まるちゃんの情報セキュリティ気まぐれ日記: June 2021

December 2023
Sun	Mon	Tue	Wed	Thu	Fri	Sat
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30

June 2021

2021.06.30

金融庁「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表

こんにちは、丸山満彦です。

金融庁が、「ゼロトラストの現状調査と事例分析に関する調査報告書」を公表していますね。。。

金融機関に向けたゼロトラストの調査や事例分析はあまりないので、なかなか興味深いですね。

PwCあらた監査法人に委託していますね。。。

● 金融庁

・2021.06.30 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表について

・[PDF]

1. 調査の概要
1.1. 調査の背景と目的
1.2. 調査期間
1.3. 調査の対象
1.4. 調査項目
1.5. 調査手法
1.6. 調査の前提条件と免責事項

2. ゼロトラストとは
2.1. ゼロトラストの誕生と定義
　2.1.1. ゼロトラストの誕生
　2.1.2. NIST SP800-207 におけるゼロトラストに関する定義
2.2. ゼロトラストが注目を集める背景
　2.2.1. デジタル技術の進展による IT 環境の多様化とサイバーリスクの高まり
　2.2.2. ゼロトラストへの注目度の高まり
2.3. ゼロトラストの概要
2.4. 境界型セキュリティとゼロトラストの違い
　2.4.1. 境界型セキュリティの概要
　2.4.2. 境界型セキュリティの課題
　2.4.3. 境界型セキュリティとゼロトラストの違い
2.5. ゼロトラスト・アーキテクチャの実装イメージ
　2.5.1. ゼロトラスト・アーキテクチャを構成するソリューションの分類
　2.5.2. ゼロトラスト・アーキテクチャを実装するためのソリューション
　2.5.3. ゼロトラスト・アーキテクチャの主な実装イメージ

3. NIST SP800-207 の概要と解説
3.1. ゼロトラスト・アーキテクチャの概要
　3.1.1. ゼロトラストの原則
　3.1.2. ゼロトラスト・アーキテクチャの論理コンポーネント
　3.1.3. ゼロトラスト・アーキテクチャの 3 つのアプローチ
　3.1.4. ポリシーエンジンのトラストアルゴリズム
　3.1.5. ゼロトラスト・アーキテクチャに関する脅威
3.2. ゼロトラスト・アーキテクチャの導入
　3.2.1. ゼロトラスト・アーキテクチャ導入前の準備
　3.2.2. ゼロトラスト・アーキテクチャの導入ステップ

4. 金融機関のゼロトラストに関する取り組み状況
4.1. 国内金融機関の取り組み状況
　4.1.1. 金融業界におけるビジネス環境の変化
　4.1.2. IT 環境の変化とサイバーセキュリティリスクの高まり
　4.1.3. 金融機関におけるゼロトラストに関する検討状況
　4.1.4. 金融機関におけるゼロトラスト・アーキテクチャ導入状況
　4.1.5. 国内金融機関のゼロトラスト・アーキテクチャの導入例
4.2. 海外金融機関の取り組み状況

5. ゼロトラスト・アーキテクチャ検討・導入時の主なポイント
5.1. 検討段階
　5.1.1. ゼロトラストに対する経営陣の理解と方向付けが不可欠
　5.1.2. 情報システム部門だけでなく組織横断での全社的な検討が必要
　5.1.3. 前提として情報資産・IT 資産の特定と評価が必要
　5.1.4. 「ありたい姿」から実現可能なロードマップを描く
5.2. 計画段階
　5.2.1. リスクや既存 IT 環境との連携を考慮したソリューション・製品の選定
　5.2.2. ビジネス目標の達成を目指せる推進体制の整備
　5.2.3. 自社の既存セキュリティ関連ルールの見直しも合わせて行う
5.3. 導入・運用段階
　5.3.1. トラストアルゴリズムの設計と継続的な改善
　5.3.2. ユーザーの理解と協力が不可欠
　5.3.3. 運用体制の整備と効率化と自動化による運用負荷の低減
　5.3.4. ゼロトラスト・アーキテクチャに対応したセキュリティ評価・監査指標の検討
　5.3.5. 次の段階へ移行するための基準の設定とモニタリング

6. 金融業界における今後のセキュリティの考え方
6.1. 基本的なセキュリティ対策を徹底する
6.2. 潮流を見極めながら自社に適したゼロトラストの検討を続ける
6.3. 新たなビジネスを支えるセキュリティの考え方として捉える

■ 参考 Zero Trust関係

● PwC Japan

調査報告書でも引用されている調査

・国内企業における「ゼロトラスト・アーキテクチャ」の実態調査2021

ゼロトラストから得られた効果は「DXの推進・多様な働き方の実現」がトップ

NIST SP 800-207の翻訳

・2020-12.10 NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳

2021.06.30 17:57 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド | Permalink | Comments (0)
Tweet

総務省「スマートシティセキュリティガイドライン（第2.0版）」の公表

こんにちは、丸山満彦です。

総務省が「スマートシティセキュリティガイドライン（第2.0版）」を公表していますね。。。

意見をうけてそれなりに修正をしていますね。。。

● 総務省

・2021.06.30 「スマートシティセキュリティガイドライン（第2.0版）」（案）に対する意見募集の結果及び「スマートシティセキュリティガイドライン（第2.0版）」の公表

・[PDF] スマートシティセキュリティガイドライン（第2.0版）

・[PDF] 提出された意見及びその意見に対する総務省の考え方

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

パブコメ時、、、

・2021.04.26 総務省意見募集「スマートシティセキュリティガイドライン（第2.0版）」（案）

UKのスマートシティーセキュリティ

・2021.05.13 UK NCSC スマートシティを安全に設計、管理、構築する方法を示す一連の原則

IEEEのスマートシティのセキュリティとプライバシー

・2021.02.26 IoT対応のスマートシティにおけるセキュリティとプライバシー：課題と将来の方向性 (IEEE Security & Privacy)

ISO/IECのスマートシティのプライバシー保護のガイドライン

・2021.02.02 ISO/IEC TS 27570:2021 Privacy protection — Privacy guidelines for smart cities（プライバシー保護- スマートシティーのためのプライバシーガイドライン）

2021.06.30 17:14 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 危機管理 / 事業継続, in パブコメ, in IoT | Permalink | Comments (0)
Tweet

WHO 保健のための人工知能の倫理とガバナンス

こんにちは、丸山満彦です。

世界保健機構 (World Health Organization: WHO) が「保健のための人工知能の倫理とガバナンス」を公表していますね。。。

● World Health Organization: WHO

・2021.06.28 Ethics and governance of artificial intelligence for health

Overview	概要
The WHO guidance on Ethics & Governance of Artificial Intelligence for Health is the product of eighteen months of deliberation amongst leading experts in ethics, digital technology, law, human rights, as well as experts from Ministries of Health. While new technologies that use artificial intelligence hold great promise to improve diagnosis, treatment, health research and drug development and to support governments carrying out public health functions, including surveillance and outbreak response, such technologies, according to the report, must put ethics and human rights at the heart of its design, deployment, and use.	WHOの「保健のための人工知能の倫理とガバナンスに関するガイダンス」は、倫理、デジタル技術、法律、人権の第一人者や、保健省の専門家が18ヶ月間にわたって審議した成果です。人工知能を用いた新技術は、診断、治療、健康診断、医薬品開発を改善し、監視や感染爆発対応などの公衆衛生機能を遂行する政府を支援するために大きな期待が寄せられていますが、本報告書によれば、そのような技術は、倫理と人権を、設計、展開、利用の中心に据えなければなりません。
The report identifies the ethical challenges and risks with the use of artificial intelligence of health, six consensus principles to ensure AI works to the public benefit of all countries. It also contains a set of recommendations that can ensure the governance of artificial intelligence for health maximizes the promise of the technology and holds all stakeholders – in the public and private sector – accountable and responsive to the healthcare workers who will rely on these technologies and the communities and individuals whose health will be affected by its use.	本報告書では、保健に関する人工知能の利用に伴う倫理的な課題とリスクを明らかにし、人工知能がすべての国の公共の利益のために機能することを保証するための6つの合意原則を示しています。また、保健医療分野における人工知能のガバナンスが、その技術の可能性を最大限に引き出し、官民を問わずすべての関係者が、これらの技術に依存する医療従事者や、その利用によって健康に影響を受けるコミュニティや個人に対して責任を持ち、対応することができるようにするための一連の提言も含まれています。

・[PDF]

目次です。。。

Foreword	序文
Acknowledgements	謝辞
Abbreviations and acronyms	省略形と頭字語
Executive summary	要約
1. Introduction	1. はじめに
2. Artificial intelligence	2. 人工知能
3. Applications of artificial intelligence for health	3. 保健に対する人工知能の応用
3.1 In health care	3.1 健康管理において
3.2 In health research and drug development	3.2 健康研究や医薬品開発における
3.3 In health systems management and planning	3.3 保健システムの管理と計画において
3.4 In public health and public health surveillance	3.4 公衆衛生と公衆衛生監視において
3.5 The future of artificial intelligence for health	3.5 保健のための人工知能の将来について
4. Laws, policies and principles that apply to use of artificial intelligence for health	4. 保健のための人工知能の利用に適用される法律、政策、原則
4.1 Artificial intelligence and human rights	4.1 人工知能と人権
4.2 Data protection laws and policies	4.2 データ保護に関する法律と政策
4.3 Existing laws and policies related to health data	4.3 健康データに関連する既存の法律や政策
4.4 General principles for the development and use of artificial intelligence	4.4 人工知能の開発と使用に関する一般原則
4.5 Principles for use of artificial intelligence for health	4.5 保健のための人工知能の利用に関する原則
4.6 Bioethics laws and policies	4.6 生命倫理に関する法律および政策
4.7 Regulatory considerations	4.7 規制に関する検討事項
5. Key ethical principles for use of artificial intelligence for health	5. 保健のための人工知能の利用に関する主要な倫理原則
5.1 Protect autonomy	5.1 自律性の保護
5.2 Promote human well-being, human safety and the public interest	5.2 人間の幸福、人間の安全、公共利益の促進
5.3 Ensure transparency, explainability and intelligibility	5.3 透明性、説明可能性、理解可能性の確保
5.4 Foster responsibility and accountability	5.4 責任とアカウンタビリティの醸成
5.5 Ensure inclusiveness and equity	5.5 包括性と公平性の確保
5.6 Promote artificial intelligence that is responsive and sustainable	5.6 応答性と持続可能性を備えた人工知能の推進
6. Ethical challenges to use of artificial intelligence for health care	6. ヘルスケアへの人工知能の利用に関する倫理的な課題
6.1 Assessing whether artificial intelligence should be used	6.1 人工知能を使用すべきかどうかの評価
6.2 Artificial intelligence and the digital divide	6.2 人工知能とデジタルデバイド
6.3 Data collection and use	6.3 データの収集と使用
6.4 Accountability and responsibility for decision-making with artificial intelligence	6.4 人工知能を用いた意思決定の説明責任と責任
6.5 Autonomous decision-making	6.5 自律的な意思決定
6.6 Bias and discrimination associated with artificial intelligence	6.6 人工知能に伴うバイアスと差別
6.7 Risks of artificial intelligence technologies to safety and cybersecurity	6.7 人工知能技術の安全性とサイバーセキュリティに対するリスク
6.8 Impacts of artificial intelligence on labour and employment in health and medicine	6.8 人工知能が保健と医療における労働と雇用に与える影響
6.9 Challenges in commercialization of artificial intelligence for health care	6.9 健康管理のための人工知能の商業化における課題
6.10 Artificial intelligence and climate change	6.10 人工知能と気候変動
7. Building an ethical approach to use of artificial intelligence for health	7. 保健のための人工知能の利用に関する倫理的アプローチの構築
7.1 Ethical, transparent design of technologies	7.1 倫理的で透明性のある技術の設計
7.2 Engagement and role of the public and demonstration of trustworthiness to providers and patients	7.2 一般市民の参加と役割、および提供者と患者に対する信頼性の証明
7.3 Impact assessment	7.3 影響評価
7.4 Research agenda for ethical use of artificial intelligence for health care	7.4 保健のための人工知能の倫理的利用に関する研究アジェンダ
8. Liability regimes for artificial intelligence for health	8. 保健のための人工知能に関する責任体制
8.1 Liability for use of artificial intelligence in clinical care	8.1 臨床ケアにおける人工知能の使用に対する責任
8.2 Are machine-learning algorithms products?	8.2 機械学習アルゴリズムは製品か？
8.3 Compensation for errors	8.3 過失に対する補償
8.4 Role of regulatory agencies and pre-emption	8.4 規制機関の役割と先制攻撃
8.5 Considerations for low- and middle-income countries	8.5 低・中所得国への配慮
9. Elements of a framework for governance of artificial intelligence for health	9. 保健のための人工知能のガバナンスのためのフレームワークの要素
9.1 Governance of data	9.1 データのガバナンス
9.2 Control and benefit-sharing	9.2 コントロールと利益配分
9.3 Governance of the private sector	9.3 民間企業のガバナンス
9.4 Governance of the public sector	9.4 公共部門のガバナンス
9.5 Regulatory considerations	9.5 規制に関する検討事項
9.6 Policy observatory and model legislation	9.6 ポリシーオブザベーションとモデル法案
9.7 Global governance of artificial Intelligence	9.7 人工知能のグローバルガバナンス
References	参考文献
Annex. Considerations for the ethical design, deployment and use of artificial intelligence technologies for health	附属書. 保健のための人工知能技術の倫理的な設計、展開、使用のための考慮事項

６つの倫理的原則は、まとめるとこうなるのかなぁ・・・

自律性の保護	自律性の原則は、機械の自律性の拡張が人間の自律性を損なわないことを要求します。
人間の幸福、人間の安全、公共利益の促進	AI技術は人に害を与えてはなりません
透明性、説明可能性、理解可能性の確保	AIは、開発者、ユーザー、規制当局にとって分かりやすい、あるいは理解できるものでなければなりません。
責任とアカウンタビリティの醸成	人間は、システムが実行できるタスクと、望ましいレベルのパフォーマンスを達成できる条件について、明確で透明性のある仕様を必要とする。
包括性と公平性の確保	AIが、年齢、性別、収入、能力、その他の特性に関係なく、可能な限り広範な適切かつ公平な使用およびアクセスを促すように設計される
応答性と持続可能性を備えた人工知能の推進	設計者、開発者、ユーザーが、AI技術を継続的に、体系的に、透明性を持って検証し、AI技術が使用されている状況において、伝えられた期待や要求に適切に、適切に対応しているかどうかを判断する

・[DOCX] 仮対訳

● United Nation - news

・2021.06.28 WHO guidance on Artificial Intelligence to improve healthcare, mitigate risks worldwide

エグゼクティブ・サマリー

↓↓↓↓↓↓↓↓

Continue reading "WHO 保健のための人工知能の倫理とガバナンス"

2021.06.30 11:36 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2021.06.29

IISS サイバー対応能力と国家力日本のサイバー能力はいけていない？

こんにちは、丸山満彦です。

英国の国際戦略研究所 (THE INTERNATIONAL INSTITUTE FOR STRATEGIC STUDIES: IISS) [wikipedia] が世界で15カ国を選択し、その国に対するサイバー対応能力と国家力に関する報告書を公表していますね。。。15カ国を３段階にわけていまして、もっとレベルが高いのは米国、2番目のレベルは、中国、ロシア、英国、フランス、イスラエル、カナダ、、、で日本は最後でした。。。

[PDF] Exective Summary P2

いろいろと事情はあるので仕方がない面もありそうですね。。。

● THE INTERNATIONAL INSTITUTE FOR STRATEGIC STUDIES: IISS

・2021.06.28 Cyber Capabilities and National Power: A Net Assessment

・[PDF] Full Report

・[PDF] Exective Summary

・[PDF] Methodology

・[PDF] Conclusion

・[DOCX] 結論の仮対訳

結果は、次のとおりです。。。

Tier	Description	説明	PDF
TIer1	world-leading strengths in all the categories in the IISS cyber-power methodology.	IISSのサイバーパワー手法におけるすべてのカテゴリーで世界トップレベルの強みを持つ。	United States
Tier2	world-leading strengths in some of the categories in the IISS cyber-power methodology.	IISSのサイバーパワー手法のいくつかのカテゴリーで世界トップレベルの実力を持つ。	Australia
			Canada
			China
			France
			Israel
			Russia
			United Kingdom
Tier3	strengths or potential strengths in some of the categories in the IISS cyber-power methodology but significant weaknesses in others.	IISSのサイバーパワー手法では、いくつかのカテゴリーで強みがある、あるいは強みがある可能性があるが、他のカテゴリーでは大きな弱みがある。	India
			Indonesia
			Iran
			Japan
			Malaysia
			North Korea
			Vietnam

評価のポイントは次の７つです。

Strategy and doctrine	戦略とドクトリン
Governance, command and control	ガバナンス、コマンド＆コントロール
Core cyber-intelligence capability	コア・サイバー・インテリジェンス能力
Cyber empowerment and dependence	サイバーエンパワーメントと依存性
Cyber security and resilience	サイバーセキュリティとレジリエンス
Global leadership in cyberspace affairs	サイバー空間におけるグローバルリーダーシップ
Offensive cyber capability	攻撃的なサイバー能力

参考

別の調査機関（ハーバードケネディスクールのベルファーセンター）の報告。こちらは日本がAUより上。。。

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.09.14 サイバーパワー世界ランキング

各国の概要については　↓↓↓↓↓↓↓↓↓↓

Continue reading "IISS サイバー対応能力と国家力日本のサイバー能力はいけていない？"

2021.06.29 14:49 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

ゼロトラスト指南書 IPA 産業サイバーセキュリティセンター中核人材育成プログラム 4期生ゼロトラストプロジェクト

こんにちは、丸山満彦です。

産業サイバーセキュリティセンター中核人材育成プログラム 4期生ゼロトラストプロジェクトが、ゼロトラスト指南書をIPAのページに掲載していますね。

制御系システムへの導入検証をするなど興味深いです。

また、私たちが翻訳した、SP 800-207ゼロトラストの翻訳版も活用していただけて幸いです(^^)

● IPA

・2021.06.28 ゼロトラストという戦術の使い方

・[PDF]

1章	本指南書の説明	指南書の目的や用語の定義および本書の免責事項について記載しています。
2章	ゼロトラストの概要	ゼロトラストに関係する文献の内容をもとに,ゼロトラストの歴史や基本的な考え方を説明しています。
3章	ゼロトラスト導入におけるメリット・デメリット	ゼロトラスト導入におけるメリット,デメリットおよび,導入時の注意事項を説明しています。
4章	ゼロトラストの構成要素	ゼロトラストに用いられる技術要素の種類と各技術要素の機能を説明しています。
5章	ゼロトラストのモデルケース	今回検証した各ユースケースの説明および検証の目的を説明しています。
6章	導入方法および導入費用	実際にゼロトラスト機能を導入,実装する方法とそれに伴う費用を説明しています。
7章	境界型防御との共存	境界型防御の利点とゼロトラストの利点から,各脅威に対して,どのように組み合わせれば良いか,考察した内容を説明する。また,境界型防御も含めた技術要素について,NISTサイバーセキュリティフレームワーク（以下,CSFという。）との対応についても記載しています。
8章	運用上の注意	ゼロトラスト導入時および導入後に発生するシステム運用における注意事項を説明しています。
9章	まとめ	本指南書の内容をまとめ,説明しています。

こちらも参考になるかもです。。。

● PwC Japan

国内企業の実態調査

・国内企業における「ゼロトラスト・アーキテクチャ」の実態調査2021 ―ゼロトラストから得られた効果は「DXの推進・多様な働き方の実現」がトップ

翻訳

・2020.12.10 NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳

2021.06.29 07:59 in 情報セキュリティ / サイバーセキュリティ, in クラウド | Permalink | Comments (0)
Tweet

2021.06.28

EU 外交政策ツールとしての人工知能ガバナンス

こんにちは、丸山満彦です。

欧州議会が、「AI外交 - 欧州連合の新しい対外政策ツールとしてのAIガバナンス」を公表していますね。。。

AIが国際的なパワーバランスを変化させる可能性のある分野として、以下の点を挙げています。

米中の競争におけるAIの役割
権威主義的な支配と民主主義の弱体化のためのAIの利用
AIのナショナリズム
民間企業と国家の力関係の変化に対するAIの寄与
AIが軍事力や防衛分野に与える影響
広範囲に影響を及ぼす可能性のある汎用人工知能（AGI）の開発の可能性

その上で、EUが地政学的なAIの課題に対処するための提言を、以下のようにしていますね。。。

信頼できるAIや倫理的なAIの開発
AIについて米国と緊密に連携するものの米中競争の文脈でAIに関する米欧協力を配置することを避ける
AIが欧州の安全保障と防衛にもたらす課題と利益に取り組むAIに関する欧州安全保障委員会の創設

などが挙げられています。

● European Parliament

・2021.06.21 Artificial Intelligence diplomacy | Artificial Intelligence governance as a new European Union external policy tool

Artificial Intelligence (AI) has become a tool of power politics, and an element of state diplomacy. The European Union, however, approaches AI primarily from an economic, social, and regulatory angle. This paper discusses the way that AI impacts the European Union’s geopolitical power, and its relationship with other countries. It presents possible scenarios for how AI may change the international balance of power and recommends ways for the EU and its members to respond.

・[PDF]

EXECUTIVE SUMMARY	エグゼクティブ・サマリー
1. INTRODUCTION	1. イントロダクション
2. WHERE ARE WE AT THE MOMENT? EUROPE’S AI CAPABILITIES, AN OVERVIEW	2. 現在の状況は？欧州のAI能力、概要
2.1. Artificial Intelligence – A short primer	2.1. 人工知能 - 簡単な入門書
2.2. Overview of AI development and adoption in the EU	2.2. EUにおけるAIの開発と導入の概要
3. AI’S POSSIBLE IMPACT ON GEOPOLITICS AND THE GLOBAL BALANCE OF POWER.	3. AIが地政学や世界のパワーバランスに与える可能性のある影響
3.1. US-China competition	3.1. 米国と中国の競争
3.2. AI-empowered authoritarianism and weakening of democracy	3.2. AIによる権威主義の強化と民主主義の弱体化
3.3. AI Nationalism	3.3. AIによるナショナリズム
3.4. Empowering of the private sector	3.4. AIによる民間企業への権限付与
3.5. AI in Security and Defence	3.5. 安全保障・防衛におけるAI
3.5.1. Intelligence, Surveillance, and Reconaissance (ISR)	3.5.1. 諜報・監視・偵察（ISR)
3.5.2. Logistics	3.5.2. ロジスティクス
3.5.3. Cyber Operations	3.5.3. サイバーオペレーション
3.5.4. Command and Control	3.5.4. コマンド＆コントロール
3.5.5. Autonomous vehicles and weapon systems	3.5.5. 自律型車両および兵器システム
3.5.6. Swarming	3.5.6. スワーミング
3.5.7. AI and Nuclear Weapons	3.5.7. AIと核兵器
3.5.8. Disinformation	3.5.8. 偽情報
3.6. General Artificial Intelligence	3.6. 一般的な人工知能
4. IS EUROPE PREPARING ITSELF? A COMPARATIVE ANALYSIS OF NATIONAL AI STRATEGIES IN EUROPE	4. 欧州は自らに備えているか？欧州におけるAI国家戦略の比較分析
5. WHERE TO GO FROM HERE? EUROPE’S AI DIPLOMACY	5. ここからどこへ行くべきか？欧州のAI外交
5.1. Europe’s interests and goals -Recommendations on how to face the geopolitical AI challenges	5.1. 欧州の利益と目標 -地政学的なAIの課題にどう向き合うかについての提言
5.2. Conclusion	5.2. おわりに
REFERENCES	参考文献
ANNEX: EU MEMBER STATES’ NATIONAL AI STRATEGIES	附属書：EU加盟国のAI国家戦略

・[DOCX] 仮訳：本文部分のみ

2021.06.28 15:26 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

「デジタル社会の実現に向けた重点計画」 at 2021.06.18

こんにちは、丸山満彦です。

2021.06.18に閣議決定され、デジタル庁（準備中）により公表された、デジタル社会の実現に向けた重点計画についてです。。。興味深い内容ですね。

使い勝手の話が多く、データガバナンス、セキュリティ、プライバシー（⑦安全・安心の確保）に関する記述が少ないのが少し気になりますね。。。（もちろん、別途検討されているので、そちらを見ろということだと思うのですが。。。）

概要 デジタル社会の実現に向けた重点計画 <概要> P11

● デジタル庁（準備中）

・2021.06.18「デジタル社会の実現に向けた重点計画」を閣議決定しました

本日6月18日、「デジタル社会の実現に向けた重点計画」を閣議決定しました。

本計画は、高度情報通信ネットワーク社会形成基本法（ＩＴ基本法）及び官民データ活用推進基本法の規定に基づき、昨年7月に閣議決定されたＩＴ戦略（世界最先端デジタル国家創造宣言・官民データ活用推進基本計画）を全面的に改訂して策定するものであり、本年9月のデジタル庁の創設を見据え、デジタル社会形成基本法に基づく重点計画を先取りする形で策定するものです。

・閣議資料

・参考資料

[PDF] 本文 世界最先端デジタル国家創造宣言・官民データ活用推進基本計画の変更について - デジタル社会の実現に向けた重点計画

第１部我が国が目指すデジタル社会と推進体制
１．今後のデジタル改革に向けて
（１）デジタル改革の経緯
（２）本計画の位置付け
２．デジタル社会の形成に向けたトータルデザインと推進体制
（１）デジタル社会の形成に向けたトータルデザイン
（２）デジタル社会の形成に向けた推進体制
（３）国民の理解を深めるための広報活動等

第２部デジタル社会の形成に向けた基本的な施策
１．デジタル社会に必要な共通機能の整備・普及
（１）マイナンバーカードの普及、マイナンバーの利活用促進
（２）ガバメントクラウド、ガバメントネットワーク
（３）地方公共団体の基幹業務等システムの統一・標準化
（４）ID・認証
（５）データセンターの最適化の実現
（６）情報通信インフラの整備

２．徹底した UI・UX の改善と国民向けサービスの実現
（１）国民目線の UI・UX の実現
（２）公共フロントサービスの提供（ワンストップサービスの推進等）
（３）オープンデータの推進
（４）情報システム整備方針の策定と一元的なプロジェクト管理の実施等
（５）国の情報システムの整備・管理
（６）独立行政法人の情報システム
（７）国や地方公共団体の手続等の更なるデジタル化
（８）準公共・民間分野のデジタル化の推進の方向性
（９）準公共分野のデジタル化の推進
（10）相互連携分野のデジタル化の推進等による経済社会のデジタル化

３．包括的データ戦略
（１）トラスト
（２）プラットフォーム
（３）データ取引市場と PDS・情報銀行
（４）基盤となるデータの整備
（５）デジタルインフラの整備・拡充
（６）組織
（７）DFFT 推進に向けた国際連携

４．官民を挙げたデジタル人材の育成・確保
（１）デジタルリテラシーの向上
（２）デジタルに関する専門的な知識・技術を有する人材の育成・確保

５．新技術を活用するための調達・規制の改革
（１）新技術を活用するための調達方法の検討
（２）規制改革

６．アクセシビリティの確保
（１）情報通信ネットワークの整備の支援
（２）情報バリアフリー環境の実現
（３）ICT 機器・サービスに関する相談体制等の充実
（４）経済的事情等に基づく格差の是正
（５）「言葉の壁」の克服
（６）中小企業のデジタル化の支援
（７）市区町村等における国民のアクセスポイントの確保

７．安全・安心の確保
（１）サイバーセキュリティの確保
（２）個人情報の保護
（３）情報通信技術を用いた犯罪の防止
（４）高度情報通信ネットワークの災害対策

８．研究開発・実証の推進
（１）高度情報通信環境の普及促進に向けた研究開発・実証
（２）データ活用を支える高度コンピューティング技術の研究開発・実証

９．本計画の検証・評価

第３部施策集

別紙 包括的データ戦略

I 総論
１. 背景
（１）データ戦略の必要性
（２）世界のデータ戦略
（３）日本の遅れ

２. 包括的データ戦略の基本的な考え方
（１）目指すもの
（２）実装についての基本的な考え方
（３）日本全体が参照すべきアーキテクチャ
（４）包括的データ戦略の実装の司令塔となるデジタル庁の役割

II 各論
１. トラスト（＝第５層：ルール分野の重点項目）
（１）トラストの概念とその必要性
（２）諸外国の動向
（３）我が国のトラストサービスの現状
（４）論点と課題

２. プラットフォーム（＝第３層／４層：データ連携基盤と利活用環境の重点項目）
（１）プラットフォーム整備の重要性と現状
（２）プラットフォーム検討の共通手順
（３）プラットフォームにおけるデータの取扱い一般に関する共通ルール／データ流通を促進・阻害要因を払拭するためのルール
（４）データ流通を容易にするためのツール開発
（５） DATA-EX による分野間連携と外部組織との連携
（６）重点的に取り組むべき分野におけるプラットフォームの構築

３. データ取引市場と PDS・情報銀行（＝第４層：利活用環境の重点項目）
（１）必要性
（２）世界の動向
（３）データ取引市場のコンセプト
（４）プラットフォームに対する PDS・情報銀行の社会実装
（５）今後の取組

４. 基盤となるデータの整備（＝第２層：データ整備の重点項目）
（１）現状と課題
（２） ID／カタログサイト／コードの整備
（３）ベース・レジストリ整備の推進
（４）その他データ（各分野）
（５）データマネジメントの強化
（６）オープンデータの推進

５. デジタルインフラの整備・拡充（＝第１層：インフラ）
（１）デジタルインフラの変化
（２）ネットワーク層
（３）データ保有／処理層
（４）ルール層
（５）上位レイヤー（セキュアレイヤーの構築）
（６）インフラ整備の際の留意事項

III 横断的に取り組む項目
１. 人材・組織
（１）包括的データ戦略に必要な人材像
（２）組織

２. サイバーセキュリティの確保

IV 国際連携
１. 概況
２. DFFT の意義
３. これまでの取組と今後の方向性

Appendix：包括的データ戦略のタイムライン
Appendix：略語集

2021.06.28 06:30 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー | Permalink | Comments (0)
Tweet

フロリダ州 SB 7072: Social Media Platforms（ソーシャルメディア・プラットフォーム）法に署名（at 2021.05.24）

こんにちは、丸山満彦です。

フロリダ州の2021.05.24にフロリダ州ロン・デサンティス知事が署名したSB 7072: Social Media Platforms（ソーシャルメディア・プラットフォーム）法の情報です。

プラットフォーム事業者が保守派を差別しているという右派の考えに基づいていると言われていますが、

公職への立候補者への意図的な検閲を禁止や、選挙期間中のアカウント停止を禁止し、罰金も設けています。それ以外にも、プラットフォーム事業者に義務を課しているので、立候補者以外にも影響が出てくることになります。

読み込み不足ですが、興味深い法令ということで。。。

法令に関するフロリダ州上院のページ

● Florida - Senate

・SB 7072: Social Media Platforms

条文は、

・[HTML] [PDF]

行番号を無くしたWord版を作りました。。。

・[DOCX]

■ 報道

● INSIDER

・2021.05.25 Florida Gov. Ron DeSantis just signed a bill allowing people to sue big tech firms over alleged censorship — and the state to fine companies $250,000

● National Law Review

・2021.06.22 Florida’s New Social Media Law Has Ramifications Beyond Political Realm

2021.07.03追記

連邦政府的には、否定的な感じですかね。。。

● Polotico

・2021.06.30 Federal judge blocks Florida's social media law

Conservatives had seized on the law as a way to combat perceived censorship by online platforms toward former President Donald Trump following the Jan. 6 Capitol riots.

A federal judge on Wednesday granted a preliminary injunction against Florida's new social media law, which conservatives had seized on as a way to combat perceived censorship by online platforms toward former President Donald Trump following the Jan. 6 Capitol riots.

Set to go into effect Thursday, the law, FL SB 7072, was a top priority of Republican Gov. Ron DeSantis and would make it easier for the state's election commission to fine social media companies that banned political candidates in the run-up to an election, with penalties ranging from $25,000 to $250,000 a day.

The ruling: District Court Judge Robert Hinkle said that it was likely the plaintiffs — tech industry groups NetChoice and the Computer and Communications Industry Association, which count major platforms like Facebook, Twitter and Google among their members — would prevail in their claim that the law was unconstitutional due to the First Amendment. Legal experts had been quick to question the validity of the law when it was signed last month.

"The legislation now at issue was an effort to rein in social-media providers deemed too large and too liberal," Hinkle wrote in his opinion. "Balancing the exchange of ideas among private speakers is not a legitimate governmental interest."

Swift reaction: Both NetChoice and CCIA praised the court's decision, saying that if the law had gone into effect, it would have had significant consequences for what users see on the internet. NetChoice‘s president, Steve DelBianco, said in a statement that the judge's order allowed the platforms to keep their users "safe from the worst content posted by irresponsible users."

CCIA President Matt Schruers said in a statement: “This decision upholding the Constitution and federal law is encouraging, and reaffirms what we have been saying: Florida’s statute is an extraordinary overreach, designed to penalize private businesses for their perceived lack of deference to the Government’s political ideology. The court’s ruling is a win for internet users and the First Amendment.”

2021.06.28 05:47 in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2021.06.27

NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義：大統領令14028に応えて...

こんにちは、丸山満彦です。

国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) の命令に応えて、NISTが重要なソフトウェアの定義を公開していますね。。。これはサプライチェーン・セキュリティのための管理の強化としてソフトウェアの脆弱性の管理や意図せざる変更の検知の観点からソフトウェアの部品表（SBOM; Software Bill of Material）を作るという対策が考えられるが、社会全体の効率性を考慮した場合に重要なソフトウェアに限定してまずは義務化していこうという話だと思います。。。

ということで、クリティカル・ソフトウェアの定義をNISTに作成しろという御下命(Sec. 4. (g))があったので、NISTが作成をしたということです。。。

クリティカルというのは、ソフトウェアの機能を見たときにクリティカルということですね。。。なので、特権管理ソフトなどが該当しますね。。。

で、本番システム用に購入、実装され、運用目的で使用されるソフトウェアで、実稼働システムに実装されていない、研究用、テスト用ソフトウェアは、この定義の範囲外ということのようです。

会計監査の時に重要視するものと同じようなものですね。。。

● NIST - ITL - Exective Order

・Critical Software

同じ内容でPDFになっています。。

・[PDF]

で、定義ですが...

*EO-critical software* is defined as any software that has, or has direct software dependencies upon, one or more components with at least one of these attributes:	EO-クリティカル・ソフトウェアとは、以下の属性を少なくとも1つ持つ単独または複数のコンポーネントからなるソフトウェア、またはそれらのコンポーネントに直接依存するソフトウェアと定義されます。
・is designed to run with elevated privilege or manage privileges;	・昇格権限または管理権限で動作するように設計されている。
・has direct or privileged access to networking or computing resources;	・ネットワーキングやコンピューティングのリソースに直接または特権的にアクセスできる。
・is designed to control access to data or operational technology;	・データまたは運用技術へのアクセスを制御するよう設計されている。
・performs a function critical to trust; or,	・信頼に不可欠な機能を果たしている。
・operates outside of normal trust boundaries with privileged access.	・通常の信頼の境界外で、特権的なアクセスで動作する。

製品リストは後日CISAがリストを提供することになっていますが、現段階では次の11のカテゴリーが暫定的に示されていますね。。。

Category of Software	ソフトウェアのカテゴリー
01. Identity, credential, and access management (ICAM)	01. アイデンティティ、クレデンシャル、およびアクセス管理(ICAM)
02. Operating systems, hypervisors, container environments	02. オペレーティングシステム、ハイパーバイザー、コンテナ環境
03. Web browsers	03. ウェブブラウザ
04. Endpoint security	04. エンドポイントセキュリティ
05. Network control	05. ネットワーク制御
06. Network protection	06. ネットワーク保護
07. Network monitoring and configuration	07. ネットワークの監視と設定
08. Operational monitoring and analysis	08. 運用監視・分析
09. Remote scanning	09. 遠隔スキャン
10. Remote access and configuration management	10. 遠隔アクセスおよび構成管理
11. Backup/recovery and remote storage	11. バックアップ／リカバリー、遠隔ストレージ

FAQも参考になりますね。。。

参考の仮訳です。

・[DOC] 仮訳

■ 参考

●まるちゃんの情報セキュリティ気まぐれ日記

大統領令はここで仮訳しています。。。

・2021.05.13 米国国家のサイバーセキュリティ向上に関する大統領令

今回の公表についての頭出しのような内容です。。。

・2021.06.02 米国国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

2021.06.27 07:01 in 情報セキュリティ / サイバーセキュリティ, in 脆弱性, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2021.06.26

欧州委員会合同サイバーユニットを提案

こんにちは、丸山満彦です。

欧州委員会が合同サイバーユニットの提案を行っていますね。。。合同サイバーユニットは、EUにおいて公共サービス、企業、市民に影響を与える深刻なサイバーインシデントの増加に対処することを目的としているようですね。

サイバーセキュリティの分野において協調した対応が必要ということで、共同サイバーユニットには、大規模なサイバーインシデントや危機に対するEUの協調した対応ができるようにするための基盤となることを強調していますね。。。

共同サイバーユニットは2022年6月30日までに運用を開始し、その1年後の2023年6月30日までに完全に設立されることになっているようです。。。

● European Commission -
Library

・2021.06.23 Factsheet: Joint CYber Unit

・2021.06.23 [PDF] Factsheet: Joint Cyber Unit

● European Commission - Press

・EU Cybersecurity: Commission proposes a Joint Cyber Unit to step up response to large-scale security incidents

EU Cybersecurity: Commission proposes a Joint Cyber Unit to step up response to large-scale security incidents	EUのサイバーセキュリティ：欧州委員会が大規模なセキュリティインシデントへの対応を強化するための「合同サイバーユニット」を提案
The Commission is today laying out a vision to build a new Joint Cyber Unit to tackle the rising number of serious cyber incidents impacting public services, as well as the life of businesses and citizens across the European Union. Advanced and coordinated responses in the field of cybersecurity have become increasingly necessary, as cyberattacks grow in number, scale and consequences, impacting heavily our security. All relevant actors in the EU need to be prepared to respond collectively and exchange relevant information on a ‘need to share', rather than only ‘need to know', basis.	欧州委員会は本日、欧州連合（EU）域内の公共サービスや企業、市民の生活に影響を与える深刻なサイバー事件が増加していることに対処するため、新たにサイバー合同部隊を設立するというビジョンを打ち出した。サイバー攻撃の数、規模が拡大し、結果がもたらす影響も大きくなり、我々の安全保障に大きな影響を与えていることから、サイバーセキュリティの分野における高度で協調的な対応がますます必要になっている。EUのすべての関係者は、集団で対応し、「知る必要がある」だけではなく「共有する必要がある」という考えのもとで関連情報を交換する準備をする必要がある。
First announced by President Ursula von der Leyen in her political guidelines, the Joint Cyber Unit proposed today aims at bringing together resources and expertise available to the EU and its Member States to effectively prevent, deter and respond to mass cyber incidents and crises. Cybersecurity communities, including civilian, law enforcement, diplomatic and cyber defence communities, as well as private sector partners, too often operate separately. With the Joint Cyber Unit, they will have a virtual and physical platform of cooperation: relevant EU institutions, bodies and agencies together with the Member States will build progressively a European platform for solidarity and assistance to counter large-scale cyberattacks.	ウルスラ・フォン・デア・ライエン大統領が政治指針の中で初めて発表した合同サイバーユニットは、大規模なサイバー事件や危機を効果的に防止、抑止、対応するために、EUとその加盟国が利用できるリソースと専門知識を結集することを目的としている。文民、法執行機関、外交、サイバー防衛の各コミュニティや、民間企業のパートナーを含むサイバーセキュリティのコミュニティは、それぞれ別々に活動していることが多い。大規模なサイバー攻撃に対抗するために、EUの関連機関、組織、代理店が加盟国と協力して、連帯と支援のための欧州のプラットフォームを段階的に構築していく。
The Recommendation on the creation of the Joint Cyber Unit is an important step towards completing the European cybersecurity crisis management framework. It is a concrete deliverable of the EU Cybersecurity Strategy and the EU Security Union Strategy, contributing to a safe digital economy and society.	サイバー合同ユニットの創設に関する勧告は、欧州のサイバーセキュリティ危機管理フレームワークの完成に向けた重要な一歩である。これは、EUサイバーセキュリティ戦略およびEUセキュリティ連合戦略の具体的な成果であり、安全なデジタル経済・社会に貢献するものである。
As part of this package, the Commission is reporting today on progress made under the Security Union Strategy over the past months. Furthermore, the Commission and the High Representative of the Union for Foreign Affairs and Security Policy have presented the first implementation report under the Cybersecurity Strategy, as requested by the European Council, while at the same time they have published the Fifth Progress Report on the implementation of the 2016 Joint Framework on countering hybrid threats and the 2018 Joint Communication on increasing resilience and bolstering capabilities to address hybrid threats. Finally, the Commission has issued the decision on establishing the office of the European Union Agency for Cybersecurity (ENISA) in Brussels, in accordance with the Cybersecurity Act.	このパッケージの一環として、欧州委員会は本日、安全保障連合戦略の下で過去数カ月間に行われた進展について報告する。さらに、欧州委員会と外務・安全保障政策担当上級代表は、欧州理事会の要請に応じて、サイバーセキュリティ戦略の下での最初の実施報告書を提示し、同時に、ハイブリッド脅威への対抗に関する2016年の共同フレームワークと、ハイブリッド脅威に対処するための回復力の向上と能力の強化に関する2018年の共同コミュニケーションの実施に関する第5回進捗報告書を発表した。最後に、欧州委員会は、サイバーセキュリティ法に基づき、ブリュッセルに欧州連合サイバーセキュリティ機関（ENISA）の事務所を設置することに関する決定を発表した。
A new Joint Cyber Unit to prevent and respond to large-scale cyber incidents	大規模なサイバーインシデントの防止と対応のための新たな統合サイバーユニット
The Joint Cyber Unit will act as a platform to ensure an EU coordinated response to large-scale cyber incidents and crises, as well as to offer assistance in recovering from these attacks. Today, the EU and its Member States have many entities involved in different fields and sectors. While the sectors may be specific, the threats are often common – hence, the need for coordination, sharing of knowledge and even advance warning.	共同サイバーユニットは、大規模なサイバー事件や危機に対してEUが協調して対応するためのプラットフォームとして機能するほか、こうした攻撃からの回復を支援する。今日、EUとその加盟国には、さまざまな分野やセクターに関わる多くの組織がある。そのため、調整、知識の共有、さらには事前の警告が必要となる。
The participants will be asked to provide operational resources for mutual assistance within the Joint Cyber Unit (see proposed participants here). The Joint Cyber Unit will allow them to share best practice, as well as information in real time on threats that could emerge in their respective areas. It will also work at an operational and at a technical level to deliver the EU Cybersecurity Incident and Crisis Response Plan, based on national plans; establish and mobilise EU Cybersecurity Rapid Reaction Teams; facilitate the adoption of protocols for mutual assistance among participants; establish national and cross-border monitoring and detection capabilities, including Security Operation Centres (SOCs); and more.	参加者には、ジョイント・サイバー・ユニットにおける相互支援のための運用リソースの提供が求められます（参加者案はこちら）。合同サイバーユニットでは、ベストプラクティスの共有や、それぞれの地域で発生しうる脅威に関する情報をリアルタイムで共有することができます。また、各国の計画に基づいたEUサイバーセキュリティ事件・危機対応計画の実施、EUサイバーセキュリティ緊急対応チームの設立と動員、参加者間の相互支援のためのプロトコルの採用の促進、セキュリティオペレーションセンター（SOC）を含む国内および国境を越えた監視・検知能力の確立など、運用面および技術面での活動も行う。
The EU cybersecurity ecosystem is wide and varied and through the Joint Cyber Unit, there will be a common space to work together across different communities and fields, which will enable the existing networks to tap their full potential. It builds on the work started in 2017, with the Recommendation on a coordinated response to incidents and crises - the so-called Blueprint.	EUのサイバーセキュリティのエコシステムは多岐にわたっていますが、Joint Cyber Unitを通じて、異なるコミュニティや分野を超えて協力するための共通の空間ができ、既存のネットワークがその潜在能力を最大限に発揮できるようになるでしょう。これは、2017年に始まった、インシデントやクライシスへの協調的な対応に関する勧告、いわゆるブループリントを基にしたものである。
The Commission is proposing to build the Joint Cyber Unit through a gradual and transparent process in four steps, in co-ownership with the Member States and the different entities active in the field. The aim is to ensure that the Joint Cyber Unit will move to the operational phase by 30 June 2022 and that it will be fully established one year later, by 30 June 2023. The European Union Agency for Cybersecurity, ENISA, will serve as secretariat for the preparatory phase and the Unit will operate close to their Brussels offices and the office of CERT-EU, the Computer Emergency Response Team for the EU institutions, bodies and agencies.	欧州委員会は、加盟国およびこの分野で活動するさまざまな団体との共同所有により、4段階の段階的で透明性の高いプロセスを経て、合同サイバーユニットを構築することを提案している。その目的は、2022年6月30日までに合同サイバーユニットが運用段階に移行し、その1年後の2023年6月30日までに完全に設立されるようにする。準備段階では、欧州連合（EU）のサイバーセキュリティ機関であるENISAが事務局を務め、ユニットはENISAのブリュッセル事務所と、EUの機関、組織、代理店を対象としたコンピュータ緊急対応チームであるCERT-EUの事務所が緊密に連携して活動することになる。
The investments necessary for setting up the Joint Cyber Unit, will be provided by the Commission, primarily through the Digital Europe Programme. Funds will serve to build the physical and virtual platform, establish and maintain secure communication channels, as well as improve detection capabilities. Additional contributions, especially to develop Member States' cyber-defence capabilities, may come from the European Defence Fund.	共同サイバーユニットの設立に必要な投資は、欧州委員会が主に「デジタル・ヨーロッパ・プログラム」を通じて行う。この資金は、物理的・仮想的なプラットフォームの構築、安全な通信手段の確立と維持、検知能力の向上に充てられる。また、特に加盟国のサイバー防衛能力を高めるために、欧州防衛基金からも追加拠出される可能性がある。
Keeping Europeans safe, online and offline	オンラインでもオフラインでも、ヨーロッパ人の安全を守る
The Commission is reporting today on the progress made under the EU Security Union Strategy, towards keeping Europeans safe. Together with the High Representative of the Union for Foreign Affairs and Security Policy, it is also presenting the first implementation report under the new EU Cybersecurity Strategy.	欧州委員会は本日、ヨーロッパ人の安全確保に向けたEU安全保障連合戦略の進捗状況を報告する。また、欧州委員会は、外務・安全保障政策担当上級代表とともに、新しいEUサイバーセキュリティ戦略の下での最初の実施報告書を発表する。
The Commission and the High Representative presented the EU Cybersecurity strategy in December 2020. Today's report is taking stock of the progress made under each of the 26 initiatives set out in this strategy and refers to the recent approval by the European Parliament and the Council of the European Union of the regulation setting up the Cybersecurity Competence Centre and Network. Good progress has been made to strengthen the legal framework for ensuring resilience of essential services, through the proposed Directive on measures for high common level of cybersecurity across the Union (revised NIS Directive or ‘NIS 2'). Regarding the security of 5G communication networks, most Member States are advancing in the implementation of the EU 5G Toolbox, having already in place, or close to readiness, frameworks for imposing appropriate restrictions on 5G suppliers. Requirements on mobile network operators are being reinforced through the transposition of the European Electronic Communications Code, while the European Union Agency for Cybersecurity, ENISA, is preparing a candidate EU cybersecurity certification scheme for 5G networks.	欧州委員会と上級代表は、2020年12月にEUサイバーセキュリティ戦略を発表した。本日の報告書は、この戦略で定められた26の取り組みのそれぞれについて進捗状況を確認するものであり、最近、欧州議会と欧州連合理事会がサイバーセキュリティ・コンピテンス・センターとネットワークを設置する規則を承認したことにも言及している。必須サービスの回復力を確保するための法的枠組みを強化するために、EU全体で高い共通レベルのサイバーセキュリティを実現するための措置に関する指令案（改正NIS指令または「NIS 2」）を通じて、良好な進展があった。5G通信ネットワークのセキュリティに関しては、ほとんどの加盟国がEU 5G Toolboxの実施を進めており、5G供給者に適切な制限を課すための枠組みをすでに導入しているか、その導入準備が整いつつある。モバイルネットワーク事業者に対する要件は、欧州電子通信コードの導入を通じて強化されており、EUサイバーセキュリティ機関であるENISAは、5Gネットワーク向けのEUサイバーセキュリティ認証スキームの候補を準備している。
The report also highlights the progress made by the High Representative on the promotion of responsible state behaviour in cyberspace, notably by advancing on the establishment of a Programme of Action at United Nations level. In addition, the High Representative has started the review process of the Cyber Defence Policy Framework to improve cyber defence cooperation, and is conducting a ‘lessons learned exercise' with Member States to improve the EU's cyber diplomacy toolbox and identify opportunities for further strengthening EU and international cooperation to this end. Moreover, the report on the progress made in countering hybrid threats, that the Commission and the High Representative have also published today, highlights that since the 2016 Joint Framework on countering hybrid threats – a European Union response was established, EU actions have supported increased situational awareness, resilience in critical sectors, adequate response and recovery from the ever increasing hybrid threats, including disinformation and cyberattacks, since the onset of the coronavirus pandemic.	本報告書では、サイバー空間における国家の責任ある行動の促進に関して、特に国連レベルでの行動プログラムの策定を進めることで、上級代表が達成した成果も紹介している。さらに、上級代表は、サイバー防衛協力を改善するために、サイバー防衛政策フレームワークの見直しプロセスを開始し、EUのサイバー外交ツールボックスを改善し、この目的のためにEUと国際的な協力をさらに強化する機会を特定するために、加盟国とともに「教訓演習」を行っている。さらに、欧州委員会と上級代表が本日も発表したハイブリッド脅威への対策における進捗状況に関する報告書では、2016年に「ハイブリッド脅威への対策-EUの対応」に関する共同フレームワークが策定されて以来、EUの行動が、コロナウイルスのパンデミック発生以降、状況認識の向上、重要部門の回復力、偽情報やサイバー攻撃を含む増え続けるハイブリッド脅威への適切な対応と回復を支えてきたことが強調されている。
Important steps were also taken over the last 6 months under the EU Security Union Strategy to ensure security in our physical and digital environment. Landmark EU rules are now in place that will oblige online platforms to remove terrorist content referred by Member States' authorities within one hour. The Commission also proposed the Digital Services Act, which puts forward harmonised rules for the removal of illegal goods, services or content online, as well as a new oversight structure for very large online platforms. The proposal also addresses platforms' vulnerabilities to amplifying harmful content or the spread of disinformation. The European Parliament and the Council of the European Union agreed on temporary legislation on the voluntary detection of child sexual abuse online by communications services. Work is also ongoing to better protect public spaces. This includes supporting Member States in managing the threat represented by drones and enhancing the protection of places of worship and large sports venues against terrorist threats, with a €20 million support programme underway. To better support Member States in countering serious crime and terrorism, the Commission also proposed in December 2020 to upgrade the mandate of Europol, the EU Agency for law enforcement cooperation.	また、物理的・デジタル的環境におけるセキュリティを確保するため、EU安全保障連合戦略のもと、この6ヶ月間に重要な措置がとられた。加盟国の当局から照会を受けたテロリストのコンテンツを1時間以内に削除することをオンラインプラットフォームに義務付けるという、画期的なEU規則が施行された。欧州委員会はまた、デジタルサービス法を提案した。この法律は、オンライン上の違法な商品、サービス、コンテンツを削除するための調和のとれたルールを提示するとともに、非常に大規模なオンラインプラットフォームに対する新たな監視体制を構築するものである。この提案は、有害なコンテンツの増幅や偽情報の拡散に対するプラットフォームの脆弱性にも対応している。欧州議会と欧州連合理事会は、通信サービスによるオンラインでの児童の性的虐待の自主的な検出に関する暫定的な法律に合意した。また、公共空間をよりよく保護するための取り組みも行われている。これには、ドローンの脅威に対処するための加盟国への支援や、テロリストの脅威から礼拝所や大規模なスポーツ会場を守るための強化が含まれており、2,000万ユーロの支援プログラムが進行中である。深刻な犯罪やテロへの対策において加盟国をよりよく支援するために、欧州委員会は2020年12月に、法執行協力のためのEU機関であるユーロポールの職務権限をアップグレードすることも提案した。
Members of the College said:	カレッジメンバーの言葉
Margrethe Vestager, Executive Vice-President for a Europe Fit for the Digital Age, said: "Cybersecurity is a cornerstone of a digital and connected Europe. And in today's society, responding to threats in a coordinated manner is paramount. The Joint Cyber Unit will contribute to that goal. Together we can really make a difference.”	Margrethe Vestager（マルグレーテ・ベスタガー）「デジタル時代に適した欧州」担当執行副社長は次のように述べている。「サイバーセキュリティは、デジタルでつながった欧州の礎となるものである。そして、今日の社会では、脅威に協調して対応することが最も重要である。合同サイバーユニットはその目標に貢献する。我々が一緒になれば、本当に変化をもたらすことができる。」
Josep Borrell, High Representative of the Union for Foreign Affairs and Security Policy, said: “The Joint Cyber Unit is a very important step for Europe to protect its governments, citizens and businesses from global cyber threats. When it comes to cyberattacks, we are all vulnerable and that is why cooperation at all levels is crucial. There is no big or small. We need to defend ourselves but we also need to serve as a beacon for others in promoting a global, open, stable and secure cyberspace.”	ジョセップ・ボレル欧州連合外務・安全保障政策上級代表は次のように述べている。「合同サイバーユニットは、欧州が政府、市民、企業を国際的なサイバー脅威から守るための非常に重要なステップである。サイバー攻撃に関しては、私たち全員が脆弱であり、だからこそ、あらゆるレベルでの協力が不可欠なのである。大小はありません。我々は自分自身を守る必要がありますが、国際的で開かれ、安定した安全なサイバースペースを推進する上で、他の国の指標となる必要がある。」
Margaritis Schinas, Vice-President for Promoting our European Way of Life, said: "The recent ransomware attacks should serve as a warning that we must protect ourselves against threats that could undermine our security and our European Way of Life. Today, we can no longer distinguish between online and offline threats. We need to pool all our resources to defeat cyber risks and enhance our operational capacity. Building a trusted and secure digital world, based on our values, requires commitment from all, including law enforcement.”	マルガリティス・シナス副責任者（Promoting our European Way of Life担当）は次のように述べている。「最近のランサムウェアによる攻撃は、私たちの安全と欧州の生活様式を損なう可能性のある脅威から身を守らなければならないという警告となるはずである。今日、私たちはもはやオンラインとオフラインの脅威を区別することはできない。私たちは、サイバーリスクを撃退し、運用能力を強化するために、あらゆるリソースを結集する必要がある。我々の価値観に基づき、信頼された安全なデジタルワールドを構築するには、法執行機関を含むすべての人のコミットメントが必要である。」
Thierry Breton, Commissioner for the Internal Market, said: "The Joint Cyber Unit is a building block to protect ourselves from growing and increasingly complex cyber threats. We have set clear milestones and timelines that will allow us - together with Member states- to concretely improve crisis management cooperation in the EU, detect threats and react faster. It is the operational arm of the European Cyber Shield.”	ティエリー・ブルトン欧州連合（EU）域内市場担当委員は次のように述べている。「共同サイバーユニットは、増大し複雑化するサイバー脅威から自らを守るための構成要素である。我々は、加盟国とともに、EUにおける危機管理協力を具体的に改善し、脅威を検知し、より迅速に対応するための明確なマイルストーンとタイムラインを設定した。これは "欧州サイバーシールド "の運用部門である。」
Ylva Johansson, Commissioner for Home Affairs, said: "Countering cyberattacks is a growing challenge. The Law Enforcement community across the EU can best face this new threat by coordinating together. The Joint Cyber Unit will help police officers in Member States to share expertise. It will help build law enforcement capacity to counter these attacks.”	イルバ・ヨハンソン内務担当委員は次のように述べている。「サイバー攻撃への対策は、ますます大きな課題となっている。EUの法執行機関は、協力してこの新たな脅威に立ち向かうことができる。共同サイバーユニットは、加盟国の警察官が専門知識を共有するのに役立つ。これにより、これらの攻撃に対抗する法執行機関の能力を高めることができる。」
Background	背景
Cybersecurity is a top priority of the Commission and a cornerstone of the digital and connected Europe. The increase of cyberattacks during the coronavirus crisis has shown how important it is to protect health and care systems, research centres and other critical infrastructure. Strong action in the area is needed to future-proof the EU's economy and society.	サイバーセキュリティは欧州委員会の最優先事項であり、デジタルでつながった欧州の礎となるものである。コロナウイルス危機の際のサイバー攻撃の増加は、医療・介護システム、研究センター、その他の重要なインフラを守ることがいかに重要であるかを示している。EUの経済と社会を将来にわたって維持するためには、この分野での強力な行動が必要である。
The EU is committed to delivering on the EU Cybersecurity Strategy with an unprecedented level of investment in Europe's green and digital transition, through the long-term EU budget 2021-2027, notably through the Digital Europe Programme and Horizon Europe, as well as the Recovery Plan for Europe.	EUは、長期的なEU予算2021年から2027年を通じて、特にデジタルヨーロッパプログラムやホライズンヨーロッパ、さらには欧州の復興計画を通じて、欧州のグリーンおよびデジタルへの移行に前例のないレベルの投資を行い、EUサイバーセキュリティ戦略の実現に取り組んでいる。
Moreover, when it comes to cybersecurity, we are as protected as our weakest link. Cyberattacks do not stop at the physical borders. Enhancing cooperation, including cross-border cooperation, in the cybersecurity field is therefore also an EU priority: in recent years, the Commission has been leading and facilitating several initiatives to improve collective preparedness, as EU joint structures have already supported Member States, both at technical and at operational level. Today's recommendation on building a Joint Cyber Unit is another step towards greater cooperation and coordinated response to cyber threats.	さらに、サイバーセキュリティに関して言えば、私たちは最も弱いリンクで部分で守られているようなものだ。サイバー攻撃は物理的な国境に留まらない。したがって、サイバーセキュリティの分野で国境を越えた協力を含めた協力関係を強化することは、EUの優先事項でもある。近年、欧州共同機構は、集団的な準備態勢を改善するためのいくつかの取り組みを主導し、促進してきた。共同サイバーユニットの構築に関する本日の勧告は、サイバー脅威に対する協力と協調した対応の強化に向けた新たな一歩である。
At the same time, the Joint EU Diplomatic Response to Malicious Cyber Activities, known as the cyber diplomacy toolbox, encourages cooperation and promotes responsible state behaviour in cyberspace, allowing the EU and its Member States to use all Common Foreign and Security Policy measures, including, restrictive measures, to prevent, discourage, deter and respond to malicious cyber activities.	同時に、サイバー外交ツールボックスとして知られる「悪意のあるサイバー活動に対するEUの共同外交対応」は、協力を促し、サイバー空間における国家の責任ある行動を促進するもので、EUとその加盟国は、悪意のあるサイバー活動を防止、阻止、抑止、対応するために、制限的な措置を含むすべての共通外交・安全保障政策措置を用いることができるとしている。
To ensure security both in our physical and digital environments, the Commission presented in July 2020 the EU Security Union Strategy for the period 2020 to 2025. It focuses on priority areas where the EU can bring value to support Member States in fostering security for all those living in Europe: combatting terrorism and organised crime; preventing and detecting hybrid threats and increasing the resilience of our critical infrastructure; and promoting cybersecurity and fostering research and innovation.	物理的環境とデジタル環境の両方における安全性を確保するため、欧州委員会は2020年7月に、2020年から2025年までのEU安全保障連合戦略を発表した。この戦略は、欧州に住むすべての人々の安全を促進するために、EUが加盟国を支援する価値をもたらすことができる優先分野に焦点を当てている。すなわち、テロリズムおよび組織犯罪との闘い、ハイブリッドな脅威の防止と検知、重要インフラの回復力の向上、サイバーセキュリティの推進と研究・イノベーションの促進である。
For More Information	さらなる情報
Factsheet: Joint Cyber Unit	ファクトシート統合サイバー・ユニット
Infographic: EU Cybersecurity Ecosystem	インフォグラフィックEUのサイバーセキュリティ・エコシステム
Recommendation on building a Joint Cyber Unit	ジョイント・サイバー・ユニット構築のすすめ
First implementation report on the EU Cybersecurity Strategy	EUサイバーセキュリティ戦略の第一次実施報告書
Decision on establishing the office of the European Union Agency for Cybersecurity (ENISA) in Brussels	欧州連合サイバーセキュリティ機関（ENISA）のブリュッセル事務所設立に関する決定
Second Progress Report under the EU Security Union Strategy (see also Annex 1 and Annex 2)	EUセキュリティ・ユニオン戦略に基づく第2次進捗報告書（付属書1、付属書2）
Fifth Progress Report on the implementation of the 2016 Joint Framework on countering hybrid threats	ハイブリッド脅威への対処に関する2016年共同枠組みの実施に関する第5回進捗報告書
Press release: New EU Cybersecurity Strategy and new rules to make physical and digital critical entities more resilient	プレスリリースEUの新たなサイバーセキュリティ戦略と、物理的・デジタル的な重要主体の耐障害性を高めるための新ルールを発表
EU Security Union Strategy	EUセキュリティ・ユニオン戦略

Continue reading "欧州委員会合同サイバーユニットを提案"

2021.06.26 04:49 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2021.06.25

警察庁サイバー事案への対処能力の強化のために警察庁にサイバー局を設置？

こんにちは、丸山満彦です。

国家公安委員会委員長が2021.06.24の記者会見で、警察庁にサイバー局を設置するなど、サイバー事案への対処能力の強化に向けた組織変更の構想について話をしたようですね。。。

情報通信局、警備局、生活安全局からサイバー関連をサイバー局に移し、各都道府県警察から警視庁関東管区内に設置する組織（直轄隊）に人を異動させて、各県警等と連携して捜査するだけでなく、直接捜査にも当たるようですね。この辺りは、国家警察による権力の肥大の恐れもあるので、一定の抑止機能が必要でしょうね。。。国家公安委員長の発言からもこのあたりを気にしているのが伺えるのは少し良いような気もしますが、具体的な法案を見てみないとですかね。。。

● 国家公安委員会 - お知らせ - 国家公安委員会委員長記者会見要旨

・2021.06.24 国家公安委員会委員長記者会見要旨

本日の国家公安委員会定例会議の状況について申し上げます。案件については、令和４年度における警察庁組織改正構想、令和２年における行方不明者の状況等がございました。

　来年度の警察庁組織改正構想について、説明をいたします。

　新型コロナウイルス感染症を契機とした社会のデジタル化に伴って、サイバー空間における被害の潜在的リスクが拡大しているほか、国家を背景としたサイバー攻撃の発生や悪質なマルウェアを用いた攻撃手法の拡大等、サイバー空間をめぐる脅威は、極めて深刻な情勢にございます。こうした情勢を踏まえ、この度、警察庁の組織の改正について、所要の検討を行うことといたしました。具体的には、警察庁にサイバー局を設置するとともに、一定のサイバー事案について捜査を行うための組織を設置し、サイバー事案への対処能力の強化を図ることとしております。

　併せて、社会のデジタル化を背景として、警察における情報化等を推進するため、長官官房に技術政策を総括する組織を設置することを検討しております。

　なお、この度の新たな組織構想については、国民の皆様に丁寧な説明を行っていくよう、本日、指導をいたしました。

　警察においては、引き続き、社会のデジタル化と深刻化するサイバー空間の脅威に的確に対処し、国民の安全・安心の確保に努めてまいります。私からは以上です。

問　　大臣にお願いします。先ほど言及のありました組織改正ですが、背景には現在のサイバー空間をめぐる情勢があると思われますが、サイバー空間の脅威への対策を警察として今後どのように進めていくべきと思われるか、御所見をお願いいたします。

答　（大臣）デジタル化の進展に伴って、サイバー空間が、広く国民が参画する重要な公共空間へと進化を遂げていく一方で、サイバー空間における脅威は極めて深刻だと、これまでもお話をしてまいりました。

　国民が安心して暮らせる社会を実現するためには、サイバー空間に実空間と変わらない安全・安心が確保されていなければいけない、これは不可欠なことだと思います。

　警察においては、引き続き国民が安心して参画できるように、サイバーセキュリティ対策の取組を抜本的に強化するため、今回の組織改正による体制の見直しを含めて、組織の総合力を発揮した対策を推進していくということであります。その際に国民に対して丁寧な説明を行うことが必要だということを指導しました。

問　　長官にお尋ねします。今大臣からありました来年度の組織改正の構想についてです。サイバー局と直轄隊をつくるということですが、この構想の概要について改めて長官の方からお願いします。また、特に今回、直轄隊というのは、警察庁が自ら捜査する組織ということで、捜査は都道府県警が担うという、これまでの警察の在り方とは少し違うと言うか、踏み出すと言うか、そういうことだと思います。その点も含めて、今回の構想の狙い・意義について、長官のお考えをお願いします。

答　（長官）大臣からも御発言がありましたとおりですが、警察庁では、令和４年度を目指して、社会のデジタル化等を背景とした警察における諸課題に対処するための組織改正に向けた準備を進めてまいりたいと考えております。今回の組織改正構想では、サイバー事案への対処能力の強化を図るため、警察庁にサイバー局等を設置するとともに、デジタル化施策をはじめとした技術政策を総括する組織を設置することとしております。

　昨今のサイバー空間をめぐる情勢は、新型コロナウイルス感染症の拡大等を契機としたサイバー被害の潜在的リスクの拡大、悪質なマルウェアを用いた攻撃手法の拡散、国家を背景としたサイバー攻撃の発生等、極めて深刻なものとなっております。新たに設置するサイバー局においては、サイバー事案に関する情報収集、分析、対策等を一元的に、より効果的に進めてまいります。

　これに加えて、管区警察局に、重大なサイバー事案については自ら捜査を行う組織を設置いたしたいと考えております。

　また、長官官房に設置することとなる技術政策を総括する組織では、現在の情報通信局が有する技術的な専門知識の一層の活用を図り、共通基盤の整備をはじめとするデジタル化施策を強力に推進いたします。

　この構想は、社会のデジタル化と深刻化するサイバー空間の脅威に対応するため、平成６年に生活安全局を設置して以来の大規模な組織改正を目指すものです。警察としては、引き続き、国民の安全・安心な暮らしを確保するため、こうした体制の見直しを含めた各種取組を進めてまいります。

警察庁にサイバー局を設置するとともに、一定のサイバー事案について捜査を行うための組織を設置し、サイバー事案への対処能力の強化を図ることとしております。
併せて、社会のデジタル化を背景として、警察における情報化等を推進するため、長官官房に技術政策を総括する組織を設置することを検討しております。
サイバー事案への対処能力の強化を図るため、警察庁にサイバー局等を設置するとともに、デジタル化施策をはじめとした技術政策を総括する組織を設置することとしております。
新たに設置するサイバー局においては、サイバー事案に関する情報収集、分析、対策等を一元的に、より効果的に進めてまいります。
これに加えて、管区警察局に、重大なサイバー事案については自ら捜査を行う組織を設置いたしたい
長官官房に設置することとなる技術政策を総括する組織では、現在の情報通信局が有する技術的な専門知識の一層の活用を図り、共通基盤の整備をはじめとするデジタル化施策を強力に推進

まとめると、、、

1. サイバー事案への対処能力の強化を図るために、

1-1. 警察庁にサイバー局を設置し、サイバー事案に関する情報収集、分析、対策等を一元的に、より効果的に進めていく。
1-2. 管区警察局に、重大なサイバー事案について自ら捜査を行う組織を設置する。

2. 警察における情報化等を推進するために、

長官官房に技術政策を総括する組織を設置しい、現在の情報通信局が有する技術的な専門知識の一層の活用を図り、共通基盤の整備をはじめとするデジタル化施策を強力に推進する。

■ 報道等

● NHK
・2021.06.24 警察庁「サイバー局」新設へ重大なサイバー犯罪の独自捜査も

重大なサイバー犯罪に対応する専門部隊を新たに設け、全国から専門知識を持った捜査員など、およそ200人を集めて独自に捜査にあたることにしています。

● 日経新聞
・2021.06.24 サイバー犯罪、警察庁が直接捜査　22年度に400人新組織

直轄隊は警察庁の地方機関にあたる関東管区警察局内に配置し、デジタル分野に詳しい都道府県警の出向警察官や同庁の技術系職員らで構成する。事件の摘発のほか、国や企業へのサイバー攻撃の実行者の分析などを手がける。事件に応じ都道府県警と共同で捜査する。

サイバー局は指揮監督に加え、情報収集やデジタル証拠の解析といった捜査支援や人材育成などを担う。警察庁内では現在、サイバー犯罪関連の担当部署が金銭目的の犯罪などを扱う生活安全局やテロ対策の警備局などに分散しており、集約する。

● 朝日新聞
・2021.06.25 警察庁、対サイバー体制強化　局新設方針／自ら捜査へ直轄隊

朝日新聞の図がわかりやすいですね。。。

上記記事から

● 読売新聞
・2021.06.24 大規模攻撃に対応、マルウェア解析も…警察庁が「サイバー局」創設へ

● 産経新聞
・2021.06.24 警察庁、サイバー局創設へ　中露北の攻撃警戒、直接捜査も

● 東京新聞
・2021.06.24 警察庁がサイバー局を新設へ　直轄の捜査隊は200人態勢

2021.06.25 07:19 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

NIST SP1270 Draft 人工知能におけるバイアスの識別と管理

こんにちは、丸山満彦です。

NISTが、SP1270 Draft 人工知能におけるバイアスの識別と管理を公表し、意見募集をしていますね。。。

ちょっと気になったのは、監査による保証も想定してるかもしれないという点ですかね。。。

● NIST

・2021.06.22 (News) NIST Proposes Approach for Reducing Risk of Bias in Artificial Intelligence

NIST Proposes Approach for Reducing Risk of Bias in Artificial Intelligence	NISTが人工知能におけるバイアスのリスクを低減するアプローチを提案
In an effort to counter the often pernicious effect of biases in artificial intelligence (AI) that can damage people’s lives and public trust in AI, the National Institute of Standards and Technology (NIST) is advancing an approach for identifying and managing these biases — and is requesting the public’s help in improving it.	米国国立標準技術研究所（NIST）は、人工知能（AI）に含まれるバイアスが、人々の生活やAIに対する社会的信頼を損ねるという、しばしば起こる悪質な影響に対抗するために、バイアスを特定し管理するためのアプローチを進めており、その改善に向けて一般の人々の協力を求めています。
...	...
“Managing the risk of bias in AI is a critical part of developing trustworthy AI systems, but the path to achieving this remains unclear,” said NIST’s Reva Schwartz, one of the report’s authors. “We want to engage the community in developing voluntary, consensus-based standards for managing AI bias and reducing the risk of harmful outcomes that it can cause.”	本報告書の執筆者の一人であるNISTのラヴァシュワルツは、「AIにおけるバイアスのリスクを管理することは、信頼できるAIシステムを開発する上で非常に重要なことですが、それを達成するための道筋はいまだにはっきりしていません。私たちは、AIのバイアスを管理し、バイアスが引き起こす有害な結果のリスクを低減するための、自発的でコンセンサスに基づく基準の策定にコミュニティを巻き込みたいと考えています。」と述べています。
NIST contributes to the research, standards, and data required to realize the full promise of artificial intelligence (AI) as an enabler of American innovation across industry and economic sectors. Working with the AI community, NIST seeks to identify the technical requirements needed to cultivate trust that AI systems are accurate and reliable, safe and secure, explainable, and free from bias. A key but still insufficiently defined building block of trustworthiness is bias in AI-based products and systems. That bias can be purposeful or inadvertent. By hosting discussions and conducting research, NIST is helping to move us closer to agreement on understanding and measuring bias in AI systems.	NISTは、産業や経済分野を超えて米国のイノベーションを実現するものとして、人工知能（AI）の可能性を最大限に実現するために必要な研究、基準、データに貢献しています。NISTは、AIコミュニティと協力して、AIシステムが正確で信頼できる、安全で安心できる、説明可能でバイアスのないものであるという信頼を深めるために必要な技術的要件を特定することを目指しています。信頼性の重要な構成要素でありながら、まだ十分に定義されていないのが、AIベースの製品やシステムにおけるバイアスです。そのバイアスは、意図的なものもあれば、不注意なものもあります。NISTは、議論の場を設けたり、調査を行ったりすることで、AIシステムにおけるバイアスの理解と測定に関する合意に近づけようとしています。
AI has become a transformative technology as it can often make sense of information more quickly and consistently than humans can. AI now plays a role in everything from disease diagnosis to the digital assistants on our smartphones. But as AI’s applications have grown, so has our realization that its results can be thrown off by biases in the data it is fed — data that captures the real world incompletely or inaccurately.	AIは、人間よりも迅速かつ一貫して情報を理解することができるため、変革をもたらす技術となっています。現在、AIは、病気の診断からスマートフォンのデジタルアシスタントまで、あらゆる場面で活躍しています。しかし、AIの用途が拡大するにつれ、AIに与えられるデータのバイアス（現実世界を不完全または不正確に捉えたデータ）によって、AIの結果が狂う可能性があることもわかってきました。
Moreover, some AI systems are built to model complex concepts, such as “criminality” or “employment suitability,” that cannot be directly measured or captured by data in the first place. These systems use other factors, such as area of residence or education level, as proxies for the concepts they attempt to model. The imprecise correlation of the proxy data with the original concept can contribute to harmful or discriminatory AI outcomes, such as wrongful arrests, or qualified applicants being erroneously rejected for jobs or loans.	さらに、AIシステムの中には、「犯罪性」や「雇用適性」など、データでは直接測定できない複雑な概念をモデル化しているものもあります。これらのシステムでは、居住地域や教育レベルなどの他の要素を、モデル化しようとする概念の代理として使用します。代理データと元の概念との不正確な相関関係は、不当な逮捕や、資格のある応募者が誤って仕事やローンを断られるなど、AIに有害または差別的な結果をもたらす可能性があります。
The approach the authors propose for managing bias involves a conscientious effort to identify and manage bias at different points in an AI system’s lifecycle, from initial conception to design to release. The goal is to involve stakeholders from many groups both within and outside of the technology sector, allowing perspectives that traditionally have not been heard.	著者らが提案するバイアス管理のアプローチは、最初の構想から設計、リリースに至るまで、AIシステムのライフサイクルのさまざまな段階でバイアスを特定し、管理するための意識的な努力を伴うものである。その目的は、テクノロジー分野の内外を問わず、さまざまなグループのステークホルダーを巻き込み、従来は聞くことができなかった視点を可能にすることです。
“We want to bring together the community of AI developers of course, but we also want to involve psychologists, sociologists, legal experts and people from marginalized communities,” said NIST’s Elham Tabassi, a member of the National AI Research Resource Task Force. “We would like perspective from people whom AI affects, both from those who create AI systems and also those who are not directly involved in its creation.”	National AI Research Resource Task ForceのメンバーであるNISTのエルハムタバシは、「AI開発者のコミュニティはもちろんですが、心理学者、社会学者、法律の専門家、社会から疎外されたコミュニティの人々も巻き込みたいと考えています。私たちは、AIシステムを作る人だけでなく、その作成に直接関与していない人も含めて、AIが影響を与える人々からの視点を求めています。」と述べています。
The NIST authors’ preparatory research involved a literature survey that included peer-reviewed journals, books and popular news media, as well as industry reports and presentations. It revealed that bias can creep into AI systems at all stages of their development, often in ways that differ depending on the purpose of the AI and the social context in which people use it.	NISTの研究者たちは、査読付き雑誌、書籍、一般的なニュースメディア、業界の報告書やプレゼンテーションなどの文献を調査しました。その結果、AIシステムには、開発のあらゆる段階でバイアスが入り込む可能性があり、AIの目的や人々が利用する社会的背景によって異なる方法で入り込むことが多いことが明らかになりました。
“An AI tool is often developed for one purpose, but then it gets used in other very different contexts,” Schwartz said. “Many AI applications also have been insufficiently tested, or not tested at all in the context for which they are intended. All these factors can allow bias to go undetected.”	シュワルツは、「AIツールは、ある目的のために開発されることが多いのですが、その後、他の全く異なる文脈で使われるようになります。また、多くのAIアプリケーションは、十分にテストされていないか、意図された文脈ではまったくテストされていません。これらの要因により、バイアスが検出されないことがあるのです。」と述べています。
Because the team members recognize that they do not have all the answers, Schwartz said that it was important to get public feedback — especially from people outside the developer community who do not ordinarily participate in technical discussions.	チームメンバーは、自分たちがすべての答えを持っているわけではないことを認識しているため、一般の人々、特に普段は技術的な議論に参加していない開発者コミュニティ外の人々からのフィードバックを得ることが重要だとシュワルツは述べています。
"We would like perspective from people whom AI affects, both from those who create AI systems and also those who are not directly involved in its creation." – Elham Tabassi	「AIが影響を与える人々、AIシステムを作る人も、その作成に直接関与していない人も含めた視点が欲しい。」- エルハムタバシ
“We know that bias is prevalent throughout the AI lifecycle,” Schwartz said. “Not knowing where your model is biased, or presuming that there is no bias, would be dangerous. Determining methods for identifying and managing it is a vital next step.”	シュワルツは、「AIのライフサイクル全体にバイアスが蔓延していることがわかっています。自分のモデルがどこに偏っているかわからない、あるいはバイアスがないと推定することは危険です。それを特定し、管理するための手法を決定することは、次の重要なステップです。」と述べています。

・Proposal for Identifying and Managing Bias in Artificial Intelligence (SP 1270)

Proposal for Identifying and Managing Bias in Artificial Intelligence (SP 1270)

人工知能におけるバイアスの識別と管理に関する提案（SP 1270）

The proliferation of modeling and predictive approaches based on data-driven and machine learning techniques has helped to expose various social biases baked into real-world systems. These biases and other related inaccuracies in automated systems can lead to harmful outcomes that chip away at public trust in technology. The paper proposes an approach for identifying and managing AI bias that is tied to three stages of the AI lifecycle, 1) pre-design, 2) design and development, and 3) deployment (and post-deployment factors). This approach is intended to enable AI designers and deployers to better relate specific lifecycle processes with the types of AI bias, and facilitate more effective management of it. This proposal is part of NIST’s broader work in developing a risk management framework for Trustworthy and Responsible AI.

データ駆動技術や機械学習技術に基づくモデリングや予測手法の普及により、現実のシステムに組み込まれた様々な社会的バイアスが明らかになってきました。このようなバイアスや、自動化されたシステムの不正確さは、テクノロジーに対する社会的信頼を損なう有害な結果につながる可能性があります。この論文では、AIのライフサイクルの3つの段階、1）設計前、2）設計・開発、3）展開（および展開後の要因）に関連付けて、AIのバイアスを特定し、管理するためのアプローチを提案しています。このアプローチは、AIの設計者や展開者が、特定のライフサイクルプロセスとAIのバイアスの種類をより適切に関連付けることを可能にし、より効果的な管理を促進することを目的としています。この提案は、NISTが行っている「Trustworthy and Responsible AI」のためのリスク管理フレームワークの開発の一環です。

・[PDF] Draft NIST Special Publication 1270 A Proposal for Identifying and Managing Bias in Artificial Intelligence

Continue reading "NIST SP1270 Draft 人工知能におけるバイアスの識別と管理"

2021.06.25 00:00 in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in パブコメ, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2021.06.24

MITRE ATLASでAIの脅威から守る

こんにちは、丸山満彦です。

MITREとMicrosoftなど16組織が中心となって敵対的機械学習の脅威への対抗策をMITRE ATLASを使って対応していくという感じですかね。。。

2021.06.29にセミナーが開催されるようですね。

● MITRE

・2021.06 Project Stories MITRE ATLAS TAKES ON AI SYSTEM THEFT

AI systems are valuable intellectual property, vulnerable to theft and illegal redistribution. MITRE, Microsoft, and 16 other organizations tackle such challenges with MITRE ATLAS, the new name for the AdvML Threat Matrix.

敵対的機械学習の脅威への対抗策

・ATLAS

Reconnaissance	偵察
Resource Development	リソース開発
Initial Access	初期アクセス
ML Model Access	MLモデルへのアクセス
Execution	実行
Persistence	永続化
Defense Evasion	防衛回避
Discovery	探索
Collection	収集
ML Attack Staging	ML攻撃段階
Exfiltration	持ち出し
Impact	影響

2021.06.24 14:40 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

米国CISA MITRE ATT&CK®をサイバー脅威インテリジェンスに活用するためのガイダンス at 2021.06.02

こんにちは、丸山満彦で。

米国のCISAがMITRE ATT&CK®をサイバー脅威インテリジェンスに活用するためのガイダンスを2021.06.02に発行していましたね。。。

● Cybersecurity and Infrastracture Security Agency; CISA

・2021.06.02 Best Practices for MITRE ATT&CK® Mapping

Best Practices for MITRE ATT&CK® Mapping	MITRE ATT&CK® マッピングのベスト・プラクティス
For the Cybersecurity and Infrastructure Security Agency (CISA), understanding adversary behavior is often the first step in protecting networks and data. The success network defenders have in detecting and mitigating cyberattacks depends on this understanding. The MITRE ATT&CK® framework is a globally accessible knowledge base of adversary tactics and techniques based on real-world observations. The ATT&CK knowledge base is used as a foundation for the development of specific threat models and methodologies in the private sector, in government, and in the cybersecurity product and service community. ATT&CK is freely open and available to any person or organization in the hopes of bringing communities together to develop more effective cybersecurity.	CISA（Cybersecurity and Infrastructure Security Agency）にとって、敵対者の行動を理解することは、ネットワークやデータを保護するための最初のステップであることがしばしばあります。ネットワーク保護者がサイバー攻撃を検知し、軽減するためには、この理解が成功の鍵を握っています。MITRE ATT&CK® フレームワークは、実世界での観察に基づいた敵対者の戦術と技術に関するグローバルにアクセス可能な知識ベースです。ATT&CK 知識ベースは、民間企業、政府機関、サイバーセキュリティ製品・サービスのコミュニティにおいて、特定の脅威モデルや方法論を開発するための基盤として使用されています。ATT&CKは、より効果的なサイバーセキュリティを開発するためにコミュニティをまとめることを期待して、あらゆる個人や組織に自由に公開されています。
CISA uses ATT&CK as a lens through which to identify and analyze adversary behavior. ATT&CK provides details on 100+ threat actor groups, including the techniques and software they are known to use. (Note: Not every adversary behavior is documented in ATT&CK.) ATT&CK can be used to identify defensive gaps, assess security tool capabilities, organize detections, hunt for threats, engage in red team activities, or validate mitigation controls.	CISA は ATT&CK を敵対者の行動を識別、分析するためのレンズとして使用しています。ATT&CKは、100以上の脅威行為者グループについて、彼らが使用することが知られている技術やソフトウェアなどの詳細を提供しています。ATT&CK は、防御ギャップの特定、セキュリティツールの能力評価、検知の整理、脅威の探索、レッドチーム活動、緩和策の検証などに使用できます。
This Best Practices for MITRE ATT&CK Mapping guide provides network defenders with clear guidance, examples, and step-by-step instructions to make better use of MITRE ATT&CK as they analyze and report on cybersecurity threats. This will improve defenders’ ability to proactively detect adversary behavior and supports robust, contextual bi-directional sharing of information to help strengthen the security of our systems, networks, and data. CISA developed this guide in partnership with the Homeland Security Systems Engineering and Development Institute™ (HSSEDI), which worked with the MITRE ATT&CK team.	このBest Practices for MITRE ATT&CK Mappingガイドは、ネットワーク防御者がサイバーセキュリティの脅威を分析・報告する際に、MITRE ATT&CKをより有効に活用するための明確なガイダンス、例、およびステップバイステップの手順を提供します。これにより、敵対者の行動を積極的に検知する防衛者の能力が向上し、システム、ネットワーク、データのセキュリティ強化に役立つ強固で文脈に沿った双方向の情報共有をサポートします。CISAは、MITRE ATT&CKチームと協力しているHomeland Security Systems Engineering and Development Institute™（HSSEDI）と共同で本ガイドを作成しました。

・[PDF]

ATT&CK Levels	ATT&CKレベル
ATT&CK describes behaviors across the adversary lifecycle, commonly known as tactics, techniques, and procedures (TTPs). In ATT&CK, these behaviors correspond to four increasingly granular levels:	ATT&CKは、敵のライフサイクルにおける行動を記述しており、一般的には戦術、技術、手順（TTPs）として知られている。ATT&CKでは、これらの行動を4つの詳細なレベルに対応させている。
1. Tactics represent the “what” and “why” of an ATT&CK technique or sub-technique. They are the adversary’s technical goals, the reason for performing an action, and what they are trying to achieve. For example, an adversary may want to achieve credential access in order to gain access to a target network. Each tactic contains an array of techniques that network defenders have observed being used in the wild by threat actors. Note: The ATT&CK framework is not intended to be interpreted as linear—with the adversary moving through the tactics in a straight line (i.e., left to right) in order to accomplish their goal. Additionally, an adversary does not need to use all of the ATT&CK tactics in order to achieve their operational goals.	1. 戦術とは、ATT&CKのテクニックやサブテクニックの "What "と "Why "を表すものである。戦術とは、敵の技術的な目標、行動を行う理由、達成しようとするものである。例えば、敵対者は、ターゲット・ネットワークへのアクセスを得るために、クレデンシャル・アクセスを達成したいと考えているかもしれない。各戦術には、ネットワーク防御者が、脅威の行為者が実際に使用していることを確認した一連の技術が含まれている。注意：ATT&CK フレームワークは、敵対者が目的を達成するために戦術を一直線に（つまり、左から右に）移動するような、直線的な解釈を意図したものではない。また、敵対者は作戦目標を達成するためにATT&CKの全ての戦術を使用する必要はない。
2. Techniques represent “how” an adversary achieves a tactical goal by performing an action. For example, an adversary may dump credentials to achieve credential access. Techniques may also represent what an adversary gains by performing an action. A technique is a specific behavior to achieve a goal and is often a single step in a string of activities intended to complete the adversary’s overall mission. Note: many of the techniques within ATT&CK include legitimate system functions that can be used for malicious purposes (referred to as “living off the land”).	2. テクニックとは、敵対者がある動作を行うことで戦術目標を達成する「方法」を表す。例えば、敵対者はクレデンシャル・アクセスを達成するためにクレデンシャルをダンプすることがある。テクニックはまた、敵対者がある動作を行うことで得られるものを表すこともある。テクニックとは、目標を達成するための具体的な行動であり、多くの場合、敵対者の全体的なミッションを完了するために意図された一連の活動の中の単一のステップである。注意：ATT&CKに含まれるテクニックの多くは、悪意のある目的のために使用できる正当なシステム機能を含んでいる（「living off the land」と呼ばれる）。
3. Sub-techniques provide more granular descriptions of techniques. For example, there are behaviors under the OS Credential Dumping [T1003] technique that describe specific methods to perform the technique, such as accessing LSASS Memory [T1003.001], Security Account Manager [T1003.002], or /etc/passwd and /etc/shadow [TT1003.008]. Sub-techniques are often, but not always, operating system or platform specific. Not all techniques have sub-techniques.	3. サブテクニックは、テクニックのより詳細な説明を提供する。例えば、OSのクレデンシャル・ダンピング[T1003]という技術の下には、LSASS Memoryへのアクセス[T1003.001]、Security Account Manager[T1003.002]、/etc/passwdと/etc/shadowへのアクセス[TT1003.008]など、その技術を実行するための具体的な方法を記述した動作があります。サブテクニックは、OSやプラットフォームに依存することが多いですが、必ずしもそうではない。すべてのテクニックがサブテクニックを持つわけではない。
4. Procedures are particular instances of how a technique or sub-technique has been used. They can be useful for replication of an incident with adversary emulation and for specifics on how to detect that instance in use.	4. プロシージャとは、あるテクニックやサブテクニックがどのように使用されたかを示す特定の事例である。これらは、敵対者のエミュレーションによるインシデントの再現や、使用中のインスタンスを検出する方法の具体的な説明に役立つ。

● MITRE

・2021.06.02 (press) CISA ISSUES GUIDANCE FOR USING MITRE ATT&CK® FOR CYBER THREAT INTELLIGENCE

Knowledge Base Can Benefit Threat Analysis, Reporting

2021.06.24 07:00 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2021.06.23

欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

こんにちは、丸山満彦です。

欧州データ保護委員会（European Data Protection Board: EDPB）と 欧州データ保護監督官 (European Data Protection Supervisor: EDPS)が公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請しましたね。。。

イメージで言うと、渋谷の交差点の防犯カメラにAIを搭載し、指名手配犯を監視し、該当する可能性の高い顔が見つかったら警告を上げるようなシステムや、ショッピングモール内の顔識別機能付きカメラを使って個人を識別し、その個人がどのような動線を通って買い物をしているかを分析するのは、基本的には禁止されるということなのでしょうかね。。。

● European Data Protection Board: EDPB

・2021.06.21 EDPB & EDPS call for ban on use of AI for automated recognition of human features in publicly accessible spaces, and some other uses of AI that can lead to unfair discrimination

EDPB & EDPS call for ban on use of AI for automated recognition of human features in publicly accessible spaces, and some other uses of AI that can lead to unfair discrimination	EDPBとEDPS、公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請
21 June 2021 EDPB	2021年6月21日 EDPB
The EDPB and EDPS have adopted a joint opinion on the European Commission’s Proposal for a Regulation laying down harmonised rules on artificial intelligence (AI).	EDPBとEDPSは、欧州委員会の「人工知能（AI）に関する調和のとれた規則を定めた規則の提案」に対する共同意見を採択しました。
The EDPB and the EDPS strongly welcome the aim of addressing the use of AI systems within the European Union, including the use of AI systems by EU institutions, bodies or agencies. At the same time, the EDPB and EDPS are concerned by the exclusion of international law enforcement cooperation from the scope of the Proposal.	EDPBとEDPSは、EUの機関・団体・組織によるAIシステムの使用を含め、EU内でのAIシステムの使用に対処するという目的を強く歓迎します。その一方で、EDPBとEDPSは、提案の範囲から国際的な法執行協力が除外されていることに懸念を抱いています。
The EDPB and EDPS also stress the need to explicitly clarify that existing EU data protection legislation (GDPR, the EUDPR and the LED) applies to any processing of personal data falling under the scope of the draft AI Regulation.	また、EDPBとEDPSは、既存のEUデータ保護法（GDPR、EUDPR、LED）が、AI規則案の範囲に該当する個人データの処理に適用されることを明確にする必要性を強調しています。
While the EDPB and the EDPS welcome the risk-based approach underpinning the Proposal, they consider that the concept of “risk to fundamental rights” should be aligned with the EU data protection framework. The EDPB and the EDPS recommend that societal risks for groups of individuals should also be assessed and mitigated. Moreover, they agree with the Proposal that the classification of an AI system as high-risk does not necessarily mean that it is lawful per se and can be deployed by the user as such. The EDPB and the EDPS also consider that compliance with legal obligations arising from Union legislation - including on personal data protection - should be a precondition for entering the European market as CE marked product.	EDPBとEDPSは、本提案を支えるリスクベースのアプローチを歓迎する一方で、「基本的権利に対するリスク」の概念をEUデータ保護の枠組みに合わせるべきだと考えています。EDPBとEDPSは、個人のグループに対する社会的リスクも評価し、緩和すべきであると提言しています。さらに、DPBとEDPSは、AIシステムが高リスクであると分類されても、それ自体が必ずしも合法的であり、ユーザーがそのように導入できることを意味しないという提案に同意しています。また、EDPBとEDPSは、個人データ保護を含むEU法に起因する法的義務の遵守を、CEマーク付き製品として欧州市場に参入するための前提条件とすべきであると考えています。
Taking into account the extremely high risks posed by remote biometric identification of individuals in publicly accessible spaces, the EDPB and the EDPS call for a general ban on any use of AI for automated recognition of human features in publicly accessible spaces, such as recognition of faces, gait, fingerprints, DNA, voice, keystrokes and other biometric or behavioural signals, in any context. Similarly, the EDPB and EDPS recommend a ban on AI systems using biometrics to categorize individuals into clusters based on ethnicity, gender, political or sexual orientation, or other grounds on which discrimination is prohibited under Article 21 of the Charter of Fundamental Rights. Furthermore, the EDPB and the EDPS consider that the use of AI to infer emotions of a natural person is highly undesirable and should be prohibited, except for very specified cases, such as some health purposes, where the patient emotion recognition is important, and that the use of AI for any type of social scoring should be prohibited.	公共の場における個人の遠隔生体識別がもたらす極めて高いリスクを考慮して、EDPBとEDPSは、公共の場において、顔、歩行、指紋、DNA、音声、キーストローク、その他の生体信号や行動信号の認識など、いかなる状況においても人間の特徴を自動認識するためにAIを使用することを全面的に禁止することを求めています。同様に、EDPBとEDPSは、基本権憲章第21条で差別が禁止されている民族、性別、政治的または性的指向、その他の理由に基づいて個人をクラスターに分類するためにバイオメトリクスを使用するAIシステムの禁止を推奨しています。さらに、EDPBとEDPSは、自然人の感情を推測するためにAIを使用することは非常に望ましくなく、患者の感情認識が重要である一部の健康目的などの非常に特定された場合を除き、禁止されるべきであると考えています。また、あらゆる種類の社会的スコアリングのためにAIを使用することも禁止されるべきであると考えています。
Andrea Jelinek, EDPB Chair, & Wojciech Wiewiórowski, EDPS, said: “Deploying remote biometric identification in publicly accessible spaces means the end of anonymity in those places. Applications such as live facial recognition interfere with fundamental rights and freedoms to such an extent that they may call into question the essence of these rights and freedoms. This calls for an immediate application of the precautionary approach. A general ban on the use of facial recognition in publicly accessible areas is the necessary starting point if we want to preserve our freedoms and create a human-centric legal framework for AI. The proposed regulation should also prohibit any type of use of AI for social scoring, as it is against the EU fundamental values and can lead to discrimination.”	EDPB議長のAndrea Jelinek氏とEDPSのWojciech Wiewiórowski氏は、次のように述べています。「公共の場に遠隔生体識別を導入することは、そのような場所での匿名性の終焉を意味します。ライブの顔認識などのアプリケーションは、基本的な権利や自由を侵害し、その本質が問われることになります。このため、予防的アプローチを直ちに適用する必要があります。自由を守り、人間を中心としたAIの法的枠組みを作りたいのであれば、公共の場での顔認証の使用を一般的に禁止することが必要な出発点となります。また、社会的なスコアリングのためにAIを使用することは、EUの基本的価値観に反し、差別につながる可能性があるため、規制案ではあらゆるタイプの使用を禁止すべきです」と述べています。
The EDPB and the EDPS further welcome the fact that the Proposal designates the EDPS as the competent authority and the market surveillance authority for the supervision of the Union institutions, agencies and bodies. However, the role and tasks of the EDPS should be further clarified, specifically when it comes to its role as market surveillance authority.	EDPBとEDPSはさらに、提案がEDPSをEUの機関、代理店、団体の監督のための管轄機関および市場監視機関として指定していることを歓迎します。しかし、EDPSの役割とタスクは、特に市場監視当局としての役割に関して、さらに明確にされるべきです。
The EDPB and EDPS recall that data protection authorities (DPAs) are already enforcing the GDPR and the LED on AI systems involving personal data, in order to guarantee the protection of fundamental rights and more specifically the right to data protection. As a result, the designation of DPAs as the national supervisory authorities would ensure a more harmonized regulatory approach, and contribute to the consistent interpretation of data processing provisions across the EU. Consequently, the EDPB and the EDPS consider that, to ensure a smooth application of this new regulation, DPAs should be designated as national supervisory authorities pursuant to Article 59 of the Proposal.	EDPBとEDPSは、基本的権利の保護、より具体的にはデータ保護の権利を保証するために、データ保護当局（DPA）がすでにGDPRと個人データを含むAIシステムに関するLEDを施行していることを想起する。その結果、DPAを国の監督機関に指定することで、より調和のとれた規制アプローチが確保され、EU全体でデータ処理規定の一貫した解釈に貢献することになります。したがって、EDPBとEDPSは、この新しい規制の円滑な適用を確保するために、提案の第59条に従って、DPAを国家監督機関に指定すべきであると考えています。
Finally, the EDPB and EDPS question the designation of a predominant role to the European Commission in the “European Artificial Intelligence Board” (EAIB), as this would conflict with the need for an AI European body independent from any political influence. To ensure its independency, the Proposal should give more autonomy to the EAIB and ensure it can act on its own initiative.	最後に、EDPBとEDPSは、「欧州人工知能委員会」（EAIB）において欧州委員会が主要な役割を担うことに疑問を呈しています。これは、政治的影響力から独立した人工知能の欧州機関の必要性と矛盾するからである。EAIBの独立性を確保するために、提案ではEAIBにより多くの自治権を与え、EAIBが独自に行動できるようにすべきです。
Note to editors:	注記
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.	EDPB総会で採択されたすべての文書は、必要な法律上、言語上、フォーマット上のチェックを受け、それが完了した時点でEDPBのウェブサイトで公開されることに留意してください。

規則案自体はこちら、、、

● European Commission

・Proposal for a Regulation laying down harmonised rules on artificial intelligence

The Commission is proposing the first ever legal framework on AI, which addresses the risks of AI and positions Europe to play a leading role globally.

● EURO-LEX

・Document 52021PC0206 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS - COM/2021/206 final

・[HTML]

・[DOC] 本文　附属書

・[PDF] 本文　附属書

・[DOCX] とりあえず機械翻訳 (DeepL)

人工知能に関する調和のとれた規則（人工知能法）を定める欧州議会および理事会の規則の提案に関する欧州保護委員会 (EDPB) と欧州データ保護監督官 (EDPS) との共同意見 - 5/2021

● EDPB

・2021.06.18 EDPB-EDPS Joint Opinion 5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act)

・[PDF]

[DOCX] 仮訳

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

2021.06.23 04:32 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2021.06.22

人工知能技術に芸術と人文科学はどのように貢献できるか？ by John Tasioulas（オックスフォード大学のAI倫理研究所所長）

こんにちは、丸山満彦です。

直訳すると、「人工知能を考える上での芸術と人文科学の役割」ということになるのでしょうか。。。

AI技術が社会に与える影響が広範に深く及ぶので、人間が人工知能という技術をどのように使うのかが問われているのだろうと思います。生物として本来人間が持っている能力を拡張する能力を新たに獲得することによって生じる影響を、社会にどのように定着させるのか人類が問われているのだろうと思います。産業革命で蒸気動力、ダイナマイト、自動車、飛行機、原子力エネルギー、インターネット、過去にもそのようなことは色々とあったと思いますが、インターネットと同じで身近な問題ということでより多くの人々が考えなければならない問題なのかもしれませんね。

技術の問題ではなく、人間の選択の問題なのだろうと思います。「賢い」選択をする必要がありますね。自分たちが重要と考えている価値観が何かを見つめ直すことが重要な時かもしれません。。。

● Ada Lovelace Institute

・2021.06.14 The role of the arts and humanities in thinking about artificial intelligence (AI) by John Tasioulas

Reclaiming a broad and foundational understanding of ethics in the AI domain, with radical implications for the re-ordering of social power

2021.06.22 10:05 in AI/Deep Learning | Permalink | Comments (0)
Tweet

欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

こんにちは、丸山満彦です。

欧州保険職業年金局 (EIOPA) が欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表していますね。。。

● European Insurance and Occupational Pensions Authority; EIOPA

・2021.06.17 EIOPA publishes report on artificial intelligence governance principles

・[PDF] 人工知能ガバナンス原則。TOWARDS ETHICAL AND TRUSTWORTHY ARTIFICIAL INTELLIGENCE IN THE EUROPEAN INSURANCE SECTOR - A report from EIOPA's Consultative Expert Group on Digital Ethics in insurance

原則

Principle of proportionality	比例性の原則
Principle of fairness and non-discrimination	公平性と無差別の原則
Principle of transparency and explainability	透明性と説明可能性の原則
Principle of Human Oversight	人間による監督の原則
Principle of data governance of record keeping	記録管理のデータガバナンスの原則
Principle of Robustness and Performance	堅牢性とパフォーマンスの原則


Principle of proportionality: Insurance firms should conduct an AI use case impact assessment in order to determine the governance measures required for a specific AI use case. The AI use case impact assessment and the governance measures should be proportionate to the potential impact of a specific AI use case on consumers and/or insurance firms. Insurance firms should then assess the combination of measures put in place in order to ensure an ethical and trustworthy use of AI.	比例性の原則：保険会社は、特定のAIユースケースに必要なガバナンス対策を決定するために、AIユースケースの影響評価を行うべきである。AIユースケースの影響評価とガバナンス対策は、特定のAIユースケースが消費者や保険会社に与える潜在的な影響に比例すべきである。そして、保険会社は、倫理的で信頼できるAIの使用を保証するために導入された措置の組み合わせを評価すべきである。
Principle of fairness and non-discrimination: insurance firms should adhere to principles of fairness and non-discrimination when using AI. They should take into account the outcomes of AI systems, while balancing the interests of all the stakeholders involved. As part of their corporate social responsibility insurance firms should also take into account financial inclusion issues and consider ways to avoid reinforcing existing inequalities, especially for products that are socially beneficial. This includes assessing and developing measures to mitigate the impact of rating factors such as credit scores and avoiding the use of certain types of price and claims optimisation practices like those aiming to maximise consumers’ “willingness to pay” or “willingness to accept”. Fair use of data means ensuring that it is fit for purpose and respect the principle of human autonomy by developing AI systems that support consumers in their decision-making process. Insurance firms should make reasonable efforts to monitor and mitigate biases from data and AI systems. This may include using more explainable algorithms or developing fairness and non-discrimination metrics in high-impact AI applications. Insurance firms should develop their approach to fairness and keep records on the measures put in place to ensure fairness and non-discrimination.	公平性と無差別の原則：保険会社は、AIを使用する際、公平性と無差別の原則を遵守すべきである。保険会社は、関係するすべての利害関係者の利益のバランスを取りながら、AIシステムの結果を考慮するべきである。企業の社会的責任の一環として、保険会社は、特に社会的に有益な商品について、金融包摂の問題を考慮し、既存の不平等を強化しない方法を検討する必要がある。これには、クレジットスコアなどの格付け要素の影響を緩和するための評価と対策の策定、消費者の「支払い意思」や「引き受け意思」を最大限に引き出すことを目的とした、ある種の価格や保険金請求の最適化手法の使用を避けることなどが含まれる。データの公正な使用とは、データが目的に適合していることを保証し、消費者の意思決定プロセスをサポートするAIシステムを開発することで、人間の自律性の原則を尊重することを意味する。保険会社は、データやAIシステムからのバイアスを監視し、緩和するための合理的な努力をすべきである。これには、より説明可能なアルゴリズムを使用することや、影響力の大きいAIアプリケーションにおいて公平性と無差別性の評価基準を開発することが含まれる。保険会社は、公平性へのアプローチを開発し、公平性と無差別を確保するために導入された措置に関する記録を残すべきである。
Principle of transparency and explainability: Insurance firms should adapt the types of explanations to specific AI use cases and to the recipient stakeholders. Insurance firms should strive to use explainable AI models, in particular in high-impact AI use cases, although, in certain cases, they may combine model explainability with other governance measures insofar as they ensure the accountability of firms, including enabling access to adequate redress mechanisms. Explanations should be meaningful and easy to understand in order to help stakeholders make informed decisions. Insurance firms should transparently communicate the data used in AI models to consumers and ensure that they are aware that they are interacting with an AI system, and its limitations.	透明性と説明可能性の原則：保険会社は、説明の種類を特定のAIユースケースと受容者のステークホルダーに合わせるべきである。保険会社は、特にインパクトの大きいAIユースケースでは、説明可能なAIモデルを使用するよう努めるべきであるが、場合によっては、適切な救済メカニズムへのアクセスを可能にするなど、会社の説明責任を確保する限りにおいて、モデルの説明可能性を他のガバナンス手段と組み合わせることができるものとする。説明は、ステークホルダーが十分な情報を得た上で意思決定できるように、意味があり、理解しやすいものでなければならない。保険会社は、AIモデルに使用されているデータを消費者に透明に伝え、消費者がAIシステムと対話していることとその限界を認識していることを確認すべきである。
Principle of Human Oversight: Insurance firms should establish adequate levels of human oversight throughout the AI system’s life cycle. The organisational structure of insurance firms should assign and document clear roles and responsibilities for the staff involved in AI processes, fully embedded in their governance system. The roles and responsibilities of staff members may vary from one AI use case to another. It is also important that insurance firms assess the impact of AI on the work of employees and provide staff with adequate training.	人間による監督の原則：保険会社は、AIシステムのライフサイクルを通じて、適切なレベルの人間による監督を確立すべきである。保険会社の組織構造は、ガバナンス・システムに完全に組み込まれた形で、AIプロセスに関わるスタッフの明確な役割と責任を割り当て、文書化すべきである。スタッフの役割と責任は、AIのユースケースごとに異なる場合がある。また、保険会社は、AIが従業員の業務に与える影響を評価し、スタッフに適切なトレーニングを提供することが重要である。
Principle of data governance of record keeping: The provisions included in national and European data protection laws (e.g. GDPR) should be the basis for the implementation of sound data governance throughout the AI system lifecycle adapted to specific AI use cases. Insurance firms should ensure that data used in AI systems is accurate, complete and appropriate and they should apply the same data governance standards regardless of whether data is obtained from internal or external sources. Data should be stored in a safe and secured environment and, in particular for high-impact use cases, insurance firms should keep appropriate records of the data management processes and modelling methodologies in order to enable their traceability and auditability.	記録管理のデータガバナンスの原則：国内および欧州のデータ保護法（例：GDPR）に含まれる規定は、特定のAIユースケースに適応したAIシステムのライフサイクルを通じて健全なデータガバナンスを実施するための基礎となるべきである。保険会社は、AIシステムで使用されるデータが正確で、完全で、適切であることを保証すべきであり、データが内部または外部ソースから取得されるかどうかにかかわらず、同じデータガバナンス基準を適用すべきである。データは、安全でセキュアな環境に保管されるべきであり、特に影響の大きいユースケースについては、保険会社は、データ管理プロセスやモデリング手法の適切な記録を残し、そのトレーサビリティと監査可能性を確保すべきである。
Principle of Robustness and Performance: Insurance firms should use robust AI systems, both when developed in-house or outsourced to third parties, taking into account their intended use and the potential to cause harm. AI systems should be fit for purpose and their performance should be assessed and monitored on an on-going basis, including the development of relevant performance metrics. It is important that the calibration, validation and reproducibility of AI systems is done on a sound manner that ensure that the AI systems outcomes are stable overtime and/or of a steady nature. AI systems should be deployed in resilient and secured IT infrastructures, including against cyber-attacks.	堅牢性とパフォーマンスの原則：保険会社は、自社で開発する場合も、第三者に委託する場合も、その使用目的と被害をもたらす可能性を考慮した上で、堅牢なAIシステムを使用すべきである。AIシステムは、目的に適合したものでなければならず、その性能は、関連する性能指標の開発を含めて、継続的に評価・監視されるべきである。AIシステムの校正、検証、および再現性は、AIシステムの結果が安定した時間経過および／または安定した性質であることを保証する健全な方法で行われることが重要である。AIシステムは、サイバー攻撃に対するものも含め、回復力があり安全なITインフラに導入されるべきである。

I. FOREWORD	I. 序文
II. EXECUTIVE SUMMARY	II. エグゼクティブ・サマリー
III. GOVERNANCE PRINCIPLES FOR AN ETHICAL AND TRUSTOWOR- THY AI IN THE EUROPEAN INSURANCE SECTOR	III. 欧州の保険部門における倫理的で信頼できるAIのためのガバナンス原則
IV. INTRODUCTION	IV. 序論
1. The use of AI in the insurance sector	1. 保険分野におけるAIの利用について
2. The importance of digital ethics in insurance	2. 保険におけるデジタルエシックスの重要性
3. Approach taken, definitions and scope	3. 取り組み方、定義、範囲
V. AI USE CASE IMPACT ASSESSMENT	V. AIユースケースの影響評価
1. Assessing the impact of an AI use case to determine the relevant governance measures	1. 関連するガバナンス対策を決定するために、AIユースケースの影響を評価すること
2. AI use case impact assessment framework	2. AIユースケースの影響評価フレームワーク
VI. FAIRNESS AND NON-DISCRIMINATION	VI. 公平性と無差別
1. Fairness and non-discrimination in insurance	1. 保険における公平性と無差別性
2. Fairness and non-discrimination in specific AI use cases in insurance	2. 保険における特定のAIの使用例における公平性と無差別性
VII. TRANSPARENCY AND EXPLAINABILITY	VII. 透明性と説明可能性
1. Transparency and explainability in the insurance sector	1. 保険分野における透明性と説明可能性
2. Transparency and explainability in specific AI use cases in insurance	2. 保険における特定のAI使用例における透明性と説明可能性
VIII. HUMAN OVERSIGHT	VIII. 人間による監視
1. Human oversight in the insurance sector	1. 保険分野における人間による監視
2. Human oversight in specific AI use cases in insurance	2. 保険における特定のAI使用例における人間による監視
IX. DATA GOVERNANCE AND RECORD KEEPING	IX. データガバナンスと記録保持
1. Data governance and record keeping in insurance	1. 保険におけるデータガバナンスと記録の保持
2. Data governance and record keeping in specific AI use cases in insurance	2. 保険における特定のAI使用例におけるデータガバナンスと記録保持
X. ROBUSTNESS AND PERFORMANCE	X. 堅牢性とパフォーマンス
1. Robustness and performance in insurance	1. 保険における堅牢性とパフォーマンス
2. Robustness and performance in specific AI use cases in insurance	2. 保険における特定のAI使用例での堅牢性と性能
XI. CONCLUSION	XI. おわりに
ANNEX	附属書
ANNEX 1 – BENEFITS AND ETHICAL CHALLENGES OF AI USE CASES ACROSS THE INSURANCE VALUE CHAIN	附属書1 - 保険のバリューチェーンにおけるAI使用事例の利点と倫理的課題
ANNEX 2 – AI USE IMPACT ASSESSMENT FRAMEWORK	附属書2 - AI使用の影響評価フレームワーク
ANNEX 3 – NON DISCRIMINATION REGULATORY FRAMEWORK IN INSURANCE	附属書3 - 保険における非差別的な規制の枠組み
ANNEX 4 – LIST OF ACRONYMS	附属書4 - 頭字語リスト
ANNEX 5 – MEMBERS OF EIOPA’S CONSULTATIVE EXPERT GROUP ON DIGITAL ETHICS IN INSURANCE	附属書5 - 保険におけるデジタル倫理に関するEIOPAの諮問専門家グループのメンバー
GLOSSARY	用語集
REFERENCES	参考文献

■ 参考

●まるちゃんの情報セキュリティ気まぐれ日記

AIガバナンス関係

・2021.02.15 経済産業省の「我が国のAIガバナンスの在り方 ver. 1.0（中間報告書）」に対する経団連等の意見

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

・2020.10.12 欧州議会は「人工知能、ロボットおよび関連技術の倫理的側面の枠組み」を採択しましたね。。。

・2020.03.31 AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生　　 AI 原則は機能するか？―非拘束的原則から普遍的原則への道筋 by 新保史生先生

・2020.03.28 EU Ethics Guidelines for Trustworthy AI（信頼できるAIのためのEU倫理ガイドライン）

AI関係全般

2021.06.22 04:25 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2021.06.21

米国上院議員がデータ保護法案を再提出

こんにちは、丸山満彦です。

米国上院議員のKirsten Gillibrand [wikipedia] さんが連邦政府にデータ保護機関を設置する法案を改訂した上で再提出していますね。。。昨年度にも提出されていたのですが、審議されずに？今年度に再提出となったようです。

米国は民主主義の先進国では珍しくデータ保護機関を持たない国ですね。。。

どうなるでしょうね。。。

● Senate: Kirsten Gillibrand

・2021.06.17 Gillibrand Introduces New And Improved Consumer Watchdog Agency To Give Americans Control Over Their Data

この法案で考えられているデータ保護機関についての説明、、、

The Data Protection Agency explained: The DPA would be an executive agency. The director would be appointed by the president and confirmed by the Senate, serves a 5-year term, and must have knowledge of technology, protection of personal data, civil rights, and law. The agency may investigate, subpoena for testimony or documents, and issue civil investigative demands. It may prescribe rules and issue orders and guidance as is necessary to carry out federal privacy laws. The authority of state agencies and state attorneys general are preserved in the Act. The DPA would have three core missions:	データ保護庁について説明します。 DPAは行政機関となります。DPAは行政機関であり、長官は大統領によって任命され、上院によって承認され、5年間の任期を務め、技術、個人情報保護、市民権、法律に関する知識を有していなければならない。局長は、技術、個人情報保護、市民権、法律に関する知識を有していなければならず、調査、証言や文書の召喚、民事調査の要求を行うことができます。また、連邦政府の個人情報保護法を実施するために必要な規則を定め、命令や指導を行うことができる。州政府機関および州検事総長の権限は、この法律の中で維持されます。 DPAは3つの中核的使命を持ちます。
1. Give Americans control and protection over their own data by authorizing the DPA to create and enforce data protection rules.	1. DPAにデータ保護規則を作成・施行する権限を与えることにより、米国人が自らのデータを管理・保護できるようにする。
The agency would regulate high-risk data practices and the collection, use, and sharing of personal data. It would enforce privacy statutes and rules around data protection, either as authorized by Congress or themselves. It would use a broad range of tools to do so, including civil penalties, injunctive relief, and equitable remedies.	DPAは、リスクの高いデータの取り扱いや、個人データの収集、使用、共有を規制します。DPAは、プライバシーに関する法令やデータ保護に関する規則を、議会の許可を得て、あるいは自ら施行します。その際には、民事罰、差止命令による救済、衡平法による救済など、幅広い手段を用います。
The agency would also take complaints, conduct investigations, and inform the public on data protection matters. So if it seems like a company like Tinder is doing bad things with your data, the Data Protection Agency would have the authority to launch an investigation, share findings, and issue penalties, including with civil action or other appropriate relief.	また、苦情を受け付け、調査を行い、データ保護に関する情報を一般に公開します。つまり、Tinderのような企業が自分のデータを使って悪いことをしていると思われる場合、データ保護庁は調査を開始し、調査結果を共有し、民事訴訟やその他の適切な救済措置を含む罰則を与える権限を持つことになります。
2. Maintain the most innovative, successful tech sector in the world by ensuring fair competition within the digital marketplace.	2. デジタル市場での公正な競争を確保することにより、世界で最も革新的で成功している技術部門を維持する。
The agency’s research unit would analyze and report on data protection and privacy innovation across sectors, developing and providing resources that assess unfair, deceptive, or discriminatory outcomes that result from the use of automated decision systems, such as algorithms.	リサーチユニットは、データ保護とプライバシーに関するイノベーションを分野横断的に分析・報告し、アルゴリズムなどの自動化された意思決定システムの使用に起因する不公正、欺瞞的、差別的な結果を評価するリソースを開発・提供します。
The agency would develop model privacy and data protection standards, guidelines, and policies for use by the private sector to make it easier for businesses, especially small businesses, to comply with privacy and data protection rules and better prepare themselves against threats like ransomware.	企業、特に中小企業がプライバシーやデータ保護のルールを遵守し、ランサムウェアなどの脅威に備えることを容易にするために、民間企業が使用するモデルとなるプライバシーやデータ保護の基準、ガイドライン、ポリシーを策定します。
3. Prepare the American government for the digital age.	3. アメリカ政府のデジタル時代への対応。
The agency would advise Congress on emerging privacy and technology issues, like deepfakes and encryption. It would also represent the United States at international forums regarding data privacy and inform future treaty agreements regarding data.	この機関は、ディープフェイクや暗号化など、新たに発生するプライバシーやテクノロジーの問題について、米国議会に助言します。また、データプライバシーに関する国際的なフォーラムで米国を代表し、データに関する将来の条約合意に情報を提供する。
The Agency would coordinate with and provide leadership to other Federal agencies and State regulators to promote consistent regulatory treatment of personal data.	また、他の連邦機関や州の規制当局と連携し、リーダーシップを発揮することで、個人データの一貫した規制上の取り扱いを促進します。

法案は、

・[PDF]

今日現在では法案はアップされていませんが、、、

● Congress.Gov

・S.2134 - A bill to establish the Data Protection Agency.

2021.06.21 00:00 in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2021.06.20

英国情報コミッショナー公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

こんにちは、丸山満彦です。

英国の情報コミッショナーが公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念についての報告書についてブログで公表されたことを書いていますね。。。

公益（例えば、社会の安全）と個人の権利（例えば、プライバシー）のせめぎ合いはプライバシーに関わらず、色々な場面でありますね。どちらを原則とするかで、社会主義的な思考か民主主義的な思考かということなんでしょうかね。。。それぞれの国や民族等で色々な歴史を経て今にあるので、考え方は一つにまとめるのは難しいかもですね。私は、現在の憲法のもとで育っていますからね。。。民主主義的ですかね。。。

公共の場でカメラで人の顔をスキャンすることは、犯罪者を見つけると言ったような公益に役立つ面もある反面、政府に都合の悪い意見を言った人のアラを探すために使われたり、ストーカーに利用されたり、色々なマイナス面もあります。プライバシーの保護を原則としながら、どういう条件であれば公益目的に利用しても良いのか、そこがポイントなのかもしれませんね。。。

● U.K. Information Commissioner's Office; ICO - blog

・2021.06.18 Information Commissioner’s Opinion addresses privacy concerns on the use of live facial recognition technology in public places

・2021.06.18 [PDF] Information Commissioner’s Opinion: The use of live facial recognition technology in public places

1. Executive Summary	1.エグゼクティブサマリー
1.1 What is facial recognition technology?	1.1 顔認識技術とは？
1.2 What is live facial recognition?	1.2 ライブ顔認識とは？
1.3 Why is biometric data particularly sensitive?	1.3 なぜ生体データは特にセンシティブなのか？
1.4 How is LFR used?	1.4 LFRはどのように使われるのか？
1.5 What are the key data protection issues involved in LFR?	1.5 LFRに関わるデータ保護の主な課題は何ですか？
1.6 What are the requirements of the law?	1.6 法律上の要求事項とは？
1.7 Next steps	1.7 次のステップ
2. Introduction	2.はじめに
2.1 Live facial recognition in public places	2.1 公共の場でのライブ顔認証
2.2 The importance of biometric data	2.2 生体データの重要性
2.3 The Commissioner’s work on LFR	2.3 LFRに関するコミッショナーの取り組み
2.4 Scope of this Opinion	2.4 本意見書の範囲
3. How LFR is used today	3.現在のLFRの使われ方
3.1 ICO analysis and key issues	3.1 ICOの分析と重要課題
3.1.1 Surveillance uses	3.1.1 監視用途
3.1.2 Marketing and advertising uses	3.1.2 マーケティングと広告の用途
3.1.3 Other uses of LFR	3.1.3 LFRのその他の用途
3.1.4 Key data protection issues	3.1.4 データ保護に関する主な問題
3.2 International examples	3.2 国際的な事例
3.3 Public perceptions of LFR	3.3 LFRに対する一般の人々の認識
4. The requirements of data protection law	4.データ保護法の要件
4.1 Why data protection law applies	4.1 データ保護法が適用される理由
4.2 Legal requirements in brief	4.2 法的要求事項の概要
4.3 Purposes for LFR	4.3 LFRの目的
4.4 Lawful basis and special category data	4.4 合法的根拠および特別なカテゴリーのデータ
4.5 Necessity and proportionality	4.5 必要性と妥当性
4.6 Fairness and transparency	4.6 公平性と透明性
4.7 Assessing risks and impacts	4.7 リスクとインパクトの評価
4.8 Other compliance issues	4.8 その他のコンプライアンス問題
4.9 Surveillance and direct marketing considerations	4.9 監視およびダイレクトマーケティングに関する考察
4.9.1 Watchlists	4.9.1 ウォッチリスト
4.9.2 Collaboration with law enforcement	4.9.2 法執行機関との連携
4.9.3 Compliance issues with direct marketing	4.9.3 ダイレクトマーケティングにおけるコンプライアンスの問題
5. Conclusions and next steps	5.結論と次のステップ
5.1 Key requirements for controllers	5.1 コントローラの主な要件
5.2 Recommendations to industry	5.2 産業界への提言
5.3 The Commissioner’s next steps	5.3 コミッショナーの次のステップ
Annex: Expectations on data protection impact assessments for live facial recognition in public places	附属書：公共の場でのライブ顔認識に関するデータ保護影響評価への期待
1. Introduction	1.はじめに
2. The importance of robust evaluation	2.ロバストな評価の重要性
3. Data protection impact assessments for LFR	3.LFRのデータ保護影響評価

・[DOCX]　仮訳

過去に法執行機関に関して公表されたもの

・2019.10.31 [PDF] Information Commissioner’s Opinion: The use of live facial recognition technology by law enforcement in public places

・[DOCX] 仮訳

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.17 米国上院・下院　顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.03 中国意見募集顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC（連邦取引委員会）のブログ会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 （人工知能 AI）ブラックボックスの検証：アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2005年

・2005.08.11 外務省　IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

2021.06.20 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 危機管理 / 事業継続, in クラウド, in IoT, in AI/Deep Learning | Permalink | Comments (0)
Tweet

NATO ブリュッセル・サミット・コミュニケ

こんにちは、丸山満彦です。

G7と近いタイミングでNATOのサミットがブリュッセルで開催されていましたね。当然にサイバーの話題もあるので、記載しておきます。。。

● North Atlantic Treaty Organization; NATO

・2021.06.14 Brussels Summit Communiqué

Issued by the Heads of State and Government participating in the meeting of the North Atlantic Council in Brussels 14 June 2021

サイバー（サイバー攻撃、偽情報等）関連の部分は、、、32で主に説明されていますが、

全体の概要(3)、司令部にサイバースペース・オペレーション・センターが初期運用能力を獲得したとの説明(24)、EUとの連携(65)、今後の投資(77)でも説明されています。

ロシアの説明部分 (12) 、中国の説明部分(55)、エネルギー安全保障の部分(59)でも触れられています。

32. Cyber threats to the security of the Alliance are complex, destructive, coercive, and becoming ever more frequent. This has been recently illustrated by ransomware incidents and other malicious cyber activity targeting our critical infrastructure and democratic institutions, which might have systemic effects and cause significant harm. To face this evolving challenge, we have today endorsed NATO’s Comprehensive Cyber Defence Policy, which will support NATO’s three core tasks and overall deterrence and defence posture, and further enhance our resilience. Reaffirming NATO’s defensive mandate, the Alliance is determined to employ the full range of capabilities at all times to actively deter, defend against, and counter the full spectrum of cyber threats, including those conducted as part of hybrid campaigns, in accordance with international law. We reaffirm that a decision as to when a cyber attack would lead to the invocation of Article 5 would be taken by the North Atlantic Council on a case-by-case basis. Allies recognise that the impact of significant malicious cumulative cyber activities might, in certain circumstances, be considered as amounting to an armed attack. We remain committed to act in accordance with international law, including the UN Charter, international humanitarian law, and international human rights law as applicable. We will promote a free, open, peaceful, and secure cyberspace, and further pursue efforts to enhance stability and reduce the risk of conflict by supporting international law and voluntary norms of responsible state behaviour in cyberspace. We will make greater use of NATO as a platform for political consultation among Allies, sharing concerns about malicious cyber activities, and exchanging national approaches and responses, as well as considering possible collective responses. If necessary, we will impose costs on those who harm us. Our response need not be restricted to the cyber domain. We will enhance our situational awareness to support NATO’s decision-making. Resilience and the ability to detect, prevent, mitigate, and respond to vulnerabilities and intrusions is critical, as demonstrated by malicious cyber actors’ exploitation of the COVID-19 pandemic. NATO as an organisation will therefore continue to adapt and improve its cyber defences. Five years since the adoption of our Cyber Defence Pledge, we remain committed to uphold strong national cyber defences as a matter of priority. We continue to implement cyberspace as a domain of operations. We will enhance the effective integration of sovereign cyber effects, provided voluntarily by Allies, into collective defence and Alliance operations and missions, in the framework of strong political oversight. We will further seek to develop mutually beneficial and effective partnerships as appropriate, including with partner countries, international organisations, industry, and academia, furthering our efforts to enhance international stability in cyberspace. We welcome the recent opening of the NATO Communications and Information Academy in Portugal.

32. 同盟国の安全保障に対するサイバー脅威は、複雑で破壊的かつ強圧的であり、その頻度はますます高まっています。最近では、ランサムウェア事件や、我々の重要なインフラや民主主義機関を標的とした悪質なサイバー活動がこれを物語っており、これらはシステム的な影響を及ぼし、重大な被害をもたらす可能性があります。このような進化する課題に立ち向かうため、我々は本日、NATOの包括的なサイバー防衛政策を承認しました。この政策は、NATOの3つの中核的課題と全体的な抑止力および防衛態勢を支え、我々の回復力をさらに高めるものです。NATOの防衛任務を再確認し、同盟は、国際法に従い、ハイブリッド・キャンペーンの一環として行われるものも含め、あらゆる種類のサイバー脅威を積極的に抑止し、防御し、対抗するために、常にあらゆる能力を活用する決意です。我々は、サイバー攻撃がどのような場合に第5条の発動につながるかについての決定は、北大西洋理事会がケースバイケースで行うことを再確認しました。連合国は、重大な悪意のある累積的なサイバー活動の影響が、特定の状況下では武力攻撃に相当するとみなされる可能性があることを認識しています。我々は、国連憲章、国際人道法、国際人権法（該当する場合）などの国際法に則って行動することを引き続き約束します。我々は、自由で開かれた、平和で安全なサイバースペースを促進し、サイバースペースにおける国家の責任ある行動に関する国際法および自発的な規範を支持することにより、安定性を高め、紛争のリスクを低減するための努力をさらに追求します。我々は、同盟国間の政治的協議のためのプラットフォームとして、NATOをより一層活用し、悪意のあるサイバー活動に関する懸念を共有し、各国のアプローチと対応を交換するとともに、可能な集団的対応を検討します。必要であれば、我々に危害を加える者にコストを課します。我々の対応は、サイバー領域に限定される必要はありません。NATOの意思決定をサポートするために、状況認識を強化します。COVID-19パンデミックにおける悪意のあるサイバーアクターの悪用に見られるように、脆弱性や侵入を検知、予防、緩和、対応する能力、すなわちレジリエンスは極めて重要です。そのため、NATOは組織として、そのサイバー防衛力を適応させ、改善していきます。サイバー防衛誓約の採択から5年が経過しましたが、私たちは引き続き、最優先事項として各国の強固なサイバー防衛を維持することを約束します。私たちは、サイバースペースを作戦の領域として実施し続けます。我々は、強力な政治的監視の枠組みの中で、同盟国が自発的に提供する主権的なサイバー効果を、集団防衛や同盟国の作戦や任務に効果的に統合することを強化します。我々はさらに、パートナー国、国際機関、産業界、学界を含め、必要に応じて相互に有益で効果的なパートナーシップを構築することを目指し、サイバー空間における国際的な安定性を高めるための我々の努力を促進します。我々は、ポルトガルにNATO通信情報アカデミーが最近開設されたことを歓迎します。

それ以外で若干出てくるものも含めて、、、

全体概要
3. We face multifaceted threats, systemic competition from assertive and authoritarian powers, as well as growing security challenges to our countries and our citizens from all strategic directions. Russia’s aggressive actions constitute a threat to Euro-Atlantic security; terrorism in all its forms and manifestations remains a persistent threat to us all. State and non-state actors challenge the rules-based international order and seek to undermine democracy across the globe. Instability beyond our borders is also contributing to irregular migration and human trafficking. China’s growing influence and international policies can present challenges that we need to address together as an Alliance. We will engage China with a view to defending the security interests of the Alliance. We are increasingly confronted by cyber, hybrid, and other asymmetric threats, including disinformation campaigns, and by the malicious use of ever-more sophisticated emerging and disruptive technologies. Rapid advances in the space domain are affecting our security. The proliferation of weapons of mass destruction and the erosion of the arms control architecture also undermine our collective security. Climate change is a threat multiplier that impacts Alliance security. The greatest responsibility of the Alliance is to protect and defend our territories and our populations against attack, and we will address all threats and challenges which affect Euro-Atlantic security.	3. 我々は、多面的な脅威、自己主張の強い大国や権威主義的な大国との組織的な競争、さらには、あらゆる戦略的方向からの我々の国と国民に対する安全保障上の課題の増大に直面しています。ロシアの攻撃的な行動は、欧州・大西洋の安全保障に対する脅威となっています。また、あらゆる形態や症状のテロリズムは、私たち全員にとって根強い脅威となっています。国家および非国家のアクターは、ルールに基づく国際秩序に挑戦し、世界中の民主主義を損なおうとしています。また、国境を越えた不安定さは、非正規移民や人身売買の原因にもなっています。中国の影響力と国際政策の拡大は、我々が同盟国として共に取り組むべき課題を提示します。我々は、同盟の安全保障上の利益を守るという観点から、中国に関与していきます。我々は、偽情報キャンペーンを含むサイバー、ハイブリッド、その他の非対称的な脅威や、これまで以上に洗練された新興技術や破壊的技術の悪意ある利用にますます直面しています。また、宇宙分野の急速な発展は、我々の安全保障に影響を与えています。また、大量破壊兵器の拡散や軍備管理体制の崩壊も、我々の集団安全保障を弱体化させています。気候変動は、同盟国の安全保障に影響を与える脅威の増長要因です。同盟の最大の責任は、我々の領土と住民を攻撃から守り抜くことであり、我々は、欧州大西洋の安全保障に影響を与えるすべての脅威と課題に対処します。
ロシア
12. In addition to its military activities, Russia has also intensified its hybrid actions against NATO Allies and partners, including through proxies. This includes attempted interference in Allied elections and democratic processes; political and economic pressure and intimidation; widespread disinformation campaigns; malicious cyber activities; and turning a blind eye to cyber criminals operating from its territory, including those who target and disrupt critical infrastructure in NATO countries. It also includes illegal and destructive activities by Russian Intelligence Services on Allied territory, some of which have claimed lives of citizens and caused widespread material damage. We stand in full solidarity with the Czech Republic and other Allies that have been affected in this way.	12. 軍事活動に加えて、ロシアは、NATOの同盟国やパートナーに対して、プロキシを通じたものも含め、ハイブリッドな行動を強めています。これには、連合国の選挙や民主主義プロセスへの干渉の試み、政治的・経済的な圧力や脅迫、広範な偽情報キャンペーン、悪意のあるサイバー活動、NATO諸国の重要インフラを標的にしたり破壊したりするサイバー犯罪者など、自国の領土から活動するサイバー犯罪者への見て見ぬふりなどが含まれます。また、ロシア情報機関による連合国領内での違法かつ破壊的な活動も含まれ、その中には市民の命を奪い、広範な物的損害をもたらしたものもあります。我々は、このような被害を受けたチェコ共和国およびその他の連合国と完全に連帯します。
NATO司令部
24. We will ensure that the NATO Command Structure is robust, resilient, and able to undertake all elements of effective command and control for simultaneous challenges across all domains and the full spectrum of missions, including large-scale operations for collective defence. Our two new commands, Joint Force Command Norfolk headquarters and Joint Support and Enabling Command, as well as the Cyberspace Operations Centre, have achieved Initial Operational Capability. Allied contributions to command and control through the NATO Force Structure and national headquarters as well as their strengthened relationship with the NATO Command Structure, including by providing host nation support, remain essential to improve the Alliance’s regional understanding, vigilance, and ability to rapidly respond to any threat from any direction.	24. 私たちは、NATOの司令部が、堅牢で弾力性に富み、あらゆる領域で同時に発生する課題や、集団防衛のための大規模作戦を含むあらゆる任務に対して、効果的な指揮統制のあらゆる要素を遂行できるようにします。新しい2つの司令部、統合軍司令部ノーフォーク司令部と統合支援・実現司令部、そしてサイバースペース・オペレーション・センターは、初期運用能力を達成しました。NATO軍構造と各国司令部を通じた連合国の指揮統制への貢献、およびホスト国支援を含めたNATO軍構造との関係強化は、同盟の地域理解、警戒態勢、あらゆる方向からの脅威に迅速に対応する能力を向上させるために、引き続き不可欠です。
中国
55. China's stated ambitions and assertive behaviour present systemic challenges to the rules-based international order and to areas relevant to Alliance security. We are concerned by those coercive policies which stand in contrast to the fundamental values enshrined in the Washington Treaty. China is rapidly expanding its nuclear arsenal with more warheads and a larger number of sophisticated delivery systems to establish a nuclear triad. It is opaque in implementing its military modernisation and its publicly declared military-civil fusion strategy. It is also cooperating militarily with Russia, including through participation in Russian exercises in the Euro-Atlantic area. We remain concerned with China’s frequent lack of transparency and use of disinformation. We call on China to uphold its international commitments and to act responsibly in the international system, including in the space, cyber, and maritime domains, in keeping with its role as a major power.	55. 中国の明言された野心と自己主張の強い行動は、ルールに基づく国際秩序と同盟国の安全保障に関連する分野に体系的な課題を提示しています。我々は、ワシントン条約に明記されている基本的価値観とは対照的な強圧的な政策に懸念を抱いています。中国は、核三国志を確立するために、より多くの弾頭とより多くの洗練された運搬システムを用いて、核兵器を急速に拡大しています。中国は、軍事的近代化や、公に宣言した軍民融合戦略の実施については不透明です。また、ユーロ・アトランティック地域でのロシアの演習に参加するなど、ロシアと軍事的に協力しています。我々は、中国がしばしば透明性を欠き、偽情報を使用していることに懸念を抱いています。我々は、中国に対し、国際的なコミットメントを守り、大国としての役割に沿って、宇宙、サイバー、海洋の各領域を含む国際システムにおいて責任ある行動をとるよう求めます。
エネルギー安全保障
59. Energy security plays an important role in our common security. A stable and reliable energy supply, the diversification of routes, suppliers, and energy resources, including the integration of sustainable energy sources, and the interconnectivity of energy networks, are all of critical importance and increase our resilience against political and economic pressure. It is essential to ensure that the members of the Alliance are not vulnerable to political or coercive manipulation of energy, which constitutes a potential threat. Allies will therefore continue to seek further diversification of their energy supplies, in line with their needs and conditions. While these issues are primarily the responsibility of national authorities, energy developments can have significant political and security implications for Allies and also affect our partners. Consequently, we will continue to enhance our strategic awareness, including through regular Allied consultations and intelligence sharing, and will strengthen our links with relevant international organisations. We will further develop NATO’s capacity to support national authorities in protecting critical infrastructure, including against malicious hybrid and cyber activity. We will ensure reliable energy supplies to our military forces.	59. エネルギー安全保障は、我々の共通の安全保障において重要な役割を果たします。安定した信頼できるエネルギー供給、持続可能なエネルギー源の統合を含むルート、供給者、エネルギー資源の多様化、エネルギーネットワークの相互接続性は、いずれも極めて重要であり、政治的・経済的圧力に対する我々の回復力を高めるものです。同盟国のメンバーが、潜在的な脅威を構成するエネルギーの政治的または強制的な操作に対して脆弱にならないようにすることが不可欠です。したがって、同盟国は、それぞれのニーズや状況に応じて、エネルギー供給のさらなる多様化を求め続けます。これらの問題は主に各国当局の責任であるが、エネルギー開発は同盟国にとって政治的・安全保障的に重要な意味を持ち、パートナーにも影響を及ぼす可能性があります。そのため、我々は、定期的な連合国間の協議や情報共有などを通じて、戦略的認識を高めていくとともに、関連する国際機関との連携を強化していきます。私たちは、悪意あるハイブリッドやサイバー活動からの保護を含め、重要なインフラを保護するために国家当局を支援するNATOの能力をさらに高めます。我々は、我々の軍事力への信頼できるエネルギー供給を確保します。
EUとの協力
65. NATO-EU cooperation has reached unprecedented levels, with tangible results in countering hybrid and cyber threats, strategic communication, operational cooperation including maritime issues, military mobility, defence capabilities, defence industry and research, exercises, counter-terrorism, and defence and security capacity building. Political dialogue between NATO and the EU remains essential to advance this cooperation. We will continue to develop and deepen our cooperation by fully implementing the common set of 74 proposals, which contribute to the coherence and complementarity of our efforts. The current strategic environment and the COVID pandemic underscore the importance of NATO-EU cooperation in the face of current and evolving security challenges, in particular in addressing resilience issues, emerging and disruptive technologies, the security implications of climate change, disinformation, and the growing geostrategic competition. The ongoing distinct strategic processes within NATO and the EU offer a unique opportunity to intensify further our consultations and cooperation to enhance the security of our citizens and promote peace and stability in the Euro-Atlantic area and beyond, while reaffirming that NATO remains the transatlantic framework for strong collective defence and the essential forum for security consultations and decisions among Allies. We value the Secretary General’s continued close cooperation with the President of the European Council, the President of the European Commission, and the High Representative, on all aspects of the NATO-EU strategic partnership.	65. NATOとEUの協力は前例のないレベルに達しており、ハイブリッドやサイバー脅威への対策、戦略的コミュニケーション、海洋問題を含む作戦協力、軍事的機動力、防衛力、防衛産業・研究、演習、テロ対策、防衛・安全保障能力構築などで具体的な成果を上げています。この協力を進めるためには、NATOとEUの政治的対話が引き続き不可欠です。我々は、我々の努力の一貫性と補完性に寄与する74の共通提案を完全に実施することにより、引き続き協力を発展・深化させていきます。現在の戦略的環境とCOVIDパンデミックは、特にレジリエンスの問題、新たな破壊的技術、気候変動の安全保障上の影響、偽情報、地政学的競争の激化など、現在の進化する安全保障上の課題に直面しているNATOとEUの協力の重要性を強調するものです。NATOとEUで進行中の明確な戦略プロセスは、NATOが強力な集団防衛のための大西洋横断的な枠組みであり、同盟国間の安全保障協議と決定のための不可欠なフォーラムであり続けることを再確認しつつ、我々の市民の安全を強化し、欧州大西洋地域およびそれを超えた地域の平和と安定を促進するために、協議と協力をさらに強化するためのユニークな機会を提供しています。我々は、NATOとEUの戦略的パートナーシップのあらゆる側面について、事務総長が欧州理事会議長、欧州委員会委員長、上級代表と引き続き緊密に協力することを評価します。
近代化投資
77. NATO is an Alliance that constantly modernises and adapts to new threats and challenges. NATO is also adapting as an institution. To enhance our political-military coherence and situational awareness, we have restructured the activities of the NATO Headquarters, and established a Chief Information Officer function. We welcome and will continue progress towards an optimised NATO intelligence enterprise, better postured to provide timely and relevant support to Alliance operations and decision-making on contemporary and future challenges. We will also further strengthen the security of our cyber and communications systems and continue to protect the Alliance against espionage attempts. We will continuously pursue greater coherence, improved effectiveness, and new efficiencies, in support of the flexibility and responsiveness we need as an Alliance.	77. NATOは、常に近代化し、新たな脅威や課題に適応していく同盟です。NATOはまた、制度としても適応しています。政治的・軍事的な一貫性と状況認識を強化するために、我々はNATO本部の活動を再構築し、最高情報責任者の機能を確立しました。私たちは、最適化されたNATO情報機関に向けた進展を歓迎し、今後も継続していきます。この情報機関は、現代および将来の課題に関する同盟の活動や意思決定に対して、よりタイムリーで適切な支援を提供する態勢を整えています。また、NATOのサイバー・通信システムのセキュリティをさらに強化し、スパイ行為から同盟を守り続けます。我々は、同盟として必要な柔軟性と即応性を支えるために、より大きな一貫性、有効性の向上、新たな効率性を継続的に追求します。

・[DOCX] 全文仮訳（対訳）

高橋弁護士のブログが参考になりますね。。。

参考

● ITリサーチ・アート - blog

・2021.06.20 防衛におけるサイバー/宇宙-NATOのブリュッセル・コミュニケ

2021.06.20 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2021.06.19

外務省サイバー行動に適用される国際法に関する日本政府の基本的な立場

こんにちは、丸山満彦です。

外務省が「サイバー行動に適用される国際法に関する日本政府の基本的な立場」を公表していますね。。。

● 外務省 - 外交政策 - 日本の安全保障と国際社会の平和と安定 - サイバーセキュリティ

・日本のサイバー分野での外交　多国間会議等

・2021.06.16 外務省サイバー行動に適用される国際法に関する日本政府の基本的な立場

・2016.05.28 [PDF] サイバー行動に適用される国際法に関する日本政府の基本的な立場

目次的なもの...

１．位置づけと目的

２．サイバー行動に適用される国際法

（１）既存の国際法及び国連憲章

（２）主権侵害と不干渉原則

（３）国家責任
　（ａ）帰属
　（ｂ）国際違法行為を行った国家の義務
　（ｃ）対抗措置・緊急避難

（４）相当の注意

（５）紛争の平和的解決・武力行使の禁止・自衛権
　（ａ）紛争の平和的解決
　（ｂ）武力行使の禁止
　（ｃ）自衛権

（６）国際人道法

（７）国際人権法

[DOCX] 目次付きでワードにしたもの

-----

高橋弁護士のブログが大変参考になると思います。

● ITリサーチ・アート - ブログ

・2021.06.07 国連GGE2020-21報告書速報を分析する-タリンマニュアルを越えているのか

2021.06.19 06:56 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

NISTIR 8320A ハードウェア対応セキュリティ：コンテナ・プラットフォーム・セキュリティ・プロトタイプ

こんにちは、丸山満彦です。

NISTが、NISTIR 8320A ハードウェア対応セキュリティ：コンテナ・プラットフォーム・セキュリティ・プロトタイプの最終版を公表していますね。。。

● NIST- ITL

・2021.06.17 NISTIR 8320A Hardware-Enabled Security: Container Platform Security Prototype

NISTIR 8320A Hardware-Enabled Security: Container Platform Security Prototype	NISTIR 8320A ハードウェア対応セキュリティ：コンテナ・プラットフォーム・セキュリティ・プロトタイプ
Abstract	概要
In today’s cloud data centers and edge computing, attack surfaces have significantly increased, hacking has become industrialized, and most security control implementations are not coherent or consistent. The foundation of any data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform represents the first layer for any layered security approach and provides the initial protections to help ensure that higher-layer security controls can be trusted. This report explains an approach based on hardware-enabled security techniques and technologies for safeguarding container deployments in multi-tenant cloud environments. It also describes a proof-of-concept implementation of the approach—a prototype—that is intended to be a blueprint or template for the general security community.	今日のクラウド・データセンターやエッジ・コンピューティングでは、攻撃対象が大幅に増加し、サイバー攻撃が産業化しており、ほとんどのセキュリティ制御の実装には一貫性や整合性がありません。データセンターやエッジコンピューティングのセキュリティ戦略の基本は、データやワークロードが実行され、アクセスされるプラットフォームを保護することです。物理プラットフォームは、階層化されたセキュリティ手法の最初の層となり、上位層のセキュリティ制御の信頼性を確保するための最初の保護機能を提供します。このレポートでは、マルチテナント型クラウド環境におけるコンテナの展開を保護するための、ハードウェア対応のセキュリティ技術とテクノロジーに基づくアプローチについて説明します。また、このアプローチの概念実証の実装（プロトタイプ）についても説明しており、一般的なセキュリティコミュニティのための青写真またはテンプレートとなることを目的としています。

・[PDF] NISTIR 8320A

1 Introduction	1 はじめに
1.1 Purpose and Scope	1.1 目的と範囲
1.2 Terminology	1.2 用語
1.3 Document Structure	1.3 ドキュメントの構造
2 Prototype Implementation	2 プロトタイプの実装
2.1 Objective	2.1 目的
2.2 Goals	2.2 目標
2.2.1 Stage 0: Platform attestation and measured worker node launch	2.2.1 ステージ 0：プラットフォームの認証と計測されたワーカーノードの起動
2.2.2 Stage 1: Trusted placement of workloads	2.2.2 ステージ 1：ワークロードの信頼できる配置
2.2.3 Stage 2: Asset tagging and trusted location	2.2.3 ステージ 2：資産のタグ付けと信頼できる場所
3 Prototyping Stage 0	3 プロトタイピング段階0
3.1 Solution Overview	3.1 ソリューションの概要
3.2 Solution Architecture	3.2 ソリューション・アーキテクチャ
4 Prototyping Stage 1	4 プロトタイピング段階1
4.1 Solution Overview	4.1 ソリューションの概要
4.2 Solution Architecture	4.2 ソリューション・アーキテクチャ
5 Prototyping Stage 2	5 プロトタイピング段階2
5.1 Solution Overview	5.1 ソリューションの概要
References	参考文献
Appendix A— Hardware Architecture and Prerequisites	附属書 A ハードウェアアーキテクチャと前提条件
A.1 High-Level Implementation Architecture	A.1 ハイレベルの実装アーキテクチャ
A.2 Intel Trusted Execution Technology (Intel TXT) & Trusted Platform Module (TPM)	A.2 インテルトラステッド実行技術 (Intel TXT) & トラステッド・プラットフォーム・モジュール (TPM)
A.3 Attestation	A.3 認証
Appendix B— Platform Implementation: AMI TruE	附属書 B プラットフォームの実装：AMI TruE
B.1 Solution Architecture	B.1 ソリューション・アーキテクチャ
B.2 Hardware Description	B.2 ハードウェアの説明
B.3 AMI TruE Installation and Configuration	B.3 AMI TruE のインストールと構成
B.3.1 Installing AMI TruE Trust Manager	B.3.1 AMI TruE Trust Manager のインストール
B.3.2 Installing AMI TruE Attestation Server	B.3.2 AMI TruE 認証サーバーのインストール
B.3.3 Configuring Firewall for AMI True	B.3.3 AMI True ファイアウォールの設定
B.3.4 Configuring Device Access Keys	B.3.4 デバイスアクセスキーの設定
B.3.5 Configuring Discovery Range and Manageability Range	B.3.5 発見範囲と管理範囲の設定
B.4 Trusted Cloud Cluster Installation and Configuration	B.4 トラステッドクラウドクラスタのインストールと構成
B.4.1 Provisioning TruE Agent Remotely	B.4.1 TruE エージェントのリモート・プロビジョニング
B.4.2 Provisioning TruE Agent Manually	B.4.2 TruE エージェントの手動プロビジョニング
B.5 Using AMI TruE	B.5 AMI TruEの使用
B.5.1 Monitoring Trust Status using AMI TruE	B.5.1 AMI TruE を使用したトラスト・ステータスの監視
B.5.2 Generating Trust Reports	B.5.2 トラストレポートの生成
B.5.3 Tagging Platforms Using AMI TruE	B.5.3 AMI TruE を使用したプラットフォームのタグ付け
B.5.4 Receiving Trust Event Alert Notification	B.5.4 トラストイベントアラート通知の受信
B.5.5 Using AMI TruE for Remediation	B.5.5 リメディエーションのための AMI TruE の使用
Appendix C— Platform Implementation: Kubernetes	附属書 C- プラットフォームの実装：Kubernetes
C.1 Prototype Architecture	C.1 プロトタイプアーキテクチャ
C.2 Hardware Description	C.2 ハードウェアの説明
C.3 Kubernetes Installation and Configuration	C.3 Kubernetesのインストールと設定
C.3.1 Kubernetes Controller Node Configuration	C.3.1 Kubernetesコントローラーノードの設定
C.3.2 Kubernetes Worker Configuration	C.3.2 Kubernetes Workerの設定
C.3.3 Kubernetes Orchestration	C.3.3 Kubernetesオーケストレーション
Appendix D— Supporting NIST SP 800-53 Security Controls	附属書 D NIST SP 800-53 セキュリティコントロールのサポート
Appendix E— Cybersecurity Framework Subcategory Mappings	附属書 E サイバースセキュリティフレームワークのサブカテゴリマッピング
Appendix F— Acronyms and Other Abbreviations	附属書 F 頭字語およびその他の略語

参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ：クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2020.12.13 NISTIR 8320A　マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

2021.06.19 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド | Permalink | Comments (0)
Tweet

2021.06.18

スマートなパスワードクラッキングのためのオープンソースインテリジェンス

こんにちは、丸山満彦です。

スマートなパスワードクラッキングのためのオープンソースインテリジェンスの論文があったので共有です。。。

3. パスワードの分析

3.1. パスワードの傾向
3.2. パスワードの強度
3.3. パスワードクラッキング技術

のあたりは面白いかもですね。。。

パスワードをこれからも使い続けるのか？という話ではありますが、、、

● Science Direct

・2020.12 A survey exploring open source Intelligence for smarter password cracking by AikateriniKanta^a^b IwenCoisel^a MarkScanlon^b

↑のページがHTMLで文書が書いているので読みやすいかもですね。PDF↓もありますが、、、

・[PDF]

A survey exploring open source Intelligence for smarter password cracking	よりスマートなパスワード・クラッキングのためのオープンソース・インテリジェンスの調査
Abstract	概要
Keywords	キーワード
1. Introduction	1. はじめに
2. Law enforcement practices	2. 法執行実務
2.1. Digital and forensic investigation	2.1. デジタルとフォレンジック調査
2.2. Challenges in digital forensics	2.2. デジタル・フォレンジックの課題
2.2.1. Technical challenges	2.2.1. 技術的な課題
2.2.2. Legal challenges	2.2.2. 法的課題
2.2.3. Resource challenges	2.2.3. リソースに関する課題
3. Password analysis	3. パスワードの分析
3.1. Passwords tendencies	3.1. パスワードの傾向
3.2. Password strength	3.2. パスワードの強度
3.3. Password cracking techniques	3.3. パスワードクラッキング技術
4. Evolution of Open Source Intelligence	4. オープンソースインテリジェンスの進化
4.1. Types/classifications of OSINT	4.1. OSINTの種類/分類
4.1.1. HUMINT + social engineering	4.1.1. HUMINT + ソーシャルエンジニアリング
4.1.2. SOCMINT	4.1.2. SOCMINT
4.1.3. Crowdsourcing	4.1.3. クラウドソーシング
4.2. How can OSINT be useful for law enforcement/OSINT in a L.E. Context	4.2. OSINTは法執行機関にどのように役立つのか／法執行機関のコンテキストにおけるOSINT
4.2.1. Social and media monitoring	4.2.1. ソーシャル・メディア・モニタリング
4.2.2. Crowdsourcing contributions	4.2.2. クラウドソーシングによる貢献
4.2.3. Digital forensic intelligence	4.2.3. デジタルフォレンジックのインテリジェンス
4.2.4. OSINT tools: a non-exhaustive list	4.2.4. OSINTツール：非網羅的リスト
4.2.5. Legal and ethical considerations	4.2.5. 法的および倫理的な検討事項
5. Concluding remarks	5. まとめの言葉
5.1. Future directions	5.1. 今後の方向性
References	参考文献

2021.06.18 16:24 in 情報セキュリティ / サイバーセキュリティ, in フォレンジック | Permalink | Comments (0)
Tweet

Cloud Security Alliance 「Salesforce向けクリティカルコントロールの実装」を公表

こんにちは、丸山満彦です。

Cloud Security Alliance が「Salesforce向けクリティカルコントロールの実装」を公表していますね。。。今後、クラウドの活用がますます増えていくと思いますのでSalesforceを活用している企業は確認した方が良いかもですね。。。

20のコントロールについて、Salesforce等のサイトへのリファレンスがありますね。。。

● Cloud Security Alliance: CSA

・2021.06.15 Critical Controls Implementation for Salesforce

Critical Controls Implementation for Salesforce	Salesforce向けクリティカルコンロロールの実装
The Salesforce Platform can be a valuable tool for organizations to build and test applications. However, certain security changes are needed when an organization deploys Salesforce in the cloud. This whitepaper covers 20 critical controls that will help an organization determine what those necessary changes should be. These controls map to CSA’s overarching Top 20 Critical Controls for Cloud Enterprise Resource Planning Customers.	Salesforce プラットフォームは、組織がアプリケーションを構築してテストするための貴重なツールとなります。しかし、組織がSalesforceをクラウドで展開する際には、特定のセキュリティ上の変更が必要となります。このホワイトペーパーでは、そのような必要な変更が何であるかを判断するのに役立つ20の重要なコントロールを取り上げています。これらの対策は、CSAが包括的にまとめた「クラウド型基幹業務システムの顧客に対する重要な対策トップ20」に対応しています。
Please note that this is a reference document whose purpose is to promote best practices for cloud deployments of the Salesforce Platform. It does not replace Salesforce's documentation and specific instructions. Specifically, this guide is to be used as part of the Enterprise Resource Planning Working Group's ongoing dialogue.	この文書は、Salesforce Platform のクラウド展開におけるベストプラクティスを促進することを目的とした参考資料です。この文書は、Salesforce の文書や具体的な指示に代わるものではありません。この文書は、エンタープライズリソースプランニングワーキンググループの継続的な対話の一環として使用できます。
Key Takeaways:	重要なポイント
・The rationale for 20 critical controls for the Salesforce Platform, including: secure authentication, user accounts management, segregation of duties, change management, secure integrations and API, continuous monitoring, data encryption, continuous compliance, and more	・Salesforce Platform における 20 の重要な統制（安全な認証、ユーザアカウント管理、職務分離、変更管理、安全な統合と API、継続的な監視、データの暗号化、継続的なコンプライアンスなど）の根拠。
・The specific requirements and steps needed to implement the 20 critical controls	・20の重要な統制を実施するために必要な具体的な要件と手順
Who It’s For: New adopters and existing customers of Salesforce who want to achieve a baseline of security.	誰が対象なのか：Salesforce の新規導入者および既存のお客様で、基本的なセキュリティレベルを達成したい方。

・[PDF] Critical Controls Implementation for Salesforce

Helping Organizations Securely Migrate to Salesforce Applications in the Cloud

Introduction	はじめに
How To Use This Document	このドキュメントの使用方法
Controls Implementation	コントロールの実装
USR01 - Secure Authentication	USR01 - 安全な認証
USR02 - User Accounts Management	USR02 - ユーザアカウント管理
USR03 - Role-Based Access Control	USR03 - 役割ベースのアクセス制御
USR04 - Emergency Access	USR04 - 緊急時のアクセス
USR05 - Segregation of Duties	USR05 - 職務権限の分離
USR06 - Secure User Provisioning/Deprovisioning	USR06 - セキュアなユーザプロビジョニング／デプロビジョニング
USR07 - Accounts Security	USR07 - アカウントのセキュリティ
APP01 - Secure Landscape	APP01 - 安全な環境
APP02 - Secure Baseline Configurations	APP02 - 安全なベースライン設定
APP03 - Security Vulnerabilities	APP03 - セキュリティの脆弱性
APP04 - Secure Communications	APP04 - 安全な通信
APP05 - Change Management Controls	APP05 - 変更管理コントロール
APP06 - Secure Extensions	APP06 - 安全な拡張機能
INT01 - Secure Integrations and Application Programming Interface (API)	INT01 - 安全な統合とアプリケーション・プログラミング・インターフェース (API)
DAT01 - Continuous Monitoring	DAT01 - 継続的モニタリング
DAT02 - Data Separation	DAT02 - データの分離
DAT03 - Data Encryption	DAT03 - データの暗号化
BUS01 - Inventory of Business Assets, Data, and Processes	BUS01 - ビジネス資産、データ、およびプロセスのインベントリ
BUS02 - Business Process Controls	BUS02 - ビジネス・プロセス・コントロール
BUS03 - Continuous Compliance	BUS03 - 継続的なコンプライアンス

参考

・2019.06.10 Top 20 Critical Controls for Cloud ERP Customers

Working Group: Enterprise Resource Planning

This document aims to be a guide for assessing and prioritizing the most critical controls that organizations should take into account when trying to secure their business-critical applications in the cloud. The document also contains an overview of cloud ERP security, control details and associated threats and risks.

2021.06.18 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド | Permalink | Comments (0)
Tweet

2021.06.17

NISTIR 8335 (Draft) 公共安全機関 (PSO) のためのIDaaS

こんにちは、丸山満彦です。

NISTがNISTIR 8335 (Draft) 公共安全機関のためのIDaaS (Identity as a Seervece) を公表し、意見募集をしていますね。。。

● NIST - ITL

・2021.06.16 NISTIR 8335 (Draft) Identity as a Service for Public Safety Organizations

Announcement	発表
Identity as a service (IDaaS) is when a company offers identity, credential, and access management (ICAM) services to customers through a software-as-a-service (SaaS) cloud-service model. Public safety organizations (PSOs) could potentially reduce costs and adopt new standards and authenticators more easily by using IDaaS to provide authentication services for their own applications. This would allow PSOs to offload some or most of their authentication responsibilities to the IDaaS provider.	IDaaS（Identity as a Service）とは、企業がSaaS（Software-as-a-Service）のクラウドサービスモデルを通じて、アイデンティティ、クレデンシャル、およびアクセス管理（ICAM）のサービスを顧客に提供することです。公共安全機関（PSO）は、IDaaSを利用して自社のアプリケーションに認証サービスを提供することで、コストを削減し、新しい規格や認証機関をより簡単に導入できる可能性があります。これにより、PSO は、認証に関する責任の一部または大部分を IDaaS プロバイダに委ねることができます。
This report informs PSOs about IDaaS and how they can benefit from it. It also lists questions that PSOs can ask IDaaS providers when evaluating their services to ensure the PSOs’ authentication needs are met and the risk associated with authentication is mitigated properly. PSOs considering IDaaS usage are encouraged to use this NISTIR. This report was developed in joint partnership between the National Cybersecurity Center of Excellence (NCCoE) and the Public Safety Communications Research Division (PSCR) at NIST.	本レポートでは、PSOにIDaaSについて説明し、どのようなメリットがあるのかを解説しています。また、PSOの認証ニーズが満たされ、認証に関連するリスクが適切に軽減されるように、PSOがIDaaSプロバイダーのサービスを評価する際に尋ねることができる質問も掲載しています。IDaaSの利用を検討しているPSOは、このNISTIRを利用することをお勧めします。本レポートは、NISTのNational Cybersecurity Center of Excellence (NCCoE)とPublic Safety Communications Research Division (PSCR)の共同パートナーシップにより作成されました。
Abstract	概要
On-demand access to public safety data is critical to ensuring that public safety and first responder (PSFR) personnel can protect life and property during an emergency. The increasing use of cloud technologies can improve data access but also causes authentication challenges. The objective of this report is to inform public safety organizations (PSOs) about identity as a service (IDaaS) and how they can benefit from using it. This report also lists questions that PSOs can ask IDaaS providers when evaluating their services to ensure that the PSOs’ authentication needs are met and the risk associated with authentication is mitigated properly. ...	公共安全データへのオンデマンド・アクセスは、緊急時に公共安全および初動対応者（PSFR）の人員が生命と財産を保護できるようにするために不可欠です。クラウド技術の利用が進むと、データへのアクセスが改善される一方で、認証に関する課題が生じます。本レポートの目的は、公共安全組織（PSO）にIDaaS（Identity as a Service）についての情報を提供し、それを利用することでどのようなメリットが得られるかを説明することです。また、本レポートでは、PSOの認証ニーズを満たし、認証に関連するリスクを適切に軽減するために、PSOがIDaaSプロバイダーのサービスを評価する際に尋ねることができる質問を掲載しています。...

・[PDF] NISTIR 8335 (Draft)

Executive Summary	エグゼクティブ・サマリー
1 Introduction	1 はじめに
1.1 Purpose	1.1 目的
1.2 Scope	1.2 対象範囲
1.3 Report Structure	1.3 レポートの構成
1.4 Report Conventions	1.4 報告書の規約
2 Fundamentals of Authenticators for IDaaS Usage	2 IDaaS利用のための認証子の基礎知識
2.1 Authentication Factors	2.1 認証の要素
2.2 Concepts from the Digital Identity Guidelines	2.2 「デジタルアイデンティティガイドライン」の概念
2.3 Authenticator Types from the Digital Identity Guidelines	2.3 「デジタル・アイデンティティ・ガイドライン」における認証子の種類
2.4 The Strength of Authentication Processes	2.4 認証プロセスの強度
2.4.1 Authenticator Assurance Levels (AALs)	2.4.1 認証機関の保証レベル（AALs）
2.4.2 Authentication Categories from the CJIS Security Policy	2.4.2 CJIS セキュリティ・ポリシーの認証カテゴリ
2.4.3 Authenticator Requirement Differences	2.4.3 認証機能の要件の違い
2.4.4 Biometrics and Authentication	2.4.4 バイオメトリクスと認証
2.4.5 Protecting Secrets	2.4.5 秘密の保護
2.5 Authenticator Type Selection	2.5 オーセンティケータータイプの選択
3 Additional Considerations for IDaaS Adoption	3 IDaaS導入時の追加検討事項
3.1 Risk Assessment and Acceptance	3.1 リスク評価と受容
4 Recommendations for Authenticator Selection	4 認証機能の選択に関する推奨事項
4.1 Memorized Secrets	4.1 記憶された秘密
4.2 Out-of-Band Devices	4.2 アウトオブバンド・デバイス
4.3 Supplemental Authentication Controls	4.3 補足的な認証コントロール
4.4 Single-Factor OTP Device	4.4 単一ファクタのOTPデバイス
4.5 OTPs via SMS	4.5 SMSによるOTP
References	参考文献
List of Appendices	附属書リスト
Appendix A— Fast Identity Online (FIDO) Authentication Capabilities	附属書A-Fast Identity Online（FIDO）の認証機能
A.1 What Is FIDO2?	A.1 FIDO2 とは何か？
A.2 FIDO Authentication Use Cases	A.2 FIDO認証の使用例
A.3 FIDO Authenticator AAL Considerations	A.3 FIDOオーセンティケーターAALの考慮事項
A.4 FIDO Summary and Recommendations	A.4 FIDOの概要と推奨事項
Appendix B— Acronyms and Abbreviations	附属書B-頭字語と略語

■ 関連

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.11 NISTIR 8336 (Draft) 公共安全コミュニティのためのID連携技術の背景

・2021.06.03 NISTIR 8334 (Draft) 緊急時初動対応者の認証のためのモバイル機器のバイオメトリクスの利用

・2020.11.05 NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証（PIV）について

・2020.09.24 米国NSAが「多要素認証サービスの選択と安全な使用」に関する連邦政府向けのガイダンスを公表していますね。。。

・2020.06.11 NIST SP 800-63-4(Draft) PRE-DRAFT Call for Comments: Digital Identity Guidelines

・2020.03.07 NIST SP800-63-3 Digital Identity GuidelinesにEditorialな修正がありました

エグゼクティブ・サマリー　↓↓↓↓↓

Continue reading "NISTIR 8335 (Draft) 公共安全機関 (PSO) のためのIDaaS"

2021.06.17 10:36 in 情報セキュリティ / サイバーセキュリティ, in クラウド, in パブコメ | Permalink | Comments (0)
Tweet

米国上院・下院　顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

こんにちは、丸山満彦です。

某国では、IT担当大臣は、長年プライバシー問題とも真摯に向き合ってきたN社を「出禁だ」といい、顔識別ソフトについてN社ではなく自分の知り合いのベンチャー企業のAIの利用を検討するように指示したとかしないとか（当会社は依頼された事実も働きかけた事実もないと発表あり）、色々と話題になっているようですが、、、

欧州のみならず、米国でも顔識別や遠隔からの生体識別技術についての利用、とりわけ政府による利用については慎重であるべしという流れになってきているように思います。これは、政府等による市民の監視、誤識別のリスク（肌の色による誤認率が異なるということも含めて）が米国、欧州の基本的価値観にある民主主義を脅かしや基本的人権の侵害につながるリスクが大きいと考えているためと思われ、ひょっとしたら中国のような独裁的な国以外、少なくとも民主主義を標榜している国では、政府による顔識別技術や遠隔からの生体識別技術の利用は禁止するということになるかもしれませんね。。。

米国の上院・下院に、昨年に審議入りができなかった「顔認識および生体認証技術モラトリアム法案」が2021年版になって再提出されています。。。

もちろん、米国は多様な国で、世論にも幅がありますからこの法案が可決するとは限りません。実際、セキュリティ産業協会 (Security Industry Association; SIA) が早速反対を表明しています（全面的な禁止ではなく、特定の用途については厳格なコントロール下による利用は認めるべきというスタンスだと思います）。この流れの行方は、注視しておく必要はあるかもですね。。。

・Congress.Gov (biometric surveillance)

● 米国議会 - 下院

・2021.06.15 1. H.R.3907 — 117th Congress (2021-2022)
To prohibit biometric surveillance by the Federal Government without explicit statutory authorization and to withhold certain Federal public safety grants from State and local governments that engage in biometric surveillance.

● 米国議会 - 上院

・2021.06.15 S.2052 — 117th Congress (2021-2022)
A bill to prohibit biometric surveillance by the Federal Government without explicit statutory authorization and to withhold certain Federal public safety grants from State and local governments that engage in biometric surveillance.

法案

・[PDF]

人権団体

● Electronic Privacy Information Center: EPIC

・2021.06.16 Senator Markey Introduces Bill to Ban Face Surveillance

Senator Markey Introduces Bill to Ban Face Surveillance

マーキー上院議員、顔監視を禁止する法案を提出

Senator Edward J. Markey (D-Mass.), along with Senators Merkley, Sanders, Warren, and Wyden, as well as Congresswomen Jayapal, Pressley, and Tlaib today introduced legislation to stop government use of biometric surveillance, including facial recognition tools. The Facial Recognition and Biometric Technology Moratorium Act prohibits the use of facial recognition and other biometric technologies by federal agencies, including Customs and Border Protection. "Facial recognition poses a significant threat to our democracy and privacy," said Caitriona Fitzgerald, Deputy Director, Electronic Privacy Information Center (EPIC). "Facial recognition technology has been shown time and time again to be biased, inaccurate, and disproportionately harmful to people of color. The Facial Recognition and Biometric Technology Moratorium Act of 2021 would effectively ban law enforcement use of this dangerous technology. EPIC is proud to support it.” EPIC leads a campaign to Ban Face Surveillance and through the Public Voice Coalition has gathered support from over 100 organizations and experts from more than 30 countries. Recently, in an open letter EPIC and a coalition of more than 175 civil society organizations and prominent individuals called for "an outright ban on uses of facial recognition and remote biometric recognition technologies that enable mass surveillance and discriminatory targeted surveillance."

エドワード・J・マーキー上院議員（民主党）は、本日、マークレー上院議員、サンダース上院議員、ウォーレン上院議員、ワイデン上院議員、およびジャヤパル下院議員、プレスリー下院議員、トレイブ下院議員とともに、顔認識ツールを含む生体情報監視を政府が使用することを禁止する法案を提出しました。顔認識および生体認証技術モラトリアム法」は、税関・国境警備局を含む連邦政府機関による顔認識およびその他の生体認証技術の使用を禁止するものです。"電子プライバシー情報センター（EPIC）の副所長であるケイトリオナ・フィッツジェラルド氏は、「顔認証は、私たちの民主主義とプライバシーに大きな脅威をもたらします。"顔認証技術は、偏りがあり、不正確で、有色人種には不相応に有害であることが何度も示されてきました。The Facial Recognition and Biometric Technology Moratorium Act of 2021は、法執行機関によるこの危険な技術の使用を効果的に禁止するものです。EPICはこの法案を支持できることを誇りに思います」と述べています。EPICは、顔面監視を禁止するキャンペーンを主導しており、Public Voice Coalitionを通じて、30カ国以上の100以上の団体や専門家から支持を集めています。最近では、EPICと175以上の市民社会団体および著名人からなる連合は、公開書簡の中で、"集団監視や差別的な標的監視を可能にする顔認識および遠隔生体認識技術の使用を全面的に禁止する "ことを呼びかけています。

反対意見を表明している団体

● Security Industry Association; SIA

・2021.06.16 Security Industry Association Opposes Reintroduction of Facial Recognition & Biometric Technology Moratorium Act

Security Industry Association Opposes Reintroduction of Facial Recognition & Biometric Technology Moratorium Act	セキュリティ産業協会、顔認識・生体認証技術モラトリアム法案の再提出に反対
THE LEGISLATION WOULD IMPOSE AN UNNECESSARY BLANKET BAN AND PREVENT GOVERNMENT FROM LEVERAGING THE PROVEN BENEFITS OF BIOMETRIC AND RELATED IMAGE ANALYTICS.	この法案は、不必要な包括的禁止を課すものであり、政府が生体認証および関連する画像分析の利点を活用することを妨げるものです。
SILVER SPRING, Md. – The Security Industry Association (SIA) – the leading trade association representing security solutions providers – has announced its strong opposition to the Facial Recognition and Biometric Technology Moratorium Act, originally introduced in 2020 and reintroduced June 15 by Sen. Edward Markey (D-Mass.). SIA publicly opposed the bill’s initial introduction, which largely resembles the version put forth in the 117th Congress.	セキュリティ・ソリューション・プロバイダーを代表する業界団体であるSecurity Industry Association（SIA）は、2020年に提出され、6月15日にEdward Markey上院議員（D-Mass.）によって再提出された「Facial Recognition and Biometric Technology Moratorium Act（顔認識および生体認識技術モラトリアム法）」に強く反対することを発表しました。SIAは、第117回米国連邦議会で提出された法案とほぼ同様の内容の同法案の最初の導入に公に反対しました。
The legislation would impose a blanket ban on most federal, state and local use of nearly all biometric and related image analytics technologies, which threatens the legitimate, documented benefits of facial recognition technologies used by law enforcement, including:	この法案は、連邦政府、州政府、地方自治体が、ほぼすべての生体認証技術および関連する画像解析技術を使用することを全面的に禁止するもので、法執行機関が使用する顔認証技術の、以下のような合法的で文書化された利点を脅かすものです。
・Identifying individuals who stormed the U.S. Capitol on Jan. 6	・1月6日に米国連邦議会議事堂を襲撃した人物の特定
・Reuniting victims of human trafficking with their families and loved ones	・人身売買の被害者とその家族や親族との再会
・Detecting use of fraudulent documentation by non-citizens at air ports of entry	・空港入り口での外国人による不正な書類の使用の検知
・Aiding counterterrorism investigations in critical situations	・重要な状況下でのテロ対策捜査の支援
・Exonerating innocent individuals accused of crimes	・罪を問われた無実の人の冤罪を晴らす
“Rather than impose sweeping moratoriums, SIA encourages Congress to propose balanced legislation that promulgates reasonable safeguards to ensure that facial recognition technology is used ethically, responsibly and under appropriate oversight and that the United States remains the global leader in driving innovation,” said SIA CEO Don Erickson.	SIAのCEOであるドン・エリクソンは、「SIAは、大規模なモラトリアムを課すのではなく、顔認証技術が倫理的に、責任を持って、適切な監視の下で使用され、米国が技術革新を推進する上で世界的なリーダーであり続けることを保証するための合理的なセーフガードを公布する、バランスの取れた法律を議会に提案することを奨励します。
Such approaches and recommendations have been reflected in the following areas supported by SIA:	このようなアプローチや提言は、SIAが支援する以下の分野に反映されています。
・The U.S. Innovation and Competition Act – applauded by SIA earlier this month following its passage in the Senate – which authorizes the National Science Foundation (NSF) to disburse funds for research and development initiatives on key technology areas, including biometrics	・今月初めに上院で可決され、SIAが賞賛を送った「米国イノベーション・競争法」は、全米科学財団（NSF）に対し、バイオメトリクスを含む主要技術分野の研究開発イニシアティブに資金を提供する権限を与えるものです。
・Increased funding to the National Institute of Standards and Technology (NIST) Image Analysis Unit, which will expand NIST’s testing infrastructure and computing power necessary to enhance NIST’s Facial Recognition Vendor Test Program	・米国国立標準技術研究所（NIST）の画像解析ユニットへの資金提供を強化し、NISTの顔認証ベンダーテストプログラムを強化するために必要なNISTのテストインフラとコンピューティングパワーを拡大します。
・Direct additional NSF funding to historically Black colleges and universities, Hispanic-serving institutions and other minority institutions to develop interdisciplinary research focused on facial recognition algorithmic development to provide students with firsthand knowledge about the challenges and opportunities presented by these advanced technologies, including issues surrounding performance differentials and bias mitigation	・歴史的に黒人の多い大学、ヒスパニック系の教育機関、その他のマイノリティの教育機関にNSFの追加資金を提供し、顔認識アルゴリズムの開発に焦点を当てた学際的な研究を行い、性能差や偏りの緩和をめぐる問題を含め、これらの高度な技術がもたらす課題と機会について学生に直接知識を提供します。
SIA is committed to promoting policies that support innovation in security and life safety technologies and supports U.S. leadership in key technology areas, including biometrics. In May, SIA joined the U.S. Chamber of Commerce and a group of other associations in sending a letter to President Biden expressing concern with blanket moratoriums on facial recognition and advocating for a combination of technological safeguards and policy measures to effectively mitigate any risks associated with the technology and ensure that it is developed and used responsibly.	SIAは、セキュリティ・ライフセーフティ技術の革新を支援する政策を推進し、バイオメトリクスを含む主要技術分野における米国のリーダーシップを支援しています。5月、SIAは米国商工会議所や他の団体とともに、バイデン大統領に書簡を送り、顔認証に関する包括的なモラトリアムに懸念を表明し、技術的な保護手段と政策手段を組み合わせて、この技術に関連するあらゆるリスクを効果的に軽減し、責任を持って開発・使用されることを提唱しました。
SIA also recently sent a letter to President Biden and Vice President Harris urging the administration and Congress to consider policies that enable American leadership in developing biometric technologies; issued policy principles that guide the commercial sector, government agencies and law enforcement on how to use facial recognition in a responsible and ethical manner; released comprehensive public polling on support for facial recognition use across specific applications; and published a list of successful uses of the technology.	SIAはまた、バイデン大統領とハリス副大統領に書簡を送り、生体認証技術の開発において米国がリーダーシップを発揮できるような政策を検討するよう、政権と議会に要請しました。また、商業部門、政府機関、法執行機関が責任ある倫理的な方法で顔認証を使用する方法を示す政策原則を発表し、特定の用途における顔認証使用の支持に関する包括的な世論調査を行い、技術の成功事例を発表しました。

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.03 中国意見募集顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC（連邦取引委員会）のブログ会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2005年

・2005.08.11 外務省　IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

2021.06.17 05:54 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT, in AI/Deep Learning | Permalink | Comments (0)
Tweet

英国政府：データ倫理とイノベーションセンター　プライバシーに関するユーザの積極的選択中間報告（スマートフォン）

こんにちは、丸山満彦です。

英国政府のデータ倫理とイノベーションセンターがプライバシーに関するユーザの積極的選択中間報告（スマートフォン）を公表していますが、興味深いです。

「利用者の希望を妨げることなく反映させ、起こりうる結果を理解した上で行う選択」を「積極的選択」として、プライバシー設定を含むスマートフォンの個人設定のデザインをどのようにすれば、利用者が積極的選択ができやすいかについて実験をした結果です。。。

既存のデザイン (Contorl) 新しいデザインとして、a:スライダー方式 (Slider) 、b:二択方式 (Private mode) 、c:信頼できる第三者方式 (Trusted third party) の3つを考え、現在の手法と比較して、①タスクの正確さ（主要な測定値）、②コントロール感、③結果の理解について利用者がどう感じるかを既存の方法と比較しています。。。

被験者のペルソナを「あまり心配しない人 (Least concerned)」「ほどほどに慎重な人 (Partly concerned)」「慎重な人 (Most concerned)」と3つに分けて分析しています。。。

こういう実務的な実験は重要ですね。。。人種等も考慮されていますが、英国の実験なので、英国文化の中で育った人を中心に実験していると思われます。

● U.K. Government - Centre for Data Ethics and Innovation

・2021.06.16 Active choices: Interim findings

Active choices: Interim findings	積極的な選択：中間調査結果
The CDEI has published findings from the first of three experiments it has been running with the Behavioural Insights Team to test how digital interfaces can be designed to empower users to make active choices about their privacy and personalisation settings.	CDEIは、行動洞察チームと共同で実施してきた3つの実験のうち、第1回目の実験結果を発表しました。この実験では、プライバシーやパーソナライゼーションの設定について、利用者が積極的に選択できるようなデジタルインターフェースをどのように設計できるかを検証しています。
What does this report cover?	この報告書の内容は？
Following exploratory research and behaviourally informed prototype design, the CDEI and Behavioural Insights Team (BIT) have been running randomised controlled trials to test whether different interfaces and choice bundles improve the ability of users to make informed choices about their privacy and personalisation settings. This report presents findings from the first of three online experiments, where four different ways to present smartphone settings were tested with participants. The report includes detailed information about the experiment, as well as key findings from the CDEI and BIT’s analysis of the outcomes.	CDEIと行動洞察チーム（BIT）は、探索的な研究と行動に基づいたプロトタイプの設計に続いて、異なるインターフェースと選択肢の組み合わせが、利用者がプライバシーとパーソナライゼーションの設定について情報を得た上で選択する能力を向上させるかどうかを検証するために、無作為化対照試験を実施してきました。本報告書では、3つのオンライン実験のうちの最初の実験で、スマートフォンの設定を提示する4つの異なる方法を参加者に試した結果を紹介しています。本報告書には、実験の詳細な情報に加え、CDEIとBITによる成果の分析から得られた主要な知見が含まれています。
What are the key findings?	主な知見とは？
All of the prototyped designs outperformed the control design on the three outcomes measured in the experiment (task accuracy, feelings of control, and understanding of consequences), with one exception: the trusted third party design did not improve feelings of control.	実験で測定された3つの結果（タスクの正確さ、コントロール感、結果の理解）について、すべてのプロトタイプデザインが既存のデザインを上回りましたが、1つの例外がありました。
There is no clear ‘winner’ among the new designs, although the design with a slider performed well across all outcomes.	新しいデザインの中に明確な「勝者」は存在しないが，スライダーを備えたデザインは，すべての結果において優れたパフォーマンスを示しました。
Design performance varied depending on persona choice (each of the personas had different data sharing and notification preferences). No single design performed well for all personas.	デザインのパフォーマンスは、ペルソナの選択によって異なりました（ペルソナごとにデータ共有や通知の好みが異なりました）。すべてのペルソナで良好な結果が得られるデザインはありませんでした。
None of the designs had a backfire effect on any of the outcomes, so improvements in one metric (e.g. accuracy) do not need to come at the expense of others (e.g. feelings of control).	どのデザインも、どの結果に対しても逆効果ではなかったため、ある指標（例：タスクの正確さ）の向上が、他の指標（例：コントロール感）を犠牲にする必要はないと考えられます。
The experiment provided evidence that simplified choice bundles can improve the ability of users to choose settings in line with their preferences, better understand the consequences of their choices and feel more in control.	今回の実験では、選択肢をシンプルにすることで、利用者が自分の好みに合わせて設定を選択する能力を高め、選択の結果をよりよく理解し、より自分をコントロールできるようになることを実証しました。
What happens next?	今後の展開について
We will publish the final report this summer, which will detail the findings from the second and third experiments. Over the coming months, we will discuss the findings with online services across different sectors, to provide firms operating online with examples of evidence-based tools and techniques to design user-empowering choice environments. The findings will also be used to inform the government’s wider online safety agenda.	今夏には、第2回および第3回の実験で得られた知見をまとめた最終報告書を発行する予定です。今後数ヶ月の間に、様々な分野のオンラインサービスと調査結果について議論し、オンラインで事業を展開する企業に、利用者に力を与える選択環境を設計するための証拠に基づくツールやテクニックの例を提供します。また、今回得られた知見は、政府のより広範なオンラインセーフティーアジェンダにも活用される予定です。

中間報告書はこちら・・・

・[PDF] Active choices: Interim findings

Continue reading "英国政府：データ倫理とイノベーションセンター　プライバシーに関するユーザの積極的選択中間報告（スマートフォン）"

2021.06.17 03:23 in 個人情報保護 / プライバシー | Permalink | Comments (0)
Tweet

2021.06.16

みずほFG システム障害特別調査委員会の調査報告書

こんにちは、丸山満彦です。

みずほFGが、2021年2月28日から同年3月12日にかけて、みずほ銀行において、勘定系システム「MINORI」に、計4回にわたりシステム障害が発生し、その結果、数多くのATMが利用不能になり、顧客の通帳・カードがATMの内部にとどまったまま、長時間にわたり顧客に返還がなされないなど、顧客に多大な影響を与えた事案に対する、調査報告書を公表していますね。。。

一読する価値はあると思います。

● みずほFG

・2021.06.15 システム障害特別調査委員会の調査報告書の受領について

[PDF] 調査報告書（要旨） [Downloaded]

本障害に共通する人為的側面の原因として、

①危機事象に対応する組織力の弱さ、
②ITシステム統制力の弱さ、及び
③顧客目線の弱さ、

の3点が存在し、さらに、それらの根底には、

④それらが容易には改善されない体質ないし企業風土

があるものと認めた。

[PDF] 調査報告書 [Downloaded]

・2021.06.15 株式会社みずほ銀行におけるシステム障害にかかる原因究明・再発防止について

不正や大きなミスを分析する際には、

・設計 (Design) の問題

・運用 (Operation) の問題

に分けて検討するのが良いと思います。

財務諸表監査における内部統制の評価でも、設計と運用の２つの局面で評価するので評価するので、この考え方は長年の実務経験に基づくものであり、かつ、グローバルにも広く理解されているので、わかりやすいと思います。

また、情報システムにまつわる不正、大きなミスを分析する際には、

IT全般統制、IT業務処理統制、業務処理統制、全般統制に分けて考えるとわかりやすいように思いますね。。。今回は弁護士が中心のチームで監査人が入っていないので、こういう報告書になっていますが、できれば弁護士、監査人、経営者経験者のチーム組成が適切なのだろうと思います。

この報告書のPDFがコピー禁止になっているようで、引用にはOCRを使うという一手間必要で、この点は改善してほしいところですね。。。

Continue reading "みずほFG システム障害特別調査委員会の調査報告書"

2021.06.16 02:28 in 情報セキュリティ / サイバーセキュリティ, in 脆弱性, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

欧州航空安全機関(EASA) 「情報セキュリティリスクの管理」に関する意見を発表

こんにちは、丸山満彦です。

欧州航空安全機関(European Union Aviation Safety Agency; EASA) [wikipedia]が「情報セキュリティリスクの管理」に関する意見を発表していますね。。。

● European Union Aviation Safety Agency

・2021.06.11 EASA publishes Opinion on “Management of information security risks”

EASA publishes Opinion on “Management of information security risks”	EASA、"情報セキュリティ・リスクの管理 "に関する意見書を公表
COLOGNE, June 11, 2021 – The European Union Aviation Safety Agency published an Opinion on Management of Information Security Risks, aimed at safeguarding the entire civil aviation system against potential safety effects caused by cyberattacks.	2021年6月11日、コローニュ - 欧州航空安全機関は、サイバー攻撃による潜在的な安全性への影響から民間航空システム全体を守ることを目的とした「情報セキュリティリスクの管理」に関する意見書を発行しました。
As information systems become more and more interconnected and are increasingly the target of malicious acts (whether directly or indirectly), the risks of such attacks, events and incidents in civil aviation are constantly increasing. The proposed new rules will make the aviation system more resilient to these information security events.	情報システムの相互接続が進み、悪意のある行為（直接的、間接的を問わず）の標的となることが増える中、民間航空におけるこのような攻撃、イベント、インシデントのリスクは常に高まっています。提案されている新規則は、航空システムをこれらの情報セキュリティイベントに対してより耐性のあるものにします。
“Such attacks typically target the weakest link in the chain,” said EASA Executive Director Patrick Ky. “We need to take a holistic view to guard against situations where one weak link can compromise the entire aviation system. This Opinion is an important milestone in mitigating these emerging and growing risks.”	EASA事務局長のパトリック・カイは、「このような攻撃は、通常、連鎖の中で最も弱いリンクを標的にしています。一つの弱いリンクが航空システム全体を危険にさらすような状況を防ぐためには、全体的な視点で考える必要があります。この意見書は、このような新たに発生し、拡大するリスクを軽減するための重要なマイルストーンです」と述べています。
The Opinion defines ways to identify and manage information security risks which could affect communication technology systems and data used for civil aviation purposes, and so in turn have an impact on aviation safety. In particular, it proposes the introduction of an information security management system (ISMS) for the competent authorities - including EASA - and for organisations in all aviation domains and requires them to report incidents and vulnerabilities related to information security.	本意見書は、民間航空の目的で使用される通信技術システムやデータに影響を与え、ひいては航空安全に影響を与える可能性のある情報セキュリティリスクを特定し、管理する方法を定義しています。特に、EASAを含む所轄官庁およびすべての航空分野の組織に対して、情報セキュリティ管理システム（ISMS）の導入を提案し、情報セキュリティに関連するインシデントや脆弱性の報告を求めています。
This ISMS will complement the existing management systems which these organisations and authorities already have in place.	このISMSは、これらの組織や当局がすでに実施している既存の管理システムを補完するものです。
In an indication of its breadth, the scope of organisations covered by the Opinion is listed out as follows: production and design organisations, air operators, maintenance organisations, continuing airworthiness management organisations (CAMOs), training organisations, aero-medical centres, operators of flight simulation training devices (FSTDs), air traffic management/air navigation services (ATM/ANS) providers, U-space service providers and single common information service providers, aerodrome operators and apron management service providers.	意見の対象となる組織の範囲は、製造・設計組織、航空会社、整備組織、継続的耐空性管理組織（CAMO）、訓練組織、航空医療センター、飛行シミュレーション訓練装置（FSTD）の運営者、航空交通管理・航空航法サービス（ATM/ANS）提供者、U空間サービス提供者および単一の共通情報サービス提供者、飛行場運営者、エプロン管理サービス提供者となっており、その幅広さがうかがえます。
The proposed provisions include high-level, performance-based requirements, and will be supported by acceptable means of compliance (AMC), guidance material (GM), and industry standards.	提案されている規定には、性能ベースのハイレベルな要求事項が含まれており、許容可能な遵守手段（AMC）、ガイダンス資料（GM）、および業界標準によってサポートされます。
The proposed measures should contribute to the creation of a seamless and consistent regulatory framework where the interfaces between security and safety are appropriately covered, and where special attention is paid to avoiding gaps, loopholes and duplications with other information security and cybersecurity requirements, such as those contained in Commission Implementing Regulation (EU) 2015/1998 and in the national requirements stemming from Directive (EU) 2016/1148 (NIS Directive).	提案されている措置は、セキュリティと安全の間のインターフェースが適切にカバーされ、欧州委員会実施規則（EU）2015/1998や指令（EU）2016/1148（NIS指令）に由来する国内要件など、他の情報セキュリティおよびサイバーセキュリティ要件とのギャップ、抜け穴、重複を回避することに特別な注意が払われている、シームレスで一貫性のある規制の枠組みの構築に貢献するものです。
The Opinion was developed in close coordination, consultation and discussion with the European Strategic Coordination Platform (ESCP). It will now enter the adoption process of the European Commission.	本意見書は、欧州戦略調整プラットフォーム（ESCP）との緊密な連携、協議、議論を経て作成されました。今後、欧州委員会の採択プロセスに入ります。

・[PDF] Opinion No 03/2021 Management of information security risks

EXECUTIVE SUMMARY	要旨
The objective of this Opinion is to efficiently contribute to the protection of the aviation system from information security risks, and to make it more resilient to information security events and incidents. To achieve this objective, this Opinion proposes the introduction of provisions for the identification and management of information security risks which could affect information and communication technology systems and data used for civil aviation purposes, detecting information security events, identifying those which are considered information security incidents, and responding to, and recovering from, those information security incidents to a level commensurate with their impact on aviation safety.	本意見書の目的は、情報セキュリティ・リスクから航空システムを効率的に保護し、情報セキュリティ・イベントやインシデントへの耐性を高めることにあります。この目的を達成するために、本意見書は、民間航空目的に使用される情報通信技術システムおよびデータに影響を及ぼす可能性のある情報セキュリティリスクの特定および管理、情報セキュリティイベントの検出、情報セキュリティインシデントとみなされるものの特定、および航空安全への影響に見合ったレベルでの情報セキュリティインシデントへの対応と回復のための規定の導入を提案します。
These provisions shall apply to competent authorities and organisations in all aviation domains (i.e. production and design organisations, air operators, maintenance organisations, continuing airworthiness management organisations (CAMOs), training organisations, aero-medical centres, operators of flight simulation training devices (FSTDs), air traffic management/air navigation services (ATM/ANS) providers, U-space service providers and single common information service providers, aerodrome operators and apron management service providers), shall include high-level, performance-based requirements, and shall be supported by acceptable means of compliance (AMC), guidance material (GM), and industry standards.	これらの規定は、すべての航空分野における所轄官庁および組織（すなわち、以下）に適用されるものとします。これらの規定は、すべての航空分野の主務官庁および組織（生産・設計機関、航空会社、整備機関、継続耐空性管理機関（CAMO）、訓練機関、航空医療センター、飛行シミュレーション訓練装置（FSTD）の運営者、航空交通管理・航空航法サービス（ATM/ANS）提供者、U空間サービス提供者および単一共通情報サービス提供者、飛行場運営者およびエプロン管理サービス提供者）に適用され、ハイレベルで性能ベースの要件を含み、許容可能な遵守手段（AMC）、ガイダンス資料（GM）および業界標準によってサポートされなければなりません。
This Opinion proposes a new Implementing Regulation and a new Delegated Regulation (depending on the specific aviation domains covered) regarding information security management systems for organisations and competent authorities.	本意見書は、組織と主務官庁の情報セキュリティ管理システムに関して、新しい実施規則と新しい委任規則（対象となる特定の航空分野に応じて）を提案します。
In addition, this Opinion proposes amendments to Commission Regulations (EU) No 748/2012, No 1321/2014, 2017/373, 2015/340, No 139/2014, No 1178/2011, No 965/2012 and 2021/664, in order to introduce requirements to comply with the proposed new Implementing and Delegated Regulations described above, and to add the elements necessary for the competent authorities to perform their certification and oversight activities.	さらに、本意見書は、上述の提案された新たな実施規則および委任規則に準拠するための要件を導入し、主務官庁が認証および監視活動を行うために必要な要素を追加するために、委員会規則（EU）No 748/2012、No 1321/2014、2017/373、2015/340、No 139/2014、No 1178/2011、No 965/2012、2021/664の改正を提案します。

Table of contents	目次
1. About this Opinion	1. 本意見書について
1.1. How this Opinion was developed	1.1. 本意見書の作成経緯
1.2. The next steps	1.2. 次のステップ
2. In summary — why and what	2. 要約 - なぜ、何を
2.1. Why we need to amend the rules — issue/rationale	2.1. なぜルールを改正する必要があるのか - 問題・理由
2.2. What we want to achieve — objectives	2.2. 我々が達成したいこと - 目的
2.3. How we want to achieve it — overview of the proposals	2.3. どのように達成したいのか - 提案の概要
2.4. What are the stakeholders’ views — outcome of the consultation	2.4. ステークホルダーの皆様のご意見 - コンサルテーションの結果
2.5. What are the expected benefits and drawbacks of the proposal	2.5. 提案に期待されるメリットとデメリットは何か
2.5.1. The expected benefits	2.5.1. 期待されるメリット
2.5.2. The expected drawbacks	2.5.2. 予想される欠点
2.6. How we monitor and evaluate the rules	2.6. ルールをどのように監視・評価するか
3. References	3. 参考文献
3.1. Affected regulations	3.1. 影響を受ける規則
3.2. Related decisions	3.2. 関連する決定事項
3.3. Other reference documents	3.3. その他の参考資料
4. Related document	4. 関連文書

2021.06.16 00:00 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2021.06.15

外務省 G7 カービスベイ首脳コミュニケより良い回復のためのグローバルな行動に向けた我々の共通のアジェンダ

こんにちは、丸山満彦です。

G7も終了しましたね。。。

外務省より、[PDF] "CARBIS BAY G7 SUMMIT COMMUNIQUÉ Our Shared Agenda for Global Action to Build Back Better" の翻訳が公表されていますね。。。

● 外務省 - 2021　G7コーンウォール・サミット - 概要

・G7首脳コミュニケ　[PDF] 原文 [PDF] サマリー　 - 外務省作成 [PDF] 全文和訳 [PDF] 骨子（サマリーの翻訳ではない）

外務省のページや外務省が作成した骨子や概要ではオリンピックのことが書かれていますが、コミュニケ本文には最後に一文のっているだけですから、おそらく議論はされていないのでしょうね。。。外交を内政に使うパターンですかね。。。

それはともかく、コミュニケでは、

パンデミックを終息させ、将来に備える。
我々の経済を再活性化する。
将来の繁栄を確保する。
我々の地球を守る。
我々のパートナーシップを強化する。
我々の価値を支持する。

が強調されていますね。。。

オリンピック以外に日本の主張がどれほど盛り込まれたのか気になるところです。。。取り残されている感がしないでもない。。。

サイバー/宇宙関係では、以下の章が関係するのでしょうね。。。

FUTURE FRONTIERS	将来的な先端領域
31. Future frontiers of the global economy and society - from cyber space to outer space - will determine the future prosperity and wellbeing of people all over the world in the decades ahead. As we are witnessing an increasing divergence of models, this transformation raises important questions about the interaction between economic opportunity, security, ethics, and human rights, and the balance between the role of the state, businesses and individuals.	３１．サイバー空間から宇宙空間に至るまで、世界経済と社会の将来的な先端領域が、今後数十年にわたり世界中の人々の将来の繁栄と福祉を決定することになる。我々が、拡大するモデルの相違を目にする中で、この変革は、経済機会、安全保障、倫理及び人権の間の相互作用、並びに国家、ビジネス及び個人の役割の間のバランスに関する重要な問題を提起する。
32. We will work together as part of an ongoing agenda towards a trusted, values-driven digital ecosystem for the common good that enhances prosperity in a way that is sustainable, inclusive, transparent and human-centric. In doing so we will make it a sustained strategic priority to update our regulatory frameworks and work together with other relevant stakeholders, including young people, to ensure digital ecosystems evolve in a way that reflects our shared values. We commit to preserve an open, interoperable, reliable and secure internet, one that is unfragmented, supports freedom, innovation and trust which empowers people. If used properly, technologies can help us strengthen health capacities, tackle environmental threats, widen access to education and open new economic opportunities. We will leverage these technologies to advance tech for the common good and promote digital literacy worldwide. We will strengthen coordination on and support for the implementation and development of global norms and standards to ensure that the use and evolution of new technologies reflects our shared democratic values and commitment to open and competitive markets, strong safeguards including for human rights and fundamental freedoms. We also affirm our opposition to measures which may undermine these democratic values, such as government-imposed internet shutdowns and network restrictions. We support the development of harmonised principles of data collection which encourage public and private organisations to act to address bias in their own systems, noting new forms of decision-making have surfaced examples where algorithms have entrenched or amplified historic biases, or even created new forms of bias or unfairness.	３２．我々は、持続可能で、包摂的で、透明性があり人間中心の形で繁栄を強化する、共通善のための信頼できる、価値主導のデジタル・エコシステムに向けた現行のアジェンダの一部として協働する。その中で、我々は、デジタル・エコシステムが我々の共通の価値を反映する形で発展することを確保するため、我々の規制枠組みを更新するとともに、若者を含む他の関連するステークホルダーと共働することを、我々の持続的な戦略的優先事項とする。我々は、分断されず、人々を力付ける自由・イノベーション・信頼を支える、開かれた、相互運用可能な、信頼できる、かつ、安全なインターネットを維持することにコミットする。適切に利用されれば、技術は医療的能力を強化し、環境への脅威に立ち向かい、教育へのアクセスを拡大し、新たな経済機会を切り開くことにおいて我々の後押しとなるものである。我々は、公共財のための技術の進展及び世界のデジタル読解力の向上のため、こうした技術を活用する。我々は、新技術の利用と発展が、我々の共通の民主的価値観及び開かれた競争的な市場、人権や基本的自由等のための強力な保護手段へのコミットメントを反映することを確保するため、グローバルな規範及び基準の実施及び発展に関して連携及び支持を強化する。我々はまた、こうした民主主義的価値を損ない得る、政府によるインターネット遮断やネットワークの制限といった措置に対する我々の反対を確認する。我々は、意思決定の新たな形態が、アルゴリズムが歴史的な偏見を植え付け、若しくは拡大させ、又は新しい形の偏見若しくは不公正を生み出しさえもするという事例を表面化させていることに留意しつつ、官民の関係機関がそれぞれの仕組みにおいて偏見に対処すべく行動をとることを促すデータ収集の調和のとれた原則の進展を支持する。
33. We call on the private sector to join us in our efforts and reaffirm our support for industry-led inclusive multi-stakeholder approaches to standard setting, in line with our values and principles which underpin these standards. As such, we welcome the Presidency's initiative of a ‘Future Tech Forum’ in September 2021 with the support of the OECD. The Forum will convene like-minded democratic partners to discuss the role of technology in supporting open societies and tackling global challenges. The Forum will support efforts to mitigate the risk of regulatory fragmentation and to facilitate coherency of our emerging technology ecosystems, and it will invite proposals for Leaders to consider in appropriate global fora. We support the aim to facilitate dialogue between governments, industry, academia, civil society and other key stakeholders. As such we will continue to take bold action to build more transparency in our technologies, building on the Open Government Partnership. Building on the work of the Global Partnership for Artificial Intelligence (GPAI) advanced by the Canadian and French G7 Presidencies in 2018 and 2019, we will aim to rally all partners around our open and human centric approach to artificial intelligence looking forward to the GPAI Summit in Paris in November 2021. To support effective standard-setting that reflects our core values and principles, we will strengthen our coordination, including by consulting with industry, with regards to engagement with and appointments to Standard Developing Organisations, where appropriate. We commit to better sharing of information and best practice, including between our national standards bodies, enhanced capacity building and support for multi-stakeholder participation in standard-setting. To this end, we endorse the Framework for G7 Collaboration on Digital Technical Standards.	３３．我々は、民間部門に対し、我々の取組に参加することを求めるとともに、こうした標準を支える価値と原則に沿った、標準設定に対する産業界主導の包摂的なマルチステークホルダー・アプローチへの支持を再確認する。このため、我々は、ＯＥＣＤの支持の下での２０２１年９月の「未来技術フォーラム」に関する議長国のイニシアティブを歓迎する。このフォーラムには、開かれた社会を支えグローバルな課題に対処する上での技術の役割を議論するために有志の民主主義パートナーが集う。このフォーラムは、規制の分断のリスクを緩和し、我々の新興技術エコシステムの一貫性を高めるための取組を支え、首脳が適切な国際的フォーラムにおいて検討すべく提案を招請する。我々は、政府、産業界、学術界、市民社会及び他の主要なステークホルダーの間の対話を促進するとの目標を支持する。このため、我々は引き続き、オープン・ガバメント・パートナーシップを基礎として、我々の技術における更なる透明性を構築するために大胆な行動をとる。２０１８年及び２０１９年にカナダ及びフランスの各議長国の下で進められた「人工知能のためのグローバル・パートナーシップ（ＧＰＡＩ）」の作業を基礎として、我々は、２０２１年１１月のパリにおけるＧＰＡＩサミットに期待しつつ、人工知能に対する我々の開かれた人間中心のアプローチを中心として全てのパートナーを結集することを目指す。我々の基本的価値観と原則を反映した効果的な基準設定を支持するため、我々は、適切な場合に、標準化機関への関与と同機関への任命に関する我々の協調を、産業界との協議を含め、強化する。我々は、各国の国内の標準化機関の間を含めた情報とベストプラクティスのより良い共有、能力構築の強化及び標準策定への複数の関係者の参加への支持にコミットする。このため、我々は「デジタル技術標準に関するＧ７連携のための枠組み」を承認する。
34. We will support cooperation on specific areas in relation to the evolution of future frontiers. Based on the work of our Digital and Technology Ministers, we agree the focus of our cooperation for this year will be a structured dialogue around specific areas:	３４．我々は、将来的な先端領域の進展に関する特定の分野における協力を支持する。デジタル・技術大臣の作業を基礎として、我々は、本年の我々の協力の焦点が特定の分野を中心とする構造化された対話であることに合意する。
● Championing data free flow with trust, to better leverage the potential of valuable data-driven technologies while continuing to address challenges related to data protection. To that end we endorse our Digital Ministers’ Roadmap for Cooperation on Data Free Flow with Trust.	●引き続きデータ保護に関する課題に対処しながら価値のあるデータ主導の技術の潜在力をより良く活用するため、信頼性のある自由なデータ流通を擁護すること。そのために我々は、デジタル大臣による「データフリーフローウィズトラストに関する協力のためのＧ７ロードマップ」を承認する。
● Enabling businesses to use electronic transferable records in order to generate efficiencies and economic savings to support the global economic recovery. In support of this aim we endorse the Framework for G7 Collaboration on Electronic Transferable Records.	●世界経済回復を支える効率性及び経済貯蓄を生み出すために、電子的移転可能記録をビジネス界が利用することを可能にすること。この目標を支えるため、我々は、「電子的移転可能記録に関するＧ７の協力のためのフレームワーク」を承認する。
● Taking further steps to improve internet safety and counter hate speech, while protecting human rights and fundamental freedoms, including free expression. We will protect our citizens online and offline, including children and vulnerable at-risk groups, and especially women and girls. We therefore endorse our Digital Ministers’ Internet Safety Principles which aim to set out common approaches to improving online safety. We invite Interior Ministers to work on a G7 agreement on sharing of information and best practice on tackling existing and emerging online forms of gender-based violence, including forms of online abuse. We affirm our support of the Christchurch Call, emphasising the need for respecting freedoms of speech and peoples’ reasonable expectation of privacy and further invite G7 Interior Ministers to continue work on preventing and countering Violent Extremist and Terrorist Use of the Internet begun in Ischia in 2017 and continued in Toronto in 2018 and Paris in 2019. We commit to work together to further a common understanding of how existing international law applies to cyberspace and welcome the work of our Foreign Ministers to promote this approach at the UN and other international fora. We also commit to work together to urgently address the escalating shared threat from criminal ransomware networks. We call on all states to urgently identify and disrupt ransomware criminal networks operating from within their borders, and hold those networks accountable for their actions.	●表現の自由を含む人権及び基本的自由を守りつつ、インターネットの安全性を向上させヘイトスピーチに対抗するため、更なる行動をとること。我々は、子ども及び脆弱な危険にさらされているグループ、特に女性及び女児を含む我々の市民をオンラインでもオフラインでも守る。我々はそれゆえ、オンラインの安全性を改善するための共通のアプローチを掲げることを目指したデジタル大臣の「インターネット安全性原則」を承認する。我々はＧ７内務担当大臣に対し、種々の形態のオンライン上の虐待を含む既存の及び新たに出現するオンライン上の種々の形態の性別に基づく暴力への対策に関する情報及びベストプラクティスの共有に係るＧ７の合意に取り組むことを奨励する。我々は、クライストチャーチ・コールへの支持を確認し、言論の自由及び人々のプライバシーへの合理的期待を尊重する必要性を強調しつつ、内務担当大臣に対し、２０１７年にイスキアで始まり２０１８年のトロント及び２０１９年のパリでも継続された暴力的過激主義者及びテロリストによるインターネットの使用の防止及び対抗に関する作業を継続するよう更に奨励する。我々は、既存の国際法がサイバー空間にどのように適用されるかについての共通の理解を推し進めるために協働することにコミットし、国連及びその他の国際場裏におけるこのアプローチを促進するための外務大臣による作業を歓迎する。我々はまた、ランサムウェアの犯罪ネットワークによる共通の脅威の高まりに緊急に対処すべく協働することにコミットする。我々は全ての国に対し、自国の国境内から活動するランサムウェアの犯罪ネットワークを緊急に特定し、分断するよう求めるとともに、それらネットワークに対しその行動についての責任を問うよう求める。
● Securing supply chains. Recognising the foundational role that telecommunications infrastructure, including 5G and future communication technologies, plays and will play in underpinning our wider digital and ICT infrastructure we will promote secure, resilient, competitive, transparent and sustainable and diverse digital, telecoms, and ICT infrastructure supply chains.	●サプライチェーンを守ること。５Ｇ及び将来の通信技術を含む電気通信インフラが我々のより広範なデジタルインフラ及び情報通信技術（ＩＣＴ）インフラを支える上で果たしており、また、今後果たすであろう基盤的役割を認識し、我々は、安全で、強靭で、競争的で、透明性があり、持続可能で多様なデジタルインフラ、電気通信インフラ及びＩＣＴインフラのサプライチェーンを促進する。
● Deepening cooperation on Digital Competition in order to drive innovation across the global economy, enhancing consumer choice. We recognise that there is increasing international consensus that participants with significant market power can exploit their power to hold back digital markets and the wider economy. Therefore, building on the 2019 French G7 Presidency’s common understanding on ‘Competition and the Digital Economy’, we will work together through existing international and multilateral fora to find a coherent way to encourage competition and support innovation in digital markets.	●世界経済全体でイノベーションを促進させ、消費者の選択肢を拡大するために、デジタル競争に係る協力を深化させること。我々は、大きな市場力を有する参加者がデジタル市場及びより広範な経済を阻害するために自らの力を悪用し得るとの国際的なコンセンサスが高まっていることを認識する。それゆえ我々は、２０１９年のフランスＧ７議長の下での「競争とデジタル経済」に関する共通理解を基礎として、デジタル市場における競争を奨励しイノベーションを支援する一貫した方法を見出すために、既存の国際的な及び多国間のフォーラムを通じて協働する。
35. Beyond these priorities, we will review whether other areas of collaboration with respect to future frontiers are appropriate. We are committed to the safe and sustainable use of space to support humanity’s ambition now and in the future. We recognise the importance of developing common standards, best practices and guidelines related to sustainable space operations alongside the need for a collaborative approach for space traffic management and coordination. We call on all nations to work together, through groups like the United Nations Committee on the Peaceful Uses of Outer Space, the International Organization for Standardization and the Inter-Agency Space Debris Coordination Committee, to preserve the space environment for future generations.	３５．これらの優先事項のほかに、我々は、将来的な先端領域に関するその他の協力分野が適切なものであるかどうかの再評価を行う。我々は、現在と未来の人類の熱意を支えるべく、安全で持続可能な宇宙利用にコミットする。我々は、宇宙交通の管理と調整のための協調的アプローチの必要性に則して、持続可能な宇宙活動に関する共通の基準、ベスト・プラクティス及びガイドラインを作成することの重要性を認識する。我々は、次世代のために宇宙環境を保全すべく、国連宇宙空間平和利用委員会、国際標準化機構、国際宇宙機関間スペースデブリ調整委員会といったグループを通じ、全ての国が協働することを求める。
36. Underpinning all of these future frontiers, and wider challenges of the coming century, is the importance of scientific discovery and its deployment. We will therefore work together to promote stronger collaboration on research and development, and promote principles of research security and integrity and open science building off the historical levels of collaboration seen in the past year to internationally beneficial results. Central to this should be building a diverse and resilient science and research community, inclusive for all groups including women. Domestically we will seek to redress the imbalance in women’s and girls’ under-representation in science, technology, engineering and mathematics (STEM) which acts as a barrier to access to these growing industries. We will explore how existing and potential new mechanisms and initiatives can support risk reduction, prevention and response to future systemic crises, natural disasters and pace of technological change. As such we endorse the G7 Compact on Research Collaboration and its commitment to: support policies, legal frameworks and programmes to promote research collaboration; promote sharing of research data; explore enhancements to research assessment and rewards for collaboration and knowledge sharing; and develop a common set of principles which will help protect research and innovation ecosystem across the G7 to open and reciprocal research collaboration.	３６．これらの将来的な先端領域の全て及び来たる世紀のより広範な課題を支えるのは、科学的発見及びその展開の重要性である。我々はそれゆえ、研究・開発に関するより強固な協力を促進し、過去１年間に見られた歴史的な水準の協力を国際的に有益な結果へと築いていく、研究セキュリティ及びインテグリティ並びにオープン・サイエンスの原則を促進するために協働する。ここにおいて中心であるべきは、女性を含む全てのグループを包摂する、多様で強靭な科学・研究コミュニティを築くことである。科学、技術、工学及び数学（ＳＴＥＭ）の分野における女性と女児の参画の少なさをめぐる不均衡が、こうした成長産業へのアクセスへの障害となっており、国内的に我々は、そうした不均衡の是正を追求する。我々は、既存及び潜在的な新規のメカニズム及びイニシアティブが、どのように将来のシステミックな危機、自然災害及び技術変化のペースへの、リスク低減、予防及び対応を支援することができるかについて探求する。このため、我々は「研究協力に関するＧ７協約」を承認するとともに、研究協力を促進する政策、法的枠組み及び計画の支持、研究データの共有の促進、研究の評価及び協力への報償並びに知識の共有の拡充の探求、そして開かれた相互主義的な研究協力に向けてＧ７全体にわたる研究・イノベーションのエコシステムの保護に資する共通の一連の原則の策定に対するＧ７のコミットメントを承認する。

高橋先生のブログが参考になりますね。。。

● ITリサーチ・アート - blog

・2021.06.14 G7 コーンウォールサミットとサイバー/宇宙法

2021.06.15 02:09 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続, in 新エネルギー | Permalink | Comments (0)
Tweet

2021.06.14

U.S. Rand研究所対米を意識した中国の国際戦略と防衛戦略の分析

こんにちは、丸山満彦です。

U.S. Rand研究所が対米を意識した中国の国際戦略と防衛戦略の分析に関するレポートを公表していますね。。。新興国に対するサポートの話もありますね。。。

● RAND Corporation

・2021.06 China's Quest for Global Primacy by Timothy R. Heath, Derek Grossman, Asha Clark

An Analysis of Chinese International and Defense Strategies to Outcompete the United States

China's Quest for Global Primacy	中国のグローバル・プライオリティーの探求
An Analysis of Chinese International and Defense Strategies to Outcompete the United States	米国を凌駕する中国の国際・防衛戦略の分析
Focusing on the international and defense dimensions of U.S.-China competition, the authors of this report make three contributions. First, they intend this report to serve as a planning tool by positing international and defense strategies that could allow China to outcompete the United States. Second, they mean to educate readers on Chinese strategy and policy processes. Third, the authors seek to encourage greater public debate about the nature and stakes of the competition.	本報告書の著者は、米中競争の国際的・防衛的側面に焦点を当て、3つの貢献をしています。第１に、中国が米国を凌駕するための国際・防衛戦略を提示することで、本報告書が計画ツールとしての役割を果たすことを意図しています。第２に、中国の戦略と政策プロセスについて読者を啓発することです。第３に、この競争の性質と利害関係について、国民の議論を深めることを目指しています。
As presented by the authors, China's international strategy aims to establish the country's primacy in the Asia-Pacific region and leadership of the international order. The international strategy presented seeks to achieve this end state through peaceful methods, although it does not rule out the possibilities of militarized crises or even conflicts of a limited scope, such as proxy wars. The core of the proposed international strategy is a reliance on China's economic prowess and diplomatic maneuver to put Beijing into a position of advantage from which it cannot be dislodged by the United States. A complementary defense strategy would aim to constrain Washington's ability to forestall or prevent its own eclipse by building a superior Chinese military that renders the risks of military conflict intolerably high. A major Chinese military responsibility would be to support diplomatic efforts to shape a favorable international environment by building strong security ties with client states and discrediting or weakening the appeal of the United States as an alternative.	中国の国際戦略は、アジア太平洋地域における中国の優位性を確立し、国際秩序の主導権を握ることを目的としています。提示された国際戦略は、平和的な方法でこの最終状態を達成しようとするものであるが、軍事化された危機や、代理戦争のような限定された範囲の紛争の可能性も排除していません。提案されている国際戦略の核心は、中国の経済力と外交力に依存して、米国に排除されない有利な立場に中国を置くことです。補足的な防衛戦略は、軍事衝突のリスクが耐えられないほど高くなるような優れた中国の軍事力を構築することで、ワシントンが自らの衰退を回避または防止する能力を制限することを目的としています。中国の主要な軍事的責任は、クライアント国との強固な安全保障関係を構築し、代替手段としての米国の信用を失墜させたり、その魅力を弱めたりすることで、良好な国際環境を形成するための外交的努力を支援することでしょう。
Key Findings	主な見解
Chinese authorities acknowledge the inevitability of competition but reject the notion that conflict is inevitable.	中国当局は、競争が避けられないことは認めていますが、紛争が避けられないという考えは持っていません。
China's international strategy aims to establish the country's primacy in the Asia-Pacific region and to establish Chinese leadership of the international order.	中国の国際戦略は、アジア太平洋地域における自国の優位性を確立し、国際秩序における中国のリーダーシップを確立することを目的としています。
China's international leadership would bear little resemblance to the forms exercised by previous global leaders; exercising a partial global hegemony centered principally on Eurasia, the Middle East, and Africa, Chinese international leadership would be characterized by a reliance on finance, diplomatic engagement, and security assistance to exercise influence while maintaining a modest overseas military presence.	中国の国際的なリーダーシップは、これまでのグローバルリーダーが行使してきた形態とはほとんど似ておらず、主にユーラシア、中東、アフリカを中心とした部分的な世界的覇権を行使し、海外での軍事的プレゼンスを適度に維持しながら、影響力を行使するために金融、外交的関与、安全保障支援に依存することを特徴としています。
China's standard for successful competition with the United States entails the following conditions by midcentury: (1) War with the United States is avoided, although this does not exclude the possibility of militarized crises or conflicts of a limited scope; (2) the United States respects China's authority as the global leader; (3) the United States largely refrains from harming Chinese interests; (4) China has established primacy across much of Eurasia, the Middle East, and Africa; (5) U.S. primacy has been reduced to the Americas; (6) the United States and China manage their differences according to norms upheld by China; and (7) the two cooperate on shared concerns on terms defined largely by the Chinese.	中国が米国との競争に成功するための基準は、今世紀半ばまでに以下の条件を満たすことです。(1)軍国主義的な危機や限定的な範囲の紛争の可能性は排除されないものの米国との戦争は回避する、(2) 米国が世界のリーダーとしての中国の権威を尊重する、(3) 米国が中国の利益を害することをほぼ避ける、(4) 中国はユーラシア大陸、中東、アフリカの大部分で優位性を確立する、 (5) 米国の優位性は南北アメリカに縮小する、(6) 米国と中国は、中国が支持する規範に従って互いの違いを管理している、(7) 共通の関心事について、主に中国側が定めた条件で協力する。
The consequences of Chinese success in strategic competition could be severe for the United States. Poorly positioned to unseat China or easily reverse its own flagging fortunes, the United States could face dwindling economic prospects, international marginalization, and a diminishing ability to shape global affairs.	中国が戦略的競争に成功した場合、米国にとって厳しい結果となる可能性があります。中国を打ち負かすことも、低迷する米国の運命を容易に逆転することもできないまま、米国は経済的展望の低下、国際的な疎外感、世界情勢を形成する能力の低下に直面することになるかもしれません。
Recommendations	提言
More attention may need to be paid to the many creative ways in which Beijing could direct military action to gain positional advantages in a long-term competition.	北京が長期的な競争の中で地位的優位性を得るために軍事行動を指示する多くの創造的な方法に、もっと注意を払う必要があるでしょう。
U.S. policy should aim to weaken the force of Chinese criticisms by demonstrating responsive, effective U.S. leadership, thereby reducing the incentive for other countries to back Beijing's efforts to renovate international organizations in ways that harm U.S. interests.	米国の政策は、迅速かつ効果的な米国のリーダーシップを示すことにより、中国の批判の力を弱めることを目指すべきであり、それにより、米国の利益を損なう形で国際組織を改革しようとする北京の努力を他国が支持する動機を減少させることができます。
The U.S. Department of Defense may need to maintain a significant presence in the Middle East as a means of bolstering the U.S. position in the Indo-Pacific.	米国防総省は、インド太平洋地域における米国の地位を強化する手段として、中東で重要なプレゼンスを維持する必要があるでしょう。
Closer coordination between competitive strategies, both within and outside the Indo-Pacific, will become even more essential.	また、インド太平洋の内外を問わず、競争力のある戦略間の緊密な連携がより重要になってくるでしょう。
Strengthening U.S. conventional capabilities and investing in a technologically advanced future force remain critical tasks, but military diplomacy may grow in importance.	米国の通常戦力を強化し、技術的に優れた将来の戦力に投資することは依然として重要な課題であるが、軍事外交の重要性が増す可能性もあります。
As the competition intensifies, U.S. military planners may need to expand the portfolio of possible contingencies involving China beyond such traditional hotspots as Taiwan.	競争が激化するにつれ、米国の軍事計画担当者は、中国が関与する可能性のある事態のポートフォリオを、台湾などの伝統的なホットスポット以外にも拡大する必要があるでしょう。
The appeal and feasibility of Chinese military efforts to resolve longstanding issues, such as Taiwan, may need to be reexamined through the lens of the broader competition.	台湾のような長年の問題を解決するための中国の軍事的努力の魅力と実現可能性は、より広範な競争のレンズを通して再検討される必要があるでしょう。
The development of a strategy that includes some degree of reassurance and cooperation could help stabilize the competition and reduce risks of miscalculation and dangerous incidents.	ある程度の安心感と協力を含む戦略を策定することは、競争を安定させ、誤算や危険な事件のリスクを減らすのに役立つでしょう。
To maximize deterrence and the protection of U.S. interests, the defense and foreign policy dimensions of any U.S. competitive strategy may need to be even more closely coordinated.	抑止力と米国の利益の保護を最大化するためには、米国の競争戦略における国防と外交の側面をより緊密に連携させる必要があるかもしれません。

・[PDF]

Preface	序文
Figure and Tables	図と表
Summary	まとめ
Acknowledgments	謝辞
Abbreviations	略語
CHAPTER ONE	第１章
Introduction	はじめに
Sources and Research Approach	情報源とリサーチアプローチ
CHAPTER TWO	第２章
Context: Strategy, Frameworks, and Processes for Achieving the China Dream	コンテクスト：「中国の夢」を実現するための戦略、フレームワーク、プロセス
Policy Processes	政策プロセス
Trend Analysis and Theoretical Interpretation: Pursuing the China Dream	トレンド分析と理論的解釈「中国の夢」の実現に向けて
Framework for Development Strategy	開発戦略のフレームワーク
The End State: China Dream	最終形：「中国の夢」
CHAPTER THREE	第３章
Context: International Framework, End State, and Directives	コンテクスト：国際的な枠組み、最終目的、および指示
General Framework for Foreign Relations	外交関係の一般的な枠組み
International End State: China as Preeminent Power	国際的な最終状態卓越したパワーとしての中国
Directives: International Strategy Through 2035	指針：2035年までの国際戦略
CHAPTER FOUR	第４章
Context: Defense Framework, End State, and Directives	コンテキスト：国防の枠組み、最終目的地、指示書
Defining China’s “Defense Strategy”	中国の「防衛戦略」の定義
Threat Assessment	脅威の評価
Framework for Defense Strategy	国防戦略の枠組み
China’s Defense Strategy End State	中国の国防戦略の最終状態
Directives: Strategy Through 2035 . 69	指示書: 2035年までの戦略
CHAPTER FIVE	第５章
Chinese Perspectives on Competition with the United States	中国の対米競争の視点
Chinese Perspective: Structural Drivers of U.S. Competition	中国の視点：米国の競争の構造的要因
Regional and Global Competition	地域およびグローバルな競争
CHAPTER SIX	第６章
China’s Desired End States for U.S. Competition	中国が望む米国との競争の最終状態
Bilateral End State: China as the Superior Power	二国間の最終状態：優れたパワーとしての中国
Chinese Foreign Policy End State for Successful U.S. Competition	中国の外交政策における米国との競争の成功の最終状態
China’s U.S. Competition Strategy: Defense End States	中国の米国の競争戦略防衛の最終状態
CHAPTER SEVEN	第７章
China’s International Strategy for U.S. Competition	中国の米国との競争における国際戦略
Major Powers	大国
China’s Periphery	中国の周縁部
Developing World	発展途上国
Multilateral Organizations	多国間組織
Domains of Global Governance	グローバル・ガバナンスの領域
CHAPTER EIGHT	第８章
China’s Defense Strategy for U.S. Competition	米国との競争における中国の防衛戦略
PLA Missions in the U.S. Competition	米国との競争における中国人民軍の任務
Chinese Directives Regarding Force Development and Employment in the U.S. Competition	米国との競争における中国の部隊開発および雇用に関する指令
CHAPTER NINE	第９章
Vulnerabilities in China’s Approach to U.S. Strategic Competition	米国の戦略的競争に対する中国のアプローチの脆弱性
Domestic Vulnerabilities	国内の脆弱性
Vulnerabilities in International Strategy	国際戦略における脆弱性
Defense Strategy Vulnerabilities	防衛戦略の脆弱性
CHAPTER TEN	第10章
Conclusions and Implications	結論と示唆
Implications	インプリケーション
APPENDIX	附属書
Sample Subobjectives for the International Dimension of China’s Strategy for U.S. Competition	中国の対米競争戦略の国際的側面に関するサブオブジェクティブの例
References	参考文献

・Summaryだけ
[DOCX] 仮訳

2021.06.14 17:00 in 危機管理 / 事業継続, in 案内（講演 / 書籍等） | Permalink | Comments (0)
Tweet

米国＋他のG7首脳より良い世界への復興 (Build Back Better World; B3W)

こんにちは、丸山満彦です。

G7が開催されているわけですが、バイデン大統領が世界の民主主義諸国の結集して、そうではない国々に競争で勝っていきましょうということなんでしょうね。主に中国なんでしょうけど。。。その手段としての「低・中所得国における莫大なインフラ整備のニーズに応えるための具体的な行動」ということのようです。

優先分野は、

・climate	・気候
・health and health security	・健康と医療保障
・digital technology	・デジタル技術
・gender equity and equality	・男女同権と平等

その際の原則は、

・Values-Driven.	・価値観に基づく
・Good Governance and Strong Standards.	・良いガバナンスと強固な基準
・Climate-Friendly.	・気候への配慮
・Strong Strategic Partnerships.	・強固な戦略的パートナーシップ
・Mobilize Private Capital Through Development Finance.	・開発金融を通じた民間資本の活用
・Enhancing the Impact of Multilateral Public Finance.	・多国間公的資金の影響力の向上

色々とみていると、トランプさんはアメリカの利益を優先という感じでした。バイデンさんは民主主義という価値観の普及が結局、米国人の利益につながるという考え方なんでしょうかね。。。そして、殴り合いではなく、自分たちが強くなることで競争に勝っていこうという感じですかね。。。日本はついていけますかね、、、日本が足を引っ張らなければ良いですが。。。

● The White House

・2021.06.12 FACT SHEET: President Biden and G7 Leaders Launch Build Back Better World (B3W) Partnership

FACT SHEET: President Biden and G7 Leaders Launch Build Back Better World (B3W) Partnership	FACT SHEET：バイデン大統領とG7首脳、「より良い世界への復興（B3W）」パートナーシップを開始
12-Jun-21	2021年6月12日
STATEMENTS AND RELEASES	声明とリリース
The United States is rallying the world’s democracies to deliver for our people, meet the world’s biggest challenges, and demonstrate our shared values	米国は、国民のために成果を上げ、世界最大の課題に対処し、共通の価値観を示すために、世界の民主主義諸国を結集しています。
Today President Biden met with G7 leaders to discuss strategic competition with China and commit to concrete actions to help meet the tremendous infrastructure need in low- and middle-income countries.	本日、バイデン大統領は、G7の首脳と会談し、中国との戦略的競争について議論し、低・中所得国における莫大なインフラ整備のニーズに応えるための具体的な行動を約束しました。
Build Back Better World: An Affirmative Initiative for Meeting the Tremendous Infrastructure Needs of Low- and Middle-Income Countries. President Biden and G7 partners agreed to launch the bold new global infrastructure initiative Build Back Better World (B3W), a values-driven, high-standard, and transparent infrastructure partnership led by major democracies to help narrow the $40+ trillion infrastructure need in the developing world, which has been exacerbated by the COVID-19 pandemic.	「より良い世界への復興: 中低所得国における莫大なインフラ整備のニーズに応えるための積極的なイニシアティブ」を発表しました。バイデン大統領とG7首脳は、COVID-19パンデミックによって悪化した発展途上国における40兆ドル以上の細ったインフラニーズのために、主要な民主主義国が主導する価値観に基づいた、高水準で透明性の高いインフラパートナーシップである、大胆で新しいグローバルインフライニシアチブ「より良い世界への復興（B3W）」を立ち上げることに合意しました。
Through B3W, the G7 and other like-minded partners with coordinate in mobilizing private-sector capital in four areas of focus—climate, health and health security, digital technology, and gender equity and equality—with catalytic investments from our respective development finance institutions.	B3Wを通じ、G7と志を同じくするパートナーは、気候、健康と医療保障、デジタル技術、男女同権と平等の4つの重点分野に民間セクターの資本を動員し、それぞれ、開発金融機関から触媒投資を受けられるよう調整します。
B3W will be global in scope, from Latin America and the Caribbean to Africa to the Indo-Pacific. Different G7 partners will have different geographic orientations, but the sum of the initiative will cover low- and middle-income countries across the world.	B3Wは、ラテンアメリカ・カリブ地域、アフリカ、インド太平洋地域など、グローバルに展開されます。G7のパートナーによって地理的な方向性は異なりますが、このイニシアティブの総体としては、世界中の低・中所得国をカバーすることになります。
In announcing this partnership, the United States and its G7 partners are expressing a unified vision for global infrastructure development. As a lead partner in B3W, the United States will seek to mobilize the full potential of our development finance tools, including the Development Finance Corporation, USAID, EXIM, the Millennium Challenge Corporation, and the U.S. Trade and Development Agency, and complementary bodies such as the Transaction Advisory Fund. In doing so, the Biden Administration aims to complement domestic infrastructure investments in the American Jobs Plan and create new opportunities to demonstrate U.S. competitiveness abroad and create jobs at home.	このパートナーシップを発表することで、米国とG7パートナーは、世界のインフラ整備に対する統一されたビジョンを表明しています。米国は、B3Wのリードパートナーとして、Development Finance Corporation、USAID、EXIM、Millennium Challenge Corporation、U.S. Trade and Development Agencyなどの開発金融ツールや、Transaction Advisory Fundなどの補完機関を最大限に活用していきます。このようにして、バイデン政権は、アメリカン・ジョブズ・プランにおける国内のインフラ投資を補完し、米国の競争力を海外で発揮し、国内で雇用を創出するための新たな機会を創出することを目指しています。
In addition to the billions of dollars which the United States mobilizes in overseas infrastructure financing through existing bilateral and multilateral tools, we will work with Congress to augment our development finance toolkit with the hope that, together with the private sector, other U.S. stakeholders, and G7 partners, B3W will collectively catalyze hundreds of billions of dollars of infrastructure investment for low- and middle-income countries in the coming years.	米国は、既存の二国間および多国間のツールを通じて海外のインフラに数十億ドルの資金を動員していますが、これに加えて、民間企業、その他の米国のステークホルダー、G7のパートナーとともに、B3Wが今後数年間で中低所得国に数千億ドルのインフラ投資を促進することを期待して、議会と協力して開発金融のツールキットを強化していきます。
Together with leaders of the G7, the Biden Administration fully endorses the guiding principles of B3W:	バイデン政権は、G7のリーダーとともに、B3Wの指導原則を全面的に支持します。
・Values-Driven. Infrastructure development carried out in a transparent and sustainable manner—financially, environmentally, and socially —will lead to a better outcome for recipient countries and communities. We will offer countries a positive vision and a sustainable, transparent source of financing to meet their infrastructure needs.	価値観に基づく。財政的、環境的、社会的に透明で持続可能な方法で実施されるインフラ開発は、受益国やコミュニティにとってより良い結果をもたらします。B3Wは、各国のインフラニーズを満たすために、前向きなビジョンと持続可能で透明性のある資金源を提供します。
・Good Governance and Strong Standards. High standards have become ever more important at a time when governments are grappling with complex decisions on how to tackle climate change, build back local economies, direct scarce financing, and boost employment in an inclusive way. We are committed to providing citizens of recipient communities with the long-run benefits they expect and deserve from infrastructure projects. Our efforts will be guided by high standards and principles, such as those promoted by the updated Blue Dot Network, relating to the environment and climate, labor and social safeguards, transparency, financing, construction, anticorruption, and other areas.	良いガバナンスと強固な基準。気候変動への対応、地域経済の復興、希少な資金の誘導、包括的な雇用の促進など、各国政府が複雑な決断を迫られている今、高い基準がますます重要になっています。私たちは、受益者であるコミュニティの人々がインフラプロジェクトに期待し、それに値する長期的な利益を提供することを約束します。私たちの取り組みは、環境と気候、労働と社会的セーフガード、透明性、資金調達、建設、汚職防止などに関する、最新のブルードットネットワークが推進しているような高い基準と原則に基づいて行われます。
・Climate-Friendly. The investments will be made in a manner consistent with achieving the goals of the Paris Climate Agreement.	気候変動への配慮。投資は、パリ気候協定の目標達成に合致した方法で行われます。
・Strong Strategic Partnerships. Infrastructure that is developed in partnership with those whom it benefits will last longer and generate more development impact. Infrastructure created under the B3W will be developed through consultation with communities and assessing local needs as a true partners. We will establish a taskforce together as a G7, and with others, to coordinate, harmonize our efforts, and increase our impact and reach.	強固な戦略的パートナーシップ。恩恵を受ける人々とのパートナーシップによって開発されたインフラは、より長持ちし、より大きな開発効果をもたらします。B3Wの下で作られるインフラは、真のパートナーとして、コミュニティとの協議や地域のニーズの評価を通じて開発されます。私たちは、G7として、また他の国々とともにタスクフォースを設立し、私たちの努力を調整し、調和させ、私たちの影響力と範囲を拡大していきます。
・Mobilize Private Capital Through Development Finance. Status quo funding and financing approaches are inadequate to address the tremendous infrastructure gap in low- and middle-income countries. We are committed to augmenting the development finance tools at our disposal to support and catalyze a significant increase in private capital to address infrastructure needs. Infrastructure investment by a responsible and market-driven private sector, paired with high standards and transparency in public funding, is crucial for long-run development effectiveness and sustainability.	開発金融を通じた民間資本の活用。中低所得国におけるインフラ整備のギャップに対処するためには、現状の資金調達方法では十分ではありません。私たちは、インフラのニーズに対応するための民間資本の大幅な増加を支援し、促進するために、自由に使える開発金融ツールを強化することを約束します。責任ある市場主導型の民間セクターによるインフラ投資は、公的資金の高い基準と透明性と相まって、長期的な開発効果と持続可能性にとって極めて重要です。
・Enhancing the Impact of Multilateral Public Finance. Multilateral development banks and other international financial institutions (IFIs) have developed rigorous standards for project planning, implementation, social and environmental safeguards, and analytical capability. The United States will incorporate these standards and safeguards to help ensure that U.S. taxpayer resources are used appropriately and effectively. We will work with the IFIs to enhance their catalytic impact and increase the mobilization of capital—both public and private—needed for impactful and sustainable infrastructure investment.	多国間公的資金の影響力の向上。多国間開発銀行をはじめとする国際金融機関（IFI）は、プロジェクトの計画、実施、社会・環境セーフガード、分析能力に関する厳格な基準を設けています。米国は、米国の納税者の資源が適切かつ効果的に使用されることを確実にするために、これらの基準とセーフガードを取り入れます。私たちは、国際金融機関と協力して、国際金融機関の触媒的な影響力を強化し、インパクトのある持続可能なインフラ投資に必要な官民双方の資本の動員を増やします。
More detail will be included in the G7 Leaders’ Communique.	より詳細な情報は、G7首脳コミュニケに記載されます。

これを理解する前提とし、2021年2月4日の発言を記載しておきます。。。↓↓↓↓↓

Continue reading "米国＋他のG7首脳より良い世界への復興 (Build Back Better World; B3W)"

2021.06.14 06:03 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続, in 新エネルギー | Permalink | Comments (0)
Tweet

2021.06.13

U.S. White House 新大西洋憲章

こんにちは、丸山満彦です。

U.K.がEUから離脱しとこともあるのでしょうか、日本を含む、太平洋地域に対する関心を高めたり、米国との関係をより強固にしようとしているのでしょうか？大西洋憲章は1941年8月14日に発行されたものですから、80年ぶりに大西洋憲章 (Atlantic Charter) [wikipedia] という名で英米の関係を新たなものしようということなんでしょうかね。。。

今時ですから、内容に偽情報の話やサイバーセキュリティについての言及もありますね。。。

● The White House

・2021.06.10 The New Atlantic Charter

The New Atlantic Charter	新大西洋憲章
10-Jun-21	10-Jun-21
STATEMENTS AND RELEASES	声明及び発表
Today, the President of the United States and Prime Minister of the United Kingdom reaffirm their commitment to work together to realise our vision for a more peaceful and prosperous future.	本日、米国大統領と英国首相は、より平和で豊かな未来に向けた我々のビジョンを実現するために協力していくことを再確認しました。
Our revitalised Atlantic Charter, building on the commitments and aspirations set out eighty years ago, affirms our ongoing commitment to sustaining our enduring values and defending them against new and old challenges. We commit to working closely with all partners who share our democratic values and to countering the efforts of those who seek to undermine our alliances and institutions.	80年前に設定された公約と抱負を基に再生された我々の大西洋憲章は、我々の永続的な価値を維持し、新旧の課題に対してそれらを守るための継続的なコミットメントを確認するものです。我々は、民主主義の価値観を共有するすべてのパートナーと緊密に協力し、我々の同盟と制度を弱体化させようとする者の努力に対抗することを約束します。
First, we resolve to defend the principles, values, and institutions of democracy and open societies, which drive our own national strength and our alliances. We must ensure that democracies – starting with our own – can deliver on solving the critical challenges of our time. We will champion transparency, uphold the rule of law, and support civil society and independent media. We will also confront injustice and inequality and defend the inherent dignity and human rights of all individuals.	第１に、私たちは、民主主義と開かれた社会の原則、価値、制度を守ることを決意します。私たちは、私たち自身をはじめとする民主主義国家が、現代の重要な課題の解決に貢献できるようにしなければなりません。私たちは、透明性を擁護し、法の支配を維持し、市民社会と独立メディアを支援します。また、不公平や不平等に立ち向かい、すべての人の固有の尊厳と人権を守ります。
Second, we intend to strengthen the institutions, laws, and norms that sustain international co-operation to adapt them to meet the new challenges of the 21st century, and guard against those that would undermine them. We will work through the rules-based international order to tackle global challenges together; embrace the promise and manage the peril of emerging technologies; promote economic advancement and the dignity of work; and enable open and fair trade between nations.	第２に、私たちは、国際協力を支える制度、法律、規範を強化し、21世紀の新たな課題に適応させるとともに、それらを弱体化させるものに対抗していきます。私たちは、ルールに基づく国際秩序を通じて、グローバルな課題に共に取り組み、新興技術の有望性を受け入れ、危険性を管理し、経済的進歩と労働の尊厳を促進し、国家間のオープンでフェアな取引ができるようにします。
Third, we remain united behind the principles of sovereignty, territorial integrity, and the peaceful resolution of disputes. We oppose interference through disinformation or other malign influences, including in elections, and reaffirm our commitment to debt transparency, sustainability and sound governance of debt relief. So too will we defend key principles such as freedom of navigation and overflight and other internationally lawful uses of the seas.	第３に、私たちは主権、領土保全、紛争の平和的解決という原則のもとに団結しています。私たちは、選挙を含む、偽情報やその他の悪意ある影響による干渉に反対し、債務の透明性、持続可能性、債務救済の健全なガバナンスに対するコミットメントを再確認します。また、航行・上空飛行の自由やその他の国際的に合法的な海洋利用などの重要な原則も守ります。
Fourth, we resolve to harness and protect our innovative edge in science and technology to support our shared security and deliver jobs at home; to open new markets; to promote the development and deployment of new standards and technologies to support democratic values; to continue to invest in research into the biggest challenges facing the world; and to foster sustainable global development.	第４に、私たちは、共通の安全保障を支え、国内での雇用を実現するために、科学技術における我々の革新的な強みを活用し、保護すること、新しい市場を開拓すること、民主主義の価値を支える新しい基準と技術の開発と展開を促進すること、世界が直面している最大の課題に対する研究への投資を継続すること、そして、持続可能なグローバル開発を促進することを決意します。
Fifth, we affirm our shared responsibility for maintaining our collective security and international stability and resilience against the full spectrum of modern threats, including cyber threats. We have declared our nuclear deterrents to the defence of NATO and as long as there are nuclear weapons, NATO will remain a nuclear alliance. Our NATO Allies and partners will always be able to count on us, even as they continue to strengthen their own national forces. We pledge to promote the framework of responsible State behaviour in cyberspace, arms control, disarmament, and proliferation prevention measures to reduce the risks of international conflict. We remain committed to countering terrorists who threaten our citizens and interests.	第５に、私たちは、サイバー脅威を含む現代のあらゆる脅威に対して、集団安全保障および国際的な安定性と回復力を維持するための共通の責任を確認します。私たちは、NATOの防衛のために核抑止力を宣言しており、核兵器が存在する限り、NATOは核同盟であり続けます。NATOの同盟国とパートナーは、自国の軍隊を強化し続けていたとしても、常に私たちを頼りにすることができます。私たちは、サイバー空間における国家の責任ある行動、軍備管理・軍縮・拡散防止策の枠組みを推進し、国際紛争のリスクを低減することを誓います。私たちは、私たちの市民と利益を脅かすテロリストに対抗することに引き続きコミットします。
Sixth, we commit to continue building an inclusive, fair, climate-friendly, sustainable, rules-based global economy for the 21st century. We will strengthen financial stability and transparency, fight corruption and illicit finance, and innovate and compete through high labour and environmental standards.	第６に、私たちは、21世紀の包括的で、公正で、気候に優しく、持続可能な、ルールに基づく世界経済を構築し続けることを約束します。私たちは、金融の安定性と透明性を強化し、汚職と不正資金に対抗し、高い労働基準と環境基準を通じて革新と競争を進めていきます。
Seventh, the world has reached a critical point where it must act urgently and ambitiously to tackle the climate crisis, protect biodiversity, and sustain nature. Our countries will prioritise these issues in all our international action.	第７に、世界は、気候危機に対処し、生物多様性を保護し、自然を持続させるために、緊急かつ野心的に行動しなければならない重大な局面を迎えています。私たちの国は、すべての国際的行動において、これらの問題を優先させます。
Eighth, we recognise the catastrophic impact of health crises, and the global good in strengthening our collective defences against health threats. We commit to continuing to collaborate to strengthen health systems and advance our health protections, and to assist others to do the same.	第８に、私たちは、健康危機の壊滅的な影響を認識し、健康の脅威に対する集団的な防御力を強化することが世界的に有益であることを認めます。私たちは、保健システムを強化し、健康保護を推進するための協力を継続し、他国が同じことを行うのを支援することを約束します。
Joseph R. Biden, Jr.	ジョセフ・R・バイデン・ジュニア（Joseph R. Biden, Jr.
Boris Johnson, M.P.	ボリス・ジョンソン（M.P.）
10-Jun-21	2021年6月10日

1941年8月14日当時のものは、、、

The President of the United States of America and the Prime Minister, Mr. Churchill, representing His Majesty's Government in the United Kingdom, being met together, deem it right to make known certain common principles in the national policies of their respective countries on which they base their hopes for a better future for the world.	米国大統領と英国政府を代表するチャーチル首相は、共に会見し、世界のより良い未来への希望の基礎となる、それぞれの国の国家政策におけるある共通の原則を明らかにすることが適切であると考えます。
First, their countries seek no aggrandizement, territorial or other;	第１に、私たちは彼らの国は領土やその他の利益を求めません。
Second, they desire to see no territorial changes that do not accord with the freely expressed wishes of the peoples concerned;	第２に、関係する人々の自由に表明された希望に合わない領土の変更が行われないことを望んでいることです。
Third, they respect the right of all peoples to choose the form of government under which they will live; and they wish to see sovereign rights and self government restored to those who have been forcibly deprived of them;	第３に、すべての人々が自らの生活のために政府の形態を選択する権利を尊重し、強制的に奪われた人々に主権的権利と自治権が回復されることを望んでいます。
Fourth, they will endeavor, with due respect for their existing obligations, to further the enjoyment by all States, great or small, victor or vanquished, of access, on equal terms, to the trade and to the raw materials of the world which are needed for their economic prosperity;	第４に、既存の義務を十分に尊重しつつ、大小、戦勝国、敗戦国を問わず、すべての国が経済的繁栄に必要な世界の貿易と原材料へのアクセスを平等な条件で享受できるように努力します。
Fifth, they desire to bring about the fullest collaboration between all nations in the economic field with the object of securing, for all, improved labor standards, economic advancement and social security;	第５に、すべての人に労働基準の改善、経済の発展、社会保障を確保することを目的として、経済分野におけるすべての国の間の最大限の協力を実現することを望んでいます。
Sixth, after the final destruction of the Nazi tyranny, they hope to see established a peace which will afford to all nations the means of dwelling in safety within their own boundaries, and which will afford assurance that all the men in all lands may live out their lives in freedom from fear and want;	第６に、ナチスの専制政治が最終的に破壊された後、すべての国が自国の境界内で安全に暮らす手段を与えられ、すべての国のすべての人々が恐怖と欠乏から自由に人生を送ることができることを保証する平和が確立されることを望んでいます。
Seventh, such a peace should enable all men to traverse the high seas and oceans without hindrance;	第７に、このような平和は、すべての人が公海や大洋を支障なく横断できるようにするものです。
Eighth, they believe that all of the nations of the world, for realistic as well as spiritual reasons must come to the abandonment of the use of force. Since no future peace can be maintained if land, sea or air armaments continue to be employed by nations which threaten, or may threaten, aggression outside of their frontiers, they believe, pending the establishment of a wider and permanent system of general security, that the disarmament of such nations is essential. They will likewise aid and encourage all other practicable measure which will lighten for peace-loving peoples the crushing burden of armaments.	第８に、世界のすべての国が、現実的な理由と精神的な理由から、武力の行使を放棄するに至らなければならないと考えています。自国の境界外で侵略の脅威にさらされている、あるいはその可能性がある国が、陸海空の軍備を継続して使用するならば、将来の平和は維持できないため、より広範で恒久的な一般的安全保障のシステムが確立されるまでは、そのような国の軍縮が不可欠であると考えています。また、平和を愛する諸国民のために、軍備の重荷を軽減するためのあらゆる現実的な措置を援助し、奨励します。
Franklin D. Roosevelt	フランクリン・D・ルーズベルト
Winston S. Churchill	ウィンストン・S・チャーチル

参考

● U.K. Government

・2021.06.10 Press release Prime Minister and President Biden to agree new Atlantic Charter

・2021.06.10 Policy paper New Atlantic Charter and Joint Statement agreed by the PM and President Biden

　・[PDF] The New Atlantic Charter 2021

● JETRO

・2021.06.11 米英首脳会談で新憲章、航空機補助金やデジタル課税の早期解決追求なども合意

Continue reading "U.S. White House 新大西洋憲章"

2021.06.13 07:00 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

U.S. White House 米国の機微なデータを国外の敵から保護するための大統領令

こんにちは、丸山満彦です。

2021年6月9日にWhite Houseが米国の機微なデータを国外の敵から保護するための大統領令を出していますね。。。トランプさんが大統領の時に、TikTokやWeChatの使用禁止を求める大統領令を実効性もないし、、、で取り消しています。そして、ソフトウェア等の安全性を継続的に確認していくことになるようですね。。。

● The White House

・2021.06.09 Executive Order on Protecting Americans’ Sensitive Data from Foreign Adversaries

Executive Order on Protecting Americans’ Sensitive Data from Foreign Adversaries	米国の機微なデータを国外の敵から保護するための大統領令
9-Jun-21	9-Jun-21
PRESIDENTIAL ACTIONS	大統領の行動
By the authority vested in me as President by the Constitution and the laws of the United States of America, including the International Emergency Economic Powers Act (50 U.S.C. 1701 et seq.) (IEEPA), the National Emergencies Act (50 U.S.C. 1601 et seq.), and section 301 of title 3, United States Code,	憲法および国際緊急経済権限法（50 U.S.C. 1701 et seq.）（IEEPA）、国家緊急事態法（50 U.S.C. 1601 et seq.）、および合衆国法典第3編第301条を含むアメリカ合衆国の法律によって、大統領である私に与えられた権限により、私は以下のように判断します。
I, JOSEPH R. BIDEN JR., President of the United States of America, find that it is appropriate to elaborate upon measures to address the national emergency with respect to the information and communications technology and services supply chain that was declared in Executive Order 13873 of May 15, 2019 (Securing the Information and Communications Technology and Services Supply Chain). Specifically, the increased use in the United States of certain connected software applications designed, developed, manufactured, or supplied by persons owned or controlled by, or subject to the jurisdiction or direction of, a foreign adversary, which the Secretary of Commerce acting pursuant to Executive Order 13873 has defined to include the People’s Republic of China, among others, continues to threaten the national security, foreign policy, and economy of the United States. The Federal Government should evaluate these threats through rigorous, evidence-based analysis and should address any unacceptable or undue risks consistent with overall national security, foreign policy, and economic objectives, including the preservation and demonstration of America’s core values and fundamental freedoms.	私、アメリカ合衆国大統領JOSEPH R. BIDEN JR.は、2019年5月15日の大統領令13873（Securing the Information and Communications Technology and Services Supply Chain）で宣言された、情報通信技術とサービスのサプライチェーンに関する国家的緊急事態に対処するための措置を詳しく説明することが適切であると判断します。具体的には、大統領令13873に基づいて行動する商務長官が中華人民共和国などを含むと定義した外国の敵対者が所有もしくは支配する者、またはその管轄下もしくは指示下にある者が設計、開発、製造、または供給する特定の接続ソフトウェアアプリケーションの米国内での使用が増加しており、米国の国家安全保障、外交政策、経済を引き続き脅かしています。連邦政府は、証拠に基づく厳格な分析によってこれらの脅威を評価し、米国の中核的価値観および基本的自由の維持・発揮を含む、国家安全保障、外交政策、経済の全体的な目的に沿って、受け入れがたい、あるいは過度のリスクに対処する必要があります。
By operating on United States information and communications technology devices, including personal electronic devices such as smartphones, tablets, and computers, connected software applications can access and capture vast swaths of information from users, including United States persons’ personal information and proprietary business information. This data collection threatens to provide foreign adversaries with access to that information. Foreign adversary access to large repositories of United States persons’ data also presents a significant risk.	スマートフォン、タブレット、コンピューターなどの個人用電子機器を含む米国の情報通信技術機器上で動作する接続ソフトウェアアプリケーションは、米国人の個人情報や企業の専有情報を含む膨大な情報にアクセスし、ユーザーから情報を収集することができます。このようなデータ収集は、外国の敵対者にその情報へのアクセスを提供する恐れがあります。また、外国の敵対者が米国人のデータの大規模なリポジトリにアクセスすることも重大なリスクとなります。
In evaluating the risks of a connected software application, several factors should be considered. Consistent with the criteria established in Executive Order 13873, and in addition to the criteria set forth in implementing regulations, potential indicators of risk relating to connected software applications include: ownership, control, or management by persons that support a foreign adversary’s military, intelligence, or proliferation activities; use of the connected software application to conduct surveillance that enables espionage, including through a foreign adversary’s access to sensitive or confidential government or business information, or sensitive personal data; ownership, control, or management of connected software applications by persons subject to coercion or cooption by a foreign adversary; ownership, control, or management of connected software applications by persons involved in malicious cyber activities; a lack of thorough and reliable third-party auditing of connected software applications; the scope and sensitivity of the data collected; the number and sensitivity of the users of the connected software application; and the extent to which identified risks have been or can be addressed by independently verifiable measures.	接続されたソフトウェアアプリケーションのリスクを評価する際には、いくつかの要素を考慮する必要があります。大統領令第13873号で定められた基準に加え、施行規則で定められた基準に基づき、接続されたソフトウェアアプリケーションに関連するリスクの潜在的な指標は以下のとおりです。外敵の軍事、諜報、または拡散活動を支援する人物による、接続されたソフトウェアアプリケーションの所有、制御、または管理。外敵が政府や企業の機密情報、または個人の機密データにアクセスすることを通じた場合を含め、スパイ活動を可能にする監視を行うために接続されたソフトウェアアプリケーションを使用すること。悪意のあるサイバー活動に関与している人物による接続ソフトウェアアプリケーションの所有、管理、または運営、接続ソフトウェアアプリケーションに対する徹底した信頼できる第三者監査の欠如、収集されるデータの範囲と機密性、接続ソフトウェアアプリケーションのユーザーの数と機密性、特定されたリスクが独立して検証可能な手段で対処されている、または対処できる範囲などです。
The ongoing emergency declared in Executive Order 13873 arises from a variety of factors, including the continuing effort of foreign adversaries to steal or otherwise obtain United States persons’ data. That continuing effort by foreign adversaries constitutes an unusual and extraordinary threat to the national security, foreign policy, and economy of the United States. To address this threat, the United States must act to protect against the risks associated with connected software applications that are designed, developed, manufactured, or supplied by persons owned or controlled by, or subject to the jurisdiction or direction of, a foreign adversary.	大統領令第13873号で宣言された継続的な緊急事態は、米国人のデータを盗む、あるいはその他の方法で入手しようとする外国の敵対者の継続的な取り組みなど、さまざまな要因から生じています。外国の敵対者によるこの継続的な取り組みは、米国の国家安全保障、外交政策、経済に対する異常な脅威となっています。この脅威に対処するため、米国は、外国の敵対者が所有もしくは支配する者、またはその管轄下もしくは指示下にある者が設計、開発、製造、または供給する接続ソフトウェアアプリケーションに関連するリスクから保護するために行動しなければなりません。
Additionally, the United States seeks to promote accountability for persons who engage in serious human rights abuse. If persons who own, control, or manage connected software applications engage in serious human rights abuse or otherwise facilitate such abuse, the United States may impose consequences on those persons in action separate from this order.	また、米国は、深刻な人権侵害を行った者に対する説明責任を果たすことを目指しています。接続されたソフトウェア・アプリケーションを所有、管理、運営している者が深刻な人権侵害を行った場合、あるいはそのような侵害を助長した場合、米国は本命令とは別の措置でそれらの者に結果を課すことができます。
Accordingly, it is hereby ordered that:	したがって、ここに命令します。
Section 1. Revocation of Presidential Actions. The following orders are revoked: Executive Order 13942 of August 6, 2020 (Addressing the Threat Posed by TikTok, and Taking Additional Steps To Address the National Emergency With Respect to the Information and Communications Technology and Services Supply Chain); Executive Order 13943 of August 6, 2020 (Addressing the Threat Posed by WeChat, and Taking Additional Steps To Address the National Emergency With Respect to the Information and Communications Technology and Services Supply Chain); and Executive Order 13971 of January 5, 2021 (Addressing the Threat Posed by Applications and Other Software Developed or Controlled by Chinese Companies).	セクション 1. 大統領の行動の取り消し。以下の命令は取り消される。 2020年8月6日の大統領令13942号（TikTokがもたらす脅威に対処し、情報通信技術およびサービスのサプライチェーンに関する国家的緊急事態に対処するための追加措置を講じること）。2020年8月6日付大統領令第13943号（WeChatがもたらす脅威に対処し、情報通信技術およびサービスのサプライチェーンに関する国家的緊急事態に対処するための追加措置を講じること）、および2021年1月5日付大統領令第13971号（中国企業が開発または管理するアプリケーションおよびその他のソフトウェアがもたらす脅威に対処すること）。
Sec. 2. Implementation. (a) The Director of the Office of Management and Budget and the heads of executive departments and agencies (agencies) shall promptly take steps to rescind any orders, rules, regulations, guidelines, or policies, or portions thereof, implementing or enforcing Executive Orders 13942, 13943, or 13971, as appropriate and consistent with applicable law, including the Administrative Procedure Act, 5 U.S.C. 551 et seq. In addition, any personnel positions, committees, task forces, or other entities established pursuant to Executive Orders 13942, 13943, or 13971 shall be abolished, as appropriate and consistent with applicable law.	Sec.2.実施 (a) 行政管理予算局の局長および各省庁の長は、行政手続法(Administrative Procedure Act, 5 U.S.C. 551 et seq.)を含む適用法に沿って、適切に、大統領令13942、13943、または13971を実施または施行する命令、規則、規制、ガイドライン、または政策、またはその一部を取り消すための措置を速やかにとるものとする。また、大統領令13942、13943、13971に基づいて設立された人事、委員会、タスクフォース、その他の組織は、適切かつ適用法に沿って廃止されるものとします。
(b) Not later than 120 days after the date of this order, the Secretary of Commerce, in consultation with the Secretary of State, the Secretary of Defense, the Attorney General, the Secretary of Health and Human Services, the Secretary of Homeland Security, the Director of National Intelligence, and the heads of other agencies as the Secretary of Commerce deems appropriate, shall provide a report to the Assistant to the President and National Security Advisor with recommendations to protect against harm from the unrestricted sale of, transfer of, or access to United States persons’ sensitive data, including personally identifiable information, personal health information, and genetic information, and harm from access to large data repositories by persons owned or controlled by, or subject to the jurisdiction or direction of, a foreign adversary. Not later than 60 days after the date of this order, the Director of National Intelligence shall provide threat assessments, and the Secretary of Homeland Security shall provide vulnerability assessments, to the Secretary of Commerce to support development of the report required by this subsection.	(b) 本命令の日付から120日以内に、商務長官は、国務長官、国防長官、司法長官、保健社会福祉長官、国土安全保障長官、国家情報長官、および商務長官が適切と考えるその他の機関の長と協議して、個人識別情報、個人健康情報、遺伝情報を含む米国人のセンシティブデータの無制限の販売、譲渡、またはアクセスによる被害、および外国の敵対者が所有または支配する、あるいはその管轄下または指示下にある人物による大規模データリポジトリへのアクセスによる被害から保護するための提言を、大統領補佐官および国家安全保障顧問に報告しなければなりません。本命令の日付から60日以内に、国家情報長官は脅威の評価を、国土安全保障長官は脆弱性の評価を商務長官に提供し、本サブセクションで要求される報告書の作成を支援するものとします。
(c) Not later than 180 days after the date of this order, the Secretary of Commerce, in consultation with the Secretary of State, the Secretary of Defense, the Attorney General, the Secretary of Homeland Security, the Director of the Office of Management and Budget, and the heads of other agencies as the Secretary of Commerce deems appropriate, shall provide a report to the Assistant to the President and National Security Advisor recommending additional executive and legislative actions to address the risk associated with connected software applications that are designed, developed, manufactured, or supplied by persons owned or controlled by, or subject to the jurisdiction or direction of, a foreign adversary.	(c) 本命令の発効日から180日以内に、商務長官は、国務長官、国防長官、司法長官、国土安全保障長官、行政管理予算局長官、および商務長官が適切と考える他の機関の長と協議して、外国の敵対者が所有もしくは支配する者、またはその管轄下もしくは指示下にある者が設計、開発、製造または供給する接続ソフトウェアアプリケーションに関連するリスクに対処するための追加の行政措置および立法措置を推奨する報告書を、大統領補佐官および国家安全保障顧問に提出しなければなりません。
(d) The Secretary of Commerce shall evaluate on a continuing basis transactions involving connected software applications that may pose an undue risk of sabotage or subversion of the design, integrity, manufacturing, production, distribution, installation, operation, or maintenance of information and communications technology or services in the United States; pose an undue risk of catastrophic effects on the security or resiliency of the critical infrastructure or digital economy of the United States; or otherwise pose an unacceptable risk to the national security of the United States or the security and safety of United States persons. Based on the evaluation, the Secretary of Commerce shall take appropriate action in accordance with Executive Order 13873 and its implementing regulations.	(d) 商務長官は、米国における情報通信技術またはサービスの設計、完全性、製造、生産、流通、設置、運用、保守に対する妨害行為または破壊行為の過度のリスク、米国の重要インフラまたはデジタル経済の安全性または回復力に対する壊滅的な影響の過度のリスク、または米国の国家安全保障または米国人の安全と安心に対する許容できないリスクをもたらす可能性のある接続ソフトウェアアプリケーションを含む取引を継続的に評価しなければならない。商務長官は、評価に基づき、大統領令第13873号およびその施行規則に従って、適切な措置を講じるものとします。
Sec. 3. Definitions. For purposes of this order:	Sec.3. 用語の定義本命令の目的は以下の通りです。
(a) the term “connected software application” means software, a software program, or a group of software programs, that is designed to be used on an end-point computing device and includes as an integral functionality, the ability to collect, process, or transmit data via the Internet;	(a) 「接続型ソフトウェア・アプリケーション」とは、エンドポイント・コンピューティング・デバイス上で使用されるよう設計され、インターネット経由でデータを収集、処理、または送信する機能を不可欠な機能として含むソフトウェア、ソフトウェア・プログラム、またはソフトウェア・プログラムのグループを意味する。
(b) the term “foreign adversary” means any foreign government or foreign non-government person engaged in a long-term pattern or serious instances of conduct significantly adverse to the national security of the United States or security and safety of United States persons;	(b) 「外国の敵対者」とは、米国の国家安全保障または米国人の安全・安心に著しく悪影響を及ぼす行為の長期的パターンまたは深刻な事例に関与している外国政府または外国の非政府組織をいう。
(c) the term “information and communications technology or services” means any hardware, software, or other product or service primarily intended to fulfill or enable the function of information or data processing, storage, retrieval, or communication by electronic means, including transmission, storage, and display;	(c) 「情報通信技術またはサービス」とは、送信、保存、表示を含む電子的手段による情報またはデータの処理、保存、検索、または通信の機能を果たす、または可能にすることを主目的としたハードウェア、ソフトウェア、その他の製品またはサービスを意味する。
(d) the term “person” means an individual or entity; and	(d) 「人」とは、個人または企業を指します。
(e) the term “United States person” means any United States citizen, lawful permanent resident, entity organized under the laws of the United States or any jurisdiction within the United States (including foreign branches), or any person in the United States.	(e) 「米国人」とは、米国市民、合法的永住者、米国法または米国内の法域（外国の支店を含む）に基づいて組織された企業、または米国内のあらゆる人を意味する。
Sec. 4. General Provisions. (a) Nothing in this order shall be construed to impair or otherwise affect:	Sec.4. 一般規定。 (a) 本命令のいかなる規定も、以下の事項を損なう、またはその他の形で影響を与えると解釈してはなりません。
(i) the authority granted by law to an executive department or agency, or the head thereof; or	(i) 法律によって行政省庁またはその長に与えられた権限、または
(ii) the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals.	(ii) 予算、行政、または立法案に関連する行政管理予算局の局長の機能。
(b) This order shall be implemented consistent with applicable law and subject to the availability of appropriations.	(b) 本命令は、適用される法律に沿って、予算の有無に応じて実施されるものとします。
(c) This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person.	(c) 本命令は、米国、その省庁、機関、事業体、その役員、従業員、代理人、またはその他の者に対して、当事者が法律上または衡平法上の強制力を持つ、実体的または手続き上のいかなる権利または利益も創出することを意図したものではなく、またそうするものでもありません。
JOSEPH R. BIDEN JR.	ジョセフ・R・バイデン・Jr.
THE WHITE HOUSE,	ホワイトハウス
June 9, 2021.	2021年6月9日

ファクトシート

FACT SHEET: Executive Order Protecting Americans’ Sensitive Data from Foreign Adversaries	ファクトシート：米国人の機密データを国外の敵から保護する大統領令
9-Jun-21	2021年6月9日
STATEMENTS AND RELEASES	声明およびリリース
The Biden Administration is committed to promoting an open, interoperable, reliable and secure Internet; protecting human rights online and offline; and supporting a vibrant, global digital economy. Certain countries, including the People’s Republic of China (PRC), do not share these values and seek to leverage digital technologies and Americans’ data in ways that present unacceptable national security risks while advancing authoritarian controls and interests.	バイデン政権は、オープンで相互運用性があり、信頼性と安全性の高いインターネットを推進し、オンラインおよびオフラインでの人権を保護し、活気あるグローバルなデジタル経済を支援することを約束します。中華人民共和国を含む特定の国は、これらの価値観を共有しておらず、許容できない国家安全保障上のリスクをもたらす方法でデジタル技術と米国人のデータを活用し、権威主義的な統制と利益を進めようとしています。
Today, President Biden signed an Executive Order (E.O.) to further address the ongoing national emergency declared in E.O. 13873 of May 15, 2019 with respect to the threat posed to the United States’ information and communications technology and services (ICTS) supply chain. President Biden revoked and replaced three E.O.s that aimed to prohibit transactions with TikTok, WeChat, and eight other communications and financial technology software applications; two of these E.O.s are subject to litigation. In their place, this E.O. directs the use of a criteria-based decision framework and rigorous, evidence-based analysis to address the risks posed by ICTS transactions involving software applications that are designed, developed, manufactured, or supplied by persons that are owned or controlled by, or subject to the jurisdiction of a foreign adversary, including the People’s Republic of China, that may present an undue or unacceptable risk to the national security of the United States and the American people.	本日、バイデン大統領は、米国の情報通信技術・サービス（ICTS）のサプライチェーンにもたらされる脅威に関して、2019年5月15日付の大統領令13873で宣言された継続中の国家緊急事態にさらに対処するための大統領令に署名しました。バイデン大統領は、TikTok、WeChat、その他8つの通信・金融技術ソフトウェアアプリケーションとの取引を禁止することを目的とした3つの大統領令を失効させ、差し替えました。これらの大統領令のうち2つは訴訟の対象となっています。本大統領令では、中華人民共和国を含む外国の敵対勢力が所有もしくは支配する者、またはその管轄下にある者が設計、開発、製造、または供給するソフトウェアアプリケーションが関与するICTS取引がもたらすリスクに対処するため、基準に基づく意思決定の枠組みと、証拠に基づく厳格な分析を用いるよう指示していますが、これは米国および米国民の国家安全保障に過度の、または受け入れがたいリスクをもたらす可能性があります。
Specifically, the E.O. the President signed today:	具体的に、大統領が本日署名した大統領令は、以下の通りです。
Enables the U.S. to take strong steps to protect Americans’ sensitive data: This E.O. revokes and replaces E.O.s 13942, 13943, and 13971. The new E.O. directs the Department of Commerce to instead evaluate foreign adversary connected software applications under the rules published to implement E.O. 13873 and take action, as appropriate.	米国は、米国人の機密データを保護するための強力な手段を講じることができます。本大統領令は、大統領令13942、13943、および13971を破棄し、これに代わるものです。この新しい大統領令は、大統領令13873を実施するために発行された規則に基づいて、外国の敵に接続されたソフトウェアアプリケーションを評価し、必要に応じて対策を講じるよう商務省に指示しています。
Provides criteria for identifying software applications that may pose unacceptable risk: This E.O. provides criteria for consideration, consistent with the criteria set forth in E.O. 13873 and the implementing regulations, for identifying and evaluating ICTS transactions involving foreign adversary connected software applications that may pose an unacceptable risk to U.S. national security and the American people. For example, ICTS transactions involving software applications may present a heightened risk when the transactions involve applications that are owned, controlled, or managed by persons that support foreign adversary military or intelligence activities, or are involved in malicious cyber activities, or involve applications that collect sensitive personal data.	許容できないリスクをもたらす可能性のあるソフトウェアアプリケーションを特定するための基準を提供します。本大統領令は、米国の国家安全保障と米国民に許容できないリスクをもたらす可能性のある、外国の敵対者と接続されたソフトウェアアプリケーションを含むICTS取引を特定し評価するために、大統領令13873および実施規則で定められた基準に沿って、考慮すべき基準を提供します。例えば、ソフトウェアアプリケーションを含むICTS取引は、その取引が、外国の敵対者の軍事・諜報活動を支援する者、悪意のあるサイバー活動に関与する者が所有・管理・運営するアプリケーションを含む場合、あるいは、機密性の高い個人データを収集するアプリケーションを含む場合には、リスクが高まる可能性があります。
Develops further options to protect sensitive personal data and address the potential threat from certain connected software applications: This E.O. directs the Department of Commerce, in consultation with other U.S. departments and agencies, to make recommendations to protect against harm from the sale, transfer of, or access to sensitive personal data, including personally identifiable information and genetic information – to include large data repositories – to persons owned or controlled by, or subject to the jurisdiction or direction of, foreign adversaries. Additionally, the Department of Commerce will make recommendations for additional executive and legislative actions to further address the risk associated with foreign adversary connected software applications.	機密性の高い個人データを保護し、特定の接続されたソフトウェアアプリケーションからの潜在的な脅威に対処するためのさらなるオプションを開発します。本大統領令は、商務省に対し、米国の他の省庁と協議の上、個人を特定できる情報や遺伝情報を含むセンシティブな個人データ（大規模なデータレポジトリを含む）を、外国の敵対勢力が所有もしくは管理する者、またはその管轄下もしくは指示下にある者に販売、譲渡、またはアクセスすることによる被害から保護するための提言を行うよう指示しています。さらに、商務省は、外国の敵対者が接続したソフトウェアアプリケーションに関連するリスクにさらに対処するための追加的な行政措置および立法措置に関する提言を行います。

下院議長、上院議長への報告

・2021.06.09 Letter to the Speaker of the House of Representatives and the President of the Senate on Protecting Americans’ Sensitive Data from Foreign Adversaries

Letter to the Speaker of the House of Representatives and the President of the Senate on Protecting Americans’ Sensitive Data from Foreign Adversaries	米国人の機密データを海外の敵から守ることに関する下院議長および上院議長への書簡
9-Jun-21	9-Jun-21
STATEMENTS AND RELEASES	声明およびリリース
Dear Madam Speaker: (Dear Madam President:)	親愛なるマダム・スピーカー(親愛なるマダム・プレジデント)
Pursuant to the International Emergency Economic Powers Act (50 U.S.C. 1701 et seq.), I hereby report that I have issued an Executive Order addressing the threat from certain connected software applications designed, developed, manufactured, or supplied by persons owned by, controlled by, or subject to the jurisdiction or direction of a foreign adversary, to include the People’s Republic of China, among others.	国際緊急経済権限法（50 U.S.C. 1701 et seq.）に従い、私はここに、中華人民共和国などを含む外国の敵対国が所有する者、支配する者、またはその管轄下にある者が設計、開発、製造、または供給する特定の接続ソフトウェアアプリケーションからの脅威に対処するための大統領令を発行したことを報告します。
I have determined that additional consideration must be given in addressing the national emergency declared in Executive Order 13873 of May 15, 2019 (Securing the Information and Communications Technology and Services Supply Chain), including the threat posed by certain connected software applications designed, developed, manufactured, or supplied by persons owned by, controlled by, or subject to the jurisdiction or direction of a foreign adversary.	私は、2019年5月15日付の大統領令第13873号（Securing the Information and Communications Technology and Services Supply Chain）で宣言された国家的緊急事態に対処するにあたり、外国の敵対者が所有、支配、または管轄や指示に従う者が設計、開発、製造、または供給する特定の接続ソフトウェアアプリケーションがもたらす脅威を含め、追加の検討を行う必要があると判断しました。
I am enclosing a copy of the Executive Order I have issued.	私が発行した大統領令のコピーを同封いたします。
Sincerely,	謹んで申し上げます。
JOSEPH R. BIDEN JR.	ジョセフ・R・バイデン・Jr.

2021.06.13 00:58 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

金融庁「コーポレートガバナンス・コードと投資家と企業の対話ガイドラインの改訂について」の公表について

こんにちは、丸山満彦です。

「スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議」（座長神田秀樹学習院大学大学院法務研究科教授）が、「コーポレートガバナンス・コードと投資家と企業の対話ガイドラインの改訂について」と題する提言を取りまとめ、公表していますね。。。

● 金融庁

・2021.06.11 投資家と企業の対話ガイドライン」（改訂版）の確定について

・[PDF] （別紙１）改訂版対話ガイドライン

・[PDF] （別紙２）改訂前からの変更点

・[PDF] （別紙３）寄せられたご意見の概要及びそれに対する回答

・[PDF] （別紙４）コーポレートガバナンス・コードと対話ガイドラインの改訂に係る意見募集の結果の概要

・[PDF] （別紙５）再改訂版コーポレートガバナンス・コード（東京証券取引所）

・[PDF] （別紙６）再改訂前からの変更点

● 東京証券取引

・再改訂版コーポレートガバナンス・コードに対し寄せられたご意見の概要とそれに対する回答

・[PDF] 提出された意見とそれに対する考え方

・[PDF] パブリックコメントの結果の概要

・[PDF] コーポレートガバナンス・コード（改訂前からの変更点）（正式決定版）

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.05 コーポレートガバナンス・コード改訂（案）

2021.06.13 00:00 in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2021.06.12

中国データセキュリティ法が承認され2021.09.01施行されますね。。。

こんにちは、丸山満彦です。

6月10日の第13期中国全国人民代表大会（全人代）常務委員会第29回会議において、「データセキュリティ法（数据安全法）」の採択が決定され、2021年9月1日に施行されることになりましたね。

この法律は、データ分野における基本法であり、国家安全保障分野における重要な法律と言われていますね。。。

発表

● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China: CAC)

・2021.06.10 中华人民共和国主席令（第八十四号）

《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过，现予公布，自2021年9月1日起施行。	「中華人民共和国データセキュリティ法」は、2021年6月10日に中華人民共和国第13回全国人民代表大会常務委員会第29回会議で採択され、ここに公布され、2021年9月1日に発効する。
中华人民共和国主席　习近平	中華人民共和国習近平国家主席
2021年6月10日	2021年6月10日

法律のポイントについては、記者会見で述べられていますね。。。

● 大力税手官方网

・【全国人大网】全国人大常委会法制工作委员会发言人记者会 2021.6.4

[ 臧铁伟 ] （ 2021-06-04 10:06:24 ）

[ Zang Tiewei ] ( 2021-06-04 10:06:24 )

关于数据安全法草案（三次审议稿）。2020年6月常委会第二十次会议和2021年4月常委会第二十八次会议对数据安全法草案进行了两次审议。根据各方面意见，提请本次常委会会议审议的草案三次审议稿拟作如下主要修改：一是，建立工作协调机制，加强对数据安全工作的统筹。二是，明确对关系国家安全、国民经济命脉、重要民生、重大公共利益等数据实行更严格的管理制度。三是，要求提供智能化公共服务应当充分考虑老年人、残疾人的需求，不得对老年人、残疾人的日常生活造成障碍。四是，进一步完善保障政务数据安全方面的规定。五是，加大对违法行为的处罚力度。

2020年6月に開催された第20回常任委員会、2021年4月に開催された第28回常任委員会の２回にわたり、データセキュリティ法草案が審議されました。今回の常任委員会での審議のために提出された第３次草案では、各方面からの意見を踏まえ、主な変更点が以下のように提案されています。第１に、作業調整メカニズムを確立し、データセキュリティ作業の調整を強化すること。第２に、国家安全保障、国民経済の生命線、重要な国民の生活、主要な公共の利益に関わるデータについて、より厳格な管理体制の実施を明確にすること。第３に、インテリジェントな公共サービスの提供にあたっては、高齢者や障害者のニーズを十分に考慮し、日常生活に支障をきたさないようにすること。第４に、政府データのセキュリティ保護に関する規定をさらに改善すること。第５に、違反した場合の罰則を強化することです。

条文については、こちら・・・

・2021.06.10 中华人民共和国数据安全法

中华人民共和国数据安全法	中華人民共和国データセキュリティ法
（2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过）	（2021年6月10日、第13期全国人民代表大会常務委員会第29回会議で採択）
目录	目次
第一章　总则	第1章総則
第二章　数据安全与发展	第2章データセキュリティと開発
第三章　数据安全制度	第3章データセキュリティシステム
第四章　数据安全保护义务	第4章データセキュリティ保護の義務
第五章　政务数据安全与开放	第5章政府のデータセキュリティとオープン化
第六章　法律责任	第6章法的責任
第七章　附则	第7章附則

第一章　总则	第1章総則
第一条　为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定本法。	第1条本法は、データ処理活動を規制し、データの安全性を保護し、データの開発および利用を促進し、個人および組織の正当な権利および利益を保護し、国家の主権、安全および発展の利益を保護するために制定される。
第二条　在中华人民共和国境内开展数据处理活动及其安全监管，适用本法。	第2条本法は、中華人民共和国の領域内におけるデータ処理活動およびそのセキュリティ監督に適用される。
在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。	データ処理活動が中華人民共和国の領域外で行われ、国家安全保障、公共の利益、または中華人民共和国の市民もしくは組織の合法的な権利および利益が損なわれた場合、法的責任は法律に従って調査される。
第三条　本法所称数据，是指任何以电子或者其他方式对信息的记录。	第3条本法令でいうデータとは、電子的またはその他の手段による情報の記録をいう。
数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。	データ処理とは、データの収集、保管、使用、処理、送信、提供、開示等をいう。
数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。	データセキュリティとは、必要な措置を講じることにより、データが効果的に保護され、合法的に利用できる状態にあることを確保するとともに、継続的なセキュリティ状態を保証する能力を有することをいう。
第四条　维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。	第4条データセキュリティを維持するためには、国家全体のセキュリティ概念を遵守し、健全なデータセキュリティガバナンスシステムを確立し、データセキュリティの保証能力を向上させなければならない。
第五条　中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。	第5条中央国家安全保障指導機関は、国家データ・セキュリティ業務の意思決定と調整、国家データ・セキュリティ戦略および関連する主要な指針・政策の調査・策定・実施指導、国家データ・セキュリティに関する主要事項・重要業務の調整、国家データ・セキュリティ業務調整メカニズムの構築に責任を負う。
第六条　各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。	第6条すべての地域および部門は、自らの地域および部門の業務において収集および生成されるデータおよびデータセキュリティに責任を負う。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。	工業、通信、交通、金融、天然資源、保健、教育、科学技術の各所轄部門は、それぞれの業界・分野におけるデータセキュリティの監督責任を負う。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。	公安機関、国家安全保障機関およびその他の機関は、本法ならびに関連法および行政法規の規定に従い、それぞれの責任範囲内でデータ・セキュリティ監督の責任を負う。
国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。	本法ならびに関連法および行政法規の規定に基づき、国のネットワーク情報部門は、ネットワークデータのセキュリティおよび関連する規制作業の調整に責任を負う。
第七条　国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。	第7条国は、個人及び団体のデータに関連する権利及び利益を保護し、法律に基づきデータの合理的かつ効果的な利用を奨励し、法律に基づきデータの秩序ある自由な流れを保証し、データを重要な要素とするデジタル経済の発展を促進するものとする。
第八条　开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。	第8条国は、情報処理活動を行うにあたり、法令を遵守し、社会的道徳と倫理を尊重し、企業倫理と職業倫理を守り、誠実で信頼性の高いものとし、データセキュリティ保護義務を果たし、社会的責任を負うものとし、国の安全や公共の利益を危険にさらしたり、個人や組織の正当な権利や利益を害したりしてはならない。
第九条　国家支持开展数据安全知识宣传普及，提高全社会的数据安全保护意识和水平，推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作，形成全社会共同维护数据安全和促进发展的良好环境。	第9条国家は、データセキュリティに関する知識の普及を支援し、社会全体のデータセキュリティ保護の意識とレベルを向上させ、関係部門、産業組織、科学研究機関、企業および個人のデータセキュリティ保護業務への参加を促進し、社会全体が共同でデータセキュリティを維持し、発展を促進するための良好な環境を形成する。
第十条　相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展。	第10条関連業界団体は、その憲章に基づき、法律に基づいてデータ・セキュリティ行動規範およびグループ基準を策定し、業界の自己規律を強化し、データ・セキュリティ保護を強化するよう会員を指導し、データ・セキュリティ保護のレベルを向上させ、業界の健全な発展を促進するものとする。
第十一条　国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。	第11条国は、データセキュリティガバナンスおよびデータの開発・利用の分野における国際的な交流・協力を積極的に行い、データセキュリティに関連する国際的なルールや基準の策定に参加し、国境を越えたデータの安全かつ自由な流れを促進する。
第十二条　任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。	第12条個人または組織は、本法の規定に違反する行為について、関係する管轄部署に苦情を申し立てる、または報告する権利を有する。苦情や報告を受けた部門は、法律に則って適時に対処しなければならない。
有关主管部门应当对投诉、举报人的相关信息予以保密，保护投诉、举报人的合法权益。	関連する主管部門は、告発者または内部告発者の関連情報を秘密にし、告発者または内部告発者の合法的な権利と利益を保護しなければならない。
第二章　数据安全与发展	第2章データセキュリティと開発
第十三条　国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。	第13条国は、開発とセキュリティを連携させ、データの開発・利用および産業の発展とともにデータ・セキュリティを推進することを主張し、データ・セキュリティとともにデータの開発・利用および産業の発展を保証するものとする。
第十四条　国家实施大数据战略，推进数据基础设施建设，鼓励和支持数据在各行业、各领域的创新应用。	第14条国は、ビッグデータ戦略を実施し、データ基盤の構築を促進し、様々な産業・分野におけるデータの革新的な活用を奨励・支援するものとする。
省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划，并根据需要制定数字经济发展规划。	省レベル以上の人民政府は、デジタル経済の発展を国家の経済社会開発計画に組み込み、必要に応じてデジタル経済の発展のための計画を策定しなければならない。
第十五条　国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务，应当充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍。	第15条国は、公共サービスのインテリジェンスを高めるために、データの開発と利用を支援する。知的公共サービスの提供は、高齢者や障害者のニーズを十分に考慮し、日常生活に支障をきたさないようにしなければならない。
第十六条　国家支持数据开发利用和数据安全技术研究，鼓励数据开发利用和数据安全等领域的技术推广和商业创新，培育、发展数据开发利用和数据安全产品、产业体系。	第16条国は、データの利用及び活用並びにデータセキュリティ技術に関する研究を支援し、データの利用及び活用並びにデータセキュリティの分野における技術の振興及び商業上の革新を奨励し、データの利用及び活用並びにデータセキュリティの製品及び産業システムを育成し、発展させる。
第十七条　国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责，组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。	第17条国は、データの開発・利用技術及びデータ・セキュリティ標準システムの構築を促進するものとする。国務院標準化行政部門および国務院の関連部門は、それぞれの責任に基づいて、データの利用・活用技術、製品、データのセキュリティに関する標準の策定およびタイムリーな改訂を組織する。国は、基準策定への企業、社会団体、教育・科学研究機関の参加を支援する。
第十八条　国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。	第18条国は、データセキュリティの試験、評価、認証およびその他のサービスの発展を促進し、データセキュリティの試験、評価、認証およびその他の専門機関が法律に基づいてサービス活動を行うことを支援する。
国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。	国は、データ・セキュリティのリスク評価、予防、処分において、関連部門、産業組織、企業、教育・科学研究機関、関連専門機関などの連携を支援する。
第十九条　国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。	第19条国は、データ取引に関する管理体制を整備・改善し、データ取引を規制するとともに、データ取引市場を育成する。
第二十条　国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训，采取多种方式培养数据开发利用技术和数据安全专业人才，促进人才交流。	第20条国は、教育、科学研究機関及び企業等がデータの開発・利用技術及びデータセキュリティに関する教育・訓練を行うことを支援し、データの開発・利用技術及びデータセキュリティの専門家を育成するための様々な方法を採用し、人材の交流を促進するものとする。
第三章　数据安全制度	第3章データセキュリティシステム
第二十一条　国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。	第21条国は、データの分類および等級別保護システムを確立し、経済社会の発展におけるデータの重要性、およびデータが改ざん、破壊、漏洩、または不正アクセスや不正使用された場合に、国家安全保障、公共の利益、または個人や組織の正当な権利と利益にもたらされる害の程度に応じて、データの分類および等級別保護を実施するものとする。国家データセキュリティ調整機構は、関連部門を調整して重要データカタログを作成し、重要データの保護を強化する。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。	国家安全保障、国民経済のライフライン、重要な国民の生活、主要な公共の利益に関わるデータは、国家基幹データに属し、より厳しい管理体制を敷く。
各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。	すべての地域および部門は、データの分類および等級別保護システムに基づき、自らの地域および部門ならびに関連する産業および分野における重要なデータの具体的なカタログを決定し、カタログに含まれるデータの重要な保護を行う。
第二十二条　国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。	第22条国は、データ・セキュリティ・リスクの評価、報告、情報共有、監視、早期警戒のメカニズムを集中的、統一的、効率的かつ権威的に確立する。国家データセキュリティ作業調整メカニズムは、データセキュリティリスク情報の取得、分析、調査・判断、早期警告を強化するために、関連部門を調整する。
第二十三条　国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。	第23条国は、緊急時のデータセキュリティ処理機構を設置する。データセキュリティインシデントが発生した場合、関連する主管部門は、法律に基づいて緊急対応計画を開始し、危険性の拡大を防止し、セキュリティ上の危険性を排除するために、対応する緊急処理措置を講じ、一般市民に関連する警告情報を速やかに社会に発信するものとする。
第二十四条　国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。	第24条国は、データ・セキュリティ・レビュー・システムを確立し、国家安全保障に影響を与える、または影響を与える可能性のあるデータ処理活動について、国家安全保障レビューを行う。
依法作出的安全审查决定为最终决定。	法律に基づいて行われたセキュリティクリアランスの決定は最終的なものである。
第二十五条　国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。	第25条国は、国家の安全と利益の維持及び国際的な義務の履行に関係する管理対象物であるデータについて、法律に基づいて輸出管理を行うものとする。
第二十六条　任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。	第26条データ及びデータ利用技術等に関する投資及び貿易について、中華人民共和国に対して差別的な禁止、制限その他類似の措置をとる国又は地域がある場合、中華人民共和国は、当該国又は地域に対し、実情に応じて相互に措置をとることができる。
第四章　数据安全保护义务	第4章データセキュリティ保護の義務
第二十七条　开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。	第27条データ処理活動を行う者は、法令に従い、全プロセスのデータセキュリティ管理システムを構築・改善し、データセキュリティの教育・訓練を実施し、データセキュリティを保護するために対応する技術的措置およびその他の必要な措置を講じなければならない。インターネットなどの情報ネットワークを利用したデータ処理活動は、ネットワークセキュリティレベルの保護システムに基づいて、上記のデータセキュリティ保護義務を果たすものとする。
重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。	重要なデータの処理者は、データセキュリティの責任者および管理機関を明示し、データセキュリティ保護の責任を履行する。
第二十八条　开展数据处理活动以及研究开发数据新技术，应当有利于促进经济社会发展，增进人民福祉，符合社会公德和伦理。	第28条データ処理活動の実施および新しいデータ技術の研究・開発は、経済・社会の発展を促進し、国民の福祉を向上させ、社会的道徳・倫理に適合するものでなければならない。
第二十九条　开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。	第29条データ処理活動の実施は、リスクモニタリングを強化し、データセキュリティの欠陥、脆弱性およびその他のリスクが発見された場合には、直ちに改善措置を講じなければならない。データセキュリティインシデントが発生した場合には、直ちに処分措置を講じ、利用者に速やかに通知し、規制に基づいて関連する管轄当局に報告しなければならない。
第三十条　重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。	第30条重要なデータの処理者は、規定に従ってデータ処理活動のリスクアセスメントを定期的に行い、リスクアセスメント報告書を関連する管轄当局に提出しなければならない。
风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。	リスクアセスメント報告書には、処理される重要なデータの種類と量、データ処理活動が行われる状況、直面するデータセキュリティリスクとその対策などを含めるものとする。
第三十一条　关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。	第31条重要な情報インフラの運営者が中華人民共和国の領域内で業務上収集・生成する重要なデータの対外的なセキュリティ管理については、中華人民共和国のネットワークセキュリティ法の規定に従うものとし、その他のデータ処理者が中華人民共和国の領域内で業務上収集・生成する重要なデータの対外的なセキュリティ管理については、国のネットワーク情報部門が国務院の関連部門と共同で策定するものとする。
第三十二条　任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。	第32条データを収集する組織または個人は、適法かつ適切な方法を採用しなければならず、その他の違法な方法でデータを盗んだり入手したりしてはならない。
法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。	データの収集および利用の目的および範囲が法律および行政法規で定められている場合は、法律および行政法規で定められている目的および範囲内でデータを収集および利用する。
第三十三条　从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。	第33条データ取引の仲介業務を行ってサービスを提供する機関は、データ提供者にデータの出所を説明し、取引の両当事者の身元を確認し、確認と取引の記録を残すことを要求しなければならない。
第三十四条　法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。	第34条法令や行政規則において、情報処理に関するサービスを提供する場合に行政上の許可を得なければならないと定められている場合、サービス提供者は法令に基づいて許可を得なければならない。
第三十五条　公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。	第35条公安機関または国家安全保障機関が、国家の安全を維持し、または法律に基づいて犯罪を捜査する目的でデータを取得する必要がある場合、国家の関連法規に従い、厳格な承認手続きを経て、法律に基づいて手続きを行うものとし、関連組織および個人は協力しなければならない。
第三十六条　中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。	第36条中華人民共和国の権限のある当局は、関連する法律及び中華人民共和国が締結又は加盟した国際条約及び協定に従い、又は平等及び互恵の原則に従い、外国の司法機関又は法執行機関からのデータの要求を取り扱う。中華人民共和国の管轄当局の承認なしに、領域内の組織および個人は、中華人民共和国の領域内に保存されているデータを外国の司法機関または法執行機関に提供してはならない。
第五章　政务数据安全与开放	第5章政府データのセキュリティとオープン性
第三十七条　国家大力推进电子政务建设，提高政务数据的科学性、准确性、时效性，提升运用数据服务经济社会发展的能力。	第37条国は、電子政府の構築を強力に推進し、政府データの科学性、正確性、適時性を向上させ、経済・社会の発展に役立つデータ利用能力を強化する。
第三十八条　国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供。	第38条国がその法定の職務を遂行するために行うデータの収集及び利用は、法律及び行政規則に規定された条件及び手続に従って、その法定の職務の範囲内で行われるものとし、個人のプライバシー、個人情報、商業上の秘密、業務上の機密情報及び職務遂行上知り得たその他のデータは、法律に従って秘密に保持され、他人に開示し、又は不正に提供してはならない。
第三十九条　国家机关应当依照法律、行政法规的规定，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。	第39条国は、法律及び行政法規の規定に従い、健全なデータセキュリティ管理システムを構築し、データセキュリティ保護の責任を履行し、政府事務データのセキュリティを守らなければならない。
第四十条　国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。	第40条国は、他人に電子政府システムの構築・維持および政府データの保存・処理を委託する場合、厳格な承認手続きを経るとともに、委託先が対応するデータセキュリティ保護義務を果たすよう監督しなければならない。委託先は、法令や契約書の規定に基づき、データセキュリティ保護義務を履行し、政府事務データを無断で保持、使用、開示、提供してはならない。
第四十一条　国家机关应当遵循公正、公平、便民的原则，按照规定及时、准确地公开政务数据。依法不予公开的除外。	第41条国は、国民に対し、正義、公正、利便性の原則に従い、規則に従い、政府事務データを適時かつ正確に開示しなければならない。但し、法令により開示されていないものを除く。
第四十二条　国家制定政务数据开放目录，构建统一规范、互联互通、安全可控的政务数据开放平台，推动政务数据开放利用。	第42条国は、政府事務データのオープン・ディレクトリを策定し、統一的かつ標準的で、相互運用性があり、安全で制御可能なオープンな政府事務データ・プラットフォームを構築し、政府事務データのオープンな利用を促進するものとする。
第四十三条　法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动，适用本章规定。	第43条この章の規定は、法令により権限を与えられ、公務を管理する機能を有する組織が、その法定の義務を果たすためにデータ処理活動を行う場合に適用されるものとする。
第六章　法律责任	第6章法的責任
第四十四条　有关主管部门在履行数据安全监管职责中，发现数据处理活动存在较大安全风险的，可以按照规定的权限和程序对有关组织、个人进行约谈，并要求有关组织、个人采取措施进行整改，消除隐患。	第44条関係省庁は、データセキュリティの監督義務を遂行するにあたり、データ処理活動においてセキュリティ上のリスクが大きいと認められる場合には、所定の権限および手続きに従って関係組織および個人に聞き取り調査を行い、隠れた危険性を是正・排除するための措置をとるよう関係組織および個人に要求することができる。
第四十五条　开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。	第45条データ処理活動を行う組織または個人が、本法第27条、第29条および第30条に規定されたデータセキュリティ保護に関する義務を履行しない場合、関係当局は修正を命じ、警告を発し、5万元以上50万元以下の罰金を科し、責任者およびその他の直接の責任者に1万元以上10万元以下の罰金を科すことができる。大量のデータが漏洩するなどの重大な結果を引き起こした場合は、50万元以上200万元以下の罰金を科し、関連事業者には営業停止、営業停止・是正、関連営業許可の取り消しを命じ、責任者およびその他の直接責任者には5万元以上20万元以下の罰金を科す。
违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。	国家基幹データ管理システムへの違反が国家の主権、安全および発展の利益を危うくする場合、関係する主管機関は200万元以上1,000万元以下の罰金を科し、場合によっては関連事業の停止、是正のための事業停止、関連事業許可の取り消し、事業許可の取り消しを命じ、違反が犯罪を構成する場合は、法律に基づいて刑事責任を捜査するものとする。
第四十六条　违反本法第三十一条规定，向境外提供重要数据的，由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。	第46条本法第31条の規定に違反して、重要なデータが国外に提供された場合、関係当局は是正を命じ、警告を発し、直接責任を負う担当者およびその他の直接責任を負う者に10万元以上100万元以下の罰金を科す。状況が深刻な場合、100万元以上1000万元以下の罰金を科し、関係当局は関連事業の停止を命じることができる。事業の停止、是正、関連事業許可の取り消し、事業許可の取り消し、および直接責任を負う担当者およびその他の直接責任を負う者に10万元以上100万元以下の罰金を科す。
第四十七条　从事数据交易中介服务的机构未履行本法第三十三条规定的义务的，由有关主管部门责令改正，没收违法所得，处违法所得一倍以上十倍以下罚款，没有违法所得或者违法所得不足十万元的，处十万元以上一百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	第47条データ取引仲介業務を行う機関が本法第33条に定める義務を履行しなかった場合、関係当局は是正を命じ、違法所得を没収し、違法所得の2倍以上10倍以下の罰金を科し、違法所得がない場合または違法所得が10万元未満の場合は10万元以上100万元以下の罰金を科し、関連業務の停止、業務是正の停止、関連業務の取消しを命じることができる。許認可の取り消し、または営業許可の取り消しを行い、直接責任者およびその他の直接責任者に1万元以上10万元以下の罰金を科す。
第四十八条　违反本法第三十五条规定，拒不配合数据调取的，由有关主管部门责令改正，给予警告，并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	第48条関係当局は、本法第35条の規定に違反してデータ検索に協力しない者がいる場合、是正を命じ、警告を発し、5万元以上50万元以下の罰金を科し、責任者およびその他の直接の責任者に1万元以上10万元以下の罰金を科す。
违反本法第三十六条规定，未经主管机关批准向外国司法或者执法机构提供数据的，由有关主管部门给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；造成严重后果的，处一百万元以上五百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。	本法第36条の規定に違反して、主務官庁の承認を得ずに外国の司法機関または法執行機関にデータを提供した場合、当該主務官庁は警告を発し、責任者およびその他の直接責任を負う者に10万元以上100万元以下の罰金を科す。重大な結果を引き起こした場合は、100万元以上500万元以下の罰金を科すことができる。関連事業の停止、事業是正の停止、関連事業許可の取り消し、事業許可の取り消しを命じ、直接責任を負う担当者およびその他の直接責任を負う者に5万元以上50万元以下の罰金を科す。
第四十九条　国家机关不履行本法规定的数据安全保护义务的，对直接负责的主管人员和其他直接责任人员依法给予处分。	第49条国家機関がこの法律に基づくデータセキュリティ保護義務を履行しない場合、直接責任を負う担当者およびその他の直接責任を負う者は、法律に基づいて処罰される。
第五十条　履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的，依法给予处分。	第50条データ・セキュリティ監督の職務を遂行する国家公務員が、その職務を怠り、権力を濫用し、または便宜を図った場合は、法律に基づいて処罰される。
第五十一条　窃取或者以其他非法方式获取数据，开展数据处理活动排除、限制竞争，或者损害个人、组织合法权益的，依照有关法律、行政法规的规定处罚。	第51条その他の違法な方法でデータを盗用または入手した者、競争を排除または制限するためにデータ処理活動を行った者、個人または組織の正当な権利および利益を害した者は、関連法および行政法規の規定に従って処罰される。
第五十二条　违反本法规定，给他人造成损害的，依法承担民事责任。	第52条この法律の規定に違反して他人に損害を与えた者は、法律に基づいて民事責任を負う。
违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。	本法の規定に違反し、公安行政違反を構成した者は、法律に基づいて公安行政により処罰され、犯罪を構成した場合は、法律に基づいて刑事責任を問われる。
第七章　附则	第7章規約
第五十三条　开展涉及国家秘密的数据处理活动，适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。	第53条国家機密に関わるデータ処理活動を行う際には、国家機密の保全に関する中華人民共和国法およびその他の法律と行政法規の規定が適用される。
在统计、档案工作中开展数据处理活动，开展涉及个人信息的数据处理活动，还应当遵守有关法律、行政法规的规定。	統計およびアーカイブにおけるデータ処理活動の実施、および個人情報に関わるデータ処理活動の実施においても、関連する法律および行政規則の規定を遵守する。
第五十四条　军事数据安全保护的办法，由中央军事委员会依据本法另行制定。	第54条軍事データの安全保護のための措置は、この法律に従い、中央軍事委員会が別途定める。
第五十五条　本法自2021年9月1日起施行。	第55条本法は、2021年9月1日に施行する。

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.07.06 中国のデータセキュリティ法案

2021.06.12 03:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2021.06.11

U.S. White House サプライチェーンの途絶に対処するための取り組み...

こんにちは、丸山満彦です。

U.S.連邦政府が、短期的なサプライチェーンの途絶に対処するためのサプライチェーン途絶タスクフォースを発表しましたね。。。

● Whitehouse

・2021.06.08 FACT SHEET: Biden-Harris Administration Announces Supply Chain Disruptions Task Force to Address Short-Term Supply Chain Discontinuities

・[PDF] BUILDING RESILIENT SUPPLY CHAINS, REVITALIZING AMERICAN MANUFACTURING, AND FOSTERING BROAD-BASED GROWTH - 100-Day Reviews under Executive Order 14017

FACT SHEET: Biden-Harris Administration Announces Supply Chain Disruptions Task Force to Address Short-Term Supply Chain Discontinuities	ファクトシート：バイデン・ハリス政権、短期的なサプライチェーンの途絶に対処するためのサプライチェーン途絶タスクフォースを発表
100-Day Review Outlines Steps to Strengthen Critical Supply Chains	100日レビュー」で重要なサプライチェーンを強化するためのステップを紹介
FINAL REPORT	最終報告書
Today, the Biden-Harris Administration is announcing key findings from the reviews directed under Executive Order (E.O.) 14017 “America’s Supply Chains,” as well as immediate actions the Administration will take to strengthen American supply chains to promote economic security, national security, and good-paying, union jobs here at home.	本日、バイデン-ハリス政権は、大統領令14017「アメリカのサプライチェーン」の下で指示されたレビューから得られた重要な知見を発表するとともに、経済安全保障、国家安全保障、そして国内での高給の組合員雇用を促進するために、アメリカのサプライチェーンを強化するために政権が取る即時の行動についても発表します。
On February 24, 2021, the President signed E.O. 14017, directing a whole-of-government approach to assessing vulnerabilities in, and strengthening the resilience of, critical supply chains. Stemming from that effort, the Biden-Harris Administration has already begun to take steps to address supply chain vulnerabilities:	2021年2月24日、大統領は大統領令14017に署名し、重要なサプライチェーンの脆弱性を評価し、その回復力を強化するための政府全体のアプローチを指示しました。この取り組みを受けて、バイデン・ハリス政権は、サプライチェーンの脆弱性に対処するための措置をすでに開始しています。
・The Administration’s COVID-19 Response Team has drastically expanded the manufacture of vaccines and other essential supplies, enabling more than 137 million Americans to get fully vaccinated.	・バイデン・ハリス政権のCOVID-19対策チームは、ワクチンやその他の必須物資の製造を大幅に拡大し、1億3700万人以上のアメリカ人が完全に予防接種を受けられるようにしました。
・The Administration has also worked with companies that manufacture and use semiconductor chips to identify improvements in supply chain management practices that can strengthen the semiconductor supply chain over time.	・当局はまた、半導体チップを製造・使用する企業と協力して、半導体のサプライチェーンを長期的に強化するためのサプライチェーンマネジメントの手法の改善点を明らかにしました。
・The Department of Defense (DOD) has announced an investment in the expansion of the largest rare earth element mining and processing company outside of China to provide the raw materials necessary to help combat the climate crisis.	・国防総省（DOD）は、気候危機への対策に必要な原材料を提供するため、中国以外では最大規模のレアアース採掘・加工会社の拡張に投資することを発表しました。
・And the Biden-Harris Administration is working to address critical cyber vulnerabilities to U.S. supply chains and critical infrastructure, including issuing E.O. 14028 on “Improving the Nation’s Cyber Security” just last month.	・また、バイデン・ハリス政権は、つい先月、「国家のサイバーセキュリティの向上」に関する大統領令14028を発行するなど、米国のサプライチェーンや重要インフラに対するサイバー上の重大な脆弱性への対策に取り組んでいます。
Today, building on these efforts, the Administration released findings from the comprehensive 100-day supply chain assessments for four critical products: semiconductor manufacturing and advanced packaging; large capacity batteries, like those for electric vehicles; critical minerals and materials; and pharmaceuticals and active pharmaceutical ingredients (APIs). The Administration is taking immediate action to address vulnerabilities and strengthen resilience with the launch of a new effort aimed at addressing near-term supply chain disruptions. And, pursuant to E.O. 14017, it is crafting strategies for six industrial bases that underpin America’s economic and national security, which will be completed within a year. The supply chain reviews reinforce the need for the transformative investments proposed in the President’s American Jobs Plan.	本日、米国政府は、これらの取り組みを踏まえ、半導体製造および先端パッケージング、電気自動車用などの大容量バッテリー、重要な鉱物および材料、医薬品および医薬品原料（API）の4つの重要製品について、100日間にわたる包括的なサプライチェーン評価の結果を発表しました。政府は、脆弱性に対処し、回復力を強化するために、短期的なサプライチェーンの混乱に対処することを目的とした新たな取り組みを開始しました。また、大統領令14017に基づき、米国の経済と国家安全保障を支える6つの産業基盤の戦略を策定しており、1年以内に完成させる予定です。今回のサプライチェーンの見直しは、大統領の「米国雇用計画」で提案されている変革的な投資の必要性を補強するものです。
These efforts are critical because, as the COVID-19 pandemic and resulting economic crisis have shown, structural weaknesses in both domestic and international supply chains threaten America’s economic and national security. While amplified by the public health and economic crisis, decades of underinvestment and public policy choices led to fragile supply chains across a range of sectors and products. Unfair trade practices by competitor nations and private sector and public policy prioritization of low-cost labor, just-in-time production, consolidation, and private sector focus on short-term returns over long-term investment have hollowed out the U.S. industrial base, siphoned innovation from the United States, and stifled wage and productivity growth.	COVID-19パンデミックとそれに伴う経済危機が示すように、国内外のサプライチェーンにおける構造的な弱点が米国の経済と国家安全保障を脅かしているため、こうした取り組みは非常に重要です。今回の感染症と経済危機によってさらに深刻化したのは、数十年にわたる投資不足と公共政策の選択により、さまざまな分野や製品のサプライチェーンが脆弱になってしまったことです。競争相手国による不公正な貿易慣行や、民間企業や公共政策による低コスト労働、ジャストインタイム生産、統合、民間企業による長期的な投資よりも短期的な利益の重視などが、米国の産業基盤を空洞化させ、イノベーションを米国から吸い上げ、賃金や生産性の成長を阻害しています。
At the same time, the reviews find that the United States is well-positioned to maintain and strengthen our innovative leadership and rebuild our productive capacity in key sectors and value-chains. Our unparalleled university and research systems, skilled and diverse workforce, ecosystem of entrepreneurs and small businesses, and position as a global leader with strong relationships with allies and partners are the building blocks to revitalizing domestic competitiveness and strengthening supply chains. Working together, industry, labor, the government, and other stakeholders can chart a new path forward that emphasizes resilience and security, as well as broad-based growth and tackling the climate crisis.	一方で、今回のレビューでは、米国は革新的なリーダーシップを維持・強化し、主要なセクターやバリューチェーンにおける生産能力を再構築するための十分な態勢が整っていると評価しています。他に類を見ない大学や研究システム、熟練した多様な労働力、起業家や中小企業のエコシステム、同盟国やパートナーとの強固な関係を持つグローバルリーダーとしての地位は、国内の競争力を復活させ、サプライチェーンを強化するための基盤となります。産業界、労働界、政府、その他のステークホルダーが一丸となって、レジリエンスとセキュリティを重視し、広範な成長と気候変動問題への対応に向けた新たな道筋を描くことができます。
Taking Action to Address Vulnerabilities in Critical Product Supply Chains	重要製品のサプライチェーンにおける脆弱性に対処するための行動
The actions the Biden-Harris Administration announced today are the first step in a whole-of-government effort to strengthen domestic competitiveness and supply chain resilience. To address vulnerabilities in the supply chains of the four critical products identified by E.O. 14017, the Biden-Harris Administration will immediately:	本日、バイデン・ハリス政権が発表した行動は、国内の競争力とサプライチェーンの回復力を強化するための政府全体の取り組みの第一歩です。大統領令14017で特定された4つの重要製品のサプライチェーンにおける脆弱性に対処するため、バイデン-ハリス政権は直ちに以下を実施します。
Support domestic production of critical medicines	重要医薬品の国内生産の支援
・The Department of Health and Human Services (HHS), under the Defense Production Act (DPA) and building on current public-private partnerships, will establish a public-private consortium for advanced manufacturing and onshoring of domestic essential medicines production. The consortium’s first task will be to select 50-100 critical drugs, drawn from the Food and Drug Administration’s essential medicines list, to be the focus of an enhanced onshoring effort.	・保健社会福祉省（HHS）は、国防生産法（DPA）に基づき、現在の官民パートナーシップを基盤として、国内の必須医薬品生産の高度な製造とオンショアリングのための官民コンソーシアムを設立します。コンソーシアムの最初の課題は、米国食品医薬品局（FDA）の必須医薬品リストから50〜100品目の重要医薬品を選択し、オンショアリングを強化することです。
・HHS will make an initial commitment of approximately $60 million from the Defense Production Act appropriation in the American Rescue Plan to develop novel platform technologies to increase domestic manufacturing capacity for API. Greater API production domestically will help reduce reliance on global supply chains for medications that are in shortage, particularly during times of increased public health need.	・HHSは、原薬の国内製造能力を向上させるための新しいプラットフォーム技術を開発するために、米国救済計画の国防生産法による充当金から約6,000万ドルを最初に拠出する予定です。原薬の国内生産を増やすことで、特に公衆衛生上の必要性が高まっている時期に、不足している医薬品のグローバルサプライチェーンへの依存度を下げることができる。
Secure an end-to-end domestic supply chain for advanced batteries	先端電池のエンド・ツー・エンドの国内サプライチェーンの確保
・The Department of Energy (DOE) will release a National Blueprint for Lithium Batteries. This Blueprint will codify the findings of the battery supply chain review in a 10-year, whole-of-government plan to urgently develop a domestic lithium battery supply chain that combats the climate crisis by creating good-paying clean energy jobs across America. Later this month, the Department of Energy will host a Battery Roundtable, including representatives from each segment of the battery supply chain, to discuss the Blueprint.	・エネルギー省（DOE）は、「National Blueprint for Lithium Batteries（リチウム電池に関する国家青写真）」を発表します。この青写真は、電池サプライチェーンの見直しで得られた知見を10年間の政府全体の計画としてまとめたもので、気候危機に立ち向かうための国内リチウム電池サプライチェーンを早急に構築し、米国全土で高給のクリーンエネルギー関連の雇用を創出することを目的としています。今月末、エネルギー省は、バッテリーサプライチェーンの各部門の代表者を含む「バッテリーラウンドテーブル」を開催し、青写真について議論する予定です。
・DOE’s Loan Programs Office (LPO) will immediately leverage the approximately $17 billion in loan authority in the Advanced Technology Vehicles Manufacturing Loan Program (ATVM) to support the domestic battery supply chain. LPO will leverage full statutory authority to finance key strategic areas of development and fill deficits in the domestic supply chain capacity. This will include the ATVM program making loans to manufacturers of advanced technology vehicle battery cells and packs for re-equipping, expanding or establishing such manufacturing facilities in the United States.	・DOEの融資プログラム局（LPO）は、ATVM（Advanced Technology Vehicle Manufacturing Loan Program）の約170億ドルの融資権を直ちに活用し、国内のバッテリーサプライチェーンを支援します。LPOは法定の権限をフルに活用して、重要な戦略分野の開発資金を調達し、国内サプライチェーンの能力不足を補います。これには、ATVMプログラムが、先進技術の自動車用バッテリーセルおよびパックの製造業者に対して、米国内での製造施設の再装備、拡張、設立のための融資を行うことが含まれます。
・DOE’s Federal Energy Management Program (FEMP) will launch a new effort to support deployment of energy storage projects by federal agencies. It will begin with a federal government-wide energy storage review that will evaluate the current opportunity for deploying battery storage at federal sites. FEMP will also launch a call for projects from federal sites interested in deploying energy storage projects, and provide the necessary technical assistance to get those projects built. These actions build on steps taken earlier this year to leverage $13 million in FEMP’s Assisting Federal Facilities with Energy Conservation Technologies grants to unlock an estimated $260 million or more in project investments, including battery storage projects.	・DOEのFEMP（Federal Energy Management Program）は、連邦政府機関によるエネルギー貯蔵プロジェクトの展開を支援する新しい取り組みを開始します。まず、連邦政府全体のエネルギー・ストレージ・レビューを実施し、連邦政府の施設にバッテリー・ストレージを導入するための現在の機会を評価します。また、FEMPは、蓄電プロジェクトの導入に関心のある連邦機関からプロジェクトを募集し、プロジェクトの構築に必要な技術支援を行います。これらの活動は、今年初めに実施したFEMPの「連邦施設の省エネ技術支援」助成金1,300万ドルを活用して、蓄電池プロジェクトを含む2億6,000万ドル以上のプロジェクト投資を可能にするための措置です。
Invest in sustainable domestic and international production and processing of critical minerals	重要鉱物の国内外での持続可能な生産・加工への投資
・The Department of Interior (DOI), with the support of the White House Office of Science and Technology Policy, will establish a working group composed of agencies such as the Department of Agriculture (USDA) and the Environmental Protection Agency (EPA) to identify sites where critical minerals could be produced and processed in the United States while adhering to the highest environmental, labor, and sustainability standards. This working group will collaborate with the private sector, states, Tribal Nations, and stakeholders—including representatives of labor, impacted communities, and environmental justice leaders—to expand sustainable, responsible critical minerals production and processing in the United States.	・内務省（DOI）は、ホワイトハウス科学技術政策室の支援を受け、農務省（USDA）や環境保護庁（EPA）などの機関で構成されるワーキンググループを設立し、環境、労働、持続可能性に関する最高水準の基準を遵守しながら、重要な鉱物を米国内で生産・加工できる場所を特定します。このワーキンググループは、民間企業、州、部族国家、および労働者、影響を受けるコミュニティ、環境正義のリーダーを含む利害関係者と協力して、米国における持続可能で責任ある重要鉱物の生産と加工を拡大します。
・The Administration will establish an interagency team composed of staff from agencies including DOI, USDA, EPA, and others with expertise in mine permitting and environmental law. This team will identify gaps in statutes and regulations that may need to be updated by Congress to ensure: new production meets strong standards before mining begins, during the mining process, and after mining ends; meaningful community engagement and consultation with Tribal Nations, respecting the government-to-government relationship at all stages of the mining process; and opportunities to reduce time, cost, and risk of permitting without compromising strong environmental and consultation benchmarks are fully explored.	・政府は、DOI、USDA、EPAをはじめとする省庁のスタッフで構成される省庁間チームを設立し、鉱山許可や環境法に関する専門知識を持つ人材を確保します。このチームは、次のことを確実にするために、議会によって更新される必要があるかもしれない法令のギャップを特定します。新規生産が、採掘開始前、採掘プロセス中、および採掘終了後に強力な基準を満たすこと、採掘プロセスのすべての段階で政府対政府の関係を尊重して、意味のある地域社会の関与と部族国家との協議を行うこと、強力な環境および協議の基準を損なうことなく、許可にかかる時間、コスト、およびリスクを削減する機会を十分に検討します。
・DOD will deploy DPA Title III incentives—including grants, loans, loan guarantees, and offtake agreements—to support sustainably-produced strategic and critical materials, including scaling proven research and development (R&D) concepts and emerging technologies from other programs such as the Small Business Innovation Research awardees.	・DODは、助成金、融資、融資保証、引き取り契約など、DPAタイトル3のインセンティブを展開し、実績のある研究開発（R&D）コンセプトや、中小企業イノベーション研究の受賞者など他のプログラムからの新技術の拡大を含め、持続的に生産される戦略的・重要な材料を支援します。
・The DOE LPO, through its Title 17 Renewable Energy and Efficiency Energy Projects solicitation, has more than $3 billion in loan guarantees available to support efficient end-use energy technologies, such as mining, extraction, processing, recovery, or recycling technologies, of critical materials projects that satisfy Title 17 requirements.	・DOE LPOは、タイトル17の再生可能エネルギー・効率化エネルギープロジェクトの募集を通じて、タイトル17の要件を満たす重要材料プロジェクトの採掘、抽出、加工、回収、リサイクル技術などの効率的な最終エネルギー技術を支援するために、30億ドル以上の融資保証を用意しています。
・The U.S. Development Finance Corporation will expand international investments in projects that will increase production capacity for critical products, including critical minerals and other products identified pursuant to the E.O. 14017 process, ensuring that investments that support supply chain resilience and uphold international standards of environmental and social performance.	・米国開発金融公社は、重要鉱物や大統領令14017のプロセスに従って特定されたその他の製品を含む重要製品の生産能力を高めるプロジェクトへの国際投資を拡大し、サプライチェーンの回復力を支え、環境・社会的パフォーマンスの国際基準を守る投資を確保します。
Partner with industry, allies, and partners to address semiconductor shortages	半導体の不足に対処するための産業界、同盟国、パートナーとの連携
・Through strategic engagement with industry, the Department of Commerce (DOC) has supported nearly $75 billion in direct investments from the private sector in domestic semiconductor manufacturing and R&D. DOC will bolster its partnership with industry to facilitate information flow between semiconductor producers and suppliers and end-users. Leveraging the Department’s convening power, including through its advisory committees, DOC will bring stakeholders together to promote improved transparency and data sharing.	・商務省（DOC）は、産業界との戦略的な関わりを通じて、国内の半導体製造や研究開発に民間企業が行う750億ドル近い直接投資を支援してきました。DOCは、産業界とのパートナーシップを強化し、半導体の生産者、供給者とエンドユーザーの間の情報の流れを促進します。諮問委員会をはじめとするDOCの召集力を活用して、関係者を集め、透明性の向上とデータの共有を促進します。
・Building on the success of recent engagements with Japan and the Republic of Korea, including the announcement of more than $17 billion in U.S. semiconductor investments by leading companies in ROK, the Administration will strengthen engagement with allies and partners to promote fair semiconductor chip allocations, increase production, and promote increased investment.	・韓国の大手企業が170億ドル以上の米国半導体投資を発表するなど、最近の日本や韓国との関わりの成功を踏まえ、公正な半導体チップの割り当て、生産量の増加、投資の拡大を促進するために、同盟国やパートナーとの関わりを強化していきます。
Building Fair and Sustainable Industrial Bases	公正で持続可能な産業基盤の構築
In addition to the immediate actions taken in the supply chains of the critical products identified in E.O. 14017, the Administration is also announcing a series of actions to be taken across the Federal government to support supply chain resilience, workforce development, production and innovation, and strong sustainability and labor standards at home and abroad.	大統領令14017で特定された重要製品のサプライチェーンにおける即時の行動に加えて、政権は、サプライチェーンの回復力、労働力の開発、生産とイノベーション、および国内外の強固な持続可能性と労働基準を支援するために、連邦政府全体で行う一連の行動を発表します。
The Administration will:	政権は以下を行います。
Support American workers and innovation	米国の労働者とイノベーションを支援する
・The Department of Labor (DOL) will announce later this month more than $100 million in grants to support state-led apprenticeship expansion efforts as well as establish national Registered Apprenticeship Technical Assistance Centers of Excellence. The Apprenticeship Occupations and Standards Center of Excellence will provide support and technical assistance to employers and industry to build out model registered apprenticeship programs in critical supply chains.	・米国労働省は、今月末、州が主導する徒弟制度の拡大活動を支援するための1億ドル以上の助成金を発表するとともに、全米規模の登録徒弟制度技術支援センターを設立します。The Apprenticeship Occupations and Standards Center of Excellenceは、重要なサプライチェーンにおいてモデルとなる登録型徒弟制度を構築するために、雇用主や産業界に支援や技術支援を提供します。
・DOE will announce a new policy to ensure that all innovations that are developed with taxpayer dollars through DOE’s Science and Energy Programs require awardees to substantially manufacture those products in the United States, creating good-paying domestic jobs. This change will cover more than $8 billion in clean energy and climate innovation funding requested in the President’s Budget for Fiscal Year 2022, as well as future fiscal year spending. DOE will implement these actions through a Determination of Exceptional Circumstances under the Bayh-Dole Act. Additionally, the Administration will establish an interagency working group to identify best practices to develop and implement further improvements across the government.	・DOEは、DOEの科学・エネルギープログラムを通じて納税者の資金で開発されたすべての技術革新について、受賞者が実質的に米国内で製品を製造することを義務づけ、国内での高収入の雇用を創出するための新たな方針を発表します。この変更は、2022年度の大統領予算で要求されている80億ドル以上のクリーンエネルギー・気候変動イノベーション資金、および今後の会計年度の支出を対象としています。DOEは、バイ・ドール法に基づく「例外的状況の決定」により、これらの行動を実施します。さらに、政府は、政府全体でさらなる改善を開発・実施するために、ベストプラクティスを特定する省庁間ワーキンググループを設立します。
Invest in sustainable supply chains at home and abroad	国内外の持続可能なサプライチェーンへの投資
・The Federal Acquisition Regulatory Council, in connection with the implementation of Executive Order 14005, “Ensuring the Future is Made in America with All of America’s Workers,” plans to issue a proposed rule to develop a new process for preferencing critical products that are in manufactured products or component parts, under the Buy American Act. This will leverage the buying power of the nearly $600 billion in federal contracting to strengthen domestic supply chains for critical products.	・連邦調達規制評議会は、大統領令第14005号「米国の労働者全員による米国製の未来の確保」の実施に関連して、バイ・アメリカン法に基づき、製造された製品または構成部品である重要製品を優先的に購入するための新しいプロセスを開発する規則案を発表する予定です。これにより、約6,000億ドルの連邦契約の購買力を活用し、重要製品の国内サプライチェーンを強化します。
・USDA will commit more than $4 billion in a new, robust suite of Build Back Better initiatives focused on rebuilding the U.S. food system and strengthening and diversifying supply chains for food production, food processing, food distribution and aggregation, and markets and consumers. Build Back Better efforts by USDA will seek to provide improved access to nutritious food, address racial equity and justice as well as climate change, make markets fair and competitive, provide ongoing support for producers and workers, and create greater resilience in the food supply chain.	・米国農務省は、米国のフードシステムを再構築し、食品生産、食品加工、食品流通・集約、市場・消費者のサプライチェーンを強化・多様化することに重点を置いた、新しく強力な一連の「Build Back Better」イニシアチブに40億ドル以上を投入します。米国農務省による「Build Back Better」の取り組みは、栄養価の高い食品へのアクセスの改善、人種間の公平性と正義、気候変動への対応、市場の公平性と競争力の向上、生産者と労働者への継続的な支援、フードサプライチェーンの回復力の向上を目指します。
・The President will convene a global forum on supply chain resilience that will bring together key government officials and private sector stakeholders from across key U.S. allies and partners to collectively assess vulnerabilities, develop common approaches to supply chain challenges, and work to build strength through diversity and shared prosperity.	・大統領は、サプライチェーンの回復力に関するグローバルフォーラムを開催し、米国の主要な同盟国やパートナー国の政府関係者や民間企業の関係者を集めて、脆弱性を評価し、サプライチェーンの課題に対する共通のアプローチを開発し、多様性と繁栄の共有による強さを構築するための活動を行います。
Combat unfair trade practices	不公正な貿易慣行の撲滅
・The Administration will establish a trade strike force led by the U.S. Trade Representative to propose unilateral and multilateral enforcement actions against unfair foreign trade practices that have eroded critical supply chains. The trade strike force will also identify opportunities to use trade agreements to strengthen collective approaches to supply chain resilience with U.S. partners and allies.	・米国貿易代表部を中心とした貿易打撃部隊を設立し、重要なサプライチェーンを破壊している外国の不公正な貿易慣行に対して、単独または多国間での強制措置を提案します。また、貿易打撃部隊は、米国のパートナーや同盟国との間でサプライチェーンの回復力を高めるための共同アプローチを強化するために、貿易協定を利用する機会を特定します。
・DOC will evaluate whether to initiate an investigation into neodymium magnets, which are critical inputs in motors and other devices, and are important to both defense and civilian industrial uses, under Section 232 of the Trade Expansion Act of 1962.	・DOCは、1962年通商拡大法232条に基づき、モーターやその他の機器の重要なインプットであり、防衛および民間の産業用途に重要なネオジム磁石に関する調査を開始するかどうかを評価します。
Tackling Near-Term Supply Chain Disruptions As the Economy Reopens	経済の再開に伴う短期的なサプライチェーンの混乱への対応
The Administration’s historic vaccination and economic relief efforts have spurred a rapid return of economic activity. As the United States and the broader global economy emerge from the pandemic, we have seen signs of new pressures on supply chains due to changes in demand. While these short-term supply chain disruptions are temporary, the President has directed his Administration to closely monitor these developments and take actions to minimize the impacts on workers, consumers, and businesses in order to bolster a strong economic recovery. To address these challenges, the Administration will:	米国政府による歴史的なワクチン接種と経済支援活動により、経済活動は急速に回復しています。米国および広範な世界経済がパンデミックから立ち直るにつれ、需要の変化によりサプライチェーンに新たな圧力がかかる兆候が見られます。このような短期的なサプライチェーンの混乱は一時的なものですが、大統領は、強力な経済回復を強化するために、これらの動向を注意深く監視し、労働者、消費者、企業への影響を最小限に抑えるための行動をとるよう、政府に指示しました。これらの課題に対処するため、大統領府は以下を実施します。
Establish a whole-of-government effort to monitor and address transitory supply chain challenges	一時的なサプライチェーンの課題を監視し、対処するための政府全体の取り組みの確立
・The Administration will establish new Supply Chain Disruptions Task Force to provide a whole-of-government response to address near-term supply chain challenges to the economic recovery. The Task Force will be led by the Secretaries of Commerce, Transportation, and Agriculture and will focus on areas where a mismatch between supply and demand has been evident: homebuilding and construction, semiconductors, transportation, and agriculture and food. The Task Force will bring the full capacity of the federal government to address near-term supply/demand mismatches. It will convene stakeholders to diagnose problems and surface solutions—large and small, public or private—that could help alleviate bottlenecks and supply constraints.	・政府は、経済回復に対する短期的なサプライチェーンの課題に対処するために、政府全体の対応を行うサプライチェーン混乱タスクフォースを新たに設立します。タスクフォースは、商務省、運輸省、農業省の各長官が主導し、需要と供給のミスマッチが明らかになっている分野（住宅建設・建築、半導体、運輸、農業・食品）に焦点を当てます。タスクフォースは、短期的な需給のミスマッチに対処するために、連邦政府の能力を最大限に発揮します。このタスクフォースは、利害関係者を招集して問題を診断し、ボトルネックや供給制約の緩和に役立つ大小の解決策を提示します。
・DOC will lead a coordinated effort to bring together data from across the federal government to improve the federal government’s ability to track supply and demand disruptions and facilitate information sharing between federal agencies and the private sector to more effectively identify near term risks and vulnerabilities.	・DOCは、連邦政府が需要と供給の混乱を追跡する能力を向上させ、連邦政府機関と民間企業との情報共有を促進して、短期的なリスクと脆弱性をより効果的に特定するために、連邦政府全体からデータを収集する協調的な取り組みを主導します。
Charting A New Course: Toward a Long-Term Strategy for Strengthening U.S. Supply Chain Resilience	新たな道を切り開く: 米国のサプライチェーンの回復力を強化する長期的な戦略に向けて
President Biden believes this is the moment to reimagine and rebuild a new American economy, not go back to the way things used to be. The report delivered to the President offers six sets of recommendations that, collectively, will not only strengthen the four prioritized supply chains, but will rebuild the U.S. industrial base and restart our innovation engine.	バイデン大統領は、今こそ、かつての状況に戻るのではなく、新しい米国経済を再構築する時だと考えています。大統領に提出された報告書には、6つの提言がまとめられており、これらは優先順位の高い4つのサプライチェーンを強化するだけでなく、米国の産業基盤を再構築し、イノベーションエンジンを再起動させるものです。
The supply chain reviews reinforce the need for the transformative investments proposed in the President’s American Jobs Plan. The American Jobs Plan will make a once-in-a-generation capital investment to create millions of good-paying jobs, rebuild our country’s infrastructure, and position the U.S. to compete globally in key industries. This agenda aligns with and reinforces the Administration’s strategy outlined above to invest in US supply chain resilience.	サプライチェーンの見直しは、大統領の「アメリカン・ジョブズ・プラン」で提案されている変革的な投資の必要性を補強するものです。アメリカン・ジョブ・プランは、何百万人もの良質な雇用を創出し、米国のインフラを再構築し、主要産業において米国がグローバルな競争に打ち勝つために、一世代に一度の資本投資を行うものです。この計画は、米国のサプライチェーンの回復力に投資するという上記の政権の戦略と一致し、強化されるものです。
Key Recommendations Include:	主な推奨事項は以下の通りです。
Rebuild America’s production and innovation capabilities. Long-term competitiveness will require an ecosystem of production, innovation, skilled workers, and diverse small and medium-sized suppliers. Those ecosystems are the infrastructure needed to spur private sector investment in manufacturing and innovation. But that infrastructure cannot be created or sustained without the support and leadership of the federal government. Specific recommendations to rebuild our industrial base for critical sectors include:	米国の生産およびイノベーション能力を再構築します。長期的な競争力を維持するためには、生産、イノベーション、熟練労働者、多様な中小サプライヤーからなる生態系が必要です。このような生態系は、製造業やイノベーションに対する民間企業の投資を促進するために必要なインフラです。しかし、そのようなインフラは、連邦政府の支援とリーダーシップなしには構築も維持もできません。重要なセクターの産業基盤を再構築するための具体的な提言は以下の通りです。
・Provide dedicated funding for semiconductor manufacturing and R&D: We recommend Congress support at least $50 billion in investments to advance domestic manufacturing of critical semiconductors and promote semiconductor R&D.	・半導体の製造と研究開発に専用の資金を提供する：重要な半導体の国内製造を促進し、半導体の研究開発を促進するために、少なくとも500億ドルの投資を議会が支援することを提言します。
・Provide funding and financial incentives to spur consumer adoption of EVs and other EV incentives: We recommend Congress authorize new and expanded incentives to spur consumer adoption of U.S.-made electric vehicles. In addition, we recommend Congress support $5 billion in investments to electrify the federal fleet with U.S.-made EVs, and $15 billion in infrastructure investment to build out a national charging infrastructure to facilitate the adoptions of EVs.	・消費者による EV の導入を促進するための資金や金融面でのインセンティブを提供します。米国製電気自動車の消費者への導入を促進するための新規および拡大されたインセンティブを認可することを推奨します。さらに、米国製電気自動車で連邦政府車両を電化するための50億ドルの投資と、電気自動車の導入を促進するための全国的な充電インフラを構築するための150億ドルのインフラ投資を支援することを推奨します。
・Provide financing to support advanced battery production: DOE should use existing authorities and funding to support U.S. manufacturing of advanced technology vehicle battery cells.	・先進的なバッテリー生産を支援するための資金を提供します。 DOEは、既存の権限と資金を活用して、米国における先進的な自動車用バッテリーセルの製造を支援します。
・Establish a new Supply Chain Resilience Program: We recommend Congress enact a Supply Chain Resilience Program at DOC to create a focal point within the government to monitor and address supply chain challenges. This program should be backed with $50 billion to make transformative investments in strengthening U.S. supply chains across a range of critical products.	・新しいサプライチェーン強靭化プログラムを設立します。議会は、DOC にサプライチェーン強靭化プログラムを制定し、政府内にサプライチェーンの課題を監視し、対処するための中心拠点を設けることを推奨します。このプログラムには500億ドルを投じて、重要な製品のサプライチェーンを強化するための変革的な投資を行うべきです。
・Deploy the DPA to expand production capacity in critical industries: A DPA Action Group should determine how best to leverage the authorities of the DPA to strengthen supply chain resilience, building off work done to respond to the COVID-19 pandemic.	・重要な産業の生産能力を拡大するためにDPAを展開します。 DPAアクショングループは、COVID-19パンデミックへの対応を踏まえ、サプライチェーンの回復力を強化するためにDPAの権限をどのように活用するのが最善かを決定する必要があります。
・Invest in the development of next generation batteries: Agencies should support technologies that will reduce the critical mineral requirements for next generation electric vehicle batteries and grid storage technologies, and that improve U.S. competitiveness in this critical sector.	・次世代電池の開発に投資します。各省庁は、次世代の電気自動車用バッテリーやグリッドストレージ技術に必要な鉱物資源を削減し、この重要な分野における米国の競争力を向上させる技術を支援します。
・Invest in the development of new pharmaceutical manufacturing processes: Agencies should increase their funding of advanced manufacturing technologies to increase production of key pharmaceuticals and ingredients, including using both traditional manufacturing techniques and on-demand manufacturing capabilities for supportive care fluids, APIs, and finished dosage form drugs.	・新しい医薬品製造プロセスの開発に投資します。各省庁は、サポート液、原薬、最終剤形の医薬品について、従来の製造技術とオンデマンド製造機能の両方を使用することを含め、主要な医薬品や成分の生産を増やすために、先進的な製造技術への投資を増やすべきです。
・Work with industry and labor to create pathways to quality jobs, with a free and fair choice to join a union, through sector-based community college partnerships, apprenticeships and on-the-job training: DOL’s Employment and Training Administration should support sector-based pathways to jobs, for example in the semiconductor industry.	・産業界や労働界と協力して、セクターベースのコミュニティカレッジとのパートナーシップ、徒弟制度、OJTを通じて、組合に加入するという自由で公正な選択ができる、質の高い仕事への道筋を作る。 DOLの雇用訓練局は、例えば半導体産業のように、セクターベースの雇用への道筋を支援すべきです。
・Invest in small, medium and disadvantaged businesses in critical supply chains: The Small Business Innovation Research and Small Business Technology Transfer competitive programs should support a diverse portfolio of small businesses to meet R&D needs, and increase commercialization.	・重要なサプライチェーンにおける中小企業、不利な立場にある企業に投資します。小規模企業革新研究および小規模企業技術移転競争プログラムは、研究開発のニーズを満たすために小規模企業の多様なポートフォリオを支援し、商業化を促進すべきです。
・Examine the ability of the U.S. Export-Import Bank (EXIM) to use existing authorities to support U.S. manufacturing of products: EXIM should develop a proposal for Board consideration regarding whether EXIM should establish a new Domestic Financing Program that would provide financing to support the establishment and/or expansion of U.S. manufacturing facilities and infrastructure projects in the United States that would facilitate U.S. exports.	・米国輸出入銀行（EXIM）が既存の権限を利用して米国の製品製造を支援する能力を検討します。 EXIMは、米国の製造施設や米国の輸出を促進する米国内のインフラプロジェクトの設立および／または拡張を支援するための融資を提供する、新しい国内金融プログラムを設立すべきかどうかについて、理事会の検討用に提案を作成すべきです。
Support the development of markets that invest in workers, value sustainability, and drive quality. These reports identify key areas where government could play a more active role in setting standards and incentivizing high-road business practices. By establishing strong domestic standards and advocating for the establishment of global standards, the United States can support the private sector’s ability to create and adopt sustainable and resilient practices.	労働者に投資し、持続可能性を重視し、品質を追求する市場の発展を支援します。これらの報告書は、政府が基準を設定し、ハイロードなビジネス慣行を奨励する上で、より積極的な役割を果たすことができる主要分野を示しています。米国は、強力な国内基準を確立し、グローバルな基準の確立を提唱することで、持続可能で回復力のある手法を生み出し、採用する民間セクターの能力を支援することができます。
・Create 21^st century standards for the extraction and processing of critical minerals at home and abroad: The government, working with private sector and non-governmental stakeholders, should encourage the development and adoption of comprehensive sustainability standards for essential minerals, such as lithium, cobalt, nickel, copper, rare earth elements, and other materials.	・国内外の重要鉱物の抽出と加工に関する21世紀の基準を作る。政府は、民間企業や非政府組織と協力して、リチウム、コバルト、ニッケル、銅、希土類元素などの重要な鉱物について、包括的な持続可能性の基準を開発し、採用することを奨励すべきです。
・Identify potential sustainable production and processing locations for critical minerals: The United States’ non-fuel mineral resources are significantly under-mapped relative to those of other developed nations. Congress should fully resource programs like the U.S. Geological Survey’s Mineral Resources Program at DOI to develop a comprehensive map of domestic critical mineral resources and reserves.	・重要鉱物の持続可能な生産・加工拠点の候補を特定します。米国の非燃料鉱物資源は、他の先進国と比較して著しく少ない状況にあります。議会は、DOIの米国地質調査所の鉱物資源プログラムのようなプログラムを十分に活用して、国内の重要鉱物資源と埋蔵量の包括的な地図を作成すべきです。
・Improve transparency throughout the pharmaceuticals supply chain: HHS should develop and make recommendations to Congress on new authorities that would allow HHS to track production by facility, track API sourcing, and require that API and finished dosage form sources be identified on labeling for all pharmaceuticals sold in the United States.	・医薬品のサプライチェーンにおける透明性の向上：HHSは、施設ごとの生産量の追跡、原薬の調達先の追跡、米国内で販売されるすべての医薬品のラベルに原薬および最終剤形の調達先を明記することを義務付ける新しい権限を策定し、議会に提言します。
Leverage the government’s role as a purchaser and investor in critical goods. As a significant customer and investor, the Federal Government has the capacity to shape the market for many critical products. The public sector can deploy this power in times of crisis, as in the case of Operation Warp Speed, or in normal times. The Administration should leverage this role to strengthen supply chain resilience and support national priorities.	重要な商品の購入者および投資家としての政府の役割を活用します。重要な顧客および投資家である連邦政府は、多くの重要製品の市場を形成する能力を有しています。公共部門は、「ワープスピード作戦」のような危機の際にも、平時にもこの力を発揮することができる。政府は、サプライチェーンの回復力を強化し、国家の優先事項を支援するために、この役割を活用すべきです。
・Reform and strengthen U.S. stockpiles: The Administration and Congress should take actions to recapitalize and restore the National Defense Stockpile of critical minerals and materials. In the private sector, industries that have faced shortages of critical goods should evaluate mechanisms to strengthen corporate stockpiles of select critical products to ensure greater resilience in times of disruption.	・米国の備蓄品の改革と強化。政権と議会は、重要な鉱物と材料の国防備蓄を再構築し、回復させるための行動をとるべきです。民間部門では、重要な商品の不足に直面している業界は、混乱時の回復力を高めるために、特定の重要商品の企業備蓄を強化するメカニズムを評価する必要があります。
・Ensure that new automotive battery production in the United States adheres to high labor standards: Tax credits, lending and grants offered to businesses to produce batteries domestically should ensure the creation of quality jobs with the free and fair choice to organize and bargain collectively for workers.	・米国での自動車用電池の新規生産において、高い労働基準を遵守するようにします。バッテリーを国内で生産する企業に提供される税額控除、融資、および助成金は、労働者の組織化と団体交渉のための自由で公正な選択を伴う質の高い雇用の創出を保証する必要があります。
Strengthen international trade rules, including trade enforcement mechanisms. While fair competition from abroad is welcome, too often unfair foreign subsidies and other trade practices have adversely impacted U.S. manufacturing and more broadly, U.S. competitiveness. The U.S. government must implement a comprehensive strategy to push back on unfair foreign competition that erodes the resilience of U.S. critical supply chains and industries.	貿易執行メカニズムを含む、国際貿易ルールを強化します。海外からの公正な競争は歓迎されますが、海外からの不当な補助金やその他の貿易慣行が、米国の製造業、さらには米国の競争力に悪影響を与えているケースが多々あります。米国政府は、米国の重要なサプライチェーンや産業の回復力を低下させる不公平な外国との競争に対抗するため、包括的な戦略を実施しなければならない。
・Develop a comprehensive trade strategy to support fair and resilient supply chains: The Administration should develop a comprehensive trade strategy to support supply chain resilience and U.S. competitiveness. Supply chain resilience should be incorporated into the U.S. trade policy approach towards China, including in the ongoing review of U.S.-China trade policy. The Administration should also examine existing U.S. trade agreements to identify ways to strengthen collective supply chain resilience.	公正で回復力のあるサプライチェーンを支援するための包括的な貿易戦略を策定します。政府は、サプライチェーンの回復力と米国の競争力を支援するための包括的な貿易戦略を策定するべきです。サプライチェーンの回復力は、進行中の米中貿易政策の見直しを含め、米国の対中貿易政策のアプローチに組み込まれるべきです。また、米国政府は、米国の既存の貿易協定を検証し、サプライチェーンの回復力を強化する方法を特定すべきです。
Work with allies and partners to decrease vulnerabilities in the global supply chains. The United States cannot address its supply chain vulnerabilities alone. Even as the U.S. makes investments to expand domestic production capacity for some critical products, we must work with allies and partners to secure supplies of critical goods that we will not make in sufficient quantities at home. We must work with America’s allies and partners to strengthen our collective supply chain resilience, while ensuring high standards for labor and environmental practices are upheld.	同盟国やパートナーと協力して、グローバルなサプライチェーンの脆弱性を低減します。米国は、サプライチェーンの脆弱性に単独で対処することはできません。米国は、一部の重要製品の国内生産能力を拡大するための投資を行っていますが、同盟国やパートナーと協力して、国内で十分な量を生産できない重要製品の供給を確保しなければなりません。私たちは、米国の同盟国やパートナーと協力して、サプライチェーンの回復力を強化するとともに、労働や環境に関する高い基準を維持しなければなりません。
・Use diplomatic tools to encourage and facilitate resilient supply chains: The U.S. should expand multilateral diplomatic engagement on supply chain vulnerabilities, particularly through groupings of like-minded allies such as the Quad and the G7.	・レジリエントなサプライチェーンを促進するために、外交手段を用いる。米国は、サプライチェーンの脆弱性に関する多国間の外交的関与を拡大すべきであり、特にQuadやG7のような志を同じくする同盟国のグループを通じて行うべきです。
・Leverage financial tools to support sustainable and resilient international supply chains: U.S. development and international finance tools offer a powerful avenue for working with allies and partners to strengthen supply chains for key products. The U.S. should explore initiatives and mechanisms for investing in projects to expand production in critical supply chains. Even as the U.S. expands the manufacture and mining of critical products domestically, it must take steps to ensure that the manufacturing and mining that takes place abroad supports supply chain resilience and meets high labor and environmental standards.	・持続可能で弾力性のある国際的なサプライチェーンを支援するための金融手段を活用します。米国の開発・国際金融ツールは、主要製品のサプライチェーンを強化するために同盟国やパートナーと協力するための強力な手段となります。米国は、重要なサプライチェーンの生産を拡大するプロジェクトに投資するためのイニシアチブやメカニズムを模索すべきです。米国は、重要製品の製造や採掘を国内で拡大する場合でも、海外で行われる製造や採掘が、サプライチェーンの回復力を支え、高い労働基準と環境基準を満たすようにするための措置を講じる必要があります。
Key Findings from 100-Day Critical Product Supply Chain Reviews	100日間の重要製品サプライチェーンレビューの主な結果
The reports being released today document a wide range of risks and vulnerabilities to U.S. supply chains for critical products. Over the course of the year, pursuant to E.O. 14017, the Departments of Transportation, Agriculture, Commerce, Homeland Security, Defense, Energy, and Health and Human Services, working with other Departments and Agencies across the U.S. government, will develop comprehensive strategies for revitalizing six industrial bases: defense, public health and biological preparedness, information and communications technology, energy, transportation, and agriculture and food production.	本日発表された報告書には、米国の重要製品のサプライチェーンに存在する幅広いリスクと脆弱性が記されています。大統領令14017に基づき、運輸省、農務省、商務省、国土安全保障省、国防省、エネルギー省、保健社会福祉省は、米国政府内の他の省庁と協力して、国防、公衆衛生および生物学的準備、情報通信技術、エネルギー、運輸、農業および食糧生産の6つの産業基盤を活性化するための包括的な戦略を1年間かけて策定します。
Highlights of these risks and vulnerabilities identified by the 100-day reports include:	100日レポートで指摘されたこれらのリスクと脆弱性のハイライトは以下の通りです。
Semiconductors	半導体
Semiconductors are essential to our national security, our economic competitiveness, and to our daily lives. These tiny chips are vital to virtually every sector of the economy—including energy, healthcare, agriculture, consumer electronics, manufacturing, defense, and transportation. Semiconductors power our cell phones and dishwashers; as well as our fighter jets and cybersecurity defenses. Once a global leader in semiconductor production with robust public support, the United States has outsourced and offshored too much semiconductor manufacturing in recent decades. The United States has fallen from 37 percent of global semiconductor production to just 12 percent over the last 20 years.	半導体は、国家安全保障、経済競争力、そして私たちの日常生活に欠かせないものです。この小さなチップは、エネルギー、医療、農業、家電、製造、防衛、輸送など、経済のほぼすべての分野に不可欠です。半導体は、私たちの携帯電話や食器洗い機、そして戦闘機やサイバーセキュリティの防御にも使われています。かつて米国は半導体生産の世界的リーダーであり、公的な支援を受けていましたが、ここ数十年で半導体生産のアウトソースやオフショア化が進みました。過去20年間で、世界の半導体生産量の37％を占めていた米国は、わずか12％にまで落ち込んでいます。
The United States also lacks production capability at the most advanced technology levels. For leading edge logic chips, the U.S. and U.S. allies rely primarily on facilities in Taiwan, which produces 92 percent of such chips. Our reliance on imported chips introduces new vulnerabilities into the critical semiconductor supply chain. The United States produces only six to nine percent of the more mature logic chips, which are severely impacted by the current shortage. The loss of production capacity threatens all segments of the semiconductor supply chain as well as our long-term economic competitiveness.	また、米国は最先端の技術レベルでの生産能力も不足しています。最先端のロジックチップについては、米国および米国の同盟国は主に台湾の施設に依存しており、台湾はそのようなチップの92％を生産しています。輸入チップへの依存は、重要な半導体のサプライチェーンに新たな脆弱性をもたらします。米国では、より成熟したロジックチップの6〜9％しか生産しておらず、現在の供給不足で深刻な影響を受けています。生産能力の低下は、半導体のサプライチェーンのすべての分野を脅かすとともに、米国の長期的な経済競争力にも影響を与えます。
We must build resilient and competitive semiconductor supply chains for the long-term. Our strategy must include taking defensive actions to protect our technological advantages. But we must also proactively invest in domestic production and R&D. We must develop an ecosystem that includes growing our innovative small, medium, and disadvantaged businesses, along with building a pipeline of skilled workers who can benefit from well-paying semiconductor jobs. Finally, we must engage our partners and allies to promote global resilience.	私たちは、長期的に回復力と競争力を備えた半導体サプライチェーンを構築しなければなりません。私たちの戦略には、技術的な優位性を守るための防御的な行動が含まれていなければなりません。しかし、国内生産や研究開発への投資も積極的に行わなければなりません。また、革新的な中小企業や不利な立場にある企業を成長させるとともに、高収入の半導体関連の仕事に就くことができる熟練労働者のパイプラインを構築するなど、エコシステムを構築しなければなりません。最後に、パートナーや同盟国を巻き込んで、グローバルな回復力を促進しなければなりません。
Large capacity batteries	大容量バッテリー
Advanced, high-capacity batteries play an integral role in 21st-century technologies that are critical to the clean energy transition and national security capabilities around the world—from electric vehicles, to stationary energy storage, to defense applications. Demand for these products is set to grow as supply chain constraints, geopolitical and economic competition, and other vulnerabilities continue to increase.	先進的な大容量バッテリーは、電気自動車、定置型エネルギー貯蔵、防衛用途など、世界中のクリーンエネルギーへの移行や国家安全保障に不可欠な21世紀の技術に不可欠な役割を果たしています。サプライチェーンの制約、地政学的・経済的な競争、その他の脆弱性が増加し続ける中で、これらの製品に対する需要は増加していきます。
Today, America relies heavily on importing the inputs for fabricated advanced battery packs from abroad, exposing the nation to supply chain vulnerabilities that threaten to disrupt the availability and cost of the critical technologies that rely on them and the workforce that manufactures them. With the global lithium battery market expected to grow by a factor of five to ten by 2030, it is imperative that the United States invest immediately in scaling up a secure, diversified supply chain for high-capacity batteries here at home that supports good-paying, quality jobs with a free and fair choice to join a union and bargain collectively. That means seizing a critical opportunity to increase domestic battery manufacturing while investing to scale the full lithium battery supply chain, including the sourcing and processing of the critical minerals used in battery production all the way through to end-of-life battery collection and recycling.	現在、アメリカは先進的な電池パックを製造するための原材料を海外からの輸入に大きく依存しており、サプライチェーンの脆弱性にさらされています。そのため、電池パックに依存している重要な技術や、それを製造する労働力の供給やコストに支障をきたす恐れがあります。2030年までに世界のリチウム電池市場は5倍から10倍に成長すると予想されており、米国は高容量電池の安全で多様なサプライチェーンを国内で拡大するために直ちに投資することが不可欠です。このサプライチェーンは、組合に加入して団体交渉を行う自由で公正な選択ができる、高給で質の高い雇用を支えます。これは、国内での電池生産を拡大する重要な機会を捉え、電池生産に使用される重要な鉱物の調達と加工、そして使用済み電池の回収とリサイクルまでを含む、リチウム電池のサプライチェーン全体を拡大するための投資を行うことを意味します。
Critical minerals and materials	重要鉱物・材料
A range of critical minerals and materials are the building blocks of the products we use every day. As demand for clean energy technology increases over the short- and medium-term, an increased supply of critical minerals and materials will be necessary to meet national and global climate goals. China, using state-led, non-market interventions, captured large portions of value chains in several critical minerals and materials necessary for national and economic security. China accounts for an outsized share of the world’s refining capacity, meaning that even if the United States were to diversify our sources of critical minerals or increase domestic extraction, we would still be reliant on China for processing before use in end-product manufacturing.	さまざまな重要鉱物や材料は、私たちが毎日使用する製品の構成要素です。クリーンエネルギー技術への需要が短期的・中期的に増加する中、国や世界の気候目標を達成するためには、重要鉱物・材料の供給を増やす必要があります。中国は、国家主導で非市場的な介入を行い、国家および経済の安全保障に必要ないくつかの重要な鉱物および材料のバリューチェーンの大部分を獲得しました。中国は、世界の精製能力の中でも突出したシェアを持っています。つまり、米国が重要な鉱物の調達先を多様化したり、国内での採掘量を増やしたりしたとしても、最終製品の製造に使用する前の加工に関しては、依然として中国に依存することになります。
To secure a reliable, sustainable supply of critical minerals and materials, the United States must work with allies and partners to diversify supply chains away from adversarial nations and sources with unacceptable environmental and labor standards. U.S. investments abroad must incentivize environmentally and socially responsible production. The United States must also invest in sustainable production, refining, and recycling capacity domestically, while ensuring strong environmental, environmental justice, and labor standards and meaningful community consultation, including with Tribal Nations through government-to-government collaboration.	重要な鉱物や材料の信頼できる持続的な供給を確保するために、米国は同盟国やパートナーと協力して、敵対的な国や環境・労働基準が受け入れられない供給源からのサプライチェーンを多様化する必要があります。米国の海外投資は、環境的、社会的に責任のある生産を促進するものでなければなりません。また、米国は国内においても、持続可能な生産、精製、リサイクル能力に投資しなければなりません。その際、強力な環境、環境正義、労働基準を確保し、政府間の協力を通じて部族民を含むコミュニティとの十分な協議を行う必要があります。
Pharmaceuticals and APIs	医薬品・医療品原料
The COVID-19 pandemic highlighted the critical importance of a resilient U.S. healthcare manufacturing sector. Private sector innovation and robust federal investment allowed the U.S. to rapidly develop and strengthen COVID-19 supply chains. But the United States remains critically dependent on imports for a range of key pharmaceutical products and APIs—the primary ingredients of generic drugs—which represent 90 percent of all prescription medications filled. About 87 percent of API facilities for generic drugs are located overseas which has left U.S. supply chains of essential medicines vulnerable.	COVID-19パンデミックは、米国のヘルスケア製造部門の回復力の重要性を浮き彫りにしました。民間企業のイノベーションと連邦政府の強力な投資により、米国はCOVID-19のサプライチェーンを迅速に開発・強化することができました。しかし、米国は依然として、さまざまな主要医薬品やジェネリック医薬品の主成分である原薬を輸入に頼っており、これらの原薬は処方薬の90％を占めています。また、ジェネリック医薬品原料の製造施設の約87％は海外にあり、米国の必須医薬品のサプライチェーンは脆弱な状態にあります。
China and India are estimated to control substantial parts of the supply chain where there have been issues with shortages due to a range of disruptions that have impacted supply as well as quality and safety. The drive toward lower costs as well as unfair trade practices have led to a hollowing out of domestic production. A new approach is needed to ensure more resilient supply chains that includes improving transparency, building emergency capacity, and investing in domestic production.	中国とインドはサプライチェーンのかなりの部分を支配していると推定され、供給や品質・安全性に影響を与える様々な混乱により、不足の問題が発生しています。低コスト化の推進や不公正な貿易慣行により、国内生産の空洞化が進んでいます。透明性の向上、緊急時の対応力の強化、国内生産への投資など、サプライチェーンの回復力を高めるための新たなアプローチが必要です。

● JETRO

・2021.06.10 バイデン米政権、重要製品のサプライチェーン強化策発表

　・[PDF] 添付資料

・2021.02.26 バイデン米大統領、サプライチェーン強化に向けた大統領令に署名

2021.06.11 11:06 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル（初期ドラフト）

こんにちは、丸山満彦です。

NISTがNISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル（初期ドラフト）を公表し、意見募集をしていますね。。。

サイバーセキュリティフレームワークに沿って検討されています。

● NIST - ITL

・2021.06.09 NISTIR 8374 (Draft) Cybersecurity Framework Profile for Ransomware Risk Management (Preliminary Draft

Announcement	発表
Ransomware is a type of malicious attack where attackers encrypt an organization’s data and demand payment to restore access. In some instances, attackers may also steal an organization’s information and demand additional payment in return for not disclosing the information to authorities, competitors, or the public. Ransomware can disrupt or halt organizations’ operations. This report defines a Ransomware Profile, which identifies security objectives from the NIST Cybersecurity Framework that support preventing, responding to, and recovering from ransomware events. The profile can be used as a guide to managing the risk of ransomware events. That includes helping to gauge an organization's level of readiness to mitigate ransomware threats and to react to the potential impact of events.	ランサムウェアとは、攻撃者が組織のデータを暗号化し、アクセス権を回復するための支払いを要求する悪意のある攻撃の一種です。場合によっては、攻撃者が組織の情報を盗み出し、その情報を当局や競合他社、一般市民に開示しないことの見返りとして、追加の支払いを要求することもあります。ランサムウェアは、企業の業務を妨害、停止させる可能性があります。本報告書では、ランサムウェアのプロファイルを定義しています。このプロファイルは、ランサムウェアのイベントの防止、対応、回復をサポートするNIST Cybersecurity Frameworkのセキュリティ目標を特定するものです。このプロファイルは、ランサムウェアのリスクを管理するための指針として使用することができます。これには、ランサムウェアの脅威を軽減し、イベントの潜在的な影響に対応するための組織の準備レベルを評価することも含まれます。
For additional information, visit our Ransomware Protection and Response page.	詳細については、ランサムウェアの保護と対応のページをご覧ください。
Abstract	概要
Ransomware is a type of malicious attack where attackers encrypt an organization’s data and demand payment to restore access. In some instances, attackers may also steal an organization’s information and demand an additional payment in return for not disclosing the information to authorities, competitors, or the public. This Ransomware Profile identifies the Cybersecurity Framework Version 1.1 security objectives that support preventing, responding to, and recovering from ransomware events. The profile can be used as a guide to managing the risk of ransomware events. That includes helping to gauge an organization's level of readiness to counter ransomware threats and to deal with the potential consequences of events.	ランサムウェアとは、攻撃者が組織のデータを暗号化し、アクセス権を回復するための支払いを要求する悪意のある攻撃の一種です。場合によっては、攻撃者が組織の情報を盗み出し、その情報を当局や競合他社、一般市民に開示しないことを条件に、追加の支払いを要求することもあります。このランサムウェアのプロファイルは、ランサムウェアの発生を防ぎ、対応し、回復するためのサイバーセキュリティフレームワークバージョン1.1のセキュリティ目標を示しています。このプロファイルは、ランサムウェアのイベントのリスクを管理するためのガイドとして使用できます。これには、ランサムウェアの脅威に対抗するための組織の準備レベルの測定や、イベントの潜在的な影響への対処が含まれます。

・[PDF] Preliminary Draft NISTIR 8374

1 Introduction	1 序文
1.1 The Ransomware Challenge	1.1 ランサムウェアの課題
1.2 Audience	1.2 想定読者
1.3 Additional Resources	1.3 追加リソース
2 The Ransomware Profile	2 ランサムウェアのプロファイル
References	参考文献

序文はこちら↓

Continue reading "NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル（初期ドラフト）"

2021.06.11 01:31 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in フォレンジック, in ウイルス, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in パブコメ, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

NISTIR 8336 (Draft) 公共安全コミュニティのためのID連携技術の背景

こんにちは、丸山満彦です。

NISTがNISTIR 8336 (Draft) 公共安全コミュニティのためのID連携技術の背景を公表し、意見募集をしていますね。。。

● NIST - ITL

・2021.06.09 NISTIR 8336 (Draft) Background on Identity Federation Technologies for the Public Safety Community

Announcement	発表
NIST Special Publication 800-63-3 defines identity federation as “a process that allows the conveyance of identity and authentication information across a set of networked systems.” Identity federation technologies can help public safety organizations (PSOs) to share information with each other more easily while also protecting that data from unauthorized access. Identity federation technologies can also help PSOs transition services to the cloud and facilitate the use of mobile devices such as smartphones.	NIST SP 800-63-3 では、ID連携を「ネットワーク化された一連のシステムにおいて、IDおよび認証情報の伝達を可能にするプロセス」と定義しています。ID連携技術は、公共安全機関（PSO）が不正なアクセスからデータを保護しつつ、より簡単に情報を共有するのに役立ちます。また、ID連携技術は、PSOがサービスをクラウドに移行したり、スマートフォンなどのモバイルデバイスの利用を促進するのにも役立ちます。
This draft report provides PSOs with a basic primer on identity federation, and it is intended to aid PSOs in adopting identity federation technologies. PSOs considering identity federation technologies are encouraged to use the guidelines in this NISTIR. This report was developed in joint partnership between the NCCoE and the Public Safety Communications Research (PSCR) Division at NIST.	本報告草案は、PSOにID連携に関する基本的な入門書を提供し、 PSOがID連携技術を採用する際に役立つことを目的としています。ID連携技術を検討しているPSOは、このNISTIRのガイドラインを利用することが推奨されます。本レポートは、NCCoEとNISTのPublic Safety Communications Research (PSCR)部門の共同パートナーシップにより作成されました。
Abstract	概要
This report provides the public safety and first responder (PSFR) community with a basic primer on identity federation—a form of trust relationship and partnership involving the verification of a claimed identity. Identity federation technologies can help public safety organizations (PSOs) to share information with each other more easily while also protecting that data from unauthorized access. Identity federation technologies can also help PSOs transition services to the cloud and facilitate the use of mobile devices such as smartphones. The intent of this report is to aid the PSFR community in adopting identity federation technologies, with different portions of the report aimed at general audiences, technically capable readers, and federation technology implementers.	本報告は、公共安全および初動対応者（PSFR）コミュニティに ID 連携の基本的な入門書を提供します。ID 連携は、主張された ID の検証を含む信頼関係およびパートナーシップの形態である。ID連携技術は、公共安全機関（PSO）が不正アクセスからデータを保護しながら、互いに情報をより簡単に共有するのに役立ちます。また、ID 連携技術は、PSO がサービスをクラウドに移行し、スマートフォンなどのモバイル機器の使用を促進するのにも役立ちます。本報告の目的は、PSFRコミュニティがID連携技術を採用することを支援することであり、一般読者、技術的能力のある読者、および連携技術の実装者を対象として、報告のさまざまな部分を提供します。

・[PDF] NISTIR 8336 (Draft)

Executive Summary	エグゼクティブ・サマリー
1 Introduction	1 はじめに
1.1 Benefits of Identity Federation	1.1 ID連携の利点
1.2 How to Use This Document	1.2 この文書の使用方法
2 Identity Federation Concepts	2 ID連携の概念
2.1 Basic Terminology	2.1 基本的な用語
2.2 Federation Protocols	2.2 連携プロトコル
2.3 Federation Participant Responsibilities	2.3 連携参加者の責任
2.4 Federation Benefits	2.4 連携の利点
2.5 IdP Discovery	2.5 IdP ディスカバリー
3 Identity Federation Technical Concepts	3 ID連携の技術的概念
3.1 Federation Protocols	3.1 連携プロトコル
3.2 Trust Frameworks	3.2 信頼フレームワーク
3.2.1 Existing Public Safety Trust Frameworks	3.2.1 既存の公共安全トラストフレームワーク
3.3 Message Security	3.3 メッセージ・セキュリティ
3.4 Assertion Bindings and Assurance Levels	3.4 アサーション・バインディングおよび保証レベル
3.5 Federation and Direct Authentication	3.5 連携と直接認証
3.6 Other Federation Security Considerations	3.6 その他の連携セキュリティに関する検討事項
3.7 Implementation Considerations	3.7 実装に関する検討事項
4 SAML 2.0	4 SAML 2.0
4.1 SAML Assertions	4.1 SAMLアサーション
4.2 SAML Metadata	4.2 SAMLメタデータ
4.3 SAML Protocols	4.3 SAMLプロトコル
4.4 SAML Bindings	4.4 SAMLバインディング
4.5 Standard SAML Profiles	4.5 標準的なSAMLプロファイル
4.6 Summary of SAML Terminology	4.6 SAML用語のまとめ
5 OpenID コネクト1.0	5 OpenIDコネクト1.0
5.1 OpenID コネクトTerminology	5.1 OpenIDコネクトの用語
5.2 OpenID コネクトAssertions	5.2 OpenIDコネクトのアサーション
5.3 OpenID Clients	5.3 OpenIDクライアント
5.4 OpenID コネクトProtocol and Authentication Flows	5.4 OpenIDコネクトプロトコルと認証フロー
6 Conclusion	6 まとめ
References	参考文献

■ 関連

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.03 NISTIR 8334 (Draft) 緊急時初動対応者の認証のためのモバイル機器のバイオメトリクスの利用

・2020.11.05 NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証（PIV）について

・2020.09.24 米国NSAが「多要素認証サービスの選択と安全な使用」に関する連邦政府向けのガイダンスを公表していますね。。。

・2020.06.11 NIST SP 800-63-4(Draft) PRE-DRAFT Call for Comments: Digital Identity Guidelines

・2020.03.07 NIST SP800-63-3 Digital Identity GuidelinesにEditorialな修正がありました

エグゼクティブ・サマリー　↓↓↓↓↓

Continue reading "NISTIR 8336 (Draft) 公共安全コミュニティのためのID連携技術の背景"

2021.06.11 00:53 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in クラウド, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

2021.06.10

NIST 制御システムのサイバーセキュリティのためのヒントと戦術

こんにちは、丸山満彦です。

NISTが制御システムのサイバーセキュリティのためのヒントと戦術を公表していますね。。。

● NIST - CYBERSECURITY INSIGHTS a NIST blog

・2021.06.09 NIST Releases Tips & Tactics for Control System Cybersecurity

・[PDF] Tips and Tactics for Control Systems Cybersecurity

Quick steps you can take now to PROTECT your control system:	制御システムを守るために、今すぐできること:
1 PUT SOMEONE IN CHARGE	1 責任者を置く
Designate one or more people to lead your control system cybersecurity efforts.	制御システムのサイバーセキュリティの取り組みをリードする1人または複数の人を指名する。
2 KNOW WHAT YOU HAVE	2 保有資産を把握する
Document which types of computer and control system assets you have, how each asset is used, and determine the most critical assets. Check for and remove unauthorized assets.	保有しているコンピュータおよび制御システム資産の種類、各資産の使用方法を文書化し、最も重要な資産を特定します。未承認の資産をチェックし、削除する。
3 ESTABLISH CYBERSECURITY RELATIONSHIPS	3 サイバーセキュリティの関係を築く
Join your sector-specific cybersecurity communities and establish relationships with vendors and integrators who can help you with recommended cybersecurity practices.	業界固有のサイバーセキュリティ・コミュニティに参加し、推奨されるサイバーセキュリティの実践に役立つベンダーやインテグレーターとの関係を構築する。
4 CHANGE DEFAULT PASSWORDS	4 デフォルトのパスワードを変更する
Check your assets for default passwords, and change any you find to new, hard-to-guess passwords. Do not display passwords in plain sight.	資産にデフォルトのパスワードが設定されているかどうかを確認し、見つかった場合は、推測しにくい新しいパスワードに変更する。パスワードは目につくところに表示しない。
5 PROTECT ASSETS FROM TAMPERING	5 資産を改ざんから守る
Keep critical assets physically secured and keep the keys of control system assets like Programmable Logic Controllers (PLCs) and safety systems in the “Run” position at all times unless they are being actively programmed.	重要な資産を物理的に保護し、プログラマブルロジックコントローラ（PLC）や安全システムなどの制御システム資産の鍵は、積極的にプログラムされていない限り、常に「実行」の位置に置く。
Additional steps to MANAGE your control system cybersecurity risk:	制御システムのサイバーセキュリティ・リスクを管理するための追加ステップ:
1 TRAINING & AWARENESS	1 トレーニングと意識向上
Train control system users on their cybersecurity responsibilities and to look for things out of the ordinary, which may be evidence of a cybersecurity incident.	制御システムのユーザにサイバーセキュリティの責任についてトレーニングを行い、サイバーセキュリティ事件の証拠となりうる通常とは異なるものを探すようにする。
2 MANAGE USER CREDENTIALS & ACCESS	2 ユーザー認証とアクセスの管理
Check who has on-site or remote access to your systems, and revoke access that isn’t needed. Immediately disable accounts and revoke IDs when someone leaves the organization.	システムへのオンサイトまたはリモートアクセス権を持つユーザーをチェックし、必要のないアクセス権を取り消す。また、退職者が出た場合は、直ちにアカウントを無効にし、IDを失効させる。
3 RESTRICT ACCESS TO THE CONTROL SYSTEM NETWORK & NETWORK ACTIVITY	3 制御システムネットワークへのアクセスとネットワークアクティビティの制限
Implement a layered network topology with a Demilitarized Zone (DMZ) to restrict access to control system networks. Restrict control system access to only users that require it. Consider requiring two-factor authentication for remote access instead of only a password.	制御システムのネットワークへのアクセスを制限するために、非武装地帯（DMZ）を備えた層状のネットワークトポロジーを実装する。制御システムへのアクセスを、それを必要とするユーザのみに制限する。リモートアクセスにはパスワードだけではなく、二要素認証を要求することを検討する。
4 MANAGE CYBER SECURITY VULNERABILITIES	4 サイバー・セキュリティの脆弱性を管理する
Keep your assets up-to-date and fully patched. Prioritize patching of “PC” machines used in Human-Machine Interfaces (HMIs), database servers, and engineering workstations. Disable unused ports and services. Implement anti-virus/anti-malware/anti-phishing technologies where feasible to prevent, detect, and mitigate malware including ransomware.	資産を最新の状態に保ち、完全なパッチを適用する。ヒューマン・マシン・インターフェース（HMI）、データベース・サーバー、およびエンジニアリング・ワークステーションで使用される「PC」マシンへのパッチ適用を優先してください。使用していないポートやサービスを無効にする。ランサムウェアを含むマルウェアを防止、検出、軽減するために、アンチウィルス／アンチマルウェア／アンチフィッシング技術を可能な限り導入する。
5 IMPLEMENT APPLICATION CONTROL	5 アプリケーションコントロールの実施
The static nature of some control system assets, such as database servers, HMIs, and engineering workstations, make them ideal candidates to run application control solutions.	データベースサーバ、HMI、エンジニアリングワークステーションなどの制御システム資産は、静的な性質を持っているため、アプリケーション制御ソリューションを実行するのに理想的な候補となる。
6 PREPARE TO RECOVER FROM A CYBERSECURITY INCIDENT	6 サイバーセキュリティインシデントからの回復の準備
Develop and implement an incident recovery plan. Plan, implement, and test a system and data backup and restoration strategy.	インシデントリカバリープランを策定し、実施する。システムおよびデータのバックアップと復元戦略を計画し、実施し、テストする。
7 IMPLEMENT & PERFORM CONTINUOUS MONITORING	7 継続的な監視の実施と実行
Continuously monitor system boundaries and ingress and egress traffic. Be aware of relevant cybersecurity threats and vulnerabilities by using free resources like those available from NIST and the Cybersecurity & Infrastructure Security Agency (CISA).	システムの境界や入退室のトラフィックを継続的に監視する。NISTやCISA（Cybersecurity & Infrastructure Security Agency）が提供する無料のリソースを利用して、関連するサイバーセキュリティの脅威と脆弱性を認識する。

当たり前と言えば当たり前のことですが、それを完成度高く、きっちりとすることが重要なんでしょうね。。。

2021.06.10 16:39 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT | Permalink | Comments (0)
Tweet

米国上院国土安全保障委員会パイプラインに潜むサイバー脅威：コロニアル・ランサムウェア攻撃から得た教訓を重要インフラの防御に活かす

こんにちは、丸山満彦です。

米国上院国土安全保障委員会の公聴会「パイプラインに潜むサイバー脅威：コロニアル・ランサムウェア攻撃から得た教訓を重要インフラの防御に活かす」が公開されていますね。。。

● Committee on Homeland Security

・2021.06.09 CYBER THREATS IN THE PIPELINE: USING LESSONS FROM THE COLONIAL RANSOMWARE ATTACK TO DEFEND CRITICAL INFRASTRUCTURE

これから聴いてみます。。。

CEOとても真摯に答えていますね。。。そして、パイプラインを止める決断、支払う決断についても、優先すべきは安全とできる限り早く復旧するということですね。。。

● U.S. Senate Committee on Homeland Security and Governmental Affairs

・2021.06.08 Threats to Critical Infrastructure: Examining the Colonial Pipeline Cyber Attack

2021.06.08に開催された上院での公聴会の記事

● 日経新聞

・2021.06.09 米コロニアルCEOが証言　身代金支払い「苦渋の選択」

2021.06.10 07:02 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2021.06.09

自分たちを守ってくれる高価で安全に暗号化された電話と思ってたら全て情報機関に筒抜けだった...

こんにちは、丸山満彦です。

警察が犯罪者向けに高価で安全に暗号化された電話を販売し、情報を搾取し、分析し、800名を逮捕したという。。。よくバレずに使わせ続けましたね。。。

● FBI

・2021.06.08 FBI Targets Encrypted Platforms Used by Criminal Groups

FBI Targets Encrypted Platforms Used by Criminal Groups	FBI、犯罪グループが利用する暗号化されたプラットフォームを狙う
Global Partners Announce Results of Innovative Operation Trojan Shield	グローバルパートナーが革新的な「トロイの盾作戦」の成果を発表
Criminal organizations that rely on hardened, stripped-down devices to send encrypted messages may learn this week they have been using a platform operated by the very investigators they are trying to thwart.	暗号化されたメッセージを送信するために強化されたデバイスを使用している犯罪組織は、今週、妨害しようとしている捜査官が運営するプラットフォームを使用していたことを知るかもしれません。
In an innovative effort, the FBI, with the help of the Australian Federal Police, launched their own encrypted communications platform and supplied more than 12,000 devices to hundreds of criminal organizations that operate around the globe.	革新的な取り組みとして、FBIはオーストラリア連邦警察の協力を得て、独自の暗号化通信プラットフォームを立ち上げ、世界中で活動する何百もの犯罪組織に12,000台以上のデバイスを提供しました。
The FBI, along with the Drug Enforcement Administration, Australian Federal Police, Europol, and law enforcement partners in more than a dozen countries, are announcing the results of that covert effort, known as Operation Trojan Shield. In recent days and weeks, authorities have carried out hundreds of arrests in Australia and across Europe as a result of intelligence gathered during the operation. Law enforcement has also been able to mitigate direct threat-to-life situations.	FBIは、麻薬取締局、オーストラリア連邦警察、ユーロポール、および10数カ国の法執行機関のパートナーとともに、「トロイの盾作戦」と呼ばれる秘密の取り組みの結果を発表します。この数日から数週間の間に、この作戦で収集した情報をもとに、当局はオーストラリアとヨーロッパ各地で数百人を逮捕しました。また、法執行機関は、生命に対する直接的な脅威を軽減することができました。
The FBI’s San Diego Field Office was the hub for the more than 100 agents and analysts and 80 linguists who were pooled together for the operation that began with the takedown of the encrypted phone provider Phantom Secure. In 2018, the FBI and the U.S. Attorney’s Office for the Southern District of California pursued charges against the company’s executives for facilitating the transnational importation and distribution of narcotics by providing encrypted devices to criminals.	FBIのサンディエゴ支局は、暗号化電話プロバイダーであるPhantom Secureのテイクダウンから始まったこの作戦のために準備していた100人以上の捜査官と分析官、80人の言語学者の拠点となりました。2018年、FBIとカリフォルニア州南部地区連邦検事局は、犯罪者に暗号化されたデバイスを提供することで、国境を越えた麻薬の輸入と流通を促進したとして、同社の幹部の告発を進めました。

● Europol

・2021.06.08 800 CRIMINALS ARRESTED IN BIGGEST EVER LAW ENFORCEMENT OPERATION AGAINST ENCRYPTED COMMUNICATION

800 CRIMINALS ARRESTED IN BIGGEST EVER LAW ENFORCEMENT OPERATION AGAINST ENCRYPTED COMMUNICATION	暗号化通信に対する史上最大の法執行活動で800人の犯罪者を逮捕
The US Federal Bureau of Investigation (FBI), the Dutch National Police (Politie), and the Swedish Police Authority (Polisen), in cooperation with the US Drug Enforcement Administration (DEA) and 16 other countries have carried out with the support of Europol one of the largest and most sophisticated law enforcement operations to date in the fight against encrypted criminal activities.	米国連邦捜査局（FBI）、オランダ国家警察（Politie）、スウェーデン警察当局（Polisen）は、米国麻薬取締局（DEA）をはじめとする16カ国と協力して、ユーロポールの支援のもと、暗号化された犯罪行為に対するこれまでで最大かつ最も洗練された法執行活動を実施しました。
Since 2019, the US Federal Bureau of Investigation, in close coordination with the Australian Federal Police, strategically developed and covertly operated an encrypted device company, called ANOM, which grew to service more than 12 000 encrypted devices to over 300 criminal syndicates operating in more than 100 countries, including Italian organised crime, outlaw motorcycle gangs, and international drug trafficking organisations.	2019年以降、米国連邦捜査局は、オーストラリア連邦警察と緊密に連携しながら、ANOMと呼ばれる暗号化デバイス会社を戦略的に開発し、秘密裏に運営してきました。この会社は、イタリアの組織犯罪、無法者のオートバイギャング、国際的な麻薬密売組織など、100カ国以上で活動する300以上の犯罪シンジケートに対して、12,000台以上の暗号化デバイスをサービスするまでに成長しました。
The goal of the new platform was to target global organised crime, drug trafficking, and money laundering organisations, regardless of where they operated, and offer an encrypted device with features sought by the organised crime networks, such as remote wipe and duress passwords, to persuade criminal networks to pivot to the device.	この新しいプラットフォームの目的は、世界的な組織犯罪、麻薬密売、マネーロンダリングの組織がどこで活動しているかを問わずにターゲットとし、リモートワイプや強要用パスワードなど組織犯罪ネットワークが求める機能を備えた暗号化デバイスを提供することで、犯罪ネットワークを説得し、そのデバイスに軸足を移させることでした。
The FBI and the 16 other countries of the international coalition, supported by Europol and in coordination with the US Drug Enforcement Administration, then exploited the intelligence from the 27 million messages obtained and reviewed them over 18 months while ANOM’s criminal users discussed their criminal activities.	その後、FBIをはじめとする国際連合の16カ国は、欧州警察の支援を受け、米国麻薬取締局と連携しながら、入手した2,700万通のメッセージから得られた情報を活用し、ANOMの犯罪ユーザーが犯罪行為について話し合っている間、1年半にわたってメッセージを確認しました。
This operation, known as OTF Greenlight/Trojan Shield, is one of the largest and most sophisticated law enforcement operations to date in the fight against encrypted criminal activities. A series of large-scale law enforcement actions were executed over the past days across 16 countries resulting in more than 700 house searches, more than 800 arrests and the seizure of over 8 tons of cocaine, 22 tons of cannabis and cannabis resin, 2 tons of synthetic drugs (amphetamine and methamphetamine), 6 tons of synthetic drugs precursors, 250 firearms, 55 luxury vehicles and over $48 million in various worldwide currencies and cryptocurrencies. Countless spin-off operations will be carried out in the weeks to come. Operation Trojan Shield/Greenlight will enable Europol to further enhance the intelligence picture on organised crime affecting the EU due to the quality of the information gathered. This enhanced intelligence picture will support the continued effort in identifying operating high-value criminal targets on a global scale.	「OTF グリーンライト/トロイの盾」と呼ばれるこの作戦は、暗号化された犯罪行為に対抗する上で、これまでで最大かつ最も洗練された法執行活動の一つです。一連の大規模な法執行活動は、過去数日間に16カ国で実施され、700件以上の家宅捜索、800件以上の逮捕、8トン以上のコカイン、22トンの大麻および大麻樹脂、2トンの合成麻薬（アンフェタミンおよびメタンフェタミン）、6トンの合成麻薬前駆体、250丁の銃器、55台の高級車、世界のさまざまな通貨および暗号通貨で4,800万ドル以上の押収が行われました。数え切れないほどのスピンオフ作戦が今後数週間で実施されます。トロイの盾作戦は、収集された情報の質の高さから、欧州連合（EU）に影響を与える組織犯罪に関する情報をさらに強化することができます。このように強化された情報は、世界規模で価値の高い犯罪ターゲットを特定するための継続的な取り組みを支援します。
CRIMINAL DEMAND FOR ENCRYPTED PLATFORMS AND PAST TAKEDOWNS	暗号化プラットフォームに対する犯罪者の要求と過去のテイクダウン
Criminal networks have a huge demand for encrypted communication platforms to facilitate their criminal activities. However, the market for encrypted platforms is considered to be volatile. In July 2020, the EncroChat encrypted platform was dismantled by the Operational Taskforce EMMA (France, the Netherlands). This international operation sent shockwaves in the criminal underworld across Europe and was followed in 2021 with another takedown of a similar nature: an international group of judicial and law enforcement authorities (Belgium, France, the Netherlands) successfully blocked the further use of encrypted communications by organised crime networks via the Sky ECC communication service tool (Operational Task Force Limit).	犯罪者のネットワークでは、犯罪活動を円滑に行うために、暗号化された通信プラットフォームに対する需要が大きくなっています。しかし、暗号化プラットフォームの市場は不安定であると考えられています。2020年7月、暗号化プラットフォーム「EncroChat」は、EMMA（フランス、オランダ）のOperational Taskforceによって解体されました。この国際的な作戦は、ヨーロッパ中の犯罪組織に衝撃を与え、2021年には、同様の性質を持つ別の破壊作戦が行われました。国際的な司法・法執行当局のグループ（ベルギー、フランス、オランダ）が、通信サービスツール「Sky ECC」を介した組織犯罪ネットワークによる暗号化通信のさらなる使用を阻止することに成功しました（Operational Task Force Limit）。
Both operations provided invaluable insights into an unprecedented amount of information exchanged between criminals. After the takedown of Sky ECC in March 2021, many organised crime networks sought a quick encrypted replacement for a communication platform that would allow them to evade law enforcement detection. This was a deliberate and strategic aspect of OTF Greenlight / Operation Trojan Shield resulting in the migration of some of the criminal Sky ECC customer base to the FBI-managed platform Anom.	この2つの作戦は、犯罪者の間で交わされていた前例のない量の情報に対する貴重な洞察をもたらしました。2021年3月にSky ECCが廃止された後、多くの組織犯罪ネットワークは、法執行機関の摘発を逃れるために、暗号化された通信プラットフォームの迅速な代替手段を求めました。これは、OTF グリーンライト / トロイの盾作戦の意図的かつ戦略的な側面であり、その結果、犯罪者であるSky ECCの顧客の一部は、FBIが管理するプラットフォームであるAnomに移行した。
Europol’s Deputy Executive Director Jean-Philippe Lecouffe: “This operation is an exceptional success by the authorities in the United States, Sweden, the Netherlands, Australia, New Zealand and the other European members of the Operational Task Force. Europol coordinated the international law enforcement community, enriched the information picture and brought criminal intelligence into ongoing operations to target organised crime and drug trafficking organisations, wherever they are and however they choose to communicate. I am very satisfied to see Europol supporting this operation and strengthen law enforcement partnerships by emphasizing the multi-agency aspect of the case.”	ユーロポールのジャン・フィリップ・ルクーフ副事務局長は、「今回の作戦は、米国、スウェーデン、オランダ、オーストラリア、ニュージーランドの当局、およびその他の欧州のタスクフォースのメンバーによる例外的な成功です。欧州警察は、国際的な法執行機関を調整し、情報を充実させ、組織犯罪や麻薬密売組織がどこにいて、どのようにコミュニケーションを取ろうとしているのかを対象とする現在進行中の活動に犯罪情報をもたらしました。私は、ユーロポールがこの活動を支援し、この事件の複数機関による側面を強調することで法執行機関のパートナーシップを強化していることに非常に満足しています」と述べています。
Calvin Shivers, Assistant Director, Criminal Investigative Division, US Federal Bureau of Investigation: “Encrypted criminal communications platforms have traditionally been a tool to evade law enforcement and facilitate transnational organized crime. The FBI and our international partners continue to push the envelope and develop innovative ways to overcome these challenges and bring criminals to justice," said the FBI's Criminal Investigative Division Assistant Director Calvin A. Shivers. "We are grateful to Europol for their commitment to fighting transnational organized crime and their partnership with the FBI. ”	米国連邦捜査局犯罪捜査部次長カルビン・シバーズ氏は、「暗号化された犯罪通信プラットフォームは、伝統的に法執行機関を回避し、多国籍組織犯罪を促進するためのツールでした。FBIと国際的なパートナーは、これらの課題を克服し、犯罪者を裁くための革新的な方法を開発し、限界に挑戦し続けています」と、FBI犯罪捜査部のカルビン・A・シバーズ副部長は述べています。"欧州警察の国際組織犯罪対策への取り組みとFBIとのパートナーシップに感謝しています」と述べています。
Linda H Staaf, Police Commissioner, Head of Intelligence of the Swedish Police (Polisen): “This operation, with an extensive strike yesterday, is one of the largest intelligence-led police operations against violent crime and drug networks ever in Sweden. From the Swedish police’s point of view there were no doubt to be the leading part in Europe together with the Netherlands and Europol. We highly appreciate this type of cooperation between law enforcement agencies. The criminality spreads across borders and international cooperation is crucial to fight serious crime. ”	スウェーデン警察（ポリセン）のリンダ・H・スタフ警察本部長、情報部門責任者、「今回の作戦は、昨日の大規模な攻撃を含め、暴力犯罪や麻薬ネットワークに対する警察のインテリジェンス主導の作戦としては、スウェーデンでは過去最大級のものです。スウェーデン警察としては、オランダや欧州警察とともに、ヨーロッパで主導的な役割を果たすことは間違いありませんでした。私たちは、このような法執行機関の協力関係を非常に高く評価しています。犯罪は国境を越えて広がり、深刻な犯罪に立ち向かうためには国際的な協力が不可欠です。」
Jannine van den Berg, Chief Constable of the Netherlands Police’s Central Unit: “Operation Trojan Shield is a fine example of innovative and daring police work that is unparalleled. Each partner provided its own unique expertise and together we delivered a fantastic international performance. Thanks to the excellent technical skills of the Dutch police, the millions of messages could be analyzed and interpreted. Just like the investigations into EncroChat and Sky, Operation Trojan Shield also shows that serious criminals wrongly believe that they can operate anonymously and out of sight of the police and that they cannot be caught. Nothing turns out to be less true. My compliments and thanks go to all participants of Operation Trojan Shield.”	オランダ警察中央部隊のチーフコンスタブルであるジャニー・フォン・デン・ベルグJ氏は、「トロイの木馬作戦は、革新的で大胆な警察活動の好例であり、他に類を見ません。各パートナーが独自の専門知識を提供し、共に素晴らしい国際的パフォーマンスを実現しました。オランダ警察の優れた技術力のおかげで、何百万通ものメッセージを分析し、解釈することができました。EncroChatやSkyの捜査と同様に、トロイの盾作戦は、重大な犯罪者が、匿名で警察の目に触れずに活動でき、捕まることはないと誤って考えていることを示しています。これほど真実味のないことはありません。トロイの盾作戦の参加者全員に賛辞と感謝の意を表します。」と述べました。
Australian Federal Police Commissioner Reece Kershaw APM: “The AFP and FBI have been working together on a world-first operation to bring to justice the organised crime gangs flooding our communities with drugs, guns and violence. Europol has been a trusted and committed partner during this time. Very few matters unite law enforcement like bringing to justice those who seek to do our citizens harm. The FBI provided an encrypted communications platform while the AFP deployed the technical capability that helped unmask some of the biggest criminals in the world. The intelligence shared by Europol has helped to ensure this is one of the most significant global taskforces for law enforcement. This week the AFP will execute hundreds of warrants and is expected to arrest hundreds of offenders who were linked to the platform. This is the culmination of hard work, perseverance and an invaluable, trusted relationship with Europol. We thank Europol for their long and integral partnership with the AFP. Crime is local but when we work together our reach is global.”	オーストラリア連邦警察長官リーチェ・カーショウAPMは、「オーストラリア連邦警察とFBIは、地域社会に麻薬、銃、暴力を氾濫させている組織犯罪集団を法で裁くために、世界初の作戦を共同で行ってきました。この間、ユーロポールは信頼できる献身的なパートナーでした。市民に危害を加えようとする者を裁くことほど、法執行機関が一致団結する問題はありません。FBIは暗号化された通信プラットフォームを提供し、AFPは世界最大の犯罪者の正体を暴くための技術力を提供しました。ユーロポールとの情報共有により、今回の任務が法執行機関にとって最も重要なグローバルタスクフォースの一つであることが確認されました。今週、AFPは数百件の令状を執行し、プラットフォームに関連した数百人の犯罪者を逮捕する予定です。これは、懸命な努力と忍耐、そしてユーロポールとのかけがえのない信頼関係の結晶です。AFPとの長年にわたる不可欠なパートナーシップに感謝します。犯罪は局地的なものですが、私たちが協力すれば、その範囲は世界的なものになります」と述べています。
Drug Enforcement Administration Deputy Chief of Operations Matthew Donahue said: “Operation Trojan Shield and Europol Operation Greenlight not only reveal how transnational criminal organizations continue to exploit encrypted communication services for their own illicit gain, but also show the commitment of the law enforcement community to develop innovative strategies to counter this activity. These operations underscore the seriousness of the international drug threat and provide a strong foundation from which future investigations can be built. As clearly shown in this operation, transnational organized crime is a global problem that requires a global solution, strong international partnerships and timely information sharing which are critical tools in this fight.”	麻薬取締局副長官のマシュー・ドナヒュー氏は次のように述べています。「トロイの盾作戦」と「ユーロポール・オペレーション・グリーンライト」は、国際的な犯罪組織がいかにして暗号化された通信サービスを悪用して不正な利益を得ようとしているかを明らかにしただけでなく、この活動に対抗するための革新的な戦略を開発するという法執行機関の取り組みを示しています。これらの作戦は、国際的な麻薬の脅威の深刻さを浮き彫りにし、今後の捜査を進める上での強力な基盤となります。今回の作戦で明らかになったように、国際組織犯罪は世界的な問題であり、世界的な解決策が必要であり、強力な国際的パートナーシップとタイムリーな情報共有がこの戦いの重要なツールとなります。」
EUROPOL’S ROLE AND CONTRIBUTION	ユーロポールの役割と貢献
Europol set up an Operational Task Force (OTF) for Operation Trojan Shield / Greenlight and provided operational support for the participating countries by acting as a criminal intelligence hub, facilitating the exchange of information and coordinating with other investigations supported by Europol. Overall, 16 countries took part in this OTF and sent representatives to Europol in The Hague, the Netherlands, to coordinate their activities at the national and international levels. The large system of international liaison officers at Europol ensures that the interests of law enforcement agencies in the EU Member States and non-EU partners are represented at Europol’s headquarters. Europol supported OTF Greenlight / Operation Trojan Shield, which was led by the US FBI, Sweden, the Netherlands and Australia.	ユーロポールは、「トロイの盾作戦／グリーンライト作戦」のために運用タスクフォース（OTF）を設置し、犯罪情報のハブとして、情報交換を促進し、ユーロポールが支援する他の捜査との調整を行うことで、参加国の運用を支援しました。このOTFには16カ国が参加し、オランダのハーグにあるユーロポールに代表者を派遣して、国内および国際レベルでの活動を調整しました。ユーロポールの国際渉外担当者の大規模なシステムにより、EU加盟国およびEU以外のパートナーの法執行機関の利益がユーロポール本部で代表されることが保証されています。ユーロポールは、米国FBI、スウェーデン、オランダ、オーストラリアが主導したOTFグリーンライト／トロイの盾作戦を支援しました。
The following countries participated in the international coalition: Australia, Austria, Canada, Denmark, Estonia, Finland, Germany, Hungary, Lithuania, New Zealand, the Netherlands, Norway, Sweden, the United Kingdom incl. Scotland, and the United States.	この国際連合には以下の国が参加しました。オーストラリア、オーストリア、カナダ、デンマーク、エストニア、フィンランド、ドイツ、ハンガリー、リトアニア、ニュージーランド、オランダ、ノルウェー、スウェーデン、英国（スコットランドを含む）、米国。

● Australian Federal Police

・SMASHING CRIMINAL NETWORKS

SMASHING CRIMINAL NETWORKS	犯罪ネットワークの粉砕
Operation IRONSIDE is a long-term, covert investigation into transnational and serious organised crime allegedly responsible for large drug imports, drug manufacturing and attempts to kill.	「IRONSIDE作戦」は、大量の麻薬を輸入したり、麻薬を製造したり、殺人を企てたりしたとされる多国籍で深刻な組織犯罪を長期にわたって秘密裏に捜査するものです。
For almost three years, the AFP and the FBI have monitored criminals’ encrypted communications over a Dedicated Encrypted Communications Platform. The AFP built a capability that allowed law enforcement to access, decrypt and read communications on the platform. The AFP and FBI were able to capture all the data sent between devices using the platform.	AFPとFBIは、約3年間にわたり、犯罪者の暗号化通信を「専用暗号通信プラットフォーム」で監視してきました。AFPは、法執行機関がプラットフォーム上の通信にアクセスし、解読し、読み取ることができる機能を構築しました。AFPとFBIは、このプラットフォームを使用しているデバイス間で送信されるすべてのデータを捕捉することができました。

2021.06.09 15:04 in 法律 / 犯罪, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

NIST SP 800-216 (ドラフト) 連邦政府の脆弱性情報開示ガイドラインの推奨事項

こんにちは、丸山満彦です。

NISTがSP 800-216 (ドラフト) 連邦政府の脆弱性開示ガイドラインの推奨事項を公表し、意見募集をしていますね。。。

● NIST - ITL - Computer Security Resource Center

・SP 800-216 (Draft) Recommendations for Federal Vulnerability Disclosure Guidelines

Announcement	発表
Not all security vulnerabilities can be found through automated processes or testing. Internal and external reporting of security vulnerabilities in software and information systems owned or utilized by the Federal Government is critical to mitigating risk, establishing a robust security posture, and maintaining transparency and trust with the public. In 2020 alone, more than 18,000 vulnerabilities were publicly listed in the National Vulnerability Database (NVD).	すべてのセキュリティ脆弱性が、自動化されたプロセスやテストによって発見されるわけではありません。連邦政府が所有または利用するソフトウェアや情報システムのセキュリティ脆弱性を内部および外部に報告することは、リスクを軽減し、強固なセキュリティ態勢を確立し、国民に対する透明性と信頼性を維持するために不可欠です。2020年だけでも、18,000件以上の脆弱性がNational Vulnerability Database（NVD）に公開されています。
NIST is inviting comments on this Draft NIST Special Publication, which establishes a flexible, unified framework for establishing policies and implementing procedures for reporting, assessing, and managing vulnerability disclosures for systems within the Federal Government. Per the Internet of Things Cybersecurity Improvement Act of 2020, Public Law 116-207, and in alignment with ISO/IEC 29147 and ISO/IEC30111, these guidelines address:	NISTは、連邦政府内のシステムに対する脆弱性開示の報告、評価、管理のためのポリシー確立と実施手順の柔軟で統一されたフレームワークを確立する、このNIST特別刊行物ドラフトに対するコメントを募集しています。2020年モノのインターネット・サイバーセキュリティ改善法（Public Law 116-207）に従い、また、ISO/IEC 29147およびISO/IEC30111との整合性を考慮して、本ガイドラインは以下の事項を規定しています。
・The establishment of a federal vulnerability disclosure framework, including the Federal Coordination Board (FCB) and Vulnerability Disclosure Program Offices (VDPOs)	・連邦調整委員会（FCB）や脆弱性開示プログラムオフィス（VDPO）を含む、連邦政府の脆弱性開示フレームワークの確立
・The receipt of information about potential security vulnerabilities in information systems owned or controlled by a government agency	・政府機関が所有または管理する情報システムの潜在的なセキュリティ脆弱性に関する情報の受領
・The dissemination of information about security vulnerability resolutions to government agencies and the public	・セキュリティ脆弱性の解消に関する情報を、政府機関や一般市民に向けて発信すること
NIST is leading this government-wide effort in coordination with other agencies, including the Office of Management and Budget (OMB), the Department of Defense (DoD), and the Department of Homeland Security (DHS).	NISTは、行政管理予算局(OMB)、国防総省(DoD)、国土安全保障省(DHS)などの他の機関と連携して、この政府全体の取り組みを主導しています。
Abstract	概要
Reporting known or suspected security vulnerabilities in digital products is one of the best ways for developers and services to become aware of issues. Formalizing actions to accept, assess, and manage vulnerability disclosure reports can help reduce known security vulnerabilities. This document recommends guidance for establishing a federal vulnerability disclosure framework and highlights the importance of proper handling of vulnerability reports and communicating the minimization or elimination of vulnerabilities. The framework allows for local resolution support while providing federal oversight and should be applied to all software, hardware, and digital services under federal control.	デジタル製品に存在する既知または疑わしいセキュリティ脆弱性を報告することは、開発者やサービス側が問題を認識するための最良の方法の一つです。脆弱性開示報告書の受理、評価、管理を正式に行うことで、既知のセキュリティ脆弱性を減らすことができます。本文書は、連邦政府の脆弱性開示フレームワークを確立するためのガイダンスを推奨し、脆弱性レポートの適切な取り扱いと、脆弱性の最小化または排除を伝えることの重要性を強調しています。この枠組みは、連邦政府の監督を行いつつ、地域での解決支援を可能にするものであり、連邦政府の管理下にあるすべてのソフトウェア、ハードウェア、およびデジタルサービスに適用されるべきものです。

パブコメの対象は、

Publication:
・[PDF] SP 800-216 (Draft)

Executive Summary	エグゼクティブ・サマリー
1. U.S. Government Vulnerability Disclosure	1. 米国政府による脆弱性情報開示
1.1. Usage of Document Terminology	1.1. 用語の使い方
2. Federal Vulnerability Disclosure Coordination Body	2. 連邦政府の脆弱性情報開示の調整機関
2.1. Preparation	2.1. 準備
2.1.1. Create Vulnerability Report Receipt Capability	2.1.1. 脆弱性報告受理機能の策定
2.1.2. Determine Scope and Obtain Contacts	2.1.2. 範囲の決定と連絡先の入手
2.1.3. Develop Technical Analysis Capability	2.1.3. 技術的分析能力の開発
2.2. Receipt	2.2. 受理
2.3. Triage and Prioritization	2.3. トリアージと優先順位付け
2.4. Determination of the Alleged Vulnerable System	2.4. 脆弱性が疑われるシステムの判定
2.5. Identification of Alleged Vulnerable Software	2.5. 脆弱性が指摘されているソフトウェアの特定
2.6. Vulnerability Verification and Remediation	2.6. 脆弱性の検証及び修正
2.7. Advisory Publication	2.7. アドバイザリーの発行
2.7.1. Determination of Public Disclosure	2.7.1. 公表の可否の判断
2.7.2. Production of Advisories	2.7.2. アドバイザリーの作成
2.7.3. Government Advisory Services	2.7.3. 政府助言サービス
2.8. Stakeholders in Federal Vulnerability Disclosure Coordination	2.8. 連邦政府の脆弱性開示の調整に関わるステークホルダー
2.8.1. Department of Defense	2.8.1. 米国国防総省
2.8.2. Department of Homeland Security and the Cybersecurity and Infrastructure Security Agency	2.8.2. 国土安全保障省とサイバーセキュリティ・インフラストラクチャセキュリティ庁
2.9. Technical Approaches and Resources	2.9. 技術的アプローチとリソース
3. Vulnerability Disclosure Program Offices	3. 脆弱性開示プログラムオフィス
3.1. Vulnerability Disclosure Program Office Description	3.1. 脆弱性情報開示プログラム事務局の説明
3.2. Vulnerability Disclosure Program Office Duties	3.2. 脆弱性情報開示プログラム事務局の任務
3.2.1. Development of Vulnerability Disclosure Report Acceptance Policies	3.2.1. 脆弱性情報開示報告書受理方針の策定
3.2.2. Monitoring of Vulnerability Reports	3.2.2. 脆弱性報告のモニタリング
3.2.3. Development of the Capability to Receive Vulnerability Disclosure Reports	3.2.3. 脆弱性情報開示報告の受理機能の開発
3.2.4. Development of Vulnerability Disclosure Handling Policies	3.2.4. 脆弱性情報開示の取り扱い方針の策定
3.2.5. Processing and Resolution of Received Vulnerability Disclosure Reports	3.2.5. 受理した脆弱性開示報告の処理と解決
3.3. Management Considerations	3.3. 管理上の留意点
3.3.1. Leadership Support	3.3.1. リーダーシップのサポート
3.3.2. Staffing Needs	3.3.2. スタッフの必要性
3.3.3. Leveraging Existing Processes	3.3.3. 既存のプロセスの活用
3.3.4. Integration of Contractor Support into the VDPO	3.3.4. コントラクターサポートのVDPOへの統合
3.3.5. Customer Support and Public Relations	3.3.5. カスタマーサポートと広報活動
References	参考文献

Executive Summary	エグゼクティブ・サマリー
This document provides a guideline of how security vulnerability disclosure for digital products is managed within the Federal Government. The document follows the IOT Cybersecurity Improvement Act of 2020, Public Law 116-207, Section 5 [CYB IMPR ACT], which directs NIST to provide guidelines:	本文書は、デジタル製品のセキュリティ脆弱性の開示を連邦政府内でどのように管理するかについてのガイドラインを提供するものです。本文書は、NISTにガイドラインを提供するよう指示する「2020年IOTサイバーセキュリティ改善法」（Public Law 116-207, Section 5 [CYB IMPR ACT]）に準拠しています。
(1) for the reporting, coordinating, publishing, and receiving information about—	(1)以下の情報の報告、調整、公開、受信のためのもの
a. a security vulnerability relating to information systems owned or controlled by an agency (including Internet of Things devices owned or controlled by an agency); and	a. 機関が所有または管理する情報システム（機関が所有または管理するモノのインターネット機器を含む）に関連するセキュリティ脆弱性。
b. the resolution of such security vulnerability; and	b. 当該セキュリティ脆弱性の解決策。
(2) for a contractor providing to an agency an information system (including an Internet of Things device) and any subcontractor thereof at any tier providing such information system to such contractor, on—	(2) 機関に情報システム（モノのインターネットデバイスを含む）を提供する請負業者、および当該請負業者に当該情報システムを提供するあらゆる階層の下請業者について、以下のことを行う。
a. receiving information about a potential security vulnerability relating to the information system; and	a. 当該情報システムに関連する潜在的なセキュリティ脆弱性に関する情報を受け取ること。
b. disseminating information about the resolution of a security vulnerability relating to the information system.	b. 情報システムに関連するセキュリティ脆弱性の解決に関する情報を広めること。
The guidelines —	ガイドラインは
(1) to the maximum extent practicable, are aligned with industry best practices and Standards 29147 and 30111 of the International Standards Organization (or any successor standard) or any other appropriate, relevant, and widely used standard;	(1) 実行可能な最大限の範囲で、業界のベストプラクティス、ISO29147およびISO30111（またはその後継規格）、またはその他の適切で関連性のある広く使用されている規格に沿ったものであること。
(2) incorporate guidelines on—	(2) 以下に関するガイドラインを組み込む。
a. receiving information about a potential security vulnerability relating to an information system developed, owned or controlled by an agency (including an Internet of Things device); and	a. 機関が開発、所有、または管理する情報システム（モノのインターネットデバイスを含む）に関連する潜在的なセキュリティ脆弱性に関する情報を受け取ること。
b. disseminating information about the resolution of a security vulnerability relating to an information system developed, owned or controlled by an agency (including an Internet of Things device); and	b. 機関が開発、所有または管理する情報システム（モノのインターネット機器を含む）に関連するセキュリティ脆弱性の解決に関する情報を広めること；および
(3) consistent with the policies and procedures produced under section 2009(m) of the Homeland Security Act of 2002 (6 U.S.C. 659(m)).	(3) 2002年国土安全保障法2009(m)項（6 U.S.C. 659(m)）に基づいて作成された方針と手順に合致すること。
The document defines the Federal Coordination Board (FCB) as the primary interface for vulnerability disclosure reporting and oversight. It also defines Vulnerability Disclosure Program Offices (VDPOs) that are usually part of the Information Technology Security Offices (ITSOs).	この文書では、連邦調整委員会（FCB）を、脆弱性情報開示の報告と監視のための主要なインターフェイスとして定義しています。また、通常は情報技術セキュリティ局(ITSO)の一部である脆弱性開示プログラム局(VDPO)も定義されている。
The FCB and VDPOs work together to address vulnerability disclosure in the Federal Government.	FCBとVDPOは共同で連邦政府の脆弱性開示に対応する。

2021.06.09 13:28 in 情報セキュリティ / サイバーセキュリティ, in 脆弱性, in 危機管理 / 事業継続, in パブコメ, in IoT | Permalink | Comments (0)
Tweet

米国上院軍事委員会米国と中国の戦略的競争についてのヒアリング

こんにちは、丸山満彦です。

米国上院軍事委員会 (United States Senate Committee on Armed Services [wikipedia]) で、専門家4名を招いた「米国と中国の戦略的競争」についてのヒアリングが行われていましたね。。。

● United States Senate Committee on Armed Services

・2021.06.08 United States Senate Committee on Armed Services

Mr. Matt Pottinger	マット・ポッティンジャー氏
Former Assistant To The President And Deputy National Security Advisor; Distinguished Visiting Fellow, The Hoover Institution Stanford University	元大統領補佐官、副国家安全保障顧問、スタンフォード大学フーバー研究所特別客員研究員
・[PDF] Statement	・[PDF] 証言
Dr. Evan Medeiros	エバン・メデイロス博士
Penner Family Chair In Asia Studies In The School Of Foreign Service And The Cling Family Distinguished Fellow In U.S.-China Studies Georgetown University	ジョージタウン大学外交学部ペナー・ファミリー・アジア研究講座、クリング・ファミリー米中研究特別研究員
・[PDF] Statement	・[PDF] 証言
Dr. Sheena Chestnut Greitens	シーナ・チェスナット・グライテンス博士
Associate Professor, Lyndon B. Johnson School Of Public Affairs University Of Texas At Austin	テキサス大学オースティン校リンドン・B・ジョンソン公共事務大学院准教授
・[PDF] Statement	・[PDF] 証言
Ms. Bonnie Glaser	ボニー・グレイザー氏
Director, Asia Program, German Marshall Fund Of The United States	ジャーマン・マーシャル・ファンド・オブ・ザ・アメリカアジア・プログラム・ディレクター
・[PDF] Statement	・[PDF] 証言

2021.06.09 08:29 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2021.06.08

U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

こんにちは、丸山満彦です。

U.S. の公益団体であるElectronic Privacy Information Center: EPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

顔認識技術や遠隔生体認識技術への公的投資を停止し、公共空間での顔認識技術等の政府および私的使用を禁止し、これらによる大量監視システムによって監視または危害を受けた個人への開示と補償を義務付けるよう求めていますね。。。

● Electronic Privacy Information Center: EPIC

・2021.06.07 EPIC, Coalition Call for Global Ban on Biometric Recognition Technologies

In an open letter, EPIC and a coalition of more than 175 civil society organizations, activists, technologists, and other experts called "for an outright ban on uses of facial recognition and remote biometric recognition technologies that enable mass surveillance and discriminatory targeted surveillance." The letter urges lawmakers around the world to stop public investment in facial recognition, prohibit government and private use of facial recognition in public spaces, and mandate disclosure and reparations to individuals monitored or harmed by biometric mass surveillance systems. The letter identifies one-to-many facial recognition identification (comparing an image to a gallery of identified images) as inherently dangerous to the public because the databases of images enable discriminatory targeted surveillance and the technology itself enables comprehensive public surveillance. EPIC began pushing for a ban in 2019 with the launch of the Ban Face Surveillance campaign and recently joined over 40 other organizations to call for a ban on U.S. law enforcement's use of facial recognition technology.

EPICと175以上の市民社会団体、活動家、技術者、その他の専門家からなる連合は、公開書簡の中で、「集団監視や差別的な標的監視を可能にする顔認証および遠隔生体認証技術の使用を全面的に禁止すること」を求めました。書簡では、世界中の議員に対し、顔認証への公共投資を中止し、政府や民間が公共の場で顔認証を使用することを禁止し、生体情報を利用した大量監視システムによって監視されたり被害を受けたりした個人への情報開示と賠償を義務付けるよう求めています。この書簡では、一対多の顔識別（画像を識別された画像のギャラリーと比較すること）は、画像のデータベースが差別的な標的監視を可能にし、技術自体が包括的な国民監視を可能にするため、国民にとって本質的に危険であると指摘しています。EPICは、2019年に「Ban Face Surveillance」キャンペーンを立ち上げて禁止を働きかけ始め、最近では他の40以上の団体とともに、米国の法執行機関による顔認証技術の使用を禁止することを求めています。

・[PDF] Open letter calling for a global ban on biometric recognition technologies that enable mass and discriminatory surveillance

仮訳してみました...

[DOCX]

2021.06.08 15:43 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 危機管理 / 事業継続, in IoT, in AI/Deep Learning | Permalink | Comments (2)
Tweet

米国司法省コロニアル・パイプライン社が支払った暗号通貨の大半（約230 万ドル）を押収

こんにちは、丸山満彦です。

米国司法省がコロニアル・パイプライン社が支払った暗号資産の大半（約230 万ドル）を回収したと発表していますね。。。これは、コロニアル・パイプライン社が支払った約75₿のうちの63.7₿で約85％ですね。。。

● U.S. Department of Justice Office of Public Affairs - News

プレス発表（Liveで配信）

・2021.06.07 DAG Monaco Delivers Remarks at Press Conference on Darkside Attack on Colonial Pipeline

その流れで,,,

● FBI

・2021.06.07 FBI Deputy Director Paul M. Abbate’s Remarks at Press Conference Regarding the Ransomware Attack on Colonial Pipeline

FBI Deputy Director Paul M. Abbate delivered the following remarks during a press conference in Washington, D.C., with Department of Justice officials announcing the seizure of ransom proceeds from the group DarkSide following the Colonial Pipeline network compromise.

詳細な説明

● U.S. Department of Justice Office of Public Affairs - News

・2021.06.07 Department of Justice Seizes $2.3 Million in Cryptocurrency Paid to the Ransomware Extortionists Darkside

Department of Justice Seizes $2.3 Million in Cryptocurrency Paid to the Ransomware Extortionists Darkside	司法省、ランサムウェアのエクストラショナーDarksideに支払われた230万ドルの暗号通貨を押収
WASHINGTON - The Department of Justice today announced that it has seized 63.7 bitcoins currently valued at approximately $2.3 million. These funds allegedly represent the proceeds of a May 8, ransom payment to individuals in a group known as DarkSide, which had targeted Colonial Pipeline, resulting in critical infrastructure being taken out of operation. The seizure warrant was authorized earlier today by the Honorable Laurel Beeler, U.S. Magistrate Judge for the Northern District of California.	ワシントン - 司法省は本日、現在約230万ドル相当の63.7ビットコインを押収したことを発表しました。これらの資金は、コロニアル・パイプラインを標的とし、重要なインフラを停止させたDarkSideと呼ばれるグループの個人に、5月8日に身代金を支払ったことによるものとされています。差し押さえ令状は、カリフォルニア州北部地区連邦地方裁判所のローレル・ビーラー判事により、本日未明に承認されました。
“Following the money remains one of the most basic, yet powerful tools we have,” said Deputy Attorney General Lisa O. Monaco for the U.S. Department of Justice. “Ransom payments are the fuel that propels the digital extortion engine, and today’s announcement demonstrates that the United States will use all available tools to make these attacks more costly and less profitable for criminal enterprises. We will continue to target the entire ransomware ecosystem to disrupt and deter these attacks. Today’s announcements also demonstrate the value of early notification to law enforcement; we thank Colonial Pipeline for quickly notifying the FBI when they learned that they were targeted by DarkSide.”	米国司法省のリサ・O・モナコ副検事総長は、「身代金の支払いを追跡することは、最も基本的かつ強力な手段の一つです。身代金の支払いは、デジタル恐喝エンジンを推進する燃料であり、本日の発表は、米国があらゆる手段を用いて、これらの攻撃が犯罪企業にとってよりコストがかかり、収益性が低くなるようにすることを示しています。米国は、ランサムウェアのエコシステム全体をターゲットにして、これらの攻撃を妨害し、抑止する活動を続けていきます。本日の発表は、法執行機関への早期通知の価値を示すものでもあります。DarkSideに狙われていることを知ったコロニアル・パイプライン社が迅速にFBIに通知してくれたことに感謝します」。
“There is no place beyond the reach of the FBI to conceal illicit funds that will prevent us from imposing risk and consequences upon malicious cyber actors,” said FBI Deputy Director Paul Abbate. “We will continue to use all of our available resources and leverage our domestic and international partnerships to disrupt ransomware attacks and protect our private sector partners and the American public.”	FBI副長官のポール・アベイトは、「不正な資金を隠しても、悪意あるサイバー犯罪者にリスクと結果を課すことを妨げるような、FBIの手の届かない場所はありません。我々は、ランサムウェア攻撃を阻止し、民間企業のパートナーとアメリカ国民を守るために、利用可能なすべてのリソースを使い、国内外のパートナーシップを活用していきます」と述べています。
“Cyber criminals are employing ever more elaborate schemes to convert technology into tools of digital extortion,” said Acting U.S. Attorney for the Northern District of California Stephanie Hinds. “We need to continue improving the cyber resiliency of our critical infrastructure across the nation, including in the Northern District of California. We will also continue developing advanced methods to improve our ability to track and recover digital ransom payments.”	カリフォルニア州北部地区連邦検事代理のステファニー・ハインズ氏は、「サイバー犯罪者は、技術をデジタル恐喝の道具に変えるために、これまで以上に精巧なスキームを採用しています。私たちは、カリフォルニア州北部地区を含む全米の重要インフラのサイバー耐性を向上させ続ける必要があります。また、デジタル身代金の支払いを追跡し、回収する能力を向上させるための先進的な手法の開発も続けていきます」と述べています。
On or about May 7, Colonial Pipeline was the victim of a highly publicized ransomware attack resulting in the company taking portions of its infrastructure out of operation. Colonial Pipeline reported to the FBI that its computer network was accessed by an organization named DarkSide and that it had received and paid a ransom demand for approximately 75 bitcoins.	コロニアル・パイプライン社は、5月7日頃、ランサムウェアによる攻撃を受け、その結果、同社のインフラの一部が稼動しなくなり、大きな話題となりました。コロニアル・パイプライン社はFBIに対し、同社のコンピュータネットワークがDarkSideという組織によってアクセスされ、約75ビットコインの身代金要求を受けて支払ったことを報告しました。
As alleged in the supporting affidavit, by reviewing the Bitcoin public ledger, law enforcement was able to track multiple transfers of bitcoin and identify that approximately 63.7 bitcoins, representing the proceeds of the victim’s ransom payment, had been transferred to a specific address, for which the FBI has the “private key,” or the rough equivalent of a password needed to access assets accessible from the specific Bitcoin address. This bitcoin represents proceeds traceable to a computer intrusion and property involved in money laundering and may be seized pursuant to criminal and civil forfeiture statutes.	同供述書によると、ビットコインの公開台帳を確認することで、法執行機関は複数のビットコインの送金を追跡することができ、被害者の身代金支払いの収益である約63.7ビットコインが、FBIが「秘密鍵」（特定のビットコインアドレスからアクセス可能な資産にアクセスするために必要なパスワードのようなもの）を持つ特定のアドレスに送金されていることを確認しました。このビットコインは、コンピュータへの侵入によって得られた収益や、マネーロンダリングに関わる資産であり、刑事上および民事上の没収法に基づいて押収される可能性があります。
The Special Prosecutions Section and Asset Forfeiture Unit of the U.S. Attorney’s Office for the Northern District of California is handling the seizure, with significant assistance from the Department of Justice Criminal Division’s Money Laundering and Asset Recovery Section and Computer Crime and Intellectual Property Section, and the National Security Division’s Counterintelligence and Export Control Section. The Department components who worked on this seizure coordinated their efforts through the Department’s Ransomware and Digital Extortion Task Force, which was created to combat the growing number of ransomware and digital extortion attacks.	カリフォルニア州北部地区連邦検事局の特別検察部門および資産没収部門が今回の押収を担当しており、司法省刑事局のマネーロンダリング・資産回収部門、コンピュータ犯罪・知的財産部門、国家安全保障部門の防諜・輸出管理部門が多大な支援を行っています。今回の押収作業にあたった司法省の各部門は、増加するランサムウェアやデジタル恐喝の攻撃に対抗するために設立されたランサムウェア・デジタル恐喝タスクフォースを通じて、それぞれの作業を調整しました。
The Task Force prioritizes the disruption, investigation, and prosecution of ransomware and digital extortion activity by tracking and dismantling the development and deployment of malware, identifying the cybercriminals responsible, and holding those individuals accountable for their crimes. The Task Force also strategically targets the ransomware criminal ecosystem as a whole and collaborates with domestic and foreign government agencies as well as private sector partners to combat this significant criminal threat.	このタスクフォースは、マルウェアの開発・展開を追跡・解体し、責任のあるサイバー犯罪者を特定し、その犯罪者に責任を負わせることで、ランサムウェアとデジタル恐喝の活動の破壊、調査、起訴を優先しています。また、タスクフォースは、ランサムウェアの犯罪エコシステム全体を戦略的に対象とし、国内外の政府機関や民間企業と協力して、この重大な犯罪の脅威に立ち向かっています。

暗号資産を取り扱う交換所等はこのような捜査への協力ができるようにしておくことが重要かもしれませんね。。。

DoJ自体もFY22の予算要求（353億ドル：約3.9兆円）のうち、サイバー捜査とサイバーセキュリティの強化のために、約1.5億ドル：約170億円の予算要求をしているようですね。。。

予算要求

・2021.05.28 Department of Justice Fiscal Year 2022 Funding Request

・[PDF] U.S. Department of Justice FY 2022 Budget Request - Augmenting Cyber Investigations and Cybersecurity

その詳細は↓↓↓↓↓

Continue reading "米国司法省コロニアル・パイプライン社が支払った暗号通貨の大半（約230 万ドル）を押収"

2021.06.08 08:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

2021.06.07

Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドの日本語訳を公表していますね。。。

こんにちは、丸山満彦です。

Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドの日本語訳を公表していますね。。。

運用における標準約款契約を含む国際的多層委託モデルが複数存在し、かつオンプレ環境もある状況が当たり前になってくる中で、インシデント対応はより複雑になってきますよね。。。これ、日本語化してくれるといいかもですね。。。と書いていたのですが、日本語訳をしてくれましたね。。。

● Cloud Security Alliance

・2021.06.04 (publication) Cloud Incident Response Framework - Japanese Translation

・[PDF] クラウドインシデント (CIR) フレームワーク

目次
1. はじめに
本書の目的
対象読者

2. 規範となる文献

3. 定義

4. CIR の概要
ガバナンス
責任共有
サービスプロバイダの多様性
可視性

5. CIR フレームワーク
5.1 フェーズ 1：準備とそれにともなうレビュー
5.1.1 文書化
5.2 フェーズ 2: 検知と分析
5.2.1 発生源
5.2.2 影響を特定するためのインシデント分析
5.2.3 証拠収集と取り扱い
5.3 フェーズ 3: 封じ込め、根絶、復旧
5.3.1 封じ込め計画の選択
5.3.2 根絶と復旧
5.4 フェーズ 4: 事後分析
5.4.1 インシデント評価
5.4.2 インシデントクロージングレポート
5.4.3 インシデント証拠の保管期間

6. 調整と情報共有
6.1 調整
6.1.1 関係者間の調整
6.1.2 契約と報告要件の共有
6.2 情報共有のテクニック
6.3 適切な情報共有
6.3.1 ビジネスインパクトに関する情報
6.3.2 技術情報
6.3.3 CSP ダッシュボード
6.4 机上演習とインシデントシミュレーション

7. サマリー

■ 参考

● マルちゃんの情報セキュリティ気まぐれ日記

・2021.05.05 Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドを公表していますね。。。

2021.06.07 01:50 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in IoT | Permalink | Comments (0)
Tweet

欧州委員会 EU人としてのデジタルIDのフレームワークを提案

こんにちは、丸山満彦です。

欧州委員会がEU人としてのデジタルIDのフレームワークを提案していますね。。。興味深いと取り組みです。

欧州デジタルIDがあれば、母国以外でも自国と同じように銀行口座を開設したり、アパートを借りたりできるようですね。このIDは携帯電話に入れるようですね。。。

● European Commission - Press

・2021.06.03 Commission proposes a trusted and secure Digital Identity for all Europeans

Commission proposes a trusted and secure Digital Identity for all Europeans	欧州委員会、全欧州人を対象とした信頼できる安全なデジタルIDを提案
The Commission today proposed a framework for a European Digital Identity which will be available to all EU citizens, residents, and businesses in the EU. Citizens will be able to prove their identity and share electronic documents from their European Digital Identity wallets with the click of a button on their phone. They will be able to access online services with their national digital identification, which will be recognised throughout Europe. Very large platforms will be required to accept the use of European Digital Identity wallets upon request of the user, for example to prove their age. Use of the European Digital Identity wallet will always be at the choice of the user.	欧州委員会は本日、欧州連合（EU）のすべての市民、居住者、企業が利用できる欧州デジタルIDの枠組みを提案しました。市民は、携帯電話のボタンをクリックするだけで、欧州デジタルIDウォレットから自分の身元を証明し、電子文書を共有することができるようになります。国民は、欧州全域で認識される各国のデジタルIDを使ってオンラインサービスにアクセスできるようになります。非常に大規模なプラットフォームでは、年齢を証明するなど、利用者の要求に応じて欧州デジタルIDウォレットの使用を受け入れることが求められます。欧州デジタルIDウォレットの使用は、常に利用者の選択に委ねられます。
Margrethe Vestager, Executive Vice-President for a Europe Fit for the Digital Age said: “The European digital identity will enable us to do in any Member State as we do at home without any extra cost and fewer hurdles. Be that renting a flat or opening a bank account outside of our home country. And do this in a way that is secure and transparent. So that we will decide how much information we wish to share about ourselves, with whom and for what purpose. This is a unique opportunity to take us all further into experiencing what it means to live in Europe, and to be European.”	マルグレーテ・ベスタガー（デジタル時代に適した欧州担当上級バイスプレジデント）は次のように述べています。「欧州デジタルIDは、どの加盟国においても、余分なコストやハードルをかけることなく、自国と同じように行動することを可能にします。母国以外でアパートを借りたり、銀行口座を開設したりすることができます。しかも、安全で透明性のある方法で行うことができます。自分の情報をどれだけ、誰と、何の目的で共有するかは、自分で決めることができます。これは、欧州に住むこと、そして欧州人であることの意味を、私たち全員がさらに体験するためのまたとない機会です」。
Commissioner for Internal Market Thierry Breton said: “EU citizens not only expect a high level of security but also convenience whether they are dealing with national administrations such as to submit a tax return or to enroll at a European university where they need official identification. The European Digital Identity wallets offer a new possibility for them to store and use data for all sorts of services, from checking in at the airport to renting a car. It is about giving a choice to consumers, a European choice. Our European companies, large and small, will also benefit from this digital identity, they will be able to offer a wide range of new services since the proposal offers a solution for secure and trusted identification services.”	ティエリー・ブルトン欧州委員会内部市場担当委員は次のように述べています。「EU市民は、高いレベルのセキュリティを期待するだけでなく、納税申告書の提出など国の行政機関とのやりとりや、欧州の大学に入学する際に公的な身分証明書が必要になるなど、利便性を求めています。欧州デジタルIDウォレットは、空港でのチェックインからレンタカーの利用まで、あらゆるサービスにデータを保存・利用できる新たな可能性を提供します。これは、消費者に選択肢を与えることであり、欧州の選択肢でもあります。欧州の大企業や中小企業も、このデジタルIDから恩恵を受けることになるでしょう。この提案は、安全で信頼できるIDサービスのためのソリューションを提供するもので、幅広い新しいサービスを提供することができるようになります。」
The European Digital Identity framework	欧州デジタルIDの枠組み
Under the new Regulation, Member States will offer citizens and businesses digital wallets that will be able to link their national digital identities with proof of other personal attributes (e.g. driving licence, diplomas, bank account). These wallets may be provided by public authorities or by private entities, provided they are recognised by a Member State.	新規則に基づき、加盟国は市民や企業にデジタル・ウォレットを提供し、国のデジタルIDを他の個人属性（運転免許証、卒業証書、銀行口座など）の証明と結びつけることができるようになります。これらのウォレットは、加盟国に認められていれば、公的機関が提供しても民間団体が提供しても問題ありません。
The new European Digital Identity Wallets will enable all Europeans to access services online without having to use private identification methods or unnecessarily sharing personal data. With this solution they will have full control of the data they share.	新しい欧州デジタルIDウォレットにより、すべての欧州人は、個人的な識別方法を使用したり、個人データを不必要に共有したりすることなく、オンラインサービスにアクセスできるようになります。このソリューションでは、共有するデータを完全にコントロールすることができます。
The European Digital Identity will be:	欧州デジタルIDは、以下のようになります。
・Available to anyone who wants to use it: Any EU citizen, resident, and business in the Union who would like to make use of the European Digital Identity will be able to do so.	・利用したい人が誰でも利用できる：欧州デジタルIDの利用を希望するEU市民、EU域内の居住者、EU域内の企業は誰でも利用できます。
・Widely useable: The European Digital Identity wallets will be useable widely as a way either to identify users or to prove certain personal attributes, for the purpose of access to public and private digital services across the Union.	・広範な利用：欧州デジタルIDウォレットは、EU全域の公共および民間のデジタルサービスにアクセスする目的で、ユーザを識別する、または特定の個人属性を証明する方法として、広く使用することができます。
・Users in control of their data: The European Digital Identity wallets will enable people to choose which aspects of their identity, data and certificates they share with third parties, and to keep track of such sharing. User control ensures that only information that needs to be shared will be shared.	・データの自己管理：欧州デジタルIDウォレットでは、ユーザは自分のID、データ、および証明書のどの部分を第三者と共有するかを選択し、その共有を追跡することができます。ユーザがコントロールすることで、共有する必要のある情報のみが共有されるようになります。
To make it a reality as soon as possible, the proposal is accompanied by a Recommendation. The Commission invites Member States to establish a common toolbox by September 2022 and to start the necessary preparatory work immediately. This toolbox should include the technical architecture, standards and guidelines for best practices.	この提案をできるだけ早く実現するために、この提案には勧告がついています。欧州委員会は、加盟国に対し、2022年9月までに共通のツールボックスを確立し、必要な準備作業を直ちに開始するよう求めています。このツールボックスには、技術的なアーキテクチャー、標準、ベストプラクティスのガイドラインが含まれるべきです。
Next Steps	次のステップ
In parallel to the legislative process, the Commission will work with Member States and the private sector on technical aspects of the European Digital Identity. Through the Digital Europe Programme, the Commission will support the implementation of the European Digital Identity framework, and many Member States have foreseen projects for the implementation of the e-government solutions, including the European Digital Identity in their national plans under the Recovery and Resilience Facility.	欧州委員会は、立法プロセスと並行して、欧州デジタルIDの技術的側面について加盟国や民間企業と協力していきます。欧州委員会は、デジタル欧州プログラムを通じて、欧州デジタルIDのフレームワークの実施を支援します。また、多くの加盟国は、欧州デジタルIDを含む電子政府ソリューションの実施に向けたプロジェクトを、復旧・回復ファシリティの下での国家計画の中で予見しています。
Background	背景
The Commission's 2030 Digital Compass sets out a number of targets and milestones which the European Digital Identity will help achieve. For example, by 2030, all key public services should be available online, all citizens will have access to electronic medical records; and 80% citizens should use an eID solution.	欧州委員会の「2030 Digital Compass」では、欧州デジタルIDが達成に貢献する数多くの目標やマイルストーンが設定されています。例えば、2030年までに、すべての主要な公共サービスをオンラインで利用できるようにし、すべての市民が電子カルテにアクセスできるようにし、80％の市民がeIDソリューションを使用することとしています。
For this initiative, the Commission builds on the existing cross-border legal framework for trusted digital identities, the European electronic identification and trust services initiative (eIDAS Regulation). Adopted in 2014, it provides the basis for cross-border electronic identification, authentication and website certification within the EU. Already about 60% of Europeans can benefit from the current system.	この構想では、欧州委員会は、信頼できるデジタルIDのための国境を越えた既存の法的枠組みである「欧州電子識別および信託サービスイニシアチブ（eIDAS規則）」を基礎としています。2014年に採択されたこの規則は、EU域内での国境を越えた電子的な識別、認証、ウェブサイト認証の基盤を提供しています。すでに欧州人の約60％が現行システムの恩恵を受けることができます。
However, there is no requirement for Member States to develop a national digital ID and to make it interoperable with the ones of other Member States, which leads to high discrepancies between countries. The current proposal will address these shortcomings by improving the effectiveness of the framework and extending its benefits to the private sector and to mobile use.	しかし、加盟国が国のデジタルIDを開発し、他の加盟国のものと相互運用できるようにすることは要求されていないため、各国間で高い齟齬が生じています。今回の提案は、フレームワークの有効性を改善し、その恩恵を民間企業やモバイル利用にまで拡大することで、これらの欠点を解消するものです。
For More Information	関連情報
European Digital Identity – Questions and Answers	欧州デジタルID - 質問と回答
European Digital Identity – Facts Page	欧州デジタルID - ファクトページ
European Digital Identity Regulation	欧州デジタルID規則
European Digital Identity Recommendation	欧州デジタルID勧告
eIDAS web page	eIDAS ウェブページ
Report on the evaluation of the eIDAS Regulation	eIDAS規則の評価に関する報告書
Digital Decade – Press Release	デジタルの10年 - プレスリリース

規則はこちら

・A trusted and secure European e-ID - Regulation

Proposal for a Regulat

1. INTRODUCTION	1.イントロダクション
2. THE CHALLENGE POSED BY BIAS IN AI SYSTEMS	2.AIシステムのバイアスがもたらす課題
3. APPROACH	3.アプローチ
4. IDENTIFYING AND MANAGING BIAS IN ARTIFICIAL INTELLIGENCE	4.人工知能におけるバイアスの識別と管理
Figure 1: A three-stage approach for managing AI bias	図1：AIバイアスを管理するための3段階のアプローチ
PRE-DESIGN STAGE	設計前段階
PROBLEM FORMULATION AND DECISION MAKING	問題形成と意思決定
OPERATIONAL SETTINGS AND UNKNOWN IMPACTS	動作設定と未知の影響
OVERSELLING TOOL CAPABILITIES AND PERFORMANCE	ツールの機能や性能の過剰アピール
PRACTICES	実践
REAL-WORLD EXAMPLE	実例
DESIGN AND DEVELOPMENT STAGE	設計・開発段階
OPTIMIZATION OVER CONTEXT	コンテキスト上の最適化
PRACTICES	実践
REAL-WORLD EXAMPLE	実例
DEPLOYMENT STAGE	展開段階
DISCRIMINATORY IMPACT	差別的影響
INTENDED CONTEXT VS ACTUAL CONTEXT	意図した文脈と実際の文脈
CONTEXTUAL GAPS LEAD TO PERFORMANCE GAPS	コンテキストのギャップがパフォーマンスのギャップにつながる
PRACTICAL IMPROVEMENTS	実用的な改善
Figure 2: Example of bias presentation in three stages modeled on the AI lifecycle.	図2：AIのライフサイクルをモデルとした3段階のバイアス提示例
5. CONCLUSION AND NEXT STEPS	5.結論と次のステップ
6. APPENDICES	6.添付資料
APPENDIX A: GLOSSARY	附属書A：用語集
APPENDIX B: COLLABORATIVE WORK	附属書B：共同作業
7. REFERENCES	7.参考文献

サイト内検索

Recent Posts

Recent Comments

Recent Trackbacks

連載 (ITmedia)

ウェブページ

June 2021

2021.06.30

2021.06.29

2021.06.28

2021.06.27

2021.06.26

2021.06.25

2021.06.24

2021.06.23

2021.06.22

2021.06.21

2021.06.20

2021.06.19

2021.06.18

2021.06.17

2021.06.16

2021.06.15

2021.06.14

2021.06.13

2021.06.12

2021.06.11

2021.06.10

2021.06.09

2021.06.08

2021.06.07