まるちゃんの情報セキュリティ気まぐれ日記: August 2021

December 2023
Sun	Mon	Tue	Wed	Thu	Fri	Sat
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30

August 2021

2021.08.31

中国「個人情報保護法」についての専門家の解釈

こんにちは、丸山満彦です。

11月1日に中国の「個人情報保護法」が施行されますが、その解釈についての記事がいくつかありますね。。。

中国個人情報保護法は、第3回の草案段階で憲法に基づく人権に関する法律ということを明記することにしたこともあり、安全保障のための法律というよりも、人権に配慮した法律という立ち位置になっていると思います。その点は、関連しているネットワークセキュリティ法（サイバーセキュリティ法）やデータセキュリティ法とはやや異なる位置付けなのかもしれません。（個人情報保護法は政府と民に対する規制の両方を含んでいますが、民に対する規制に重きをおいているようにも感じます。）

ただ、中華人民共和国は共産党独裁による社会主義国家ですから、社会全体の安全と個々人の人権のバランスの取り方は欧米の民主主義国家とは違うかもしれませんね。でも、そのバランスの取り方は個人情報保護法が成立したからといって新たに規定されたり、修正されたものではなく、そもそも社会にあったところに法律ができたということなのだろうと思います。

● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China: CAC)

2021.08.25	专家解读｜个人信息保护法：为数字社会治理与数字经济发展构建基本法	専門家の解釈｜個人情報保護法：デジタル社会の統治とデジタル経済の発展のための基本法の構築を目指して
2021.08.25	专家解读｜吸收接轨国际立法探索开创中国路径——读《中华人民共和国个人信息保护法》	専門家の解釈｜個人情報保護に関する中華人民共和国の法律
2021.08.25	专家解读｜个人信息保护法解决广大人民群众最关心最直接最现实的利益问题	専門家の解釈｜個人情報保護法は、一般市民の最も直接的で現実的な利益に対応しています。
2021.08.25	专家解读｜全面保护个人信息权益的重要法律	専門家の解釈｜個人情報保護のための重要な法律を徹底解説
2021.08.25	专家解读｜个人信息保护法的深远意义：中国与世界	専門家の解釈｜個人情報保護法の遠大な意義：中国と世界へ
2021.08.21	8章74条，个人信息保护法来了！权威解读十大亮点	8章74条からなる「個人情報保護法」の登場！10のハイライトについての権威ある解釈

個別の記事の内容は

こちらから・・・

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.24 中国全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.22 中国個人情報保護法は2021.11.01施行

・2021.08.15 中国個人情報保護法案が少し改訂されているようですね。。。

・2020.10.29 パブコメ　中国の個人情報保護法案 (2020.10.22)

Continue reading "中国「個人情報保護法」についての専門家の解釈"

2021.08.31 04:07 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in フォレンジック, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2021.08.30

中国「重要情報インフラのセキュリティ保護規制」についての専門家の解釈＋「データセキュリティ法」についての解釈

こんにちは、丸山満彦です。

中国の「データセキュリティ法」と「重要情報インフラのセキュリティ保護規制」が9月1日より施行されますので、紹介です。。。

● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China: CAC)

2021.08.17	专家解读｜谢永江：保护关键信息基础设施安全是网络安全的关键	専門家の解釈｜Xie Yongjiang: 重要情報インフラのセキュリティを守ることがサイバーセキュリティの鍵である
2021.08.17	专家解读｜杨建军：标准助力关键信息基础设施安全保障体系建设	専門家の解釈｜Yang Jianjun: 重要情報インフラのセキュリティ保証システムの構築に役立つ標準
2021.08.17	专家解读｜俞克群：落实关键信息基础设施安全保护制度筑牢国家网络安全屏障	専門家の解釈｜Yu Kequn: 重要情報インフラのセキュリティ保護システムを導入し、強固な国家サイバーセキュリティバリアを構築する
2021.08.17	专家解读｜余晓晖：开启关键信息基础设施安全保护新阶段	専門家の解釈｜Yu Xiaohui：重要情報インフラのセキュリティ保護の新しい段階を開く
2021.08.17	专家解读｜李欲晓：加强关键信息基础设施安全保护的法治基石	専門家の解釈｜Li Yuxiao：重要情報インフラのセキュリティ保護を強化するための法の支配の要点
2021.06.15	专家解读｜《数据安全法》为全球数据安全治理贡献中国智慧和中国方案	専門家の解釈｜データセキュリティ法は、グローバルなデータセキュリティガバナンスに中国の知恵とソリューションを提供する

個別の記事の内容は

こちらから・・・

Continue reading "中国「重要情報インフラのセキュリティ保護規制」についての専門家の解釈＋「データセキュリティ法」についての解釈"

2021.08.30 16:39 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

中国 2021年のサイバーセキュリティに関する国家標準プロジェクトリスト

こんにちは、丸山満彦です。

中国のTC260が2021年のサイバーセキュリティに関する国家標準プロジェクト一覧を公表しています。。。

トータルで58項目です。国としての力がありますね。。。

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

2021.08.25

全国信息安全标准化技术委员会关于2021年网络安全标准项目立项的通知

全国情報セキュリティ標準化技術委員会による2021年のネットワークセキュリティ標準のプロジェクトに関する通知

・附件：[PDF] 2021年网络安全国家标准项目立项清单

2021年网络安全国家标准项目立项清单	2021年のサイバーセキュリティに関する国家標準プロジェクトリスト
序号项目名称	No. プロジェクト名
标准制定项目（12项）	標準制定項目（12項目 )
1 信息安全技术通用密码服务接口规范	1 情報セキュリティ技術汎用暗号サービスのインタフェース規則
2 信息安全技术证书应用综合服务接口规范	2 情報セキュリティ技術認証アプリケーション統合サービスインターフェース規則
3 信息安全技术基于密码令牌的主叫用户可信身份鉴别技术规范	3 情報セキュリティ技術パスワードトークンに基づく発信者の信頼できる本人確認のための技術規則
4 信息安全技术互联网用户账号名称命名要求	4 情報セキュリティ技術インターネットユーザーアカウント名の命名要件
5 信息安全技术应用商店的 App 个人信息处理规范性审核与管理指南	5 情報セキュリティ技術アプリストアにおけるアプリの個人情報処理の規制審査と管理に関する指針
6 信息安全技术移动智能终端的 App 个人信息处理活动管理指南	6 モバイル・スマート・ターミナルのアプリ個人情報処理活動の管理に関する情報セキュリティ技術指針
7 信息安全技术网络安全服务成本度量指南	7 情報セキュリティ技術ネットワークセキュリティサービスのコスト指標に関する指針
8 信息安全技术软件供应链安全要求	8 情報セキュリティ技術ソフトウェアのサプライチェーン・セキュリティ要件
9 信息安全技术网络安全从业人员能力基本要求	9 情報セキュリティ技術サイバーセキュリティ・プラクティショナー・コンピテンシーの基本要件
10 信息技术安全技术电子发现第 1 部分：概述和概念	10 情報技術セキュリティ技術 E-ディスカバリー第1部概要とコンセプト
11 信息安全技术网络数据分类分级要求	11 情報セキュリティ技術ネットワークデータの分類と階層化の要件
12 信息安全技术互联网平台及产品服务隐私协议要求	12 情報セキュリティ技術インターネットプラットフォームおよび製品サービスに関するプライバシーポリシー要件
标准修订项目（17项）	標準改定項目（17項目 )
13 信息技术安全技术抗抵赖第 1 部分：概述	13 情報技術セキュリティ技術否認防止第1部：概要
14 信息技术安全技术抗抵赖第 3 部分：采用非对称技术的机制	14 情報技術セキュリティ技術否認防止第3部非対称技術を利用するための仕組み
15 信息技术安全技术实体鉴别第 4 部分：采用密码校验函数的机制	15 情報技術セキュリティ技術エンティティの識別第4部：暗号化チェックサム機能を用いたメカニズム
16 信息安全技术射频识别（RFID）系统安全技术要求及测试评价方法	16 情報セキュリティ技術無線周波数識別（RFID）システムのセキュリティ技術要件と試験・評価方法
17 信息安全技术无线局域网客户端安全技术要求（评估保证级 2 级增强）	17 情報セキュリティ技術無線LANクライアントセキュリティ技術要件（評価保証レベル2＋）
18 信息安全技术无线局域网接入系统安全技术要求（评估保障级 2 级增强）	18 情報セキュリティ技術無線LANアクセスシステムのセキュリティ技術要件（評価保証レベル2＋）
19 信息安全技术电子政务移动办公系统安全技术规范	19 情報セキュリティ技術電子政府のモバイルオフィスシステムのセキュリティ技術仕様書
20 信息安全网络安全和隐私保护信息技术安全评估准则第 1 部分：简介和一般模型	20 情報技術ネットワークセキュリティとプライバシー保護情報技術セキュリティ評価ガイドライン第1部：導入と一般モデル
21 信息安全网络安全和隐私保护信息技术安全评估准则第 2 部分：安全功能组件	21 情報技術ネットワークセキュリティとプライバシー保護情報技術セキュリティ評価ガイドライン第2部：セキュリティ機能コンポーネント
22 信息安全网络安全和隐私保护信息技术安全评估准则第 3 部分：安全保障组件	22 情報技術ネットワークセキュリティとプライバシー保護情報技術セキュリティ評価ガイドライン第3部：安全保証コンポーネント
23 信息安全网络安全和隐私保护信息技术安全评估准则第 4 部分：评估方法和活动的规范框架	23 情報技術ネットワークセキュリティとプライバシー保護情報技術セキュリティ評価ガイドライン第4部：評価方法と活動に関する規範的枠組み
24 信息安全网络安全和隐私保护信息技术安全评估准则第 5 部分：预定义的安全要求包	24 情報技術ネットワークセキュリティとプライバシー保護情報技術セキュリティ評価ガイドライン第5部：定義済みのセキュリティ要件パッケージ
25 信息技术安全技术信息安全管理监视、测量、分析和评价	25 情報技術セキュリティ技術情報セキュリティ管理監視・測定・分析・評価
26 信息技术安全技术信息安全管理体系概述和词汇	26 情報技術セキュリティ技術情報セキュリティマネジメントシステムの概要と用語集
27 信息技术安全技术行业间和组织间通信的信息安全管理	27 情報技術セキュリティ技術産業間および組織間のコミュニケーションのための情報セキュリティ管理
28 信息技术安全技术信息安全控制评估指南	28 情報技術セキュリティ技術情報セキュリティ統制評価指針
29 信息安全技术大数据服务安全能力要求	29 情報セキュリティ技術ビッグデータサービスのセキュリティ能力要件
标准研究项目（29项）	標準研究項目 (29項目)
30 人脸识别应用的防对抗攻击安全指南	30 顔認証アプリケーションの敵対的攻撃に対するセキュリティ指針
31 信息安全技术基于通用人脸特征模板的人脸识别技术要求	31 情報セキュリティ技術顔の共通特徴テンプレートに基づく顔認識技術要件
32 信息安全技术人脸识别防对抗样本攻击测试方法	32 情報セキュリティ技術敵対的なサンプル攻撃に対する顔認識のテスト方法
33 信息安全技术工业互联网智能化安全防护体系参考架构	33 情報セキュリティ技術産業用インターネットのためのインテリジェントなセキュリティ保護システムのための参照アーキテクチャ
34 嵌入式可信计算通用技术要求及测试评价方法	34 組込み型トラステッド・コンピューティングの一般的な技術要件および試験・評価方法
35 信息安全技术安全开发能力评估准则	35 情報セキュリティ技術セキュリティ開発能力評価指針
36 信息安全技术物联网安全管理指南	36 情報セキュリティ技術 IoTセキュリティマネジメント指針
37 网络安全能力评估模型和评价指标体系研究	37 ネットワークセキュリティ能力評価モデルと評価指標システムに関する研究
38 信息安全运营服务实施指南研究	38 情報セキュリティ・オペレーション・サービスの導入指針に関する検討
39 信息安全技术关键信息基础设施安全监测预警要求	39 情報セキュリティ技術重要な情報インフラのセキュリティ監視と早期警報の要件
40 信息安全技术网络空间资产测绘安全要求	40 情報セキュリティ技術ネットワーク空間の資産のマッピングに関するセキュリティ要件
41 信息安全技术普通高等学校网络安全建设和实施规范	41 情報セキュリティ技術普通高等教育機関のためのネットワークセキュリティ構築・実施規則
42 互联网身份关联数据与流程指南	42 インターネットアイデンティティのリンクデータおよびプロセスに関する指針
43 个人信息主体权利实现指南研究	43 個人情報主体の権利の実現に向けた指針の検討
44 数字货币安全风险和标准研究	44 デジタル通貨のセキュリティリスクと基準に関する研究
45 人工智能数据采集及标注安全规范	45 人工知能のデータ収集とアノテーションのためのセキュリティ規則
46 隐私计算技术应用指南	46 プライバシー計算技術アプリケーション指針
47 数据水印溯源产品应用研究	47 データ電子透かしのトレーサビリティー製品への応用に関する研究
48 信息安全技术隐私保护的数据互联互通协议规范	48 情報セキュリティ技術プライバシー保護のためのデータ相互運用性プロトコル規則
49 未成年人个人信息保护指南	49 未成年者の個人情報保護に関する指針
50 智能语音安全防范技术指南	50 音声によるセキュリティ防止技術のインテリジェント化指針
51 信息安全技术新型智慧城市数据安全指南	51 情報セキュリティ技術新スマートシティのデータセキュリティ指針
52 能源数据开放安全指南	52 エネルギーデータのオープンデータセキュリティに関する指針
53 网络货运服务数据安全指南	53 ウェブフレイトサービスのためのデータセキュリティ指針
54 信息安全技术多方数据融合计算安全指南	54 情報セキュリティ技術マルチパーティデータフュージョンコンピューティングのためのセキュリティ指針
55 信息安全技术 AI模型保护参考架构	55 情報セキュリティ技術 AIモデルプロテクション・参照アーキテクチャ
56 数据接口安全风险监测技术方法	56 データインターフェースセキュリティリスクモニタリングテクニカルアプローチ
57 信息安全技术政务大数据网络安全风险评估实施指南	57 情報セキュリティ技術行政サービスにおけるビッグデータのサイバーセキュリティ・リスク評価導入指針
58 信息安全技术精准营销服务数据安全指南	58 情報セキュリティ技術プレシジョン・マーケティング・サービスのためのデータ・セキュリティ・指針

・[PDF] 信安字[2021]14号——全国信息安全标准化技术委员会关于2021年网络安全标准项目立项的通知

ちなみに、米国NISTの2021年の取り組みはこちら。。。比較すると面白いかもですね。。。

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

2021.08.30 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in フォレンジック, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in IoT, in AI/Deep Learning, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

2021.08.29

NIST SP 1800-13 モバイルアプリケーションのシングルサインオン：公共安全の初動対応者のための認証の改善

こんにちは、丸山満彦です。

NISTが、SP 1800-13 モバイルアプリケーションのシングルサインオン：公共安全の初動対応者のための認証の改善
を公表していますね。。。

● NIST - ITL

・2021.08.25 SP 1800-13 Mobile Application Single Sign-On: Improving Authentication for Public Safety First Responders

SP 1800-13 Mobile Application Single Sign-On: Improving Authentication for Public Safety First Responders	SP 1800-13 モバイル・アプリケーションのシングル・サイン・オン：公共安全の初動対応者のための認証の改善
Abstract	概要
On-demand access to public safety data is critical to ensuring that public safety and first responder (PSFR) personnel can deliver the proper care and support during an emergency. This necessitates heavy reliance on mobile platforms while in the field, which may be used to access sensitive information. However, complex authentication requirements can hinder the process of providing emergency services, and any delay—even seconds—can become a matter of life or death. In collaboration with NIST’S Public Safety Communications Research (PSCR) Division and industry stakeholders, the NCCoE aims to help PSFR personnel efficiently and securely gain access to mission data via mobile devices and applications.	公共安全データへのオンデマンド・アクセスは、緊急時に公共安全・初動対応者（public safety and first responder: PSFR）が適切なケアとサポートを提供できるようにするために不可欠です。そのためには、現場でのモバイル・プラットフォームへの依存度が高く、機密情報へのアクセスに使用される可能性があります。しかし、複雑な認証要件は、緊急サービスを提供するプロセスを妨げる可能性があり、たとえ数秒でも遅れると生死に関わる問題になります。NCCoEは、NISTの公共安全通信研究部門（Public Safety Communications Research: PSCR）や業界関係者と協力して、PSFRの要員がモバイル機器やアプリケーションを介してミッションデータに効率的かつ安全にアクセスできるようにすることを目指しています。
This practice guide describes a reference design for multifactor authentication (MFA) and mobile single sign-on (MSSO) for native and web applications while improving interoperability among mobile platforms, applications, and identity providers, regardless of the application development platform used in their construction. This guide discusses major architecture design considerations, explains security characteristics achieved by the reference design, and maps the security characteristics to applicable standards and security control families. For parties interested in adopting all or part of the reference architecture, this guide includes a detailed description of the installation, configuration, and integration of all components.	本実践ガイドは、ネイティブアプリケーションおよびウェブアプリケーションの多要素認証（MFA）およびモバイル・シングル・サインオン（MSSO）のリファレンスデザインについて説明するとともに、構築に使用されたアプリケーション開発プラットフォームにかかわらず、モバイルプラットフォーム、アプリケーション、およびアイデンティティプロバイダ間の相互運用性を向上させるものです。本ガイドでは、アーキテクチャ設計上の主な考慮事項を説明し、リファレンス・デザインによって実現されるセキュリティ特性を解説し、そのセキュリティ特性を適用可能な規格およびセキュリティ・コントロール・ファミリーにマッピングしています。また、リファレンス・アーキテクチャの全部または一部を採用することに関心のある関係者向けに、すべてのコンポーネントのインストール、構成、および統合について詳細に説明しています。

・[PDF] SP 1800-13

Executive Summary	エグゼクティブ・サマリー
On-demand access to public safety data is critical to ensuring that public safety and first responders (PSFRs) can protect life and property during an emergency.	公共安全データへのオンデマンド・アクセスは、緊急時に公共安全と初動対応者（PSFR）が生命と財産を守るために不可欠です。
This public safety information, often needing to be accessed via mobile or portable devices, routinely includes sensitive information, such as personally identifiable information, law enforcement sensitive information, and protected health information.	このような公共安全情報は、モバイル機器やポータブル機器からアクセスする必要があることが多く、個人を特定できる情報、法執行機関の機密情報、保護された健康情報などの機密情報が含まれていることが一般的です。
Because the communications are critical to public safety and may include sensitive information, robust and reliable authentication mechanisms that do not hinder delivery of emergency services are required.	これらの通信は公共の安全にとって重要であり、機密情報を含む可能性があるため、緊急サービスの提供に支障をきたさない、堅牢で信頼性の高い認証メカニズムが必要です。
In collaboration with the National Institute of Standards and Technology (NIST) Public Safety Communications Research laboratory and industry stakeholders, the National Cybersecurity Center of Excellence (NCCoE) at NIST built a laboratory environment to demonstrate standardsbased technologies that can enable PSFRs to gain access to public safety information efficiently and securely by using mobile devices.	NISTのNational Cybersecurity Center of Excellence（NCCoE）は、米国国立標準技術研究所（NIST）の公共安全通信研究室や業界関係者と協力して実験室環境を構築し、モバイル機器を使ってPSFRが公共安全情報に効率的かつ安全にアクセスできるようにするための標準ベースの技術を実証しました。
The technologies demonstrated are currently available and include (1) single sign-on (SSO) capabilities that reduce the number of credentials that need to be managed by public safety personnel, and reduce the time and effort that individuals spend authenticating themselves; (2) identity federation that can improve the ability to authenticate personnel across public safety organization (PSO) boundaries; and (3) multifactor authentication (MFA) that enables authentication with a high level of assurance.	実証された技術は現在利用可能なもので、(1)公共安全の担当者が管理する必要のある認証情報の数を減らし、個人が自分自身を認証するために費やす時間と労力を削減するシングル・サインオン（SSO）機能、(2)公共安全組織（PSO）の境界を越えて担当者を認証する能力を向上させることができるアイデンティティ・フェデレーション、(3)高い保証レベルの認証を可能にする多要素認証（MFA）などがあります。
This NIST Cybersecurity Practice Guide describes how organizations can implement these technologies to enhance public safety mission capabilities by using standards-based commercially available or open-source products. The technologies described facilitate interoperability among diverse mobile platforms, applications, relying parties, identity providers (IdPs), and public-sector and private-sector participants, regardless of the application development platform used in their construction.	この『NIST Cybersecurity Practice Guide』では、標準規格に準拠した市販製品やオープンソース製品を使用して、組織がこれらの技術を実装し、公共安全のミッション機能を強化する方法を説明しています。記載されている技術は、構築に使用されたアプリケーション開発プラットフォームに関係なく、多様なモバイルプラットフォーム、アプリケーション、依拠当事者、IDプロバイダ（IdP）、公共部門および民間部門の参加者間の相互運用性を促進します。

目次はこちら...

Supplemental Material:
・ SP 1800-13 volumes and project homepage (other)

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.17 NISTIR 8335 (Draft) 公共安全機関 (PSO) のためのIDaaS

・2021.06.11 NISTIR 8336 (Draft) 公共安全コミュニティのためのID連携技術の背景

・2021.06.03 NISTIR 8334 (Draft) 緊急時初動対応者の認証のためのモバイル機器のバイオメトリクスの利用

・2020.11.25 米国国土安全保障省国土安全保証諮問委員会の最終報告書（バイオメトリックス、経済安全保障、緊急技術とか・・・）

・2020.09.30 NIST NISTIR 8235 (Draft) Security Guidance for First Responder Mobile and Wearable Devices

・2020.08.26 NIST クラウドコンピューティング環境でのフォレンジックの課題についての整理

・2020.05.16 NISTIR 8196 Security Analysis of First Responder Mobile and Wearable Devices

・

Continue reading "NIST SP 1800-13 モバイルアプリケーションのシングルサインオン：公共安全の初動対応者のための認証の改善"

2021.08.29 15:07 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in フォレンジック, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

NISTIR 8259B IoT非技術的支援能力コアベースライン

こんにちは、丸山満彦です。

NISTIR 8259B IoT非技術的サポート機能コアベースラインが確定しましたね。。。

IoTのセキュリティはこれから重要となってきますね。。。

● NIST - ITL

・2021.08.25 NISTIR 8259B IoT Non-Technical Supporting Capability Core Baseline

IoT Non-Technical Supporting Capability Core Baseline	IoT非技術的支援能力コアベースライン
Abstract	概要
Non-technical supporting capabilities are actions a manufacturer or third-party organization performs in support of the cybersecurity of an IoT device. This publication defines an Internet of Things (IoT) device manufacturers’ non-technical supporting capability core baseline, which is a set of non-technical supporting capabilities generally needed from manufacturers or other third parties to support common cybersecurity controls that protect an organization’s devices as well as device data, systems, and ecosystems. The purpose of this publication is to provide organizations a starting point to use in identifying the non-technical supporting capabilities needed in relation to IoT devices they will manufacture, integrate, or acquire. This publication is intended to be used in conjunction with NISTIR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers and NISTIR 8259A, IoT Device Cybersecurity Capability Core Baseline.	非技術的支援能力とは、IoT機器のサイバーセキュリティを支援するためにメーカーや第三者機関が行う行為のことです。本書は、IoT機器メーカーの非技術的支援能力のコアベースラインを定義しています。これは、組織の機器や機器のデータ、システム、エコシステムを保護する共通のサイバーセキュリティ対策を支援するために、メーカーやその他の第三者が一般的に必要とする非技術的支援能力のセットです。本書の目的は、組織が製造、統合、または取得するIoT機器に関連して必要な非技術的支援能力を特定するための出発点を提供することにあります。本書は、NISTIR 8259「Foundational Cybersecurity Activities for IoT Device Manufacturers」およびNISTIR 8259A「IoT Device Cybersecurity Capability Core Baseline」と併せて使用することを意図しています。

・[PDF] NISTIR 8259B

NISTのIoTセキュリティ関連に関する文書

SP 800-213 (Draft) IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements	SP 800-213（ドラフト）連邦政府のためのIoTデバイス・サイバーセキュリティ・ガイダンス：IoTデバイスのサイバーセキュリティ要件の確立
NISTIR 8259 Foundational Cybersecurity Activities for IoT Device ManufacturersとNISTIR	NISTIR 8259 IoTデバイスメーカーのための基礎的なサイバーセキュリティ活動とNISTIR
NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline	8259A IoTデバイスのサイバーセキュリティ能力のコアベースライン
NISTIR 8259B IoT Non-Technical Supporting Capability Core Baseline	NISTIR 8259B IoT非技術的支援能の力コアベースライン
NISTIR 8259C (Draft) Creating a Profile Using the IoT Core Baseline and Non-Technical Baseline	NISTIR 8259C (ドラフト) IoTコアベースラインと非技術的ベースラインを使用したプロファイルの作成
NISTIR 8259D (Draft) Profile Using the IoT Core Baseline and Non-Technical Baseline for the Federal Government	NISTIR 8259D（ドラフト）連邦政府のIoTコアベースラインと非技術的ベースラインを使用したプロファイル
NISTIR 8228 Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks	NISTIR 8228 IoTサイバーセキュリティとプライバシーのリスクを管理するための考察

NATO CCDCOE サイバー・インテリジェンスの観点から見た敵対的生成ネットワーク

こんにちは、丸山満彦です。

NATO CCDCOEが「サイバー・インテリジェンスの観点から見た敵対的生成ネットワーク」についての報告書を公表していますね。。。報告書の主眼は

サイバー・インテリジェンスの観点から最も興味深く有望なアプリケーションを評価するために、さまざまなアプリケーションを調査すること。
サイバーインテリジェンスに関連するソリューションを提供するGANの現在の例を評価するためのフレームワークを決定すること。

● NATO CCDCOE

・2021.08.25 Generative Adversarial Networks from a Cyber Intelligence perspective

・Generative Adversarial Networks from a Cyber Intelligence perspective

・[PDF] Generative Adversarial Networks from a Cyber Intelligence perspective

Generative Adversarial Networks from a Cyber Intelligence perspective	サイバーインテリジェンスの観点から見た生成的敵対的ネットワーク
Fabio BiondiGiuseppe BuonocoreRichard Matthews	Fabio BiondiGiuseppe BuonocoreRichard Matthews
Generative adversarial networks (GAN) are a hot topic in cyber intelligence, as they begin to demonstrate abilities that will assist the public intelligence analyst to play a more active role in global security. Not only can they help you sort through the vast OSINT sources of material to identify potential threats, but additional features are also now being demonstrated which will allow links to be drawn in real time between potential threats.	Generative Adversarial Networks（GAN）は、サイバーインテリジェンスの分野で注目を集めています。GANは、一般の情報アナリストがグローバルセキュリティにおいてより積極的な役割を果たすことを支援する能力を発揮し始めているからです。GANは、膨大なOSINTソースの中から潜在的な脅威を特定するのに役立つだけでなく、潜在的な脅威間のリンクをリアルタイムに描くことができる追加機能も実証されつつあります。
This is an incremental report produced for the NATO Cooperative Cyber Defence Centre of Excellence, Cyber Intelligence division, under agreement. It focuses on preliminary work addressing a wider project to produce a paper on the cyber intelligence uses of GAN.	本報告書は、NATO Cooperative Cyber Defence Centre of Excellenceのサイバーインテリジェンス部門との契約に基づいて作成された差分報告書です。このレポートは、GANのサイバーインテリジェンス用途に関する論文を作成するという、より広範なプロジェクトに取り組むための予備作業に焦点を当てている。
The work has two main focuses: to investigate different applications to assess the most interesting and promising in respect of cyber intelligence and to determine a framework to assess current examples of GAN that offer solutions relevant to cyber intelligence. To facilitate this, some questions need to be addressed: what is a GAN? what is cyber intelligence? how do the two interact? The focus of the project is to assess the potential use of GAN in the context of cyber intelligence, the unified kill chain model and how ready such technology is for deployment; both for legal uses and illegal.	この作業には2つの主な焦点があります：サイバーインテリジェンスに関して最も興味深く有望なものを評価するために様々なアプリケーションを調査することと、サイバーインテリジェンスに関連するソリューションを提供するGANの現在の例を評価するためのフレームワークを決定することです。そのためには、「GANとは何か」「サイバーインテリジェンスとは何か」「この2つはどのように相互作用するのか」などの疑問を解決する必要があります。このプロジェクトの焦点は、サイバー・インテリジェンスの文脈におけるGANの潜在的な使用方法、統一されたキルチェーン・モデル、そしてそのような技術が、合法的な使用と違法な使用の両方において、どの程度展開できるかを評価することにあります。
This publication is a product of the NATO Cooperative Cyber Defence Centre of Excellence. It does not necessarily reflect the policy or the opinion of the Centre or NATO. The CCDCOE is a NATO-accredited cyber defence hub focusing on research, training and exercises. It represents a community of NATO nations and partners of the Alliance providing a 360-degree look at cyber defence, with expertise in the areas of technology, strategy, operations and law.	この出版物は、NATO Cooperative Cyber Defence Centre of Excellence（NATOサイバー防衛センターオブエクセレンス）の製品です。本出版物は、NATO協力型サイバー防衛センター・オブ・エクセレンスの成果であり、同センターやNATOの方針や意見を必ずしも反映するものではありません。CCDCOEは、研究、訓練、演習を中心としたNATO公認のサイバー防衛拠点です。CCDCOEは、技術、戦略、運用、法律の各分野の専門家を擁し、サイバー防衛を360度見渡すことができる、NATO加盟国およびNATOのパートナーのコミュニティを代表するものです。

・仮訳[DOCX]

2021.08.29 02:40 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in フォレンジック, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2021.08.28

中国意見募集国家サイバースペース管理局「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」（案）についての意見募集をしていますね。。。

個人情報保護法が成立し、ネットワークセキュリティ法、データセキュリティ法、個人情報保護法とサイバー三法がそろって、これらの法律の要件に関連する規則や標準がでてくるんですかね。。。先行して発行されている標準等もありますけど。。。

いわゆるリコメンデーション機能についての規制ですね。。。

● 中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

・2021.08.27 国家互联网信息办公室关于《互联网信息服务算法推荐管理规定（征求意见稿）》公开征求意见的通知

国家互联网信息办公室关于《互联网信息服务算法推荐管理规定（征求意见稿）》	国家サイバースペース管理局「インターネット情報サービスのアルゴリズム推奨管理に関する規定（パブリックコメント用ドラフト）」について
公开征求意见的通知	公開意見募集通知
为了规范互联网信息服务算法推荐活动，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，促进互联网信息服务健康发展，我办起草了《互联网信息服务算法推荐管理规定（征求意见稿）》，现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见：	インターネット情報サービスのアルゴリズム推奨活動を規制し、国家安全と社会公共の利益を守り、市民、法人、その他の組織の合法的な権利と利益を保護し、インターネット情報サービスの健全な発展を促進するために、「インターネット情報サービスのアルゴリズム推奨に関する管理規定（意見募集用草案）」を作成し、現在、パブリックコメントを募集しています。皆様からのご意見は、以下の方法・手段でお寄せいただけます。
意见反馈截止日期为2021年9月26日。	フィードバックの締め切りは2021年9月26日です。
附件：互联网信息服务算法推荐管理规定（征求意见稿）	付属書：インターネット情報サービスのアルゴリズム勧告の管理に関する規則（意見募集用草案）
国家互联网信息办公室	国家サイバースペース管理局
2021年8月27日	2021年8月27日
互联网信息服务算法推荐管理规定	インターネット情報サービスのアルゴリズム推奨に関する管理規定
（征求意见稿）	(意見募集用草案)
第一条为了规范互联网信息服务算法推荐活动，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，促进互联网信息服务健康发展，弘扬社会主义核心价值观，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规，制定本规定。	第1条インターネット情報サービスのアルゴリズム推奨活動を規制し、国家の安全と社会公共の利益を守り、市民、法人、その他の組織の正当な権利と利益を保護し、インターネット情報サービスの健全な発展を促進し、社会主義の中核的価値観を実現するために、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法及びインターネット情報サービスの管理に関する措置」などの法律や行政法規を参考に、本規定を策定しました。
第二条在中华人民共和国境内应用算法推荐技术提供互联网信息服务（以下简称算法推荐服务），适用本规定。法律、行政法规另有规定的，依照其规定。	第2条中華人民共和国の領域において、インターネット情報サービスを提供するためにアルゴリズム推奨技術を適用すること（以下、アルゴリズム推奨サービスという）については、本規定の適用を受ける。法律および行政規則に別段の定めがある場合は、その規定に従う。
前款所称应用算法推荐技术，是指应用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息内容。	前項のアルゴリズム推奨技術の応用とは、利用者に情報コンテンツを提供するために、合成、パーソナライズされたプッシュ、選別・選択、検索・フィルタリング、スケジューリング・意思決定などを生成するアルゴリズム技術の応用を指します。
第三条国家网信部门负责全国算法推荐服务的监督管理执法工作。省、自治区、直辖市网信部门依据职责负责本行政区域内算法推荐服务的监督管理执法工作。	第3条国のインターネット情報部門は、アルゴリズムによる推奨サービスの法執行の監督・管理に責任を負う。中央政府直轄の省、自治区、市は、それぞれの職務に応じて、その行政区域内のアルゴリズム推奨サービスの監督、管理、法執行に責任を負う。
第四条算法推荐服务提供者提供算法推荐服务，应当遵守法律法规，尊重社会公德和伦理，遵守商业道德和职业道德，遵循公正公平、公开透明、科学合理和诚实信用的原则。	第4条アルゴリズム推奨サービス提供者は、アルゴリズム推奨サービスを提供するにあたり、法令を遵守し、社会的道徳と倫理を尊重し、企業倫理と職業倫理を守り、正義と公正、開放性と透明性、科学性と合理性、誠実さと信頼性の原則に従わなければならない。
第五条鼓励相关行业组织加强行业自律，建立健全自律制度和行业准则，组织制定行业标准，督促指导算法推荐服务提供者建立健全服务规范、依法提供服务并接受社会监督。	第5条関連する業界団体が業界の自己規律を強化し、自主規制システムと業界ガイドラインを確立・改善し、業界標準の策定を組織化し、アルゴリズム推奨サービス提供者がサービス仕様を確立・改善し、法律に従ってサービスを提供し、社会的監督を受け入れるよう監督・指導することを奨励する。
第六条算法推荐服务提供者应当坚持主流价值导向，优化算法推荐服务机制，积极传播正能量，促进算法应用向上向善。	第6条アルゴリズム推奨サービスプロバイダは、主流の価値観を堅持し、アルゴリズム推奨サービスメカニズムを最適化し、積極的にポジティブなエネルギーを広め、より良いアルゴリズムの適用を促進するものとする。
算法推荐服务提供者不得利用算法推荐服务从事危害国家安全、扰乱经济秩序和社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动，不得利用算法推荐服务传播法律、行政法规禁止的信息。	アルゴリズム推奨サービス提供者は、アルゴリズム推奨サービスを利用して、国家安全保障を危うくしたり、経済・社会秩序を乱したり、他人の正当な権利・利益を侵害するなど、法律や行政法規で禁止されている行為を行ってはならず、また、アルゴリズム推奨サービスを利用して、法律や行政法規で禁止されている情報を流布してはならないものとする。
第七条算法推荐服务提供者应当落实算法安全主体责任，建立健全用户注册、信息发布审核、算法机制机理审核、安全评估监测、安全事件应急处置、数据安全保护和个人信息保护等管理制度，制定并公开算法推荐相关服务规则，配备与算法推荐服务规模相适应的专业人员和技术支撑。	第7条アルゴリズム推奨サービス提供者は、アルゴリズムのセキュリティに関する主な責任を遂行し、利用者登録、情報公開の監査、アルゴリズムの仕組みの監査、セキュリティの評価と監視、セキュリティ事象の緊急処理、データのセキュリティ保護、個人情報保護などの管理システムを構築・改善し、アルゴリズム推奨に関連するサービスルールを策定・公開し、アルゴリズム推奨サービスの規模に応じた専門的な人材と技術サポートを備えるものとする。
第八条算法推荐服务提供者应当定期审核、评估、验证算法机制机理、模型、数据和应用结果等，不得设置诱导用户沉迷或者高额消费等违背公序良俗的算法模型。	第8条アルゴリズム推奨サービス提供者は、アルゴリズム機構の仕組み、モデル、データ、適用結果を定期的に見直し、評価、検証するものとし、利用者に多額の金銭を甘受させたり消費させたりするなど、公序良俗に反するアルゴリズムモデルを設定してはならない。
第九条算法推荐服务提供者应当加强信息内容管理，建立健全用于识别违法和不良信息的特征库，完善入库标准、规则和程序。发现未作显著标识的算法生成合成信息的，应当作出显著标识后，方可继续传输。	第9条アルゴリズム推奨サービス提供者は、情報コンテンツの管理を強化し、違法・望ましくない情報を特定するための特徴データベースを構築・改善し、データベースに入るための基準・規則・手続きを改善しなければならない。アルゴリズムで生成された合成情報がマークされていないことが判明した場合、その情報の送信を継続する前に、目立つようにマークしなければならない。
发现违法信息的，应当立即停止传输，采取消除等处置措施，防止信息扩散，保存有关记录，并向网信部门报告。发现不良信息的，应当按照网络信息内容生态治理有关规定予以处置。	違法な情報を発見した場合は、直ちに送信を停止し、情報の拡散を防ぐために排除などの処分を行い、関連する記録を残し、インターネット情報部門に報告しなければならない。好ましくない情報が発見された場合は、ネットワーク情報コンテンツのエコロジーガバナンスに関する関連規定に基づいて処分する。
第十条算法推荐服务提供者应当加强用户模型和用户标签管理，完善记入用户模型的兴趣点规则，不得将违法和不良信息关键词记入用户兴趣点或者作为用户标签并据以推送信息内容，不得设置歧视性或者偏见性用户标签。	第10条アルゴリズム推奨サービス提供者は、ユーザモデルとユーザタグの管理を強化し、ユーザモデルに付与されるインタレストポイントのルールを改善し、違法で望ましくない情報キーワードをユーザインタレストポイントに付与したり、ユーザタグとして使用して情報コンテンツを適宜プッシュしたり、差別的・偏見的なユーザタグを設定してはならない。
第十一条算法推荐服务提供者应当加强算法推荐服务版面页面生态管理，建立完善人工干预和用户自主选择机制，在首页首屏、热搜、精选、榜单类、弹窗等重点环节积极呈现符合主流价值导向的信息内容。	第11条アルゴリズム推奨サービス提供者は、アルゴリズム推奨サービスのページの生態管理を強化し、利用者による手動の介入と独立した選択のメカニズムを確立し、改善し、ホームページの最初の画面、ホットサーチ、選択されたもの、リストカテゴリー、ポップアップウィンドウ、その他の主要なリンクに、主流の価値観に沿った情報コンテンツを積極的に提示するものとする。
第十二条算法推荐服务提供者应当综合运用内容去重、打散干预等策略，并优化检索、排序、选择、推送、展示等规则的透明度和可解释性，避免对用户产生不良影响、引发争议纠纷。	第12条アルゴリズム推奨サービス提供者は、利用者への悪影響や紛争を回避するために、コンテンツの重み付け解除や分散介入などの戦略を総合的に活用し、検索、ソート、選択、プッシュ、表示のルールの透明性と解釈可能性を最適化しなければならない。
第十三条算法推荐服务提供者不得利用算法虚假注册账号、非法交易账号、操纵用户账号，或者虚假点赞、评论、转发、网页导航等，实施流量造假、流量劫持；不得利用算法屏蔽信息、过度推荐、操纵榜单或者检索结果排序、控制热搜或者精选等干预信息呈现，实施自我优待、不正当竞争、影响网络舆论或者规避监管。	第13条アルゴリズム推薦サービス提供者は、アルゴリズムを利用して、アカウントの不正登録、アカウントの不正取引、利用者アカウントの操作、ウェブページへの「いいね！」、「コメント」、「転送」、「ナビゲート」などを偽って行い、トラフィックの偽装やトラフィックハイジャックを実施してはならない。また、アルゴリズムを利用して、情報のブロック、過剰推薦、リストや検索結果の順位操作、話題の検索や選択の制御などを行い、情報の提示を妨害したり、自己推薦や不正競争を実施したり、オンライン世論に影響を与えたり、規制を回避したりしてはならない。
第十四条算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况，并以适当方式公示算法推荐服务的基本原理、目的意图、运行机制等。	第14条アルゴリズム推奨サービス提供者は、アルゴリズム推奨サービスを提供していることを利用者に見やすい形で知らせ、アルゴリズム推奨サービスの基本理念、目的趣旨、運用の仕組みを適切に公表しなければならない。
第十五条算法推荐服务提供者应当向用户提供不针对其个人特征的选项，或者向用户提供便捷的关闭算法推荐服务的选项。用户选择关闭算法推荐服务的，算法推荐服务提供者应当立即停止提供相关服务。	第15条アルゴリズム推奨サービス提供者は、利用者の個人的特徴を対象としない選択肢を提供し、またはアルゴリズム推奨サービスをオフにする便利な選択肢を利用者に提供しなければならない。利用者がアルゴリズム推奨サービスの停止を選択した場合、アルゴリズム推奨サービス提供者は、直ちに当該サービスの提供を停止しなければならない。
算法推荐服务提供者应当向用户提供选择、修改或者删除用于算法推荐服务的用户标签的功能。	アルゴリズム推奨サービス提供者は、アルゴリズム推奨サービスに使用する利用者タグを選択、変更、削除する機能を利用者に提供しなければならない。
用户认为算法推荐服务提供者应用算法对其权益造成重大影响的，有权要求算法推荐服务提供者予以说明并采取相应改进或者补救措施。	アルゴリズム推奨サービス提供者によるアルゴリズムの適用が、利用者の権利や利益に重大な影響を与えると考える場合、利用者はアルゴリズム推奨サービス提供者に説明を求め、対応する改善または救済措置を講じる権利がある。
第十六条算法推荐服务提供者向未成年人提供服务的，应当依法履行未成年人网络保护义务，并通过开发适合未成年人使用的模式、提供适合未成年人特点的服务等方式，便利未成年人获取有益身心健康的信息内容。	第16条アルゴリズム推奨サービス提供者は、未成年者にサービスを提供する場合、未成年者の利用に適したモデルを開発し、その特性に適したサービスを提供することにより、法律に基づいてインターネット上の未成年者を保護し、未成年者の心身の健康に有益な情報コンテンツへのアクセスを容易にする義務を果たさなければならない。
算法推荐服务提供者不得向未成年人用户推送可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好等可能影响未成年人身心健康的信息内容，不得利用算法推荐服务诱导未成年人沉迷网络。	アルゴリズム推奨サービス提供者は、未成年者が危険な行為や社会道徳に反する行為を模倣するきっかけとなる情報コンテンツ、未成年者の悪い習慣を誘発する情報コンテンツ、その他未成年者の心身の健康に影響を与える可能性のある情報コンテンツを未成年者にプッシュしたり、アルゴリズム推奨サービスを利用して未成年者のインターネット依存症を誘発したりしてはならない。
第十七条算法推荐服务提供者向劳动者提供工作调度服务的，应当建立完善平台订单分配、报酬构成及支付、工作时间、奖惩等相关算法，履行劳动者权益保障义务。	第17条アルゴリズム推奨サービス提供者が労働者に仕事のスケジューリングサービスを提供する場合、プラットフォーム上での注文の割り当て、報酬の構成と支払い、労働時間、報酬と罰に関するアルゴリズムを確立し、改善し、労働者の権利と利益を保護する義務を果たさなければならない。
第十八条算法推荐服务提供者向消费者销售商品或者提供服务的，应当保护消费者合法权益，不得根据消费者的偏好、交易习惯等特征，利用算法在交易价格等交易条件上实行不合理的差别待遇等违法行为。	第18条アルゴリズム推奨サービス提供者が消費者に商品を販売し、またはサービスを提供する場合、消費者の正当な権利と利益を保護しなければならず、アルゴリズムを利用して、消費者の嗜好、取引習慣その他の特性に基づいて、取引価格その他の取引条件において不合理な差別的取扱いを課すなどの違法行為を行ってはならない。
第十九条国家网信部门建立分类分级管理制度，根据算法推荐服务的舆论属性或者社会动员能力、内容类别、用户规模、算法推荐技术处理的数据敏感程度、对用户行为的干预程度等对算法推荐服务提供者实施分类分级管理。	第19条国のインターネット情報部門は、分類・等級管理システムを構築し、アルゴリズム推奨サービスの世論属性や社会動員力、コンテンツカテゴリ、利用者規模、アルゴリズム推奨技術で処理されるデータの機密性、利用者行動への介入度に応じて、アルゴリズム推奨サービス提供者の分類・等級管理を実施しなければならない。
第二十条具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息，履行备案手续。	第20条世論属性または社会動員能力を有するアルゴリズム推奨サービス提供者は、サービス提供日から10営業日以内に、インターネット情報サービスのアルゴリズム申請システムを通じて、サービス提供者名、サービス形態、申請分野、アルゴリズムタイプ、アルゴリズム自己評価報告書、提案された公開コンテンツなどの情報を記入し、申請手続きを行う。
算法推荐服务提供者的备案信息发生变更时，应当在变更之日起五个工作日内办理变更手续。	アルゴリズム推奨サービス提供者の記録情報を変更した場合は、変更日から5営業日以内に変更手続きを行う。
算法推荐服务提供者终止服务的，应当在终止服务三十个工作日前办理注销备案手续，并作出妥善安排。	アルゴリズム推奨サービス提供者がサービスを終了する場合は、サービス終了の30営業日前にファイリングのキャンセル手続きを行い、適切な手配を行うものとする。
第二十一条国家和省、自治区、直辖市网信部门收到备案人提交的备案材料后，材料齐全的，应当在三十个工作日内予以备案，发放备案编号并进行公示；材料不齐全的，不予备案，并应当在三十个工作日内通知备案人并说明理由。	第21条国や省、自治区、直轄市が提出者から提出された提出資料を受領した後、資料に不備がなければ30営業日以内に提出し、提出番号を発行して公表し、資料に不備があれば提出せず、30営業日以内に理由を付して提出者に通知しなければならない。
第二十二条完成备案的算法推荐服务提供者应当在其对外提供服务的网站、应用程序等显著位置标明其备案编号并提供公示信息链接。	第22条申請を完了したアルゴリズム推薦サービス提供者は、その申請番号を表示し、一般向けのサービスを提供するウェブサイトやアプリケーションの目立つ位置に公開情報へのリンクを提供しなければならない。
第二十三条具有舆论属性或者社会动员能力的算法推荐服务提供者应当按照国家有关规定开展安全评估。	第23条世論の属性や社会的動員力を持つアルゴリズム推奨サービス提供者は、関連する国の規制に従ってセキュリティ評価を行うものとする。
算法推荐服务提供者应当完善算法推荐服务管理机制，对算法推荐服务日志等信息进行留存，留存期限不少于六个月，并在相关执法部门依法查询时予以提供。	アルゴリズム推奨サービス提供者は、アルゴリズム推奨サービス管理メカニズムを改善し、アルゴリズム推奨サービスログなどの情報を6ヶ月以上保持し、関連する法執行部門が法律に基づいて照会した場合に提供する。
第二十四条国家和省、自治区、直辖市网信部门会同有关主管部门对算法推荐服务开展算法安全评估和监督检查工作，对发现的问题及时提出整改意见并限期整改。	第24条国や省、自治区、直轄市のインターネット情報部門は、関連する主管部門と連携して、アルゴリズムの安全性評価とアルゴリズム推薦サービスの監督・検査を実施し、発見された問題の修正のためのアドバイスと期限を速やかに提示しなければならない。
算法推荐服务提供者应当配合有关主管部门依法实施的安全评估和监督检查工作，并提供必要的技术、数据等支持和协助。	アルゴリズム推奨サービス提供者は、セキュリティ評価の実施や監督・検査業務に応じて、関連する主管部門と協力し、必要な技術・データ等の支援・協力を行わなければならない。
第二十五条参与算法推荐服务安全评估和监督检查的相关机构和人员应当对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。	第25条アルゴリズム推奨サービスのセキュリティ評価や監督・検査に携わる関係機関や担当者は、職務遂行上知り得た個人情報やプライバシー、商業上の秘密を厳重に管理し、他人に開示、販売、または不正に提供してはならない。
第二十六条算法推荐服务提供者应当接受社会监督，设置便捷的投诉举报入口，及时受理和处理公众投诉举报。	第26条アルゴリズム推奨サービス提供者は、社会的監督を受け入れ、便利な苦情報告ポータルを設置し、公衆の苦情や報告を適時に受け取り、処理しなければならない。
算法推荐服务提供者应当建立用户申诉渠道和制度，规范处理用户申诉并及时反馈，切实保障用户合法权益。	アルゴリズム推奨サービス提供者は、利用者の正当な権利と利益を効果的に保護するために、利用者の苦情処理ルートとシステムを確立し、標準的な方法で利用者の苦情を処理し、適時にフィードバックを提供するものとします。
第二十七条算法推荐服务提供者违反本规定第七条、第八条、第九条第一款、第十条、第十一条、第十二条、第十三条、第十四条、第十五条第二款、第二十二条、第二十六条规定的，由国家和省、自治区、直辖市网信部门依据职责给予警告、通报批评，责令限期改正；拒不改正或者情节严重的，责令暂停信息更新，并处五千元以上三万元以下罚款。构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。	第27条アルゴリズム推奨サービス提供者が第7条、第8条、第9条第1項、第10条、第11条、第12条、第13条、第14条、第15条第2項、第22条、第26条の規定に違反した場合、国や省の自治区、直轄市のインターネット情報部門は、その職務に基づき、警告、通報、批判を行い、一定期間内に是正を命じなければならない。是正を拒否した場合、または状況が深刻な場合訂正を拒否した場合や重大な事情がある場合は、国は情報更新の停止を命じ、5千元以上3万元以下の罰金を科す。公安管理の違反となる場合は、法律に基づいて公安管理の処罰を行い、犯罪となる場合は、法律に基づいて刑事責任を追及する。
第二十八条算法推荐服务提供者违反本规定第六条、第九条第二款、第十五条第一款、第三款、第十六条、第十七条、第十八条、第二十三条、第二十四条第二款规定的，由网信等有关主管部门依据职责，按照有关法律、行政法规和部门规章的规定予以处理。	第28条第6条、第9条第2項、第15条第1項、第3項、第16条、第17条、第18条、第23条、第24条第2項の規定に違反したアルゴリズム推奨サービス提供者は、インターネットおよびその他の関連部門の主務部門がその職務に基づき、関連する法律、行政規則、部門規則の規定に基づいて対処する。
第二十九条具有舆论属性或者社会动员能力的算法推荐服务提供者违反本规定第二十条的规定，未按照要求备案或者在报送备案时隐瞒有关情况、提供虚假材料或者通过欺骗、贿赂等不正当手段取得备案的，由国家和省、自治区、直辖市网信部门依法撤销备案，并给予警告、通报批评，责令限期改正；拒不改正或者情节严重的，责令暂停信息更新，并处五千元以上三万元以下罚款。	第29条世論属性または社会動員能力を有するアルゴリズム推奨サービス提供者が、本規則第20条の規定に違反し、記録の要件に従って提出しなかったり、提出時に関連情報を隠蔽したり、虚偽の資料を提供したり、欺瞞や賄賂などの不正な手段で記録を取得した場合、国や省、自治区、直轄市のインターネット情報部門は、法律に基づいて記録を取り消し、警告を与え、批判を伝え、期間を命じる。訂正を拒否した場合、または状況が深刻な場合は、情報更新の停止を命じ、5千元以上3万元以下の罰金を科す。
具有舆论属性或者社会动员能力的算法推荐服务提供者终止服务未按照要求及时办理注销备案手续，或者发生严重违法情形受到吊销互联网信息服务许可、关闭网站、终止服务等行政处罚的，由国家和省、自治区、直辖市网信部门予以注销备案。	世論の属性や社会的動員能力を持つアルゴリズム推奨サービス提供者が、要件に従った申告手続きを適時に取り消さずにサービスを終了した場合、あるいは重大な法律違反が発生し、インターネット情報サービスのライセンスが取り消されたり、ウェブサイトが閉鎖されたり、サービスが終了したりして、その他の行政処分を受けた場合、国や省、自治区、直轄市のインターネット情報部門は、申告を取り消さなければならない。
第三十条本规定自2021年月日起施行。	第30条この規定は、2021年月日以降に施行する。

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.24 敵対的機械学習に対する脅威マトリックス (Adversarial ML Threat Matrix)

2021.08.28 07:45 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in クラウド, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2021.08.27

米国 GAO 顔認識技術：連邦政府機関による現在および計画中の使用方法

こんにちは、丸山満彦です。

U.S. GAOが顔認識技術についての連邦政府機関による現在および計画中の使用方法に関する報告書を公表していますね。。。

● U.S. GAO

・2021.08.24 Facial Recognition Technology:Current and Planned Uses by Federal Agencies

Facial Recognition Technology:	顔認識技術。
Current and Planned Uses by Federal Agencies	連邦政府機関による現在および計画中の使用方法
Fast Facts	概要
Recent advancements in facial recognition technology have increased its accuracy and its usage. Our earlier work has included examinations of its use by federal law enforcement, at ports of entry, and in commercial settings.	近年の顔認証技術の進歩により、顔認証の精度が向上し、利用者も増えています。私たちはこれまでに、連邦法執行機関、入国管理局、商業施設での使用について調査しました。
For this report, we surveyed 24 federal agencies about their use of this technology.	本報告書では、24の連邦政府機関に対して、この技術の使用状況を調査しました。
16 reported using it for digital access or cybersecurity, such as allowing employees to unlock agency smartphones with it	16機関が、デジタルアクセスやサイバーセキュリティのためにこの技術を使用していると回答しました。
6 reported using it to generate leads in criminal investigations	6機関が、犯罪捜査の手がかりを得るために利用していると回答しました。
5 reported using it for physical security, such as controlling access to a building or facility	5機関が、建物や施設へのアクセス管理など、物理的なセキュリティに利用していると回答しました。
10 said they planned to expand its use	10機関が、利用拡大を計画していると回答しました。
Highlights	ハイライト
What GAO Found	GAOの調査結果
In response to GAO's survey about facial recognition technology (FRT) activities in fiscal year 2020, 18 of the 24 surveyed agencies reported using an FRT system, for one or more purposes, including:	GAOが実施した2020年度の顔認証技術（FRT）に関する調査に対し、調査対象24機関のうち18機関が、以下のような1つ以上の目的でFRTシステムを使用していると回答しました。
Digital access or cybersecurity. Sixteen agencies reported using FRT for digital access or cybersecurity purposes. Of these, 14 agencies authorized personnel to use FRT to unlock their agency-issued smartphones—the most common purpose of FRT reported. Two agencies also reported testing FRT to verify identities of persons accessing government websites.	デジタルアクセスまたはサイバーセキュリティ。16機関が、デジタルアクセスまたはサイバーセキュリティの目的でFRTを使用していると回答しました。このうち14機関は、機関が発行したスマートフォンのロックを解除するために職員にFRTを使用することを許可しました。また、2機関が、政府のウェブサイトにアクセスする人の身元を確認するためにFRTをテストしたと報告しています。
Domestic law enforcement. Six agencies reported using FRT to generate leads in criminal investigations, such as identifying a person of interest, by comparing their image against mugshots. In some cases, agencies identify crime victims, such as exploited children, by using commercial systems that compare against publicly available images, such as from social media.	国内の法執行機関。6機関が、犯罪捜査の手がかりを得るためにFRTを利用したと報告しています。例えば、顔写真と比較することで重要人物を特定することができます。また、ソーシャルメディアなどで公開されている画像と比較することで、子供などの犯罪被害者を特定するために利用しているケースもあります。
Physical security. Five agencies reported using FRT to monitor or surveil locations to determine if an individual is present, such as someone on a watchlist, or to control access to a building or facility. For example, an agency used it to monitor live video for persons on watchlists and to alert security personnel to these persons without needing to memorize them.	物理的セキュリティ。5機関が、監視リストに載っている人物などが存在するかどうかを判断するため、あるいは建物や施設へのアクセスを管理するために、場所を監視するためにFRTを使用していると報告しています。例えば、ある機関では、ウォッチリストに登録されている人物をライブ映像で監視し、記憶することなく警備員に警告するために使用していましました。
Ten agencies reported FRT-related research and development. For example, agencies reported researching FRT's ability to identify individuals wearing masks during the COVID-19 pandemic and to detect image manipulation.	10機関が、FRT関連の研究開発を報告しました。例えば、ある機関は、COVID-19パンデミックの際にマスクをしている個人を識別するためのFRTの能力や、画像の操作を検知するための研究を報告しました。
Furthermore, ten agencies reported plans to expand their use of FRT through fiscal year 2023. For example, an agency plans to pilot the use of FRT to automate the identity verification process at airports for travelers.	さらに、10の機関が2023年度までにFRTの使用を拡大する計画を報告しました。例えば、ある機関は、空港での旅行者の本人確認プロセスを自動化するために、FRTを試験的に使用することを計画しています。
Examples of Facial Recognition Technology Uses by Federal Agencies	連邦政府機関による顔面認識技術の使用例
Why GAO Did This Study	GAOがこの調査を行った理由
Facial recognition—a type of biometric technology—mimics how people identify or verify others by examining their faces. Recent advancements have increased the accuracy of automated FRT resulting in increased use across a range of applications. As the use of FRT continues to expand, it has become increasingly important to understand its use across the federal government in a comprehensive way.	顔認識は、生体認証技術の一種で、人が顔を見て他人を識別・確認する方法を模倣したものです。最近の進歩により、自動化されたFRTの精度が向上し、さまざまな用途で使用されるようになってきましました。FRTの利用が拡大するにつれ、連邦政府全体での利用状況を包括的に把握することがますます重要になってきましました。
GAO was asked to review the extent of FRT use across the federal government. This report identifies and describes (1) how agencies used FRT in fiscal year 2020, including any related research and development and interactions with non-federal entities, and (2) how agencies plan to expand their use of FRT through fiscal year 2023.	GAOは、連邦政府全体でのFRTの使用範囲を検討するよう依頼されましました。本報告書では、（1）関連する研究開発や非連邦団体とのやりとりを含め、2020年度に各機関がどのようにFRTを使用したか、（2）2023年度までに各機関がどのようにFRTの使用を拡大する予定か、を明らかにし、説明しています。
GAO surveyed the 24 agencies of the Chief Financial Officers Act of 1990, as amended, regarding their use of facial recognition technology. GAO also interviewed agency officials and reviewed documents, such as system descriptions, and information provided by agencies that reported using the technology.	GAOは、1990年に改正された最高財務責任者法の24機関に対して、顔認証技術の使用状況を調査しました。また、GAOは機関の担当者にインタビューし、システムの説明書などの文書や、技術の使用を報告した機関から提供された情報を確認しました。

・[PDF] Highlights Page

・[PDF] Full Report

目次です。。。

Letter	レター
Background	背景
Agencies Most Often Reported Using FRT for Digital Access and	デジタルアクセスと国内法執行のためにFRTを使用すると回答した機関が最も多い
Ten Agencies Plan to Expand Use of FRT, Mostly through Use of	10機関が、主に新しいFRTシステムの使用を通じて、FRTの使用を拡大することを計画している。
Agency Comments	機関からのコメント
Appendix I Objectives, Scope, and Methodology	附属書I 目的、範囲、方法論
Appendix II Summaries of Selected Federal Agencies’ Facial Recognition Technology Activities	附属書 II 特定の連邦政府機関の顔認識技術活動の概要
Appendix III Comments from the U.S. Agency for International Development	附属書III 米国国際開発庁からのコメント
Appendix IV Comments from the Social Security Administration	附属書IV 社会保障庁からのコメント
Appendix V GAO Contacts and Staff Acknowledgments	附属書V GAOの連絡先とスタッフへの謝辞

参考

● まるちゃんの情報セキュリティ気まぐれ日記

これの続きですね。。。

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

顔認識関係

・2021.08.20 英国意見募集監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.03 中国最高人民法院「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.17 米国上院・下院　顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.03 中国意見募集顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC（連邦取引委員会）のブログ会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 （人工知能 AI）ブラックボックスの検証：アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2005年

・2005.08.11 外務省　IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

2021.08.27 03:38 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in IoT, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2021.08.26

米国 White House バイデン大統領が「米国のサイバーセキュリティを共同で改善する」と発言していますね。。。

こんにちは、丸山満彦です。

米国バイデン大統領が「米国のサイバーセキュリティを共同で改善する」ことに関して発表していますね。。。電気業界のサイバーセキュリティについての100日間の取り組みを始めたことが言われていますね。。。

最後にこれから非公開でって言って終わっています(^^)。どんなことが話し合われたのでしょうかね。。。

● U.S. White House

・2021.08.25 Remarks by President Biden on Collectively Improving the Nation’s Cybersecurity

Collectively Improving the Nation’s Cybersecurity	米国のサイバーセキュリティを共同で改善するために
Remarks by President Biden on Collectively Improving the Nation’s Cybersecurity	バイデン大統領による「国家のサイバーセキュリティをまとめて向上させる」発言について
THE PRESIDENT: Well, thank you all for being here to discuss the core national security challenge we’re facing, the American people are facing, and — and our economy is facing with cybersecurity.	大統領：さて、皆さん、私たちが直面している国家安全保障上の課題、米国民が直面している課題、そして経済が直面している課題であるサイバーセキュリティについて話し合うためにお集まりいただき、ありがとうございます。
We’ve seen time and again how the technologies we rely on — from our cell phones to pipelines, to the electric grid — can become targets of ha- — hackers and criminals.	私たちは、携帯電話からパイプライン、電力網に至るまで、私たちが頼りにしているテクノロジーが、ハッカーや犯罪者の標的になりうることを何度も目の当たりにしてきました。
At the same time, our skilled cybersecurity workforce has not grown fast enough to keep pace. We’re about — the estimates many of you have given us and we’ve concluded are — on our own — about a half a million cybersecurity jobs remain unfilled.	その一方で、サイバーセキュリティに精通した人材の増加が追いついていないのも事実です。多くの方からいただいた試算によると、私たちは独自に、約50万件のサイバーセキュリティ関連の仕事が未完成であると結論づけています。
That’s a challenge, but it also is a real opportunity. And I’ve made it — this a priority for my administration from the outset.	これは大変なことですが、同時に大きなチャンスでもあります。私は当初から、これを政権の優先事項としてきました。
And in May, I issued an executive order to modernize our defenses and improve our federal government’s cybersecurity. Because of that order, government will only buy tech products that meet certain cybersecurity standards, which will have a ripple effect across the software industry, in our view, ultimately improving security for all Americans.	そして5月、私は防衛力を近代化し、連邦政府のサイバーセキュリティを向上させるための大統領令を発布しました。この命令により、政府は一定のサイバーセキュリティ基準を満たしたハイテク製品のみを購入することになります。これはソフトウェア業界全体に波及し、最終的にはすべてのアメリカ人のセキュリティを向上させるものと考えています。
We’ve launched a 100-day initiative to improve cybersecurity across the electric sector. That initiative has already resulted in more than 150 utilities that serve 90 million Americans being deployed. And we’re committing to deploy cybersecurity technologies that are — that are extending that initiative as — to gas pipelines as well, next. That’s where we’re going.	私たちは、電気業界全体のサイバーセキュリティを向上させるため、100日間の取り組みを開始しました。この取り組みにより、すでに9,000万人のアメリカ人にサービスを提供している150以上の電力会社が導入されています。今後は、この取り組みをガスパイプラインにも拡大するため、サイバーセキュリティ技術の導入を約束しています。それが私たちの目標です。
And because cybersecurity is a global issue, we’ve also rallied G7 countries to hold nations who harbor ransomware criminals accountable.	また、サイバーセキュリティは世界的な問題であるため、G7諸国に呼びかけ、ランサムウェアの犯罪者を匿っている国に責任を取らせることにしました。
And, I might add, I had a — a summit with Vladimir Putin and made it clear to him that we expected him to hold them accountable as well, because they know where they are and who they are. But that’s another issue we will not be discussing so much today.	さらに付け加えると、私はウラジーミル・プーチンと首脳会談を行い、彼らがどこにいて誰であるかを知っているのだから、彼らにも責任を取らせることを期待していることを明確に伝えました。しかし、それは今日はあまり議論しない別の問題です。
We updated NATO cyber policy for the first time in seven years. And today, my team is hosting a meeting, bringing together 30 of the nations — 30 nations to step up in their fight against ransomware.	私たちは、7年ぶりにNATOのサイバー政策を更新しました。そして本日、私のチームが会議を主催し、ランサムウェアとの戦いを強化するために、30カ国を集めています。
But the reality is, most of our critical infrastructure owned and operated — is owned and operated by the private sector, and the federal government can’t meet this challenge alone.	しかし実際には、重要なインフラのほとんどは民間企業が所有・運営しており、連邦政府だけではこの課題に対応できません。
So I’ve invited you all here today because you have the power, the capacity, and the responsibility, I believe, to raise the bar on cybersecurity.	私が今日、皆さんをお招きしたのは、皆さんにはサイバーセキュリティの水準を向上させる力と能力、そして責任があると信じているからです。
And so, ultimately, we got a lot of work to do. And thank you all very much. And thank the press for being here. We’re going to go private now.	皆さんには、サイバーセキュリティの水準を高める力と能力、そして責任があると信じているからです。皆さん、本当にありがとうございました。また、報道関係者の皆様、ありがとうございました。これから非公開とさせていただきます。

参考　エネルギー省の Cybersecurity Capability Maturity Model (C2M2) は興味深いのでぜひ。。。

● U.S. White House

・2021.07.28 National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems

● Federal Register

・2021.05.12 Executive Order 14028 Improving the Nation's Cybersecurity

・2013.02 12 Executive Order 13636 Improving Critical Infrastructure Cybersecurity

・Cybersecurity を含む大統領令の検索

● U.S. Department of Energy

・2021.08.16 Progress Report: 100 Days of the Biden Administration’s Industrial Control Systems (ICS) Cybersecurity Initiative and Electricity Subsector Action Plan

・Considerations for ICS/OT Cybersecurity Monitoring Technologies

・Cybersecurity Capability Maturity Model (C2M2)

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.02 米国連邦政府重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書

・2021.07.10 バイデン大統領とプーチン大統領は電話会議でランサムウェアについて話をしたようですね。。。

・2021.07.10 米国米国経済における競争促進に関する大統領令

・2021.06.13 U.S. White House 米国の機微なデータを国外の敵から保護するための大統領令

・2021.06.11 U.S. White House サプライチェーンの途絶に対処するための取り組み...

・2021.06.02 米国国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国国家のサイバーセキュリティ向上に関する大統領令

・2021.04.22 U.S. White House 副国家安全保障補佐官（サイバー・新技術担当）によるSolarWindsとMicrosoft Exchangeのインシデントに関する声明

・2021.04.22 米国によるロシア制裁後のロシア連邦安全保障会議書記と米国大統領補佐官（国家安全保障担当）との電話会談

・2021.04.16 FedRAMP インシデント・コミュニケーション手順4.0の公表

・2021.04.16 White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー軍と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

・2020.05.02 トランプさん、米国の電力システムに対する外国のサイバーセキュリティの脅威を国家緊急事態と宣言する大統領令に署名しました。。。

ちょっと前です。。。

・2011.05.15 ホワイトハウスがサイバーセキュリティ対策案を議会に提出したようですね。。。

・2009.06.03 続　これは読んでおかなければ・・・Cyberlaw 米国：オバマ政権がサイバーセキュリティオフィスを設置

2021.08.26 11:47 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in IoT | Permalink | Comments (0)
Tweet

米国カリフォルニア州医療機関等へのランサムウェアの被害を踏まえ、司法長官が医療データ・プライバシー法の完全な遵守を呼びかけていますね。

こんにちは、丸山満彦です。

カリフォルニア州医療機関等へのランサムウェアの被害を踏まえ、司法長官が医療データ・プライバシー法の完全な遵守を医療機関関係者に呼びかけていますね。

● State of California Department of Justice

・2021.08.24 Attorney General Rob Bonta Calls for Full Compliance with State Health Data Privacy Laws

Reminds healthcare providers to report data breaches to the California Department of Justice and to be vigilant about reducing the risk of ransomware attacks

カリフォルニア州の医療機関に対して報告されていないランサムウェアによる攻撃が複数発生したことを受け、500人以上のカリフォルニア州住民の健康データが侵害された場合、カリフォルニア州司法省（DOJ）に通知しなければならないことを医療機関に伝えたとのことです。。。

Attorney General Rob Bonta Calls for Full Compliance with State Health Data Privacy Laws	ロブ・ボンタ司法長官、州の医療データ・プライバシー法の完全遵守を要請
Reminds healthcare providers to report data breaches to the California Department of Justice and to be vigilant about reducing the risk of ransomware attacks	医療機関に対し、カリフォルニア州司法省へのデータ漏洩の報告と、ランサムウェア攻撃のリスク軽減に向けた警戒を喚起
OAKLAND – California Attorney General Rob Bonta issued guidance today to healthcare facilities and providers reminding them of their obligation to comply with state and federal health data privacy laws. In a bulletin sent to stakeholder organizations, including the California Hospital Association, the California Medical Association, and the California Dental Association, the Attorney General reminded healthcare entities that they must notify the California Department of Justice (DOJ) when the health data of more than 500 California residents has been breached. Today’s bulletin comes on the heels of multiple unreported ransomware attacks against California healthcare facilities	カリフォルニア州司法長官ロブ・ボンタは、本日、医療施設や医療機関に対し、州および連邦の医療データ・プライバシー法を遵守する義務を喚起する [PDF] ガイダンスを発行しました。司法長官は、カリフォルニア州病院協会、カリフォルニア州医師会、カリフォルニア州歯科医師会などの関係機関に送られた公報の中で、500人以上のカリフォルニア州住民の健康データが侵害された場合、カリフォルニア州司法省（DOJ）に通知しなければならないことを医療機関に伝えました。本日の通達は、カリフォルニア州の医療機関に対して報告されていないランサムウェアによる攻撃が複数発生したことを受けたものです。
“Entities entrusted with private and deeply personal data, like hospitals and other healthcare providers, must secure information against evolving threats,” said Attorney General Bonta. “California law mandates that data breaches impacting more than 500 of our residents be reported to the California Department of Justice. In addition, I implore all entities that house confidential health-related information to be vigilant and take steps now to protect patient data, before a potential cyberattack.”	ボンタ検事総長は、「病院やその他の医療機関のように、個人データを預かる企業は、進化する脅威に対して情報を保護しなければなりません」と述べています。「カリフォルニア州の法律では、カリフォルニア州民500人以上に影響を与えるデータ漏洩は、カリフォルニア州司法省に報告することが義務付けられています。さらに、医療関連の機密情報を保有するすべての企業に対し、サイバー攻撃の可能性がある前に、患者データを保護するために警戒し、今すぐ対策を講じることを強く求めます」と述べています。
The healthcare sector has been a main target of multiple cyberattacks. Last year, the U.S. Cybersecurity and Infrastructure Security Agency, the Federal Bureau of Investigation, and the U.S. Department of Health and Human Services released a joint report that stated the agencies had “credible information of an increased and imminent cybercrime threat to U.S. hospitals and healthcare providers." These cyber attackers often introduce malware, including ransomware into a computer system to render health data files and systems useless and hold the data hostage in exchange for a ransom. When the breaches of data involve Social Security numbers, health records, or other sensitive information, they threaten the privacy, security, and economic wellbeing of impacted Californians. They also disrupt the ability of providers to provide care and erode patient trust.	医療分野は、複数のサイバー攻撃の主な標的となっています。昨年、米国のサイバーセキュリティ・インフラセキュリティ庁、連邦捜査局、米国保健社会福祉省は、「米国の病院および医療機関に対するサイバー犯罪の脅威が増大し、差し迫っているという信頼できる情報」があるとする共同報告書を発表しました。これらのサイバー攻撃者は、しばしばランサムウェアを含むマルウェアをコンピュータシステムに導入して、医療データのファイルやシステムを使えなくし、身代金と引き換えにデータを人質にします。社会保障番号、医療記録、その他の機密情報を含むデータが流出した場合、影響を受けるカリフォルニア州民のプライバシー、セキュリティ、経済的福利が脅かされます。また、プロバイダーのケア提供能力を妨げ、患者の信頼を損ないます。
California law (Civil Code section 1798.82) requires entities that have suffered a data breach, including a health data breach, affecting more than 500 California residents to submit a breach report to the Office of the Attorney General. When healthcare providers notify the Attorney General of these breaches, the DOJ advises the public of the breach through the Attorney General’s website: [web].	カリフォルニア州の法律（Civil Code section 1798.82）では、カリフォルニア州民500人以上に影響を与える医療データの漏洩を含むデータ漏洩が発生した企業は、司法長官室に漏洩報告書を提出することが義務付けられています。医療機関がこれらの情報漏洩を司法長官に通知すると、司法長官は司法長官のウェブサイト [web ] を通じて一般市民に情報漏洩を通知します。
In today’s bulletin, Attorney General Bonta also urged healthcare entities to take the following proactive steps, at minimum, to protect patient data from potential ransomware attacks:	また、ボンタ司法長官は、本日の速報で、潜在的なランサムウェア攻撃から患者データを保護するために、医療機関に対して、最低限、以下の積極的な対策を講じるよう求めました。
・Keep all operating systems and software housing health data current with the latest security patches;	・医療データを格納するすべてのOSおよびソフトウェアに最新のセキュリティパッチを適用する。
・Install and maintain virus protection software;	・ウイルス対策ソフトを導入し、維持する。
・Provide regular data security training for staff members that includes education on not clicking on suspicious web links and guarding against phishing emails;	・不審なWebリンクをクリックしないことや、フィッシングメールへの対策など、データセキュリティに関するトレーニングをスタッフに定期的に実施する。
・Restrict users from downloading, installing, and running unapproved software; and	・ユーザーが承認されていないソフトウェアをダウンロード、インストール、実行することを制限する。
・Maintain and regularly test a data backup and recovery plan for all critical information to limit the impact of data or system loss in the event of a data security incident.	・データ・セキュリティ・インシデントが発生した場合に、データまたはシステムの損失の影響を抑えるために、すべての重要な情報のためのデータ・バックアップおよびリカバリー計画を維持し、定期的にテストする。

・[PDF] BULLETIN: Obligation to Proactively Reduce Vulnerabilities to Ransomware Attacks and Requirements Regarding Health Data Breach Reporting

2021.08.26 06:21 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in ウイルス, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2021.08.25

世界銀行中低所得国のためのサイバーセキュリティについての新しいグローバル基金を発表（日本も出資） at 2021.08.16

こんにちは、丸山満彦です。

世界銀行が中低所得国のためのサイバーセキュリティについての新しいグローバル基金を設立したことを発表していましたね。。。

エストニア、ドイツ、日本、オランダと言った国に加えて、ビル＆メリンダ・ゲイツ財団のコメントも乗っているので、出資したのでしょうかね。。。

日本もこの基金にお金をだしているようですが、日本で発表されていたのかもしれませんけど、見つけられませんでした。総務省と外務省の方が関係しているようですね。。。

基金のウェブページもちゃんと立ち上げていますね。

● World Bank

・2021.08.16 World Bank and Partners Announce New Global Fund for Cybersecurity

World Bank and Partners Announce New Global Fund for Cybersecurity	世界銀行とパートナーがサイバーセキュリティのための新しいグローバル基金を発表
Washington DC, August 16, 2021—The World Bank announced today the launch of a new Cybersecurity Multi-Donor Trust Fund under the broader Digital Development Partnership (DDP) umbrella program.	2021年8月16日、ワシントンDC-世界銀行は、デジタル開発パートナーシップ（DDP）傘下のプログラムとして、新たにサイバーセキュリティ・マルチ・ドナー信託基金を設立することを発表しました。
Digital transformation is accelerating in many countries, offering new opportunities for economic growth and enabling low- and medium-income countries to leapfrog development through increased productivity and improved service delivery across key sectors, including finance, health, education, and agriculture.	デジタルトランスフォーメーションは多くの国で加速しており、経済成長のための新たな機会を提供するとともに、金融、保健、教育、農業などの主要セクターにおける生産性の向上とサービス提供の改善を通じて、低・中所得国が開発を飛躍的に進めることを可能にしています。
Embracing technological transformation has increased cyber risks and threats to digital infrastructure, services, and data, which rely on increasingly connected systems.	技術革新を取り入れることで、接続性の高いシステムに依存するデジタルインフラ、サービス、データに対するサイバーリスクや脅威が増大しています。
As digital transformation becomes essential to the functioning of states, economies, and societies, cybersecurity solutions must keep up. A partnership approach can help build trust, improve awareness, and deliver the technical solutions that countries require.	デジタルトランスフォーメーションが国家、経済、社会の機能に不可欠になるにつれ、サイバーセキュリティのソリューションもそれに対応しなければなりません。パートナーシップによるアプローチは、信頼を築き、意識を向上させ、各国が必要とする技術的ソリューションを提供するのに役立ちます。
“COVID-19 has highlighted the vital role digital technologies and applications play in a resilient development agenda. It keeps people, businesses, and public services connected. As governments are rapidly scaling up their investments into digital technologies, cybersecurity has become a pressing concern to ensure a safe and secure digital transformation for all,” said Boutheina Guermazi, Director of the World Bank’s Digital Development Global Practice. “Fostering safe digital inclusion is of paramount importance for the World Bank’s work in helping countries reduce poverty, tackle inequality, and accelerate economic growth.”	世界銀行のデジタル開発グローバルプラクティスのディレクターであるブテイナ・ゲルマジは、「COVID-19は、回復力のある開発アジェンダにおいて、デジタル技術とアプリケーションが果たす重要な役割を強調しました。COVID-19は、デジタル技術とアプリケーションが、強靭な開発アジェンダにおいて極めて重要な役割を果たすことを強調しました。各国政府がデジタル技術への投資を急速に拡大している中、すべての人にとって安全でセキュアなデジタルトランスフォーメーションを実現するためには、サイバーセキュリティが喫緊の課題となっています。安全なデジタルインクルージョンを促進することは、各国が貧困削減、不平等への取り組み、経済成長の加速を支援する世界銀行の活動にとって、最も重要なことです。」と、述べました。
The new fund aims to better define and systematically roll out the cybersecurity development agenda, helping to ensure a more substantial reflection of cybersecurity considerations across World Bank programs and financing. The work program will support the development of global knowledge on cybersecurity solutions for low- and middle-income countries. It will fund country maturity assessments, offer technical assistance, and support training and capacity development for cybersecurity staff in World Bank client countries.	新基金は、サイバーセキュリティ開発アジェンダをより明確にし、体系的に展開することで、世銀のプログラムや融資にサイバーセキュリティへの配慮をより実質的に反映させることを目的としています。作業プログラムは、中低所得国のためのサイバーセキュリティ・ソリューションに関する世界的な知識の開発を支援します。このプログラムでは、各国の成熟度評価、技術支援、世界銀行のクライアント国のサイバーセキュリティ・スタッフのトレーニングと能力開発を支援します。
The launch of the Trust Fund is made possible with donor contributions from Estonia, Germany, Japan, and the Netherlands.	今回の信託基金の設立には、エストニア、ドイツ、日本、オランダからの寄付が寄せられています。
“It is essential that basic cybersecurity elements are integrated into all digitalization projects in development cooperation,” said Mari Tomingas of the Cyber Diplomacy Department of the Ministry of Foreign Affairs of Estonia. “As a highly developed digital nation, we continue to share our expertise, and we are very happy about the launch of the new associated trust fund.”	エストニア外務省サイバー外交部のマリ・トミンガス氏は、「開発協力におけるすべてのデジタル化プロジェクトに、基本的なサイバーセキュリティの要素を組み込むことが不可欠です。高度に発達したデジタル国家として、我々は専門知識を共有し続けており、新たな関連信託基金の立ち上げを非常に喜ばしく思っています。」と述べました。
“Cyberattacks are becoming more complex and sophisticated across the world,” said the representatives of Japan’s Ministries of Foreign Affairs and Internal Affairs and Communication, Narichika Konno and Atsushi Umino. “Effective communication through digital technologies is a public good and can be best achieved if low- and middle-income countries are included in the effective protection of critical digital infrastructure. The importance of capacity building in matters of cyberspace is therefore increasing rapidly.”	日本の外務省のこんのなりちか氏と総務省の海野敦史氏は、「サイバー攻撃は世界中でより複雑で巧妙になってきている。デジタル技術を用いた効果的なコミュニケーションは公共財であり、重要なデジタルインフラを効果的に保護するために中低所得国が参加することが最善の方法である。そのため、サイバースペースに関する能力開発の重要性は急速に高まっています。」と述べました。
“There is widespread agreement in the international community that significantly more cybersecurity capacity building is needed to help low- and middle-income countries become more resilient against attacks and take full advantage of the development opportunities of the digital economy,” said Felix Kroll of the Cyber Foreign Policy and Cyber Security Coordination Staff of the German Federal Foreign Office.	ドイツ連邦外務省サイバー外交政策・サイバーセキュリティコーディネーションスタッフのフェリックス・クロール氏は、「低・中所得国が攻撃に対する耐性を高め、デジタル経済の発展の機会を最大限に活用するためには、サイバーセキュリティのキャパシティビルディングを大幅に増やす必要があるという点で、国際社会では広く合意されています。」と述べました。
“All of our economies, including those of rapidly-digitizing lower- and middle-income countries, increasingly depend on good cybersecurity to grow and thrive,” said Elizabeth Vish of the Office of the Coordinator for Cyber Issues of the U.S. Department of State. “We believe the international community will be more secure, stable, and prosperous when a broad range of states has the capacity to defend their own networks.”	米国国務省サイバー問題調整官室のエリザベス・ヴィッシュ氏は、「急速にデジタル化が進む中低所得国を含むすべての経済は、成長と繁栄のために優れたサイバーセキュリティにますます依存しています。また、幅広い国々が自国のネットワークを守る能力を持つことで、国際社会はより安全で安定した繁栄を実現できると信じています」と述べました。
“Malicious code—whether you call it a software bug, a virus, malware, ransomware, botnet, or phishing—presents a risk that is globally interconnected and potentially devastating to digitally dependent societies. Addressing this risk requires collective action. Cybersecurity should be a key pillar of any development conversation,” said Kanwaljit Singh of the Bill and Melinda Gates Foundation.	ビル＆メリンダ・ゲイツ財団のカンワルジット・シン氏は、「悪意のあるコードは、ソフトウェアのバグ、ウイルス、マルウェア、ランサムウェア、ボットネット、フィッシングなど、どのように呼んでも、世界的につながっているリスクであり、デジタルに依存する社会に壊滅的な打撃を与える可能性があります。このリスクに対処するには、集団行動が必要です。サイバーセキュリティは、開発に関するあらゆる議論の重要な柱となるべきです。」と述べました。
Progress will require partnership and collaboration between and among partners, also involving other international institutions and organizations.	進歩のためには、他の国際機関や組織も巻き込んだ、パートナー間や協力関係が必要です。
“Cybersecurity must become an integral part of the digital agenda. Synergies are crucial, and the activities to be carried out should be taken up broadly through development financing programs,” said Michael Thijssen of the Task Force Cyber Policies of the Ministry of Foreign Affairs of the Netherlands. “Partnerships such as the Global Forum for Cyber Expertise (GFCE), NGOs, and research institutes can help ensure a broad stakeholder process. We are looking forward to great results to be supported through the new trust fund over the years to come.”	オランダ外務省のサイバー政策タスクフォースのマイケル・ティッセン氏は、「サイバーセキュリティは、デジタルアジェンダの不可欠な要素とならなければなりません。シナジー効果は極めて重要であり、実施されるべき活動は開発資金プログラムを通じて広く取り上げられるべきです。サイバー専門家のためのグローバルフォーラム（GFCE）、NGO、研究機関などのパートナーシップは、幅広いステークホルダーのプロセスを確保するのに役立ちます。この新しい信託基金によって、今後数年間にわたって大きな成果が得られることを期待しています」と述べました。

・Cybersecurity Multi-Donor Trust Fund

目的

Objectives	目的
The objective of the Cybersecurity Multi-Donor Trust Fund is to provide knowledge, technical assistance and practical tools to help build cyber and digital security capability and capacity, and make sure countries and their citizens can safely take full advantage of ongoing digital transformation and development. Work aims to:	サイバーセキュリティ・マルチ・ドナー信託基金の目的は、知識、技術支援、実用的なツールを提供することで、サイバーセキュリティとデジタルセキュリティの能力とキャパシティを構築し、各国とその国民が現在進行中のデジタルトランスフォーメーションと開発を安全に最大限活用できるようにすることにあります。この活動は以下を目的としています。
・provide practical and technical analysis to low- and middle-income countries on the threats, risks and opportunities of emerging technology	・中低所得国に対し、新興技術の脅威、リスク、機会に関する実践的・技術的分析を提供する。
・fund effectively coordinated tailored cyber capacity building activities to low- and middle-income countries so that they have the strategies, structures and resilience to deal with cyber-attacks	・中低所得国がサイバー攻撃に対処できる戦略、構造、回復力を持てるよう、効果的に調整された個別のサイバー能力開発活動に資金を提供する。
・lay the cybersecurity foundation for low- and middle-income countries to further invest in the enhancement of their cybersecurity capacities and infrastructure	・中低所得国がサイバーセキュリティの能力とインフラの強化にさらに投資できるよう、サイバーセキュリティの基盤を構築する。
・provide support for implementing internationally recognized cyber norms, including through confidence-building measures and capacity building	・信頼醸成措置や能力開発を含む、国際的に認められたサイバー規範の実施を支援する。
・strengthen international development through supporting cybersecurity related partnerships and expertise, including in collaboration with think-tanks, capacity building centers and universities.	・シンクタンク、能力開発センター、大学との連携を含む、サイバーセキュリティ関連のパートナーシップや専門知識の支援を通じた国際開発を強化する。

2021.08.25 05:17 in 情報セキュリティ / サイバーセキュリティ | Permalink | Comments (0)
Tweet

米国のCISAとシンガポールのCSAがサイバーセキュリティに関する協力を拡大するための覚書を締結していますね。。。

こんにちは、丸山満彦です。

米国のCISA (Cybersecurity and Infrastructure Security Agency) とシンガポールのCSA (Cyber Security Agency of Singapore) がサイバーセキュリティに関する協力を拡大するための覚書を締結していますね。。。

この覚書で、情報共有の強化、シンガポールと米国間のサイバーセキュリティ交換の促進、共同演習による協力、重要な技術や研究開発などの新しい協力分野に拡大するということのようです。。。

日本ってこのあたりは、どうなっているんでしたっけ。もちろん、日米同盟がベースとしてあるので、基本は連携できているのでしょうが。。。

内容は基本同じですが、参考に両方記載しておきます。。。

シンガポール側の発表

● Cyber Security Agency of Singapore; CSA

・2021.08.23 JOINT MEDIA RELEASE BY CYBER SECURITY AGENCY OF SINGAPORE AND CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY

JOINT MEDIA RELEASE BY CYBER SECURITY AGENCY OF SINGAPORE AND CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY	シンガポールのサイバーセキュリティ機関とサイバーセキュリティ・インフラストラクチャ・セキュリティ機関による共同メディアリリース
Singapore and United States Expand Existing Cooperation on Cybersecurity	シンガポールと米国、サイバーセキュリティに関する既存の協力関係を拡大
The MOU is one of many deliverables in Vice President Harris’ visit to Singapore.	今回の覚書は、ハリス副大統領のシンガポール訪問における数多くの成果の一つです。
Singapore and the United States have signed a Memorandum of Understanding (MOU) to expand cooperation on cybersecurity. The MOU was signed by David Koh, Chief Executive of the Cyber Security Agency of Singapore (CSA) and Jen Easterly, Director of the Cybersecurity and Infrastructure Security Agency (CISA).	シンガポールと米国は、サイバーセキュリティに関する協力関係を拡大するための覚書を締結しました。この覚書には、シンガポール・サイバーセキュリティ庁（CSA）のデビッド・コー長官と、サイバーセキュリティ・インフラセキュリティ庁（CISA）のジェン・イースタリー長官が署名しました。
Besides strengthening information sharing, fostering cybersecurity exchanges between Singapore and the U.S., and cooperation through joint exercises, the MOU will expand into new areas of cooperation such as critical technologies, and research and development.	この覚書は、情報共有の強化、シンガポールと米国のサイバーセキュリティに関する交流の促進、共同演習による協力に加え、重要技術や研究開発などの新しい分野での協力も拡大していきます。
“Singapore and the United States share deep mutual interests in enhancing cybersecurity cooperation, particularly as cybersecurity has become a key enabler for both countries to leverage the benefits of digitalisation to grow our economies and improve the lives of our people,” said Mr Koh. “This expanded MOU is a testament of our shared vision to work together towards a stable, secure, resilient and interoperable cyberspace. We look forward to continuing our work with the US to strengthen cybersecurity cooperation between our countries.”	コー氏は、「特にサイバーセキュリティは、両国がデジタル化の恩恵を活用して経済を成長させ、国民の生活を向上させるための重要な手段となっていることから、シンガポールと米国は、サイバーセキュリティの協力関係を強化することに深い関心を抱いています。今回の覚書の拡大は、安定した安全性と回復力を備えた相互運用可能なサイバー空間に向けて協力していくという両国の共通のビジョンを示すものです。今後も米国との協力関係を継続し、両国間のサイバーセキュリティ協力を強化していきたいと思います」と述べています。
“Cyber threats don’t adhere to borders, which is why international collaboration is a key part of the Biden-Harris administration’s approach to cybersecurity,” said Ms Easterly. “The MOU allows us to strengthen our existing partnership with Singapore so that we can more effectively work together to collectively defend against the threats of today and secure against the risks of tomorrow.”	イースタリー女史は、「バイデン・ハリス政権のサイバーセキュリティへの取り組みにおいて、国際的な協力関係が重要な役割を果たしているのはそのためです。今回の覚書により、シンガポールとの既存のパートナーシップを強化することができ、今日の脅威に対する防御と明日のリスクに対する安全確保のために、より効果的に協力していくことができます」と述べています。

米国側の発表

● U.S. Cybersecurity and Infrastructure Security Agency; CISA

・2021.08.23 UNITED STATES AND SINGAPORE EXPAND COOPERATION ON CYBERSECURITY

UNITED STATES AND SINGAPORE EXPAND COOPERATION ON CYBERSECURITY	米国とシンガポール、サイバーセキュリティに関する協力関係を拡大
Original release date: August 23, 2021	発表日：2021年8月23日
The MOU is one of many deliverables in Vice President Harris’ visit to Singapore.	今回の覚書は、ハリス副大統領のシンガポール訪問における数多くの成果の一つです。
WASHINGTON – The United States and Singapore have signed a Memorandum of Understanding (MOU) to expand cooperation on cybersecurity. The MOU was signed by Jen Easterly, Director of the Cybersecurity and Infrastructure Security Agency (CISA) and David Koh, Chief Executive of the Cyber Security Agency of Singapore (CSA).	ワシントン - 米国とシンガポールは、サイバーセキュリティに関する協力関係を拡大するための覚書を締結しました。この覚書は、サイバーセキュリティ・インフラセキュリティ庁（CISA）のジェン・イースタリー長官と、シンガポール・サイバーセキュリティ庁（CSA）のデビッド・コー長官が署名しました。
Besides strengthening information sharing, fostering cybersecurity exchanges between Singapore and the U.S., and cooperation through joint exercises, the MOU will expand into new areas of cooperation such as critical technologies, and research and development.	この覚書は、情報共有の強化、シンガポールと米国のサイバーセキュリティに関する交流の促進、共同演習による協力に加え、重要技術や研究開発などの新しい分野での協力も拡大していきます。
“Cyber threats don’t adhere to borders, which is why international collaboration is a key part of the Biden-Harris administration’s approach to cybersecurity,” said CISA Director Jen Easterly. “The MOU allows us to strengthen our existing partnership with Singapore so that we can more effectively work together to collectively defend against the threats of today and secure against the risks of tomorrow.”	「ジェン・イースタリーCISA長官は、「サイバー脅威に国境はありません。だからこそ、バイデン・ハリス政権のサイバーセキュリティに対するアプローチでは、国際的な協力が重要な役割を担っています。「この覚書により、シンガポールとの既存のパートナーシップを強化し、今日の脅威に対する防御と明日のリスクに対する安全確保のために、より効果的に協力していくことができます」と述べています。
“Singapore and the United States share deep mutual interests in enhancing cybersecurity cooperation, particularly as cybersecurity has become a key enabler for both countries to leverage the benefits of digitalization to grow our economies and improve the lives of our people,” said CSA Chief Executive David Koh. “This expanded MOU is a testament of our shared vision to work together towards a stable, secure, resilient and interoperable cyberspace. We look forward to continuing our work with the US to strengthen cyber security cooperation between our countries.”	「CSAの最高責任者であるデイビッド・コーは、「シンガポールと米国は、サイバーセキュリティの協力関係を強化することに深い関心を共有しています。特にサイバーセキュリティは、両国がデジタル化の恩恵を活用して経済を成長させ、国民の生活を向上させるための重要な手段となっています。「今回のMOUの拡大は、安定した安全性と回復力を備えた相互運用可能なサイバースペースを目指して協力するという、両国の共通のビジョンを示すものです。今回のMOUの拡大は、安定した安全性と回復力、そして相互運用性のあるサイバー空間に向けて協力していくという共通のビジョンを示すものです。

2021.08.25 04:18 in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2021.08.24

米国連邦通信委員会中国通信関連5社の認証を禁止する規則案（意見募集）とリスクのある機器やサービスの除去費用の償還プログラム（最終規則）の公示

こんにちは、丸山満彦です。

米国の連邦通信委員会 (Federal Communications Commission: FCC) が「機器認可プログラムと競争入札プログラムによる通信サプライチェーンへの国家安全保障上の脅威からの保護」と題した規則案を官報に掲載し、意見募集をしていますね。

そして、そのような機器を取り替える場合の費用を償還するプログラムも合わせて行いますね。。。

● U.S. Federal Register

機器認可プログラムの意見募集。。。

・2021.08.19 Protecting Against National Security Threats to the Communications Supply Chain Through the Equipment Authorization Program and the Competitive Bidding Program

Protecting Against National Security Threats to the Communications Supply Chain Through the Equipment Authorization Program and the Competitive Bidding Program	機器認可プログラムおよび競争入札プログラムによる通信サプライチェーンへの国家安全保障上の脅威からの保護について
SUMMARY:	概要
The Commission proposes to revise rules related to its equipment authorization processes to prohibit authorization of any “covered” equipment on the recently established Covered List. The Commission also seeks comment on whether to require additional certification relating to national security from applicants who wish to participate in the Commission's competitive bidding auctions. This action explores steps the Commission can take to further its goal of protecting communications networks from communications equipment and services that pose a national security risk.	連邦通信委員会は、機器認可プロセスに関する規則を改正し、最近制定された「対象リスト」に掲載されている「対象」機器の認可を禁止することを提案します。また、連邦通信委員会の競争入札への参加を希望する申請者に、国家安全保障に関する追加の証明書を要求するかどうかについても意見を求めています。今回の措置は、国家安全保障上のリスクをもたらす通信機器やサービスから通信ネットワークを保護するという欧州委員会の目標を推進するために、欧州委員会が取り得る措置を検討するものです。

取り替え費用の償還プログラムの最終規則です。。。

・2021.08.23 Protecting Against National Security Threats to the Communications Supply Chain Through FCC Programs

Protecting Against National Security Threats to the Communications Supply Chain Through FCC Programs	FCCプログラムによる通信サプライチェーンへの国家安全保障上の脅威からの保護について
SUMMARY:	概要
In this document, the Federal Communications Commission (Commission) adopts rules to modify the Secure and Trusted Communications Networks Reimbursement Program (Reimbursement Program) consistent with the Secure and Trusted Communications Networks Act of 2019, as modified by the Congressional Appropriations Act, 2021.	本文書において、連邦通信委員会は、2021年の議会歳出法により修正された2019年のSecure and Trusted Communications Networks Actに準拠して、Secure and Trusted Communications Networks Reimbursement Program（償還プログラム）を修正する規則を採択します。

制限企業のリスト

● Federal Communications Commission: FCC

・List of Equipment and Services Covered By Section 2 of The Secure Networks Act

3月に決定された企業はすべて中国企業で

華為技術（ファーウェイ）
中興通訊（ZTE）
ハイテラ
ハイクビジョン
ダーファ

の5社となります。。。

● JETRO

・2021.08.23 米連邦通信委、中国通信関連5社の認証を禁止する規則案公示、パブコメ募集

2021.08.24 03:05 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 危機管理 / 事業継続, in パブコメ | Permalink | Comments (0)
Tweet

中国全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

こんにちは、丸山満彦です。

個人情報保護法についての説明がされていますね。。。

● 中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

2021.08.21

8章74条，个人信息保护法来了！权威解读十大亮点

8章74条からなる「個人情報保護法」の登場！10のハイライトについての権威ある解釈

10のハイライトは、

1	确立个人信息保护原则	個人情報保護の原則の策定
2	规范处理活动保障权益	権利と利益を守るための取扱業務の規制
3	禁止“大数据杀熟”规范自动化决策	「ビッグデータにするのに協力した人を裏切る」ことの禁止と自動化された意思決定の規制
4	严格保护敏感个人信息	機微な個人情報の厳格な保護
5	规范国家机关处理活动	国家機関の取扱業務の規制
6	赋予个人充分权利	個人への完全な権利の付与
7	强化个人信息处理者义务	個人情報取扱事業者の義務の強化
8	赋予大型网络平台特别义务	大規模ネットワークプラットフォームに課せられる特別な義務
9	规范个人信息跨境流动	個人情報の国境を越えた流れの規制
10	健全个人信息保护工作机制	個人情報保護のための健全な仕組み

8章74条，个人信息保护法来了！权威解读十大亮点	8章74条からなる「個人情報保護法」の登場です！10本のハイライトの権威ある解釈
经过三次审议，8月20日，十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》，将于2021年11月1日起施行。	3回の審議を経て、8月20日、第13期全国人民代表大会常務委員会第30回会議において、「中華人民共和国個人情報保護法」の採択が議決され、2021年11月1日から施行されることになりました。
在信息化时代，个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。个人信息保护法坚持和贯彻以人民为中心的法治理念，牢牢把握保护人民群众个人信息权益的立法定位，聚焦个人信息保护领域的突出问题和人民群众的重大关切。	情報技術の時代、個人情報の保護は、一般の人々にとって最も直接的で現実的な関心事の一つとなっています。「個人情報保護法」は、国民を中心とした法治国家の概念を堅持・実行し、国民の個人情報の権利・利益を保護するという立法上の位置づけをしっかりと把握し、個人情報保護の分野における未解決の問題や国民の大きな関心事に焦点を当てています。
个人信息保护法共8章74条。在有关法律的基础上，该法进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则，明确个人信息处理活动中的权利义务边界，健全个人信息保护工作体制机制。	個人情報保護法は、8章、74条から成り立っています。この法律は、関連する法律に基づいて、個人情報保護のために従うべき原則や個人情報の取り扱いに関するルールをさらに洗練・改善し、個人情報取扱業務における権利と義務の境界を明確にし、個人情報保護のための制度的メカニズムを改善しています。
“个人信息保护法切实将广大人民群众网络空间合法权益维护好、保障好、发展好，使广大人民群众在数字经济发展中享受更多的获得感、幸福感、安全感。” 全国人大常委会法工委经济法室副主任杨合庆20日对个人信息保护法进行了权威解读。	「個人情報保護法は、サイバースペースにおける一般市民の合法的な権利と利益を効果的に保護し、発展させることで、一般市民がデジタル経済の発展において、より大きなアクセス感、幸福感、安心感を享受できるようにします」と、全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長が、20日に個人情報保護法の権威ある解釈を行いました。
亮点一：	ハイライト1
确立个人信息保护原则	個人情報保護の原則の策定
个人信息保护的原则是收集、使用个人信息的基本遵循，是构建个人信息保护具体规则的制度基础。	個人情報保護の原則は、個人情報の収集と利用に関する基本的なガイドラインであり、個人情報保護のための具体的なルールを構築するための制度的な基礎となるものです。
个人信息保护法借鉴国际经验并立足我国实际，确立了个人信息处理应遵循的原则，强调处理个人信息应当遵循合法、正当、必要和诚信原则，具有明确、合理的目的并与处理目的直接相关，采取对个人权益影响最小的方式，限于实现处理目的的最小范围，公开处理规则，保证信息质量，采取安全保护措施等。	個人情報保護法は、国際的な経験を踏まえ、中国の実情に基づいて、個人情報の取り扱いについて遵守すべき原則を定めており、個人情報の取り扱いは、合法性、正当性、必要性、誠実性の原則に従うこと、明確で合理的な目的を持ち、取り扱いの目的に直接関連し、個人の権利と利益への影響を最小限に抑える方法を採用し、取扱目的を達成するために必要な最小限の範囲に限定し、公開された処理ルールと情報の品質保証を実現し、情報セキュリティ対策をとることを強調しています。
“这些原则应当贯穿于个人信息处理的全过程、各环节。”杨合庆说。	「これらの原則は、個人情報の処理の全プロセスおよびすべての側面を通して適用されるべきです。」と楊和慶氏は説明しました。
亮点二：	ハイライト2
规范处理活动保障权益	権利と利益を守るための取扱業務の規制
个人信息保护法紧紧围绕规范个人信息处理活动、保障个人信息权益，构建了以“告知-同意”为核心的个人信息处理规则。	個人情報保護法は、個人情報の取り扱い行為を規制し、個人情報の権利・利益を保護することに重点を置き、「通知・同意」を核とした個人情報取り扱いルールを構築しています。
“‘告知-同意’是法律确立的个人信息保护核心规则，是保障个人对其个人信息处理知情权和决定权的重要手段。”杨合庆说。	「『通知・同意』ルールは、法律で定められた個人情報保護の中核となるルールであり、個人情報の取り扱いに関する個人の知る権利と決定権を保護するための重要な手段です。」と、楊和慶氏と説明しました。
个人信息保护法要求，处理个人信息应当在事先充分告知的前提下取得个人同意，个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。同时，针对现实生活中社会反映强烈的一揽子授权、强制同意等问题，个人信息保护法特别要求，个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意，明确个人信息处理者不得过度收集个人信息，不得以个人不同意为由拒绝提供产品或者服务，并赋予个人撤回同意的权利，在个人撤回同意后，个人信息处理者应当停止处理或及时删除其个人信息。	個人情報保護法では、個人情報の取り扱いについて、事前に十分な通知を行った上で本人の同意を得ること、個人情報の取り扱いに関する重要事項を変更する場合には、改めて本人に通知し、同意を得ることを義務づけています。同時に、現実の社会に強く反映されている包括的な承認と強制的な同意の問題に対応して、個人情報保護法では、個人情報取扱者が機微な個人情報を取り扱う場合、個人情報を他人に提供または開示する場合、個人情報を国境を越えて転送する場合などに、本人の個別の同意を得ることを具体的に規定しており、個人情報取扱者が個人情報を過度に収集したり、本人の同意がないことを理由に個人情報の提供を拒否したりしてはならないことを明確にしています。本人が同意していないことに基づいて製品やサービスを提供する場合には、本人に同意を撤回する権利を与え、本人が同意を撤回した後は、個人情報取扱者は、適時に個人情報の処理を停止または削除しなければなりません。
此外，考虑到经济社会生活的复杂性，个人信息处理的场景日益多样，个人信息保护法从维护公共利益和保障社会正常生产生活的角度，还对取得个人同意以外可以合法处理个人信息的特定情形作了规定。	また、個人情報保護法では、経済・社会生活が複雑化し、個人情報の処理場面が多様化していることに鑑み、公共の利益を保護し、社会の正常な生産・生活を確保するという観点から、本人の同意を得ずに個人情報を適法に処理できる特定の場面を定めています。
此外，个人信息保护法还分别对共同处理、委托处理等实践中较为常见的处理情形作出有针对性规定。	また、個人情報保護法では、共同処理、委託処理など、実務上一般的な場面での個人情報の取り扱いについても規定されています。
亮点三：	ハイライト3
禁止“大数据杀熟”规范自动化决策	「ビッグデータにするのに協力した人を裏切る」ことの禁止と自動化された意思決定の規制
当前，越来越多的企业利用大数据分析、评估消费者的个人特征用于商业营销。有一些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息，对消费者在交易价格等方面实行歧视性的差别待遇，误导、欺诈消费者。其中，最典型的就是社会反映突出的“大数据杀熟”。	現在、商業的なマーケティングを目的として、消費者の個人的な特性を分析・評価するためにビッグデータを利用する企業が増えています。一部の企業では、消費者の経済状態、消費習慣、価格感応度などの情報を利用して、取引価格を差別し、消費者に誤解を与え、詐取する行為が行われています。その代表的なものが、社会的にも注目されている「ビッグデータにするのに協力した人を裏切る」です。
“‘大数据杀熟’行为违反了诚实信用原则，侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利，应当在法律上予以禁止。”杨合庆说。	「『ビッグデータにするのに協力した人を裏切る』行為は、誠実さと信用の原則に違反し、消費者の権利利益の保護に関する法律に規定されている公正な取引条件を享受する消費者の権利を侵害するものであり、法律で禁止されるべきです。」と楊和慶氏は言いました。
对此，个人信息保护法明确规定：个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。	これを受けて、個人情報保護法では、自動意思決定のために個人情報を利用する個人情報取扱者は、意思決定の透明性と公正かつ公平な結果を確保し、取引価格その他の取引条件について個人に不合理な差別的取扱いをしてはならないと明確に規定しています。
亮点四：	ハイライト4
严格保护敏感个人信息	機微な個人情報の厳格な保護
值得关注的是，个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息。个人信息保护法要求，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可处理敏感个人信息，同时应当事前进行影响评估，并向个人告知处理的必要性以及对个人权益的影响。	個人情報保護法では、生体情報、宗教的信条、特定のアイデンティティ、医療・健康、金融口座、居場所などの情報を機微な個人情報として分類していることが注目されています。個人情報保護法では、機微な個人情報は、特定の目的と十分な必要性があり、厳格な保護措置が講じられている場合にのみ取り扱うことができ、事前に影響評価を行い、取り扱いの必要性と個人の権利・利益への影響を本人に通知することが求められています。
“这主要是考虑到此类信息一旦泄露或者被非法使用，极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害，因此，对处理敏感个人信息的活动应当作出更加严格的限制。”杨合庆说。	「これは、ひとたびこれらの情報が漏洩したり、不正に使用されたりすると、自然人の人間としての尊厳が侵害されたり、個人や財産の安全が脅かされたりする可能性が高いことを考慮したものであり、機密性の高い個人情報を取り扱う行為をより厳しく制限すべきである」と楊和慶氏は説明しました。
值得关注的是，为保护未成年人的个人信息权益和身心健康，个人信息保护法特别将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护。同时，与未成年人保护法有关规定相衔接，要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意，并应当对此制定专门的个人信息处理规则。	なお、個人情報保護法では、未成年者の個人情報に関する権利・利益およびその心身の健康を保護するために、14歳未満の未成年者の個人情報を厳格に保護すべき機微な個人情報として明記しています。同時に、14歳未満の未成年者の個人情報を取り扱う際には、未成年者の両親またはその他の保護者の同意を得なければならないという未成年者保護法の関連規定にもつながっており、個人情報の取り扱いに関する特別な規則を策定しなければなりません。
亮点五：	ハイライト5
规范国家机关处理活动	国家機関の取扱業務の規制
为履行维护国家安全、惩治犯罪、管理经济社会事务等职责，国家机关需要处理大量个人信息。保护个人信息权益、保障个人信息安全是国家机关应尽的义务和责任。但近年来，一些个人信息泄露事件也反映出有些国家机关存在个人信息保护意识不强、处理流程不规范、安全保护措施不到位等问题。	国家安全保障の維持、犯罪の処罰、経済社会の管理などの職務を遂行するために、国家機関は大量の個人情報を取り扱う必要があります。個人情報の権利と利益を保護し、個人情報のセキュリティを守ることは、国家機関の義務と責任です。しかし、近年の個人情報漏洩事件では、一部の国家機関の個人情報保護に対する意識の低さ、不規則な処理プロセス、安全保護対策の不十分さなども反映されています。
对此，个人信息保护法对国家机关处理个人信息的活动作出专门规定，特别强调国家机关处理个人信息的活动适用本法，并且处理个人信息应当依照法律、行政法规规定的权限和程序进行，不得超出履行法定职责所必需的范围和限度。	この点、個人情報保護法では、個人情報を取り扱う国家機関の活動について、本法の適用を特に重視し、個人情報の取り扱いは、法律及び行政法規に定められた権限と手続きに従って行われ、かつ、法律上の義務の履行に必要な範囲及び限度を超えてはならないと規定しています。
亮点六：	ハイライト6
赋予个人充分权利	個人への完全な権利の付与
个人信息保护法将个人在个人信息处理活动中的各项权利，包括知悉个人信息处理规则和处理事项、同意和撤回同意，以及个人信息的查询、复制、更正、删除等总结提升为知情权、决定权，明确个人有权限制个人信息的处理。	個人情報保護法では、個人情報取扱規則や取扱事項を知る権利、同意や同意の撤回、個人情報の照会・複写・訂正・削除の概要を知る権利や決定権など、個人情報取扱業務における個人の様々な権利を高め、個人が個人情報の取扱を制限する権利を有することを明確にしています。
同时，为了适应互联网应用和服务多样化的实际，满足日益增长的跨平台转移个人信息的需求，个人信息保护法对个人信息可携带权作了原则规定，要求在符合国家网信部门规定条件的情形下，个人信息处理者应当为个人提供转移其个人信息的途径。	同時に、インターネット上のアプリケーションやサービスが多様化し、プラットフォーム間での個人情報の転送に対する需要が高まっている現実に対応するため、個人情報保護法では、個人情報のポータビリティーの権利を原則として規定し、国のネットワーク情報部門が定める条件を満たす状況下で、個人情報取扱者が個人に個人情報を転送する手段を提供することを義務づけています。
此外，个人信息保护法还对死者个人信息的保护作了专门规定，明确在尊重死者生前安排的前提下，其近亲属为自身合法、正当利益，可以对死者个人信息行使查阅、复制、更正、删除等权利。	また、個人情報保護法では、故人の個人情報の保護についても特別な規定が設けられており、故人の生計を尊重することを前提に、故人の近親者が、自己の合法的かつ正当な利益のために、故人の個人情報を閲覧し、複写し、訂正し、削除する権利を行使できることが明記されています。
亮点七：	ハイライト7
强化个人信息处理者义务	個人情報取扱事業者の義務の強化
个人信息处理者是个人信息保护的第一责任人。据此，个人信息保护法强调，个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。	個人情報取扱者は、個人情報の保護に最初に責任を負う者です。したがって、個人情報保護法は、個人情報取扱者がその個人情報取扱業務に責任を持ち、処理する個人情報の安全を守るために必要な措置を取らなければならないことを強調しています。
在此基础上，个人信息保护法设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务，要求个人信息处理者按照规定制定内部管理制度和操作规程，采取相应的安全技术措施，指定负责人对其个人信息处理活动进行监督，定期对其个人信息活动进行合规审计，对处理敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估，履行个人信息泄露通知和补救义务等。	これを受けて、個人情報保護法では、個人情報取扱者の義務をコンプライアンス管理と個人情報のセキュリティ保護の観点から明確にするために特別な章を設け、個人情報取扱者に対して、規則に従った内部管理システムと作業手順の策定、適切な安全および技術的措置の採用、個人情報取扱業務を監督するための責任者の指名、個人情報取扱業務に関する定期的なコンプライアンス監査の実施、機微な個人情報の取り扱いに関する定期的な監査の実施を義務付けています。自動化された意思決定のための個人の利用、個人情報の公衆への提供または開示、その他のリスクの高い取り扱い行為による事前の影響評価の実施、個人情報漏洩の通知義務および是正義務の履行など。
亮点八：	ハイライト8
赋予大型网络平台特别义务	大規模ネットワークプラットフォームに課せられる特別な義務
互联网平台服务是数字经济区别于传统经济的显著特征。互联网平台为商品和服务的交易提供技术支持、交易场所、信息发布和交易撮合等服务。	インターネットプラットフォームサービスは、伝統的な経済とは異なるデジタル経済の特徴を持っています。インターネットプラットフォームは、商品やサービスの取引のための技術サポート、取引場所、情報発信、取引集約などのサービスを提供します。
“在个人信息处理方面，互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则，是个人信息保护的关键环节。”杨合庆指出，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者对平台内的交易和个人信息处理活动具有强大的控制力和支配力，因此在个人信息保护方面应当承担更多的法律义务。	「個人情報の処理については、インターネットプラットフォームが基本的な技術サービスを提供し、プラットフォーム内の事業者が個人情報を取り扱うための基本的な処理ルールを設定することが、個人情報保護の重要なポイントとなります。」と楊和慶氏は指摘し、重要なインターネットプラットフォームサービスを提供し、膨大な数のユーザーと複雑な業態を持つ個人情報取扱者は、プラットフォーム内の取引と個人情報取扱業務を強力にコントロールし、支配しているため、個人情報保護の面でより多くの法的義務を負うべきだと指摘しています。
据此，个人信息保护法对这些大型互联网平台设定了特别的个人信息保护义务，包括：按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；遵循公开、公平、公正的原则，制定平台规则；对严重违法处理个人信息的平台内产品或者服务提供者，停止提供服务；定期发布个人信息保护社会责任报告，接受社会监督。个人信息保护法的上述规定是为了提高大型互联网平台经营业务的透明度，完善平台治理，强化外部监督，形成全社会共同参与的个人信息保护机制。	したがって、個人情報保護法は、これらの大規模なインターネットプラットフォームに対して、国の規制に従って個人情報保護遵守の健全なシステムを構築し、個人情報保護を監督するために外部のメンバーを中心とした独立した機関を設置すること、公開、公平、公正の原則に従ってプラットフォームのルールを確立すること、個人情報の取り扱いにおいて重大な違反を犯したプラットフォーム内の製品またはサービス提供者に対してサービスの提供を停止することなど、特別な個人情報保護義務を定めています。また、個人情報の取り扱いが深刻な事業者に対しては、サービスの提供を停止し、個人情報保護の社会的責任に関する報告書を定期的に発行し、社会的な監督を受けます。以上の個人情報保護法の規定は、大規模なインターネットプラットフォームの運営の透明性を高め、プラットフォームのガバナンスを向上させ、外部からの監督を強化し、社会全体が参加する個人情報保護の仕組みを形成することを目的としています。
亮点九：	ハイライト9
规范个人信息跨境流动	個人情報の国境を越えた流れの規制
随着经济全球化、数字化的不断推进以及我国对外开放的不断扩大，个人信息的跨境流动日益频繁，但由于遥远的地理距离以及不同国家法律制度、保护水平之间的差异，个人信息跨境流动风险更加难以控制。	経済のグローバル化とデジタル化の継続的な進展、および中国の対外開放の継続的な拡大に伴い、個人情報の国境を越えた流れはますます頻繁になっていますが、個人情報の国境を越えた流れのリスクは、地理的距離が長く、各国の法制度や保護レベルが異なるため、コントロールがより困難になっています。
“个人信息保护法构建了一套清晰、系统的个人信息跨境流动规则，以满足保障个人信息权益和安全的客观要求，适应国际经贸往来的现实需要。”杨合庆介绍说，一是明确以向境内自然人提供产品或者服务为目的，或者分析、评估境内自然人的行为等，在我国境外处理境内自然人个人信息的活动适用本法，并要求符合上述情形的境外个人信息处理者在我国境内设立专门机构或者指定代表，负责个人信息保护相关事务；二是明确向境外提供个人信息的途径，包括通过国家网信部门组织的安全评估、经专业机构认证、订立标准合同、按照我国缔结或参加的国际条约和协定等；三是要求个人信息处理者采取必要措施保障境外接收方的处理活动达到本法规定的保护标准；四是对跨境提供个人信息的“告知-同意”作出更严格的要求，切实保障个人的知情权、决定权等权利；五是为维护国家主权、安全和发展利益，对跨境提供个人信息的安全评估、向境外司法或执法机构提供个人信息、限制跨境提供个人信息的措施、对外国歧视性措施的反制等作了规定。	「個人情報保護法は、個人情報の権利と安全を守るという客観的な要件を満たし、国際貿易や経済交流の現実的なニーズを満たすために、個人情報の国境を越えた流れに関する明確で体系的なルールを構築しています」と、楊和慶氏は説明しています。第1に、中国国内の自然人に製品やサービスを提供したり、中国国内の自然人の行動を分析・評価したりする目的で、中国国外の自然人の個人情報を取り扱う活動が本法の適用を受けることを明らかにし、上記の状況に該当する海外の個人情報取扱者に対して、個人情報保護に関する事項を担当する特別な機関を設置したり、中国国内の代表者を指名したりすることを求めています。第2に、中国国外に個人情報を提供する方法を規定しており、これには、国のネットワーク情報部門が組織するセキュリティ評価、専門機関による認証、標準的な契約の締結、および中国が締結または締結した国際条約・協定に基づく方法が含まれます。第3に、個人情報取扱者に対し、海外の受取人の処理活動が本法に定められた保護基準を満たすことを保証するために必要な措置をとることを要求しています。第４に、個人の情報提供や意思決定などの権利を効果的に保護するために、個人情報の越境提供における「通知・同意」の要件を厳格化することを要求しています。第5に、国家の主権、安全および発展の利益を守るために、個人情報の国境を越えた提供の安全性評価、海外の司法機関または法執行機関への個人情報の提供、個人情報の国境を越えた提供を制限するための措置、および外国による差別的措置への対策について規定されています。
亮点十：	ハイライト10
健全个人信息保护工作机制	個人情報保護のための健全な仕組み
个人信息保护涉及的领域广，相关制度措施的落实有赖于完善的监管执法机制。	個人情報の保護は幅広い分野にわたっており、関連する制度的措置を実施するには、健全な規制・執行メカニズムが必要です。
根据个人信息保护工作实际，个人信息保护法明确，国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作，同时，对个人信息保护和监管职责作出规定，包括开展个人信息保护宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。	個人情報保護法では、個人情報保護の実際の業務に合わせて、国のネットワーク情報部門と国務院の関連部門がそれぞれの責任範囲内で個人情報保護監督を行うことを規定すると同時に、個人情報保護に関する広報・教育の実施、個人情報保護業務の指導・監督、関連する苦情・報告の受付・処理、申請書の評価の整理などの個人情報保護監督業務を規定しています。また、法務省は、個人情報保護に関する広報・教育の実施、個人情報保護業務の指導・監督、苦情・通報の受付・処理、申請等の評価の実施、違法な個人情報取扱行為の調査・処理など、個人情報保護・監督に関する責務を定めています。
此外，为了加强个人信息保护监管执法的协同配合，个人信息保护法还进一步明确了国家网信部门在个人信息保护监管方面的统筹协调作用，并对其统筹协调职责作出具体规定。	また、個人情報保護の監督と執行の連携を強化するため、個人情報保護法では、個人情報保護の監督における国のネットワーク情報部門の調整役割をさらに明確にし、その調整業務についても具体的に規定しています。

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.22 中国個人情報保護法は2021.11.01施行

・2021.08.15 中国個人情報保護法案が少し改訂されているようですね。。。

2021.08.24 02:17 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in IoT, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2021.08.23

中国自動車データのセキュリティ管理に関する一定の規定（試行）が公表されていますね。。。at 2021.08.16

こんにちは、丸山満彦です。

中国の５つの部局（国家インターネット情報局、国家発展改革委員会、工業情報化部、公安部、交通運輸部）が共同で自動車のセキュリティに関する規定（試行）を公表していますね。。。

● 中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

2021.08.20	国家互联网信息办公室等五部门发布《汽车数据安全管理若干规定（试行）》	国家サイバースペース管理局をはじめとする5つの部門が「自動車データのセキュリティ管理に関する一定の規定（試行）」を発表
2021.08.20	国家互联网信息办公室有关负责人就《汽车数据安全管理若干规定（试行）》答记者问	国家サイバースペース管理局の担当者が、「自動車データのセキュリティ管理に関する一定の規定（試行）」に関する記者の質問に答える。
2021.08.16	汽车数据安全管理若干规定（试行）	自動車データのセキュリティ管理に関する一定の規定（試行）

記者発表

国家互联网信息办公室等五部门发布《汽车数据安全管理若干规定（试行）》	国家サイバースペース管理局をはじめとする5つの部門が「自動車データのセキュリティ管理に関する一定の規定（試行）」を発表
近日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定（试行）》（以下简称《规定》），自2021年10月1日起施行。国家互联网信息办公室有关负责人表示，出台《规定》旨在规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用。	先日、国家サイバースペース管理局、国家発展改革委員会、工業情報化部、公安部、交通運輸部が共同で「自動車データのセキュリティ管理に関する一定の規定（試行）」（以下、「規定」）を発表し、2021年10月1日から施行されることになりました。国家サイバースペース管理局の関連担当者は、本規定の導入は、自動車データの取扱業務を規制し、個人や組織の正当な権利と利益を保護し、国家安全と社会公共の利益を守り、自動車データの合理的な開発と利用を促進することを目的としていると述べています。
随着新一代信息技术与汽车产业加速融合，智能汽车产业、车联网技术的快速发展，以自动辅助驾驶为代表的人工智能技术日益普及，汽车数据处理能力日益增强，暴露出的汽车数据安全问题和风险隐患日益突出。在汽车数据安全管理领域出台有针对性的规章制度，明确汽车数据处理者的责任和义务，规范汽车数据处理活动，是防范化解汽车数据安全风险、保障汽车数据依法合理有效利用的需要，也是维护国家安全利益、保护个人合法权益的需要。	新世代の情報技術と自動車産業の融合が加速し、スマートカー産業や車両ネットワーク技術の急速な発展、自動運転支援に代表される人工知能技術の普及、自動車のデータ処理能力の向上に伴い、自動車データのセキュリティ問題やリスクハザードの顕在化がますます顕著になってきています。自動車データのセキュリティリスクを防止・解決し、法律に則った自動車データの合理的かつ効果的な利用を保護し、国家安全保障上の利益を守り、個人の正当な権利・利益を保護するためには、自動車データのセキュリティ管理の分野に的を絞った規制を導入し、自動車データ取扱事業者の責任と義務を明確にし、自動車データ取扱業務を規制することが必要です。
《规定》倡导，汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则，减少对汽车数据的无序收集和违规滥用。	規定では、自動車データ取扱事業者が自動車データ取扱業務を行う際に、自動車データの無秩序な収集や悪用を減らすために、「車両内処理」、「デフォルト非収集」、「精度範囲適用」、「機微性低減処理」の原則を遵守することを提唱しています。
《规定》明确，汽车数据处理者应当履行个人信息保护责任，充分保护个人信息安全和合法权益。开展个人信息处理活动，汽车数据处理者应当通过显著方式告知个人相关信息，取得个人同意或者符合法律、行政法规规定的其他情形。处理敏感个人信息，汽车数据处理者还应当取得个人单独同意，满足限定处理目的、提示收集状态、终止收集等具体要求或者符合法律、行政法规和强制性国家标准等其他要求。汽车数据处理者具有增强行车安全的目的和充分的必要性，方可收集指纹、声纹、人脸、心律等生物识别特征信息。	規定では、自動車データ取扱事業者が個人情報保護の責任を果たし、個人の安全と正当な権利および利益を十分に保護することを明確にしています。自動車データ取扱事業者は、個人情報の処理を行うにあたり、本人に分かりやすい方法で情報を提供し、本人の同意を得るなど、法令や行政規定に定められた事項を遵守します。機微な個人情報を取り扱うためには、自動車データ取扱事業者は、本人の個別の同意も得なければならず、取扱目的の限定、収集状況の表示、収集の中止、または法律、行政規定、義務的な国内基準などの他の要件に従うなどの特定の要件を満たす必要があります。自動車データ取扱事業者は、運転の安全性を高める目的と十分な必要性がある場合にのみ、指紋、声紋、顔、心拍数などのバイオメトリクス情報を収集するものとします。
《规定》强调，汽车数据处理者开展重要数据处理活动，应当遵守依法在境内存储的规定，加强重要数据安全保护；落实风险评估报告制度要求，积极防范数据安全风险；落实年度报告制度要求，按时主动报送年度汽车数据安全管理情况。因业务需要确需向境外提供重要数据的，汽车数据处理者应当落实数据出境安全评估制度要求，不得超出出境安全评估结论违规向境外提供重要数据，并在年度报告中补充报告相关情况。	規定では、自動車データ取扱事業者が、法律に基づき重要データを国内で保管するという要件を遵守し、重要データのセキュリティ保護を強化すること、リスク評価・報告システムの要件を実施してデータセキュリティリスクを積極的に防止すること、年次報告システムの要件を実施して年次の自動車データセキュリティ管理を期限内に積極的に報告することを強調しています。業務上の必要性から重要なデータを国外に提供する必要がある場合、自動車データ取扱事業者は、データ出口セキュリティ評価システムの要件を実施し、出口セキュリティ評価結論を超えて法律に違反して重要なデータを国外に提供してはならず、また、年次報告書に関連情報を補足しなければなりません。
《规定》提出，国家有关部门依据各自职责做好汽车数据安全管理和保障工作，包括开展数据安全评估、数据出境事项抽查核验、智能（网联）汽车网络平台建设等工作。对于违反本规定的汽车数据处理者，有关部门将依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律、行政法规的规定进行处罚。	本規定では、関連する国家機関がそれぞれの責任に基づいて自動車データのセキュリティを管理・保護することを提案しています。これには、データセキュリティ評価の実施、データ出口事項のランダムなチェックと検証、インテリジェント（インターネットに接続された）自動車のネットワークプラットフォームの構築などが含まれます。この規定に違反した自動車データ取扱事業者に対しては、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、その他の法律および行政法規の規定に基づき、関連部門が罰則を科します。
国家互联网信息办公室有关负责人指出，汽车数据安全管理需要政府、汽车数据处理者、个人等多方主体共同参与。省级以上网信、发展改革、工业和信息化、公安、交通运输等有关部门在汽车数据安全管理过程中，将加强协调和数据共享，形成工作合力。	国家サイバースペース管理局の担当者は、自動車データのセキュリティ管理には、政府、自動車データ取扱事業者、個人など複数の主体が参加する必要があると指摘しています。インターネット情報、開発・改革、産業・情報技術、公安、交通など、省レベル以上の関連部門は、自動車データのセキュリティ管理の過程で、連携とデータの共有を強化し、相乗効果を発揮します。

Q&A

国家互联网信息办公室有关负责人就《汽车数据安全管理若干规定（试行）》答记者问	国家サイバースペース管理局の担当者が、「自動車データのセキュリティ管理に関する一定の規定（試行）」に関する記者の質問に答える。
近日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定（试行）》（以下简称《规定》）。国家互联网信息办公室有关负责人就《规定》相关问题回答了记者提问。	先日、国家サイバースペース管理局、国家発展改革委員会、工業情報化部、公安部、交通運輸部が共同で「自動車データのセキュリティ管理に関する一定の規定（試行）」（以下、「規定」という。）を発表しました。国家サイバースペース管理局の担当者が、本規定に関する記者の質問に答えました。
问：请简要介绍《规定》出台的背景？	Q：本規定導入の背景を簡単に紹介してください。
答：出台《规定》主要基于以下两方面的考虑：一是防范化解汽车数据安全风险的实践需要。汽车产业涉及国家经济、装备制造、金融、交通运输、生产生活等诸多领域，汽车数据处理能力日益增强、汽车数据规模庞大，同时暴露出的汽车数据安全问题和风险隐患也日益突出。比如，汽车数据处理者超越实际需要，过度收集重要数据；未经用户同意，违规处理个人信息，特别是敏感个人信息；未经安全评估，违规出境重要数据等。因此，亟需加强汽车数据安全管理，防范化解上述安全问题和风险隐患。二是保障汽车数据依法合理有效利用的客观需要。《网络安全法》、《数据安全法》对数据安全、个人信息保护作了基本规定。在汽车数据安全管理领域出台有针对性的规章制度，明确汽车数据处理者的责任和义务，规范汽车数据处理活动，有利于促进汽车数据依法合理有效利用和汽车行业健康有序发展。	A：「規定」の導入は、主に以下の2つの検討に基づいています。第1に、実務上のニーズである自動車データのセキュリティリスクの防止と解決です。自動車産業は、国民経済、機器製造、金融、交通、生産、生活など多くの分野に関わっており、自動車のデータ処理能力は増加しており、また、自動車データの規模は巨大である一方、自動車データのセキュリティ問題やリスクの顕在化もますます顕著になっています。例えば、自動車データ取扱事業者は、実際の必要性を超えて重要なデータを過剰に収集したり、利用者の同意を得ずに個人情報、特に機微な個人情報を扱ったり、セキュリティ評価を行わずに重要なデータを終了したりします。そのため、自動車データのセキュリティ管理を強化し、上記のようなセキュリティ上の問題やリスクの危険性を予防・解決することが急務となっています。第2に、法律に従って自動車データの合理的かつ効果的な使用を保護するための客観的な必要性です。ネットワークセキュリティ法やデータセキュリティ法では、データセキュリティや個人情報保護に関する基本的な規定が設けられています。自動車データのセキュリティ管理の分野に的を絞った規制を導入し、自動車データ取扱事業者の責任と義務を明確にし、自動車データ取扱業務を規制することは、法律に則った自動車データの合理的かつ効果的な利用を促進し、自動車産業の健全かつ秩序ある発展に寄与するものです。
此外，还要说明的是，《规定》定位于若干规范要求，聚焦汽车领域个人信息和重要数据的安全风险，就若干重点问题作出规定。	また、自動車分野における個人情報や重要データのセキュリティリスクに着目し、いくつかの重要事項を規定している点も、本規定の位置付けを示しています。
问：《规定》中所称汽车数据和汽车数据处理活动是指什么？	Q: 規制で言及されている自動車データおよび自動車データ取扱業務とは何ですか？
答：《规定》中所称汽车数据，是指汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据；所称汽车数据处理，包括汽车数据的收集、存储、使用、加工、传输、提供、公开等，涉及汽车数据处理的全生命周期。《规定》还进一步明确了汽车数据中的个人信息、敏感个人信息、重要数据以及汽车数据处理者的含义和类型。	A：本規定でいう自動車データとは、自動車の設計、製造、販売、使用、運用、保守における個人情報や重要なデータを含むものであり、本規定でいう自動車データの処理とは、自動車データの収集、保管、使用、処理、送信、提供、開示を含み、自動車データの処理の全ライフサイクルを含みます。また、本規定では、個人情報、機微な個人情報、重要なデータ、自動車データにおける自動車データ取扱事業者の意味と種類をさらに明確にしています。
问：《规定》明确了汽车数据处理者开展汽车数据处理活动应当符合哪些一般要求？	Q: 規定では、自動車データ取扱事業者が自動車データ取扱業務を行う際に満たすべき一般的な要件を明確にしていますか？
答：《规定》明确了汽车数据处理者开展汽车数据处理活动的一般要求。主要包括：一是处理汽车数据应当合法、正当、具体、明确，与汽车的设计、生产、销售、使用、运维等直接相关。二是利用互联网等信息网络开展汽车数据处理活动，应当落实网络安全等级保护等制度，加强汽车数据保护，依法履行数据安全义务。三是应当建立投诉举报渠道，设置便捷的投诉举报入口，及时处理用户投诉举报。	A: この規定は、自動車データ取扱事業者が自動車データ取扱業務を行うための一般的な要件を明確にしています。その主な要件は以下の通りです。第1に、自動車データの処理は、合法的、正当的、具体的かつ明確であり、自動車の設計、製造、販売、使用、操作およびメンテナンスに直接関連するものでなければなりません。第2に、自動車データ取扱業務を行うためにインターネットやその他の情報ネットワークを使用する場合、ネットワークのセキュリティレベルの保護などのシステムを導入し、自動車のデータ保護を強化し、法律に基づいてデータセキュリティの義務を果たす必要があります。第3に、苦情と報告のルートを確立し、便利な苦情と報告の入り口を設置し、利用者の苦情と報告をタイムリーに処理することです。
问：《规定》倡导汽车数据处理者在开展汽车数据处理活动中坚持哪些原则？	Q: 自動車データ取扱事業者が自動車データ取扱業務を行う際に遵守すべき原則を教えてください。
答：《规定》制定过程中，坚持安全和发展并重，倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等原则，减少对汽车数据的无序收集和违规滥用，鼓励汽车数据依法合理有效利用，促进汽车行业健康有序发展。	A: 本規則の制定過程において、安全と発展の両立を堅持し、自動車データ処理業者が自動車データ処理活動を行う際に、「車両内処理」、「デフォルト非収集」、「精度範囲適用」、「機微性低減処理」の原則を遵守することを提唱し、自動車データの無秩序な収集や不正使用を減らし、法律に則った自動車データの合理的かつ有効な利用を促し、自動車産業の健全で秩序ある発展を促進しています。
问：为了使汽车数据处理者更好地履行个人信息保护责任，《规定》明确了哪些具体要求？	Q: 自動車データ取扱事業者が個人情報保護の責任をよりよく果たせるようにするために、規定ではどのような具体的な要件が明確にされていますか？
答：《规定》明确了处理个人信息、敏感个人信息的具体要求。针对个人信息，一是告知义务，汽车数据处理者处理个人信息应当告知处理个人信息种类、收集情境、停止收集方式途径等相关信息。二是征得同意义务，汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。三是匿名化要求，因保证行车安全需要，无法征得个人同意采集到个人信息且向车外提供的，应当进行匿名化处理。针对敏感个人信息，在履行告知、征得个人单独同意等义务基础上，汽车数据处理者处理敏感个人信息还应当满足限定处理目的、提示收集状态、为个人终止收集提供便利等具体要求。针对个人生物识别特征信息，明确汽车数据处理者具有增强行车安全的目的和充分的必要性方可收集。	A: 本規定では、個人情報および機微な個人情報の取り扱いに関する具体的な要件を明確にしています。第1に、個人情報については、通知義務があり、個人情報を取り扱う自動車メーカーは、取り扱う個人情報の種類、収集の背景、収集を中止する方法などを通知しなければならないとされています。第２に、同意取得の義務ですが、自動車データ取扱事業者は、個人情報を取り扱う場合、またはその他の法律や行政法規で定められた状況に従う場合には、本人の同意を得なければなりません。第3は匿名化要件で、運転の安全性を確保する必要性から、個人情報を収集して車外に提供することに本人の同意が得られない場合は、処理を匿名化しなければなりません。機微な個人情報については、通知義務および本人の個別の同意を得る義務に基づき、自動車データ取扱事業者は、取扱目的の限定、収集状況の表示、本人による収集の中止を容易にするなどの具体的な要件も満たさなければならないとしています。個人の生体情報については、自動車データ処理業者が収集する前に、運転の安全性を高める目的と十分な必要性があることが明らかになっています。
问：为了规范重要数据处理活动，《规定》明确了哪些具体要求？	Q: 重要なデータ取扱業務を規制するために、規定ではどのような具体的な要件が明確にされているのですか？
答：《规定》明确了处理重要数据的具体制度。一是风险评估报告制度，汽车数据处理者开展重要数据处理活动，应当按照规定开展风险评估，并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。二是出境安全评估制度，重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。三是抽查核验制度，国家网信部门会同国务院有关部门以抽查等方式核验汽车数据出境评估有关事项，汽车数据处理者应当予以配合。四是年度报告制度，汽车数据处理者应当在每年十二月十五日前向省、自治区、直辖市网信和有关部门报送年度汽车数据安全管理情况。五是年度补充报告制度，向境外提供重要数据的汽车数据处理者应当补充报告相关情况。	A：重要なデータを処理するための具体的なシステムを規定しています。第１はリスクアセスメントの報告システムで、自動車データ取扱事業者は、重要なデータ取扱業務を行うために、リスクアセスメントの規定に従って実施され、省、自治区、中央インターネット部門と関連部門の下に直接市町村にリスクアセスメント報告書を報告しなければなりません。第２はアウトバウンドのセキュリティ評価システムで、重要なデータは、法律に従って国内に格納する必要があり、ビジネスのニーズのために本当に国外に提供する必要がある場合は、国務院の関連部門と連携して状態のネットワーク情報部門が実施するセキュリティ評価を受ける必要があります。第3は無作為検証と検証システムで、国家サイバースペース管理局は国務院の関連部門と連携して、無作為検証によって自動車データの域外移転評価に関連する事項を検証しますが、自動車データ取扱事業者はこれに協力する必要があります。第4は年次報告制度で、自動車データ取扱事業者は、毎年12月15日までに、省、自治区、中央政府直轄市および関連部門に年次自動車データセキュリティ管理を報告しなければなりません。第５は年次補足報告制度で、外国に重要なデータを提供している自動車データ取扱事業者は、関連する報告を補足する必要があります。
问：关于汽车数据安全监督管理和保障，《规定》还明确了哪些具体措施？	Q：その他、自動車データのセキュリティの監督・管理・保護に関する具体的な施策について、規定で定められているものはありますか？
答：除了上述报告、评估、抽查核验等监督管理措施以外，《规定》还明确国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门依据职责，可根据处理数据情况对汽车数据处理者进行数据安全评估；明确国家加强智能（网联）汽车网络平台建设，开展智能（网联）汽车入网运行和安全保障服务等，协同汽车数据处理者加强智能（网联）汽车网络和汽车数据安全防护。	A：本規定では、上記の報告、評価、無作為検証などの監督管理措置に加えて、国家サイバースペース管理局、国務院の発展改革部門、工業情報化部、公安部、交通運輸部などの関連部門が、その職務に基づいて、データ処理状況に応じて自動車データ取扱事業者のデータセキュリティ評価を行うことができることを明らかにし、国家がインテリジェント（ネット接続）自動車のネットワークプラットフォームの構築を強化し、インテリジェント（ネット接続）自動車の評価を実施することを明らかにしています。また、国がインテリジェント（ネット接続）車両ネットワークプラットフォームの構築を強化し、インテリジェント（ネット接続）車両ネットワークの運用および安全保証サービスなどを実施し、車両データ処理業者と協力してインテリジェント（ネット接続）車両ネットワークおよび車両データのセキュリティ保護を強化することも明らかになっています。
问：违反《规定》如何追究法律责任？	Q: 規定に違反した場合、どのように法的責任を追及するのですか？
答：《规定》明确汽车数据处理者违反本规定的，由省级以上网信、工业和信息化、公安、交通运输等有关部门依照《网络安全法》、《数据安全法》等法律、行政法规的规定进行处罚；构成犯罪的，依法追究刑事责任。	A：本規定では、これらの規定に違反した自動車データ処理業者は、ネットワークセキュリティ法、データセキュリティ法、その他の法律および行政法規の規定に基づき、ネットワーク情報、産業・情報技術、公安・交通など、省レベル以上の関連部門により処罰されること、また、犯罪に該当する場合は、法律に基づき刑事責任が調査されることを明確にしています。

規定については、こちら...

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.22 中国個人情報保護法は2021.11.01施行

・2021.08.18 中国国務院令第745号重要情報インフラのセキュリティ保護規制

・2021.08.15 中国個人情報保護法案が少し改訂されているようですね。。。

・2021.08.13 中国意見募集「機械学習アルゴリズムのセキュリティ評価に関する情報セキュリティ技術仕様書」案を発表し、意見募集していますね。。。 at 2021.08.04

・2021.08.13 中国意見募集「情報セキュリティ技術情報システムセキュリティ保証評価フレームワーク第1部：導入と一般モデル」の国家標準の改訂案を発表し、意見募集していますね。。。at 2021.07.23

・2021.08.11 中国通信院プライバシーコンピューティング白書 (2021) at 2021.07.21

・2021.08.04 中国通信院クラウドコンピューティング白書

・2021.08.04 中国通信院信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国最高人民法院「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.25 中国 CNCERT / CCが2020年のインターネットセキュリティ報告書を公開

・2021.07.21 中国意見募集「深圳経済特区における人工知能産業振興条例（案）」

・2021.07.16 中国ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

・2021.07.14 中国工業情報化部意見募集「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画（2021-2023）」

・2021.07.11 中国サイバースペース管理局が「运满满」、「货车帮」、「BOSS直聘」にサイバーセキュリティ審査を開始し、新規ユーザ登録を停止していますね。。。

・2021.07.05 中国 NY証券取引所に2021.06.30に上場した配車サービス「滴滴出行」が個人情報の取扱が不適切としてアプリの提供を2021.07.04に禁止される

・2021.06.12 中国データセキュリティ法が承認され2021.09.01施行されますね。。。

・2021.05.03 中国意見募集顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.02 デジタルチャイナの情報セキュリティ・プライバシーに対する中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)の記事

・2021.04.28 中国意見募集スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.09 中国互联网信息服务管理办法（インターネット情報サービスの運営に関する措置）の改訂案について意見募集中

・2020.12.17 中国セキュリティ評価に合格したクラウドプラットフォーム

・2020.11.12 中国 TC260 パブコメオンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.29 パブコメ　中国の個人情報保護法案 (2020.10.22)

・2020.10.20 中国パブコメ商業銀行法改正　商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

Continue reading "中国自動車データのセキュリティ管理に関する一定の規定（試行）が公表されていますね。。。at 2021.08.16"

2021.08.23 01:09 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in ロボット, in 危機管理 / 事業継続, in クラウド, in IoT, in AI/Deep Learning | Permalink | Comments (0)
Tweet

リキッドグループのQUOINE株式会社および海外関係会社での暗号資産流出（100億円以上？）

こんにちは、丸山満彦です。

[PDF]暗号資産の取引所を運営している会社のQUOINE株式会社とそのシンガポール子会社で管理用ウォレットに対する不正アクセスによる暗号資産の流出があったようですね。。。

顧客の暗号資産はコールドウォレットに保管しているので無事で、被害はQUOINEさんの資産ということです。QUOINE社本体は約7.5億円の被害のようですが、シンガポール子会社の被害は100.5億円ですので、グループ全体では約108億円ということですかね。。。

QUOINE社本体は、決算書を公開していまして、2020年9月期では当期利益は約5億円ですね。。。

なお、QUOINE社の親会社はリキッドグループ株式会社でSBI investment、JAFCO、Digital Garage（デジタル庁のデジタル監にノミネート？という噂のあった伊藤穰一氏が共同創立者で現取締役）ですのようです。

リキッドグループ株式会社の2020.09の決算状況は、官報のデータを拾っているこのページによると資本金6.77億円　資本剰余金30.88億円　利益剰余金-0.39億円　当期純損失0.20億円のようです。。。

トータルではなかなか厳しいことなのかもしれませんね。。。

● QUOINE株式会社

● Liquidブログ

・2021.08.22 Liquid warm wallet incident report

・2021.08.20 当社および海外関係会社での暗号資産流出について（第一報）

・2021.08.19 重要なお知らせ：ハッキング被害と暗号資産の入出庫停止について

1_20210823034801

■ 報道

● 日経新聞

・2021.08.19 QUOINE、シンガポールでハッキング被害

● Investing.com

・2021.08.22 Quoineの海外取引所での仮想通貨流出、被害額は100億円超に

● Coin Desk

・2020.08.20 Liquid Exchange Attack: Can a Crypto Wallet Ever Be 100% Safe From Hacks?

Custody experts say Thursday’s attack could be related to an earlier Liquid hack last November. Is MPC really to blame?

● IT Media

・日本の暗号資産取引所Liquidから約100億円流出　「顧客への被害はない」

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.15 国際決済銀行 (BIS) ・国際通貨基金 (IMF) ・世界銀行国際決済のための中央銀行デジタル通貨 (CBDC) に関するG20への報告書

・2021.07.01 新経済連盟＋内閣官房IT推進戦略本部「ブロックチェーンに関する官民推進会合報告」

・2021.05.04 ISACA, AICPA&CIMAが共同でブロックチェーンのリスクに関する白書を公開していますね。。。

・2021.04.14 Cloud Security Alliance 暗号資産交換セキュリティガイドライン

・2021.03.21 金融活動作業部会仮想資産および仮想資産サービスプロバイダーへのリスクベースアプローチに関するガイダンスの更新草案を公表

・2021.03.09 ENISA 金融セクターにおけるEUサイバーセキュリティイニシアティブに関するレポートを公表

・2021.02.11 NIST NISTIR 8301 Blockchain Networks: Token Design and Management Overview（ブロックチェーンネットワーク：トークンのデザインと管理の概要）

・2020.09.18 欧州議会暗号資産のリスクに関する報告書を発表、サイバー耐性とプライバシーを重要な関心事として強調

・2020.08.29 米国司法省北朝鮮のサイバーハッキングプログラムと中国の暗号通貨マネーロンダリングネットワークとの継続的なつながり

・2020.06.27 ”CryptoCore”は2年間で暗号通貨取引所から約200億円以上相当の暗号通貨を盗んでいる？？？

・2020.06.15 日本銀行金融研究所　暗号資産とブロックチェーンの安全性の現状と課題 by 松尾真一郎

・2020.04.21 仮想通貨が2,500万ドル（約27億円）盗まれたようですね。。。

・2020.03.11 金融庁ブロックチェーンに関する新しい国際ネットワーク（Blockchain Governance Initiative Network: BGIN）の設立について

2021.08.23 00:27 in 情報セキュリティ / サイバーセキュリティ, in フォレンジック, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

2021.08.22

中国個人情報保護法は2021.11.01施行

こんにちは、丸山満彦です。

中国の個人情報保護法が2021年8月20日に開催された第13回全国人民代表大会常務委員会第13回会議で採択されて成立したようですね。。。施行は2021年11月1日ですね。。。

● 全国人民代表大会

・2021.08.20 中华人民共和国个人信息保护法

目次です。。。

第一章　总则	第1章総則
第二章　个人信息处理规则	第2章個人情報取扱規則
第一节　一般规定	第1節一般規定
第二节　敏感个人信息的处理规则	第2節機微な個人情報取扱規則
第三节　国家机关处理个人信息的特别规定	第3節国家機関による個人情報の取り扱いに関する特別規定
第三章　个人信息跨境提供的规则	第3章国境を越えた個人情報の提供に関する規則
第四章　个人在个人信息处理活动中的权利	第4章個人情報取扱業務における本人の権利
第五章　个人信息处理者的义务	第5章個人情報取扱者の義務
第六章　履行个人信息保护职责的部门	第6章個人情報保護業務を行う部門
第七章　法律责任	第7章法的責任
第八章　附则	第8章附則

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.15 中国個人情報保護法案が少し改訂されているようですね。。。

Continue reading "中国個人情報保護法は2021.11.01施行"

2021.08.22 21:47 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in パブコメ | Permalink | Comments (0)
Tweet

ロシア電子政府のウェブページ

こんにちは、丸山満彦です。

とくに何かあるわけではないですが、、、ロシア政府のウェブページをみていたら、ロシアの電子政府に関連する発表があったのでロシアの電子政府のウェブページの紹介です。

● Правительство России（ロシア政府）

・Электронное правительство（電子政府）

2010年から始まっています。。。副首相が管轄するプロジェクトの形になっているのでしょうかね。。。

・Национальная программа «Цифровая экономика Российской Федерации»（国家プログラム「ロシア連邦のデジタル経済
」）

最近の発表内容をみていると人工知能にも力をいれているようですね。。。

2021.08.22 08:46 in 危機管理 / 事業継続, in クラウド, in AI/Deep Learning | Permalink | Comments (0)
Tweet

ロボットが肉体労働を代わりにやってくれる時代になると、肉体労働を生業にしている人は何をしているのだろうか？

こんにちは、丸山満彦です。

いつそれが実現するのか、その時に備えて今から何をしておくべきなか、、、

テスラ社が発表したヒューマノイドはインパクトありますね。。。もちろん、Boston Dynamics社のAtlasとかもインパクトありますが、、、

マスクCEOは、「このロボットは人間に代わって車の修理や買い物、それに危険な、または繰り返しが多く退屈な作業を担うようになるとしたうえで「将来的に、肉体労働はしたくなければしなくてよくなる。労働をもとに成り立っている経済にとって、このロボットの登場は深い意味を持つことになるだろう」と述べたようです。。。

今まで機械が苦手としていた、単純労働をヒューマノイドで置き換えることが可能となってくるということなんですよね。。。

温暖化などの環境問題と同じで、ゆっくりとした環境変化については人間社会としても追随できるのでしょうが、素早い環境変化については、人間社会の調整時間が必要で、その間は混乱が生じるかもしれませんね。。。

● YouTube

・2021.08.20 Elon Musk REVEALS Tesla Bot (full presentation)

画面キャプチャ

以前にも紹介しましたが、小林正啓弁護士の書いている内容

● RAD-IT21

・2018.07.17 人工知能が奪う職業と「洗練された奴隷制」

は是非読んで欲しいです。。。

「野菜炒めを作って」ってお願いしたら、ヒューマノイドが冷蔵庫の中を確認し不足分の材料を買い足して、野菜炒めを作ってくれる世界はもう少し先とは思いますが・・・

■ 報道等

● NHK

・2021.08.21 米テスラ人型ロボット開発へ自動運転技術生かす

● 朝日新聞

・2021.08.21 テスラがヒト型ロボ　肉体労働「やらなくてよくなる」

● Yahoo! Japan

・2021.08.20 Tesla、人型ロボット開発に参入　2022年にプロトタイプ公開

■ 参考

これに新たに加わる感じですね。。。

● アールティヒューマノイドロボットブログ

・2019.02.26 世界のヒューマノイド(人型)ロボット

ロボットは動画でみたほうがよいですよね。。。

● YouTube

・Boston Dynamicsで検索

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.02 改めて小林弁護士の「人工知能が奪う職業と「洗練された奴隷制」」を読んでみた。。。

・2020.06.25 ほんまかいな＝＞「中国、ネットでのロボットの購入が一般化」

・2020.06.09 米空軍は、2021年7月にAIが操縦する戦闘機と人間が操縦する戦闘機でドッグファイトをすることを考えているようですね。。。

・2020.06.07 米国国防省人工知能が戦争をかえると予測

・2020.05.11 シンガポール政府 Boston Dynamicsの小型4足歩行ロボが公園をパトールし、社会的距離を保っているか確認。。。

昔の状況の把握も重要(^^)

・2012.03.03 グーグルのロボット自動車　(California Lawmaker Wants Rules for Robo-Cars)

・2010.01.29 サービスロボット対人安全基準をISO化？

・2009.03.27 経産省ロボット産業政策研究会報告書

・2008.09.13 千葉大学ロボット憲章

・2008.08.31 史上初、イラクでロボット兵器同士による戦闘

2021.08.22 03:22 in ロボット, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2021.08.21

政府が「オリ観アプリ」を巡る調査報告書を公表していますね。。。

こんにちは、丸山満彦です。

政府（内閣官房IT総合戦略室？）が、東京オリ・パラで導入した入国管理アプリの発注経緯を巡るいろいろについて外部有識者（弁護士）による調査報告書を公表していますね。。。

● デジタル庁（準備中）

・2021.08.20 デジタル庁発足に向けたコンプライアンス体制の確保について

　・[PDF] 別添1「統合型入国者健康情報等管理システムの調達に係る調査チームの設置について」

　・[PDF] 別添2 調査報告書 [downloaded]

調査にあたった弁護士は次の4名ですね。。。

座長の名取弁護士の経歴（アップルジャパン法務・渉外本部長、サン・マイクロシステムズ取締役法務部長、ファーストリテイリング執行役員法務部長、日本IBM取締役執行役員法務等担当を経て、オリンパス監査役、リクルートホールディングス監査役などをしています）は興味深いですね。。。いずれも優秀な弁護士なんだろうと思います。

この調査報告書ですが、結論というか命題設定がちょっと薄ぼんやりしているように感じるのは私だけですかね。。。

依頼者は、

平井大臣で、

依頼内容は、

オリ観アプリ及びこれを機能させるためのデータ連携基盤（総じて、統合型入国者健康情報等管理システム）の調達に関して法令遵守及び国民の信頼確保の観点から不適正な取扱いがなかったかについての調査・検証
本調査を通じて得られた結果を基にした調査委員の意見の提言

ということなんですが、

結論は、

本システムの開発・運用を内容とする事業の有効性は十分に認められる。
守秘義務を負わない民間事業者をプロジェクト管理等の体制に組み込んでいたことは、不適切なものである。
本システムにおけるデータ連携基盤の構築に WAGRI を採用したことは合理的であり、かつ有用なものである。
調達の手続に法令違反は認められないが、不適切な行為が行われた。
平井大臣が事業者の選定に関与した事実や、WAGRI の採用に関与した事実は認められない。
本システムの調達に関する事務方から平井大臣への報告は時機を失し、また、報告内容も甚だ不十分であった。
本システムの変更に伴う契約変更及び契約金額の変更については、特段の問題を含むものではない。
平井大臣の会議における発言の音声データが外部に流出した経緯は不明である。

という感じなんですが、金額が適切だったかについては、専門外なのでわからないとし、特定ベンダーに関する大臣の発言内容に関することは書いていませんね。。。

スカッとしないというか。。。

ちなみに、上場企業の不正等については第三者委員会等が設置され、報告書が公開されることがありますし、それについての評価をしたりする人たちもいます。

不正等をデータ化しています。。。

● 第三者委員会ドット・コム （税理士法人ナナイロ）

第三者委員会報告書の評価をしています。。。

● 第三者委員会報告書格付け委員会

他の第三者委員会報告書と比較してみてくださいませ。。。

報道

● NHK

・2021.08.20 政府の東京五輪・パラのアプリ発注経緯めぐる調査報告書公表

東京大会のために開発されたアプリをめぐっては、平井デジタル改革担当大臣が、
▽開発を請け負った事業者に対し「脅しておいた方がいい」などと発言したことや、
▽去年の大臣就任後にNTTの社長から接待を受け、その後、NTTの子会社がアプリ開発の事業を受注した
などと報じられました。

これを受けて、政府は20日に外部の弁護士らが発注の経緯などを検証した調査報告書を公表しました。

それによりますと、アプリの開発プロジェクトに守秘義務を負わない民間事業者を組み込んでいたなどとして、調達手続きの公正性について、国民の不信を招くおそれもあり、不適切だったとしています。

一方、平井大臣が事業者の選定などに関与した事実は認められなかったとしています。

● 日経新聞

・2021.08.20 五輪アプリ、情報管理「不適切」　調査報告書

アプリは当初70億円を超える発注予定額だったが、海外の一般客見送りで38億円に減額した経緯がある。企業との減額交渉の過程で、平井卓也デジタル改革相がNECを「脅しておいた方がよい」と部下らに発言したことも問題視された。ただ報告書では発言の適否の判断を示さず、減額交渉自体も契約に基づくもので「特段の問題はない」とした。

・2021.08.11 五輪アプリの調査結果、20日めど公表　平井デジタル相

海外観客を受け入れなかったことでアプリ開発の発注額を見直し、73億1500万円から38億5000万円へと契約金額を減額した。ただし当初の調達を巡っては、発注先となるIT企業の決定プロセスや発注額の妥当性を政府が問題視して7月から調査を開始していた。

2021.08.21 02:10 in 法律 / 犯罪, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

2021.08.20

MITRE AIの5つの失敗例とそこから学ぶべきこと

こんにちは、丸山満彦です。

AIというか機械学習の利用が進んでいますが、その過程で失敗もあります。失敗を学ぶことで失敗をさけ、成功に近づくことができるでしょう。AI失敗学的な話ですかね。。。

● MITRE

・2021.08 FIVE AI FAILS AND HOW WE CAN LEARN FROM THEM

FIVE AI FAILS AND HOW WE CAN LEARN FROM THEM	AIの5つの失敗例とそこから学ぶべきこと
These lessons derive from a more holistic view of automated technologies. Such technologies are more than independent widgets; they are part of a complex ecosystem that interacts with and influences human behavior and decision making.	これらの教訓は、自動化技術をより全体的に捉えることで得られます。自動化されたテクノロジーは、単に独立したウィジェットではなく、人間の行動や意思決定と相互に影響し合う複雑なエコシステムの一部なのです。
"AI Fails" proposes a shift in perspective: we should measure the success of an AI system by its impact on human beings, rather than prioritizing its mathematical or economic properties (e.g., accuracy, false alarm rate, or efficiency). Such a shift has the potential to empower the development and deployment of amazing as well as responsible AI.	「AI Fails」では、AIシステムの成功を、その数学的・経済的特性（精度、誤報率、効率性など）を優先するのではなく、人間への影響度で測るべきだという視点の転換を提案しています。このような視点の変化は、驚くべきAIや責任あるAIの開発・展開を促進する可能性を秘めています。

・[PDF]

５つの失敗は、

失敗: 信用しすぎたAI
失敗：AIを手玉にとる
失敗：フィードバック・ループにはまる
失敗：政府によるブラックボックスベンダーへの依存
失敗：AI開発者は魔法使いで運用者は魔法使い風

といった感じですかね。。。

英国意見募集監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

こんにちは、丸山満彦です。

英国の監視カメラコミッショナーが2013年に作成された「監視カメラ実施規範」の改訂案について意見募集をしていますね。。。

人工知能（機械学習）が社会にますます実装されていく状況なので、こういうプライバシーに関する実務的な規範の整備は重要となっていくでしょうね。。。

● U.K. Government - Surveillance Camera Commissioner

・2021.08.13 Open consultation Surveillance camera code of practice

Consultation description	協議内容
The code, issued under section 30 of the Protection of Freedoms Act 2012 (PoFA), provides guidance on the appropriate use of surveillance camera systems by local authorities and the police. This is the first revision to the code since its introduction in June 2013. The proposed draft updates references to subsequent legislation, in particular Data Protection legislation, and the judgment in Bridges v South Wales Police.	2012年自由権保護法（PoFA）第30条に基づいて発行された規範は、地方自治体や警察による監視カメラシステムの適切な使用についてのガイダンスを提供しています。本規範は、2013年6月に導入されて以来、初めての改訂となります。提案されている草案では、後続の法律、特にデータ保護法や、[PDF] Bridges v South Wales Policeの判決への言及が更新されています。
There is also some rationalizing of the text to make it easier for the user to follow (specific amendments are outlined in the attached grid). The amended code does not place any additional burden on those authorities who should have regard to it, and the list of relevant authorities defined in the PoFA is not being extended at present. Subject to the comments received, the government’s intention is to lay the draft code before parliament in late autumn.	また、ユーザーがフォローしやすいように文章を合理化しています（具体的な修正点は、添付のグリッドにまとめてあります）。改正された規範は、それを考慮すべき当局に新たな負担を強いるものではなく、PoFAで定義されている関連当局のリストは現在のところ拡張されていません。寄せられたコメントを受けて、政府は晩秋に規範案を国会に提出する意向である。
The Biometrics and Surveillance Camera Commissioner, Professor Fraser Sampson, is responsible for encouraging compliance with the code and reviewing how it is working. The commissioner and his office would like to encourage contributions to this consultation from a wide range of stakeholders and would be very happy to discuss this with you over the course of the consultation period.	生体認証・監視カメラコミッショナーであるフレイザー・サンプソン教授は、規範の遵守を奨励し、規範がどのように機能しているかをレビューする責任を負っています。コミッショナーとそのオフィスは、幅広いステークホルダーからこの協議に参加していただきたいと考えており、協議期間中に皆様と話し合うことができれば幸いです。

・[PDF] Draft updated surveillance camera code of practice

12の原則

1. Use of a surveillance camera system must always be for a specified purpose which is in pursuit of a legitimate aim and necessary to meet an identified pressing need.	1. 監視カメラシステムの使用は、常に、正当な目的を追求し、特定された緊急の必要性を満たすために必要な特定の目的のためでなければならない。
2. The user of a surveillance camera system must take into account its effect on individuals and their privacy, with regular reviews to ensure its use remains justified.	2. 監視カメラシステムの使用者は、その使用が正当なものであることを確認するために定期的に見直しを行い、個人やプライバシーへの影響を考慮しなければならない。
3. There must be as much transparency in the use of a surveillance camera system as possible, including a published contact point for access to information and complaints.	3. 監視カメラシステムの使用にあたっては、情報や苦情を受け付ける窓口の公表など、可能な限りの透明性が確保されなければならない。
4. There must be clear responsibility and accountability for all surveillance camera system activities including images and information collected, held and used.	4. 収集、保有、使用される画像や情報を含む、すべての監視カメラシステムの活動には、明確な責任と説明責任がなければならない。
5. Clear rules, policies and procedures must be in place before a surveillance camera system is used, and these must be communicated to all who need to comply with them.	5. 監視カメラシステムを使用する前に、明確なルール、ポリシー、手順を定め、それを遵守する必要のあるすべての人に伝えなければならない。
6. No more images and information should be stored than that which is strictly required for the stated purpose of a surveillance camera system, and such images and information should be deleted once their purposes have been discharged.	6. 監視カメラシステムの目的を達成するために必要な画像や情報以外は保存せず、目的が達成された後は削除しなければならない。
7. Access to retained images and information should be restricted and there must be clearly defined rules on who can gain access and for what purpose such access is granted; the disclosure of images and information should only take place when it is necessary for such a purpose or for law enforcement purposes.	7. 保持された画像や情報へのアクセスは制限されるべきであり、誰がどのような目的でアクセスできるかについて明確に定義された規則がなければならない。また、画像や情報の開示は、そのような目的のために必要な場合、または法執行目的のためにのみ行われるべきである。
8. Surveillance camera system operators should consider any approved operational, technical and competency standards relevant to a system and its purpose and work to meet and maintain those standards.	8. 監視カメラシステムの運用者は、システムとその目的に関連して承認された運用、技術、能力の基準を考慮し、それらの基準を満たし、維持するために作業を行わなければならない。
9. Surveillance camera system images and information should be subject to appropriate security measures to safeguard against unauthorised access and use.	9. 監視カメラシステムの画像や情報は、不正なアクセスや使用を防ぐために、適切なセキュリティ対策を講じなければならない。
10. There should be effective review and audit mechanisms to ensure legal requirements, policies and standards are complied with in practice, and regular reports should be published.	10. 法的要求事項、ポリシー、基準が実際に遵守されていることを確認するために、効果的なレビューと監査のメカニズムがあるべきであり、定期的な報告書を発行しなければならない。
11. When the use of a surveillance camera system is in pursuit of a legitimate aim, and there is a pressing need for its use, it should then be used in the most effective way to support public safety and law enforcement with the aim of processing images and information of evidential value.	11. 監視カメラシステムの使用が正当な目的のためであり、その使用が差し迫った必要性がある場合には、証拠価値のある画像や情報を処理する目的で、公共の安全と法執行を支援するために最も効果的な方法で使用されなければならない。
12. Any information used to support a surveillance camera system which compares against a reference database for matching purposes should be accurate and kept up to date.	12. 監視カメラシステムをサポートするために使用され、照合のために参照データベースと比較される情報は、正確かつ最新のものでなければならない。

参考訳 [DOCX]

・修正表

現在の規範

・[PDF] Surveillance Camera Code of Practice June 2013

仮訳です。。。[DOCX]

監視カメラに関連するということで、顔識別に関する記事。。。

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.03 中国最高人民法院「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.17 米国上院・下院　顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.03 中国意見募集顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC（連邦取引委員会）のブログ会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2005年

・2005.08.11 外務省　IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

2021.08.20 03:53 in 個人情報保護 / プライバシー, in フォレンジック, in 法律 / 犯罪, in パブコメ, in IoT, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2021.08.19

ニップンとその上場子会社のオーケー食品工業がデータを暗号化され決算発表が遅れていますね。。。

こんにちは、丸山満彦です。

上場企業のニップンがランサムウェアの攻撃をうけデータを暗号化されてしまい、決算発表が遅れていますね。。。あわせて、上場子会社のオーケー食品工業株式会社の決算発表も遅れると公表していますね。。。（親子上場...）

● ニップン - プレス

2021.08.16 [PDF] 2022年3月期第1四半期報告書の提出期限延長に関する承認申請書承認のお知らせ [downloaded]

延長後の提出期限は2021年11月15日で確定していますね。。。3ヶ月延長ということですね。。。

2021.08.16 [PDF] 2022年3月期第1四半期報告書の提出期限延長に関する承認申請書提出のお知らせ [downloaded]

延長が必要な理由を読むと状況がある程度把握できますね。。。

（１）サイバー攻撃の概要

攻撃を受けた日時：2021 年 7 月 7 日未明から

攻撃を受けた範囲：
①グループ子会社のニップンビジネスシステム株式会社にて管理運用する大部分のサーバー及び一部の端末。
②生産管理システムの一部など、ネットワーク上独立した配置にあるサーバーについては影響を受けていない。

被害の概要：
①サイバー攻撃により、同時多発的にサーバー等のデータの全部または一部が暗号化され、それに伴いシステム障害が起こった。
②障害の対象となる情報システムのいずれにおいても、
(1) サーバーのボリュームもしくはサーバーの内部に格納された電子ファイルの大部分が暗号化され、システムの起動そのものが不可能で
ある
(2) サーバーの早期の復旧に有効な技術的手段が現状確認されていない
(3) システムのデータバックアップを管理するサーバーにおいても同様の状況
(4) データの復旧に有効な技術的手段も現状確認されていない

被害の対象：
①株式会社ニップンの財務管理、販売管理といった主要な基幹システムサーバーやデータが保存されているファイルサーバーを含め広範囲に及んでいる。
②グループネットワーク内で運用している国内グループ会社の販売管理システム（11 社利用）と財務会計システム（26 社利用）もその対象となっている。
③上場子会社であるオーケー食品工業株式会社も含まれている。

初期対応：
①被害を封じ込めるための対応として、速やかに全サーバーの停止と社内外のネットワークの遮断を行った。
②（その結果、基幹システムをはじめとする全ての社内システム、データが保管されている共有ファイルサーバーへのアクセスができなくなった）

（２）BCP の発動について

実施していたシステム障害対策：
①ハード面では災害対応でデータセンターを分散設置し、不測の事態に備えていた。
②拠点単位でのシステム障害の発生も想定していた。

対応できなかった理由：
①一度の攻撃でサーバーの大半が同時攻撃を受けたことで本社を含め全ての事業拠点が同様の事態となった

情報システムのセキュリティ及びバックアップ体制：
①サイバー攻撃による防御策として、
(1) PC への不正侵入検知システムやウィルス対策ソフトの導入・適時の更新（PC・サーバーが常に最新状態で保たれる仕組みがある）
(2) ファイアーウォールを外部のマネージドサービス会社に業務を委託し、専門的立場から助言や設定見直しが必要な場合の提案を受ける仕組みが構築されている。
(3) 社外とのネットワーク接続においては、特権アカウントの使用制限や外部装置書き出しチェックなどのセキュリティ監視活動を行っていた。
(4) バックアップデータに関しては、オンラインバックアップを保管していた（ただし、これらバックアップについても障害の対象となった）

その後の対策

システムの復旧は難しいので、新しく環境を整えてシステムを導入し、データの再入力をするようですね。。。バックアップが利用できる国内子会社のシステムについては、システム障害発生前の状態に復旧した後、8月中に再開予定。

９月上旬までに全ての伝票入力ができる状態に戻す予定のようですね。。。

2021.08.16 [PDF] システム障害発生のお知らせ（続報） [downloaded]

1. 本件の経緯および情報流出の可能性

2021年7月7日：
①従業員の指摘により、グループの複数のシステムにて障害が発生していることを認識した。（4時30分頃）
②社内および社外とのネットワークを遮断した。（午前中）
③原因究明のため外部のサイバーセキュリティ専門家に調査を依頼した。

初期調査の結果とその対応：
①グループのシステムがサイバー攻撃を受けた可能性が高いことが判明した。
②本件の緊急性に鑑み、外部専門家の協力の下、侵入経路や被害内容について情報漏洩の可能性を含めて調査を行った。
③弊社内のサーバーにて管理されていた企業情報及び個人情報の一部が流出した可能性があることを認識した。
④現時点においては、具体的な情報漏洩の事実は確認されていない。
⑤ただし、事実確認のため、外部専門家の助言の下さらに調査を継続している。
⑥企業情報及び個人情報漏洩の事実が確認された場合は、速やかに知らせる。

2021.08.05 [PDF] 2022年3月期第1四半期連結決算発表の延期に関するお知らせ [downloaded]

2021.07.09 [PDF] ウィルス攻撃感染被害によるシステム障害発生のお知らせ [downloaded]

オーケー食品工業 - 最新情報

2021.08.16 2022年3月期第1四半期報告書の提出期限延長に関する承認申請書承認のお知らせ [PDF] [downloaded]

親会社と同じく11月15日までですね。。。

2021.08.16 2022年3月期第1四半期報告書の提出期限延長に関する承認申請書提出のお知らせ [PDF] [downloaded]

オーケー食品工業の場合は、自社と子会社のバックアップデータが被害を受けていないので、システム障害発生前の状態に復旧し、８月中旬から決算処理を再開する予定のようですね。。。。

ただ、生産販売基幹システムは、システムデータを管理するグループサーバーを使用できない状況なのでｍ当面は、社内に設置した仮サーバーで運用を開始する予定のようですね。。。

2021.08.16 サイバー攻撃によるシステム障害についてのお知らせ（続報） [PDF] [downloaded]

る企業情報及び個人情報の一部が流出した可能性があるということのようですね。。。

2021.08.05 2022年3月期第1四半期連結決算発表の延期に関するお知らせ [PDF] [downloaded]

2021.07.20 ニップングループシステム障害発生のお知らせ [PDF] [downloaded]

株価ですが、下がっていませんね(^^)

● Yahoo!ファイナンス

・ニップン

・オーケー食品工業

2021.08.19 18:18 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in ウイルス, in 法律 / 犯罪, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ

こんにちは、丸山満彦です。

NISTが2020.03.19に発行したNISTIR 8170 Approaches for Federal Agencies to Use the Cybersecurity Framework（連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ）の改訂版を発行していますね。。。

● NIST- ITL

・2021.08.17 NISTIR 8170 Approaches for Federal Agencies to Use the Cybersecurity Framework

Abstract	概要
The document highlights examples for implementing the Framework for Improving Critical Infrastructure Cybersecurity (known as the Cybersecurity Framework) in a manner that complements the use of other NIST security and privacy risk management standards, guidelines, and practices. These examples include support for an Enterprise Risk Management (ERM) approach in alignment with OMB and FISMA requirements that agency heads “manage risk commensurate with the magnitude of harm that would result from unauthorized access, use, disclosure, disruption, modification, or destruction of a federal information system or federal information.” The use of the Cybersecurity Framework’s components enable discussion about the various types of risk that might occur within federal organizations and promote conversations about how to determine the likelihood and potential consequences of risk events. These activities can then be combined with those described in NIST Special Publication (SP) 800-37, Revision 2, Risk Management Framework for Information Systems and Organizations; SP 800-39, Managing Information Security Risk; and other guidelines to form a comprehensive risk-based approach for security and privacy.	本書は、重要インフラのサイバーセキュリティ向上のためのフレームワーク（以下、サイバーセキュリティフレームワーク）を、他のNISTセキュリティおよびプライバシーリスク管理の標準、ガイドライン、およびプラクティスの使用を補完する形で実施するための例を紹介するものです。これらの例には、OMBとFISMAの要求に沿ったERM（Enterprise Risk Management）アプローチのサポートが含まれており、各機関の責任者は、「連邦情報システムまたは連邦情報への不正なアクセス、使用、開示、混乱、変更、または破壊によって生じる被害の大きさに見合ったリスクを管理する」ことが求められています。サイバーセキュリティフレームワークの構成要素を使用することで、連邦組織内で発生する可能性のあるさまざまなタイプのリスクについて議論することができ、リスクイベントの可能性と潜在的な影響を判断する方法についての会話が促進されます。これらの活動は、NIST SP 800-37 Revision 2 「情報システム・組織のリスクマネジメントフレームワーク」、SP 800-39 「情報セキュリティリスクの管理」などのガイドラインに記載されている活動と組み合わせることで、セキュリティとプライバシーのための包括的なリスクベースのアプローチを形成することができます。
This risk-based approach will assist agencies in determining the risks that are relevant to its mission throughout the operational lifecycle and apply an appropriate type and degree of resources to treat those risks to an acceptable level. Examples in this publication will demonstrate the use of the Cybersecurity Framework, the NIST Risk Management Framework (RMF), and other models to evaluate and report agency goals and progress and to inform tailoring activities for managing cybersecurity risk appropriately. Use of a comprehensive cybersecurity risk-based approach, as demonstrated through these examples, supports agencies’ activities to meet their concurrent obligations to comply with the requirements of FISMA and Executive Order (EO) 13800.	このリスクベースのアプローチは、各機関が運用のライフサイクルを通じてミッションに関連するリスクを決定し、それらのリスクを許容可能なレベルまで対応するために、適切な種類と程度のリソースを適用するのに役立ちます。本書の例では、サイバーセキュリティフレームワーク、NISTリスクマネジメントフレームワーク（RMF）、およびその他のモデルを使用して、機関の目標と進捗を評価・報告し、サイバーセキュリティリスクを適切に管理するための活動を調整するための情報を提供します。これらの例を通して実証されるように、包括的なサイバーセキュリティリスクベースのアプローチを使用することは、FISMAと大統領令（EO）13800の要件を遵守するという同時の義務を満たすための機関の活動をサポートします。

概要部分は変更なしです...

・[PDF] NISTIR 8170

概要です。。。

Executive Summary	エグゼクティブ・サマリー
All federal agencies are entrusted with safeguarding the information contained in their systems and ensuring that those systems operate securely and reliably. It is vital that agency personnel at all levels manage their assets wisely and address cybersecurity risks effectively. To do that, agencies need a holistic approach to their enterprises’ risk management that includes timely, streamlined approaches and automated tools.	すべての連邦政府機関は、そのシステムに含まれる情報を保護し、それらのシステムが安全かつ確実に動作することを任されています。すべてのレベルの政府機関の職員が、資産を賢明に管理し、サイバーセキュリティリスクに効果的に対処することが不可欠です。そのためには、タイムリーで合理的なアプローチと自動化されたツールを含む、組織全体としてのリスク管理に対する全体的なアプローチが必要です。
As part of its statutory responsibilities under the Federal Information Security Management Act as amended (FISMA), the National Institute of Standards and Technology (NIST) develops standards and guidelines—including minimum requirements—to provide adequate information security for federal information and information systems [1]. This suite of security and privacy risk management standards and guidelines provides guidance for an integrated, organizationwide program to manage information security risk.	米国標準技術研究所（NIST）は，改正連邦情報セキュリティ管理法（FISMA）に基づく法的責任の一環として，連邦政府の情報および情報システムに適切な情報セキュリティを提供するための最低要求事項を含む標準およびガイドラインを策定しています[1]。この一連のセキュリティおよびプライバシー・リスク管理の基準とガイドラインは、情報セキュリティ・リスクを管理するための組織全体の統合プログラムの指針となるものです。
NIST produced this report to assist federal agencies in strengthening their cybersecurity risk management processes by highlighting example approaches for implementing the Framework for Improving Critical Infrastructure Cybersecurity (known as the Cybersecurity Framework) [5]. Developed by NIST in close collaboration with private and public sectors, the Cybersecurity Framework is a risk-based approach used voluntarily by organizations across the United States. Initially developed to address cybersecurity challenges in the Nation’s Critical Infrastructure (CI) sectors, the voluntary Framework is used by a variety of organizations across the world. The Cybersecurity Framework aligns with and complements NIST’s suite of security and privacy risk management standards and guidelines.	NISTは、「重要インフラストラクチャのサイバーセキュリティ向上のためのフレームワーク」（通称：サイバーセキュリティ・フレームワーク）を実施するためのアプローチ例を紹介することで、連邦政府機関がサイバーセキュリティ・リスク管理プロセスを強化することを支援するために、本報告書を作成しました[5]。サイバーセキュリティ・フレームワークは、NISTが官民の緊密な協力のもとに開発したもので、米国内の組織が自主的に使用するリスクベースのアプローチです。当初は、米国の重要インフラ（CI）部門におけるサイバーセキュリティの課題に対処するために開発されましたが、この任意のフレームワークは、世界中のさまざまな組織で使用されています。サイバーセキュリティ・フレームワークは、NISTの一連のセキュリティおよびプライバシーのリスク管理基準とガイドラインに沿っており、それらを補完するものです。
This report illustrates eight example approaches through which federal agencies can leverage the Cybersecurity Framework to address common cybersecurity-related responsibilities. By doing so, agencies can integrate the Cybersecurity Framework with key NIST cybersecurity risk management standards and guidelines that are already in wide use. These eight approaches support a mature agency-wide cybersecurity risk management program:	本報告書は、連邦政府機関がサイバーセキュリティフレームワークを活用して、サイバーセキュリティ関連の共通の責任に対処するための8つのアプローチ例を示しています。そうすることで、各機関はサイバーセキュリティフレームワークを、すでに広く使用されているNISTの主要なサイバーセキュリティリスク管理基準やガイドラインと統合することができます。これらの8つのアプローチは、成熟した機関全体のサイバーセキュリティ・リスク管理プログラムをサポートします。
1. Integrate enterprise and cybersecurity risk management	1. エンタープライズリスク管理とサイバーセキュリティ管理の統合
2. Manage cybersecurity requirements	2. サイバーセキュリティ要件の管理
3. Integrate and align cybersecurity and acquisition processes	3. サイバーセキュリティと購買プロセスの統合と調整
4. Evaluate organizational cybersecurity	4. 組織的サイバーセキュリティの評価
5. Manage the cybersecurity program	5. サイバーセキュリティプログラムの管理
6. Maintain a comprehensive understanding of cybersecurity risk	6. サイバーセキュリティリスクに関する包括的理解の維持
7. Report cybersecurity risks	7. サイバーセキュリティリスクの報告
8. Inform the tailoring process	8. テーラーリングプロセスへの反映
The key concepts and cybersecurity approaches described in this document are intended to promote more effective risk management and to encourage dialogue within and among federal agencies.	本書に記載されているキーコンセプトとサイバーセキュリティアプローチは、より効果的なリスク管理を促進し、連邦機関内および連邦機関間の対話を促すことを目的としています。

[1] Federal Information Security Modernization Act of 2014, Pub. L. 113-283, 128 Stat. 3073.
https://www.govinfo.gov/content/pkg/PLAW-113publ283/pdf/PLAW-113publ283.pdf

[5] National Institute of Standards and Technology (2018) Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1. (National Institute of Standards and Technology, Gaithersburg, MD).
https://doi.org/10.6028/NIST.CSWP.04162018

目次です。。。

Executive Summary	エグゼクティブ・サマリー
1 Introduction	1 はじめに
1.1 Audience	1.1 想定読者
1.2 Organization of this report	1.2 本報告書の構成
2 Example Approaches	2 アプローチ例
1. Integrate Enterprise and Cybersecurity Risk Management	1. エンタープライズリスク管理とサイバーセキュリティ管理の統合
2. Manage Cybersecurity Requirements	2. サイバーセキュリティ要件の管理
3. Integrate and Align Cybersecurity and Acquisition Processes	3. サイバーセキュリティと購買プロセスの統合と調整
4. Evaluate Organizational Cybersecurity	4. 組織的サイバーセキュリティの評価
5. Manage the Cybersecurity Program	5. サイバーセキュリティプログラムの管理
6. Maintain a Comprehensive Understanding of Cybersecurity Risk	6. サイバーセキュリティリスクに関する包括的理解の維持
7. Report Cybersecurity Risks	7. サイバーセキュリティリスクの報告
8. Inform the Tailoring Process	8. テーラリングプロセスへの反映
References	参考文献
List of Appendices	附属書リスト
Appendix A— Acronyms	附属書A - 頭字語
Appendix B— Glossary	附属書B - 用語集

2021.08.18

中国国務院令第745号重要情報インフラのセキュリティ保護規制

こんにちは、丸山満彦です。

人民政府が、重要情報インフラのセキュリティ保護規制を公表していますね。。。2021.09.01から施行されます。ちなみに、データセキュリティ法（数据安全法）も、2021.09.01に施行されます。。。

法令って国という組織を動かすプログラムみたいなものなので、法令を作る能力って、国力ですよね。。。よいプログラムを作れば組織はうまく動く、よいプログラムをつくれなかったら組織はうまく動けなく衰退する...

● 人民政府

・2021.08.17 关键信息基础设施安全保护条例

中华人民共和国国务院令	中華人民共和国国務院令
第745号	第745号
《关键信息基础设施安全保护条例》已经2021年4月27日国务院第133次常务会议通过，现予公布，自2021年9月1日起施行。	「重要情報インフラのセキュリティ保護規制」は、2021年4月27日の国務院第133回常務会議で採択され、ここに公布され、2021年9月1日に施行する。
总理　　李克强	李克強首相
2021年7月30日	2021年7月30日
关键信息基础设施安全保护条例	重要情報インフラのセキュリティ保護規制
第一章　总　　则	第1章総則
第一条　为了保障关键信息基础设施安全，维护网络安全，根据《中华人民共和国网络安全法》，制定本条例。	第1条重要な情報インフラのセキュリティを保護し、ネットワークセキュリティを維持するために、本規則は「中華人民共和国ネットワークセキュリティ法」に基づいて制定されています。
第二条　本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。	第2条この規制でいう重要情報インフラとは、公共の通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府、国防科学技術産業その他の重要な産業分野、その他の重要なネットワーク設備や情報システムであって、それらが損傷したり、機能を失ったり、データが流出したりすると、国家安全保障、国民生活、公共の利益に重大な危険を及ぼす可能性があるものをいう。
第三条　在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。	第3条国家ネットワーク情報部門の調整のもと、国務院公安部は重要情報インフラのセキュリティ保護の指導・監督に責任を負う。国務院の電気通信主管部門およびその他の関連部門は、本規制の規定および関連する法律や行政法規に基づき、それぞれの責任範囲内で重要情報インフラのセキュリティ保護および監督管理に責任を負う。
省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。	省人民政府の関連部門は、それぞれの責任に基づいて、重要情報インフラのセキュリティ保護と監督管理を実施しなければならない。
第四条　关键信息基础设施安全保护坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施运营者（以下简称运营者）主体责任，充分发挥政府及社会各方面的作用，共同保护关键信息基础设施安全。	第四条重要情報インフラのセキュリティ保護は、法律に基づく包括的な調整、分業及び保護を堅持し、重要情報インフラの運営者（以下「運営者」という。）の主たる責任を強化して実施し、政府及び社会のあらゆる側面が重要情報インフラのセキュリティを共同で保護するという役割を十分に発揮するものでなければならない。
第五条　国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治危害关键信息基础设施安全的违法犯罪活动。	第5条国は、重要情報インフラの鍵となる保護を実施し、中華人民共和国の領域内外から発生するサイバーセキュリティのリスクと脅威を監視し、防御し、対処するための措置を講じ、重要情報インフラを攻撃、侵入、干渉、損害から保護し、重要情報インフラのセキュリティを危険にさらす違法行為や犯罪行為を法律に基づいて処罰する。
任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动，不得危害关键信息基础设施安全。	いかなる個人または組織も、重要情報インフラへの違法な侵入、妨害または損害を与え、重要情報インフラのセキュリティを危険にさらしてはならない。
第六条　运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。	第6条運営者は、本規制の規定、関連する法律および行政法規、ならびに国家標準の必須要件に従い、ネットワークセキュリティレベルの保護に基づいて、技術的保護措置およびその他の必要な措置を講じて、ネットワークセキュリティ事故への対応、ネットワーク攻撃および違法・犯罪行為の防止、重要情報インフラの安全で安定した運用の保護、ならびにデータの完全性、機密性および可用性の維持を図る。
第七条　对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人，按照国家有关规定给予表彰。	第7条重要情報インフラのセキュリティ保護において、顕著な成果を上げた、または顕著な貢献をした部隊および個人は、関連する国家規定に基づいて表彰される。
第二章　关键信息基础设施认定	第2章重要情報インフラの指定
第八条　本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门（以下简称保护工作部门）。	第8条本規制第2条の対象となる重要な産業・分野の主務部門および監督管理部門は、重要情報インフラのセキュリティ保護を担当する部門（以下、保護作業部門）という。
第九条　保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。	第9条保護作業部門は、産業界や現場の実情に応じて重要情報インフラの指定に関する規制を策定し、国務院公安部に報告して記録を残す。
制定认定规则应当主要考虑下列因素：	指定に関する規則の策定にあたっては、以下の要素を考慮する。
（一）网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；	(1) 業界や分野の重要なコアビジネスにとってのネットワーク設備や情報システムなどの重要性。
（二）网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；	(2) ネットワーク設備や情報システムなどが損傷、機能喪失、データ漏洩した場合にもたらされる被害の程度。
（三）对其他行业和领域的关联性影响。	(3) 他の産業や分野との関連性の影響。
第十条　保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。	第10条保護作業部門は、産業および分野の重要情報インフラのを指定に関する規則に基づいて整理し、指定結果を適時に運営者に通知し、国務院公安部に通知する責任を負う。
第十一条　关键信息基础设施发生较大变化，可能影响其认定结果的，运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定，将认定结果通知运营者，并通报国务院公安部门。	第11条運営者は、重要情報インフラに重大な変化があり、その指定結果に影響を与える可能性がある場合、速やかに保護部門に関連状況を報告しなければならない。保護部門は、報告を受けた日から3ヶ月以内に再判定を完了し、指定結果を運営者に通知するとともに、国務院公安部に通報しなければならない。
第三章　运营者责任义务	第3章運営者の責任と義務
第十二条　安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。	第12条セキュリティ保護対策は、重要情報インフラの計画、構築、利用と同期させなければならない。
第十三条　运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。	第13条運営者は、ネットワークセキュリティの保護体制と責任体制を確立・改善し、人的・財政的・物的資源の投資を保証しなければならない。運営者の主担当者は、重要情報インフラのセキュリティ保護に総責任を負い、重要情報インフラのセキュリティ保護と重大なネットワークセキュリティ事故の処理を指揮し、重大なネットワークセキュリティ問題を解決するための研究を組織する。
第十四条　运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时，公安机关、国家安全机关应当予以协助。	第14条運営者は、専門のセキュリティ管理機関を設置し、専門のセキュリティ管理機関の責任者および重要な地位にある人員のセキュリティバックグラウンドチェックを行わなければならない。審査の際には、公安機関や国家安全保障機関が支援する。
第十五条　专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作，履行下列职责：	第15条専門のセキュリティ管理機関は、部隊の重要情報インフラのセキュリティ保護に特に責任を負い、以下の職務を行う。
（一）建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划；	(1) ネットワークセキュリティの管理・評価・査定システムを構築・改善し、重要情報インフラのセキュリティ保護計画を策定する。
（二）组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；	(2) ネットワークセキュリティ保護のための能力開発を組織的に推進し、ネットワークセキュリティの監視、テスト、リスク評価を実施する。
（三）按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件；	(3) ネットワークセキュリティ事故に関する国や業界の緊急計画に基づき、本機の緊急計画を策定し、定期的に緊急訓練を行い、ネットワークセキュリティ事故を処理する。
（四）认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议；	(4) ネットワークセキュリティの重要なポジションを特定し、ネットワークセキュリティの作業評価を整理し、賞罰を提案する。
（五）组织网络安全教育、培训；	(5) ネットワークセキュリティに関する教育・訓練を実施する。
（六）履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；	(6) 個人情報およびデータのセキュリティ保護に関する責任を果たし、健全な個人情報およびデータのセキュリティ保護システムを確立する。
（七）对关键信息基础设施设计、建设、运行、维护等服务实施安全管理；	(7) 重要情報インフラの設計、建設、運用、保守およびその他のサービスのセキュリティ管理の実施
（八）按照规定报告网络安全事件和重要事项。	(8) ネットワークセキュリティ事故および重要事項を規定に基づいて報告すること。
第十六条　运营者应当保障专门安全管理机构的运行经费、配备相应的人员，开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。	第16条運営者は、専門のセキュリティ管理機関の運営資金を保証し、対応する人員を備え、ネットワークセキュリティと情報技術に関連する意思決定を行うには、専門のセキュリティ管理機関の人員の参加を得なければならない。
第十七条　运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。	第17条運営者は、自ら又はネットワークセキュリティサービス機関に委託して、重要情報インフラのネットワークセキュリティテスト及びリスクアセスメントを少なくとも年1回実施し、発見されたセキュリティ問題を適時に是正し、保護作業部門の要求に基づいて状況を報告しなければならない。
第十八条　关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当按照有关规定向保护工作部门、公安机关报告。	第18条重要情報インフラに重大なネットワークセキュリティ事故が発生した場合、または重大なネットワークセキュリティの脅威が発見された場合、運営者は関連規定に基づいて保護作業部門および公安機関に報告しなければならない。
发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时，保护工作部门应当在收到报告后，及时向国家网信部门、国务院公安部门报告。	重要情報インフラの全体的な運営の中断や大規模な機能障害、国家の基本情報やその他の重要なデータの漏洩、より大規模な個人情報の漏洩、より大きな経済的損失の発生、より大規模な違法情報の拡散など、特に重大なサイバーセキュリティ事故が発生した場合、または特に重大なサイバーセキュリティ脅威が発見された場合、保護作業部門は報告を受けた後、速やかに国家ネットワーク情報部門および国務院公安部に報告しなければならない。
第十九条　运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。	第19条運営者は、安全で信頼できるネットワーク製品およびサービスの調達を優先しなければならない。ネットワーク製品およびサービスの調達が国家の安全に影響を与える可能性がある場合、国家のネットワーク・セキュリティ規制に基づいてセキュリティ審査を受けなければならない。
第二十条　运营者采购网络产品和服务，应当按照国家有关规定与网络产品和服务提供者签订安全保密协议，明确提供者的技术支持和安全保密义务与责任，并对义务与责任履行情况进行监督。	第20条運営者は、ネットワーク製品・サービスを調達する際には、国の関連法規に従い、ネットワーク製品・サービス提供者とセキュリティ・機密保持契約を締結し、提供者の技術サポートやセキュリティ・機密保持の義務や責任を明確にし、義務や責任の履行を監督しなければならない。
第二十一条　运营者发生合并、分立、解散等情况，应当及时报告保护工作部门，并按照保护工作部门的要求对关键信息基础设施进行处置，确保安全。	第21条運営者が合併、分離または解散した場合は、速やかに保護作業部門に報告し、保護作業部門の要求に従って重要情報インフラを処分し、安全性を確保しなければならない。
第四章　保障和促进	第4章保護と促進
第二十二条　保护工作部门应当制定本行业、本领域关键信息基础设施安全规划，明确保护目标、基本要求、工作任务、具体措施。	第22条保護作業部門は、産業及び分野における重要情報インフラのためのセキュリティ計画を策定し、保護目的、基本要件、作業課題及び具体的な措置を明示しなければならない。
第二十三条　国家网信部门统筹协调有关部门建立网络安全信息共享机制，及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息，促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。	第23条国家のネットワーク情報部門は、関連部門を調整してネットワーク・セキュリティ情報共有メカニズムを構築し、ネットワーク・セキュリティの脅威、脆弱性、事故に関する情報をタイムリーにまとめ、調査し、共有し、公開し、関連部門、保護作業部門、オペレータ、ネットワークセキュリティサービス機関の間でネットワーク・セキュリティ情報の共有を促進しなければならない。
第二十四条　保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度，及时掌握本行业、本领域关键信息基础设施运行状况、安全态势，预警通报网络安全威胁和隐患，指导做好安全防范工作。	第24条保護作業部門は、産業及び分野の重要情報インフラのネットワークセキュリティ監視及び早期警報システムを構築・改善し、産業及び分野の重要情報インフラの運用状況及びセキュリティ状況を把握し、ネットワークセキュリティの脅威及び隠れた危険を早期に知らせ、セキュリティ予防の作業を指導しなければならない。
第二十五条　保护工作部门应当按照国家网络安全事件应急预案的要求，建立健全本行业、本领域的网络安全事件应急预案，定期组织应急演练；指导运营者做好网络安全事件应对处置，并根据需要组织提供技术支持与协助。	第25条保護作業部門は、国家ネットワークセキュリティ事故緊急計画の要件に従い、業界、ネットワークセキュリティ事故緊急計画の分野を確立し、改善し、定期的に緊急演習を実施し、運営者がネットワークセキュリティ事故に対処する際に良い仕事をするよう指導し、必要に応じて技術支援及び援助を組織しなければならない。
第二十六条　保护工作部门应当定期组织开展本行业、本领域关键信息基础设施网络安全检查检测，指导监督运营者及时整改安全隐患、完善安全措施。	第26条保護作業部門は、業界及び現場の重要情報インフラのネットワークセキュリティ検査及び試験を定期的に組織して実施し、運営者がセキュリティ上の危険を是正し、セキュリティ対策を適時に改善するよう指導監督しなければならない。
第二十七条　国家网信部门统筹协调国务院公安部门、保护工作部门对关键信息基础设施进行网络安全检查检测，提出改进措施。	第27条国家ネットワーク情報部門は、国務院公安部と保護作業部門を連携させ、重要情報インフラのネットワークセキュリティ検査・試験を実施し、改善策を提案する。
有关部门在开展关键信息基础设施网络安全检查时，应当加强协同配合、信息沟通，避免不必要的检查和交叉重复检查。检查工作不得收取费用，不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务。	重要情報インフラのネットワークセキュリティ検査を実施する際、関連部門は協力と情報伝達を強化し、不必要な検査や重複した検査を回避しなければならない。検査業務は、手数料を請求してはならず、検査を受けた部隊に指定ブランドまたは指定生産・販売部隊の製品およびサービスの購入を要求してはならない。
第二十八条　运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作应当予以配合。	第28条運営者は、保護作業部門が実施する重要情報インフラ・ネットワーク・セキュリティの検査やテスト作業、及び法律に基づき公安、国家安全、機密管理、パスワード管理等の関連部門が実施する重要情報インフラ・ネットワーク・セキュリティの検査作業に協力しなければならない。
第二十九条　在关键信息基础设施安全保护工作中，国家网信部门和国务院电信主管部门、国务院公安部门等应当根据保护工作部门的需要，及时提供技术支持和协助。	第29条重要情報インフラのセキュリティ保護作業において、国家ネットワーク情報部門および国務院通信部門、国務院公安部などは、保護作業部門の必要に応じて、適時に技術支援および援助しなければならない。
第三十条　网信部门、公安机关、保护工作部门等有关部门，网络安全服务机构及其工作人员对于在关键信息基础设施安全保护工作中获取的信息，只能用于维护网络安全，并严格按照有关法律、行政法规的要求确保信息安全，不得泄露、出售或者非法向他人提供。	第30条ネットワーク情報部門、公安機関、保護作業部門およびその他の関連部門、ネットワークセキュリティサービスと重要情報インフラのセキュリティ保護の仕事で得られた情報をその要員は、ネットワークセキュリティを維持するためにのみ使用することができ、関連する法律や行政法規に厳密に従って情報セキュリティを確保し、漏洩、販売または違法に他人に提供してはならない、
第三十一条　未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动，应当事先向国务院电信主管部门报告。	第31条国のネットワーク情報部門、国務院公安部、保護作業部門の承認、または運営者の許可がなければ、個人や組織は脆弱性検出、侵入テスト、その他重要情報インフラのセキュリティに影響を与えたり危険にさらす可能性のある活動を実施してはならない。基礎電気通信網に対する脆弱性検出、侵入テストなどを実施する場合は、事前に国務院の電気通信主管部門に報告しなければならない。
第三十二条　国家采取措施，优先保障能源、电信等关键信息基础设施安全运行。	第32条国は、エネルギー、電気通信等の重要情報インフラの安全な運用の確保を優先するための措置を講じなければならない。
能源、电信行业应当采取措施，为其他行业和领域的关键信息基础设施安全运行提供重点保障。	エネルギー・通信業界は、他の業界・分野における重要情報インフラの安全な運用のために、重要な保証を提供するための措置を講じなければならない。
第三十三条　公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫，防范打击针对和利用关键信息基础设施实施的违法犯罪活动。	第33条公安機関及び国家安全保障機関は、それぞれの任務に応じて、重要情報インフラのセキュリティを強化し、重要情報インフラを対象とし、かつ、これを利用する違法及び犯罪行為を防止し、これに対処しなければならない。
第三十四条　国家制定和完善关键信息基础设施安全标准，指导、规范关键信息基础设施安全保护工作。	第34条国は、重要情報インフラのセキュリティ基準を策定・改善し、重要情報インフラのセキュリティ保護を指導・規制しなければならない。
第三十五条　国家采取措施，鼓励网络安全专门人才从事关键信息基础设施安全保护工作；将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。	第35条国は、ネットワークセキュリティの専門家が重要情報インフラのセキュリティ保護に従事することを奨励するための措置を講じ、セキュリティ管理者及びセキュリティ技術者の訓練を国の継続教育制度に組み込む。
第三十六条　国家支持关键信息基础设施安全防护技术创新和产业发展，组织力量实施关键信息基础设施安全技术攻关。	第36条国は、重要情報インフラのセキュリティ保護に関する技術革新及び産業の発展を支援し、重要情報インフラのセキュリティに関する技術研究を実施するための部隊を組織しなければならない。
第三十七条　国家加强网络安全服务机构建设和管理，制定管理要求并加强监督指导，不断提升服务机构能力水平，充分发挥其在关键信息基础设施安全保护中的作用。	第37条国は、ネットワーク・セキュリティ・サービス組織の建設と管理を強化し、管理要求を策定し、監督・指導を強化し、サービス組織の能力レベルを継続的に向上させ、重要情報インフラのセキュリティ保護における役割を十分に発揮させなければならない。
第三十八条　国家加强网络安全军民融合，军地协同保护关键信息基础设施安全。	第38条国は、軍と国民の間のサイバー・セキュリティの統合を強化し、軍と地方自治体は重要情報インフラのセキュリティを守るために協力しなければならない。
第五章　法律责任	第5章法的責任
第三十九条　运营者有下列情形之一的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：	第39条運営者が以下のいずれかの状況にある場合、関連する主管部門は、その職務に従い、是正を命じ、警告を与えなければならない。是正を拒否したり、ネットワークセキュリティを危険にさらすなどの結果を引き起こした場合、直接責任を負う担当者には10万元以上100万元以下の罰金を、責任者には1万元以上10万元以下の罰金を科す。
（一）在关键信息基础设施发生较大变化，可能影响其认定结果时未及时将相关情况报告保护工作部门的；	(1) 重要情報インフラに重大な変更があり、その指定結果に影響を及ぼす可能性がある場合に、関連する状況を適時に保護作業部門に報告しなかった場合。
（二）安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的；	(2) セキュリティ保護対策が重要情報インフラと並行して計画、構築、使用されていない場合。
（三）未建立健全网络安全保护制度和责任制的；	(3) 健全なネットワークセキュリティ保護体制と責任体制が不備な場合。
（四）未设置专门安全管理机构的；	(4) 専門のセキュリティ管理機関を設立しなかった場合。
（五）未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的；	(5) 専門のセキュリティ管理機関の責任者および重要な地位にある人員のセキュリティバックグラウンドチェックを実施しなかった場合。
（六）开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的；	(6）専門のセキュリティ管理機関の職員の参加を得ずに、ネットワークセキュリティおよび情報技術に関する決定した場合。
（七）专门安全管理机构未履行本条例第十五条规定的职责的；	(7) 専門のセキュリティ管理機関が、この規制の第15条に規定された責任を果たしていない場合。
（八）未对关键信息基础设施每年至少进行一次网络安全检测和风险评估，未对发现的安全问题及时整改，或者未按照保护工作部门要求报送情况的；	(8) 重要情報インフラのネットワークセキュリティテストおよびリスクアセスメントを少なくとも年1回実施しておらず、発見されたセキュリティ問題を適時に是正していない、または保護作業部門の要求に従って状況を報告しない場合。
（九）采购网络产品和服务，未按照国家有关规定与网络产品和服务提供者签订安全保密协议的；	(9) ネットワーク製品・サービスの調達、およびネットワーク製品・サービス提供者との間で、関連する国の規制に従ったセキュリティおよび機密保持に関する契約を締結しなかったこと。
（十）发生合并、分立、解散等情况，未及时报告保护工作部门，或者未按照保护工作部门的要求对关键信息基础设施进行处置的。	(10) 合併、分割、解散などが発生し、適時に保護作業部門に報告しなかった場合、または保護作業部門の要求に従って重要情報インフラを処分しなかった場合。
第四十条　运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，未按照有关规定向保护工作部门、公安机关报告的，由保护工作部门、公安机关依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。	第40条重要情報インフラで重大なネットワークセキュリティ事故が発生したとき、または重大なネットワークセキュリティの脅威が発見されたときに、運営者が関連規定に基づいて保護部門または公安機関に報告しなかった場合、保護部門または公安機関は、その職務に基づいて是正を命じ、警告を与えなければならない。運営者が是正を拒否した場合、またはネットワークセキュリティを危険にさらすなどの結果を引き起こした場合、10万元以上の罰金を科し、直接の責任者は1万元以上10万元以下の罰金を科す。責任者は1万元以上10万元以下の罰金を科す。
第四十一条　运营者采购可能影响国家安全的网络产品和服务，未按照国家网络安全规定进行安全审查的，由国家网信部门等有关主管部门依据职责责令改正，处采购金额1倍以上10倍以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。	第41条運営者が国家安全保障に影響を与える可能性のあるネットワーク製品・サービスを調達し、国家ネットワークセキュリティ規定に基づくセキュリティ審査を行わなかった場合、国家インターネット情報部門およびその他の関連主管部門は、その職務に基づき、是正を命じ、調達額の1倍から10倍の罰金を科し、直接責任を負う担当者およびその他の直接責任を負う者に1万元から10万元の罰金を科す。
第四十二条　运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的，由有关主管部门责令改正；拒不改正的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节严重的，依法追究相应法律责任。	第42条運営者が、保護作業部門が実施する重要情報インフラのネットワークセキュリティ検査・試験作業、および公安、国家安全、機密管理、パスワード管理などの関連部門が法律に基づいて実施する重要情報インフラのネットワークセキュリティ検査作業に協力しない場合、主管部門は是正を命じ、是正を拒否した場合、5万元以上50万元以下の罰金を科し、直接の責任者には、以下の罰則を科す。責任者およびその他の直接の責任者は、1万元以上10万元以下の罰金に処し、状況が深刻な場合には、対応する法的責任を法律に基づいて調査する。
第四十三条　实施非法侵入、干扰、破坏关键信息基础设施，危害其安全的活动尚不构成犯罪的，依照《中华人民共和国网络安全法》有关规定，由公安机关没收违法所得，处5日以下拘留，可以并处5万元以上50万元以下罚款；情节较重的，处5日以上15日以下拘留，可以并处10万元以上100万元以下罚款。	第43条重要情報インフラへの違法な侵入、妨害、損害を与え、その安全を脅かした者は、犯罪ではないが、中華人民共和国ネットワークセキュリティ法の関連規定に基づき、公安機関に違法所得を没収させ、5日以上の拘留を行い、5万元以上50万元以下の罰金を科すことができる。状況がより深刻な場合は、5日以上15日以下の拘留を行い、10万元以上の罰金を科すことができる。 100万人民元以下の罰金を科す。
单位有前款行为的，由公安机关没收违法所得，处10万元以上100万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。	部隊が前項の行為を行った場合、公安機関は違法所得を没収し、10万元以上100万元以下の罰金を科すとともに、直接責任を負う担当者およびその他の直接責任を負う者を前項に準じて処罰する。
违反本条例第五条第二款和第三十一条规定，受到治安管理处罚的人员，5年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。	本規制第5条第2項および第31条の規定に違反し、公安管理処罰を受けた人員は、5年以内にネットワークセキュリティ管理およびネットワーク運用の要職に従事してはならず、刑事処罰を受けた人員は、生涯にわたってネットワークセキュリティ管理およびネットワーク運用の要職に従事してはならない。
第四十四条　网信部门、公安机关、保护工作部门和其他有关部门及其工作人员未履行关键信息基础设施安全保护和监督管理职责或者玩忽职守、滥用职权、徇私舞弊的，依法对直接负责的主管人员和其他直接责任人员给予处分。	第44条ネットワーク情報部門、公安機関、保護作業部門およびその他の関連部門とその職員で、重要情報インフラのセキュリティ保護および監督管理の職務を遂行せず、職務を怠り、権限を濫用し、または個人的利益のために汚職を行った者は、直接責任を負う担当者およびその他の直接責任を負う者に対して、法律に基づいて処罰される。
第四十五条　公安机关、保护工作部门和其他有关部门在开展关键信息基础设施网络安全检查工作中收取费用，或者要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务的，由其上级机关责令改正，退还收取的费用；情节严重的，依法对直接负责的主管人员和其他直接责任人员给予处分。	第45条公安機関、保護業務部門およびその他の関連部門が、重要情報インフラのネットワーク・セキュリティ検査を実施するために料金を請求したり、検査を受けたユニットに指定ブランドまたは指定生産・販売ユニットの製品・サービスの購入を要求したりした場合、上級当局は是正を命じ、請求された料金を返金しなければならず、状況が深刻な場合は、直接責任を負う担当者およびその他の直接責任を負う者は、法律に基づいて処罰される。
第四十六条　网信部门、公安机关、保护工作部门等有关部门、网络安全服务机构及其工作人员将在关键信息基础设施安全保护工作中获取的信息用于其他用途，或者泄露、出售、非法向他人提供的，依法对直接负责的主管人员和其他直接责任人员给予处分。	第46条インターネット情報部門、公安機関、保護作業部門などの関連部門、ネットワークセキュリティサービス機関およびその職員は、重要情報インフラのセキュリティ保護作業で得た情報を他の目的に使用したり、漏洩、販売、または違法に他人に提供したりした場合は、直接責任を負う担当者およびその他の直接責任を負う者は、法律に基づいて処罰される。
第四十七条　关键信息基础设施发生重大和特别重大网络安全事件，经调查确定为责任事故的，除应当查明运营者责任并依法予以追究外，还应查明相关网络安全服务机构及有关部门的责任，对有失职、渎职及其他违法行为的，依法追究责任。	第47条重要情報インフラで発生した大規模および特に大規模なネットワークセキュリティ事故のうち調査の結果、責任のある事故と判断されたものについては、法律に基づいて特定・調査しなければならない運営者の責任に加えて、関連するネットワーク・セキュリティ・サービス機関および関連部門の責任も特定し、義務を怠った者、不正行為その他の違法行為を行った者は、法律に基づいて責任を負わなければならない。
第四十八条　电子政务关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的，依照《中华人民共和国网络安全法》有关规定予以处理。	第48条電子政府サービスの重要情報インフラの運営者が本規制に基づくネットワークセキュリティ保護の義務を履行しない場合、中華人民共和国のネットワークセキュリティ法の関連規定に従って処分される。
第四十九条　违反本条例规定，给他人造成损害的，依法承担民事责任。	第49条本規制の規定に違反して他人に損害を与えた者は、法律に基づいて民事責任を負う。
违反本条例规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。	本規制の規定に違反し、公安管理上の違反を構成した者は、法律に基づき公安管理上の処罰を受け、犯罪を構成した場合は、法律に基づき刑事責任を問われる。
第六章　附　　则	第6章附則
第五十条　存储、处理涉及国家秘密信息的关键信息基础设施的安全保护，还应当遵守保密法律、行政法规的规定。	第50条国家機密に関わる情報を保管・処理する重要情報インフラのセキュリティ保護は、秘密保護法および行政法規の規定にも従う。
关键信息基础设施中的密码使用和管理，还应当遵守相关法律、行政法规的规定。	また、重要情報インフラにおけるパスワードの使用および管理は、関連する法律および行政法規の規定に準拠する。
第五十一条　本条例自2021年9月1日起施行。	第51条この規制は、2021年9月1日から施行する。

2021.08.19 追記

条例についてのQ&Aがありました...

● 中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

・2021.08.17 司法部网信办工业和信息化部公安部负责人就《关键信息基础设施安全保护条例》答记者问

司法部网信办工业和信息化部公安部负责人就	司法部、ネットワーク情報局、工業情報化部、公安部
《关键信息基础设施安全保护条例》答记者问	重要情報インフラのセキュリティ保護に関する規則
2021年7月30日，国务院总理李克强签署第745号国务院令，公布《关键信息基础设施安全保护条例》（以下简称《条例》），自2021年9月1日起施行。日前，司法部、网信办、工业和信息化部、公安部负责人就《条例》有关问题回答了记者提问。	2021年7月30日、李克強首相は政令第745号に署名し、「重要情報インフラのセキュリティ保護規則」（以下、「規則」）を公布し、2021年9月1日から施行されることになりました。先日、司法部、ネットワーク情報局、工業情報化部、公安部の担当者が、本規則に関する記者の質問に答えました。
问：请简要介绍一下《条例》出台的背景？	Q：今回の規制導入の背景を簡単に紹介してください。
答：党中央、国务院高度重视关键信息基础设施安全保护工作。关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重。保障关键信息基础设施安全，对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。当前，关键信息基础设施面临的网络安全形势日趋严峻，网络攻击威胁上升，事故隐患易发多发，安全保护工作还存在法规制度不完善、工作基础薄弱、资源力量分散、技术产业支撑不足等突出问题，亟待建立专门制度，明确各方责任，加快提升关键信息基础设施安全保护能力。2017年施行的《中华人民共和国网络安全法》规定，关键信息基础设施的具体范围和安全保护办法由国务院制定。出台《条例》旨在落实《中华人民共和国网络安全法》有关要求，将为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。	A: 党中央委員会と国務院は、重要な情報インフラのセキュリティ保護を非常に重視しています。重要情報インフラは、経済・社会活動の中枢であり、ネットワークセキュリティの最優先事項です。重要な情報インフラを確保することは、国のサイバースペースの主権と国家安全保障を守り、健全な経済・社会の発展を保証し、公共の利益と国民の正当な権利・利益を守るために大きな意義があります。現在、重要な情報インフラが直面しているサイバーセキュリティの状況はますます厳しくなっており、サイバー攻撃の脅威は増加し、事故や隠れた危険が発生しやすくなっています。また、不完全な規制やシステム、弱い運用基盤、資源の分散、不十分な技術的・産業的支援などの未解決の問題が残っています。特別なシステムを確立し、すべての当事者の責任を明確にし、重要な情報インフラのセキュリティ保護能力の向上を加速することが急務です。中華人民共和国ネットワークセキュリティ法では、重要情報インフラの具体的な範囲やセキュリティ保護方法は、国務院が策定すると規定されています。本規則は、「中華人民共和国ネットワークセキュリティ法」の関連要件を実施することを目的としており、重要な情報インフラのセキュリティ保護に関する中国の綿密な作業に、法の支配の強力な保証を与えることになります。
问：制定《条例》的总体思路是什么？	Q：今回のレギュレーション策定の背景には、どのような考えがあるのでしょうか。
答：在总体思路上主要把握了以下三点：一是坚持问题导向。针对关键信息基础设施安全保护工作实践中的突出问题，细化《中华人民共和国网络安全法》有关规定，将实践证明成熟有效的做法上升为法律制度，为保护工作提供法治保障。二是压实责任。坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施运营者主体责任，充分发挥政府及社会各方面的作用，共同保护关键信息基础设施安全。三是做好与相关法律、行政法规的衔接。在《中华人民共和国网络安全法》确立的制度框架下，细化相关制度措施，同时处理好与相关法律、行政法规的关系。	A：全体的な考え方として、以下の3つのポイントを把握しています。第一は、問題志向を貫くことです。重要情報インフラセキュリティ保護の実務における未解決の問題に鑑み、中華人民共和国ネットワークセキュリティ法の関連規定を精緻化し、実務において成熟し効果的であることが証明されている実務を法制度に格上げすることで、保護作業に法の支配の保証を与えます。第二は、責任を簡潔にまとめることです。法律に基づいた包括的な調整、分業、保護を主張し、重要な情報インフラの運営者の主な責任を強化、実行し、政府と社会のあらゆる側面の役割を十分に発揮して、重要な情報インフラのセキュリティを共同で保護します。第三に、関連する法律や行政法規とのコンバージェンスを行うことです。中国人民共和国のネットワークセキュリティ法によって確立された制度的枠組みの下で、関連する制度的措置が洗練され、関連する法律や行政法規との関係がうまく処理されます。
问：开展关键信息基础设施安全保护工作，各部门的职责分工是什么？	Q：重要な情報インフラのセキュリティ保護を実施する上で、各部門の責任分担はどのようになっていますか？
答：《条例》第三条规定在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作；国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。	A：規則第3条では、国家ネットワーク情報部の調整のもと、国務院の公安部門が重要な情報インフラのセキュリティ保護を指導・監督する責任を負い、国務院の電気通信主管部門およびその他の関連部門が、規則および関連する法律や行政法規の規定に基づき、それぞれの責任範囲内で重要な情報インフラのセキュリティ保護・監督を行うことを規定しています。省人民政府の関連部門は、それぞれの責任に応じて、重要な情報インフラのセキュリティ保護と監督・管理に責任を負います。
问：关键信息基础设施如何认定？	Q：重要な情報インフラはどのように特定されるのですか？
答：《条例》从我国国情出发，借鉴国外通行做法，明确了关键信息基础设施的定义和认定程序。一是明确关键信息基础设施的定义。二是明确关键信息基础设施所在行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。三是明确由保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并组织认定本行业、本领域的关键信息基础设施。四是规定关键信息基础设施发生较大变化，可能影响其认定结果时，运营者应当及时报告保护工作部门，由保护工作部门重新认定。	A: 本規則は、中国の国内事情に始まり、海外の一般的な慣行を参考にして、重要情報インフラの定義と識別手順を明確にしています。第一に、重要情報インフラの定義が明確になりました。第二に、重要情報インフラが設置されている産業や分野の主管部門や監督管理部門が、重要情報インフラのセキュリティ保護に責任を持つ部門であることは明らかです。第三に、保護作業部門が業界と現場の実際の状況を考慮し、重要な情報インフラの識別ルールを策定し、業界と現場の重要な情報インフラの識別を整理し明らかにする。第四に、重要情報インフラに重大な変化が生じ、その識別結果に影響を与える可能性がある場合、事業者は速やかに保護作業部門に報告し、保護作業部門は再識別を行うことを定めています。
问：《条例》对保护工作部门职责作了哪些规定？	Q：保護作業部門の責任に関する規定を教えてください。
答：依据《中华人民共和国网络安全法》有关规定，按照“谁主管谁负责”的原则，《条例》明确了保护工作部门对本行业、本领域关键信息基础设施的安全保护责任：一是制定关键信息基础设施安全规划，明确保护目标、基本要求、工作任务、具体措施。二是建立健全网络安全监测预警制度，及时掌握关键信息基础设施运行状况、安全态势，预警通报网络安全威胁和隐患，指导做好安全防范工作。三是建立健全网络安全事件应急预案，定期组织应急演练。四是指导运营者做好网络安全事件应对处置，并根据需要组织提供技术支持与协助。五是定期组织开展网络安全检查检测，指导监督运营者及时整改安全隐患、完善安全措施。	A：中華人民共和国ネットワークセキュリティ法の関連規定に基づき、「誰が担当し、誰が責任を負うか」という原則に基づいて、本規程は、産業界および現場における重要な情報インフラのセキュリティ保護に関する保護部門の責任を明確にしています。第一は、重要情報インフラのセキュリティ計画を策定し、保護目的、基本要件、タスク、具体的な対策を明らかにすることです。第二は、ネットワークセキュリティの監視と早期警報システムを構築・改善し、重要な情報インフラの運用状況、セキュリティの状況をタイムリーに把握し、ネットワークセキュリティの脅威や隠れた危険を早期に警告通知し、セキュリティ対策をしっかりと行うよう指導することです。第三は、ネットワークセキュリティ事故に対する緊急計画を策定・改善し、定期的に緊急訓練を実施することです。第四は、ネットワークセキュリティ事故にうまく対処できるよう運営者を指導し、必要に応じて技術的なサポートや支援を提供することです。第五は、定期的にネットワークセキュリティの検査とテスト、指導、および運営者の監督を整理し、セキュリティリスクを是正し、タイムリーにセキュリティ対策を改善することです。
问：为强化和落实关键信息基础设施运营者主体责任，《条例》主要作了哪些规定？	Q：重要な情報インフラ運営者の主な責任を強化し、実行するために、規則の主な条項は何ですか？
答：《条例》在总则部分对运营者责任作了原则规定，要求运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。	A: 規則の一般的な部分では、運営者の責任が原則として定められており、運営者は、規則および関連する法律や行政法規、さらには国家規格の必須要件に従って、ネットワークセキュリティレベルの保護に基づいて、ネットワークセキュリティ事故への対応、ネットワーク攻撃や違法・犯罪行為の防止、重要な情報インフラの安全で安定した運用の確保のために、技術的保護措置およびその他の必要な措置を講じることが求められています。また、データの完全性、機密性、可用性の維持についても規定しています。
《条例》还设专章细化了有关义务要求，主要包括：一是建立健全网络安全保护制度和责任制，实行“一把手负责制”，明确运营者主要负责人负总责，保障人财物投入。二是设置专门安全管理机构，履行安全保护职责，参与本单位与网络安全和信息化有关的决策，并对机构负责人和关键岗位人员进行安全背景审查。三是对关键信息基础设施每年进行网络安全检测和风险评估，及时整改问题并按要求向保护工作部门报送情况。四是关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，按规定向保护工作部门、公安机关报告。五是优先采购安全可信的网络产品和服务，并与提供者签订安全保密协议；可能影响国家安全的，应当按规定通过安全审查。	規則はまた、主に含む関連する義務を絞り込むために特別な章を設定します。第一は、ネットワークセキュリティの保護システムと責任体制を確立し、改善する「責任体制の一元化」の実装は、運営者の主担当者が全体の責任を負うことを明確にし、人的・金銭的資源の投入を確実にします。第二は、専門のセキュリティ管理機関を設立し、セキュリティ保護の任務を遂行し、ネットワークセキュリティや情報技術に関する部隊の意思決定に参加し、機関の長や主要な人員のセキュリティ身元調査を行うことです。第三は、年次のネットワークセキュリティテストと重要な情報インフラのリスク評価、問題のタイムリーな修正と必要に応じて保護作業部門への報告です。第四は、重要な情報インフラで重大なサイバーセキュリティ事件が発生した場合、または重大なサイバーセキュリティ脅威が発見された場合、必要に応じて保護作業部門と公安当局に報告することです。第五は、安全で信頼できるネットワーク製品・サービスを優先的に調達し、プロバイダーとの間でセキュリティや機密保持に関する契約を締結し、国家安全保障に影響を与える可能性のあるものは、必要に応じてセキュリティ審査に合格しなければなりません。
问：对于关键信息基础设施安全保护工作，《条例》明确了哪些保障和促进措施？	Q: 重要な情報インフラのセキュリティ保護について、規制ではどのようなセーフガードや促進策が明確にされているのでしょうか？
答：保障关键信息基础设施安全，需要统筹资源和力量，全方位实施保护。《条例》在保障方面，一是明确建立网络安全信息共享机制，并规定工作中获取的信息只能用于维护网络安全，不得泄露、出售或者非法向他人提供。二是对国家有关部门开展安全检查作出规定，要求避免不必要的检查和交叉重复检查，检查不得收费，不得要求被检查单位购买指定产品和服务；同时规定任何个人和组织未经授权不得对关键信息基础设施进行探测测试等活动。三是规定国家网信部门和国务院电信主管部门、公安部门等根据保护工作部门需要，提供技术支持和协助。四是明确国家对能源、电信等关键信息基础设施安全运行实施优先保障。五是规定公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫，防范打击针对和利用关键信息基础设施实施的违法犯罪活动。六是明确国家出台安全标准，指导规范关键信息基础设施安全保护工作。《条例》在支持促进方面，从人才培养、技术创新和产业发展、网络安全服务机构建设与管理、军民融合、表彰奖励等方面作了相应规定。	A: 重要な情報インフラのセキュリティを守るためには、すべての面で保護を実施するためのリソースと強度を調整する必要があります。安全対策については、第一に、ネットワークセキュリティに関する情報共有の仕組みを明確にし、業務上知り得た情報は、ネットワークセキュリティを維持するためにのみ使用し、他人に漏洩したり、販売したり、不正に提供したりしてはならないことを定めています。第二に、国家の関連部門がセキュリティ検査を実施するための規定を設け、不必要な検査や重複検査を避けること、検査費用を請求しないこと、検査を受けたユニットに特定の製品やサービスの購入を要求しないこと、個人や組織が許可なく重要な情報インフラに対してプロービングテストなどを行わないことなどを定めています。第三に、国務院のネットワーク情報部門と通信・公安部門の主務部門は、保護作業部門のニーズに応じて、技術的な支援・援助を行うことが定めています。第四に、エネルギー、通信、その他の重要な情報インフラの安全な運用のために、国が優先的な保護を実施していることを明らかにしています。第五に、公安機関と国家安全保障機関がそれぞれの責任において重要な情報インフラのセキュリティを強化し、重要な情報インフラに対する、あるいは重要な情報インフラを利用して行われる違法行為や犯罪行為を防止・撲滅することを定めています。第六に、重要な情報インフラのセキュリティ保護の標準化を導くために、国がセキュリティ基準を導入することを明らかにしました。支援と促進に関しては、人材育成、技術革新と産業の発展、ネットワークセキュリティサービス機関の建設と管理、軍民の統合、表彰と報奨などの面で、規則に対応した規定が設けられています。
问：对实施危害关键信息基础设施安全活动的个人和组织，或未经授权或批准，对关键信息基础设施实施漏洞探测、渗透性测试等活动的个人和组织，《条例》作了哪些规范？	Q: 重要な情報インフラのセキュリティを危険にさらす活動や、重要な情報インフラに対する脆弱性検出や侵入テストなどの活動を、許可や承認なしに行う個人や組織に対する規制はどうなっていますか？
答：实践中，一些个人和组织擅自对关键信息基础设施实施漏洞探测、渗透性测试等活动，影响关键信息基础设施安全。《条例》一是明确任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动，不得危害关键信息基础设施安全。二是规定未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动，应当事先向国务院电信主管部门报告。三是在法律责任章节中专门规定了相应罚则。	A: 実際には、一部の個人や組織が、重要な情報インフラに対して脆弱性検出や侵入テストなどの活動を無許可で行い、重要な情報インフラのセキュリティに影響を与えています。第一に、本規則では、個人や組織が重要な情報インフラへの違法な侵入、干渉、損害を与えてはならず、重要な情報インフラのセキュリティを危険にさらしてはならないことを明確にしています。第二に、国家ネットワーク情報部門、国務院公安部の承認、または保護作業部門や運営者の許可がない限り、個人や組織が脆弱性の調査や侵入テストなど、重要情報インフラのセキュリティに影響を与えたり危険にさらす可能性のある活動を実施してはならないと定めています。基礎電気通信網に対する脆弱性検出、侵入テストなどの実施は、事前に国務院の電気通信主管部門に報告しなければなりません。第三に、対応する罰則が法的責任の章で具体的に定めています。
问：关键信息基础设施中的重要数据出境如何进行？	Q：重要な情報インフラの重要なデータの出口はどのように行われるのですか？
答：《中华人民共和国数据安全法》已由第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过，将于9月1日起实施。其中，第三十一条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定。《中华人民共和国网络安全法》第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。	A: 「中華人民共和国データセキュリティ法」は、2021年6月10日に開催された第13期全国人民代表大会常務委員会第29回会議で採択され、9月1日から施行されます。特に第31条では、重要な情報インフラの運営者が中華人民共和国の領域内での業務において収集・生成した重要なデータの対外的なセキュリティ管理には、中華人民共和国のネットワークセキュリティに関する法律の規定が適用されると規定しています。中華人民共和国ネットワークセキュリティ法第37条では、重要な情報インフラの運営者が中華人民共和国での業務の過程で収集・生成した個人情報や重要なデータを領域内に保存することを定めています。業務上の必要性から国外で提供する必要がある場合には、国務院の関連部門と連携して国家ネットワーク情報部が策定した対策に基づき、セキュリティ評価を行います。法律または行政法規で別段の定めがある場合には、その規定に従うものとします。

追記：ここまで

ネットワークセキュリティ法について、、、

・中华人民共和国网络安全法

JETROの仮訳（大地法律事務所仮訳）

・[PDF] ネットワーク安全法

wikipedia

・[JP] [EN] [CH]

こちらは、データセキュリティ法のほうです。。。

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.12 中国データセキュリティ法が承認され2021.09.01施行されますね。。。

・2020.07.06 中国のデータセキュリティ法案

2021.08.18 05:52 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

経済産業省 / IPA サイバーセキュリティ経営可視化ツールWeb版（V1.0版）

こんにちは、丸山満彦です。

経済産業省が、「独立行政法人情報処理推進機構（IPA）は、サイバーセキュリティの実践状況を企業自身がセルフチェックで可視化するためのサイバーセキュリティ経営可視化ツールWeb版（V1.0版）を開発、公開しました。
」とアナウンスしています。ツール自体はIPAから公表されていますね！

ベータ版を改良し、V1.0にした感じです。

私も作成に関与していますので、よそよそしい言い方はしないようにしますね😊

● 経済産業省

・2021.08.17 (News) サイバーセキュリティ経営可視化ツールWeb版（V1.0版）を公開しました

2．可視化ツールWeb版（V1.0版）の概要

この「可視化ツール」を使うことで、サイバーセキュリティの実践状況を企業自身がセルフチェックで可視化することができます。企業が自社の状況を定量的に把握することで、サイバーセキュリティに関する方針の策定や、適切なセキュリティ投資の実行等が可能となります。
具体的には、チェックリストの39個の質問に回答いただくと、実践状況の結果がレーダーチャート形式で表示されます。
表示された実践結果は、過去の診断結果と比較（経年変化）できます（※）。
各業種の平均値と比較もできます（※）。
「サイバーセキュリティ経営ガイドラインVer.2.0実践のためのプラクティス集」から実践事例が表示されます（※推奨対策）

※Excel版（β版）からの改良点

● IPA - 情報セキュリティ - ツール

・2021.08.17 サイバーセキュリティ経営可視化ツール

実際の診断は、このサイトの「使い方ガイド」をよく読んでからしてくださいね。。。

で、実際のツールは

・情報セキュリティ診断《TOP》

にありますので、このページにすすんで確認してくださいね。。。

こちらのサイトも情報収集に役立つと思いますので、紹介しておきますね。。。

・情報セキュリティ対策支援サイト

このサイバーセキュリティ経営可視化ツールは、まさにツールですので、これを金科玉条のように掲げて、、、ではなく、自組織のセキュリティ対策の向上のための一つの道具と思って、うまく使ってくださいませ。。。

道具ですから使うもので、道具に使われてはいけません😊

経営ガイドライン関係はこちらの記事も参考にしてくださいませ。。。

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.27 経済産業省「サイバーセキュリティ体制構築・人材確保の手引き」（第1.1版）

・2021.04.06 IPA 「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書

・2020.09.30 経済産業省からサイバーセキュリティ経営ガイドラインVer2.0の付録として「サイバーセキュリティ体制構築・人材確保の手引き」が公開されていますね。。。

・2020.07.01 経済産業省第5回産業サイバーセキュリティ研究会

・2020.06.04 IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

・2020.03.26 IPA サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版

2021.08.18 03:26 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2021.08.17

ロシア連邦中央銀行が金融取引におけるクライアント認証のセキュリティ標準を発行

こんにちは、丸山満彦です。

DXは世界中で...ということなのでしょうね。ロシア連邦中央銀行が金融取引におけるクライアント認証のセキュリティ標準を発行していますね。。。

● Банк России（ロシア連邦中央銀行）

・2021.08.16 Вводится стандарт по безопасности финансовых операций（金融取引セキュリティに関する標準を導入）

Вводится стандарт по безопасности финансовых операций	金融取引のセキュリティに関する標準を導入
Банк России вместе с участниками рынка разработал стандарт, который совершенствует механизм сохранности данных при проведении финансовых операций.	ロシア銀行は、市場関係者と協力して、金融取引のデータ・セキュリティ・メカニズムを改善する標準を開発しました。
Защите конфиденциальной информации финансовых организаций и их клиентов будут способствовать установленные в документе требования к финансовым API (программным интерфейсам взаимодействия между финансовыми организациями).	金融機関とその顧客の機密情報の保護は、本文書に記載されている金融API（金融機関間のソフトウェア・インターフェース）の要件によって促進されます。
В частности, поставщики приложений смогут при наличии актуального идентификатора конечного пользователя (клиента поставщика платежных услуг) применять определенные механизмы для повышения надежности аутентификации клиента по альтернативным каналам.	特に、アプリケーションプロバイダーは、エンドユーザー（ペイメントサービスプロバイダーの顧客）が現在の識別子を持っていれば、代替チャネルによる顧客認証の信頼性を高めるために特定のメカニズムを適用できるようになります。
Стандарт носит рекомендательный характер. Им могут руководствоваться сторонние поставщики услуг, которым для выполнения операций нужны сведения о банковском счете клиента, участники перевода денежных средств, а также разработчики информационного и программного обеспечения, информационных систем.	この標準は推奨事項です。取引のために顧客のアカウント情報を必要とする第三者のサービスプロバイダー、資金移動の参加者、さらには情報やソフトウェア、情報システムの開発者が利用することができます。

・[PDF] БЕЗОПАСНОСТЬ ФИНАНСОВЫХ (БАНКОВСКИХ) ОПЕРАЦИЙ - ПРИКЛАДНЫЕ ПРОГРАММНЫЕ ИНТЕРФЕЙСЫ（金融（銀行）取引のセキュリティ - API）

ロシア語で読めないんですが、、、参考文献をみるとなんとなく察しがつくような気もする。。。

Предисловие	序文
1. Введение	1. はじめに
2. Область применения	2. 適用範囲
3. Термины и определения	3. 用語と定義
4. Обозначения и сокращения	4. 頭字語と略語
5. Общие положения	5. 一般規定
5.1. Структура стандарта	5.1. 標準の構成
5.2. Нормативные требования	5.2. 規制要求事項
6. Реализация OpenID Connect при аутентификации по отдельному каналу	6. 別チャネルで認証する際のOpenID Connectの実装
6.1. Режимы Poll, Ping и Push	6.1. Poll、Ping、Pushの各モード
6.1.1. Режим Poll	6.1.1. Pollモード
6.1.2. Режим Ping	6.1.2. Pingモード
6.1.3. Режим Push	6.1.3. Pushモード
6.2. Регистрация и обнаружение метаданных	6.2. メタデータの登録と検出
6.2.1. Метаданные сервера авторизации	6.2.1. 認証サーバのメタデータ
6.2.2. Метаданные клиента	6.2.2. クライアントのメタデータ
6.3. Конечная точка аутентификации по отдельному каналу	6.3. 独立したチャネル認証エンドポイント
6.3.1. Запрос аутентификации	6.3.1. 認証要求
6.3.2. Проверка запроса аутентификации	6.3.2. 認証要求の検証
6.3.3. Успешное подтверждение запроса аутентификации	6.3.3. 認証要求検証の成功
6.3.4. Проверка положительного ответа на запрос аутентификации	6.3.4. 認証要求に対する肯定的な応答の検証
6.3.5. Получение сервером авторизации согласия/авторизации конечного пользователя	6.3.5. 認証サーバがエンドユーザから同意／認証を受け取る
6.4. Конечная точка уведомления клиента	6.4. 顧客通知エンドポイント
6.5. Получение результата аутентификации	6.5. 認証結果の受信
6.5.1. Запрос токена	6.5.1. リクエストトークン
6.5.2. Обратный вызов в режиме Ping	6.5.2. Pingモードでのコールバック
6.5.3. Обратный вызов Push	6.5.3. Pushモードでのコールバック
6.6. Ответ об ошибке токена	6.6.トークン・エラー・レスポンス
6.7. Полезная нагрузка ошибки Push	6.7. Pushエラーのペイロード
6.8. Ответ об ошибке аутентификации	6.8 認証エラー応答
6.8.1. Коды ошибок аутентификации, связанные с ошибками HTTP	6.8.1. HTTPエラーに関連する認証エラーコード
7. Профиль безопасности OpenID API с использованием потока аутентификации по отдельному каналу для доступа к сервисам в режиме чтения и записи	7. サービスへの読取りと書込みのアクセスに別々のチャネル認証フローを使用するOpenID APIセキュリティプロファイル
7.1. Общие требования	7.1. 一般要求事項
7.2. Сервер авторизации	7.2. 認証サーバ
7.3. Конфиденциальный клиент	7.3. コンフィデンシャル・クライアント
7.3.1. Основные положения	7.3.1. 一般規定
7.4. Расширения для запроса аутентификации	7.4. 認証リクエストの拡張機能
7.5. Доступ к защищенным ресурсам	7.5. 保護された資源へのアクセス
7.5.1. Положения клиента	7.5.1. クライアントの規定
7.5.2. Механизмы защиты	7.5.2. セキュリティ・メカニズム
7.6. Подтверждение процесса аутентификации	7.6. 認証プロセスの確認
7.6.1. Инициация сессий аутентификации без участия конечного пользователя	7.6.1. エンドユーザーが関与しない認証セッションの開始
7.6.2 Подтверждение пользователем значения <binding_message>	7.6.2. <binding_message>の値のユーザによる確認
Библиография	参考文献

2021.08.17 07:19 in 情報セキュリティ / サイバーセキュリティ | Permalink | Comments (0)
Tweet

NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「ティラノサウルスとスズメ」

こんにちは、丸山満彦です。

デジタル・フォレンジック研究会にコラムを載せました。

● IDF - Column

・2021.08.16 第６７８号コラム：ティラノサウルスとスズメ

鳥類は恐竜の生き残りといわれています。鳥類を除く恐竜が絶滅した6600万年前の白亜紀末（K-Pg境界）における大量絶滅は、一定の環境に特化して最適化した生物は、その環境では圧倒的な力を発揮するものの、環境変化が起こると特化した故に生き残りにくいということを証明しているのかもしれませんね。

IT業界も環境変化が急速におこっているように思います。クラウド化です。これからますますクラウド利用が進むと思っています。そのようになった場合のデジタル・フォレンジックスはどのようになっているのか、考えておくことが重要かと思っています。。。

私が書いた「NPO デジタル・フォレンジック研究会」の「コラム」の一覧

＃	No	Date	Title
25	678	2021.08.16	ティラノサウルスとスズメ
24	650	2021.02.01	データを科学的に分析する
23	627	2020.08.17	若者のサイバー犯罪を無くしたい。。。
22	600	2020.02.03	デジタルフォレンジックスと多様性
21	578	2019.08.26	未来を考えようと思うとき、人は過去を振り返る
20	551	2019.02.11	とらわれずに物事をみつめる
19	521	2018.07.09	ＡＩは科学捜査を騙せるか？
18	493	2017.12.18	セキュリティ・デバイド？
17	474	2017.08.07	『デジタル・フォレンジック』という言葉を今更考える
16	451	2017.02.20	相手を知ることが重要
15	425	2016.08.15	本質を理解する
14	383	2015.10.12	名ばかりCSIRTで良いのか？
13	357	2015.04.13	ＩｏＴ時代は明るいか暗いか
12	335	2014.11.03	頭を下げるのは社長です
11	308	2014.04.30	標的型攻撃には内部不正対応が重要？
10	286	2013.11.14	セキュリティガバナンスはできる範囲だけやればよいのか？
09	261	2013.05.23	セキュリティの基本はずっとかわっていない
08	240	2012.12.25	さらに組織化が進むサイバー攻撃集団
07	207	2012.05.10	外部から侵入されている想定で情報セキュリティを考える
06	173	2011.09.08	想定外に対応するのが危機管理ではないか
05	139	2011.01.13	データ分析を使った不正発見手法
04	131	2010.11.11	発見的統制の重要性
03	084	2009.12.10	クラウドコンピューティングがもたらす光と影
02	058	2009.06.11	不正をさせない
01	021	2008.09.25	ニーズとシーズ、目的と手段

2021.08.17 01:55 in フォレンジック, in 危機管理 / 事業継続, in クラウド | Permalink | Comments (0)
Tweet

2021.08.16

サイバースペース・ソラリウム委員会が2021年実施報告書を公表していますね。。。

こんにちは、丸山満彦です。

サイバースペース・ソラリウム委員会が2021年実施報告書を公表していますね。。。

● Cyberspace Solarium Commission (CSC)

・2021.08.12 2021 Annual Report on Implementation

2020年3月に発行された報告書 [PDF] では、82の勧告が出されたわけですが、その後のフォローアップです。。。

約35％が実施されているか、実施に近づいており、約44％が実施に向けて順調に進んでいるとのことですね。。。

・[PDF] 2021 ANNUAL REPORT ON IMPLEMENTATION

目次です。。。

Executive Summary	エグゼクティブ・サマリー
Commission Background	委員会の背景
Evaluating Progress	進歩を評価する
Measuring Impact and Promoting Future Success	影響力の測定と将来の成功の促進
Identification of Threats, Opportunities, and Priorities	脅威、機会、優先事項の特定
Evaluating the Implementation of the Layered Cyber Deterrence Strategy	重層的サイバー抑止戦略の実施状況の評価
Shape Behavior	行動の形成
Deny Benefits	利益を否定する
Impose Costs	コストの負担
Implementation of CSC Recommendations	サイバースペース・ソラリウム委員会による提言の実施
Recommendations from the Cyberspace Solarium Commission Report	サイバースペース・ソラリウム委員会報告書の提言
Pillar One: Reform the U.S. Government’s Structure and Organization for Cyberspace	柱1：サイバースペースのための米国政府の構造と組織の改革
Pillar Two: Strengthen Norms and Non-military Tools	柱2：規範と非軍事的手段の強化
Pillar Three: Promote National Resilience	柱3：国家の強靭性の促進
Pillar Four: Reshape the Cyber Ecosystem toward Greater Security	柱4：サイバー・エコシステムをより安全なものへと再構築する
Pillar Five: Operationalize Cybersecurity Collaboration with the Private Sector	柱5：民間企業とのサイバーセキュリティ協力の実現
Pillar Six: Preserve and Employ the Military Instrument of Power	柱6：軍事力を維持・活用する
Cyberspace Solarium Commission White Papers	サイバースペース・ソラリウム委員会白書
White Paper #1: Cybersecurity Lessons from the Pandemic	白書#1：パンデミックから得られるサイバーセキュリティの教訓
White Paper #2: National Cyber Director	白書#2：国家サイバー長官
White Paper #3: Growing a Stronger Federal Cyber Workforce	白書#3：より強力な連邦サイバー人材の育成
White Paper #4: Building a Trusted ICT Supply Chain	白書#4：信頼できるICTサプライチェーンの構築

EXECUTIVE SUMMARY	エグゼクティブサマリー
The United States has a problem in cyberspace. The recent torrent of hacks, intrusions, breaches, ransomware, and shutdowns demonstrates that we have much more to do to secure Americans’ lives and livelihoods online. This is true for the private sector, where it is far past time for business leaders to proactively protect critical infrastructure and secure sensitive information. It is also true for the government, where issues of jurisdic tion, bureaucracy, and underinvestment hamper efforts to combat cyber threats, build effective public-private collabora tion, and promote responsible behavior in cyberspace. Complex and interwoven challenges like these were precisely what motivated the Cyberspace Solarium Commission’s work and informed the Commission’s March 2020 report. Last year we concluded that attaining meaningful security in cyberspace requires action across many coordinated fronts. We have seen a great deal of progress in implementing the original 82 recommendations from that report, as well as the recommendations we added in white papers along the way.	米国は、サイバー空間において問題を抱えています。最近のハッキング、侵入、違反、ランサムウェア、業務停止が続け様に起こっている状況は、米国人のオンラインでの生活と人生を安全にするために、私たちがすべきことがたくさんあることを示しています。これは民間企業にも言えることで、ビジネスリーダーが重要なインフラの保護や機密情報の保護に積極的に取り組むべき時期はとうに過ぎています。また、政府においても、管轄権、官僚主義、投資不足などの問題が、サイバー脅威への対策、効果的な官民協力体制の構築、サイバー空間における責任ある行動の促進を妨げています。このような複雑に絡み合った課題こそが、サイバースペース・ソラリウム委員会の活動の動機であり、2020年3月に発表された同委員会の報告書にも反映されています。昨年、私たちは、サイバースペースにおいて意味のあるセキュリティを達成するためには、多くの連携した最前線での行動が必要であると結論づけました。私たちは、この報告書に記載された82の提言と、途中でホワイトペーパーに追加した提言の実施において、大きな進歩を遂げています。
But these changes are just beginning, and the threat remains every bit as real this year. As a country, we all—businesses, government, civil society, and individuals—need to act with more speed and agility when it comes to securing cyberspace. That means investing in enterprise cybersecurity before attacks happen, developing a clear cyber strategy, sharing threat information at the speed of data, ensuring that our teachers have the tools they need to kindle a spark of interest that will one day lead a student to a cyber job, and so much more. Keeping in mind the monumental work still ahead of us, we find several highlights in assessing the Commission’s progress to date:	しかし、これらの変化はまだ始まったばかりで、今年も脅威は全く同じように存在しています。国として、企業、政府、市民社会、個人のすべてが、サイバー空間の安全を確保するために、より迅速かつ敏捷に行動する必要があります。そのためには、攻撃を受ける前に企業のサイバーセキュリティに投資すること、明確なサイバー戦略を策定すること、データの速さで脅威情報を共有すること、学生がいつかサイバー関連の仕事に就けるように興味の火をつけるために必要なツールを教師が確保することなど、多くのことを行う必要があります。私たちの前にはまだ大きな課題が残されていることを念頭に置きつつ、委員会のこれまでの進捗状況を評価する上で、いくつかのポイントを見つけました。
Evaluating the Big Picture – The Commission’s report was more than a collection of recommendations. It was also a strategic approach to and assessment of the cyber threat landscape. In some cases, the accuracy of the Commission’s analysis is obvious: the drumbeat of significant cyberattacks undeniably increased as expected, but we certainly did not predict that the COVID-19 pandemic would create a new opportunity for such attacks. In other cases, evaluating the Commission’s work is more difficult. While the Commission’s strategic approach of layered cyber deterrence has remained a valuable framework for evaluating possible U.S. actions to defend against attacks of significant consequence, understanding its larger impact will require more time and better mechanisms for measuring improvements in national cybersecurity. In the meantime, individual recommendations that anchor that strategic approach are well on their way to implementation.	全体像の評価 - 本委員会の報告書は、単なる提言集ではありません。委員会の報告書は、サイバー脅威の状況に対する戦略的なアプローチと評価でもあります。場合によっては、委員会の分析の正確さが明らかになることもあります。しかし、COVID-19のパンデミックがそのような攻撃の新たな機会を生み出すとは予測していませんでした。一方で、委員会の活動を評価することはより困難です。重層的なサイバー抑止力という委員会の戦略的アプローチは、重大な結果をもたらす攻撃から米国を守るために可能な行動を評価するための貴重な枠組みであり続けていますが、その大きな影響を理解するには、より多くの時間と、国家のサイバーセキュリティの改善を測定するためのより良いメカニズムが必要です。ここまでの間、この戦略的アプローチを支える個々の提言は、実施に向けて順調に進んでいます。
Major Steps Forward – A number of the Commission’s key recommendations have been implemented by the Congress or executive branch; in other cases, significant progress toward their implementation is being made. The establishment, nomination, and confirmation of a National Cyber Director (Recommendation 1.3) represents significant progress toward implementing the Commission’s highest-priority goals. The FY21 National Defense Authorization Act included provisions to strengthen the Cybersecurity and Infrastructure Security Agency (Recommendation 1.4), codify Sector Risk Management Agencies (Recommendation 3.1), establish a Continuity of the Economy plan (Recommendation 3.2), establish a Joint Cyber Planning Office (Recommendation 5.4), and require a force structure assessment of the Cyber Mission Force (Recommendation 6.1). Meanwhile, both Trump and Biden administration actions have made inroads toward implementing an information and communications technology or ICT industrial base strategy (Recommendation 4.6), and the President’s Budget Request proposes a Cyber Response and Recovery Fund (Recommendation 3.3).	大きな前進 - 委員会の主要な提言の多くは、議会または行政府によって実施されており、その他のケースでも、実施に向けて大きな進展が見られています。国家サイバー長官の設置、指名、確認（提言1.3）は、委員会の最優先目標の実施に向けて大きく前進したことを意味します。21年度国防権限法には、サイバーセキュリティ・インフラセキュリティ庁の強化（提言1.4）、セクターリスク管理機関の成文化（提言3.1）、経済継続計画の策定（提言3.2）、合同サイバー計画室の設置（提言5.4）、サイバー任務部隊の戦力構造評価の義務付け（提言6.1）などの条項が盛り込まれました。一方、トランプ、バイデン両政権の行動は、情報通信技術（ICT）産業基盤戦略（提言4.6）の実施に向けて前進しており、大統領予算要求では、サイバー対応・復興基金（提言3.3）が提案されています。
Remaining Priorities – Progress in implementing Commission recommendations has been remarkable, but not universal, and many key issues remain priorities for the Commission’s future work. Codifying the concept of Systemically Important Critical Infrastructure (Recommendation 5.1) and establishing a Joint Collaborative Environment (Recommendation 5.2) continue to be complex, challenging, and high-priority goals. The Cyber Diplomacy Act (Recommendation 2.1), which has yet to pass the Senate, would implement the Commission’s recommendation for a cyber-focused bureau at the State Department. Several recommendations—like the establishment of House Permanent Select and Senate Select Committees on Cybersecurity (Recommendation 1.2) and a National Data Security and Privacy Protection Law (Recommendation 4.7)—have met resistance and are unlikely to move forward in the near future. However, the Commission remains dedicated to refining and advancing these recommendations. The policy community may not be prepared to take on these hard problems today, but we are making sure that the recommendations are ready when the time comes.	残された優先事項 - 本委員会の提言の実施における進展は目覚しいものがありますが、万能ではなく、多くの重要な問題が委員会の今後の作業の優先事項として残されています。システム上重要な重要インフラの概念の成文化（提言5.1）と共同協力環境の確立（提言5.2）は、引き続き複雑で困難であり、優先度の高い目標です。いまだ上院を通過していないサイバー外交法（提言2.1）は、国務省にサイバーに特化した局を設置するという委員会の提言を実施するものです。サイバーセキュリティに関する下院常設特別委員会と上院特別委員会の設置（提言1.2）や、国家データセキュリティ・プライバシー保護法（提言4.7）など、いくつかの提言は抵抗を受けており、近い将来に前進する可能性は低いと思われます。しかし、当委員会は、これらの提言をさらに洗練させ、前進させることに専心しています。政策コミュニティは、今日、これらの難しい問題に取り組む準備ができていないかもしれないが、我々は、その時が来たときに提言が準備できるようにしています。
The Commission is proud of its progress but recognizes that in order to determine where we go next in cybersecurity, we must be clear-eyed about what is not working. And we understand that many of the remaining recommendations are not low-hanging fruit; we need to keep climbing to get many of them done. Many critical recommendations are not imple mented yet, but that does not mean we intend to write them off as a loss and move on. With that in mind, the analysis below does more than just enumerate recommendations that have or have not been implemented. It also outlines remaining priorities and the adaptations made by the Commission to improve its approach.	本委員会は、これまでの成果を誇りに思っていますが、サイバーセキュリティで次に何をすべきかを決定するためには、何がうまくいっていないのかを明確に見極める必要があると認識しています。また、残された提言の多くは、低空飛行の果実ではないことを理解しており、その多くを成し遂げるためには前進し続ける必要があります。多くの重要な提言はまだ完了していませんが、だからといって、それらを損失として処理し、先に進むつもりはありません。このことを念頭に置いて、以下の分析では、実施済みまたは未実施の提言を列挙するだけではありません。また、残された優先事項と、そのアプローチを改善するために本委員会が行った適応策の概要も示しています。
We have endeavored to be very careful in our use of the word “success” in this report. Real success is protecting national critical infrastructure from malicious cyber activity. We believe that these recommendations will help the country achieve that success, but we are under no illusions that the work ends when a recommendation becomes law or an executive order incorporates a Commission priority. This report draws a map connecting our current reality in cyberspace to a future when Americans can rely on the digital infrastructure that surrounds us. Implementation of the Commission’s recommendations is only the very first step toward a connected world we can trust. All of us—and each of you—share responsibility for every step after that.	本報告書では、「成功」という言葉の使い方に細心の注意を払っています。真の成功とは、国家の重要インフラを悪意のあるサイバー活動から守ることです。私たちは、これらの提言が国がその成功を達成するのに役立つと信じていますが、提言が法律になったり、委員会の優先事項が大統領令に盛り込まれたりした時点で仕事が終わるという幻想は持っていません。本報告書は、サイバースペースにおける現在の現実と、米国人が私たちを取り巻くデジタルインフラに依存できるようになる未来とを結ぶ地図を描いています。委員会の提言の実施は、信頼できるつながりのある世界に向けた最初の一歩にすぎません。その後の一歩一歩には、私たち全員、そして皆さん一人ひとりが責任を負っています。

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.13 従来型抑止と戦略的抑止に対するサイバー脅威と脆弱性 by 米国サイバースペースソラリウム委員会の事務局長

・2021.03.25 U.S. GAO High-Riskシリーズ：連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.01.06 米国 2021年度 National Defense Authorization Act (NDAA) （国防授権法）成立　サイバー関係も・・・

・2020.10.04 サイバースペース・ソラリウム委員会

・2020.07.05 興味深い＝＞The reverse cascade: Enforcing security on the global IoT supply chain - In-Depth Research & Reports by Nathaniel Kim, Trey Herr, and Bruce Schneier

2021.08.16 07:26 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in (temp)COVID-19 | Permalink | Comments (0)
Tweet

2021.08.15

日本の防衛副大臣が米サイバー軍を訪問し、CYBERCOM司令官のポール・ナカソネ大将と会談したようですね

こんにちは、丸山満彦です。

日本の中山泰秀防衛副大臣が米サイバー軍を訪問し、CYBERCOM司令官のポール・ナカソネ大将と会談したようですね。

● 防衛省

・2021.08.12 [PDF] 中山防衛副大臣の米国訪問（概要）

１．ナカソネ・サイバー軍司令官との会談

防衛省の政務三役として初めてサイバー軍司令部を訪問し、サイバー空間における脅威増大を背景に、日米間の連携の重要性を改めて確認し、具体的な協力の方針について議論するとともに、脅威動向についての情報交換を行った。

２．カール米国防省国防次官（政策担当）との会談

地域の安全保障環境が厳しさを増す中、日米があらゆるレベルで緊密に連携していくことが重要であるとの考えを共有した。また、サイバー領域における協力も含め、日米同盟の抑止力、対処力を一層強化していくことを確認した。

● U.S. Cyber Command

・2021.08.11 Japanese State Minister of Defense Nakayama visits U.S. Cyber Command

Japanese State Minister of Defense Nakayama visits U.S. Cyber Command	中山防衛副大臣が米国サイバーコマンドを訪問
FORT GEORGE G. MEADE, Md. – Yasuhide Nakayama, State Minister of Defense for Japan, visited U.S. Cyber Command at Ft. Meade on August 9, 2021 to meet with senior leaders.	フォートミード・ジョージ・G　メリーランド州 - 中山泰秀防衛大臣は、2021年8月9日にフォート・ミードの米国サイバー司令部を訪問し、上級幹部と会談しました。
Minister Nakayama met with Gen. Paul M. Nakasone, Commander of CYBERCOM. They discussed strategic security challenges in cyberspace and bilateral cooperation between the U.S. and Japan. Nakasone also briefed Minister Nakayama on the roles, missions, and capabilities of CYBERCOM.	中山大臣は、サイバーコム司令官のポール・M・ナカソネ大将と会談しました。両者は、サイバースペースにおける戦略的安全保障上の課題と日米間の協力関係について話し合いました。また、ナカソネ大将は、中山副大臣にCYBERCOMの役割、任務、能力について説明しました。
I was honored to welcome Minister Nakayama to U.S. Cyber Command. Our dialogue focused on common cybersecurity interests, further strengthening our alliance, said Nakasone. "The relationship with key strategic partners like Japan is critical in ensuring peace and stability across the Indo-Pacific region and in cyberspace.”	ナカソネ大将は、「中山副大臣を米国サイバー司令部にお迎えできたことを光栄に思います。私たちの対話は、サイバーセキュリティに関する共通の関心事に焦点を当て、私たちの同盟関係をさらに強化するものでした。日本のような重要な戦略的パートナーとの関係は、インド太平洋地域全体およびサイバー空間における平和と安定を確保する上で重要です」と述べました。
The U.S.-Japan Alliance has never been more resolute and resilient – the cornerstone of peace and security in a free and open Indo-Pacific.	日米同盟はこれまでになく毅然としており、自由で開かれたインド太平洋の平和と安全の礎となっています。
“Under the digital transformation of the whole society, cybersecurity is an ever-more important challenge for the nation and the armed forces,” said Nakayama. “The discussion with GEN Nakasone was a timely and constructive opportunity to reaffirm the core role our alliance continues to play in overcoming that shared challenge and to explore concrete steps to strengthen our cybersecurity collaboration further. GEN Nakasone and I are opening a new chapter in our joint efforts in cyberspace.”	中山副大臣は、「社会全体のデジタルトランスフォーメーションの下、サイバーセキュリティは国家と軍隊にとってますます重要な課題となっています。ナカソネ大将との会談は、この共通の課題を克服するために日米同盟が果たすべき重要な役割を再確認し、サイバーセキュリティに関する協力関係をさらに強化するための具体的な方法を模索する、タイムリーで建設的な機会となりました。ナカソネ大将と私は、サイバースペースにおける共同の取り組みの新たな扉をひらきました」と述べました。

防衛白書 2021の関係しそうな部分をより抜くと...（ただし、すべては全体の中の部分なので、全体を理解しないと部分だけ読んではダメなんですが...）

特集

特集3　宇宙・サイバー・電磁波領域における挑戦

ダイジェスト

第I部　わが国を取り巻く安全保障環境

第2章　諸外国の防衛政策など

第1節　米国

第3章　宇宙・サイバー・電磁波といった新たな領域をめぐる動向・国際社会の課題

第3節　サイバー領域をめぐる動向

第II部　わが国の安全保障・防衛政策

第2章　わが国の安全保障と防衛に関する政策

第3章　わが国の安全保障と防衛を担う組織

第2節　防衛省・自衛隊の組織

第III部　わが国防衛の三つの柱（防衛の目標を達成するための手段）

第1章　わが国自身の防衛体制

第3節　宇宙・サイバー・電磁波の領域での対応

第2章　日米同盟

第3章　安全保障協力

第IV部　防衛力を構成する中心的な要素など

第2章　防衛装備・技術に関する諸施策

第2節　技術基盤の強化
第4節　産業基盤の強靭化

第3章　情報機能の強化

情報機能の強化

第4章　高い練度を維持・向上する自衛隊の訓練・演習

第1節　各自衛隊の訓練・演習

2021.08.15 03:30 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

中国個人情報保護法案が少し改訂されているようですね。。。

こんにちは、丸山満彦です。

中国もビッグデータ活用のために個人情報保護法の整備をすすめていますが、いま議論されて、少し改訂がはいるようですね。。。

改訂案の変更点は、

第一条に「憲法に従って」という文言の追加：中国の憲法では国家が人権を尊重し保護すること、国民の人間としての尊厳は不可侵であること、国民の通信の自由とプライバシーは法律で保護されていることから、それを明確にするため
アプリケーション (APP) による個人情報の過剰な取得やビッグデータによる顧客への押し売りの防止する
14歳未満の未成年者の個人情報を機微な個人情報として扱い、事業者に特別なルールを策定することを求める
国外移転について、中国がもとめる基準以下にならないようにする
データポータビリティ、死者の個人情報保護の改善
個人情報保護に関する苦情や報告、個人情報の不正な取扱に関する刑事事件の疑いのある場合の移送などの仕組みを改善するための要件の明確化

● 中国人民代表大会 - 立法

・2021.08.13 个人信息保护法草案等15部法律案将提请本次常委会会议审议（個人情報の保護に関する法律案など15の法律案今回の常任委員会に提出して検討する）

・2021.08.13 个人信息保护法草案将三审：规范APP过度收集个人信息（個人情報保護法第三次草案の審議：APPによる個人情報の過剰収集を規制）

“当前，社会各方面对于用户画像、算法推荐等新技术新应用高度关注，对相关产品和服务中存在的信息骚扰、‘大数据杀熟’等问题反映强烈。”臧铁伟表示，个人信息保护法草案立足于维护广大人民群众的网络空间合法权益，对利用个人信息进行自动化决策作了有针对性规范：	Zang Tiewei氏は、「現在、社会のあらゆる局面で、ユーザープロファイリングやアルゴリズムによるレコメンデーションなどの新しい技術や新しいアプリケーションに対する関心が高く、関連する製品やサービスにおける情報ハラスメントや「ビッグデータによる脅し」などの問題について強く意識しています。」と述べています。個人情報保護法案は、サイバースペースにおける一般市民の合法的な権利と利益を保護することを基本とし、自動化された意思決定を個人情報利用の規制対象とします。
一是对自动化决策的概念作出界定，是指通过程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。	第一に、自動化された意思決定の概念を、プログラムを通じて個人の行動習慣、興味、または経済・健康・信用状態を自動的に分析・評価し、意思決定を行う活動と定義します。
二是自动化决策应当遵守个人信息处理的一般规则，包括应遵循合法、正当、必要和诚信原则，目的明确和最小化处理原则，公开透明原则，信息质量原则，责任原则等，自动化决策，包括用户画像、算法推荐等，应当在充分告知个人信息处理相关事项的前提下取得个人同意，不得以个人不同意为由拒绝提供产品或者服务。	第二に、自動化された意思決定は、合法性、正当性、必要性と完全性、目的の明確化と最小限の処理、公開性と透明性、情報の質と責任などの原則を含む、個人情報処理の一般的なルールを遵守する必要があります。ユーザープロファイリングやアルゴリズムによる推奨を含む自動化された意思決定は、個人情報処理に関連する事項を十分に通知することを前提に、個人の同意を得る必要があり、同意が得られない場合は、個人情報を利用してはならず、本人が同意していないことを理由に、製品やサービスを拒否してはなりません。
三是在上述规则下，草案对自动化决策作出专门规范，要求个人信息处理者保证自动化决策的透明度和结果的公平、公正，不得通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇，并在事前进行个人信息保护影响评估。	第三に、上記のルールの下で、草案では、自動化された意思決定について特別な規定を設け、個人情報処理業者に対して、自動化された意思決定の透明性と結果の公正性・公平性を確保すること、自動化された意思決定により取引価格などの取引条件において個人に不合理な差別的取り扱いを適用しないこと、個人情報保護に関する影響評価を事前に行うことなどを求めます。
四是赋予个人充分的权利，要求个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供拒绝的方式；作出对个人权益有重大影响的决定，个人有权要求予以说明，并有权拒绝仅通过自动化决策的方式作出决定。	第四に、個人には完全な権利が与えられており、個人情報処理者は、自動化された意思決定の手段によって個人に情報を押し付けたり、商業的なマーケティングを行う際には、同時に個人の特性を対象としない選択肢を提供するか、個人に拒否する方法を提供する必要があります。個人の権利と利益に重大な影響を与える決定を行う際には、個人は説明を要求する権利と、自動化された意思決定の手段によってのみ行われる決定を拒否する権利を有します。

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.29 パブコメ　中国の個人情報保護法案 (2020.10.22)

2021.08.15 03:04 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in クラウド, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2021.08.14

カナダプライバシー保護委員会が機微情報に関するガイダンスを改訂

こんにちは、丸山満彦です。

カナダのプライバシー保護委員会 (Office of the Privacy Commissioner of Canada) が機微情報に関するガイダンスを改訂したと公表していますね。。。

● Office of the Privacy Commissioner of Canada; OPC

・2021.08.13 Office of the Privacy Commissioner of Canada updates guidance regarding sensitive information

個人情報保護と電子文書法（PIPEDA）に照らすと、どのような個人情報も状況によって機微情報になるが、健康情報、財務情報、民族・人種情報、政治的意見、遺伝子・生体情報、個人の性生活・性的指向、宗教・哲学的信条は、通常機微情報になるという感じで説明していますね。。。

GDPRの十分性認定は4年ごとの更新のようで、カナダはその対応もあり、タイダンスも見直している感じですね。。。

今回改訂されたガイダンス等は

Guidelines for obtaining meaningful consent;	意味のある同意を得るためのガイドライン
What you need to know about mandatory reporting of breaches of security safeguards;	セキュリティ保護違反の報告義務について知っておくべきこと
Guidelines on privacy and online behavioural advertising;	プライバシーとオンライン行動広告に関するガイドライン
Policy Position on online behavioural advertising;	オンライン行動ターゲティング広告に関するポリシー・ポジション
PIPEDA fair information principle 7 – safeguards;	PIPEDA公正情報原則7-保護措置
Personal information retention and disposal: principles and best practices;	個人情報の保持と廃棄：原則とベストプラクティス。
PIPEDA self-assessment tool.	PIPEDA自己評価ツール。

とのことですが、具体的にどこが改訂されたかはよくわかりません(^^;;

個人情報保護と電子文書法に関連するウェブページ

・The Personal Information Protection and Electronic Documents Act (PIPEDA)

2021.08.14 02:45 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2021.08.13

中国意見募集「機械学習アルゴリズムのセキュリティ評価に関する情報セキュリティ技術仕様書」案を発表し、意見募集していますね。。。 at 2021.08.04

こんにちは、丸山満彦です。

中国の情報セキュリティ標準化技術委員会（全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) ）、いわゆるTC260が、「機械学習アルゴリズムのセキュリティ評価に関する情報セキュリティ技術仕様書」案を発表し、意見募集していますね。。。

2021.08.04

国家标准《信息安全技术机器学习算法安全评估规范》

国家標準「機械学習アルゴリズムのセキュリティ評価に関する情報セキュリティ技術仕様書」案

PDF

目次です。。。

前言	序文
1 范围	1 適用範囲
2 规范性引用文件	2 引用規格
3 术语和定义	3 用語と定義
4 缩略语	4 略語
5 概述	5 概要
6 安全要求	6 セキュリティ要求
6.1 通用	6.1 一般
6.2 设计开发阶段	6.2 設計・開発段階
6.3 验证测试阶段	6.3 検証・テスト段階
6.4 部署运行阶段	6.4 導入・運用段階
6.5 维护升级阶段	6.5 保守・アップグレード段階
6.6 退役下线阶段	6.6 廃棄・廃止段階
7 证实方法	7 確認方法
7.1 通用	7.1 一般
7.2 设计开发阶段	7.2 設計・開発段階
7.3 验证测试阶段	7.3 検証・テスト段階
7.4 部署运行阶段	7.4 導入・運用段階
7.5 维护升级阶段	7.5 保守・アップグレード段階
7.6 退役下线阶段	7.6 廃棄・廃止段階
8 安全评估实施	8 セキュリティ評価の実施
8.1 安全评估形式	8.1 セキュリティ評価の形態
8.2 安全评估准备	8.2 セキュリティ評価の準備
8.2.1 明确评估范围	8.2.1 評価範囲の明確化
8.2.2 评估工作启动	8.2.2 評価の開始
8.2.3 评估方案制定	8.2.3 評価プログラムの開発
8.2.4 评估方案评审	8.2.4 評価プログラムの見直し
8.3 安全评估执行	8.3 セキュリティ評価の実施
8.4 安全评估总结	8.4 セキュリティ評価のまとめ
8.4.1 综合分析	8.4.1 包括的な分析
8.4.2 报告编制	8.4.2 報告書作成
8.4.3 结果反馈	8.4.3 結果のフィードバック
8.5 安全评估结果判定	8.5 セキュリティ評価結果の判定
附录 A （规范性）机器学习算法安全评估指标体系	附属書A (規範) 機械学習アルゴリズムセキュリティ評価指標体系
A.1 保密性指标	A.1 機密性に関する指標
A.2 完整性指标	A.2 完全性に関する指標
A.3 可用性指标	A.3 可用性に関する指標
A.4 可控性指标	A.4 制御性に関する指標
A.5 鲁棒性指标	A.5 堅牢性に関する指標
A.6 隐私性指标	A.6 プライバシーに関する指標
A.7 指标测算方式	A.7 指標の測定方法
A.8 指标测算和发布要求	A.8 指標の測定および発表に関する要求事項
附录 B （资料性）机器学习算法安全风险	附属書B（参考）機械学習アルゴリズムのセキュリティリスク
B.1 机器学习算法分类	B.1 機械学習アルゴリズムの分類
B.2 机器学习算法脆弱性与攻击威胁	B.2 機械学習アルゴリズムの脆弱性と攻撃の脅威
B.2.1 机器学习算法脆弱性	B.2.1 機械学習アルゴリズムの脆弱性
B.2.2 机器学习算法攻击威胁	B.2.2 機械学習アルゴリズムへの攻撃の脅威
B.3 设计开发阶段的安全风险	B.3 設計・開発段階におけるセキュリティリスク
B.3.1 算法层面的安全风险	B.3.1 アルゴリズム層のセキュリティリスク
B.3.2 数据层面的安全风险	B.3.2 データ層のセキュリティリスク
B.3.3 环境层面的安全风险	B.3.3 環境層のセキュリティリスク
B.4 验证测试阶段的安全风险	B.4 検証・テスト段階でのセキュリティリスク
B.4.1 算法层面的安全风险	B.4.1 アルゴリズム層のセキュリティリスク
B.4.2 数据层面的安全风险	B.4.2 データ層のセキュリティリスク
B.4.3 环境层面的安全风险	B.4.3 環境層のセキュリティリスク
B.5 部署运行阶段的安全风险	B.5 導入・運用段階でのセキュリティリスク
B.5.1 算法层面的安全风险	B.5.1 アルゴリズム層のセキュリティリスク
B.5.2 数据层面的安全风险	B.5.2 データ層のセキュリティリスク
B.5.3 环境层面的安全风险	B.5.3 環境層のセキュリティリスク
B.6 维护升级阶段的安全风险	B.6 保守・アップグレード段階でのセキュリティリスク
B.6.1 算法层面的安全风险	B.6.1 アルゴリズム層のセキュリティリスク
B.6.2 数据层面的安全风险	B.6.2 データ層のセキュリティリスク
B.6.3 环境层面的安全风险	B.6.3 環境層のセキュリティリスク
B.7 退役下线阶段的安全风险	B.7 廃棄・廃止段階でのセキュリティリスク
B.7.1 算法层面的安全风险	B.7.1 アルゴリズム層のセキュリティリスク
B.7.2 数据层面的安全风险	B.7.2 データ層のセキュリティリスク
附录 C （资料性）对抗样本攻击	附属書C（参考）敵対的サンプルへの対応
C.1 对抗样本	C.1 敵対的サンプル
C.2 对抗攻击的目标	C.2 敵対的攻撃のターゲット
C.3 对抗攻击的类型	C.3 敵対的攻撃の種類
C.4 对抗攻击的方法	C.4 敵対的攻撃への対抗方法
C.5 防御措施	C.5 防御策

これ、すごく参考になると思います。。。ここまで整理されているのは、あまりなかったなぁ。。。

粗訳です。。。

・[DOCX]

日本では産総研が2021.07.06に公表した「機械学習品質マネジメントガイドライン第2版」に若干記載されていますね。。。

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.06 産総研「機械学習品質マネジメントガイドライン第2版」を公開

2021.08.13 19:01 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

中国意見募集「情報セキュリティ技術ブロックチェーン技術セキュリティフレームワーク」案を発表し、意見募集していますね。。。 at 2021.08.02

こんにちは、丸山満彦です。

中国の情報セキュリティ標準化技術委員会（全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) ）、いわゆるTC260が、「情報セキュリティ技術ブロックチェーン技術セキュリティフレームワーク」案を発表し、意見募集していますね。。。

確定すれば中国国内では、ブロックチェーンに関する初めての国家標準となるようですね。。。

用語については、

ISO 22739:2020 Blockchain and distributed ledger technologies — Vocabularyを意識し、

現在開発中の

ISO/FDIS 23257 Blockchain and distributed ledger technologies — Reference architecture

も参考に、中国国内の法制度

2019.10.26 《中华人民共和国密码法》「中華人民共和国暗号法」
2016.11.17《中华人民共和国网络安全法》「中華人民共和国ネットワークセキュリティ法」[PDF]JETRO仮訳
2019.01.10《区块链信息服务管理规定》「ブロックチェーン情報サービス管理条例」

業界標準

を含む中国特有の事情を加味して作成されているようですね。

ブロックチェーンセキュリティ監査も含めて検討されていますね。。。

2021.08.02

国家标准《信息安全技术区块链技术安全框架》

国家標準「情報セキュリティ技術ブロックチェーン技術セキュリティフレームワーク」案

DOC

前言	序文
引言	はじめに
1 范围	1 適用範囲
2 规范性引用文件	2 引用規格
3 术语和定义	3 用語と定義
4 缩略语	4 略語
5 概述	5 概要
5.1 区块链技术概述	5.1 ブロックチェーン技術の概要
5.2 区块链角色概述	5.2 ブロックチェーンの役割の概要
5.3 区块链技术安全风险概述	5.3 ブロックチェーン技術のセキュリティリスクの概要
6 区块链技术安全框架	6 ブロックチェーン技術のセキュリティフレームワーク
6.1 区块链技术安全框架结构	6.1 ブロックチェーン技術のセキュリティフレームワーク構造
6.2 区块链密码支撑	6.2 ブロックチェーンの暗号化対応
6.3 区块链安全功能组件	6.3 ブロックチェーンセキュリティの機能部品
6.4 区块链安全管理运行	6.4 ブロックチェーンセキュリティ・マネジメント事業
6.5 区块链角色安全职责	6.5 ブロックチェーンの役割とセキュリティの責任
7 区块链密码支撑	7 ブロックチェーンの暗号化対応
7.1 密码技术	7.1 暗号技術
7.2 密码基础设施	7.2 暗号化インフラ
8 区块链安全功能组件	8 ブロックチェーンセキュリティの機能コンポーネント
8.1 用户安全	8.1 ユーザーセキュリティ
8.2 服务接口安全	8.2 サービスインターフェースのセキュリティ
8.3 合约安全	8.3 契約のセキュリティ
8.4 共识安全	8.4 コンセンサス・セキュリティ
8.5 账本保护	8.5 台帳の保護
8.6 对等网络安全	8.6 Peer-to-peer ネットワークのセキュリティ
8.7 计算和存储安全	8.7 コンピュータとストレージのセキュリティ
8.8 隐私保护	8.8 プライバシー保護
8.9 跨链安全	8.9 クロスチェインセキュリティ
9 区块链安全管理运行	9 ブロックチェーンセキュリティ・マネジメント・オペレーション
9.1 管理运维	9.1 オペレーションの管理
9.2 身份认证和管理	9.2 認証と管理
9.3 合规审计	9.3 コンプライアンス監査
9.4 合规监管	9.4 コンプライアンス・モニタリング
附录A （资料性）区块链安全风险	附属書A（参考）ブロックチェーンのセキュリティリスク
A.1 区块链密码支撑安全风险	A.1 ブロックチェーンの暗号化サポートのセキュリティリスク
A.2 区块链安全功能组件面临的安全风险	A.2 ブロックチェーンのセキュリティ機能コンポーネントに対するセキュリティリスク
A.3 区块链安全管理运行风险	A.3 ブロックチェーン・セキュリティ・マネジメントのオペレーショナル・リスク
参考文献	参考文献

参考

・信息安全技术区块链技术安全框架-编制说明.docx

2021.08.13 12:08 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

中国意見募集「情報セキュリティ技術情報システムセキュリティ保証評価フレームワーク第1部：導入と一般モデル」の国家標準の改訂案を発表し、意見募集していますね。。。at 2021.07.23

こんにちは、丸山満彦です。

中国の情報セキュリティ標準化技術委員会（全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) ）、いわゆるTC260が、2006.12.01に国家標準「GB/T 20274.1-2006 信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型 (Information security technology Evaluation framework for information systems security assurance Part 1: Introduction and general model) 」の改訂案を発表し、意見募集していますね。。。

GB/T 20274は４部構成で

第1部分	简介和一般模型	序論と一般モデル
第2部分	技术保障	技術保証
第3部分	管理保障	管理保証
第4部分	工程保障	工学保証

情報システムセキュリティ保証モデルを次のように考えているようですね。。。

保証要素
ライフサイクル
成熟度

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) 情報セキュリティ標準化技術委員会

2021.07.23

国家标准《信息安全技术信息系统安全保障评估框架第1部分：简介和一般模型》

国家標準「情報セキュリティ技術情報システムセキュリティ保証評価フレームワーク第1部：導入と一般モデル」

DOC

前言	序文
1　范围	1 適用範囲
2　规范性引用文件	2 引用規格
3　术语和定义	3 用語と定義
4　缩略语	4 略語
5　概述	5 概要
5.1　评估对象（TOE）	5.1 評価対象（TOE）
5.2　适用人员	5.2 対象者
5.3　文档组织	5.3 文書の構成
6　信息系统安全保障概念和模型	6 情報システムセキュリティ保証の概念とモデル
6.1　保障概念	6.1 保証の概念
6.2　保障模型	6.2 保証モデル
6.3　保障等级	6.3 保証レベル
7　信息系统安全保障要求	7 情報システムのセキュリティ要件
7.1　信息系统安全保障要素	7.1 情報システムセキュリティ保証要素
7.2　安全保障要求生成过程	7.2 セキュリティ保証要求事項の作成プロセス
8　信息系统安全保障评估框架	8 情報システムセキュリティ保証評価フレームワーク
8.1　信息系统安全保障评估概念和关系	8.1 情報システムセキュリティ保証評価の概念および関係
8.2　信息系统安全保障评估内容	8.2 情報システムセキュリティ保証評価の内容
8.3　信息系统安全保障评估准则	8.3 情報システムセキュリティ保証評価ガイドライン
参考文献	参考文献

参考情報

・信息安全技术信息系统安全保障评估框架第1部分：简介和一般模型-编制说明.docx

内容を理解したいですね。。。

2021.08.13 07:37 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (1)
Tweet

2021.08.12

米国のSECはサイバー関連の専門家を年収1600万円−2800万円で募集中

こんにちは、丸山満彦です。

米国証券取引委員会（SEC）はサイバー関連の専門家を年収約1600万円−約2800万円で募集中ですね。。。

これは、サイバー関連だから特別な制度を作っているわけではなく、SECの専門職の給与テーブルのGrade16（最高はGrade17）の標準テーブルの下限と専門職の給与の上限を示しているだけですね。

● USA JOBS

・2021.08.09 Securities Compliance Examiner - Cyber Unit Industry Expert

業務内容は、、、

Duties	業務内容
Summary	概要
This position is in the Division of Enforcement's Cyber Unit and is located in Washington, D.C., New York, Philadelphia, Chicago, Los Angeles or San Francisco.	このポジションは執行部のサイバーユニットに所属し、ワシントンD.C.、ニューヨーク、フィラデルフィア、シカゴ、ロサンゼルス、サンフランシスコのいずれかに配置されます。
The Unit focuses on protecting investors and markets from cyber-related misconduct, working with federal and local partners, market participants and others to monitor developments and effectively respond to cyber threats.	当ユニットは、サイバー関連の不正行為から投資家や市場を保護することに重点を置き、連邦政府や地域のパートナー、市場参加者などと協力して動向を監視し、サイバーの脅威に効果的に対応しています。
Responsibilities	担当業務
・Serves as a subject matter expert, analyst and advisor in understanding and interpreting technical subject matter, including relevant industry trends and tools related to blockchain technology, cyber threats and security.	・ブロックチェーン技術、サイバー脅威、セキュリティに関連する業界の動向やツールなど、技術的なテーマを理解し、解釈するための主題専門家、アナリスト、アドバイザーとしての役割を果たす。
・Serves as an expert on the technological aspects of cyberattacks, incident trends, cybersecurity controls, and response procedures.	・サイバー攻撃の技術的側面、インシデントの傾向、サイバーセキュリティの管理、対応手順に関する専門家としての役割を果たす。
・Maintains expertise with a variety of cyber-related tools and resources.	・さまざまなサイバー関連のツールやリソースに関する専門知識を維持する。
・Serves as a block chain specialist (tracing, understanding of technology, industry trends, and lead generation).	・ブロックチェーンの専門家としての役割（トレース、技術の理解、業界動向、リードジェネレーション）を果たす。
・Monitors social media and other relevant platforms.	・ソーシャルメディアやその他の関連プラットフォームを監視する。
・Analyzes large data sets such as logs in hacking investigations and trading data in intrusion/ manipulation investigations.	・ハッキング調査におけるログや、侵入・操作調査における取引データなどの大規模なデータセットの分析。
・Identifies topics for potential analysis involving relevant illicit financial activities (exploitation of cryptocurrency systems, cybercrimes, etc.).	・関連する不正金融活動（暗号通貨システムの悪用、サイバー犯罪など）に関する潜在的な分析のためのトピックを特定する。
・Formulates project methodology and identifies the analytical techniques for accomplishing project objectives.	・プロジェクトの方法論を策定し、プロジェクトの目的を達成するための分析手法を特定する。
・Drafts and prepares detailed reports, presentations, and data analyses which are typically used by investigative attorneys and managers to assist in decision making.	・意思決定を支援するために調査弁護士やマネージャーが使用する詳細なレポート、プレゼンテーション、データ分析の作成
・Conducts analyses and develops findings of the most high profile and sensitive cases; and formulates conclusions about compliance with statutory and regulatory requirements.	・最も注目を浴びる微妙なケースの分析や調査結果を作成し、法律や規制の要件の遵守に関する結論を策定する。
・Provides support to enforcement staff in carrying out high-level, high-visibility and sensitive assignments frequently requiring immediate action.	・頻繁に即決を求められる、ハイレベルで注目度の高い、機密性の高い任務を遂行する執行スタッフをサポートする。
・Assists in other Cyber Unit activities including the creation of reference materials, talking points or training for the Unit or the Enforcement Division or others.	・その他、サイバーユニットの活動を支援し、ユニットや執行部などのために参考資料や話題提供、トレーニングの作成を行う。
Travel Required	出張
Not required	必要なし
Supervisory status	監督的な地位
No	なし
Promotion Potential	昇進の可能性
Job family (Series)	ジョブファミリー（シリーズ）
1831 Securities Compliance Examining	1831 証券コンプライアンス試験
Requirements	要求事項
Conditions of Employment	採用条件
・You must be a US Citizen.	・米国市民に限ります。
・Application procedures are specific to this vacancy announcement. Please read all the instructions carefully. Failure to follow the instructions may result in you not being considered for this position.	・応募方法はこの募集要項に準じます。すべての説明をよくお読みください。指示に従わない場合は、このポジションの審査に通らないことがあります。
・Supplementary vacancies may be filled in addition to the number stated in this announcement.	・この募集要項に記載されている数以外にも、補足的な空席がある場合があります。
・This position has promotion potential to the SK-16.	・このポジションはSK-16への昇進の可能性があります。
・PROBATIONARY PERIOD: This appointment may require completion of a one-year probationary period.	・試用期間：本採用には、1年間の試用期間の終了が必要となる場合があります。
・SECURITY CLEARANCE: Entrance on duty is contingent upon completion of a pre-employment security investigation. Favorable results on a Background Investigation may be a condition of employment or selection to another position.	・セキュリティ・クリアランス：任務に就くには、雇用前のセキュリティ調査が完了していることが条件となる。身元調査の結果が良好であることが、雇用または他の職種への選考の条件となる場合がある。
・DRUG TESTING: This position may be subjected to drug testing requirements.	・薬物検査：本職は薬物検査の対象となる場合があります。
・PERMANENT CHANGE OF STATION (PCS): Moving/Relocation expenses are not authorized.	・永続的駐留地変更（PC）：引越し／転居費用は認められません。
・DIRECT DEPOSIT: All Federal employees are required to have Federal salary payments made by direct deposit to a financial institution of their choosing.	・ダイレクトデポジット：すべての連邦従業員は、連邦給与の支払いを、自分で選択した金融機関へのダイレクトデポジットで行うことが義務付けられています。
・This position IS in the collective bargaining unit.	・本職は団体交渉単位である。
・Due to COVID-19, the SEC is currently in a mandatory telework posture. This position is eligible to request telework in accordance with the SEC 's telework policy.	・COVID-19により、SECは現在テレワークを義務付けられています。このポジションは、SECのテレワークポリシーに基づいてテレワークを申請することができます。
・If selected for this position you may be asked to divest from any holdings of digital assets.	・このポジションに選ばれた場合、保有するデジタル資産の売却を求められる可能性があります。
Qualifications	応募資格
All qualification requirements must be met by the closing date of this announcement.	本発表の締切日までに、すべての資格要件を満たす必要があります。
Qualifying experience may be obtained in the private or public sector. Experience refers to paid and unpaid experience, including volunteer work done through National Service programs (e.g., Peace Corps, AmeriCorps) and other organizations (e.g., professional; philanthropic; religious; spiritual; community, student, social). Volunteer work helps build critical competencies, knowledge, and skills and can provide valuable training and experience that translates directly to paid employment. You will receive credit for all qualifying experience, including volunteer experience.	資格要件を満たす経験は、民間企業または公的機関で得られたものである必要があります。経験とは、有償・無償を問わず、国家サービスプログラム（Peace Corps、AmeriCorpsなど）やその他の組織（専門家、慈善団体、宗教団体、精神団体、コミュニティ、学生、社会団体など）で行ったボランティア活動を含みます。ボランティア活動は、重要な能力、知識、スキルを身につけるのに役立ち、有給の雇用に直接結びつく貴重なトレーニングや経験を提供することができます。ボランティア活動を含め、資格を有するすべての経験が評価されます。
MINIMUM QUALIFICATION REQUIREMENT: SK-16: Applicant must have at least one year of specialized experience equivalent to the GS/SK-14 level: specialized experience includes performing two or more of the following functions: (1) Serving as a subject matter expert, analyst and advisor in understanding and interpreting technical subject matter, including relevant industry trends and tools related to blockchain technology, cyber threats and security, (2) Serving as an expert on the technological aspects of cyberattacks, incident trends, cybersecurity controls, and response procedures, (3) Maintaining expertise with a variety of cyber-related tools and resources. (4) Serving as a block chain specialist (tracing, understanding of technology, industry trends, and lead generation).	最低限の資格要件 SK-16：申請者は、GS/SK-14レベルに相当する専門的な経験を1年以上有していなければなりません。専門的な経験とは、以下の機能のうち2つ以上を実行することを含みます。 (1) ブロックチェーン技術、サイバー脅威、セキュリティに関連する関連業界のトレンドやツールを含む技術的な主題を理解し、解釈する際に、専門家、アナリスト、アドバイザーとしての役割を果たすこと (2) サイバー攻撃の技術的側面、インシデントの傾向、サイバーセキュリティのコントロール、対応手順に関する専門家としての役割を果たすこと (3) さまざまなサイバー関連のツールやリソースに関する専門知識を維持すること (4) ブロックチェーンの専門家としての役割（トレース、技術、業界動向の理解、リードジェネレーション）
Education	教育
Additional information	追加情報
IMPORTANT INFORMATION FOR SURPLUS OR DISPLACED FEDERAL EMPLOYEES: Career Transition Assistance Plan (CTAP) and Interagency Career Transition Assistance Plan (ICTAP) are available to individuals who have special priority selection rights under this plan. Individuals must be minimally qualified for this position to receive consideration for special priority selection. CTAP or ICTAP eligibles will be considered minimally qualified if they meet the minimum requirements for this position.	余剰または離職した連邦職員のための重要な情報：キャリア移行支援プラン（CTAP）および省庁間キャリア移行支援プラン（ICTAP）は、このプランで特別な優先選択権を持つ個人が利用できます。特別優先選考の検討を受けるためには、この職種に最低限必要な資格を有している必要があります。CTAPまたはICTAPの対象者は、このポジションの最低要件を満たしていれば、最低限の資格があるとみなされます。
Reasonable Accommodation: If you are an applicant who needs a reasonable accommodation for disability to participate in the application process at the SEC, submit the form for Reasonable Accommodation for Participation in Job Application Process here. Please be sure to submit your request at least 5 business days in advance of the date you need the requested accommodation.	合理的配慮：米国証券取引委員会（SEC）の応募プロセスに参加するために、障害に対する合理的配慮を必要とする応募者は、こちらの「Reasonable Accommodation for Participation in Job Application Process」フォームを提出してください。なお、申請書の提出は、配慮が必要となる日の5営業日前までにお願いします。
Equal Employment Opportunity (EEO) Information for SEC Job Applicants: Federal EEO laws protect all applicants from discrimination on the following bases: race, color, sex (not limited to conduct which is sexual in nature, includes pregnancy, gender identity, sexual orientation, transgender status), age (40 and over), religion, national origin, disability, genetic information, retaliation for participating in the EEO process or opposing discrimination. Applicants who believe they have been discriminated against on any EEO basis can seek recourse through the SEC's administrative complaints process. To be timely, an individual must enter the EEO process within 45 days from when they know (or should have known) of the alleged discrimination. Click here for additional information.	SECの求職者のためのEqual Employment Opportunity(EEO)情報：連邦政府のEEO法は、すべての応募者を、人種、肌の色、性別（性的な行為に限らず、妊娠、性同一性、性的指向、トランスジェンダーの状態を含む）、年齢（40歳以上）、宗教、国籍、障害、遺伝情報、EEOプロセスへの参加や差別に反対したことによる報復などの理由による差別から保護しています。EEOに基づく差別を受けたと思われる応募者は、SECの行政的苦情処理プロセスを通じて救済を求めることができます。タイムリーであるためには、個人が差別の疑いを知ったとき（または知るべきだったとき）から45日以内にEEOプロセスに参加しなければなりません。その他の情報はこちらをご覧ください。
TTY/ASCII: Video Relay Service users are welcome to contact the appropriate SEC office or employee via the contact information listed above. If you do not otherwise have access to a Video Phone or Video Relay service, you may send us an email or use the Federal Video Relay Service via the internet. For more information about using the Federal Relay Service and to create a new account, please see: https://www.federalrelay.us/	TTY/ASCII: Video Relay Serviceをご利用の方は、上記の連絡先から、SECの適切なオフィスまたは従業員にご連絡ください。その他、テレビ電話やビデオ・リレー・サービスをご利用になれない場合は、電子メールをお送りいただくか、インターネット経由で連邦ビデオ・リレー・サービスをご利用ください。フェデラル・リレー・サービスの利用方法および新規アカウントの作成については、https://www.federalrelay.us/ をご覧ください。
SEC COMPENSATION PROGRAM: For questions regarding SEC pay setting practices, please click here.	SEC報酬プログラム SECの給与設定方法に関するご質問は、こちらをご覧ください。
Chicago, IL- $146,721- $249,175	イリノイ州シカゴ- 146,721ドル〜249,175ドル
Los Angeles, CA- $151,080- $255,800	カリフォルニア州ロサンゼルス- 151,080ドル～255,800ドル
New York, NY- $152,871- $255,800	ニューヨーク（NY）- 152871ドル〜255800ドル
Philadelphia, PA- $143,812- $244,234	フィラデルフィア（ペンシルバニア州）143,812ドル～244,234ドル
San Francisco, CA- $161,383- $255,800	サンフランシスコ（カリフォルニア州）： 161,383ドル～255,800ドル
Washington, DC- $148,878- $252,838	ワシントンDC- 148,878ドル- 252,838ドル
How You Will Be Evaluated	評価方法
You will be evaluated for this job based on how well you meet the qualifications above.	あなたが上記の資格をどれだけ満たしているかによって、この仕事が評価されます。
If you meet the minimum qualifications stated in the vacancy announcement, we will compare your resume and supporting documentation to your responses on the occupational questionnaire. Your resume must support your responses to the occupational questionnaire. After review of your application materials, if you are determined to be minimally qualified, you will be referred to the selecting official. Applicants eligible for Veterans' Preference will receive selection priority over non-veteran preference eligibles.	募集要項に記載されている最低資格を満たしている場合、あなたの履歴書とそれを裏付ける書類を職業質問票の回答と比較します。履歴書は、職業質問票への回答を裏付けるものでなければなりません。応募書類の審査の結果、応募者が最低限の資格を有していると判断された場合は、選考担当者に照会されます。退役軍人の優先権を持つ応募者は、非退役軍人の優先権を持つ応募者よりも優先的に選考されます。
Your qualifications will be evaluated on the following competencies (knowledge, skills, abilities and other characteristics):	あなたの資格は、以下のコンピテンシー（知識、技能、能力、その他の特性）に基づいて評価されます。
Information Management, Oral and Written Communication, Risk Management, and Technical Competence and Awareness	情報管理、口頭および書面によるコミュニケーション、リスク管理、技術的能力と認識
The Occupational Questionnaire will take you approximately 10 minutes to complete. To preview the Occupational Questionnaire, click the link.	Occupational Questionnaireは、約10分で完了します。職業質問票をプレビューする
Background checks and security clearance	バックグラウンドチェックとセキュリティクリアランス
Security clearance	セキュリティクリアランス
Other	その他
Drug test required	薬物検査
No	必要なし
Position sensitivity and risk	ポジションの機密性とリスク
High Risk (HR)	ハイリスク(HR)
Trust determination process	信頼性決定プロセス
Suitability/Fitness	適性/フィットネス

ちなみに、SECの給与テーブルは

・SEC Compensation Program

ここのGrade16を見ると、$114,100 - $193,775 となっています。これに地方手当的なもの（都市ごとに異なるのですが、フィラデルフィアの場合は、26.04%）を付加して、$143,812- $244,234 となります。。。　なお、SECの地方手当を含めた年俸上限は $255,800 なのでロスアンゼルスの場合は、この上限の$255,800 がロスアンゼルスの上限となっています。。。

似たような業務を金融庁でしている松本隆さんはどんな感じなんでしょうね。。。

サイバー人材が不足しているというけれども、給与水準をあげると短期間に不足が埋まるのかも。。。需要と供給なんで、需要が不足しているときは、給与水準を上げないと埋まらないですよね。。。

なお、日本の公務員についての制度は、

● 内閣官房 - 内閣人事局

・[PDF] 国家公務員の給与（令和２年版）

・[PDF] 棒給表（2021年）

専門行政職の課長の8級9号とすると基本給（月額）は、555,600円、手当がよくわからないですが含めると月額約700,000円として、年間では約8,400,000円、賞与は年間4.5月として、約2,500,000円として、合計すると年間約11,000,000円となりますね。。。なんか、少ないような気もするけどこんなもんなんですかね。。。

モデル給与例（令和元年）では、本府省課長（50歳）は月額746,160円、年間給与12,642,000円となっていますね。。。

そもそも日本の公務員の給与レベルが米国連邦政府の職員に比べて低いのでしょうね。日本の公務員は、社会全体の給与水準をベースに計算されますから、日本の企業の給与が低いのでしょうね。。。

給与が低いということは、企業活動から得られた利潤が株主により分配されているということなんでしょうね。労働者は日本人がほとんどですが、株主は外国株主もそれなりにいることを考えると、日本企業の利潤は以前より、より多く海外に流れているということなのかもしれませんね。。。

そして、同じ日本人の中でも、持つ者と持たざる者の差が開いていくということになるようにも思います。

日本人は搾取され、これからますます貧しくなっていくのかもしれません。。。そして、同じ日本人の中でも持たざる者はますます搾取されていくのでしょうね。。。

知らんけど...(^^;;

2021.08.12 02:21 in 情報セキュリティ / サイバーセキュリティ, in フォレンジック, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

2021.08.11

EU議会 STUDY バイオメトリクス認識と行動検知

こんにちは、丸山満彦です。

EU議会が「バイオメトリクス認識と行動検知」という調査報告書を公開していますね。。。

バイオメトリクス情報の利用を倫理的・法的観点から分析し、EUの人工知能法についてのコメントを出している感じですかね。。。

バイオメトリクス情報にかかる論点として考えられるのは、

個人が簡単にバイオメトリクス情報の特徴を変えることができない
人体、人間の自己に深入りする傾向がある
大規模な監視
アルゴリズムによる意思決定
プロファイリングなどに関連する問題

という感じなんでしょうかね。。。

● European Parliament - Think Tank

・2021.08.06 Biometric Recognition and Behavioural Detection Assessing the ethical aspects of biometric recognition and behavioural detection techniques with a focus on their current and future use in public spaces

・[PDF]

目次です

CONTENTS	目次
LIST OF ABBREVIATIONS	略語のリスト
LIST OF BOXES WITH ILLUSTRATIONS	図版付きボックスのリスト
LIST OF FIGURES	図の一覧
LIST OF TABLES	表の一覧
EXECUTIVE SUMMARY	エグゼクティブサマリー
1. CURRENT AND POTENTIAL FUTURE DEVELOPMENTS OF BIOMETRIC TECHNIQUESE	1. バイオメトリクス技術の現状と今後の展開
1.1. Biometric technologies	1.1. バイオメトリクス技術
1.1.1.Strong, weak and soft biometrics	1.1.1.強いバイオメトリクス、弱いバイオメトリクス、ソフトなバイオメトリクス
1.1.2. First and second generation biometric technologies	1.1.2. 第一世代、第二世代のバイオメトリクス技術
1.1.3. Future trends and technologies	1.1.3. 今後の動向と技術
1.2. Identification, categorisation, and detection	1.2. 識別、分類、検出
1.3. Scope of this Study	1.3. 本研究の範囲
2. OVERVIEW OF LEGISLATION AND CASE LAW	2. 法律および判例の概要
2.1. Legislation	2.1. 法規制
2.1.1. International law	2.1.1. 国際法
2.1.2. EU law	2.1.2. EU法
2.1.3. Proposals by the European Commission	2.1.3. 欧州委員会の提案
2.1.4. National law	2.1.4. 国内法
2.2. Case Law	2.2. 判例法
2.2.1. European Court of Human Rights (ECtHR)	2.2.1. 欧州人権裁判所(ECtHR)
2.2.2. Court of Justice of the European Union (CJEU)	2.2.2. 欧州連合司法裁判所(CJEU)
2.2.3. National courts/data protection authorities	2.2.3. 各国の裁判所／データ保護当局
3. ETHICAL ASPECTS OF BIOMETRIC IDENTIFICATION	3. バイオメトリクス識別の倫理的側面
3.1. Characteristic steps involved in biometric identification	3.1. バイオメトリクス識別に関わる特徴的なステップ
3.2. Ethical issues raised by enrolment	3.2. 登録によって生じる倫理的問題
3.2.1. ‘Datafication’ of humans, power and human dignity	3.2.1. 人間の「データ化」、権力、人間の尊厳
3.2.2. Potential for harm	3.2.2. 危害を加える可能性
3.3. Ethical issues raised by application in public spaces	3.3. 公共の場での使用がもたらす倫理的な問題
3.3.1. Large-scale surveillance	3.3.1. 大規模な監視
3.3.2. Stigmatisation and discrimination	3.3.2. 偏見と差別
4. ETHICAL ASPECTS OF BIOMETRIC CATEGORISATION	4. バイオメトリクスによるカテゴリー化の倫理的側面
4.1. Characteristic steps involved in biometric categorisation	4.1. バイオメトリック・カテゴライズに関わる特徴的なステップ
4.2. Ethical issues raised	4.2. 倫理的問題
5. THE ETHICAL ASPECTS OF BIOMETRIC DETECTION	5. バイオメトリクス検知の倫理的側面
5.1. Characteristic steps involved in biometric detection	5.1. バイオメトリクス検知に関わる特徴的なステップ
5.2. Ethical issues raised	5.2. 倫理的問題の提起
6. CONCLUSIONS WITH REGARD TO THE PROPOSAL FOR AN ARTIFICIAL INTELLIGENCE ACT	6. 人工知能に関する法律の提案についての結論
6.1. General approach of the AIA Proposal	6.1. AIA提案の一般的なアプローチ
6.1.1. Biometric techniques and the risk-based approach	6.1.1. バイオメトリック技術とリスクベースのアプローチ
6.1.2. Interplay of the AIA Proposal with other EU legislation	6.1.2. AIA提案と他のEU法との相互関係
6.2. Recommendations with regard to definitions	6.2. 定義に関する推奨事項
6.2.1. Biometric data and biometrics-based data	6.2.1. バイオメトリクスデータ及びバイオメトリクスに基づくデータ
6.2.2. Real-time and post remote biometric identification	6.2.2. リアルタイムおよびポストリモートのバイオメトリクス認証
6.2.3. Emotion recognition and biometric categorisation	6.2.3. 感情認識と生体情報のカテゴリー化
6.2.4. Biometric inferences	6.2.4. 生体情報の推論
6.3. Recommendations with regard to Title II	6.3. タイトルIIに関する推奨事項
6.3.1. Differentiating between per se-prohibitions and restrictions	6.3.1. 禁止事項と制限事項の区別
6.3.2. Adding total surveillance and infringements on mental privacy and integrity prohibited AI practices	6.3.2. 全面的な監視、精神的なプライバシーや完全性への侵害をAIの行為として禁止する。
6.3.3. Allowing for flexible adaptation of the list of prohibited AI practices	6.3.3. 禁止されているAI行為のリストを柔軟に変更できるようにする。
6.3.4. Clarifying the relationship with prohibitions following from other laws	6.3.4. 他の法律に基づく禁止事項との関係の明確化
6.4. Recommendations with regard to biometric identification	6.4. バイオメトリック識別に関する提言
6.4.1. Limitations on scope of the existing proposal	6.4.1. 既存の提案の範囲に関する制限
6.4.2. A new regulatory approach	6.4.2. 新たな規制的アプローチ
6.4.3. Clarifications with regard to data collection and storage	6.4.3. データの収集と保存に関する明確化
6.5. Recommendations with regard to emotion recognition and biometric categorisation	6.5. 感情認識と生体情報の分類に関する推奨事項
6.5.1. Emotion recognition and biometric categorisation as restricted AI practices	6.5.1. 制限されたAI行為としての感情認識および生体情報の分類
6.5.2. How to design the restrictions?	6.5.2. 制限をどのように設計するか？
6.6. Recommendations with regard to decisions taken	6.6. 意思決定に関する推奨事項
6.6.1. Mirroring and adapting the rule in Article 14(5)	6.6.1. 第14条(5)のルールを反映し、適応すること
6.6.2. Use as legal evidence	6.6.2. 法的証拠としての使用
6.7. Recommendations with regard to biometric inferences	6.7. バイオメトリック推論に関する推奨事項
6.8. Recommendations with regard to consent management	6.8. 同意管理に関する推奨事項
REFERENCES	参考文献
ANNEX: PROPOSED WORDING OF TITLE II AND TITLE IIA	附属書：タイトルIIおよびタイトルIIAの文言案

エグゼクティブサマリー

EXECUTIVE SUMMARY	エグゼクティブサマリー
Background	背景
Biometric identification together with biometric categorisation, behavioural detection, emotion recognition, brain-computer-interfaces (BCIs), and similar techniques are being used to an increasing extent by public and private bodies. They serve a broad variety of purposes, ranging from healthcare to law enforcement and border control to warfare, and are deployed in public as well as in private spaces. The term ‘biometric techniques’ should be understood as including any technology or operation that	バイオメトリクス認証、バイオメトリクス分類、行動検出、感情認識、脳-コンピュータインターフェース（BCI）などの技術は、公的機関や民間企業でますます利用されるようになっています。これらの技術は、医療、法執行、国境管理、戦争など、さまざまな目的に利用されており、公共の場だけでなく、私的な空間にも導入されています。「バイオメトリクス技術」という言葉は、次のような技術や操作を含むと理解すべきです。
• relies on specific technical processing of data relating to physical, physiological or behavioural aspects of the human body (including when in motion);	• 人体（動いているときも含む）の物理的、生理的、行動的な側面に関連するデータの特定の技術的処理に依存するもの。
• for purposes such as authentication or identification of human individuals, categorisation of human individuals according to permanent or long-term characteristics (including with a view to predicting future behaviour), or detection of temporary or permanent conditions of a human individual (such as fear, fatigue, or illness, or a particular intent).	• 人間の個人の認証または識別、恒久的または長期的な特性に基づく人間の個人の分類（将来の行動を予測する目的も含む）、人間の一時的または恒久的な状態（恐怖、疲労、病気、特定の意図など）の検出などを目的としています。
Beyond traditional biometric techniques such as fingerprint or facial recognition, biometric techniques clearly include, e.g., analysis of keystroke or mouse dynamics, gesture dynamics, signature dynamics, as well as voice and gait features. By way of contrast, the term is normally not understood as including behaviour that can be controlled by the human will to a higher extent, such as shopping behaviour, browsing history or the content of communication. As far as such behaviour is analysed to infer conditions of a genetic, physical, physiological, behavioural, psychological or emotional nature characterising a particular individual, it may, however, be justified to include them in the notion of biometric techniques in a broader sense.	指紋や顔認識などの伝統的なバイオメトリクス技術を超えて、バイオメトリクス技術には、例えば、キーストロークやマウス、ジェスチャー、署名の動態、さらには、音声や歩行の特徴の分析が含まれることは明らかです。対照的に、この用語は通常、ショッピング行動、閲覧履歴、コミュニケーションの内容など、人間の意志でより高度に制御できる行動を含むとは理解されていません。しかし、このような行動が、特定の個人を特徴づける遺伝的、身体的、生理的、行動的、心理的、感情的な性質の条件を推測するために分析される限り、広い意味でのバイオメトリクス技術の概念に含めることが正当化される場合があります。
Major trends are the increasing use of ‘weak’ and ‘soft’ biometrics alongside ‘strong’ biometrics, focussing on a variety of patterns of a more behavioural kind, and the development towards multimodal biometrics. Together with enhanced sensor and computing capabilities as well as enhanced connectivity, this paves the way for mass roll-out of biometric technologies in a broad variety of sectors and for a broad variety of purposes, far beyond law enforcement and border control, turning biometric technologies into something like universal technologies.	主な傾向としては、より行動的な種類の様々なパターンに焦点を当てた「強い」バイオメトリクスに加えて、「弱い」バイオメトリクスや「ソフト」バイオメトリクスの利用が増加していることや、マルチモーダル・バイオメトリクスへの発展が挙げられます。センサーやコンピュータの性能向上、接続性の向上と相まって、法執行や国境管理にとどまらず、さまざまな分野、さまざまな目的でバイオメトリクス技術が大量に導入され、バイオメトリクス技術がユニバーサルな技術になっていきます。
Latest technological advances include improved sensors, enabling the capture of entirely new types of bio-signals, such as heart beats and brain waves via EEG or ECG, and the development of braincomputing-interfaces (BCI). BCIs measure neuro activity and translate brain activity into machinereadable input. These new technologies are potentially highly intrusive, allowing for the detection of thoughts or intent and possibly also for influencing operations of the human brain.	最新の技術では、センサーの改良により、EEGやECGによる心拍や脳波など、まったく新しいタイプのバイオメトリクス信号の取得が可能になったほか、脳-コンピューティングインターフェース（BCI）の開発も進んでいます。BCIは、神経活動を測定し、脳の活動を機械で読めるように変換します。これらの新しい技術は、思考や意図を検出したり、人間の脳の動作に影響を与えたりするなど、非常に侵入性の高いものになる可能性があります。
The Proposal for an Artificial Intelligence Act (AIA) of 21 April 2021 addresses such techniques in various ways, as do other instruments, both existing and in the pipeline. However, the question arises whether existing and proposed legislation adequately addresses ethical and fundamental rights issues raised.	2021年4月21日に発表された人工知能法（AIA）の提案は、様々な方法でこのような技術に対応しており、既存および計画中の他の法律も同様です。しかし、既存の法律や提案されている法律が、提起されている倫理的および基本的権利の問題に適切に対処しているかどうかが問題となります。
Aim	目的
This study analyses the ethical and legal aspects raised by biometric techniques. In particular, it provides	本研究では、バイオメトリクス認証技術によって生じる倫理的・法的側面を分析します。具体的には、次のような内容です。
• a suggestion for a comprehensive definition of ‘biometric techniques’ and for grouping them into authentication/identification, categorisation and detection techniques;	• 「バイオメトリクス技術」を包括的に定義し,認証・識別技術,分類技術,検出技術に分類することの提案
• a stock-taking of related legal instruments, case-law and literature;	• 関連する法律文書、判例、文献の棚卸し
• a thorough ethical and legal assessment of the implications raised;	• 提起された意味の倫理的・法的評価の徹底
• recommendations on a possible legislative framework for responsible use of biometric techniques.	• バイオメトリクス技術の責任ある利用のための法的枠組みに関する提言
Key findings	主な調査結果
Biometric identification of humans	人間のバイオメトリクス認証
The main ethical issue raised specifically by biometric identification is related to the enrolment phase, i.e. the creation and storage of a unique template that identifies a particular person. The enrolment phase and the deployment phase may overlap where templates are refined during deployment, e.g. through supervised learning in the field. Creating unique templates means transforming unique physical features of a human being into digital data, leading to a ‘datafication’ of humans. Since the features that uniquely identify a person are part of a person's body, their collection and use interfere with a human’s personal autonomy and dignity. Once this template is created and stored, anyone who comes into possession of it in the future has the power to trace and recognise that individual anywhere in the world and potentially for any purpose. There is no way for the individual to escape it as an individual cannot normally change ‘strong’ biometric identifiers. Considering also data security concerns, collecting and storing biometric templates has a significant potential for harm.	バイオメトリクス認証によって特に提起される主な倫理的問題は、登録段階、すなわち特定の人を識別する固有のテンプレートの作成と保存に関するものです。登録段階と展開段階が重なることもありますが、その場合は、展開中にテンプレートが改良されます（例：現場での教師付き学習）。固有のテンプレートを作成することは、人間の物理的な特徴をデジタルデータに変換することであり、人間の「データ化」につながります。人を識別する特徴は、人の身体の一部であるため、その収集と使用は、人の個人的な自律性と尊厳を妨げます。いったんテンプレートが作成され保存されると、将来それを手にした人は、世界中のどこにいても、どのような目的であっても、その個人を追跡し認識することができるようになります。「強力な」バイオメトリクス識別子は通常、個人が変更することはできないため、本人がこれから逃れることはできません。データセキュリティの問題も考慮すると、バイオメトリクスのテンプレートを収集・保存することは、大きな損害をもたらす可能性があります。
Apart from this, ethical issues raised by the use of biometric identification methods in public spaces do not so much relate specifically to biometrics, but to large-scale surveillance of individuals as such (i.e., they are similar to issues raised by, for example, large-scale surveillance using mobile device signals), or otherwise to the purposes for which the technology is used, and how it is used. The dimension of ethical issues raised depends, in particular, on	これとは別に、公共空間でのバイオメトリクス認証方法の使用によって提起される倫理的問題は、バイオメトリクスに特化したものというよりも、そのような個人に対する大規模な監視（つまり、例えば、携帯端末の信号を利用した大規模な監視によって提起される問題と類似している）、あるいは、技術が使用される目的とその使用方法に関連するものである。倫理的問題がどのような次元で発生するかは、特に次の点に依存します。
• the concrete purpose of identification;	• 識別の具体的な目的
• the place, manner or dimension of identification;	• 識別の場所,方法,または側面
• the transparency of the identification measures taking place;	• 行われている本人確認措置の透明性
• the reactions (e.g. arrest) triggered by a high matching score;	• 高い照合スコアによって引き起こされる反応（例：逮捕）。
• the evidentiary force ascribed to a high matching score and possibilities of the individual to demonstrate error or identity fraud; and	• 高い照合スコアに起因する証拠力,および個人がエラーまたは ID 詐欺を証明する可能性。
• any storage and further processing of matching data (e.g. for the creation of mobility profiles).	• 一致するデータの保存およびさらなる処理（例：移動性プロファイルの作成）。
Issues of discrimination or stigmatisation arise mostly as a result of deficiencies in one or several of the aspects mentioned (e.g. where, despite diminished accuracy of the system with particular ethnic groups, unjustified assumptions are made).	差別や汚名を着せることの問題は、主に前述の側面の 1 つまたは複数の欠陥の結果として生じます（例えば、特定の民族グループに対するシステムの精度が低下しているにもかかわらず、不当な仮定がなされている場合など）。
Biometric categorisation of humans	人間のバイオメトリクスによる分類化
The main ethical issues raised by the biometric categorisation of human individuals (e.g. allocation to risk groups within an airport security system, assessment of job applicants) are related to the development and concrete use of categorisation systems. In particular, ethical issues arise in relation to the definition of categories, the associated assumptions and the conclusions or reactions triggered by the system, leading to risks such as discrimination, stigmatisation, and the drawing of inappropriate inferences. Further risks include manipulation and exploitation of group-specific vulnerabilities. Ethical issues may be related to, in particular,	人間のバイオメトリクスによる分類化（例：空港のセキュリティシステムにおけるリスクグループへの割り当て、就職希望者の評価）によって提起される主な倫理的問題は、分類化システムの開発と具体的な使用に関するものです。特に、カテゴリーの定義、関連する仮定、システムによって引き起こされる結論や反応に関連して、倫理的な問題が発生し、差別、汚名を着せること、不適切な推論の抽出などのリスクにつながります。さらに、グループ特有の脆弱性を操作したり利用したりするリスクもあります。倫理的な問題は、特に次の点に関連しています。
• the concrete purpose, context and conditions of categorisation;	• 分類化の具体的な目的,状況,条件
the degree of sensitivity of data collected and of inferences drawn;	• 収集されたデータと導き出された推論の感度の度合い
• the accuracy of the system, the appropriateness of inferences drawn, and any control mechanisms, including human oversight;	• システムの精度,導き出された推論の妥当性,および人間の監視を含む制御メカニズム
• the gravity (including potential irreversibility) of consequences triggered by the system;	• システムによって引き起こされる結果の重大性（不可逆性の可能性を含む）
• the awareness of the individual of the categorisation and the possibility of the individual to challenge the output; and	• 分類に対する本人の認識,および出力に対する本人の異議申し立ての可能性
• any storage and further processing of data for profiling purposes.	• プロファイリングを目的としたデータの保存とさらなる処理
It follows that the fundamental rights risks to be addressed in this context are primarily associated with standardised profiling and/or scoring as a means to achieve a given end in a given social context. The fact that categorisation includes biometrics (e.g. that a person’s age is inferred from wrinkles in their face rather than from their shopping history) adds some ethical relevance, as an individual cannot easily change most biometric traits (e.g. wrinkles), but it is hardly ever the decisive factor (as compared, e.g., with age-specific targeting that might follow categorisation). Biometric inferences, i.e. inferences drawn with regard to permanent or long-term physical, physiological or behavioural characteristics, may in general be ethically even more relevant than the use of biometric techniques as such.	この文脈で対処すべき基本的権利のリスクは、主に、特定の社会的文脈において特定の目的を達成するための手段としての標準化されたプロファイリングおよび／またはスコアリングに関連するものであることがわかります。分類にバイオメトリクスが含まれているという事実（例えば、人の年齢は買い物の履歴ではなく顔のしわから推測される）は、個人がほとんどのバイオメトリクス的特徴（例えば、しわ）を簡単に変えることができないため、倫理的な関連性を高めるものであるが、それが決定的な要因となることはほとんどありません（例えば、分類の後に行われる可能性のある年齢別ターゲティングと比較した場合）。バイオメトリック推論、すなわち恒久的または長期的な身体的、生理的または行動的特徴に関して導き出される推論は、一般的に、バイオメトリック技術をそのように使用することよりも倫理的にさらに関連性が高い場合があります。
Biometric detection of human conditions	人間の状態に関するバイオメトリクス検出
The main ethical issues raised by the biometric detection of human conditions (e.g. intention to commit a crime, fear, fatigue or illness) follow from its potentially intrusive nature, often analysing very intimate traits, some of them beyond the individual’s consciousness. In addition, previously unknown conditions, when revealed to the individual, may cause stress or anxiety.	人間の状態（犯罪の意図、恐怖、疲労、病気など）に関するバイオメトリクス検出によって提起される主な倫理的問題は、その潜在的に侵入的な性質に起因しており、しばしば非常に本質に関わる特徴を分析し、その中には本人の意識を超えたものもあります。さらに、以前は知られていなかった状態が本人に明らかになると、ストレスや不安を引き起こす可能性があります。
Most ethical issues raised by the use of biometric detection do not relate specifically to the fact that biometric data are used for inferring a condition, but to detection of that condition as such (i.e., they are largely identical to issues raised by, for example, detection on the basis of a shopping or browsing history), and to the way the information about this condition is used (e.g. for manipulation and exploitation of detected vulnerabilities). Again, the fact that an individual has little control over their physical, physiological or behavioural signals, many of which will be subconscious, may give their use to detect conditions a special ethical dimension.	バイオメトリクス検知の使用によって提起される倫理的問題の多くは、バイオメトリクスデータが状態の推測に使用されるという事実に特に関連するものではなく、その状態の検知そのもの（すなわち、例えば、ショッピングやブラウジングの履歴に基づいて検知する場合に提起される問題とほぼ同じ）と、この状態に関する情報の使用方法（例えば、検知された脆弱性の操作や利用）に関連するものです。繰り返しになりますが、個人が自分の身体的、生理的、行動的な信号をほとんどコントロールできず、その多くが無意識的なものであるという事実は、条件を検出するためにそれらを使用することに特別な倫理的側面を与える可能性があります。
Fundamental rights risks posed by biometric detection techniques are very similar to those posed by biometric categorisation. However, within the field of biometric detection systems, it is systems detecting human emotions, thoughts and intentions that deserve particular attention from an ethical and regulatory perspective, potentially calling for a new set of ‘neuro-rights’ (such as the right to mental privacy and mental integrity).	バイオメトリクス検出技術がもたらす基本的権利のリスクは、バイオメトリクスによる分類化がもたらすリスクと非常によく似ています。しかし、バイオメトリクス検知システムの分野では、人間の感情、思考、意図を検知するシステムが、倫理的・規制的観点から特に注目されるべきであり、新たな「神経的権利」（精神的プライバシーや精神的完全性に対する権利など）が必要になる可能性があります。
Key recommendations	主な提言
The recent Proposal for an AIA goes in the right direction but still fails to address ethical concerns in a consistent manner, in particular due to various restrictions in the scope of provisions. The study proposes to include in the Proposal a new Title IIa that is devoted to restricted AI practices, including biometric techniques and inferences, ensuring responsible use of these techniques without stifling innovation and growth.	最近のAIAの提案は、正しい方向性を示していますが、特に規定の範囲に様々な制限があるため、倫理的な懸念に一貫して対処することができていません。本研究では、提案の中に、バイオメトリクス認証技術や推論を含む制限されたAIの実践に専念する新たなタイトルIIaを含めることで、イノベーションと成長を阻害することなく、これらの技術の責任ある使用を保証することを提案します。
The Study suggests that, in particular, the amendments to the Proposal as listed below should be considered by the European Parliament.	本研究では、特に、次のような提案の修正を欧州議会で検討することを提案する。
The definitions in Article 3 should be amended:	第3条の定義を修正すべきである。
• The definitions of ‘emotion recognition system’ and ‘biometric categorisation system’ should be detached from the concept of ‘biometric data’ as defined in the GDPR and rather based on a new definition of ‘biometrics-based data’;	•「感情認識システム」と「バイオメトリクス分類システム」の定義は、GDPRで定義されている「バイオメトリクスデータ」の概念から切り離し、むしろ「バイオメトリクスに基づくデータ」という新たな定義に基づくべきである。
• The definitions of ‘remote’ and ‘real-time’ with regard to biometric identification should be slightly modified.	• バイオメトリクス認証に関する「リモート」と「リアルタイム」の定義を若干変更すること。
• An additional definition for ‘biometric inferences’ should be introduced; Title II on prohibited AI practices should be amended:	• 禁止されたAI行為に関するタイトルIIを修正すべきである。
Title II on prohibited AI practices should be amended:	AIの禁止行為に関するタイトルIIを修正すべきである。
• The current Article 5(1)(d) and (2) to (4) on real-time remote biometric identification should be removed from Article 5 and transferred to a new Title IIa on ‘restricted AI practices’;	• リアルタイム遠隔バイオメトリクス認証に関する現行の第5条(1)(d)及び(2)～(4)は、第5条から削除し、「制限されたAI行為」に関する新たなタイトルIIaに移すべきである。
• The list of prohibited AI practices in Article 5(1) should be enriched, at least, by a prohibition of total or comprehensive surveillance of natural persons in their private or work life and of infringements of mental privacy and integrity (further extensions being beyond the scope of this Study);	• 第5条(1)の禁止されるAI行為のリストは、少なくとも、自然人の私生活や仕事上の生活における全面的または包括的な監視の禁止、および精神的なプライバシーや完全性の侵害の禁止によって強化されるべきである（さらなる拡張は本研究の範囲外である）。
• The Commission should have the possibility to adapt the list of prohibited AI practices periodically, potentially under the supervision of the European Parliament;	• 欧州委員会は,禁止されたAI行為のリストを,欧州議会の監視下で定期的に変更する可能性を持つべきである。
• There should be a clarification that prohibitions following from other laws (such as data protection or consumer protection law) remain unaffected.	• 他の法律（データ保護法や消費者保護法など）に基づく禁止事項は影響を受けないことを明確にするべきである。
A new Title IIa on ‘restricted AI applications’ should be inserted:	「制限付きAIアプリケーション」に関する新たなタイトルIIaを挿入すべきである。
• The new Title IIa should deal with ‘real-time’ remote biometric identification (or even with other forms of real-time remote identification) in a more comprehensive way, without limitation to law enforcement purposes;	• 新しいタイトルIIaは、法執行目的に限定することなく、より包括的な方法で「リアルタイム」の遠隔バイオメトリクス認証（あるいは他の形態のリアルタイム遠隔認証）を取り扱うべきである。
• It should also include a provision on other biometric identification systems, emotion recognition systems and biometric categorisation systems, limiting the admissibility of such systems and integrating the transparency obligation which is currently in Article 52(2);	• また,他のバイオメトリクス認証システム,感情認識システム,バイオメトリクス分類システムに関する規定を盛り込み,これらのシステムの許容性を制限し,現在の第52条第2項にある透明性義務を統合すべきである。
• Title IIa should likewise include a new provision on decisions based on biometric techniques;	• タイトルIIaは,同様に,バイオメトリック技術に基づく決定に関する新たな規定を含むべきである。
• Title IIa might possibly also include provisions that put substantive limits to the drawing of biometric inferences and provide for automated consent management.	• タイトルIIaには,バイオメトリック推論の抽出に実質的な制限を加え,自動化された同意管理を規定する条項も含まれる可能性がある。
Annex III point 1 should be extended so as to cover emotion recognition systems in (at least) the same way as biometric categorisation systems.	附属書IIIのポイント1は、バイオメトリクス情報による分類システムと（少なくとも）同じように、感情認識システムをカバーするように拡張すべきである。

人工知能法案

AIについての欧州アプローチに関する規則の提案

・2021.04.21 Proposal for a Regulation on a European approach for Artificial Intelligence

1. [PDF] Proposal for a Regulation on a European approach for Artificial Intelligence

取り急ぎの仮訳。。。

[DOCX]

2. [PDF] Annexes to the Proposal

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.09 経団連提案された欧州人工知能法に関する意見

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

2021.08.11 16:41 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (2)
Tweet

中国通信院プライバシーコンピューティング白書 (2021) at 2021.07.21

こんにちは、丸山満彦です。

中国の信息通信研究院と隐私计算联盟 (Privacy Preserving Computing Alliance)がプライバシーコンピューティング白書 (2021) を公表したようです。。。

信息通信研究院 のウェブページにPDFが上がるかと思っていたのですが、なかなか上がらないので、先に紹介します。。。

● 中国信息通信研究院

・掲載されていません。。。

なお、次のウェブサイトで全文読めます。。。ただし、画像ファイル。。。

● 捜狐

・2021.07.22 《隐私计算白皮书（2021年）》全文

画像データ

・[ZIP] 前文、目次

・[ZIP] 01-02章

・[ZIP] 03-04章

・[ZIP] 05-附属書

せめて前文と目次・・・

前言	序文
2020年4月,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,将数据同土地、劳动力、资本、技术等传统生产要素并列,作为一种新型生产要素参与分配。作为释放要素价值的关键环节,数据资源的开放共享、交换流通成为重要趋势,其需求日益增加。	2020年4月、中国共産党中央委員会と国務院は「市場ベースの配分のためのより完璧な制度的メカニズムの構築に関する意見」を発表し、その中でデータは土地、労働、資本、技術といった伝統的な生産要素と並んで、新しいタイプの配分対象となった。要因の価値を解放するための重要なリンクとして、データリソースのオープンな共有と交換は重要な傾向となっており、その需要は増加しています。
然而,近年来数据安全事件频发,数据安全威胁日益严峻,特别是《中华人民共和国数据安全法》的颁布和实施,对企业合规安全地发挥数据价值提出了更高的要求。既要应用数据,又要保护安全,如何兼顾发展和安全,平衡效率和风险,在保障安全的前提下发挥数据价值,是当前面临的重要课题。以多方安全计算、联邦学习、可信执行环境等为代表的隐私计算技术为流通过程中数据的“可用不可见”提供了解决方案,已在―些领域开始推广应用。可以说,隐私计算是在实现保护数据拥有者的权益安全及个人隐私的前提下,实现数据的流通及数据价值深度挖掘的-类重要方法。	しかし、近年、データ・セキュリティ・インシデントが頻発し、データ・セキュリティの脅威はますます深刻になっています。特に、中華人民共和国データ・セキュリティ法が公布・施行されたことにより、企業がコンプライアンスを遵守し、安全な方法でデータの価値を再生するためのより高い要件が提示されています。開発とセキュリティ、効率とリスク、セキュリティを確保しつつデータの価値をいかに両立させるかが重要な課題です。マルチパーティ・セキュア・コンピューティング、フェデレーテッド・ラーニング、トラステッド・エグゼキューション・エンバイロメントなどのプライバシー・コンピューティング技術は、流通するデータの「使いやすさと見えにくさ」に対するソリューションを提供し、すでに一部の分野で活用されています。プライバシーコンピューティングは、データ所有者の権利や利益、個人のプライバシーを保護しながら、データの循環やディープデータの価値発掘を実現するための重要な手法であると言えます。
近两年来,在政策驱动和市场需求同时作用下,隐私计算技术、产业、应用迅速发展,成为商业和资本竞争的热门赛道2020年底,中国信通院在工业和信息化部相关司局的指导下,联合业界六十余家技术企业和应用单位成立隐私计算联盟,成为隐私计算领域的重要行业组织2021年,中国信通院云大所联合隐私计算联盟的三十余家企业共同完了这本《隐计皮书(2021年)》。本白皮书试图回答以下这些问题:	この2年間、政策と市場の両方の需要に後押しされて、プライバシー・コンピューティングの技術、産業、アプリケーションは急速に発展し、ビジネスや資本競争の人気トラックになっています。 2021年、中国情報通信技術学院（CAIC）のクラウド研究所は、プライバシー・コンピューティング・アライアンスの30社以上の企業と協力して、この「プライバシー・コンピューティング・ペーパー（2021年）」を完成させました。このホワイトペーパーでは、以下の質問に答えようとしています。
· 隐私计算是什么:为什么会有隐私计算技术?它能发挥什么价值? 面临什么样的政策环境?	· プライバシー・コンピューティングとは:なぜプライバシー・コンピューティング技術があるのか？どんな価値をもたらすことができるのか。政策環境とは？
· 隐私计算技术发展情况:隐私计算的技术体系是怎样的? 各类隐私计算技术的方案架构和特点有哪些?每种隐私计算技术擅长解决的问题是什么? 其成熟度和缺陷有哪些?技术融合与扩充的情况如何?	· プライバシー・コンピューティングはどのように進化しているのか:プライバシー・コンピューティングの技術的なアーキテクチャとは？様々なプライバシー・コンピューティング技術のソリューション・アーキテクチャとその特徴は？それぞれのプライバシーコンピューティング技術が得意とする問題とは？彼らの成熟度と短所は？テクノロジーの収束と拡大の状況は？
· 隐私计算应用场景:隐私计算常用的应用场景有哪些? 在每个场景里,隐私计算解决了什么痛点、如何应用?	· プライバシー・コンピューティングのアプリケーション・シナリオ:プライバシー・コンピューティングの一般的なアプリケーション・シナリオとは？それぞれのシナリオにおいて,プライバシー・コンピューティングはどのようなペインポイントを解決し,どのように適用されるのか？
· 隐私计算产业发展情况:国内外隐私计算主要有哪些企业? 隐私计算行业的商业模式、论文情况、技术开源情况、标准建设情况如何?	· プライバシー・コンピューティング業界の発展:国内外のプライバシー・コンピューティングの主要企業は？プライバシー・コンピューティング業界のビジネスモデル,論文,オープンソース技術,標準規格はどのようなものか？
· 隐私计算合规性情况:从法律视角看,隐私计算解决了哪些数据流通的合规性问题?应用隐私计算过程中,面临哪些合规性风险?如何解决这些风险?	· プライバシー・コンピューティングのコンプライアンス:法的な観点から,プライバシー・コンピューティングはどのようなデータフローのコンプライアンス問題に対処するのか？プライバシー・コンピューティングの利用に伴うコンプライアンス上のリスクとは？これらのリスクにどのように対処すればよいのでしょうか。
· 隐私计算面临的问题与挑战:隐私计算的发展面临哪些问题? 这些问题该如何改善?	· プライバシー・コンピューティングの問題点と課題:プライバシー・コンピューティングの発展に向けた課題は何か？これらの課題をどのように改善していけばよいのでしょうか。
道阻长,行则将至;行而不,未来可期面对这个日新月异、快速发展的行业,我们期待与业界共同守正创新,推动隐私计算行业健康发展,让隐私计算在数据要素市场建设和数据流通过程中发挥更大的价值!	私たちは、業界の皆様と協力して、プライバシー・コンピューティング業界の健全な発展を促進し、データ要素市場の構築やデータ流通の過程において、プライバシー・コンピューティングの価値を高めていきたいと考えています。

目录	目次
第一章算概述	第1章コンピューティングの概要
(一) 数据流通需求推动隐私计算势头火热	(1) データ流通への要求が、プライバシー・コンピューティングの機運を高める
(二) 政策环境为隐私计算发展提供新机遇	(2) 政策環境は、プライバシー・コンピューティングの開発に新たな機会を与えている
第二章算态势	第2章: コンピューティングの状況
(一) 隐私计算技术体系基本建立	(1) プライバシー・コンピューティング技術体系が基本的に確立されている。
(二) 多方安全计算基于密码学原理实现通用计算能力	(2) マルチパーティ・セキュア・コンピューティング暗号の原理に基づくユニバーサル・コンピューティングの実現
(三) 联邦学习变革机器学习范式广泛应用于联合建模	(3) 連携学習連携モデリングに広く使われている機械学習のパラダイムを変換したもの。
(四) 可信执行环境依托于可信硬件提供高效计算方案	(4) 信頼された実行環境は、信頼されたハードウェアに依存し、効率的な計算ソリューションを提供します。
(五) 相关技术扩充隐私计算技术体系	(5）関連技術は、プライバシー・コンピューティングの技術的なアーキテクチャを拡張します。
第三章算应景	第3章シナリオの算出
(一) 联合营销:跨行业数据融合重构用户画像	(1) ジョイント・マーケティング：ユーザーのポートレートを再構成するための業界横断的なデータ融合
(二) 联合风控:引入外部数据优化金融风控模型	(2) 共同リスク管理：外部データの導入による財務リスク管理モデルの最適化
(三) 智慧医疗:数据互通发挥医学数据价值	(3）インテリジェントな医療：医療データの価値を生かすためのデータの相互運用性
(四) 电子政务:促进政务数据安全共享开放	(4) 電子政府：政府データの安全な共有と公開の促進
第四章产业态势	第4章業界動向
(一) 隐私计算市场发展迅速	(1)プライバシー・コンピューティング市場の急速な発展
(二) 产业发展配套环境正在逐步完善	(2）産業発展のための支援環境が徐々に改善されている。
第五章私计算合规探讨	第5章：プライバシー・コンピューティング・コンプライアンスに関する議論
(一) 隐私计算有助于提升数据流通的合规性	(1)プライバシーコンピューティングは、データ流通のコンプライアンス向上に役立つ
(二) 隐私计算方案设计需要关注合规要求	(2)コンプライアンスを重視したプライバシー・コンピューティング・ソリューション設計が必要
(三) 隐私计算合规实践路径的探索	(3) プライバシーコンピューティングのコンプライアンス実践パスの探求
第六章私算的题	第6章：プライベート・コンピューティングの課題
(一) 安全性挑战影响市场信任	(1) セキュリティの課題が市場の信頼に影響を与える
(二) 性能瓶颈阻碍隐私计算规模化应用	(2) パフォーマンスのボトルネックが、プライバシー・コンピューティングの大規模な導入を妨げている。
(三) 互联互通壁垒或使数据“孤岛”变“群岛”	(3) 相互運用性の障壁が、データの "島 "を "群島 "に変える
第七章展展望	第7章：展望
(一) 算法优化和硬件加速将成为隐私计算可用性提升的重要方向	(1) アルゴリズムの最適化とハードウェアの高速化は、プライバシー・コンピューティングの使い勝手を向上させるための重要な方向性である。
(二) 多元技术融合有望拓展隐私计算应用边界	(2）複数の技術が融合することで、プライバシー・コンピューティングの応用範囲が広がることが期待されている
(三) 标准体系制定有望助力隐私计算应用落地	(3) 標準システムの開発は、プライバシー・コンピューティング・アプリケーションの実装に役立つと期待されている
(四) 多方生态融合有望推进隐私计算行业发展	(4) マルチパーティエコロジーの統合は、プライバシーコンピューティング産業の発展を促進すると期待されている
附录国内主要隐私计算平台	附属書主な国内プライバシー・コンピューティングプラットフォーム

2021.08.10

NIST SP 1271 NISTサイバーセキュリティフレームワーク入門：クイックスタートガイド

こんにちは、丸山満彦です。

NISTが「SP 1271 NISTサイバーセキュリティフレームワーク入門：クイックスタートガイド」を公表していますね。Cybersecurity Frameworkを始めるための入門書の位置付けのようです。

「大規模な組織の場合は、ERMとの連携が有益です」とさりげなく書いています。。。（NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)）

● NIST - ITL

・2021.08.06 SP 1271 Getting Started with the NIST Cybersecurity Framework: A Quick Start Guide

・[PDF] SP 1271

Abstract

概要

This document intends to provide direction and guidance to those organizations – in any sector or community – seeking to improve cybersecurity risk management via utilization of the NIST Framework for Improving Critical Infrastructure Cybersecurity (Cybersecurity Framework or the Framework). Cybersecurity is an important and amplifying component of an organization’s overall risk management process. The Framework enables organizations – regardless of size, degree of cybersecurity risk, or cybersecurity sophistication – to apply the principles and best practices of risk management to improve security and resilience. Through implementation of the Framework, organizations can better identify, assess, and manage their cybersecurity risks in the context of their broader mission and business objectives.

本書は、重要インフラのサイバーセキュリティ向上のためのNISTフレームワークを活用して、サイバーセキュリティのリスク管理を改善しようとしている組織（セクターやコミュニティを問わない）に対して、方向性と指針を示すことを目的としています。サイバーセキュリティは、組織の全体的なリスク管理プロセスの中で、重要かつ強化された要素です。フレームワークは、組織の規模、サイバーセキュリティリスクの程度、サイバーセキュリティの洗練度にかかわらず、リスク管理の原則とベストプラクティスを適用して、セキュリティとレジリエンスを向上させることを可能にします。このフレームワークを導入することで、組織は、より広範なミッションと事業目標に照らし合わせて、サイバーセキュリティリスクをより適切に特定、評価、管理することができます。

仮訳です。。。

・[DOCX]

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.11 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル（暫定草案）

・2021.03.30 NISTIR 8310 (Draft) サイバーセキュリティフレームワーク(CSF) 選挙インフラのプロファイル

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル：測位・航法・計時（PNT）サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

・2020.10.13 NIST NISTIR 8183 Rev. 1 Cybersecurity Framework Version 1.1 Manufacturing Profile

・2020.04.07 ENISAがGood practices on interdependencies between OES and DSPsとISO/IEC 27002, NIST Cybersecurity Framework, Cobit5とのマッピング表を公開しましたね。。。

・2020.03.22 GAO CRITICAL INFRASTRUCTURE PROTECTION: Additional Actions Needed to Identify Framework Adoption and Resulting Improvements

・2020.03.20 NISTIR 8170 Approaches for Federal Agencies to Use the Cybersecurity Framework

・2020.03.05 NISTIR 8183 Rev. 1(Draft) Cybersecurity Framework Version 1.1 Manufacturing Profile

2021.08.10 15:10 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

こんにちは、丸山満彦です。

EU議会が「ヨーロッパの政策におけるディープフェイクへの取り組み」という調査報告書を公開していますね。。。

制作手段として、５つの側面に分けて整理しているのが参考になるかもですね。。。

1. the technology dimension	1.技術の側面
2. the creation dimension	2.創造の側面
3. the circulation dimension	3.流通の側面
4. the target dimension	4.標的の側面
5. the audience dimension	5.視聴者の側面

● European Parliament - Think Tank

・2021.07.30 Tackling deepfakes in European policy

・[PDF] BRIEFING

・[PDF] STUDY

1. Introduction	1 はじめに
1.1. Background	1.1. 背景
1.2. Research questions	1.2. リサーチクエスチョン
1.3. Definitions	1.3. 定義
1.3.1. Deepfakes	1.3.1. ディープフェイク
1.3.2. Synthetic media	1.3.2. 合成メディア
1.4. Outline	1.4. 概要
2. Methodology	2 方法論
2.1. Literature review and analysis	2.1. 文献調査と分析
2.2. Expert interviews	2.2. 専門家インタビュー
2.3. Expert review	2.3. 専門家によるレビュー
3. Deepfake and synthetic media technologies	3 ディープフェイクと合成メディア技術
3.1. Photo- and video-graphic deepfake technology	3.1. 写真や動画を使ったディープフェイク技術
3.2. Specific graphical deepfake techniques	3.2. グラフィカルなディープフェイクの具体的な手法
3.3. Voice cloning technology	3.3. ボイスクローニング技術
3.4. Text synthesis technology	3.4. テキスト合成技術
3.5. Trends in deepfake videos, voice cloning and text synthesis	3.5. ディープフェイク動画、ボイスクローニング、テキスト合成の動向
3.5.1. Five-year future scenario and risk development	3.5.1 5年後の未来シナリオとリスク展開
3.6. Detection software and technical prevention strategies	3.6検知ソフトと技術的な防止策 24
3.6.1. Detection technology	3.6.1 検出技術
3.6.2. Detection limits	3.6.2. 検出限界
3.6.3. Technical prevention strategies	3.6.3 技術的な防止策
4. Societal context	4 社会的背景
4.1. Relevant factors and trends	4.1. 関連する要因と傾向
4.2. Welcoming environment for deepfakes	4.2. ディープフェイクを歓迎する環境
4.3. Deepfakes are a catalyst for greater gender inequality	4.3. ディープフェイクは、ジェンダーの不平等を拡大させるきっかけになる
4.4. Deepfakes bring a new dimension to disinformation	4.4. ディープフェイクがもたらす偽情報の新次元
4.5. Truth becomes blurry	4.5. 真実がぼやける
5. Benefits, risks and impacts of deepfakes	5 ディープフェイクのメリット、リスク、影響
5.1. Benefits	5.1. メリット
5.2. Risks, harms and impact	5.2. リスク、ハーム、インパクト
5.3. Risk of psychological harms	5.3. 心理的危害のリスク
5.4. Risk of financial harms	5.4. 金銭的被害のリスク
5.5. Risk of societal harms	5.5. 社会的弊害のリスク
5.6. Cascading impacts	5.6. カスケード・インパクト
6. Regulatory landscape	6 規制の状況
6.1. AI regulatory framework proposal	6.1. AI規制フレームワーク提案
6.2. General Data Protection Regulation (GDPR)	6.2. 一般データ保護規則（GDPR）
6.3. Copyright law	6.3. 著作権法
6.4. Image rights	6.4. 肖像権について
6.5. e-Commerce Directive and the digital services act	6.5. e-コマース指令とデジタルサービス法
6.5.1. e-Commerce Directive	6.5.1. e-コマース指令
6.5.2. Digital services act	6.5.2. デジタルサービス法
6.6. Audio Visual Media Services Directive	6.6. オーディオビジュアルメディアサービス指令
6.7. Measures against disinformation	6.7. 偽情報への対策
6.7.1. Code of Practice on Disinformation	6.7.1. 偽情報に関する行動規範
6.7.2. EU action plan against disinformation	6.7.2. 偽情報に対するEUの行動計画
6.7.3. European democracy action plan	6.7.3. 欧州民主化行動計画
6.8. European Parliament resolutions related to deepfakes	6.8. ディープフェイクに関連する欧州議会の決議
6.9. Regulatory debates in selected countries	6.9. 特定の国における規制の議論
6.9.1. United States	6.9.1. 米国
6.9.2. India	6.9.2. インド
6.9.3. China	6.9.3. 中国
6.9.4. Taiwan	6.9.4. 台湾
7. Regulatory gaps	7 規制のギャップ
7.1. Deepfake pornography	7.1. ディープフェイク・ポルノ
7.2. False political statement	7.2. 虚偽の政治声明
7.3. Manipulated court evidence	7.3. 裁判所の証拠を操作する
7.4. Conclusion	7.4. 結論
8. Regulatory options	8 規制の選択肢
9. Conclusions	9 結論
Annex 1 – List of interviewed experts and reviewers	附属書1 - インタビューを受けた専門家とレビュアーのリスト
Annex 2 – Interview questions first phase	附属書2 - 第一段階のインタビュー質問
Annex 3 – Interview questions second phase	附属書3 - 第二段階のインタビュー質問
Annex 4 – GANs and Autoencoders	附属書4 - GANとオートエンコーダー

上記の目次の訳と整合はとっていないのですが、、、仮訳です。。。

・[DOCX]

Continue reading "EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30"

2021.08.10 04:51 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2021.08.09

個人情報保護委員会改正個人情報保護法の英訳

こんにちは、丸山満彦です。

個人情報保護委員会が、昨年成立した改正個人情報保護法の英訳を公表していますね。。。

● 個人情報保護委員会

・Laws and Policies

・[PDF] Act on the Protection of Personal Information(June 2020)

大した話ではないですが、念のため...

日本の法律の言葉が英語ではどのように表現されているか、確認することは重要ですね。。。と、次の改正の方が重要かもしれませんが...

2021.08.09 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

経団連提案された欧州人工知能法に関する意見

こんにちは、丸山満彦です。

欧州委員会が2021.04.21にいわゆる人工知能法案を公表し、意見募集を行っていますが、経団連が意見を出したようですね。。。

● 日本経済団体連合

・2021.08.06 欧州AI規制法案に対する意見

１．総論

このたび、欧州委員会が公表したAI規制法案^#1は、信頼あるAIの開発・利活用促進による環境・社会課題の解決を目的としており、経団連が目指す「信頼できる高品質AI（Trusted Quality AI）エコシステム」の構築と方向性を同じくする。
しかし、現段階では、禁止・ハイリスクAIの定義等に曖昧さや解釈の余地が残されており、欧州への投資意欲や新興AI企業などの育成・強化を妨げ、イノベーションや国家安全保障に影響を及ぼす恐れがある。施行前に、定義の明確化や説明の追加、ガイドライン等の提供を行うべき。
また、AIの技術革新・社会実装が加速している状況を踏まえると、最新の状況を逐一考慮せずに議論を進めることは、混乱を生みかねない。規制の対象・内容の具体化にあたっては、規制対象となっているEU域外の産業界も含めたEAIB（欧州AI委員会）や、国際標準化団体（ISO/IEC JTC1 SC42）等において、十分な対話を行うプロセスを設けるべき。
同時に、規制導入後も緊密な対話を継続することより、規則の内容を継続的かつ柔軟に透明性を持った仕組みで見直していく仕組みを構築する必要がある。新たに法規制を課す場合にも、革新的技術の利活用による社会的便益を最大化できるよう、必要最小限にして抑制的であるべき。
AIプロバイダーのみを厳しく規制することは、信頼性あるAIエコシステムの形成をかえって阻害する要因になりうる。AIの適正な利用を担保するためには、プロバイダーだけに努力を課すのではなく、AIエコシステム全体での取組みが必要であることを明示し、ユーザーにおける取組みも促すことを期待する。

日本も考えないといけないんでしょうね。。。

人工知能法案

AIについての欧州アプローチに関する規則の提案

・2021.04.21 Proposal for a Regulation on a European approach for Artificial Intelligence

1. [PDF] Proposal for a Regulation on a European approach for Artificial Intelligence

取り急ぎの仮訳。。。

[DOCX]

2. [PDF] Annexes to the Proposal

参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

2021.08.09 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2021.08.08

EU議会 BRIEFING 人工知能法 at 2021.07.26

こんにちは、丸山満彦です。

EU議会が「人工知能法」というBRIEFINGを公開していますね。。。

● European Parliament - Think Tank

・2021.07.26 Artificial intelligence act

・[PDF] BRIEFING - Initial Appraisal of a European Commission Impact Assessment - Artificial intelligence act

仮訳です。。。

・[DOCX]

関連文書

● European Commision

影響評価です。。。

COM(2021)206

・2021.04.21 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS

・ [PDF] 本文

・[PDF] 附属文書

人工知能法案

AIについての欧州アプローチに関する規則の提案

・2021.04.21 Proposal for a Regulation on a European approach for Artificial Intelligence

1. [PDF] Proposal for a Regulation on a European approach for Artificial Intelligence

取り急ぎの仮訳。。。

[DOCX]

2. [PDF] Annexes to the Proposal

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

2021.08.08 18:11 in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

こんにちは、丸山満彦です。

EU議会が「デジタル時代の人工知能特別委員会 (Special Committee on Artificial Intelligence in a Digital Age: AIDA) 」の要請により、「スマートシティとアーバンモビリティにおける人工知能」という小論文を公開していますね。。。

● European Parliament - Think Tank

・2021.07.23 Artificial Intelligence in smart cities and urban mobility

・[PDF] Artificial Intelligence in smart cities and urban mobility - How can Artificial Intelligence applications be used in urban mobility and smart cities and how can their deployment be facilitated

仮訳です。。。

・[DOCX]

KEY FINDINGS	主要な結果
Artificial Intelligence (AI) enabling smart urban solutions brings multiple benefits, including more efficient energy, water and waste management, reduced pollution, noise and traffic congestions. Local authorities face relevant challenges undermining the digital transformation from the technological, social and regulatory standpoint, namely (i) technology and data availability and reliability, the dependency on third private parties and the lack of skills; (ii) ethical challenges for the unbiased use of AI; and (iii) the difficulty of regulating interdependent infrastructures and data, respectively. To overcome the identified challenges, the following actions are recommended:	人工知能（AI）によるスマートな都市ソリューションは、エネルギー、水、廃棄物管理の効率化、汚染、騒音、交通渋滞の軽減など、さまざまなメリットをもたらします。地方自治体は、技術的、社会的、規制的な観点から、デジタルトランスフォーメーションを阻害する関連課題に直面しています。すなわち、 (i)技術やデータの入手可能性と信頼性、第三者への依存、スキルの不足、 (ii)AIを公平に使用するための倫理的課題、 (iii)相互に依存するインフラやデータを規制する難しさ、がそれぞれ挙げられます。特定された課題を克服するために、以下のアクションが推奨されます。
• EU-wide support for infrastructure and governance on digitalisation, including high performance computing, integrated circuits, CPUs and GPU’s, 5G, cloud services, Urban Data Platforms, enhancing efficiency and ensuring at the same time unbiased data collection.	• ハイパフォーマンス・コンピューティング、集積回路、CPU、GPU、5G、クラウド・サービス、アーバン・データ・プラットフォームなど、デジタル化のためのインフラとガバナンスをEU全体で支援し、効率性を高めると同時に、偏りのないデータ収集を実現する。
• Inclusion of urban AI in EU research programs addressing data exchange, communication networks and policy on mobility and energy, enhancing capacity building initiatives, also through test and experimentation facilities.	• データ交換、通信ネットワーク、モビリティやエネルギーに関する政策を扱うEUの研究プログラムに都市型AIを組み込み、試験・実験施設を活用して能力開発の取り組みを強化する。
• Harmonising AI related policies in the EU, taking into account the context specificity: necessary research.	• コンテキストの特殊性を考慮したEUにおけるAI関連政策の調和：必要な研究
• Adoption of innovative procurement procedures, entailing requirements for technical and ethically responsible AI.	• 技術的にも倫理的にも責任のあるAIへの要求を含む、革新的な調達手続きの採用。

2021.08.08 00:00 in AI/Deep Learning | Permalink | Comments (0)
Tweet

2021.08.07

NIST SP 800-204B サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御

こんにちは、丸山満彦です。

NISTが「SP 800-204B サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御」を公表していますね。。。

SP 800-204B Attribute-based Access Control for Microservices-based Applications using a Service Mesh	SP 800-204B サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御
Abstract	概要
Deployment architecture in cloud-native applications now consists of loosely coupled components, called microservices, with all application services provided through a dedicated infrastructure, called a service mesh, independent of the application code. Two critical security requirements in this architecture are to build (1) the concept of zero trust by enabling mutual authentication in communication between any pair of services and (2) a robust access control mechanism based on an access control such as attribute-based access control (ABAC) that can be used to express a wide set of policies and is scalable in terms of user base, objects (resources), and deployment environment. This document provides deployment guidance for building an authentication and authorization framework within the service mesh that meets these requirements. A reference platform for hosting the microservices-based application and a reference platform for the service mesh are included to illustrate the concepts in the recommendations and provide the context in terms of the components used in real-world deployments.	クラウドネイティブ・アプリケーションの実装アーキテクチャは、マイクロサービスと呼ばれる疎結合のコンポーネントで構成され、すべてのアプリケーションサービスは、アプリケーションコードとは独立したサービスメッシュと呼ばれる専用のインフラストラクチャを通じて提供されます。このアーキテクチャにおいて重要なセキュリティ要件は、(1)任意のペアのサービス間の通信において相互認証を可能にすることでゼロトラストの概念を構築することと、(2)属性ベースのアクセスコントロール（ABAC）などのアクセスコントロールをベースに、幅広いポリシーを表現でき、ユーザベース、オブジェクト（リソース）、デプロイメント環境の観点から拡張可能な堅牢なアクセスコントロールメカニズムを構築することの2つです。本ドキュメントでは、これらの要件を満たす認証・認可フレームワークをサービスメッシュ内に構築するための導入ガイダンスを提供します。マイクロサービスベースのアプリケーションをホストするためのリファレンスプラットフォームと、サービスメッシュのリファレンスプラットフォームが含まれており、推奨事項のコンセプトを説明するとともに、実際の実装で使用されているコンポーネントの観点からコンテキストを提供しています。

・[PDF] SP 800-204B

・・[PDF] SP 800-204

・2020.05.27 SP 800-204A Building Secure Microservices-based Applications Using Service-Mesh Architecture

・・[PDF] SP 800-204A

Executive Summary	エグゼクティブサマリー
Two significant features of the application environment in emerging cloud-native applications are:	新たなクラウドネイティブ・アプリケーションにおけるアプリケーション環境には次の2つの特徴がある。
1. Microservices: Applications have multiple, loosely coupled components called microservices that communicate with each other across the network.	1. マイクロサービス：アプリケーションは、マイクロサービスと呼ばれる複数の疎結合のコンポーネントを持ち、ネットワークを介して相互に通信する。
2. Service Mesh: A dedicated infrastructure called the service mesh provides services for the application (e.g., authentication, authorization, routing, network resilience, security monitoring), which can be deployed independently of the application code.	2. サービスメッシュ：サービスメッシュと呼ばれる専用のインフラストラクチャが、アプリケーションのためのサービス（認証、認可、ルーティング、ネットワーク回復力、セキュリティ監視など）を提供し、アプリケーションコードとは独立して展開することができる。
With the disappearance of a network perimeter because of the need to provide ubiquitous access to applications from multiple remote locations using different types of devices, it is necessary to build the concept of zero trust into the application environment. Furthermore, the cloud-native applications span different domains and, therefore, require increased precision in specifying policy by considering a large set of variables (e.g., service, namespace). The service mesh provides a framework for building these and other operational assurances.	離れた複数の場所から異なるデバイスを使ってアプリケーションにユビキタスアクセスを提供する必要性から、ネットワークの境界線がなくなってきており、アプリケーション環境にゼロトラストの概念を組み込む必要がある。さらに、クラウドネイティブ・アプリケーションは異なるドメインにまたがっているため、大量の変数（サービス、名前空間など）を考慮してポリシーを指定する精度を高める必要がある。サービスメッシュは、これらの保証やその他の運用保証を構築するためのフレームワークを提供する。
The framework includes:	このフレームワークには以下が含まれる。
• An authenticatable runtime identity for services, authenticable credentials for individual users of the service, and encryption of communication between services.	• サービスのための認証可能なランタイム・アイデンティティ、アプリケーション（ユーザー）の資格情報を認証する機能、トランジット中およびサービス間の通信の暗号化
• A Policy Enforcement Point (PEP) that is separately deployable and controllable from the application. The role of Policy Decision Point (PDP) can be filled by the service mesh’s sidecar proxies or an external service.	• アプリケーションとは別に配置・制御可能なポリシー実施ポイント（PEP）。PDP（Policy Decision Point）の役割は、サービスメッシュのサイドカープロキシや外部サービスが担うことができる。
• Logs and metrics for monitoring policy enforcement.	• ポリシーの適用状況を監視するためのログとメトリクス。
The service mesh’s native feature to authenticate end-user credentials attached to the request (e.g., using a Java Web Token [JWT]) is augmented in many offerings to provide the ability to call external authentication and authorization systems on behalf of the application. The capability to deploy these authentication and authorization systems as services in the mesh also provides operational assurances for encryption in transit, identity, a PEP, authentication, and authorization for end-user identity.	リクエストに添付されたエンドユーザーの資格情報を認証するサービスメッシュのネイティブ機能(例: Java Web Token [JWT]を使用)は、アプリケーションに代わって外部の認証・認可システムを呼び出す機能を提供するために、多くの提供物で拡張されている。これらの認証および認可システムをメッシュ内のサービスとして展開する機能は、トランジットの暗号化、ID、PEP、認証、およびエンドユーザー ID の認可のための運用上の保証も提供する。
The objective of this document is to provide deployment guidance for an authentication and authorization framework within a service mesh for microservices-based applications that leverages the features listed above. A reference platform for hosting the microservices-based application and the service mesh is included to illustrate the concepts in the recommendations and provide context in terms of the components used in real-world deployments.	本文書の目的は、上記の機能を活用したマイクロサービスベースのアプリケーションのためのサービスメッシュ内の認証・認可フレームワークの展開ガイダンスを提供することである。マイクロサービスベースのアプリケーションとサービスメッシュをホストするためのリファレンスプラットフォームが含まれており、推奨事項のコンセプトを説明し、実際の展開で使用されるコンポーネントのコンテキストを提供する。

Executive Summary	エグゼクティブ・サマリー
1 Introduction	1 はじめに
1.1 Service Mesh Capabilities	1.1 サービス・メッシュの機能
1.2 Candidate Applications	1.2 候補となるアプリケーション
1.3 Scope and Approach	1.3 対象範囲とアプローチ
1.4 Target Audience	1.4 想定読者
1.5 Relationship to Other NIST Guidance Documents	1.5 他のNISTガイダンス文書との関係
1.6 Organization of This Document	1.6 本文書の構成
2 Reference Platform for Microservices-based Application and Service Mesh	2 マイクロサービスベースアプリケーションおよびサービスメッシュのためのリファレンスプラットフォーム
2.1 Reference Platform for Orchestration and Resource Management of a Microservices-based Application	2.1 マイクロサービスベースアプリケーションのオーケストレーションとリソース管理のためのリファレンスプラットフォーム
2.1.1 Limitations of Reference Orchestration and Resource Management Platform for Security	2.1.1 セキュリティのためのオーケストレーションとリソース管理のリファレンスプラットフォームの制限事項
2.2 Service Mesh Reference Platform – Conceptual Architecture	2.2 サービスメッシュリファレンスプラットフォームのコンセプトアーキテクチャ
2.2.1 Service Mesh Functions for Reference Orchestration and Resource Management Platform	2.2.1 参照オーケストレーションリソース管理プラットフォームのサービスメッシュ機能
3 Attribute-based Access Control (ABAC) – Background	3 属性ベースのアクセス制御（ABAC） - 背景
3.1 ABAC Deployment for Microservices-based Applications Using Service Mesh	3.1 サービスメッシュによるマイクロサービスベースのアプリケーションへのABAC導入
4 Authentication and Authorization Policy Configuration in Service Mesh	4 サービスメッシュにおける認証・認可ポリシーの設定
4.1 Application Orchestration and Resource Management Platform Configuration	4.1 アプリケーションオーケストレーションとリソース管理プラットフォームの設定
4.2 Service Mesh Configuration	4.2 サービスメッシュの構成
4.3 Higher-level Security Configuration Parameters for Applications	4.3 アプリケーションの高レベルのセキュリティ設定パラメータ
4.4 Authentication Policies	4.4 認証ポリシー
4.4.1 Specifying Authentication Policies	4.4.1 認証ポリシーの指定
4.4.2 Service-level Authentication	4.4.2 サービスレベルの認証
4.4.3 End User Authentication	4.4.3 エンドユーザーの認証
4.5 Authorization Policies	4.5 認可ポリシー
4.5.1 Service-level Authorization Policies	4.5.1 サービスレベルの認可ポリシー
4.5.2 End-user Level Authorization Policies	4.5.2 エンドユーザレベルの認可ポリシー
4.5.3 Model-based Authorization Policies	4.5.3 モデルベースの認可ポリシー
4.6 Authorization Policy Elements	4.6 認可ポリシーの要素
4.6.1 Policy Types	4.6.1 ポリシーの種類
4.6.2 Policy Target or Authorization Scope	4.6.2 ポリシーの対象または認可範囲
4.6.3 Policy Sources	4.6.3 ポリシーのソース
4.6.4 Policy Operations	4.6.4 ポリシーの運用
4.6.5 Policy Conditions	4.6.5 ポリシーの条件
4.6.6 Default Authorization Policy	4.6.6 デフォルト認可ポリシー
5 ABAC Deployment for Service Mesh	5 サービスメッシュへのABAC導入
5.1 Reference Monitor Concept in Authorization Framework	5.1 認可フレームワークにおけるリファレンス・モニターの概念
5.2 Supporting Infrastructure for ABAC Authorization Framework	5.2 ABAC認可フレームワークを支えるインフラ
5.2.1 Service-to-Service Request (SVC-SVC) – Supporting Infrastructure	5.2.1 サービス間リクエスト（SVC-SVC） - サポートインフラ
5.2.2 End User + Service-to-Service Request (EU+SVC-SVC) – Supporting Infrastructure	5.2.2 エンドユーザ＋サービス間リクエスト（EU＋SVC-SVC） - 支持基盤
5.3 Advantages of ABAC Authorization Framework for Service Mesh	5.3 サービスメッシュにおけるABAC認証フレームワークの利点
5.4 Enforcement Alternatives in Proxies	5.4 プロキシにおけるエンフォースメントの代替手段
6 Summary and Conclusions	6 まとめと結論
References	参考文献
Appendix A: List of Recommendations for deployment of an ABAC-based authentication and authorization framework for microservices-based applications using a service mesh	附属書A：サービスメッシュを利用したマイクロサービスベースのアプリケーションのためのABACベースの認証・認可フレームワークの展開に関する推奨事項のリスト

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.29 NIST SP 800-204B (Draft) サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御

・2020.03.01 NISTに基づくSupply Chain Risk Managementについてのちょっとしたまとめ

2021.08.07 12:49 in 情報セキュリティ / サイバーセキュリティ, in クラウド | Permalink | Comments (0)
Tweet

SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発：システムセキュリティ・エンジニアリング・アプローチ

こんにちは、丸山満彦です。

NISTが「SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発：システムセキュリティ・エンジニアリング・アプローチ」を公表し、意見募集をしていますね。。。

変更点として、SP800-53 Rev.5との整合性を図り、ATT&CKを利用した対策の検討ができるようにしていますね。そして、境界防御ではなく、内部からの攻撃にも対応できるような考え方を取り入れていますね。。。

編集者によると５つの重要な変更があるということです。。。

1. NIST SP 800-53, Revision 5 [SP 800-53]との整合性を図るため、サイバーレジリエンシーをサポートするコントロールを更新する。

2. 単一の脅威分類法（すなわち、Adversarial Tactics, Techniques, and Common Knowledge [ATT&CK]フレームワーク）の標準化 [MITRE18]。

3. ATT&CK フレームワークのテクニック、ミティゲーション、ミティゲーション候補への、サイバー・レジリエンシーの実施アプローチとサポートするコントロールの詳細なマッピングと分析を提供する。

4. システムライフサイクルにおけるサイバーレジリエンシーに関する附属書Fを廃止し、NIST SP 800-160 Volume 1の更新に反映させる[SP 800-160 v1]。

5. 附属書 I 、J のサイバーレジリエンスのユースケースと事例を、NIST SP 800-160 第 2 巻のウェブサイト（https://csrc.nist.gov/publications/detail/sp/800-160/vol95 2/final）に移動する（最終的な発行時に利用可能）。

これからブラッシュアップされていくようです。。。

● NIST - ITL

・2021.08.05 (press) Developing Cyber-Resilient Systems: Draft SP 800-160 Volume 2 Revision 1 is Available for Comment

・2021.08.05 SP 800-160 Vol. 2 Rev. 1 (Draft) Developing Cyber-Resilient Systems: A Systems Security Engineering Approach

SP 800-160 Vol. 2 Rev. 1 (Draft)	SP 800-160 Vol.2 Rev.1 (ドラフト)
Developing Cyber-Resilient Systems: A Systems Security Engineering Approach	サイバーレジリエントなシステムの開発：システムセキュリティ・エンジニアリング・アプローチ
Announcement	発表
Cyber attacks are a reality. Sometimes even with the best protective measures in place, adversaries can breach perimeter defenses and find their way into systems.	サイバー攻撃は現実のものです。最善の防御策を講じていても、敵対者は境界線の防御を突破し、システムに侵入することがあります。
Draft NIST Special Publication (SP) 800-160, Volume 2, Revision 1, Developing Cyber-Resilient Systems: A Systems Security Engineering Approach, turns the traditional perimeter defense strategy on its head and moves organizations toward a cyber resiliency strategy that facilitates defending systems from the inside out instead of from the outside in. This guidance helps organizations anticipate, withstand, recover from, and adapt to adverse conditions, stresses, or compromises on systems – including hostile and increasingly destructive cyber attacks from nation states, criminal gangs, and disgruntled individuals.	ドラフト版NIST Special Publication (SP) 800-160, Volume 2, Revision 1, サイバーレジリエントなシステムの開発：システムセキュリティ・エンジニアリング・アプローチ」は、従来の境界防御戦略を覆し、外部からではなく内部からシステムを防御するためのサイバーレジリエンス戦略へと組織を移行させます。このガイダンスは、国家、犯罪組織、個人による敵対的で破壊的なサイバー攻撃を含む、システムの悪条件、ストレス、侵害を予測し、それに耐え、回復し、適応するために役立ちます。
This major update to NIST’s flagship cyber resiliency publication offers significant new content and support tools for organizations to defend against cyber attacks, including ever-growing and destructive ransomware attacks. The document provides suggestions on how to limit the damage that adversaries can inflict by impeding their lateral movement, increasing their work factor, and reducing their time on target.	NISTの代表的なサイバー回復力に関する出版物を大幅に更新したこの文書では、増え続ける破壊的なランサムウェア攻撃を含むサイバー攻撃から組織を守るために、重要な新コンテンツとサポートツールを提供しています。本文書では、敵対者の横方向の動きを妨げ、作業要素を増やし、標的に到達するまでの時間を短縮することで、敵対者が与えるダメージを制限する方法を提案しています。
In particular, the draft publication:	特に、この出版物の草稿では
・Updates the controls that support cyber resiliency to be consistent with NIST SP 800-53, Revision 5	・NIST SP 800-53, Revision 5との整合性を図るため、サイバーレジリエンシーをサポートするコントロールを更新
・Standardizes a single threat taxonomy (i.e., Adversarial Tactics, Techniques, and Common Knowledge [ATT&CK] framework)	・単一の脅威分類法（Adversarial Tactics, Techniques, and Common Knowledge [ATT&CK]フレームワーク）の標準化
・Provides a detailed mapping and analysis of cyber resiliency implementation approaches and supporting NIST SP 800-53 controls to the ATT&CK framework techniques, mitigations, and candidate mitigations	・ATT&CKフレームワークの技術、緩和策、緩和策候補に対するサイバーレジリエンシーの実装アプローチとNIST SP 800-53のコントロールの詳細なマッピングと分析の提供
Abstract	概要
This publication is used in conjunction with ISO/IEC/IEEE 15288:2015, Systems and software engineering – Systems life cycle processes; NIST Special Publication (SP) 800-160, Volume 1, Systems Security Engineering – Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems; and NIST SP 800-37, Risk Management Framework for Information Systems and Organizations – A System Life Cycle Approach for Security and Privacy. It can be viewed as a handbook for achieving the identified cyber resiliency outcomes based on a systems engineering perspective on system life cycle processes in conjunction with risk management processes, allowing the experience and expertise of the organization to help determine what is correct for its purpose. Organizations can select, adapt, and use some or all of the cyber resiliency constructs (i.e., objectives, techniques, approaches, and design principles) described in this publication and apply the constructs to the technical, operational, and threat environments for which systems need to be engineered.	本書は，ISO/IEC/IEEE 15288:2015「システムおよびソフトウェアエンジニアリング - システム・ライフサイクル・プロセス」，NIST Special Publication (SP) 800-160, Volume 1「システム・セキュリティ・エンジニアリング - 信頼できる安全なシステムのエンジニアリングにおける学際的アプローチのための考慮」，NIST SP 800-37「情報システムと組織のためのリスクマネジメントフレームワーク - セキュリティとプライバシーのためのシステムライフサイクルアプローチ」と併せて使用してください。これは、リスク管理プロセスと連動したシステムライフサイクルプロセスに関するシステム工学の視点に基づいて、特定されたサイバーレジリエンスの成果を達成するためのハンドブックと見なすことができ、組織の経験と専門知識が、その目的に対して何が正しいのかを判断するのに役立ちます。組織は、本書に記載されているサイバーレジリエンスの構成要素（目的、技術、アプローチ、設計原則など）の一部またはすべてを選択、適応、使用し、システムを設計する必要のある技術、運用、脅威の環境に構成要素を適用することができます。

・[PDF] SP 800-160 Vol. 2 Rev. 1 (Draft)

Supplemental Material: Systems Security Engineering (SSE) Project (web)

目次です。。。

CHAPTER ONE INTRODUCTION	第1章はじめに
1.1 PURPOSE AND APPLICABILITY	1.1 目的と適用範囲
1.2 TARGET AUDIENCE	1.2 想定読者
1.3 HOW TO USE THIS PUBLICATION	1.3 本書の使用方法
1.4 PUBLICATION ORGANIZATION	1.4 本書の構成
CHAPTER TWO THE FUNDAMENTALS	第2章基本事項
2.1 CYBER RESILIENCY ENGINEERING FRAMEWORK	2.1 サイバーレジリエンス・エンジニアリングの枠組み
2.1.1 Cyber Resiliency Goals	2.1.1 サイバーレジリエンスの目標
2.1.2 Cyber Resiliency Objectives	2.1.2 サイバーレジリエンスの目的
2.1.3 Cyber Resiliency Techniques and Approaches	2.1.3 サイバーレジリエンスの技術とアプローチ
2.1.4 Cyber Resiliency Design Principles	2.1.4 サイバーレジリエンスの設計原則
2.1.5 Relationship Among Cyber Resiliency Constructs	2.1.5 サイバーレジリエンスの構成要素間の関係
2.2 CYBER RESILIENCY IN THE SYSTEM LIFE CYCLE	2.2 システム・ライフサイクルにおけるサイバーレジリエンス
2.3 RISK MANAGEMENT AND CYBER RESILIENCY	2.3 リスク管理とサイバーレジリエンス
CHAPTER THREE CYBER RESILIENCY IN PRACTICE	第3章サイバーレジリエンスの実践
3.1 SELECTING AND PRIORITIZING CYBER RESILIENCY CONSTRUCTS	3.1 サイバーレジリエンス構成要素の選択と優先順位付け
3.1.1 Achievement of Goals and Objectives	3.1.1 目標・目的の達成
3.1.2 Cyber Risk Management Strategy	3.1.2 サイバーリスクマネジメント戦略
3.1.3 System Type	3.1.3 システムの種類
3.1.4 Cyber Resiliency Conflicts and Synergies	3.1.4 サイバーレジリエンスのコンフリクトとシナジー効果
3.1.5 Other Disciplines and Existing Investments	3.1.5 他の学問分野と既存の投資
3.1.6 Architectural Locations	3.1.6 アーキテクチャの位置
3.1.7 Effects on Adversaries, Threats, and Risks	3.1.7 敵対者、脅威、およびリスクに対する効果
3.1.8 Maturity and Potential Adoption	3.1.8 成熟度と採用の可能性
3.2 ANALYTIC PRACTICES AND PROCESSES	3.2 分析の手法とプロセス
3.2.1 Understand the Context	3.2.1 コンテキストの理解
3.2.2 Develop the Cyber Resiliency Baseline	3.2.2 サイバーレジリエンス・ベースラインの構築
3.2.3 Analyze the System	3.2.3 システムを分析する
3.2.4 Define and Analyze Specific Alternatives	3.2.4 特定の代替案の定義と分析
3.2.5 Develop Recommendations	3.2.5 提言の作成
REFERENCES	参考文献
APPENDIX A GLOSSARY	附属書A 用語集
APPENDIX B ACRONYMS	附属書B 頭字語
APPENDIX C BACKGROUND	附属書C 背景
C.1 DEFINING CYBER RESILIENCY	C.1 サイバーレジリエンスの定義
C.2 DISTINGUISHING CHARACTERISTICS OF CYBER RESILIENCY	C.2 サイバーレジリエンスの際立った特徴
C.3 RELATIONSHIP WITH OTHER SPECIALITY ENGINEERING DISCIPLINES	C.3 他の専門的な工学分野との関係
C.4 RELATIONSHIP BETWEEN CYBER RESILIENCY AND RISK	C.4 サイバーレジリエンスとリスクとの関係
APPENDIX D CYBER RESILIENCY CONSTRUCTS	附属書D サイバーレジリエンスの構成要素
D.1 CYBER RESILIENCY GOALS	D.1 サイバーレジリエンスの目標
D.2 CYBER RESILIENCY OBJECTIVES	D.2 サイバーレジリエンスの目的
D.3 CYBER RESILIENCY TECHNIQUES	D.3 サイバーレジリエンスの技術
D.4 CYBER RESILIENCY IMPLEMENTATION APPROACHES	D.4 サイバーレジリエンスの導入アプローチ
D.5 CYBER RESILIENCY DESIGN PRINCIPLES	D.5 サイバーレジリエンスの設計原則
D.5.1 Strategic Design Principles	D.5.1 戦略的設計原則
D.5.2 Structural Design Principles	D.5.2 構造設計の原則
D.6 RELATIONSHIPS AMONG CYBER RESILIENCY CONSTRUCTS	D.6 サイバーレジリエンスの構成要素の関係
D.7 APPLICATION OF CYBER RESILIENCY CONSTRUCTS	D.7 サイバーレジリエンスの構成要素の適用
APPENDIX E CONTROLS SUPPORTING CYBER RESILIENCY	附属書E サイバーレジリエンスを支える統制
APPENDIX F ADVERSARY-ORIENTED ANALYSIS	附属書F 敵対者志向の分析
F.1 POTENTIAL EFFECTS ON THREAT EVENTS	F.1 脅威事象に対する潜在的影響
F.2 ANALYSIS OF POTENTIAL EFFECTS OF CYBER RESILIENCY	F.2 サイバーレジリエンスの潜在的影響の分析
F.2.1 Assumptions and Caveats	F.2.1 前提条件と注意点
F.2.2 Potential Uses of Analysis	F.2.2 分析の潜在的用途
F.2.3 Results of Analysis	F.2.3 分析の結果
F.2.4 Candidate Mitigations	F.2.4 緩和策の候補

2021.08.07 07:58 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in パブコメ | Permalink | Comments (0)
Tweet

総務省 AIネットワーク社会推進会議「報告書2021」の公表

こんにちは、丸山満彦です。

総務省情報通信政策研究所が主催して「AIネットワーク社会推進会議」が開催されていますが、「報告書2021 ～「安心・安全で信頼性のある AI の社会実装」の推進～」を公表していますね。。。国内外の最近の動向がまとまっていて便利です。。。

● 総務省

・2021.08.04 AIネットワーク社会推進会議「報告書2021」の公表

　総務省情報通信政策研究所は、平成28年10月から「AIネットワーク社会推進会議」（議長：須藤修中央大学国際情報学部教授、中央大学ELSIセンター所長、東京大学大学院情報学環特任教授）を開催し、AIネットワーク化に関する社会的・経済的・倫理的・法的課題について検討を行っています。
　今般、同会議において、「報告書2021」が取りまとめられましたので、公表します。

1　経緯等

　総務省情報通信政策研究所は、平成28年 10月から、社会全体におけるAIネットワーク化の推進に向けた社会的・経済的・倫理的・法的課題を総合的に検討することを目的として、マルチステークホルダの参加を得て「AIネットワーク社会推進会議」を開催し、平成29年7月には「国際的な議論のためのAI開発ガイドライン案」を、令和元年8月には「AI利活用ガイドライン」を策定・公表してきました。また、昨年7月には、AIの開発者やサービスプロバイダ、ビジネス利用者、消費者的利用者等に対するヒアリングを通じて把握した取組等を取りまとめた「報告書2020」を公表しました。

　同会議においては、「報告書2020」の公表後も、「安心・安全で信頼性のあるAIの社会実装」のより一層の推進に向けて、引き続き、研究者や事業者等におけるAIの社会実装に関する意欲的・先進的な取組に係るヒアリング等を行ってきました。今般、ヒアリング等により収集した取組事例や新型コロナウイルス感染症対策としてのAI利活用の展望に関する検討等を踏まえ、「報告書2021」を取りまとめましたので、公表します。
今後も、「安心・安全で信頼性のあるAIの社会実装」の推進に向けた取組を進めてまいります。

2　報告書の概要

　ヒアリング等を踏まえ、次の事項等について取りまとめを実施。

　（1） AIネットワーク化をめぐる最近の動向
　（2）新型コロナウイルス感染症とAI利活用
　（3）「安心・安全で信頼性のあるAIの社会実装」の推進の取組

・報告書

本体：[PDF] 「報告書2021」

目次です。。。

はじめに

第１章ＡＩネットワーク化をめぐる最近の動向
１．国内の動向
２．海外の動向
３．国際的な議論の動向
４．国際シンポジウム「ＡＩネットワーク社会フォーラム」

第２章新型コロナウイルス感染症とＡＩ利活用
１．新型コロナウイルス感染症の感染拡大を踏まえたＡＩ利活用の展望
２．新型コロナウイルス感染症への対応におけるＡＩ利活用に関する国際比較
３．今後の取組

第３章「安心・安全で信頼性のあるＡＩの社会実装」の推進の取組
１．ヒアリング等の概要
２．ヒアリング等における発表・意見交換のポイント
３．今後の取組
４．各事業者等における取組の概要

結びに代えて

＜別紙１＞「ＡＩネットワーク社会フォーラム」の概要
＜別紙２＞新型コロナウイルス感染症とＡＩ利活用（詳細）
＜別紙３＞「安心・安全で信頼性のあるＡＩの社会実装」の推進の取組（詳細）
＜別紙４＞ＡＩネットワーク社会推進会議及びＡＩガバナンス検討会構成員一覧

概要：[PDF] 「報告書2021」概要

・報告書2021資料

参考リンク

● 総務省 - AIネットワーク社会推進会議

2021.08.07 07:07 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in IoT, in (temp)COVID-19 | Permalink | Comments (0)
Tweet

Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行：正義と説明可能性

こんにちは、丸山満彦です。

AI倫理については、いろいろと議論がされていますが、社会に影響の大きい技術を実装する際には、必ず倫理問題はでてくると思います。要は技術というのは道具なので、どう使うかという話になるので・・・

Atlantic CouncilがAIとデータ倫理についての論文を掲載しています。参考になると思います。。。

● Atlantic Council

・2021.08.05 Getting from commitment to content in AI and data ethics: Justice and explainability

・[PDF]

Getting from commitment to content in AI and data ethics: Justice and explainability	AIとデータ倫理におけるコミットメントからコンテンツへの移行：正義と説明可能性
Table of contents	目次
Executive Summary	エグゼクティブ・サマリー
I. Introduction	I. はじめに
II. Example: Informed consent in bioethics	II. 例バイオエシックスにおけるインフォームド・コンセント
III. What is justice in artificial intelligence and machine learning?	III. 人工知能・機械学習における正義とは？
III.1 The values and forms of justice	III.1 正義の価値と形態について
III.2 Justice in artificial intelligence and data systems	III.2 人工知能やデータシステムにおける正義
IV. What is transparency in artificial intelligence and machine learning?	IV. 人工知能・機械学習における透明性とは何か？
IV.1 The values and concepts underlying transparency	IV.1 透明性の基盤となる価値観と概念
IV.2 Specifying transparency commitments	IV.2 透明性に関するコミットメントの具体化
V. Conclusion: From normative content to specific commitments	V. 結論：規範的な内容から具体的なコミットメントまで
VI. Contributors	VI. 貢献者
Executive summary	エグゼクティブ・サマリー
There is widespread awareness among researchers, companies, policy makers, and the public that the use of artificial intelligence (AI) and big data raises challenges involving justice, privacy, autonomy, transparency, and accountability. Organizations are increasingly expected to address these and other ethical issues. In response, many companies, nongovernmental organizations, and governmental entities have adopted AI or data ethics frameworks and principles meant to demonstrate a commitment to addressing the challenges posed by AI and, crucially, guide organizational efforts to develop and implement AI in socially and ethically responsible ways.	人工知能（AI）やビッグデータの活用が、正義、プライバシー、自律性、透明性、説明責任に関わる課題を提起するという認識が、研究者、企業、政策立案者、一般市民の間に広く浸透しています。組織は、これらの問題やその他の倫理的問題に取り組むことをますます期待されています。これを受けて、多くの企業、非政府組織、政府機関が、AIやデータ倫理のフレームワークや原則を採用しています。このフレームワークや原則は、AIがもたらす課題に取り組む姿勢を示すとともに、重要な点として、社会的・倫理的に責任ある方法でAIを開発・導入するための組織の取り組みを導くことを目的としています。
However, articulating values, ethical concepts, and general principles is only the first step—and in many ways the easiest one—in addressing AI and data ethics challenges. The harder work is moving from values, concepts, and principles to substantive, practical commitments that are action-guiding and measurable. Without this, adoption of broad commitments and principles amounts to little more than platitudes and “ethics washing.” The ethically problematic development and use of AI and big data will continue, and industry will be seen by policy makers, employees, consumers, clients, and the public as failing to make good on its own stated commitments.	しかし、価値観、倫理的概念、一般原則を明確にすることは、AIやデータ倫理の課題に取り組むための最初の一歩に過ぎず、多くの意味で最も簡単なことです。より困難なのは、価値観、概念、原則から、行動を導き、測定可能な実質的で実用的なコミットメントへと移行することです。これができなければ、大まかなコミットメントや原則を採用しても、単なる平凡な言葉や「倫理の洗濯」にすぎません。倫理的に問題のあるAIやビッグデータの開発と利用は今後も続き、産業界は、政策立案者、従業員、消費者、顧客、そして一般市民から、自らが表明したコミットメントを履行していないとみなされることになるでしょう。
The next step in moving from general principles to impacts is to clearly and concretely articulate what justice, privacy, autonomy, transparency, and explainability actually involve and require in particular contexts. The primary objectives of this report are to:	一般原則から影響へと移行するための次のステップは、正義、プライバシー、自律性、透明性、説明可能性が、特定の状況において実際に何を含み、何を必要とするかを明確かつ具体的に示すことです。本報告書の主な目的は以下のとおりです。
・demonstrate the importance and complexity of moving from general ethical concepts and principles to action-guiding substantive content;	・一般的な倫理的概念や原則から、行動を導く実質的な内容へと移行することの重要性と複雑さを示す。
・provide detailed discussion of two centrally important and interconnected ethical concepts, justice and transparency; and	・「正義」と「透明性」という2つの重要かつ相互に関連する倫理的概念について詳細に議論する。
・indicate strategies for moving from general ethical concepts and principles to more specific substantive content and ultimately to operationalizing those concepts.	・一般的な倫理的概念や原則から、より具体的な実質的内容に移行し、最終的にそれらの概念を運用するための戦略を示す。

2021.08.07 00:58 in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

日本公認会計士協会 IT委員会研究報告第57号「ITの利用の理解並びにITの利用から生じるリスクの識別及び対応に関する監査人の手続に係るQ&A」の公表とIT委員会研究報告第24号「IT委員会報告第1号関係用語集」の廃止

こんにちは、丸山満彦です。

日本公認会計士協会が、IT委員会研究報告第57号「ITの利用の理解並びにITの利用から生じるリスクの識別及び対応に関する監査人の手続に係るQ&A」を公表し、それに合わせてIT委員会研究報告第24号「IT委員会報告第1号関係用語集」を廃止していますね。。。

公認会計士協会の研究報告は監査人が監査をする際に参考にするものですので、監査を受ける側もこれを理解することで、よりスムーズに監査の対応ができます。。。

記載されている内容は、常識的な内容で参考になると思います。。。

● 日本公認会計士協会

・2021.08.06 ＩＴ委員会研究報告第57号「ＩＴの利用の理解並びにＩＴの利用から生じるリスクの識別及び対応に関する監査人の手続に係るＱ＆Ａ」の公表について

・[PDF] 本文

Ⅱ	総論
Ｑ１	ＩＴの利用から生じるリスクとはどのようなものでしょうか。
Ｑ２	不正リスクや関連手続を検討する場合、自動化された情報処理統制の無効化のリスクと留意点は何でしょうか。
Ｑ３	システム、ソフトウエア、アプリケーション、プログラム、業務処理統制等の用語は他団体の基準等で使われているものと、監基報で使われるものと同じ意味なのでしょうか。
Ｑ４	企業の統制活動における内部統制のうち、情報処理統制とＩＴ全般統制はどのような関係があるのでしょうか。
Ｑ５	監査人が理解する必要のある、企業のＩＴの利用状況及びＩＴ環境について教えてください。
Ｑ６	企業のＩＴ環境を理解する際の留意点はどのようなものでしょうか。
Ｑ７	監査業務にＩＴの専門的なスキルを有するチームメンバーを関与させる際の留意点には、どのようなものがあるでしょうか。
Ｑ８	企業によるＩＴの利用状況の理解及び情報システムに関連するＩＴ環境の理解を行う際の、ＩＴアプリケーション及びＩＴインフラストラクチャーに対する留意点はどのようなものでしょうか。
Ｑ９	企業が、パッケージ・ソフトウェアを利用している場合、その計算処理の妥当性等を検証する際の留意点はどのようなものでしょうか。
Ｑ10	パッケージ・ソフトウェアにカスタマイズやアドオンを行わずに利用しており、かつ、その計算処理の妥当性等を簡易な手続で検証できる場合とは、どのような場合でしょうか。
Ｑ11	グループ監査におけるＩＴの利用の理解及びＩＴ環境の理解に関する内容と程度について教えてください。
Ⅲ	情報処理統制
Ｑ12	ＩＴを利用した情報システム及び関連する内部統制を理解するための手続と、留意点について教えてください。
Ｑ13	自動化された情報処理統制のデザインと業務への適用を評価するに当たり、データを含めた処理の流れやシステム帳票の生成過程を理解する方法を教えてください。
Ｑ14	開発中のシステムについてもＩＴの利用から生じるリスクに対応するＩＴ全般統制を識別し評価するのでしょうか。
Ｑ15	自動化された情報処理統制の評価手続について説明してください。
Ｑ16	入力データの承認が、電子承認で実施されている場合の監査上の留意点はどのようなものですか。
Ｑ17	電子署名やタイムスタンプ機能を用いた電子契約における監査上の留意点はどのようなものですか。
Ｑ18	売上を自動的に計上するシステムを採用している場合の自動化された情報処理統制の評価はどのように行うのでしょうか。
Ｑ19	販売アプリケーションと会計アプリケーションのインターフェースの有効性はどのように検証するのでしょうか。
Ｑ20	監査上、企業のＩＴアプリケーションにより企業が作成した情報を利用する場合の留意点にはどのようなものがありますか。
Ｑ21	企業がＩＴアプリケーションから作成した延滞債権リストや滞留在庫リストを利用する場合に留意すべき事項について教えてください。
Ｑ22	ＥＵＣの監査上の留意点はどのようなものがあるでしょうか。
Ｑ23	「自動化された情報処理統制」について、前年度からの変更がないことを確かめる監査手続について教えてください。
Ｑ24	ＩＴの利用から生じるリスクとアサーションの関連性について、説明してください。
Ⅳ	ＩＴ全般統制
Ｑ25	財務諸表監査上、ＩＴ全般統制を評価する意味はどのようなものでしょうか。
Ⅴ	パッケージ・ソフトウェア
Ｑ26	ＥＲＰが利用されている場合の留意点はどのようなものがあるでしょうか。
Ｑ27	会計帳簿の作成などに、市販の簡易なパッケージ・ソフトウェアを利用している場合の留意点にはどのようなものがあるでしょうか。
Ⅵ	外部委託
Q28	ＩＴに関する委託業務にはどのようなものがありますか。
Q29	一般的な委託業務の形態を教えてください。
Q30	委託業務に関する内部統制を評価する場合の留意点はどのようなものでしょうか。
Ⅶ	自動化されたツール及び技法とＣＡＡＴ
Ｑ31	自動化されたツールと技法及びコンピュータ利用監査技法（ＣＡＡＴ）とは、どのようなものですか。
Ｑ32	リスク評価手続における自動化されたツールと技法の利用法について教えてください。
Ｑ33	仕訳テスト及び連携して実施すべき取引テストを実施する際にコンピュータ利用監査技法（ＣＡＡＴ）を利用した方がよいのは、どのような場合でしょうか。
Ｑ34	リスク対応手続（運用評価手続・実証手続）におけるＣＡＡＴの利用法について教えてください。
Ｑ35	ＣＡＡＴを利用した監査手続を実施する場合、どのような監査調書を作成すればよいか例示してください。
Ⅷ	不備対応
Ｑ36	ＩＴ全般統制に不備があった場合の取扱いはどのようになるのでしょうか。
Ｑ37	システムに組み込まれた情報処理統制等の整備状況が、仕様書等により評価できない場合に想定されるリスクの評価及び対応例について教えてください。
Ｑ38	システムの開発過程においてユーザ受入れテストが実施されていない場合に想定されるリスクの評価及び対応例について教えてください。
Ｑ39	データベースの会計データを直接修正する手続に不備が存在した場合に想定されるリスクの評価及び対応例について教えてください。
Ｑ40	システム部門において、プログラムの開発担当者や保守担当者と運用担当者の職務の分離がされず、業務が運用されている場合に想定されるリスクの評価及び対応例について教えてください。
Ｑ41	システムの特権ＩＤの管理が不十分で、必要最小限のユーザ以外にも権限が付与されている場合に想定されるリスクの評価及び対応例について教えてください。
Ｑ42	監基報315付録５「ＩＴを理解するための考慮事項」の「適用の柔軟性」における、ＩＴの利用から生じるリスクの影響を受ける可能性が十分に低い場合の柔軟な適用について教えてください。

・2021.08.06 ＩＴ委員会研究報告第24号「ＩＴ委員会報告第１号関係用語集」の廃止について

2021.08.07 00:29 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

2021.08.06

内閣官房IT総合戦略室 2020年度（令和2年度）国家公務員テレワーク取組状況等調査の結果 at 2021.07.20

こんにちは、丸山満彦です。

内閣官房 IT総合戦略室が2020年度の国家公務員テレワーク取組状況等調査の結果を公表していました。。。

コロナ禍で一気に省庁のテレワークが進んだ状況がデータでわかります。しかも省庁毎に。。。

一人当たりテレワーク実施回数の昨対比でいうと、

本省：2.7日/年から49.6日/年に増加（18倍）
地方局等：0.3日/年から11.2日/年に増加（37倍）

● 政府CIOポータル

・2021.07.20「2020年度（令和2年度）国家公務員テレワーク取組状況等調査の結果」を掲載しました。

・[PDF] 2020年度（令和2年度）国家公務員テレワーク実績等の結果

下の表は各省庁毎の「一人当たりテレワーク実施回数」

#	省庁	本省	地方局等	全体
1	内閣官房	38.1 日		38.1 日
2	内閣法制局	6.4 日		6.4 日
3	人事院	33.0 日	24.4 日	30.4 日
4	内閣府	74.4 日	9.6 日	55.1 日
5	宮内庁	7.0 日	3.0 日	6.3 日
6	公正取引委員会	46.6 日	26.7 日	41.5 日
7	警察庁	47.3 日	21.3 日	32.6 日
8	個人情報保護委員会	79.1 日		79.1 日
9	金融庁	60.8 日		60.8 日
10	消費者庁	39.1 日		39.1 日
11	復興庁	65.3 日	37.7 日	53.8 日
12	総務省	80.2 日	66.8 日	74.0 日
13	法務省	42.1 日	8.5 日	9.4 日
14	外務省	64.8 日	52.9 日	58.3 日
15	財務省	24.9 日	3.5 日	4.7 日
16	文部科学省	60.0 日	90.7 日	63.1 日
17	厚生労働省	19.6 日	2.1 日	7.7 日
18	農林水産省	53.4 日	6.3 日	18.3 日
19	経済産業省	80.8 日	82.6 日	81.3 日
20	国土交通省	39.5 日	18.7 日	22.2 日
21	環境省	74.9 日	40.3 日	56.9 日
22	原子力規制委員会	43.7 日	51.5 日	44.2 日
23	防衛省	12.1 日	0.8 日	5.0 日
24	合計	49.6 日	11.2 日	19.4 日

全体についてのデータがなかったので作りました・・・

[XLSX]

あと、「テレワークの課題」についても制度面とITシステム面にわけて記載があり、参考になりますね。。。公務員は民間とは制度面では違う面もありますが、、、

ルール・制度面
【勤怠管理、実施手続き】
• 勤怠管理に係る管理監督者の負担、庶務業務の電子化
• 事前申請の必要性、実施報告の簡素化等手続き面の改善
• 業務成果や勤務状況が関係者（管理職、同僚）にきちんと分かる報告の仕組み
【ルール・制度】
• 自宅の通信環境や電話料等の職員の費用負担
• 通勤手当への影響
• フレックスタイム制の柔軟化（テレワーク実施時の当日の計画変更、コアタイム廃止、非常勤職員への適用等）
• 「原則自宅」とされているテレワーク実施場所の柔軟化
• テレワーク中の外勤（関係機関等との打合せ等）における勤務時間の整理
【実施環境】
• 資料や他機関との文書、決裁の電子化が不十分で生産性低下
• テレワーク中の職員とのコミュニケーションや意思疎通の負担・難しさ（その都度、メールやチャット）、業務の進捗状況把握等のマネジメント
• 業務の明確化・公平な業務分担・優先順位・スケジュール感等の明確化
• 突発・重要業務に対応しにくい
• セキュリティ上、必要資料がテレワーク・在宅勤務で使うことが出来ない場合がある
• 関係部署との調整が難しい、時間がかかる
• サテライトオフィスの増設

ITシステム面
【通信環境】
• 執務用PCでWeb会議が利用できない、利用可能ツールが限られる
• リモートアクセス数に上限（接続が不安定）
• テレワーク中に外線電話対応ができない
• 自宅にWi-Fi環境がない
• ホテル、リモートオフィス等におけるセキュリティの確保（ホテル等のWi-Fiは利用不可のため）
• メールボックス容量や送受信サイズ制限の緩和
• 地方支分部局のリモートアクセス環境、テレワーク端末数
【機器・ツール】
• PCが重く持ち運びが困難
• ログイン可能時間（連続８、９時間）の延伸
• BYODでのテレワークを可能とする
• 貸出用PC、タブレット端末の台数不足
• PC等のより一層の充実及び利便性の向上

その他
• テレワーク対応可能な業務の拡大
• ちょっとした雑談から生まれるアイデアや良好な人間関係構築、情報収集できる機会が得られない
• 国会対応等の必要な体制を確保する必要がある
• 職務における外部機器や通信手段の利用等（私用の携帯端末の利用等）についてセキュリティ上の厳格な対応を求められている
• 出勤・対面を前提とする業務等の見直し等を総合的に進めていくことが必要

2021.08.06 07:03 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

こんにちは、丸山満彦です。

NISTがNIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価を公開し、意見募集をしていますね。。。

ほぼ800ページ(^^)

NISCにいるときに監査手順書を作ろうかという話があったけど、統一基準ごとに評価手法を考慮した監査手順を作ると大変になるので、諦めたのですが、NISTは昔からこれをやっているんですよね。。。

NISTでは、

評価手法として、「EXAMINE（検証）」「INTERVIEW（インタビュー）」「TEST（テスト）」の３種類
評価の深さとして、「Basic（基本）」「Focused（重点）」「Comprehensive（総合）」の３段階
評価の対象範囲として、「Basic（基本）」「Focused（重点）」「Comprehensive（総合）」の３段階

としているんですが、すごいパワーだと思います。（作る側も使う側も...）

● NIST - ITL

・2021.08.03 SP 800-53A Rev. 5 (Draft) Assessing Security and Privacy Controls in Information Systems and Organizations

SP 800-53A Rev. 5 (Draft) Assessing Security and Privacy Controls in Information Systems and Organizations	SP 800-53A Rev.5 (ドラフト) 情報システムと組織におけるセキュリティとプライバシーコントロールの評価
Announcement	発表
Control assessments are not about checklists, simple pass/fail results, or generating paperwork to pass inspections or audits. The testing and evaluation of controls in a system or organization to determine the extent to which the controls are implemented correctly, operating as intended, and producing the desired outcome are critical to managing and measuring risk. Additionally, control assessment results serve as an indication of the quality of the risk management processes, help identify security and privacy strengths and weaknesses within systems, and provide a road map to identifying, prioritizing, and correcting identified deficiencies.	コントロール評価は、チェックリストや単純な合否結果、あるいは検査や監査に合格するための書類作成ではありません。システムや組織における統制のテストと評価は、統制が正しく実装され、意図されたとおりに運用され、望ましい結果を生み出す程度を判断するためのものであり、リスクの管理と測定に不可欠です。さらに、統制評価の結果は、リスク管理プロセスの質を示すものであり、システム内のセキュリティとプライバシーの強みと弱みを特定するのに役立ち、特定された欠陥を特定し、優先順位をつけ、修正するためのロードマップを提供します。
Draft NIST Special Publication (SP) 800-53A, Revision 5, Assessing Security and Privacy Controls in Information Systems and Organizations, provides organizations with a flexible, scalable, and repeatable assessment methodology and assessment procedures that correspond with the controls in NIST SP 800-53, Revision 5. Like previous revisions of SP 800-53A, the generalized assessment procedures provide a framework and starting point to assess the enhanced security requirements and can be tailored to the needs of organizations and assessors. The assessment procedures can be employed in self-assessments or independent third-party assessments.	ドラフト版のNIST Special Publication (SP) 800-53A 第5版「情報システムと組織におけるセキュリティとプライバシーのコントロールの評価」は、NIST SP 800-53 第5版のコントロールに対応した、柔軟でスケーラブルかつ反復可能なアセスメント手法とアセスメント手順を組織に提供します。以前のSP 800-53Aの改訂版と同様に、一般化された評価手順は、強化されたセキュリティ要求事項を評価するためのフレームワークと出発点を提供し、組織と評価者のニーズに合わせて調整することができます。この評価手順は、自己評価または独立した第三者評価に採用することができます。
In addition to the update of the assessment procedures to correspond with the controls in SP 800-53, Revision 5, a new format for assessment procedures in this revision to SP 800-53A is introduced to:	SP 800-53 第5版のコントロールに対応するための評価手順の更新に加えて、今回の SP 800-53A の改訂では、評価手順の新しいフォーマットが導入されています。
Improve the efficiency of conducting control assessments,	・コントロール評価の実施効率を向上させる。
Provide better traceability between assessment procedures and controls, and	・評価手順と統制の間のより良いトレーサビリティを提供する。
Better support the use of automated tools, continuous monitoring, and ongoing authorization programs.	・自動化されたツール、継続的な監視、および継続的な承認プログラムの使用をより良くサポートする。
NIST is seeking feedback on the assessment procedures in this publication and in electronic versions (OSCAL, CSV, and plain text), including the assessment objectives, determination statements, and potential assessment methods and objects. We are also interested in the approach taken to incorporate organization-defined parameters into the determination statements for the assessment objectives. To facilitate their review and use by a broad range of stakeholders, the assessment procedures are available for comment and use in PDF format, as well as comma-separated value (CSV), plain text, and Open Security Controls Assessment Language (OSCAL) formats.	NISTでは、本書および電子版（OSCAL、CSV、プレーンテキスト）に掲載されている評価手順について、評価目的、判定文、潜在的な評価方法と対象物などのフィードバックを求めている。また、評価目的の決定文に、組織で定義されたパラメータをどのように組み込むかについても関心があります。この評価手順書は、幅広いステークホルダーの皆様にご利用いただけるよう、PDF形式のほか、カンマ区切り値（CSV）、プレーンテキスト、Open Security Controls Assessment Language（OSCAL）の各形式でコメントを受け付けています。
The comment period is open through October 1, 2021. We encourage you to submit comments using the comment template provided.	コメント期間は、2021年10月1日までです。コメントの提出は、所定のコメントテンプレートをご利用ください。
Abstract	概要
This publication provides a set of procedures for conducting assessments of security and privacy controls employed within systems and organizations. The assessment procedures, executed at various phases of the system development life cycle, are consistent with the security and privacy controls in NIST Special Pub

・20200.6.01 More than just a milestone in the Botnet Roadmap towards more securable IoT devices	20200.6.01 安全性の高いIoT機器に向けたBotnet Roadmapの単なるマイルストーンではありません。
・2020.07.27 NIST Recommendations for Foundational Cybersecurity Guidance for IoT Device Manufacturers, presented by Mike Fagan, NIST	2020.07.27 NIST IoT機器メーカーのための基礎的なサイバーセキュリティガイダンスに関するNISTの提言：発表者：Mike Fagan、NIST
NIST’s IoT Cybersecurity Capabilities Catalog	NISTのIoT サイバーセキュリティ能力カタログ

サイト内検索

Recent Posts

Recent Comments

Recent Trackbacks

連載 (ITmedia)

ウェブページ

August 2021

2021.08.31

2021.08.30

2021.08.29

2021.08.28

2021.08.27

2021.08.26

2021.08.25

2021.08.24

2021.08.23

2021.08.22

2021.08.21

2021.08.20

2021.08.19

2021.08.18

2021.08.17

2021.08.16

2021.08.15

2021.08.14

2021.08.13

2021.08.12

2021.08.11

2021.08.10

2021.08.09

2021.08.08

2021.08.07

2021.08.06