サイバーセキュリティ・チャレンジの優勝チーム・ヨーロッパに脱帽!
The European Union Agency for Cybersecurity (ENISA) congratulates Team Europe - the winners of the ICC 2022 - and all the regional teams for their active participation and engagement. 欧州連合サイバーセキュリティ庁(ENISA)は、ICC 2022の優勝者であるチーム・ヨーロッパと、すべての地域チームの積極的な参加と関与に祝意を表します。

The 1st International Cybersecurity Challenge (ICC) concluded on Friday 17th June after two days of intensive and relentless competition between the teams to master this year’s cybersecurity challenges. The team who managed to solve most challenges and the winner of the ICC 2022 is Team Europe, followed by Team Asia in second place and Team USA in third place. The complete rankings of the seven regional teams can be viewed hereTeam Europe scored the most points in the set of challenges linked to Jeopardy, while Team Asia was the highest scorer in the so-called Attack & Defence challenges. The competition took place in Athens, Greece.

第1回インターナショナル・サイバーセキュリティ・チャレンジ(ICC)は、今年のサイバーセキュリティの課題をマスターするために、2日間にわたりチーム間で集中的かつ執拗な競争が行われ、6月17日金曜日に終了しました。最も多くの課題を解決し、ICC2022の優勝チームに輝いたのは、チーム・ヨーロッパ、2位はチーム・アジア、3位はチーム・アメリカでした。7つの地域チームの完全なランキングは、こちらでご覧いただけます。 チーム・ヨーロッパは、ジョパディと連動した一連の課題で最も多くのポイントを獲得し、チーム・アジアは、いわゆるアタック&ディフェンスの課題で最も多くのスコアを獲得しました。大会はギリシャのアテネで開催されました。
The two captains from Team Europe Danique Lummen (NL) and Nuno Miguel da Silva Sabino (PT) stated: "We are really happy to be part of this fantastic event. It was great to compete in the ICC with all the other great teams from all over the world. We are also very happy and proud that we won the first place and we look forward to be part of the next ICC in the US”. チーム・ヨーロッパのキャプテン、ダニク・ルンメン(オランダ)とヌノ・ミゲル・ダ・シルバ・サビーノ(ポルトガル)は、次のように述べています。 「この素晴らしいイベントに参加できて、本当にうれしいです。ICCで世界中の素晴らしいチームと競い合えたことは、とても素晴らしいことでした。また、優勝できたことを大変嬉しく、誇りに思っています。次回、米国で開催されるICCに参加できることを楽しみにしています。」
European Commission Vice-President Margaritis Schinas delivered the award to the winning team, stating: “The world needs more cybersecurity professionals. Our society needs more people with the right security skills to protect our democracies, our values, our interconnected world. So today we meet this cybersecurity skills shortage challenge with another challenge, the International Cybersecurity Challenge competition. This competition is a great opportunity to raise awareness on the need for more cybersecurity experts in the field. It is an example of how by working together we can address the cybersecurity skills gap and bring our youth to the forefront of finding solutions to shield us from today’s ever-increasing threats.” 欧州委員会副委員長のマルガリーティ・スキナスは、優勝チームに賞を贈り、次のように述べました。 「世界は、より多くのサイバーセキュリティの専門家を必要としています。私たちの社会は、民主主義、価値観、相互接続された世界を守るために、適切なセキュリティ技術を持ったより多くの人々を必要としています。そこで今日、私たちはこのサイバーセキュリティのスキル不足という課題に、もうひとつの課題であるインターナショナル・サイバーセキュリティ・チャレンジ・コンペティションで応えます。このコンペティションは、サイバーセキュリティの専門家がもっと必要であるという認識を高めるための絶好の機会です。これは、私たちが協力することで、サイバーセキュリティのスキルギャップに対処し、今日の増え続ける脅威から私たちを守るための解決策を見つける最前線に若者をもたらすことができるという例です。」
ENISA’s Executive Director Juhan Lepassaar, added: “Young talents are the assets we should invest in if we want to make sure to have highly skilled and trained cyber experts in the future. They are the ones who will keep our digital world secure. I am very glad to see the international cybersecurity community engaged with ENISA to promote cybersecurity skills, awareness and education. This is one of the ways to build and sustain our cybersecurity workforce. ENISAのジョアン レパッサー事務局長は、次のように付け加えました。「将来、高度な技術と訓練を受けたサイバー専門家を確保したいのであれば、若い才能は我々が投資すべき資産です。彼らは、私たちのデジタル世界を安全に保つことができる人たちです。国際的なサイバーセキュリティ・コミュニティが、サイバーセキュリティのスキル、意識、教育を促進するためにENISAと協力していることを大変うれしく思います。これは、サイバーセキュリティの人材を育成し、維持するための方法の一つです。」
The competition concluded with the intervention by Professor Bart Preneel of the KU University of Leuven who stressed how pleased he was to see the enthusiasm, curiosity and dedication of the next generation of cybersecurity experts: 最後に、ルーヴェン大学のバート・プレネル教授が、次世代のサイバーセキュリティ専門家の熱意、好奇心、献身を目の当たりにして、非常に満足していることを強調し、コンテストは終了しました。
“It is in their hands to build a better digital future that reflects our common values and to make the world a better place. “ 「私たちの共通の価値観を反映したより良いデジタルの未来を築き、世界をより良い場所にするのは、彼らの手にかかっているのです。 」
The organisers of the ICC and ENISA would like to thank European Commission Vice-President Margaritis Schinas, Professor Bart Preneel of the KU University of Leuven, Mr. Athanasios Staveris-Polykalas, General Secretary of Telecommunications & Posts of the Hellenic Republic - Ministry of Digital Governance, and Mr. Antonio “T” Scurlock, Deputy Chief Learning Officer (CLO) of the US Cybersecurity & Infrastructure Security Agency (CISA), for their support and participation, and our thanks also go to the sponsors who provided the awards: AccentureCensus-labsCyber NoesisISACANetcompany IntrasoftTrend MicroUbiTechYes We Hack and the Cybersecurity National Lab. ICC主催者およびENISAは、欧州委員会副委員長マルガリーティス・スキナス氏、ルーヴェン大学バート・プレネル教授、ギリシャ共和国デジタルガバナンス省電気通信・郵便総局アタナシオス・スタベリス=ポリカラス氏、米国サイバーセキュリティ&インフラセキュリティ局(CISA)CLO(最高学習責任者)補佐アントニオ「T」スカーロック氏の支援と参加に感謝し、また賞を提供していただいたスポンサー企業に感謝します。 アクセンチュア、Census-labs、Cyber Noesis、ISACA、Netcompany Intrasoft、トレンドマイクロ、UbiTech、Yes We Hack、Cybersecurity National Labの各協賛企業にも感謝します。
ENISA is extremely grateful to the partners involved in the challenge, to the trainers of the teams and to all the experts and staff who supported the organisation of the event. ENISAは、このチャレンジに参加したパートナー、チームのトレーナー、イベントの開催をサポートしたすべての専門家とスタッフに非常に感謝しています。
Next steps 次のステップ
The next ‘’International Cybersecurity Challenge’’(ICC) can be pencilled in your calendars in August 2023. It will be hosted by the ENISA colleagues from the U.S. Department of Homeland Security and CISA in the United States of America. 次回の''International Cybersecurity Challenge'' (ICC) は、2023年8月に開催されることが決定しています。このイベントは、米国国土安全保障省とCISAのENISAの同僚が主催する予定です。
If you are interested in participating in the ICC 2023, you can find more information on the dedicated ICC website. ICC 2023への参加にご興味のある方は、ICCのウェブサイトにて詳細を確認してください。
Further information その他の情報
ENISA press release – Vice-President Schinas announces Team EU for the first Cyber World Cup ENISAプレスリリース - スキナス副総裁、第1回サイバーワールドカップに向けたチームEUを発表
ICC website - International Cybersecurity Challenge ICCウェブサイト - インターナショナル・サイバー・セキュリティ・チャレンジ
ICC trailer video - 1st International Cybersecurity Challenge ICC予告編ビデオ - 第1回インターナショナル・サイバーセキュリティ・チャレンジ
ENISA report – Capture the flags competitions’’(CTFs) ENISAレポート - Capture the flags competitions(CTFs)(旗を捕らえる競技会

 

 

| | Comments (0)

«米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊