« July 2022 | Main | September 2022 »

August 2022

2022.08.31

シンガポール サイバーセキュリティ庁 2021年シンガポールのサイバーセキュリティ状況

こんにちは、丸山満彦です。

シンガポールのサイバーセキュリティ庁が、2021年シンガポールのサイバーセキュリティ状況を公開していますね。。。少し遅いですかね。。。

ランサムウェア被害が注目され、地政学リスクがサイバー空間にも影響を及ぼすというのは資本主義国的には同じ傾向ですかね。。。

 

Scl2021-appendix-a

 

 

Cyber Security Agency of Singapore: CSA

・2022.08.29 Ransomware and phishing attacks continued to threaten Singapore organisations and individuals in 2021

Ransomware and phishing attacks continued to threaten Singapore organisations and individuals in 2021 2021年もランサムウェアとフィッシング攻撃がシンガポールの組織と個人を脅かす
Singapore, 29 August 2022 – The Cyber Security Agency of Singapore (CSA) released the Singapore Cyber Landscape (SCL) 2021 publication today. The publication highlights the continuous threats that ransomware and phishing posed to organisations and individuals in Singapore in 2021 (see Appendix A). シンガポール、2022年8月29日 - シンガポール・サイバー・セキュリティ局(CSA)は本日、「シンガポール・サイバー・ランドスケープ(SCL)2021」を発表した。本書では、2021年にランサムウェアとフィッシングがシンガポールの組織や個人に与えた継続的な脅威を明らかにしている(附属書Aを参照)。
Key Malicious Cyber Activities in 2021 2021年における主な悪質なサイバー活動
i. Ransomware. 137 ransomware cases were reported to CSA in 2021, an increase of 54 per cent from the 89 cases reported in 2020. The cases affected mostly small-and-medium enterprises (SMEs) from sectors such as manufacturing and IT. The around-the-clock nature of these sectors’ operations did not provide for much time to patch their systems, thus potentially allowing ransomware groups to exploit vulnerabilities. CSA observed that ransomware groups targeting SMEs in Singapore utilised the Ransomware-as-a-Service (RaaS) model, which made it easier for amateur hackers to use existing infrastructure – created by developers – to distribute ransomware payloads. i. ランサムウェア:2021年にCSAに報告されたランサムウェアは137件で、2020年に報告された89件から54%増加した。このケースは、製造業やITなどのセクターの中小企業(SME)に主に影響を与えた。これらの業種は24時間体制で業務を行っているため、システムにパッチを当てる時間があまりなく、ランサムウェアグループに脆弱性を突かれる可能性があった。CSAは、シンガポールの中小企業を狙うランサムウェアグループが、ランサムウェア・アズ・ア・サービス(RaaS)モデルを利用していることを確認した。このモデルでは、素人のハッカーが、開発者が作成した既存のインフラを使用して、ランサムウェアペイロードを配布することが容易になっている。
ii. Phishing. About 55,000 unique Singapore-hosted phishing URLs (with a “.SG” domain) were observed in 2021. This was an increase of 17 per cent compared to the 47,000 URLs seen in 2020. Social networking firms made up more than half of the spoofed targets. This was possibly driven by malicious actors’ exploitation of public interest in WhatsApp’s updated privacy policy announcement on users’ phone numbers being shared with Facebook. Scammers also exploited the COVID-19 pandemic amidst the Omicron sub-variant outbreak in late 2021 to spoof Government websites. ii. フィッシング:2021年には、シンガポールでホストされている約55,000のユニークなフィッシングURL(「.SG」ドメイン付き)が観測されました。これは、2020年に観測された47,000のURLと比較して17%増加した。SNS企業がなりすまし対象の半数以上を占めていた。これは、WhatsAppがプライバシーポリシーを更新し、ユーザーの電話番号がFacebookと共有されることを発表したことに対する世間の関心を悪意ある行為者が利用したためと考えられる。また、詐欺師は、2021年後半にオミクロン亜種が発生する中、COVID-19のパンデミックを悪用し、政府のウェブサイトを偽装している。
iii. Malicious Command and Control (C&C) Servers & Botnet Drones. In 2021, CSA observed 3,300 malicious C&C servers hosted in Singapore, more than triple the 1,026 C&C servers observed in 2020. This was the largest number recorded since 2017. This spike was driven by a large increase in servers distributing CobaltStrike malware, which made up nearly 30 per cent of all C&C servers observed. iii. 悪質なコマンド&コントロール(C&C)サーバーとボットネット・ドローン:2021年、CSAはシンガポールでホストされている悪意のあるC&Cサーバーを3,300台観測し、2020年に観測された1,026台のC&Cサーバーの3倍以上となった。これは、2017年以降で最大の数を記録した。この急増は、CobaltStrikeマルウェアを配布するサーバーが大幅に増加し、観測した全C&Cサーバーの30%近くを占めたことによる。
In 2021, CSA detected about 4,800 botnet drones with Singapore IP addresses daily, a 27 per cent decrease from 2020’s daily average of 6,600. Malware strains for the infected drones varied greatly, with no single strain accounting for a clear majority among compromised devices. This trend could have been caused by threat actors diversifying away from ‘old’ malware strains and exploring new infection methods, as system owners cleaned up infected computers and devices progressively. 2021年、CSAはシンガポールのIPアドレスを持つボットネットドローンを毎日約4,800個検出し、2020年の1日平均6,600個から27%減少した。感染したドローンのマルウェアの系統は大きく異なり、感染したデバイスの中で単一の系統が明確に過半数を占めることはなかった。この傾向は、システム所有者が感染したコンピュータやデバイスを順次クリーンアップしていく中で、脅威者が「古い」マルウェア株から多様化し、新しい感染方法を模索していることが原因である可能性がある。
iv. Website Defacements. 419 ‘.sg’ websites were defaced in 2021, a decrease of 15 per cent from 495 in 2020. The majority of victims were SMEs. The downward trend could be attributed to hacktivist activities moving to other platforms with potentially wider reach, such as social media sites. iv. ウェブサイトの改ざん:2021年に改ざんされた「.sg」ウェブサイトは419件で、2020年の495件から15%減少している。被害者の大半は中小企業であった。この減少傾向は、ハクティビスト活動がソーシャルメディアサイトなど、より広い範囲に及ぶ可能性のある他のプラットフォームに移行したことに起因すると考えられる。
v. Cybercrime. The Singapore Police Force reported that cybercrime remained a key concern, with 22,219 cybercrime cases in 2021, a 38 per cent increase from the 16,117 cases in 2020. Online scam1 cases made up the top cybercrime category in Singapore, accounting for 81 per cent of cybercrime cases. 17 per cent of cybercrime cases were Computer Misuse Act offences and 2 per cent were cyber extortion cases. v. サイバー犯罪:シンガポール警察の報告によると、サイバー犯罪は依然として重要な懸念事項であり、2021年のサイバー犯罪件数は22,219件で、2020年の16,117件から38%増加した。シンガポールでは、オンライン詐欺1がサイバー犯罪の上位を占め、81%を占めた。サイバー犯罪事件の17%はコンピュータ不正利用法違反、2%はサイバー恐喝事件であった。
Anticipated Cybersecurity Trends 予想されるサイバーセキュリティの動向
2 The SCL 2021 report also highlighted several trends to watch, against the backdrop of an increasingly complex and dynamic cyber threat landscape: 2 SCL2021報告書は、複雑化しダイナミックになるサイバー脅威の状況を背景に、注目すべきいくつかのトレンドも強調している。
(a) Decreased global reliance on Western technology due to increased geopolitical tensions. Russia had previously faced a major hurdle in decoupling from US technology, due to the risks that various payment services and product offerings used by Russian citizens would be suspended. With the sanctions imposed by Western technology firms, Russia’s desire to wean itself off Western technology is very likely to strengthen. Meanwhile, countries such as China have also sought to gain self-sufficiency in advanced technology areas. A world of differing cyber norms, ecosystems and standards may become a reality in the near future. (a) 地政学的緊張の高まりによる、欧米のテクノロジーへの世界的な依存度の低下:ロシアはこれまで、ロシア国民が利用するさまざまな決済サービスや製品提供が停止されるリスクから、米国のテクノロジーとの切り離しに大きなハードルを抱えていた。今回の欧米テクノロジー企業による制裁措置により、ロシアの欧米テクノロジーからの離脱志向は強まる可能性が非常に高い。一方、中国なども先端技術分野での自給自足を目指している。近い将来、サイバー規範、エコシステム、標準が異なる世界が現実のものとなるかもしれない。
(b) Non-state actors playing a larger role in geopolitical conflicts. Cybercriminal and hacktivist groups have been observed taking sides in the Russia-Ukraine conflict, engaging in more malicious cyber activities for politically-motivated purposes, in addition to personal gain. This development increases the risk of reprisals, as any serious cyber incident by these groups may be used as a pretext for escalation by one side or the other. In a hyper-connected global cyberspace, collateral damage to organisations not linked to Russia or Ukraine have become a worrying possibility. (b) 地政学的紛争において非国家主体がより大きな役割を果たす:ロシア・ウクライナ紛争では、サイバー犯罪者やハクティビスト集団が、個人的な利益だけでなく、政治的な動機から、より悪質なサイバー活動を行っていることが確認されている。このような動きにより、これらのグループによる深刻なサイバー事件が発生した場合、一方がエスカレートするための口実として利用される可能性があり、報復のリスクが高まっている。ハイパーコネクテッドなグローバルサイバースペースでは、ロシアやウクライナと関係のない組織が巻き添えを食うことが憂慮されるようになってきている。
(c) Rise of crypto-based scams. Crypto-based crime has been increasing, largely through the use of Decentralised Finance (DeFi) – peer-to-peer financial platforms that enable direct transactions, without the need for intermediaries. The borderless accessibility of DeFi’s open and distributed platforms, alongside anonymity features, have made it difficult to track illicit activity and enforce our regulations across borders. Such challenges further embolden cybercriminals to perpetuate more of such crypto-based scams. (c) 暗号ベースの詐欺の増加:暗号ベースの犯罪は、主に分散型金融(DeFi)-仲介者を必要としない直接取引を可能にするピアツーピアの金融プラットフォーム-の利用によって増加している。DeFiのオープンで分散型のプラットフォームは、匿名性の機能とともに、国境を越えてアクセスできるため、不正な活動を追跡し、国境を越えて規制を実施することが困難になっている。このような課題は、サイバー犯罪者がこのような暗号ベースの詐欺をさらに永続させることをさらに助長させる。
(d) Targeting critical Internet of Things (IoT) devices in ransomware attacks. Cybercriminals are recognising that they can inflict significant damage to organisations by infecting critical IoT devices, such as Internet-connected Uninterruptible Power Supply (UPS) units, leading to significant downtime costs. IoT devices often lack critical cybersecurity protection. Employees have also been known to connect their personal IoT devices to the organisation’s networks without the knowledge of security teams. Should organisations in critical, time-sensitive industries such as healthcare, be infected with ransomware, there could be serious, life-threatening consequences. (d) ランサムウェア攻撃における重要なIoTデバイスの標的化。サイバー犯罪者は、インターネットに接続された無停電電源装置(UPS)などの重要なIoTデバイスに感染することで、組織に大きな損害を与え、ダウンタイムのコストを大幅に削減できることを認識している。IoTデバイスには、重要なサイバーセキュリティの保護が欠けていることがよくある。また、従業員がセキュリティチームに知られることなく、個人所有のIoTデバイスを組織のネットワークに接続することも知られている。医療などの重要で時間的制約のある業界の組織がランサムウェアに感染した場合、生命を脅かす深刻な結果になる可能性がある。
CSA’s Efforts to Strengthen Collective Cybersecurity Posture CSAのサイバーセキュリティ態勢強化への取り組み
3 Improving the awareness and adoption of good cybersecurity practices by individuals and enterprises is key to enabling our digital economy and digital way of life. CSA launched the SG Cyber Safe Programme last year to help enterprises in Singapore better protect themselves in the digital domain and raise their cybersecurity posture. Under the programme, CSA introduced cybersecurity toolkits tailored to different enterprise roles. This included cybersecurity tips for employees, who are the first line of defence for their organisation’s cybersecurity – such as through setting strong passphrases and protecting their devices with updated software and anti-virus. Since the toolkits were launched in October 2021, they have been downloaded more than 6,000 times. 3 個人とエンタープライズによる優れたサイバーセキュリティの実践に対する認識と採用の向上は、デジタル経済とデジタルライフを実現する上で重要である。CSAは昨年、シンガポールの企業がデジタル領域でよりよく身を守り、サイバーセキュリティの姿勢を強化できるよう、SG Cyber Safeプログラムを立ち上げた。このプログラムのもと、CSAは、企業のさまざまな役割に合わせたサイバーセキュリティ・ツールキットを導入した。このキットには、強力なパスフレーズを設定し、最新のソフトウェアとアンチウイルスでデバイスを保護するなど、組織のサイバーセキュリティの第一線で活躍する従業員向けのサイバーセキュリティのヒントが含まれている。2021年10月の開始以来、ツールキットは6,000回以上ダウンロードされている。
4 As SMEs tend to have limited IT and/or cybersecurity expertise and resources, CSA worked with the Infocomm Media Development Authority (IMDA) to offer SMEs pre-approved cybersecurity solutions under the SMEs Go Digital Programme. Since the programme’s launch in 2017, more than 6,000 SMEs have benefited from these cybersecurity solutions that provide endpoint protection, managed detection, response and unified threat management. 4 中小企業はITやサイバーセキュリティの専門知識やリソースが限られている傾向があるため、CSAはInfocomm Media Development Authority(IMDA)と協力し、SMEs Go Digital Programmeの下で中小企業に事前承認済みのサイバーセキュリティソリューションを提供した。2017年のプログラム開始以来、6,000社以上の中小企業が、エンドポイント保護、管理された検出、対応、統合脅威管理を提供するこれらのサイバーセキュリティ・ソリューションの恩恵を受けている。
5 CSA also recently launched the Critical Information Infrastructure (CII) Supply Chain Programme to enhance the security and resilience of Singapore’s CII sectors. Led by CSA, it is a national effort to establish processes and best practices to help CSA, Sector Leads, CII owners (CIIOs) and their vendors manage supply chain risks holistically.  5 CSAはまた、シンガポールのCIIセクターのセキュリティとレジリエンスを強化するために、重要情報インフラ(CII)サプライチェーンプログラムを最近開始した。CSAが主導するこのプログラムは、CSA、セクターリーダー、CIIオーナー(CIIO)、およびそのベンダーがサプライチェーンのリスクを総合的にマネジメントできるよう、プロセスやベストプラクティスを確立するための国家的な取り組みとなっている。 
6 CSA will also re-launch its “Better Cyber Safe Than Sorry” national cybersecurity awareness campaign later this year, focusing on raising awareness and driving adoption of good cybersecurity practices. The national campaign augments concurrent efforts by CSA to target students and seniors respectively under the SG Cyber Safe Students Programme and SG Cyber Safe Seniors Programme. In collaboration with various government agencies, such as the Ministry of Education, GovTech, SPF and IMDA, these initiatives enable CSA to reach out to students and seniors with relevant cybersecurity messages through platforms – such as roadshows and webinars – to raise awareness and adoption of good cyber practices. Initiatives such as the Go Safe Online Pop-up and Go Safe Online Drama Skit under the SG Cyber Safe Students Programme have reached more than 160 schools, libraries, and community spaces, while CSA has engaged more than 45,000 seniors under the SG Cyber Safe Seniors Programme since the launch of both programmes in 2021. CSA はまた、今年後半に「Better Cyber Safe Than Sorry」全国サイバーセキュリティ意識向上キャンペーンを再開し、サイバーセキュリティの優れた実践の意識向上と採用促進に重点を置く予定である。この全国キャンペーンは、「SG Cyber Safe 学生プログラム」と「SG Cyber Safe 高齢者プログラム」のもと、学生と高齢者をそれぞれ対象とした CSA の同時取り組みを補強するものである。教育省、GovTech、SPF、IMDAなどのさまざまな政府機関と協力し、これらの取り組みにより、CSAはロードショーやウェビナーなどのプラットフォームを通じて、学生や高齢者にサイバーセキュリティに関するメッセージを伝え、優れたサイバー対策の意識向上と採用につなげることができるようになった。SG Cyber Safe 学生プログラムのGo Safe Online Pop-upやGo Safe Online Drama Skitなどの取り組みは、160以上の学校、図書館、コミュニティスペースで行われ、CSAは2021年の両プログラムの開始以来、SG Cyber Safe 高齢者プログラムの下で45000人以上のシニアに参加してもらった。
7 Mr David Koh, Commissioner of Cybersecurity and Chief Executive of CSA, said: “The cyber landscape in 2021 was fraught with increasingly sophisticated threats and more brazen threat actors. The government has stepped up efforts to work with our stakeholders to do more, but cybersecurity is a team sport. Only by banding together and working across borders, do we stand a fighting chance against the ever-evolving threat. Governments, businesses and individuals must continue to do their part to strengthen our collective cybersecurity posture. We must act now.” 7 サイバーセキュリティ担当コミッショナー兼CSA最高責任者のDavid Koh氏は、次のように述べている。「2021年のサイバー環境は、ますます高度化する脅威と、より大胆な脅威行為に満ちていた。政府は、ステークホルダーと協力してより多くのことを行うための取り組みを強化しているが、サイバーセキュリティはチームスポーツである。国境を越えて団結し、協力してこそ、進化し続ける脅威に対して勝算がある。政府、企業、個人は、サイバーセキュリティの態勢を強化するために、それぞれの役割を果たし続ける必要がある。私たちは今、行動を起こさなければならない。

 

Singapore Cyber Landscape 2021

・[PDF] Singapore Cyber Landscape 2021

20220831-100315 

 

| | Comments (0)

産総研 「機械学習品質マネジメントガイドライン 第3版」「機械学習品質評価・向上技術に関する報告書第2版」(2022.08.02)

こんにちは、丸山満彦です。

産総研が「機械学習品質マネジメントガイドライン 第3版」と「機械学習品質評価・向上技術に関する報告書第2版」を公開していました。。。

プライバシー、セキュリティに関わる部分での整理が行われているようですね。。。

 

産業技術総合研究所

・2022.08.02 機械学習品質マネジメントガイドライン 第3版

・[PDF] 機械学習品質マネジメントガイドライン 第3版 (本文)

20220830-154412

 

第3版での主な変更点は、


・ プライバシーに関わる外部品質を設定し、分析・対処方法等の記述を検討・追加。
・ セキュリティを外部品質として位置づけ、既存の特性との関係を整理した上で、第2版の記述を拡充。
・ 公平性の章の記述を再整理。
・ その他の記述の更新。


プライバシー、セキュリティに関わる部分での整理が行われているようですね。。。

全体像については、、、

 


1章の内容は参考(informative)である。本章に含まれ、本ガイドラインの規範の一部を構成する (normative) 内容については、後の章で再掲する。

本概要の全体構成は以下の通りである。第 2 章以降の本編に対応する内容がある場合には、その対応する章節も示す。
・ 1.1 節では、本ガイドラインを作成した背景と目的を示す。
・ 1.2 節では、本ガイドラインが主に想定する「使われ方」を提示する。(本編 2 章)
・ 1.3 節では、背景として掲げた「AI の品質管理が困難である理由」を分析する。
・ 1.4 節では、本ガイドラインがベースとする、品質管理のプロセスについての全体的な考え方を述べる。
・ 1.5 節では、本ガイドラインが「目標」として設定する4つの「外部品質」の観点(実装手段にあまり依存せず、使用を通じてしか評価できない品質観点)を提示する。(本編 3 章)
・ 1.6 節では前節を補足して、一般に「AI の品質」として議論される要素のうち、前節で採用しなかった要素について、その理由や本ガイドラインでの考え方を説明する。
・ 1.7 節では、本ガイドラインが「管理手段」として設定する 9 つの「内部品質」の観点(実装手段に依存し、計測や作り込みでの管理が可能な品質観点)を提示する。(本編 6 章・7 章)
・ 1.8 節では、本ガイドラインを作成するに当たって想定する開発プロセスの全体のイメージを提示する(本編 4 章・5 章)
・ 1.9 節では、外部の規範文書などとの関係を明らかにする。(本編 11 章)
・ 1.10 節では、本ガイドラインの残りの部分の構成を整理する。

・ 2 章では、本ガイドラインのスコープや既存規格類との関係について改めて整理する。
・ 3 章では、1.5 節で述べた外部品質特性について、レベル分けの決定を含む詳細について整理する。
・ 4 章では、1.8 節で概要を説明した開発プロセスについて、その参照モデルを示す。
・ 5 章では、本ガイドラインの具体的な運用・適用方法について述べる。
・ 6 章では、1.7 節で述べた内部品質特性をより詳細に整理する。
・ 7 章では、6 章の内部品質特性ごとに、その留意点や具体的な実現方法の可能性を整理する。
・ 8 章では、公平性の外部品質特性のマネジメントに特有の事柄について整理する。
・ 9 章では、外部品質特性としてのプライバシーのマネジメントについて整理する。
・ 10 章では、機械学習品質マネジメントにおけるセキュリティの考え方について整理する。
・ 11 章では、他のガイドラインなどとの関係性などの参考情報を示す。
・ 12 章では、本ガイドラインの検討委員会が 1.7 節(および 6 章)で掲げた内部品質を洗い出すまでの分析過程および考え方を、参考情報として示す。


 

20220830-155415

 

外部品質として、プライバシー、AIセキュリティを位置付けているということを示す図となっていますね(AIセキュリティ以外は、ソフトウェアとしての一般的性質)。。。


1.5.4 プライバシー

AI に限らず実社会の情報システムの応用では、その実現の過程で一般に広く知らせてはいけない秘匿すべき情報を取り扱う場合がある。特に自然人のもつ様々な属性や志向などの個人情報の保護は、人の基本的な権利としてのプライバシー権の尊重として厳密に求められ、各国・地域において法律等で厳密にその取り扱いが規制されていることが多い。システムが取り扱う情報のうち、明示的な形で保存されている個人情報そのもの、例えば性別や人種、顔画像などは、システムの設計や運用の段階でその取り扱いを慎重に考えることが、直接的であるという意味では取り扱いの判断が容易である一方、例えば平均値などの統計処理された情報は、通常であれば個人を特定できないと想定される場合でも、情報が明らかになる状況(例えば入力値が 2 名であれば、その平均値からそれぞれの当人がもう 1 人の具体的な値を知ることができる)、つまり個人の特定を避けたにも関わらず再特定が可能になる状況があることを慎重に考えなければいけない場合が多い。

機械学習を利用したシステムにおいて、個人情報を訓練用データとして用いた機械学習モデルは、そのシステムの利用目的により、それぞれの当人の個人情報を含むものとして扱う場合(例えば、それぞれの当人を識別する認証システムとして使う場合)もあれば、含まないものとして扱いたいこと(例えば、当人とは別の人の年齢層を推定する目的の場合)もある。前者の場合であれば、機械学習モデルを従来の個人情報保護の仕組みで取り扱えば済むことも多い。しかし後者の場合、その機械学習モデルを公知のものとしてもプライバシー侵害に繋がる個人情報が想定外に漏洩しないかどうかは、従来の統計処理データと比べても技術的に不明な点が多く、実際に情報漏洩が起こるケースも指摘されている。このようなケースでは機械学習モデルを対象とした従来とは異なる個人情報漏洩対策が必要となる。

本特性ではこのような想定外の情報漏洩の場合を想定して、機械学習システムの構築を通じてプライバシーの保護を図るような対策を行う必要性を、「プライバシー」の品質観点として取り扱うことにした。この特性については、9 章で深く取り扱う。

 なお、本節では特に公平性と並んで社会的要請の側面の強さに対応した語として「プライバシー」を用いたが、個人以外の企業の秘密情報(トレードシークレット)等の取り扱いについても、技術的には類似の観点から応用できる可能性があると考えられる。

1.5.5 AI セキュリティ

 機械学習などの AI を用いたシステムは他の IT システム同様に、様々な悪意のある利用もされることが想定される。通常の自然な利用において上記の 4 つの外部品質が期待通りに達成される場合であっても、悪意のある人が環境や入力データに手を加えると、機械学習モデルの動作を意図的に変化させてこれらの外部品質の達成を妨げることができることがあることが、一般的に機械学習の持つ弱点として指摘されている。特に一般の利用者や市中環境での利用が想定されるシステムにおいては、このような入力データの改変を検知したり防いだりすることが難しく、機械学習システムにおいて特に対処を必要とすることがある。このようなケースに対応する外部品質として、「AI セキュリティ」を抽出する。

 注意点として、本ガイドラインで導入する外部品質「AI セキュリティ」では、従来の IT セキュリティやシステムセキュリティの観点で対処できる、あるいは対処すべき攻撃は、対象としては扱わない。例えば、機械学習アルゴリズムを考慮した学習データの改竄(データポイズニング攻撃)は外部品質「AI セキュリティ」の対象とするが、学習データの改竄のために AI モデルの開発環境に侵入する攻撃は外部品質「AI セキュリティ」の対象外とする。また、画像データを改竄してバッファ・オーバーランなどのソフトウェアの誤動作を引き起こすような攻撃も、このガイドラインの外部品質「AI セキュリティ」の範疇外である。これらについては、従前通りのセキュリティマネジメントプロセスと、必要に応じて従来規格、例えば ISO/IEC 15408 [3] の評価保証レベル(EAL)などにより管理すればよい。

 一方で、仕様通りに実装すればその通りに動いてくれると期待される従来型の IT ソフトウェアのセキュリティ対策と異なり、データから学習した機械学習モデルは、例え仕様の想定内のデータ(例えば、カメラ撮影後に改変されていない実環境の撮影画像データ)であっても、特定のデータで誤動作を起こすようなことがしばしば起こること、さらにそういったデータを意図的に作ることができることが指摘されている。また、オープンソース・ソフトウェアのように一般に公開されたデータや機械学習モデルをシステム構築に用いる場合に、検知が難しい悪意の改変をそれらの公開データに含めることができることも指摘されている。これらの問題に対しては、従来のソフトウェアセキュリティの事前検査などのアプローチが通用せず、機械学習システムの構築工程内で他の品質観点と同時並行的に対処せざるを得ない。

 機械学習モデルの構築工程で対処する「AI セキュリティ」の品質観点については、10 章でそのリスクや事例、可能な対処などについて詳しく述べる。


 

10.2 機械学習利用システムに対する攻撃と被害

表 6:機械学習利用システムの各被害を引き起こす攻撃


20220830-182934

 

10.3 機械学習特有の攻撃とその対策

表 7:機械学習特有の攻撃の実行フェーズ・攻撃者・攻撃手段の例

20220830-182904

 

10.5 AI セキュリティの品質マネジメント

表 8:システム設計開発フェーズのセキュリティ対策の例

 

 

20220830-182718

 

表 9:システム運用フェーズにおけるセキュリティ対策の例

20220830-182757


 

参考文献

14 参考文献

14.1 国際規格

14.2 国・国際機関の指針等

14.3 公的規格・フォーラム標準等

 

 


次は、こっちの方...

・2022.08.02 機械学習品質評価・向上技術に関する報告書 機械学習品質マネジメントガイドライン付属文書 第 2 版

20220830-180708

 

目次

1 はじめに
1.1
本調査・研究開発の概要
1.2
著者リスト
1.3
謝辞

2 機械学習モデル情報の可視化
2.1
機械学習支援のための可視化手法についての調査
2.2
機械学習モデルと作業者情報の可視化手法の提案
2.3
今後の方針

3 データ拡張による品質向上
3.1
学習データ数と識別率の関係(予備実験)
3.2
識別率の平均値と標準偏差の評価
3.3
データ拡張手法の組み合わせの効果
3.4
まとめ

4 データ拡張の適用法の改良による品質改善
4.1
研究目的
4.2
データ拡張の適用層の改良
4.3 Mixup
の改良による新しい混ぜ合わせ方法の提案

5 深層 NN ソフトウェアのデバッグ・テスティング
5.1
不具合の直接原因
5.2
内部指標
5.3
実験の方法と結果
5.4
関連研究
5.5
おわりに

6 訓練データのデバッグ・テスティング
6.1
3つの問題設定
6.2
訓練データのデバッグ問題

 


 

参考

● まるちゃんの情報セキュリティ気まぐれ日記

機械学習品質マネジメントガイドライン関係

・2021.07.06 産総研 「機械学習品質マネジメントガイドライン 第2版」を公開

・2020.07.01 産総研 「機械学習品質マネジメントガイドライン」を公開

 

AIリスクマネジメント・セキュリティ関連 

・2022.08.24 NIST 意見募集 AIリスクマネジメントフレームワーク(第2ドラフト)とそのプレイブック

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

 

↓ ENISAの他にもNIST IR 8269、中国の国家标准《信息安全技术 机器学习算法安全评估规范》

・2021.12.15 ENISA 機械学習アルゴリズムの保護

 

 

Continue reading "産総研 「機械学習品質マネジメントガイドライン 第3版」「機械学習品質評価・向上技術に関する報告書第2版」(2022.08.02)"

| | Comments (0)

2022.08.30

経済産業省 「サイバーセキュリティ経営に関する調査 調査報告書」「地域SECUNITY形成促進事業 調査報告書」

こんにちは、丸山満彦です。

経済産業省が、「サイバーセキュリティ経営に関する調査 調査報告書」と「地域SECUNITY形成促進事業 調査報告書」を公表していますね。。。

委託事業者は、どちらも「みずほリサーチ&テクノロジーズ株式会社」ですね。。。

経済産業省「のサイバーセキュリティ経営ガイドラインと支援ツール」と関係がありますね。。。

 

● 経済産業省 - [PDF] 令和3年度 委託調査報告書 HP掲載一覧

・2022.08.26 [PDF] 令和3年度サイバー・フィジカル・セキュリティ対策促進事業(サイバーセキュリティ経営に関する調査)調査 報告書

20220829-175500

目次

1.調査実施の⽬的、事業内容等
2.サイバーセキュリティ経営ガイドライン改訂及び可視化ツール普及促進に向けた調査
3.サイバーセキュリティ⼈材活躍モデルの構築のための調査
4.情報セキュリティサービス活⽤・普及に関する調査
5.まとめ

 

20220829-175753

図1.1 調査の実施方針

 

1. サイバーセキュリティ経営ガイドライン改訂及び可視化ツール普及促進に向けた調査

1.1 経営ガイドラインの改訂に向けた調査と改訂⽅針案の作成

  • サイバー・フィジカル・セキュリティ対策フレームワーク(以下、「CPSF」という。)ほか、経済産業省との協議のもとに定めた調査対象について、最新の動向調査を実施した。
  • サイバーセキュリティ経営ガイドライン(以下、「経営ガイドライン」という。)Ver.2.0本⽂(英訳版を含む)について、改訂の必要性についての検討を⾏うととともに、改訂素案をとりまとめた。
  • 経営ガイドライン付録Aについてはサイバーセキュリティ経営可視化ツール(以下、「可視化ツール」という。)の質問項⽬に合わせた形での修正を実施した。

1.2 企業調査

  •  ユーザ系企業10社、ベンダ系企業3社を対象に、経営ガイドラインへの意⾒や改訂版に盛り込むべき事項等について調査を実施した。

1.3 機関投資家へのヒアリング調査

  • サイバーセキュリティやリスクマネジメント、ESG等について企業を評価、投資判断当⾏ったことがあり、⾒解を持つ機関投資家⼜はその団体8者に対し、企業を評価する際に⾒る項⽬、サイバーセキュリティに関して⾒る内容、企業をサイバーセキュリティの観点で評価するときに参考にするガイドライン等及び課題等について調査を実施した。

1.4 海外動向調査

  • 海外企業8社及び対照群としてそれぞれの同業種の国内企業7社を対象に、企業が開⽰しているサイバーセキュリティに関する情報に関する取組
    事例と動向について整理した。

1.5 有識者会議の開催

  • 企業のサイバーセキュリティ対策に知⾒を有する6名の有識者によるタスクフォースを設置し、9回にわたる開催にあたっての事務局運営を担当した。

 


 

調査の概要...


2.2.1 ユーザ系企業調查
① サイバーセキュリティ経営ガイドラインVer.2.0の活⽤状況
② サイバーセキュリティ経営ガイドラインVer.2.0の改訂について
③ 「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」に対する取組状況
④ 「サイバーセキュリティ体制構築・⼈材確保の⼿引き(第1.1版)」の活⽤状況
⑤ 「サイバーセキュリティ体制構築・⼈材確保の⼿引き(第1.1版)」の改善について
⑥ 最近の状況(コロナ禍、DX進展など)によるセキュリティ体制の変化
⑦ 最近の状況によるセキュリティ施策の変化
⑧ セキュリティ⼈材の確保・育成⽅法
⑨ プラス・セキュリティ⼈材の育成⽅法
⑩ グループ・グローバル関連会社のガバナンス⽅法
⑪ グループ・グローバル関連会社のセキュリティ実施状況の把握⽅法
⑫ サプライチェーン(取引先)のセキュリティ対策実施状況把握⽅法
⑬ OT/IoT分野のセキュリティに関する体制や⼈材の役割定義

2.2.2 ベンダー系企業調査

2.3 機関投資家へのヒアリング調査
① 企業を評価する際に⾒る項⽬(機関投資家等)
② サイバーセキュリティに関して⾒る内容(機関投資家等)
③ サイバーセキュリティに関して⾒る内容(M&Aにおけるデューデリジェンス)
④ 企業をサイバーセキュリティの観点で評価する際に参考にしているガイドライン等
⑤ 企業をサイバーセキュリティの観点で評価する際の課題
⑥ 経済産業省による機関投資家への普及啓発の⽅法について

2.4 海外動向調査


 

 

気になる、サイバーセキュリティ経営ガイドライン ver2.0の活用状況...


2.2.1 ユーザ系企業調查

(8) ヒアリング調查

① サイバーセキュリティ経営ガイドラインVer.2.0の活⽤状況

<活用方法>

  • ガイドラインの認知度は⾼く、施策や規定類の抜け漏れチェックやCISOの役割設定などに活⽤されている。
  • セキュリティ統括部⾨の⽴ち上げや年間計画/5か年計画の作成時や経営会議での報告時にも活⽤されている。
  • 成熟度低の企業では最近になってガイドラインを活⽤してセキュリティ対策をアセスしている。
  • 経営層に説明する際に経産省のガイドラインで確認していることで納得が得られる(説得⼒がある)。
  • 経営層に理解してもらうためにガイドラインを活⽤。

<経営者の意識、認識>

  • 経営者にはリスクや経営への影響を認識してもらえば良く、技術的内容まで理解してもらう必要はない。
  • セキュリティは専⾨性が⾼く、経営者がリーダーシップを発揮するのは難しいのではないか。
  • 成熟度低の企業では経営者の意識を変えたい、セキュリティの重要性を認識してもらたいと考えているができていない。

<経営への報告>

  • 経営者には定期的にリスク管理委員会からセキュリティの状況を報告。
  • 経営者はセキュリティの重要性を認識しており、関係性も良いので予算や⼈の確保もできている。

<活⽤していない理由>

  • ガイドラインはセキュリティ対策が進んでいる企業では有効ではない。
  • セキュリティ施策は企業⽂化により異なるので、ベーシックな内容では活⽤しづらい。

<可視化ツール>

  • 可視化ツールを使って実施状況を評価し経営会議に報告している。
  • レーダーチャートで到達点を決め現状を評価することが有効。

<他のガイドラインの参照先として活⽤>

  • 管轄省庁のガイドラインを参照しているが、このガイドランは経営ガイドラインを踏まえていると認識している。
  • ベンダーの診断サービスで経営ガイドラインを参照した評価ができるようになっている。

② サイバーセキュリティ経営ガイドラインVer.2.0の改訂について

  • 特に改訂の必要はないが約45%
  • ガイドラインを活用していない企業はわからないと回答(全体の1/3)

<改訂に対する意⾒>

  • 攻撃者から⽀払いを求められたときの対処⽅法をガイドしてほしい。
  • リスクベースアプローチ、残存リスクに対する具体的アプローチ。
  • CISOの役割とか必要となる能⼒について提⾔してほしい。
  • 現実と対⽐して分かりにくい部分や、同様の記述があるので⾒直してほしい。
  • 定量的に脅威を可視化して把握することを盛り込んでほしい。

<改訂の必要ない>

  • 成熟度⾼の企業ではガイドラインはベーシックなものと認識しており、改訂の必要はないと考えている。
  • ガイドラインは経営層向けであり、DX関連の動向で⾒直す必要はない。

 

グループ関連会社のガバナンス方法についてのユーザヒアリングも参考になる部分がありますね。。。

ただ、何割とかいうても、9社ですからね。。。

(P52とP51は同じかなぁ。。。あと、ベンダー企業へのヒアリング結果がないですかね。。。)

 


⓾ グループ・グローバル関連会社のガバナンス方法

  • 約8割の企業は連邦型のガバナンス
  • 集権型、文献型ガバナンスはそれぞれ約1割

<ガバナンス形態、役割分担>

  • 連邦型のガバナンスで、会社ごとにシステムや予算も別であるが、各社にCISOがいる体制。
  • 100%⼦会社は集権型だが、それ以外の関連会社は連邦型で、各社でセキュリティ対策を実施してもらい結果を報告してもらっている。
  • 買収した企業はイントラにつないでいない。既存環境を維持したい場合はSP800-171をベースにした規定を遵守してもらっている。それができない場合は、セキュリティセンターがひな形を⽤意して要求事項を守れるように⾃分たちで細則を作って実施してもらっている。

<セキュリティ施策、IT環境>

  • 既存事業を⾏っている関連会社は、セキュリティ施策(PC、EDR、ウイルス検知など)、ネットワーク、PC等のIT環境を標準化している。
  • ADはグローバルのADチームがあって、各国のHQによるツリーの上のところをグローバルで管理し、各国・地域のツリーの下のところに関しては各地域のHQで管理する形にしている。
  • インシデントが発⽣した時は、ネットワークを遮断したり、どう復旧させるかはグローバルで取り仕切っている。但し、ネットワークはSOCが24365で監視しており、異常を検知した場合は即時性のためインフラ部⾨が判断して対処している。

<予算、費⽤回収>

  • セキュリティ予算はグローバルでIT予算の枠内で管理している。
  • IT統括部で集中的に管理しているPCとかネットは⼀旦統括部でキャッシュアウトするが、内部で利⽤料として回収している。

<規定・ルール>

  • 規定・ルールの基本的な部分はグローバル共通であるが、法令等により異なる部分は各リージョンに任せている。
  • 関連会社も意識して規定・ガイドラインを作成している。

 

⑪ グループ・グローバル関連会社のセキュリティ実施状況の把握方法

  • チェックシートによりセキュリティ実施状況を把握している、検討している企業がそれぞれ1/3
  • 個別にセキュリティ実施状況を聞いている企業が1/3

<チェックリスト、定期的>

  • 成熟度⾼の企業では、FISCの安全対策基準や、海外はNIST SP800、EUのENISAなどをベースにチェックシートを作っている。それ以外にはMITRE ATT&CKをベースにしたランサム攻撃に対する体制をみるチェックリストも作っている。
  • 成熟度中の企業では国内関連会社はチェックシートによるチェックを毎年実施しているが、海外は実施していない。
  • チェックシートは⾃⼰評価であり、インタビューなどで実施状況を確認することもあるが現地調査は実施できておらず、現場確認や実効性確認は課題である。
  • 各部⾨、関連会社の対策状況を確認するためシステムの棚卸しを⾏っている。保有するシステムのセキュリティリスクに応じて3×3のラインマトリックスで分類して評価している。

<個別チェック、特定分野のチェック>

  • 成熟度低の企業では、必要に応じて個別に、もしくは多要素認証を導⼊する場合など特定機能についてはチェックしている。
  • クラウドはセキュリティ部⾨でチェックシートを作ってリスク評価している。

 

サプライチェーンも...


⑫ サプライチェーン(取引先)のセキュリティ対策実施状況把握⽅法

  • チェックシートによりセキュリティ対策状況を聞いている、もしくは計画しているは合計でいで1/3
  • 個別にセキュリティ対策状況を聞いている企業が1/3
  • 一方、セキュリティ対策状況を把握していない企業も1/3

<IT環境、責任分界点>

  • 取引先とのシステム接続仕様を決めており、その仕様の中でセキュリティ対策をしてもらうことが前提となっている。この中にインシデント発⽣時の責任分解点も含まれている
  • システム開発会社とは専⽤の開発環境にしかつながらないような施策で、取り扱う情報も最⼩限にとどめて、かつモニタリングを掛けて後から追跡できるようにしている。
  • 販売会社は契約ベースのガバナンスとなっている。シンクライアントを使ってもらい、ログを監視するなどガバナンスを強めている。

<契約、規定・ルール>

  • システム開発の委託先とはセキュリティ基本契約を締結しており、定期的にセキュリティチェックしている。
  • 取引先とは契約書にセキュリティ関連項⽬(NDAの保持、適切なセキュリティ対策の実施)が含まれている。個⼈情報を扱っているところは漏洩時の責任の明確化なども含まれている。
  • 情報システムや情報資産を扱う取引先との契約書にはセキュリティ監査やチェック後の指⽰に従うような条項も含まれている。
  • サプライチェーンのリスクが騒がれているので、機器とかソフトウエアを調達するときにセキュリティ条項を追加している。

<ネットワーク接続形態>

  • サプライチェーンを把握するのは事業規模的に無理なので社内ネットワークに繋がせないようにしている。
  • 通信販売店とのネットはつながっている。個⼈情報を扱うオペレーションセンターとは別ネットにして分離しているが、FWを介して繋がっている。
  • 販売会社がシステムを使う場合は専⽤線とシンクライアントを使ってもらっている。そこから各店舗で持っているPCに情報を取り出せるようにしている。
  • 開発会社とネット接続する場合は、決まった⽅法でしか接続させないようにしている。

<インシデント発⽣時の対応>

  • ランサムウエアに感染した場合などはネットを遮断して状況を調査して、場合によっては広報と相談して社外公表することもある。
  • サイバーセキュリティのインシデントが発⽣した場合に責任を取らせることはない。USBの紛失や個⼈情報の漏洩などは責任を追求することもある。

<チェックリスト>

  • 成熟度⾼の会社ではサプライチェーンのセキュリティ対策実施状況をチェックリストでチェックしている。
  • 事務やオペレーションの委託先のセキュリティ状況をどう把握するかは課題である。弁護⼠事務所、コールセンター、保険⾦査定会社などのセキュリティがどうなっているかは最近注⽬されている。

<個別チェック>

  • 成熟度中の企業では、セキュリティ認証状況の確認やセキュリティ責任者の設置などを書⾯で聞いている企業がある。
  • IT部⾨では何を預けているかは分からないので、事業部⾨の判断としてやってもらっている。

<特定分野のチェック>

  • クラウドベンダーや個⼈情報を扱っている取引先はセキュリティチェックを⾏っている。
  • システム開発(ウエブサイト構築など)するときなどはウエブサイトの作り⽅に準拠した作り⽅になっているかなどをチェックすることはある。

<顧客からのセキュリティチェック>

  • 取引先としてチェックされることが多い。チェックシートはお客様各社個別で別々に対応しなければならず、提出には社内稟議を通す必要があり⼤きな負荷となっている。確認する側も⼤変なので、社会全般的なルール・指針を作ってもらうと助かる。

 

制御系システムのセキュリティ...


⑬ OT/IoT分野のセキュリティに関する体制や⼈材の役割定義

  • OT/IoT分野もセキュリティ統括が担当しているのは約1割のみ
  • OT/IoT分野の制御部分は事業部門が担当し管理部分をセキュリティ統括が担当している企業が1/3
  • 最近の状況を考慮し役割分担と県警方法を検討している企業が1/3

<OT/IoTの担当部⾨と役割分担>

  • ⼯場部⾨の独⾃ネットについてはセキュリティ統括は関与していないが、ITで管理しているネットにつなぐ場合は関与する。
  • ⼯場のセキュリティについてはセキュリティ⽅針を経営の決定事項として展開している。⼯場の責任者会議、現場の担当者向け説明会でネットワークを接続する場合はセキュリティ統括が介⼊することを周知徹底している。
  • 数年前に⼯場でラインが⽌まったこともあり、3年前から技術はセキュリティ統括、実施の責任は⼯場部⾨ということで⼆⼈三脚でセキュリティ強化を実施している。
  • ⼯場部⾨のセキュリティは⼯場部⾨担当だが、技術的進歩が速くアドバイスを求められており、今後は積極的に関与していくことを検討している。
  • OTとしては電気通信設備がある。電気通信設備の統括組織(ネットワーク事業推進本部)があり、その中にセキュリティ専⾨部隊が管理している。
  • 新しい⼯場はネットワークアーキテクチャから、古い⼯場は機器の更新のタイミングに合わせて、アーキテクチャーとネットワークはIT部⾨が担当することになっておりセキュリティもチェックする。

 

機関投資家へのヒアリング...


① 企業を評価する際に⾒る項⽬(機関投資家等)

  • リスクとして調査対象とするのは5年程度の時間軸でみる⻑期のものであり、移⾏リスク(気候変動の影響等)とオペレーショナルリスク(サプライチェーンの健全性等)に分けて扱う。それぞれの重みは業種によって異なるので、業種毎の担当を置いて取材する。
  • 企業の評価の際に確認する内容は、企業の業種や成⻑ステージによって異なるが、いずれも事業におけるリスクを把握するところから始まる。
  • 企業が指標として⽤いている値の経年変化はかなり参考になる。ただし指標として妥当かどうかは確認が必要。デジタル⼈材の充⾜⽬標に対する進捗率を出している企業があり、参考にしている。
  • 投資家による単独での企業との対話には限界があり、集団で分担して企業を調べるようにしている。これにより、質問対象を絞る代わりに深い内容について尋ねることができる。こうした動きを踏まえ、経営層は投資家からの質問に対して、リスクがどの程度⾒込まれ、どう対策をしているか答えられるようにしておくべき。
  • CEOがシステムに明るく、⾃分の⾔葉でDXの⽅向性や、活⽤するプラットフォームの考え⽅、外部連携を⾃分の⾔葉で語れると安⼼感がある。誰か担当者に尋ねた上で回答していると不安になる。
  • 経営陣が適切な課題認識をもっているかどうかは重視している。課題について論理的に説明できることを期待している。
  • 「気候関連財務情報開⽰タスクフォース(TCFD)」が「ガバナンス」、「戦略」、「リスク管理」、「指標と⽬標」の4つの柱に関して開⽰のプロトタイプを⽰している。投資家はこうした動きになじみはじめており、他のリスクに関しても開⽰のプロトタイプとして、わかりやすい開⽰を求める動きが出てくる可能性がある。
  • 法律で開⽰が求められている情報の内容は各社とも似通っており、あまり読むことはない。⾃社にとって致命的なリスクをメリハリをもって⽰すことが重要。

② サイバーセキュリティに関して⾒る内容(機関投資家等)

  • 企業がサイバーセキュリティを評価するのは、企業におけるリスクとして重要性(マテリアリティ)が⾼い場合。そうでない場合、事業上のすべてのリスクをチェックすることは⼀般的ではなく、対話のテーマにならない。
  • サイバーセキュリティを含むITリスクの重要度が⾼いのはゲーム業界や⾦融業界。
  • セキュリティ体制は機能していることが重要。現場と経営陣が円滑につながっているかを確認したい。
  • 経営層がリスクをどの程度把握しているかを確認するため、開⽰内容は⼀通り参照する。サイバーセキュリティのリスクが⾼ければ、それをピックアップして確認する。
  • ある企業で情報漏えいが⽣じたから、同じ業種のリスクが⾼いとは考えない。事故の当事者企業には個別に対策状況等を確認することはある。扱う情報が多い業種・業態のリスクは⾼いとは考えている。データの流出が企業の存続に関わるようなケースでは詳細に確認する。
  • 開⽰される情報のエビデンスは重視していない。エビデンスがあってもリスクはゼロにならない。ただしプライバシーマークやISO認証などは若⼲の安⼼材料。それよりも、体制や想定リスクに関する質問に対し、クリアな情報が提⽰されることが重要。ある保健医療関係の組織の場合、機微データを扱える⼈数、場所の制限、監視状況などの具体的な説明があったので、信憑性があると判断した。
  • 事故発⽣の可能性はゼロにならないので、リカバリーの体制が取られているのかを含めた開⽰を期待する。
  • 「デジタルガバナンスコード」に準拠しているといった説明を受けるが、準拠していれば情報漏えいが⽣じないわけではないことは理解している。
  • サイバーセキュリティの世界は、⼈権デューデリジェンスに近い捕捉の難しさがあると感じている。PDCAを通じたレベルアップを前提に、基準や取組事項をまとめた⾏動計画を普及させるべきではないか。

③ サイバーセキュリティに関して⾒る内容(M&Aにおけるデューデリジェンス)

  • サイバーセキュリティ対策状況を評価する際に、かけている費⽤よりは、構築している体制や管理状況を主に評価する。費⽤だけでの判断は難しく、多額の費⽤を投じていることもない。買収先の社内環境をそのまま繋げて問題ないかどうかの視点で⾒る。
  • M&AにおけるIT関連のデューデリジェンスはほとんどの企業を対象に実施している。サイバーセキュリティを対象とすることはまだ少ないが、以前に⽐べると増えている。
  • M&Aにおいて、買収対象企業のIT管理体制、委託関係、運⽤・監査等の規定整備状況等を確認する。この中にサイバーセキュリティ対策状況も含まれる。場合により、サイバーセキュリティを重点的に確認してほしいと依頼されることもある。
  • M&Aにおけるデューデリジェンスのプロセスにおいて、サイバーセキュリティを早期の段階から細かく調査することはない。買収が決まったところで改めてアセスメントするのが普通である。
  • セキュリティ対策に問題があったことで買収が不成⽴になった事例は国内では聞いたことがない。ただし海外では個⼈情報の管理に問題があると指摘され、損害賠償に⾄ったケースはある。今後は国内でも損害賠償の事例が⽣じる可能性はある。
  • 企業に対して情報提供を求める際、拒絶されることはないが、結果的に出てこないことはある。その結果、リスクとして検討すべきことが残留することになり、その旨を依頼元に報告する。

④ 企業をサイバーセキュリティの観点で評価する際に参考にしているガイドライン等

  • ISO26000(組織の社会的責任)をもとに対応状況を把握している。
  • 企業のサイバーセキュリティ対策の評価には、経営ガイドラインを利⽤している。網羅的にまとまっていることを評価している。経済産業省が作成したという点でも通りが良い。可視化ツールについては認知はしていたが使ったことはなかった。
  • BtoCの⼩売業などの場合は個⼈情報管理について気にすることが多い。この場合は個⼈情報保護委員会のガイドラインなどをベースに確認する。
  • 経済産業省における取組を認識していなかった。DXを進めていく上での落とし⽳などは経済産業省などで⼿引きとして⽰してもらえるとよいと思う。
  • ステークホルダー保護の観点から、公的機関が最低限やるべきレベルを⽰してもらえるとよい。

⑤ 企業をサイバーセキュリティの観点で評価する際の課題

  • サイバーセキュリティに関する認識と取組は⽇本全体で遅れていると認識しており、それは機関投資家においても同様である。その結果、資⾦の集まり⽅も鈍いのではないか。
  • サイバーセキュリティ対策に携わる⼈材が圧倒的に不⾜しており、⼈材の認知と⽀援プログラムを整備すべきではないか。

⑥ 経済産業省による機関投資家への普及啓発の⽅法について

  • 証券会社が開催するセミナーには多くの投資関係者が参加する。そこでサイバーセキュリティ経営や可視化について紹介すれば認知度が⾼まるのではないか。
  • 機関投資家は証券会社のウェビナーを⾒るので、そこで経済産業省が取組を紹介してはどうか。
  • 投資家の横の繋がりは弱い。個⼈単位で業界コミュニティ(投資家フォーラム、投信協会等)に参加する⼈はいる。

 

 

・2022.08.26 [PDF] 令和3年度中⼩企業サイバーセキュリティ対策促進事業(地域SECUNITY形成促進事業)調査報告書


20220830-45800

 

目次...

1.事業⽬的、実施内容等
2.地域におけるサイバーセキュリティコミュニティの調査、プラクティス集の拡充
3.各地域に駆けつけ可能な講師派遣制度等の問い合わせリストの拡充
4.各地域におけるセキュリティコミュニティリストの作成
5.まとめ

 

20220830-50019

 


参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

 

 

 

| | Comments (0)

2022.08.29

中国「 2022年サイバーセキュリティ年次総会」と「サイバー文明会議」

こんにちは、丸山満彦です。

中国で、2022.08.16に「2022年サイバーセキュリティ年次総会」が、2022.08.28,29に「2022年中国ネットワーク文明会議」が開催されていましたね。。。

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

サイバーセキュリティ年次総会。。。

・2022.08.26 2022年中国网络安全年会召开

2022年中国网络安全年会召开 中国サイバーセキュリティ年次総会2022を開催
8月16日,主题为“共建数字信息基础设施安全屏障”的2022年中国网络安全年会以线上形式召开。国家计算机网络应急技术处理协调中心主要负责同志致欢迎辞并作主旨发言。中央网信办网络安全协调局主要负责同志,工业和信息化部网络安全管理局、公安部网络安全保卫局负责同志致辞。相关专家院士以及多位企业代表分别作主旨报告。 8月16日、「デジタル情報基盤のセキュリティバリアの構築」をテーマとした「2022中国サイバーセキュリティ年次会議」がオンライン形式で開催された。 全国コンピュータネットワーク緊急対応技術調整センターの主管同志が歓迎の挨拶と基調講演を行った。 中央インターネット情報局ネットワークセキュリティ調整局、工業情報化部ネットワークセキュリティ管理局、公安部ネットワークセキュリティ局の主管同志がスピーチを行った。 関係する専門家や学識経験者、多くの企業代表者が基調報告を行った。
今年,大会设置了“新常态下的网络安全运营”“筑牢数字基建新防线 赋能网空安全新未来”“供应链网空安全”“推动数据安全合规管理 防范数据安全深度风险”“新数算格局下的基础设施大运营”“数字技术筑建原生云防护”等6个主题分论坛。 今年は、「ニューノーマルにおけるネットワークセキュリティ運用」、「デジタルインフラの新しい防衛ラインの構築とネットワークと宇宙セキュリティの新しい未来の強化」、「サプライチェーンのネットワークと宇宙セキュリティ」、「データセキュリティのコンプライアンス管理と予防の促進」を設定した。 「データセキュリティコンプライアンス経営の推進 深いデータセキュリティリスクを防ぐ」、「新しいデジタルコンピューティング環境におけるインフラ運用」、「デジタル技術によるネイティブクラウド保護」など6つのテーマ別セッションを開催。 今年の「中国サイバーセキュリティ年次総会」は、中国国務院が主催している。
本届中国网络安全年会由国家互联网信息办公室指导,国家计算机网络应急技术处理协调中心(CNCERT/CC)主办,12家网络安全企业联合主办,新华网、中国通信学会协办。 毎年開催される中国ネットワークセキュリティ会議は、国家インターネット情報局が指導し、国家コンピュータネットワーク緊急対応技術調整センター(CNCERT/CC)が主催し、ネットワークセキュリティ企業12社が共催し、新華社と中国通信協会が共催している。
一年一度的中国网络安全年会已成为国内网络安全领域的重要会议,成为国内网络安全“产、学、研、用”各界进行技术业务交流的桥梁和纽带,对于提高我国网络安全保障水平、增强全社会网络安全意识起到积极作用。 毎年開催される中国サイバーセキュリティ会議は、国内のサイバーセキュリティ分野における重要な会議であり、国内のサイバーセキュリティ「産・学・研・応用」の各分野における技術・ビジネス交流の橋渡し・つなぎ役となっており、中国のサイバーセキュリティレベルの向上と社会全体のサイバーセキュリティに対する意識向上に積極的に貢献している。

 

 

サイバー文明会議...

・2022.08.28 2022年中国网络文明大会主论坛在天津举行

2022年中国网络文明大会主论坛在天津举行 中国サイバー文明会議2022メインフォーラムを天津で開催
8月28日下午,2022年中国网络文明大会主论坛在天津举行。中共天津市委书记李鸿忠出席主论坛。中央宣传部分管日常工作的副部长李书磊,中央宣传部副部长、中央网信办主任、国家网信办主任庄荣文,教育部党组书记、部长怀进鹏在主论坛发表主旨演讲。 2022年中国ネットワーク文明会議のメインフォーラムが28日午後、天津で開催された。 メインフォーラムには、中国共産党天津市委員会書記の李鴻章氏が出席した。 メインフォーラムでは、中央宣伝部副部長で日常業務を担当する李秀麗氏、中央宣伝部副部長で中央インターネット情報弁公室主任・国家インターネット情報弁公室主任の荘栄文氏、党群書記で教育部部長の淮金鵬氏が基調講演を行った。
李书磊指出,党的十八大以来,在习近平总书记高度重视和亲自推动下,我国网络文明建设取得巨大进步和显著成就。当前网络技术发展日新月异,对宣传思想工作和精神文明建设提出更高要求、带来更多挑战。要坚持思想引领与实践养成相结合,始终高举思想旗帜,多层次多角度学习宣传党的创新理论,持续创新话语体系、表现形式、组织方式,引导网民深刻感悟习近平新时代中国特色社会主义思想的真理力量和实践伟力,增强拥护“两个确立”、做到“两个维护”的思想自觉和行动自觉。坚持多方共建与全民共享相统一,发挥各级党委政府、职能部门、网络平台、社会组织作用,将网络文明建设作为丰富提升人民精神生活的重要载体和有效途径,不断增进网民在文化权益保障、文化产品共享、文化与学术交流上的共同福祉。坚持创新发展与守正治理相协同,积极运用新技术新业态,依法依规加强网络空间治理,推动网络综合治理体系和治理能力现代化,为广大网民特别是青少年营造良好网络生态。坚持网上延伸与网下覆盖相融合,在文明理念网络传播、文明典范网络宣介上下功夫,在文明创建网络赋能、文明实践网络延伸上求实效,做到网上网下交相辉映、相得益彰,让社会主流思想价值充盈网络空间。 李秀麗は、第18回党大会以降、習近平総書記の大きな重視と個人的な推進のもと、中国はネットワーク文明の建設で大きな前進と顕著な成果を収めたと指摘した。 現在、ネットワーク技術の急速な発展は、宣伝と思想活動、精神文明の建設に、より高い要求を提起し、より多くの課題をもたらしている。 われわれは思想指導と実践的育成の結合を主張し、常に思想の旗を高く掲げ、党の革新理論を多段階、多角的に研究、公表し、言論体系、表現形式、組織方法を引き続き革新し、ネットユーザーが習近平の新時代の中国の特色ある社会主義思想の真理力と実践的偉大さを深く理解し、「二つの確立」「二つの保障」に対する支持力を高められるよう指導するべきだ。 また、「2つの基盤」と「2つのセーフガード」の整備を進めている。多党建設と普遍的共有の統一を主張し、各レベルの党委員会と政府、機能部門、ネットワークプラットフォーム、社会組織の役割を果たし、ネット文明の建設を人々の精神生活を豊かにし高める重要な担い手と有効な手段とし、文化権益の保護、文化製品の共有、文化学術交流においてネットユーザーの共同福祉を絶えず向上させている。 革新的な発展と正しいガバナンスの相乗効果を主張し、新技術と新しいビジネスモデルを積極的に利用し、法に基づきサイバースペースのガバナンスを強化し、総合的なネットワークガバナンスシステムとガバナンス能力の現代化を促進し、大多数のインターネットユーザー、特に若者にとって良いネットワークエコロジーを創造する。 オンラインの拡張とオフラインのカバーの統合を主張し、オンラインでの文明概念の普及とオンラインでの文明モデルの普及に取り組み、文明ネットワーク力の創造とオンラインでの文明実践の拡張に有効な成果を求め、オンラインとオフラインを相互に補完し、主流の社会思想価値をサイバースペースに充満させるようにする。
庄荣文指出,举办中国网络文明大会,是以习近平同志为核心的党中央着眼党和国家事业发展全局,围绕加强新时代社会主义精神文明建设作出的一项重要部署。本届大会以“弘扬时代新风 建设网络文明”为主题,要在网上唱响主旋律、树立新风尚,激励亿万网民在新时代新征程踔厉奋发、勇毅前行、团结奋斗,以实际行动迎接党的二十大胜利召开。要坚持思想引领,把握网络文明新航向,始终以习近平新时代中国特色社会主义思想统领网络文明建设,在网络空间汇聚起团结奋进的磅礴力量。要坚持固本培元,培育网络文明新风尚,加强社会主义核心价值观网上宣传教育,将网络空间打造成涵育文化素养、陶冶高尚情操的精神家园。要坚持激浊扬清,塑造网络文明新生态,把综合治理作为重要方法手段,统筹推进依法治理、源头治理、系统治理。要坚持日常实践,激发网络文明新活力,推进群众性精神文明创建活动向网上延伸,为网络文明建设注入不竭动力。要坚持汇聚合力,构建网络文明新格局,健全完善工作机制,鼓励支持互联网企业、网络社会组织、广大网民特别是青少年网民参与网络文明建设,形成齐心协力、共同参与的良好格局。 荘栄文氏は、中国ネットワーク文明会議の開催は、習近平同志を核心とする党中央委員会が、党と国家の全面的発展を重視し、新時代の社会主義精神文明の建設を強化するために行った重要な展開であると指摘した。 今回の大会のテーマは「時代の新しいスタイルを貫き、ネットワーク文明を建設する」で、主旋律を歌い、ネットの新しいスタイルを確立し、数億人のネットユーザーを刺激し、新時代の新しい旅に秀で、勇気と団結で前進し、実践行動で第20回党大会の勝利を迎えようとするものである。我々は思想的指導を堅持し、ネットワーク文明の新しい方向を把握し、常に習近平の中国の特色ある新時代の社会主義思想を用いてネットワーク文明の建設をリードし、サイバースペースの統一と進歩の雄大な力を集結させるべきである。 私たちは根を堅持し、要素を育成し、新しいスタイルのネット文明を開拓し、社会主義核心価値観のネット広報と教育を強化し、サイバースペースを文化リテラシーを育み、高貴な情操を養う精神の故郷にしなければなりません。 泥をかき回し、透明性を高め、ネットワーク文明の新しい生態を形成し、総合的なガバナンスを重要な方法と手段とし、法的ガバナンス、源泉ガバナンス、体系的ガバナンスの推進を調整することを堅持することが必要である。 日々の実践を堅持し、ネットワーク文明の新たな活力を刺激し、大衆精神文明創造活動のインターネットへの拡張を推進し、ネットワーク文明建設のための無尽蔵の勢いを注入すること。 力の収束に付着するには、ネットワーク文明の新しいパターンを構築し、改善し、仕事の仕組みを完成させる、奨励し、インターネット企業、ネットワーク社会組織、インターネットユーザーの大半は、特に若いインターネットユーザーがネットワーク文明の建設に参加し、協調的努力の形成、共通の参加の良いパターンをサポートする。
怀进鹏指出,广大师生是网络空间的主力军,是网络文明的建设者、创新者、维护者。在网络文明建设中,教育系统肩负着重要的使命责任,发挥着不可替代的独特作用。近年来,教育系统充分用好数字变革红利,统筹推进网络文明建设和教育高质量发展,旗帜鲜明用科学理论、先进文化、主流价值筑牢网络阵地,守正创新引领广大师生放声唱响时代主旋律,千方百计营造清朗网络空间,为学生健康成长保驾护航。当前在校学生是与网络“共生”的一代,网络是他们学习生活的重要空间。教育系统将把网络文明建设摆在更加突出位置,汇聚全网之合力,坚持不懈以习近平新时代中国特色社会主义思想铸魂育人,针对网络时代的学生特征,加强研究阐释,深化理论武装,引导广大师生永远听党话、跟党走。倍增专网之能级,全力以赴推进教育数字化转型,全面实施国家教育数字化战略行动,进一步提升国家智慧教育平台的品牌效应、服务能力和社会影响力,有效推动优质教育资源共享和终身学习。厚植兴网之根基,持之以恒增强教育系统网络综合治理能力和水平,加强网络素养教育,深化教育评价改革,培养学科专业人才,建设和谐网络语言生活。 Huai Jinpeng氏は、大多数の教師と学生がサイバースペースの主役であり、サイバー文明の建設者、革新者、維持者であると指摘した。 ネットワーク文明の構築において、教育制度は重要な使命と責任を担い、かけがえのない独自の役割を担っている。 近年、教育システムはデジタル変化の配当を十分に利用し、ネットワーク文明の建設と教育の質の高い発展を調整し、科学理論、先進文化、主流の価値観の使用を旗印に、強固なネットワークの地位を築き、正義と革新を保ち、大多数の教師と生徒を率いて時代のメインテーマを歌い、明確なサイバースペースを作り、生徒の健全な育成を全力で保護することに成功した。 今の小学生世代はインターネットと「共生」しており、インターネットは彼らにとって重要な学習・生活空間となっている。 教育制度は、ネットワーク文明の建設をより重要な位置に置き、ネットワーク全体の総力を結集し、新時代の中国の特色ある社会主義という習近平の思想で粘り強く魂を鍛え、教育し、ネットワーク時代の学生の特徴に合わせた研究・解釈を強化し、理論武装を深め、大多数の教師と学生が常に党に聞き、党に従うよう指導していく。 これにより、全国スマート教育プラットフォームのブランド効果、サービス能力、社会的影響力をさらに高め、質の高い教育資源の共有と生涯学習を効果的に推進することができる。 また、インターネットの基盤を強化し、教育システムにおける総合的なネットワークガバナンスの能力とレベルを粘り強く高め、ネットワークリテラシーの教育を強化し、教育評価改革を深め、教科の専門性を養い、調和のとれたオンライン言語生活を構築していく。
主论坛上,十三届全国政协民族和宗教委员会委员、中国互联网发展基金会理事长王秀军以及中央重点新闻网站、知名专家学者、互联网企业代表发表主题演讲。 メインフォーラムでは、中国人民政治協商会議(CPPCC)第13期全国民族・宗教委員会委員で中国インターネット発展基金会会長の王秀軍氏をはじめ、中央の主要ニュースサイト、著名な専門家や学者、インターネット企業の代表が基調講演を行った。
王秀军表示,党的十八大以来,网信事业蓬勃发展,中国互联网发展基金会会同其他网络社会组织,主动参与网络文明建设,取得积极成效。网络社会组织应高举习近平新时代中国特色社会主义思想旗帜,践行“让互联网发展成果惠及亿万人民群众”,要坚持政治引领,服务网络文明建设大局。要打造活动品牌,贡献网络文明建设成果。要发挥自身优势,创新网络文明建设模式。要拓展国际合作,促进网络文明交流互鉴,谱写网络文明建设新篇章。 王秀軍氏は、第18回党全国代表大会以来、インターネット情報の大義が盛んになり、中国インターネット発展基金会は、他のインターネット社会組織とともに、率先してインターネット文明の建設に参加し、積極的な成果を収めたと述べた。 インターネット社会組織は、習近平の新時代の中国の特色ある社会主義思想の旗印を高く掲げ、「インターネット発展の成果を数億人に利益させる」ことを実践し、政治指導を堅持してインターネット文明建設の総局に仕えるべきである。 活動のブランドを創造し、ネットワーク文明の構築に貢献すること。 私たちは、自らの長所を十分に発揮し、ネットワーク文明の構築方式を革新していかなければならない。 国際協力を拡大し、ネットワーク文明の交流と相互理解を促進し、ネットワーク文明の建設に新たな一章を記すこと。
中共天津市委副书记、市长张工,国家市场监督管理总局党组成员、副局长秦宜智,中国关工委常务副主任胡振民等出席主论坛。中央网信办副主任、国家网信办副主任盛荣华主持主论坛。中央网信办副主任、国家网信办副主任牛一兵,中央网信委委员单位、中央文明委成员单位负责同志,人民日报、新华社负责同志,中央重点新闻网站负责同志,各省(区、市)网信办、文明办主要负责同志,网络社会组织和互联网企业负责人、专家学者代表等在主会场参会。此外,大会还在各省(区、市)设立了线上分会场,各地网信委委员单位和文明委成员单位代表在线上分会场参会。 メインフォーラムには、中国共産党天津市委員会副書記で市長の張公氏、党群メンバーで国家市場監督管理総局副局長の秦益芝氏、中国関公委員会執行副局長の胡振民氏が出席した。 中央インターネット情報局副局長兼国家インターネット情報局副局長のSheng Ronghuaがメインフォーラムの司会を務めました。 中央インターネット情報弁公室副主任・国家インターネット情報弁公室副主任の牛逸兵氏、中央インターネット情報委員会委員の担当同志、中央文明委員会の委員、人民日報・新華社の担当同志、中央重点ニュースサイトの担当同志、省(地域・市)インターネット情報弁公室・文明局の担当同志、ネットワーク社会組織とインターネット企業の責任者、専門家と学者がメイン会場に出席した。 また、同会議は各省(自治区、市)にもオンラインサブコートを設置し、現地のインターネット情報委員会委員と文明委員会の委員の代表がオンラインサブコートに参加した。
主论坛上发布了《共建网络文明天津宣言》。2022年中国网络文明大会由中央网信办、中央文明办、中共天津市委和天津市人民政府共同主办,由中国网络社会组织联合会和天津市委网信办共同承办。大会期间将举办网络诚信建设高峰论坛、10场分论坛、新时代中国网络文明建设成果展示和网络文明主题活动。 メインフォーラムでは、「ネットワーク文明建設に関する天津宣言」が発表された。 2022中国ネットワーク文明会議は、中央インターネット情報弁公室、中央文明弁公室、中国共産党天津市委員会、天津市人民政府が共催し、中国ネットワーク社会団体連合会と天津市党委員会のインターネット情報弁公室が共同主催している。会議期間中は、ネットワーク整合性構築に関するサミットフォーラム、10のサブフォーラム、新時代の中国ネットワーク文明構築の成果展示、ネットワーク文明のテーマ別活動などが行われる予定である。

 

・2022.08.23 2022年中国网络文明大会将于8月28日至29日在天津举办

2022年中国网络文明大会将于8月28日至29日在天津举办 2022年中国ネットワーク文明会議、8月28日〜29日に天津で開催決定
8月23日下午,2022年中国网络文明大会新闻发布会在京举行,宣布大会将于8月28日至29日在国家会展中心(天津)举办。本届大会的主题为“弘扬时代新风 建设网络文明”。中央网信办副主任、国家网信办副主任盛荣华,天津市委常委、宣传部部长沈蕾出席发布会,介绍大会有关情况,并回答记者提问。 23日午後、北京で2022年中国ネットワーク文明会議の記者会見が開かれ、8月28日から29日にかけて国家会議展覧センター(天津)で開催されることが発表された。 今回のテーマは「時代の新風を推進し、ネットワーク文明を構築する」である。 中央インターネット情報弁公室副主任兼国家インターネット情報弁公室副主任の盛栄華氏と、天津市委員会常務委員兼宣伝部部長の沈雷氏が出席し、状況を紹介するとともに記者からの質問に答えた。
盛荣华指出,党的十八大以来,以习近平同志为核心的党中央高度重视网络文明建设,把网络文明作为社会主义精神文明建设和网络强国建设的重要内容,引领和推动网络文明建设取得显著成效。习近平总书记对办好中国网络文明大会高度重视,去年亲自向首届大会致贺信,为我们做好新时代网络文明建设指明了前进方向、提供了根本遵循。 盛栄華は、第18回党大会以降、習近平同志を核心とする党中央委員会がネットワーク文明の建設を重視し、ネットワーク文明を社会主義精神文明の建設と強力なネットワークの建設の重要な要素として、ネットワーク文明の建設を主導、推進し、著しい成果を上げていると指摘した。 習近平総書記は中国ネットワーク文明会議の運営を非常に重視しており、昨年の第1回会議には自ら祝電を送り、新時代のネットワーク文明の建設に良い仕事をするための道筋を示し、基本指針を示した。
盛荣华表示,在全党全国喜迎党的二十大胜利召开之际,举办本次中国网络文明大会,具有特殊重要意义。中央网信办将会同其他主办单位坚持“精细、精准、精致”工作标准,进一步创新办会理念、提升办会水平,着力增强大会实效性、影响力,努力打造一届热烈、精彩、节俭、安全的网络盛会。 盛栄華は、全党と全国が第20回党大会の勝利を迎える時期に、今回の中国ネットワーク文明会議を開催することは特別に重要であると述べた。 中央インターネット情報局は、他の主催者と協力し、「精緻、正確、絶妙」の作業基準を堅持し、会議開催のコンセプトをさらに革新し、会議のレベルを向上させ、会議の効果と影響を高め、暖かく、素晴らしく、質素で安全なネットワークイベントの実現に努力する。
沈蕾介绍,天津将充分借鉴首届中国网络文明大会的好经验好做法,精益求精、扎实高效做好会务组织、嘉宾接待、安全保卫、疫情防控等大会筹备保障工作,注重细节打磨,体现天津元素,力争做到有声有色、出新出彩,为绘就网络文明美好画卷增添天津亮色。天津将广泛吸收大会成果,坚持建设与管理并重,继续抓实抓细全社会网络素养培育、网络空间生态治理等重点工作,推动网络文明建设实现更大跃升。 シェンレイは、天津が完全に良い経験と良い慣行の最初の中国ネットワーク文明会議から学び、改善、固体、効率的に会議の組織、ゲストの受付、セキュリティ、防疫と制御および他の準備作業を行うには、総会を守るために、天津の要素を反映して、研磨の詳細に注意を払い、ネットワーク文明の良い絵を描くために、音、新しい、カラフルな達成しようとする天津明るい色追加されます。 天津市は、広く総会の成果を吸収し、建設と管理を等しく重視し、社会全体のネットワークリテラシーの育成、サイバースペース生態ガバナンスなどの重要な作業の詳細を把握し続け、ネットワーク文明の建設を推進し、より大きな飛躍を達成する。
据悉,本届大会由中央网信办、中央文明办、中共天津市委和天津市人民政府共同主办,由中国网络社会组织联合会和天津市委网信办共同承办。大会包括开幕式及主论坛、网络诚信建设高峰论坛、10场分论坛、新时代中国网络文明建设成果展示和网络文明主题活动。主论坛将邀请主管部门负责同志、网络社会组织和互联网企业负责人、专家学者和网络名人等参会,会上还将发布《共建网络文明天津宣言》。网络诚信建设高峰论坛将发布2021年度中国网络诚信十件大事、《中国网络诚信发展报告2022》和网络文明主题歌曲等。分论坛将围绕网络内容建设、网络生态建设、网络法治建设、网络文明社会共建、算法治理、网络谣言治理、网络文明国际交流互鉴、数字公益慈善、网络素养教育和个人信息保护等十个方面进行研讨交流,并将发布一系列网络文明建设成果。新时代中国网络文明建设成果展示将从党和国家推进网络文明建设、各地开展网络文明创建、互联网企业助力网络文明发展等维度,以线上线下相结合方式,集中展示党的十八大以来我国网络文明建设的发展历程和丰硕成果。 今回の会議は、中央インターネット情報弁公室、中央文明弁公室、中共天津市委員会、天津市人民政府が共催し、中国ネットワーク社会団体連合会、天津市委員会インターネット情報弁公室が共催していると報告された。 会議には、開幕式とメインフォーラム、ネットワーク整合性建設サミットフォーラム、10のサブフォーラム、中国ネットワーク文明建設成果新時代のショーケース、ネットワーク文明テーマ活動などが含まれます。 主なフォーラムでは、主管部門の担当同志、ネットワーク社会組織とインターネット企業の責任者、専門家、学者、インターネット著名人を招待し、「ネットワーク文明の建設に関する天津宣言」を発表する予定である。 インターネット・インテグリティ・サミット・フォーラムでは、「2021年中国インターネット・インテグリティ十大イベント」「2022年中国インターネット・インテグリティ発展レポート」「インターネット文明テーマソング」を発表する予定である。 サブフォーラムでは、ネットワークコンテンツ建設、ネットワーク生態建設、ネットワーク法治建設、ネットワーク文明社会建設、アルゴリズムガバナンス、ネットワーク風評管理、ネットワーク文明の国際交流と相互評価、デジタル公共福祉慈善、ネットワーク識字教育、個人情報保護など10項目を取り上げ、一連のネットワーク文明建設実績を発表する予定である。 党と国家がネットワーク文明の建設を推進し、各地域のネットワーク文明の創造、インターネット企業がネットワーク文明の発展を助けるなど、新時代の中国のネットワーク文明の成果を紹介し、オンラインとオフラインの方法を組み合わせて、第18回党全国大会以降の中国のネットワーク文明の発展史と実りある成果を中心に展示する予定である。
会议期间,还将举办“网络文明之夜——海河城市交响音乐会”等具有天津特色的主题活动。大会将采取线上线下相结合方式,在其他省(区、市)设视频分会场。目前,大会各项筹备工作已基本就绪。 また、会期中には「ネットワーク文明の夜-海河市交響楽団コンサート」など、天津の特色を生かしたテーマ別の活動も行われる予定である。 会議では、オンラインとオフラインの方法を組み合わせて、他の省(自治区、市町村)ではビデオ小会議を設置する。現在、会議の準備作業は基本的に整っている。


あわせて、、、

・2022.08.27 瞭望·治国理政纪事丨努力把我国建设成为网络强国 (展望 - 統治の記 丨中国をサイバー大国にするために邁進する)

・2022.08.26 庄荣文以“坚定理想信念 牢记党的宗旨”为主题讲党课 (荘栄文は「理想と信念を堅持し、党の目的を忘れない」というテーマで党員講演を行った)

 

1_20210612030101

 

 

 

| | Comments (0)

2022.08.28

個人情報保護委員会 EDPB「ソーシャルメディア・ユーザーのターゲティング」及び「コネクテッドビークル及びモビリティ関連アプリ」に関するガイドラインの仮訳

こんにちは、丸山満彦です。

個人情報保護委員会が、EDPB「ソーシャルメディア・ユーザーのターゲティング」及び「コネクテッドビークル及びモビリティ関連アプリ」に関するガイドラインの仮訳を公表していますね。。。

個人情報保護委員会では、多くの海外の法律、ガイドライン等を仮訳しているので、助かりますね。。。

 

個人情報保護委員会

・2022.08.24 EDPB「ソーシャルメディア・ユーザーのターゲティング」及び「コネクテッドビークル及びモビリティ関連アプリ」に関するガイドラインの仮訳を作成しました。

  Duropean Data Protection Board   Edpb_20220828061901 個人情報保護委員会 Ppc
2021.04.13 Guidelines 8/2020 on the targeting of social media users - Version 2.0 Web 20220828-60618 ソーシャルメディア・ユーザーのターゲティングに関するガイドラ
イン08/2020 - バージョン 2. 0
20220828-60604
2021.03.09 Guidelines 01/2020 on processing personal data in the context of
connected vehicles and mobility related applications - Version 2.0
Web 20220828-60636 コネクテッドビークル及びモビリティ関連アプリケーションにお
ける個人データの取扱いに関する
ガイドライン01/2020 - バージョン 2. 0
20220828-60627

 

  

 

 

 

 

 

 

 

| | Comments (0)

2022.08.27

米国 サイバー司令部:米サイバー軍とNSAは中間選挙をどう守るか。一つのチーム、一つの戦い

こんにちは、丸山満彦です。

アメリカの中間選挙まで、あと70日少しとなっていますね。。。上院の半数と下院の全員が選挙で戦うことになりますね。。。

記録的なインフレのためか、バイデン大統領の支持率は30%台というメディア報道もあったりと、人気はいまひとつのようです。ホワイトハウスの報道発表でも、インフレ対策の発表がこのところ数多くありますね。。。

選挙戦が接戦となってくると、他国等による選挙介入の影響が無視できなくなるのかもしれません。。。

 

選挙基盤は重要インフラで、ISACがありますね。。。

ELECTIONS INFRASTRUCTURE ISAC


そして、NIST文書も...(ドラフトですが、、、)

・2021.03.29 NISTIR 8310 (Draft) Cybersecurity Framework Election Infrastructure Profile

もちろん、サイバー空間を利用した活動もあるでしょうが、従来からの手法についても引き続き、注意を払わないといけないのでしょうね。。。

 

U.S. Cyber Command

・2022.08.25 How U.S. Cyber Command, NSA are defending midterms elections: One team, one fight

How U.S. Cyber Command, NSA are defending midterms elections: One team, one fight 米サイバー軍とNSAは中間選挙をどう守るか。一つのチーム、一つの戦い
With 75 days until the midterm elections, the Dept. of Defense is fully engaged to defend the U.S. electoral system from foreign interference and foreign influence alongside interagency partners. 中間選挙まで75日となり、国防総省は省庁間パートナーとともに、外国の干渉や影響から米国の選挙制度を守るために全面的に取り組んでいる。
"This is an enduring, no-fail mission for U.S. Cyber Command and the National Security Agency, who bring unique insights and actions to the whole-of-government effort," said U.S. Army Gen. Paul M. Nakasone, Commander of USCYBERCOM and Director of NSA/Chief, Central Security Service. 「これは、政府全体の取り組みに独自の洞察力と行動をもたらす米サイバー軍と国家安全保障局にとって、永続的で失敗のない任務である」と、USCYBERCOM司令官兼NSA長官/中央警備局長のポール・M・ナカソネ米陸軍元帥は述べている。
"Together, we bring speed and unity of effort against any foreign adversary who might seek to undermine our democratic institutions." 「私たちは共に、民主主義制度を弱体化させようとするいかなる外国の敵に対しても、迅速かつ団結した取り組みを行うことができる」と述べている。
The joint USCYBERCOM-NSA Election Security Group, stood up again in early 2022, aligns both organizations' efforts to disrupt, deter, and degrade foreign adversaries' ability to interfere with and influence how U.S. citizens vote and how those votes are counted. 2022年初頭に再び立ち上がったUSCYBERCOMとNSAの合同選挙セキュリティグループは、米国民の投票方法やその集計方法を妨害し影響を及ぼす外国の敵対者の能力を破壊、抑止、低下させるための両組織の取り組みを連携させるものである。
The group spearheads the Dept. of Defense's efforts, and is co-led by U.S. Air Force Brig. Gen. Victor Macias, USCYBERCOM's co-lead and Deputy Commander of Cyber National Mission Force, and Ms. Anna Horrigan, NSA's Senior Executive and Election Security co-Lead. このグループは、国防総省の取り組みを先導し、USCYBERCOMの共同リーダーでサイバー国家任務部隊の副司令官である米空軍のビクター・マシアス准将と、NSAの上級幹部で選挙セキュリティ共同リーダーのアナ・ホリガン女史が共同リーダーを務めている。
"The ESG team is comprised of some of the best and brightest in this field," said Horrigan. "We are building on previous successes, while also maximizing our strong relationships and synchronizing often - enabling the U.S. to respond rapidly to election threats." ホリガン氏は、次のように述べている。「ESGチームは、この分野で最も優秀な人材で構成されている。我々は、これまでの成功に加え、強力な関係を最大限に活用し、頻繁に同期することで、米国が選挙の脅威に迅速に対応できるようにしている」。
The ESG's primary objectives are to generate insights on foreign adversaries who may interfere with or influence elections, bolster domestic defense by sharing information with interagency, industry, and allied partners, and impose costs on foreign actors who seek to undermine democratic processes. ESGの主な目的は、選挙を妨害したり影響を及ぼす可能性のある外国の敵対者について洞察を深め、省庁間、産業界、同盟国のパートナーと情報を共有して国内の防衛を強化し、民主的プロセスを損なおうとする外国の行為者にコストをかけることである。
As in in previous election cycles, USCYBERCOM and NSA are closely partnered across the government and industry, and are one critical component of a whole-of-government effort. The group directly supports partners like the Dept. of Homeland Security and the Federal Bureau of Investigation collecting, declassifying, and sharing vital information about foreign adversaries to enable domestic efforts in election security. 以前の選挙サイクルと同様に、USCYBERCOM と NSA は政府や産業界と密接に連携しており、政府全体の取り組みの重要な構成要素の一つとなっている。このグループは、国土安全保障省や連邦捜査局などのパートナーを直接支援し、選挙セキュリティにおける国内の取り組みを可能にするために、外国の敵に関する重要な情報の収集、機密解除、共有を行っている。
However, the ESG plays a unique role in combatting and disrupting adversary activity in this space-NSA's unique foreign intelligence collection and technical expertise can provide insight into adversary plans and cyber tradecraft, while USCYBERCOM's full-spectrum cyber operations can defend and disrupt malicious cyber actors. しかし、ESG はこの領域で敵の活動を阻止し、混乱させるというユニークな役割を担っている。NSA のユニークな対外情報収集と技術的専門知識は、敵の計画とサイバー技術に関する洞察を提供し、USCYBERCOM の全領域にわたるサイバー作戦は悪質なサイバー行為者を防御し混乱させることが可能である。
"The biggest success of the last two election cycles wasn't just the defense of our democratic processes from foreign influence and interference," said Macias. "It is also the organizational focus on this enduring mission, the partnerships created and the people who come to work every day to defend our Nation's elections from foreign adversaries." マシアス氏は、次のよう述べている。「過去2回の選挙サイクルの最大の成功は、外国の影響や干渉から民主的プロセスを防衛したことだけではない。この永続的な使命に組織的に集中し、パートナーシップを築き、外国の敵から我が国の選挙を守るために毎日働いている人々もである。」
For example, if the ESG sees a cyberattack occurring in foreign space, it could communicate that information to domestic agencies to mitigate the issue, and use its offensive cyber authorities to disrupt and degrade that foreign cyber actor's operations. 例えば、ESGが外国空間で発生しているサイバー攻撃を発見した場合、その情報を国内機関に伝達して問題を軽減し、攻撃的なサイバー権限を使用してその外国のサイバー行為者の活動を中断し、劣化させることができる。
Election security was deemed a critical infrastructure component in 2017 by DHS. 選挙セキュリティは、2017年にDHSによって重要インフラ要素とされた。
The U.S. government is actively defending against foreign interference and influence operations in U.S. elections, specifically by focusing on how adversaries seek to undermine U.S. interests and prosperity, the will to vote of the populace, as well as their belief in the sanctity and security of their elections. 米国政府は、米国の選挙における外国からの干渉や影響力の行使に対して積極的に防御を行っており、特に敵対者が米国の利益と繁栄、民衆の投票意思、そして選挙の神聖さと安全性に対する信念をいかに損なわせようとしているかに着目している。
According to the Office of Director of National Intelligence, Russia, China, Iran and other foreign malicious actors may seek to interfere in U.S. voting processes and influence voter perception. Such foreign activity can threaten to undermine fundamental principles of U.S. democracy and influence U.S. public sentiment. 国家情報長官室によると、ロシア、中国、イラン、その他の外国の悪質な行為者は、米国の投票プロセスを妨害し、有権者の認識に影響を与えようとする可能性がある。このような外国の活動は、米国の民主主義の基本原則を損ない、米国の国民感情に影響を与える恐れがある。
"In the complex cyberspace domain we operate in, we have to consider both the adversary threat landscape-- and the scale of technological advancements," Macias said. "These adversaries use discrete cyber operations to achieve their strategic objectives, and operate below the threshold of armed conflict. It's our job to disrupt them." マシアス氏は、次のように述べている。「私たちが活動する複雑なサイバースペース領域では、敵対者の脅威の状況と技術の進歩の規模の両方を考慮しなければならない。これらの敵は、戦略的目標を達成するために個別のサイバー操作を使用し、武力紛争の閾値未満で動作している。彼らを混乱させるのが我々の仕事だ。」
Another key component of election defense is partnership- not just with interagency partners like DHS and FBI, but also with the private sector and U.S. allies and partners. 選挙防衛のもう一つの重要な要素は、DHSやFBIなどの省庁間パートナーだけでなく、民間企業や米国の同盟国、パートナーとのパートナーシップである。
Leveraging on past successes, the ESG has increased its whole-of-society engagement with industry to share threats and potential vulnerabilities.  ESGは過去の成功事例を生かし、脅威や潜在的な脆弱性を共有するために、産業界との社会全体の関わりを強めてきた。 
"Successful defense against threats to elections requires robust relationships that include information and intelligence exchanges across both public and private sectors," Horrigan said. "We can't just watch our adversaries- we have to do something about it, whether sharing timely information, or taking action against that actor. Our nation expects that of us." ホリガン氏は、次のように述べている。「選挙への脅威に対する防衛を成功させるには、官民両部門の情報と情報の交換を含む強固な関係が必要である。敵対者をただ見ているだけではだめで、タイムリーな情報を共有したり、その行為者に対して行動を起こしたりして、何かしなければならない。我が国はそれを期待している。」

 

Election

 


 

まるちゃんの情報セキュリティ気まぐれ日記

 

過去の大統領選を含む選挙、国民投票等への影響に関して...

・2020.08.22 米国上院の情報委員会が2016年大統領選におけるロシアの影響を調べた報告書(第5巻)を公開していますね。。。

・2020.07.25 英国議会 諜報及び安全保証委員会報告書 ロシア

・2020.07.17 英国政府はロシアが2019年の総選挙に違法に取得した政府文書を通じて妨害しようとしたと結論付けた

・2020.04.30 中国による2020年台湾大統領選挙への干渉についての分析 by Recorded Future

 

影響力行使について

・2022.08.26 スイス ETH Zürichsで公表されている最近のサイバー作戦、サイバー攻撃等、サイバー関連の最近の記事、論文

 

ISAC ISAO関係

・2020.10.08 米国のISACとISAO (根拠指令、取りまとめ団体、ISAO標準文書など)

 

NIST文書

・2021.03.30 NISTIR 8310 (Draft) サイバーセキュリティフレームワーク(CSF) 選挙インフラのプロファイル

 

全般...

・2022.08.26 スイス ETH Zürichsで公表されている最近のサイバー作戦、サイバー攻撃等、サイバー関連の最近の記事、論文

・2022.06.06 NATO CCDCOE 選挙干渉への対抗をテーマにしたイノベーションチャレンジ(52大学から56チームが参加)

・2022.04.06 第117回米国連邦議会におけるポール・M・ナカソネ米サイバー軍司令官の姿勢表明

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2022.03.03 笹川平和財団 「我が国のサイバー安全保障の確保」事業 政策提言 "外国からのディスインフォメーションに備えを! ~サイバー空間の情報操作の脅威~" (2022.02.07)

・2022.02.11 欧州議会 Think Tank 米国とロシアの関係:地政学的側面、安全保障的側面、経済的側面、人的側面

・2021.12.07 2021.12.09,10開催予定 Summit for Democracy 民主主義サミット + 中国的民主主義 + ロシアの批判 + EUの参加報告書+米国政府まとめ

・2021.06.04 欧州検査院 特別報告書 EUに影響を与える偽情報:対処しても対処しきれない

・2021.05.03 U.S. CISA 偽情報・誤情報の脅威とその対応方法についての(いかにもアメリカンな)漫画

・2021.03.30 NISTIR 8310 (Draft) サイバーセキュリティフレームワーク(CSF) 選挙インフラのプロファイル

・2021.03.10 防衛省 NIDS 防衛研究所 米大統領選後の安全保障の展望

・2020.12.01 防衛省 防衛研究所 米大統領選後の安全保障の展望 ASEAN, 中国, 南アジア

・2020.11.04 情報ネットワーク法学会 第20回研究大会

・2020.10.22 米国GAOのブログでDeepfakeが取り上げられていますね。。。

・2020.10.08 米国のISACとISAO (根拠指令、取りまとめ団体、ISAO標準文書など)

・2020.08.22 米国上院の情報委員会が2016年大統領選におけるロシアの影響を調べた報告書(第5巻)を公開していますね。。。

・2020.08.20 FBIロサンゼルスは、選挙の安全性と海外の悪質な影響力について市民を教育するための全国メッセージングキャンペーンに参加

・2020.07.25 英国議会 諜報及び安全保証委員会報告書 ロシア

・2020.07.17 英国政府はロシアが2019年の総選挙に違法に取得した政府文書を通じて妨害しようとしたと結論付けた

・2020.04.30 中国による2020年台湾大統領選挙への干渉についての分析 by Recorded Future

・2020.03.31 英国政府はCOVID-19に関する偽情報(misinformation)を取り締まるチームを設置したようですね。。。

・2020.03.16 アメリカ連邦選挙支援委員会(Election Assistance Commission)電子投票の仕様に関するガイドラインである任意的投票システムガイドライン(Voluntary Voting System Guideline = VVSG)バージョン2.0案

 

 

 

| | Comments (0)

笹川平和財団 台湾有事とハイブリッド戦争

こんにちは、丸山満彦です。

笹川平和財団が、「台湾有事とハイブリッド戦争」という記事を公表していますね。。。

私は、中国共産党軍が台湾に侵攻するかどうかはよくわかりません。その筋の専門家でもないし。。。ただ、それが起こった場合に、大きな影響があるのであれば、起こった場合に備えた対策はしておく必要があるでしょうね。。。BCP的な観点で。。。

さて、ハイブリッド戦ですが、利用できる手段は有効性・効率性の高い手段から利用するでしょうから、ハイブリッド戦という手段が有効性・効率性が高いと考えているのであれば、利用する可能性は高いので、その手段が利用された場合の備えは必要だろうと思います。

ただ、実際に他の手段と比較して、有効性・効率性が高いかどうかについての検討はしておいた方が良いと思います。ハイブリッド戦に気を取られすぎて、他の有効性・効率性の高い手段に対する対応を見逃してしまうと良くないので。。。

そういう意味では、昨日あげた私のブログの記事(スイス ETH Zürichsで公表されている最近のサイバー作戦、サイバー攻撃等、サイバー関連の最近の記事、論文)も合わせて読むとバランスが良いかもですね。。。

 

笹川平和財団 - 国際情報ネットワーク分析 IINA

・2022.08.24 台湾有事とハイブリッド戦争 by 大澤 淳 特別研究員

 

20220822142904613

出典:笹川平和財団 台湾有事とハイブリッド戦争 (https://www.spf.org/iina/articles/osawa_02.html)

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.26 スイス ETH Zürichsで公表されている最近のサイバー作戦、サイバー攻撃等、サイバー関連の最近の記事、論文

 

 

| | Comments (0)

日本商工会議所 中小企業におけるサイバー攻撃の実態と対処能力の向上について(中小企業向け動画解説)

こんにちは、丸山満彦です。

日本商工会議所が、大阪商工会議所経営情報センターの協力を得て、「中小企業におけるサイバー攻撃の実態と対処能力の向上」をテーマに、地域の中小企業・小規模事業者向けに分かりやすく解説する動画を制作し公開していますね。。。動画は約25分です。。。

対策については、IPAの「中小企業の情報セキュリティ対策ガイドライン」を参考にしていますね。。。

 

日本商工会議所

・2022.08.22 中小企業におけるサイバー攻撃の実態と対処能力の向上について(中小企業向け動画解説)

・ [youtube] 中小企業におけるサイバー攻撃の実態と対処能力の向上

20220827-04148

 


<主な内容>

1.中小企業におけるサイバー攻撃の実態と対策

 ○サイバー攻撃の「攻撃する側」と「攻撃される側」
 ○中小企業って狙われているの?
 ○サイバー攻撃の手法
 ○どんな中小企業に攻撃が?(実例)

2.中小企業におけるサイバー攻撃対策の実情

 ○「人」と「お金」

3.では、中小企業はどうすればいいの?

 ○中小企業のサイバー対策に必要な視点
 ○何から始めたらいいの?(経営者/情報システム担当者/一般社員)
 ○「商工会議所サイバーセキュリティお助け隊サービス」の導入


 

参考

IPA

中小企業の情報セキュリティ対策ガイドライン

セキュリティアクション

サイバーセキュリティお助け隊サービス制度

 

 

 

| | Comments (0)

2022.08.26

スイス ETH Zürichsで公表されている最近のサイバー作戦、サイバー攻撃等、サイバー関連の最近の記事、論文

こんにちは、丸山満彦です。

スイス連邦工科大学にある研究機関、ETH Zürich (wikipedia) の論文でサイバー関係(諜報や影響力行使等)の論文が最近いくつか紹介されていたので、参考。。。

 

ETH Zürich - Cyber Security Politics

Fig1_20220826151701

 

> Journal Article | European Journal of International Relations

・2022.08.16 Subversion, Cyber Operations, and Reverse Structural Power in World Politics

JEuropean Journal of International Relations ヨーロッパ国際関係学会誌
Subversion, Cyber Operations, and Reverse Structural Power in World Politics 世界政治における政権転覆、サイバー作戦、そして逆構造的パワー
The Russian-sponsored influence campaign targeting the 2016 US Presidential Elections highlighted a gap in theories of (cyber) power. In this European Journal of International Relations article, CSS’ Lennart Maschmeyer argues that this campaign demonstrated the importance of subversion, a, so far, undertheorized instrument of power. By integrating Intelligence scholarship and International Relations theory, Maschmeyer develops an innovative theory of subversion as reverse structural power. This theory helps explain two unresolved issues in cybersecurity: the capability–vulnerability paradox and the outsize role of non-state actors. 2016年の米国大統領選挙を標的としたロシア主催の影響力キャンペーンは、(サイバー)パワーの理論におけるギャップを浮き彫りにした。このEuropean Journal of International Relationsの論文で、CSSのLennart Maschmeyerは、このキャンペーンが、これまで十分に理論化されていなかったパワーの手段である政権転覆の重要性を実証したと論じている。マシュマイヤーは、インテリジェンス研究と国際関係論の統合により、政権転覆を逆構造的パワーとする革新的な理論を構築している。この理論は、サイバーセキュリティにおける2つの未解決の問題、すなわち、能力と脆弱性のパラドックスと非国家主体が果たす役割の大きさを説明するのに役立つ。
Abstract 概要
The Russian-sponsored influence campaign targeting the 2016 US Presidential Elections surprised policy-makers and scholars, highlighting a gap in theories of (cyber) power. Russia had used information technologies to project power, yet more subtly than prevailing militarized conceptions of cyber power predicted. Rather than causing damage and disruption, it turned sources of American power into vulnerabilities. Recent scholarship emphasizes this mechanism’s technological novelty. Instead, I argue this campaign demonstrated the importance of an undertheorized instrument of power: subversion. Integrating Intelligence scholarship and International Relations theory, this article develops an innovative theory of subversion as reverse structural power. Structural power shapes structures of interaction and the capacities of structural positions to the benefit of the holder of such power. Subversion reverses these benefits into harms. It exploits vulnerabilities in structures to secretly manipulate them, leveraging the capacities of structural positions to produce outcomes neither expected nor intended by the holders of structural power. Traditional subversion targets social structures, while cyber operations target sociotechnical structures: namely, Information Communications Technologies (ICTs) embedded in modern societies. The targeted structures differ, yet both rely on subversive techniques of exploitation that reverse structural power. Cyber operations are means of subversion. This theory helps explain two unresolved issues in cybersecurity: the capability–vulnerability paradox and the outsize role of non-state actors. Finally, I demonstrate the theory’s utility in a plausibility probe, examining the 2016 Election Interference Campaign. It shows this campaign did not use new “weapons,” but rather integrated traditional and sociotechnical means of subversion. 2016年の米国大統領選挙を標的としたロシア主催の影響力キャンペーンは、政策立案者や学者を驚かせ、(サイバー)パワーの理論におけるギャップを浮き彫りにした。ロシアは情報技術を利用してパワーを投射していたが、サイバーパワーに関する一般的な軍事的概念が予測したよりも微妙なものであった。ロシアは、損害や混乱を引き起こすのではなく、アメリカのパワーの源泉を脆弱なものに変えてしまったのである。最近の研究では、このメカニズムの技術的な新しさが強調されている。しかし、私は、このキャンペーンは、「破壊」という、理論化されていないパワーの道具の重要性を示すものであったと主張する。本稿は、インテリジェンス研究と国際関係論を統合し、構造的パワーの逆バージョンという革新的な理論を構築した。構造的権力は、相互作用の構造や構造的地位の能力を、そのような権力を持つ者の利益となるように形成する。破壊は、このような利益を害に転化する。構造的パワーの持ち主が期待も意図もしていない結果を生み出すために、構造的立場の能力を活用し、密かに構造を操作するために、構造の脆弱性を利用するのである。伝統的な破壊工作は社会構造を対象としているが、サイバー工作は社会技術的構造、すなわち現代社会に組み込まれた情報通信技術(ICTs)を対象としている。対象とする構造は異なるが、どちらも構造的権力を逆転させる破壊的な搾取の技術に依存している。サイバーオペレーションは破壊の手段なのである。この理論は、サイバーセキュリティにおける2つの未解決の問題、すなわち、能力と脆弱性のパラドックスと非国家主体が果たす大きな役割の説明に役立つ。最後に、2016年の選挙妨害キャンペーンを検証し、この理論の有用性をもっともらしい調査で実証する。このキャンペーンが新しい「武器」を使用したのではなく、伝統的で社会技術的な破壊の手段を統合したものであったことを示す。

 

> Journal Article | Journal of Strategic Studies

・2022.07.27 A New and Better Quiet Option? Strategies of Subversion and Cyber Conflict

Journal of Strategic Studies 戦略研究ジャーナル
A New and Better Quiet Option? Strategies of Subversion and Cyber Conflict 新しく、より良い静かな選択肢?破壊工作の戦略とサイバー紛争
ABSTRACT 概要
Theorizing on cyber conflict has moved from warfare to conflict short of war, but strategic thought has not kept pace. This article argues cyber conflict is subversive, builds on intelligence scholarship to identify strategies of subversion, and examines their applicability in cyber conflict. It distinguishes three subversive strategies: manipulation, Erosion and Overthrow. The analysis shows cyber operations can only implement one of these strategies (Erosion), indicating they offer less strategic value than traditional counterparts. Accordingly, although cyber operations offer superior scale, I argue their scope of influence is more limited. Finally, the article discusses strategic implications and identifies possible counterstrategies. サイバー紛争に関する理論化は、戦争から戦争未満の紛争へと移行しているが、戦略的思考はそれに追いついていない。本稿は、サイバー紛争が破壊的であると主張し、インテリジェンス研究を基礎として破壊の戦略を特定し、サイバー紛争におけるその適用性を検討する。この論文では、3つの破壊的戦略、すなわち「操作」、「侵食」、「転覆」を区別している。分析によれば、サイバー作戦はこれらの戦略のうち1つ(「侵食」)しか実施できず、従来の作戦に比べ戦略的価値が低いことが分かる。したがって、サイバー作戦は規模的には優れているが、その影響力の範囲はより限定的であると論じている。最後に、戦略的な意味合いを論じ、可能な対抗策を明らかにする。
States now routinely use cyber operations to attain strategic advantages. Yet what strategies enable the achievement of which goals through these instruments still remains unclear. In fact, the very mode of conflict involved is contested. Early theorizing conceived of cyber conflict as a new form of war.1 Theorists accordingly derived offensive and defensive strategies from the study of war, building on offense-defense theory and nuclear deterrence.2 Yet in practice cyber conflict has beenlow in intensity, remaining below the threshold of armed conflict.3 Strategic thought on warfare thus promises limited insights. Accordingly, a current wave of scholarship suggests, cyber conflict occupies a new strategic space where actors can pursue unprecedented strategic gains in conflict short of war by leveraging the vast scale, speed and ease of anonymity that cyberspace enables.4 One strand of this theorizing focuses on the importance of persistence.5 Persistence in the offense, it predicts, allows actors to achieve cumulative gains that can shift the balance of power.6 Conversely, through persistent engagement of such offenders, defenders can deny these gains and impose friction.7 The United States Cyber Command has adopted the key tenets of this strategy.8 This is a welcome theoretical and strategic innovation. 国家は、戦略的優位性を獲得するために、日常的にサイバー作戦を利用している。しかし、どのような戦略によって、どのような目標を達成することができるかは、いまだ不明である。実際、関係する紛争の形態そのものが争点となっている。初期の理論化では、サイバー紛争を新しい形態の戦争と見なしていた1。そのため、理論家は戦争研究から攻防戦略を導き出し、攻防理論や核抑止論を構築した2。しかし、実際には、サイバー紛争は武力紛争の閾値を下回る程度にとどまっている3。このように、戦争に関する戦略的思考は限定的な洞察にとどまっている。それゆえ、戦争に関する戦略的思考は限られたものでしかない。現在の一連の研究は、サイバー紛争が、サイバー空間が可能にする膨大な規模、速度、および匿名性の容易さを活用することによって、戦争以外の紛争において行為者が前例のない戦略的利益を追求できる新しい戦略空間を占めていることを示唆している4。このような理論化の一筋は、持続性の重要性に焦点を当てている5 。攻撃を持続することで、行為者はパワーバランスを変化させることができる累積的な利益を得ることができると予測している6。逆に、このような攻撃者と粘り強く交戦することで、防衛側はこのような利益を否定し、摩擦をもたらすことができるのである7。米国サイバー軍団は、この戦略の主要な考え方を採用している8 。これは歓迎すべき理論的・戦略的革新である。
However, I argue that just like cyberwar theorists misjudged the operational characteristics and strategic value of cyber operations, current theories of conflict short of war risk building on similarly flawed assumptions. Rather than a new space of competition, a growing body of research shows cyber conflict has key parallels to intelligence contests.9 In particular, recent work highlights the mechanism of exploitation cyber operations rely upon reveals their nature as instruments of subversion – which offers great strategic promise but provides limited value in practice due to significant operational constraints.10 Prevailing expectations about a new strategic space focus on the promise, neglecting the constraints. Strategic thought must focus not only on what is theoretically possible, however, but also on what is practically feasible. Here intelligence scholarship on subversion promises key insights for strategic analysis and evaluation. しかし、サイバー戦争の理論家がサイバー作戦の作戦特性と戦略的価値を見誤ったように、戦争以外の紛争に関する現在の理論も、同様の欠陥のある仮定に基づいて構築されているおそれがあると主張する。新たな競争空間というよりも、サイバー紛争が情報戦と重要な類似性を持っていることを示す研究が増えている9 。特に、最近の研究では、サイバー作戦が依存する搾取のメカニズムが、破壊の道具としての性質を明らかにし、戦略的に大きな可能性を秘めているが、運用上の大きな制約のために、実際には限られた価値しか提供しないことが強調されている10。新たな戦略空間に対する従来の期待は、その期待に焦点を当て、制約を無視している。しかし、戦略的思考は、理論的に可能なことだけでなく、現実的に実現可能なことにも焦点を当てなければならない。ここで、破壊工作に関するインテリジェンスの研究は、戦略的分析と評価にとって重要な示唆を与えてくれる。
Building on this literature, this article identifies strategies of subversion, evaluates their efficacy and examines their feasibility in cyber conflict. I outline three distinct strategies. Manipulation aims to manipulate government policy, either through exploitation of government or influential political organizations, or indirectly by swaying public opinion. Erosion strives to undermine an adversary’s sources of strength by eroding public trust, exacerbating societal tensions and sabotaging institutions and infrastructure. Overthrow attempts to replace a regime with one aligned with the subverter’s interests by mobilizing and supporting opposition groups. I sort these strategies according to their ascending potential to shift the balance of power. However, greater strategic impact also brings greater operational challenges, thus raising the risk of failure. この文献に基づき、本稿では、破壊の戦略を特定し、その有効性を評価し、サイバー紛争における実現可能性を検討する。この論文では、3つの異なる戦略について説明する。「操作」は、政府や有力な政治組織を利用したり、世論を動かしたりして、間接的に政府の政策を操作することを目的としている。「侵食」は、国民の信頼を損ない、社会的緊張を高め、制度やインフラを破壊することによって、敵対者の強さの源泉を弱体化させようとするものである。「打倒」は、反対派を動員し、支援することで、破壊者の利益に合致した政権に取って代わろうとする。私は、これらの戦略を、パワーバランスを変化させる可能性が高い順に並べてみた。しかし、戦略的なインパクトが大きければ大きいほど、作戦上の課題も大きくなり、失敗のリスクも高くなる。
Examining the feasibility of implementing these strategies through cyber operations produces surprises. Unsurprisingly, considering the scale of the Internet, cyber operations enable a greater scale of intrusion compared to traditional subversion. However, the analysis shows the scope of their reach, and thus the scope of Manipulation they can achieve, to be more limited. Furthermore – and counterintuitively, considering prevailing expectations of conflict at the ‘speed of light’– cyber operations are relatively slow. Consequently, they are most suited to the Erosion strategy. It offers an attractive option to weaken an adversary without facing the risks and costs of war, in line with current expectations about cumulative shifts in the balance of power. However, I show this strategy faces two important limitations. First, it requires significant operational capacity and resources. Contrary to prevailing expectations of the low barriers to entry in cyber conflict, these requirements likely reserve the strategy for the largest and most advanced states. Second, even with these requirements fulfilled, its chance of success is very limited due to the operational challenges of subversion. Concerning the Overthrow strategy, the analysis shows cyber operations are incapable of independently implementing it – further underlining their limitations. The article concludes with a discussion of the consequences for world politics and shows why drawing on intelligence studies enables more effective strategies than a universal focus on persistence by countering specific operation and effect types. サイバー作戦によってこれらの戦略を実行することが可能かどうかを検証してみると、意外な結果が得られる。当然のことながら、インターネットの規模を考慮すると、サイバー作戦は従来の破壊活動に比べてより大規模な侵入を可能にする。しかし、この分析から、「操作」の及ぶ範囲、つまり達成できる「操作」の範囲は、より限定的であることがわかる。さらに、「光の速さ」での紛争という一般的な期待を考えると、直感に反し、サイバー作戦は比較的時間がかかる。その結果、サイバー作戦は「侵食」作戦に最も適している。サイバー作戦は、戦争のリスクとコストに直面することなく敵対者を弱体化させる魅力的なオプションであり、パワーバランスの累積的変化に関する現在の予想に沿うものである。しかし、この戦略には2つの重要な限界があることを指摘する。第一に、この戦略には多大な作戦能力と資源が必要である。サイバー紛争への参入障壁が低いという一般的な予想に反して、これらの要件は、この戦略を最大かつ最も進んだ国家に限定している可能性が高い。第二に、これらの要件が満たされたとしても、破壊工作の運用上の課題から、成功の可能性は非常に限られたものである。「転覆」戦略については、サイバー作戦が単独で実施することは不可能であり、その限界をさらに明確にするものであると分析されている。本稿は、世界政治への影響について考察し、特定の作戦や効果に対抗することによって、情報研究を活用することで、永続性に焦点を当てた普遍的な戦略よりも効果的な戦略を可能にする理由を示している。
This article makes three contributions. First, it furthers strategic thought on cyber conflict by identifying three distinct strategies and evaluating their relative efficacy. Second, through its investigation of the historical parallels between cyber conflict and intelligence operations, it adds to the understanding of the strategic role of both cyber operations and subversive covert operations. Third, by comparing the relative advantages and disadvantages of cyber operations and their historical counterparts in implementing these three strategies, the article refines our understanding of how technological change has impacted competition short of war. Finally, these insights provide a foundation for future strategy development. この論文は3つの貢献をしている。第一に、3つの異なる戦略を特定し、その相対的な有効性を評価することによって、サイバー紛争に関する戦略的思考をさらに深めることができる。第二に、サイバー紛争と諜報活動の歴史的類似性を調査することによって、サイバー作戦と破壊的秘密作戦の戦略的役割に関する理解を深めることができる。第3に、これら3つの戦略を実施する際のサイバー作戦と歴史的な対応策の相対的な長所と短所を比較することによって、技術的な変化が戦争以外の競争にどのような影響を及ぼしてきたかについての理解を深めるものである。最後に、これらの洞察は、将来の戦略開発のための基盤を提供するものである。

 

> Jurnal Article Inteernational Poplitical Sociology

・2022.07.23 What Can a Critical Cybersecurity Do?

Inteernational Poplitical Sociology 国際人口社会学
What Can a Critical Cybersecurity Do? クリティカルなサイバーセキュリティは何ができるのか?
Abstract 概要
Cybersecurity has attracted significant political, social, and technological attention as contemporary societies have become increasingly reliant on computation. Today, at least within the Global North, there is an ever-pressing and omnipresent threat of the next “cyber-attack” or the emergence of a new vulnerability in highly interconnected supply chains. However, such discursive positioning of threat and its resolution has typically reinforced, and perpetuated, dominant power structures and forms of violence as well as universalist protocols of protection. In this collective discussion, in contrast, six scholars from different disciplines discuss what it means to “do” “critical” research into what many of us uncomfortably refer to as “cybersecurity.” In a series of provocations and reflections, we argue that, as much as cybersecurity may be a dominant discursive mode with associated funding and institutional “benefits,” it is crucial to look outward, in conversation with other moves to consider our technological moment. That is, we question who and what cybersecurity is for, how to engage as academics, and what it could mean to undo cybersecurity in ways that can reassess and challenge power structures in the twenty-first century. 現代社会の計算機への依存度が高まるにつれ、サイバーセキュリティは政治的、社会的、技術的に大きな関心を集めている。今日、少なくとも北半球では、次の「サイバー攻撃」の脅威や、高度に相互接続されたサプライチェーンにおける新たな脆弱性の出現が、常に強調され、遍在している。しかし、脅威とその解決に関するこうした言説的な位置づけは、支配的な権力構造や暴力の形態、そして普遍主義的な保護規定を強化し、永続させているのが一般的である。この集合的な議論では、これとは対照的に、異なる分野の6人の学者が、我々の多くが違和感を持って「サイバーセキュリティ」と呼ぶものについて、「批判的」な研究を「行う」ことの意味について議論している。一連の挑発と考察の中で、我々は、サイバーセキュリティが、関連する資金や制度的な「利益」とともに支配的な言説様式であるのと同様に、我々の技術的瞬間を考えるために、他の動きと対話しながら外部に目を向けることが極めて重要であると主張する。つまり、サイバーセキュリティは誰のため、何のためにあるのか、学問としてどのように関わるべきか、そして21世紀の権力構造を再評価し挑戦することができるような方法でサイバーセキュリティを元に戻すことは何を意味するのかを問い直すのである。

 

Bulletin of the Atomic Scientists 

・2022.07.11 A US history of not conducting cyber attacks

Bulletin of the Atomic Scientists  原子力科学者会報 
A US history of not conducting cyber attacks サイバー攻撃を行わなかった米国の歴史
ABSTRACT 概要
There were numerous occasions when the US military considered conducting cyber attacks but refrained from doing so, but these have been largely overlooked as sources of insight. Six cases that we do know about – mostly from journalistic reporting – reveal much about US strategic thinking, posturing, and assessment of the limits of cyberspace. 米軍がサイバー攻撃の実施を検討しながらも、それを見送ったケースは数多くあるが、これらは洞察の材料としてほとんど見過ごされてきた。我々が知っている6つの事例(ほとんどがジャーナリスティックな報道によるもの)は、米国の戦略的思考、姿勢、サイバースペースの限界に対する評価について多くのことを明らかにしている。
The United States is a leading cyber power. 米国はサイバー大国のリーダーである。
Naturally, experts have focused on deconstructing US-led cyber attacks to broaden our understanding of the nature of cyber conflict (Healey 2013). Most prominently, Operation Olympic Games – better known as the Stuxnet attacks that destroyed 1,000 centrifuges at Iran's Natanz uranium enrichment site – has proven the ability of cyber operations to cause destruction to critical infrastructure, highlighted the role of the private sector in exposing cyber attacks, and revealed where the offense versus defense balance lies (Lindsay 2013; Slayton 2016/2017). 当然ながら、専門家たちは、サイバー紛争の本質についての理解を深めるために、米国が主導するサイバー攻撃の解体に注力してきた(Healey 2013)。最も顕著なのは、イランのナタンズウラン濃縮施設の遠心分離機1000台を破壊したスタックスネット攻撃として知られるオリンピック作戦で、サイバー作戦が重要インフラに破壊をもたらす能力を証明し、サイバー攻撃を暴露する民間部門の役割を強調し、攻撃と防御のバランスがどこにあるかを明らかにした(Lindsay 2013; Slayton 2016/2017)......。
But these cyber attacks are only one part of the story. しかし、こうしたサイバー攻撃は物語の一部分に過ぎない。
Just as important is the United States military’s history of not conducting cyber attacks – in particular, those it planned but never executed. There were numerous occasions when the US military considered conducting cyber attacks but refrained from doing so, and these have been largely overlooked as sources of insight. Part of this is due to the limited availability of information on these cases. (There are also operations the United States has tried but failed. For example, Joseph Menn reported that the United States tried a similar attack to Stuxnet against North Korea but ultimately failed because it was not able to get sufficient level of access (Menn 2015).) それと同じくらい重要なのは、米軍がサイバー攻撃、特に計画したものの実行に移さなかった歴史である。米軍がサイバー攻撃の実施を検討しながらも、実行を見送ったことは数多くあり、これらは洞察の材料としてほとんど見過ごされてきた。その一因は、これらの事例に関する情報が限られているためである。(また、米国が試みて失敗した作戦もある。例えば、ジョセフ・メンは、米国が北朝鮮に対してスタックスネットと同様の攻撃を試みたが、十分なレベルのアクセスを得ることができず、最終的に失敗したと報告している(Menn 2015)。
Six cases that are publicly known – mostly originating from the diligent reporting of investigative journalists – reveal much about the US military’s strategic thinking, posturing, and assessment of the limits of cyberspace. For a discussion on a potential seventh case, Nitro Zeus, see: Sanger (2018). These incidents reveal much about the US military’s strategic thinking, posturing, and assessment of the limits of cyberspace. What at first glance appear to be cyber non-events in fact help us to identify the difficulties of planning cyber operations alongside conventional military operations. These non-events also aid in examining the US record (which actually shows considerable restraint), give context to institutional efforts, and show how uncertainty about collateral damage can lead to inaction. 公に知られている6つの事例-そのほとんどが調査ジャーナリストの熱心な報告に由来する-は、米軍の戦略的思考、姿勢、サイバースペースの限界に関する評価について多くのことを明らかにしている。7件目の可能性があるニトロゼウスに関する考察は、以下を参照。サンガー(2018)。これらの事件は、米軍の戦略的思考、構え、サイバースペースの限界に対する評価について多くのことを明らかにしている。一見するとサイバー非事件に見えるが、実際には、従来の軍事作戦と並行してサイバー作戦を計画することの難しさを確認するのに役立つ。また、これらの非事例は、米国の記録(実際にはかなりの抑制を示している)を検証するのに役立ち、制度的な取り組みに文脈を与え、巻き添え被害に対する不確実性がいかに不作為につながるかを示している。

 

Continue reading "スイス ETH Zürichsで公表されている最近のサイバー作戦、サイバー攻撃等、サイバー関連の最近の記事、論文"

| | Comments (0)

米国 国土安全保障省 監察官室 2015年サイバーセキュリティ法の下での情報共有を改善するために必要な追加的な進捗状況 (CISA)

こんにちは、丸山満彦です。

米国の国土安全保障省の監査官室 (OIG) が過去の情報共有についての指摘事項の進捗状況についての監査報告が公表していますね。。。

ここに出てくるAISについては、CISAのAUTOMATED INDICATOR SHARING を参照...日本では、NEC、富士通、日立等が5年ほど前から加盟していますね、、、

 

Oversight.Gov - Department of Homeland Security

・2022.08.22 Additional Progress Needed to Improve Information Sharing under the Cybersecurity Act of 2015

・[PDF] OIG-22-59-Aug22.pdf

20220825-185230

 

HS OIG HIGHLIGHTS 国土安全保障省 監査官室 ハイライト
Additional Progress Needed to Improve Information  Sharing under the Cybersecurity Act of 2015 2015年サイバーセキュリティ法の下での情報共有の改善に必要な追加的な進展
Why We Did This Review  このレビューを行った理由 
The Cybersecurity Act of 2015 requires the Department of Homeland Security to establish a capability and process for Federal entities to receive cyber threat information from non-Federal entities. The Act requires Inspectors General from the Intelligence Community and appropriate agencies to submit a joint report to Congress every 2 years on Federal Government actions to share cyber threat information. We conducted this review to evaluate CISA’s progress meeting the Cybersecurity Act’s requirements for 2019 and 2020.  2015年サイバーセキュリティ法は、国土安全保障省に対し、連邦機関が連邦機関以外からサイバー脅威情報を受け取るための能力とプロセスを確立することを求めている。同法は、情報コミュニティと適切な機関の検査官が、サイバー脅威情報を共有するための連邦政府の行動について、2年ごとに議会に共同報告書を提出することを義務付けている。我々は、2019年と2020年のサイバーセキュリティ法の要件を満たすCISAの進捗を評価するために、このレビューを実施した。 
What We Recommend  推奨事項
We recommend CISA complete system upgrades, hire needed staff, encourage compliance with information sharing agreements and develop a formal reporting process with quality controls.  CISAは、システムのアップグレードを完了し、必要な要員を雇用し、情報共有契約の遵守を奨励し、品質管理を伴う正式な報告プロセスを開発することを推奨する。
What We Found  発見事項
The Cybersecurity and Infrastructure Security Agency (CISA) has addressed the basic information sharing requirements of the Cybersecurity Act of 2015 (Cybersecurity Act) but has made limited progress improving the overall quality of threat information. In 2019 and 2020, CISA continued to leverage its Automated Indicator Sharing (AIS) capability to share cyber threat information between the Federal Government and the private sector. During that time, CISA reportedly increased the number of Federal participants by more than 15 percent and increased the number of non-Federal participants by 13 percent. CISA asserted it increased the overall number of cyber threat indicators it shared and received by more than 162 percent, but it could not validate this number.  サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2015年サイバーセキュリティ法(Cybersecurity Act)の基本的な情報共有要件に取り組んできたが、脅威情報の全体的な質の向上は限定的な進展にとどまっている。2019年と2020年、CISAは引き続き自動指標共有(AIS)機能を活用し、連邦政府と民間セクターの間でサイバー脅威情報を共有した。この間、CISAは連邦政府の参加者数を15%以上増やし、連邦政府以外の参加者数を13%増やしたと報告されている。CISAは、共有し受け取ったサイバー脅威指標の全体数を162%以上増加させたと主張しているが、この数字を検証することはできなかった。 
The quality of information shared with AIS participants was not always adequate to identify and mitigate cyber threats. According to Federal and private sector entities we interviewed, most of the cyber threat indicators did not contain enough contextual information to help decision makers take action. We attribute this to limited AIS functionality, inadequate staffing, and external factors. We reported on these same challenges in our Cybersecurity Act evaluation for 2017 and 2018.  AIS参加者と共有される情報の質は、サイバー脅威を特定し緩和するために必ずしも適切ではなかった。我々がインタビューした連邦政府と民間企業によると、ほとんどのサイバー脅威指標は、意思決定者が行動を起こすのに役立つ十分な文脈的情報を含んでいなかった。これは、AISの機能制限、不十分な人員配置、および外部要因によるものだと考えている。我々は、2017年と2018年のサイバーセキュリティ法の評価で、これらと同じ課題について報告した。 
Deficiencies in the quality of threat information shared among AIS participants may hinder the Federal Government’s ability to identify and mitigate potential cyber vulnerabilities and threats.  AIS参加者間で共有される脅威情報の質に欠陥があると、連邦政府が潜在的なサイバー脆弱性や脅威を特定し、緩和する能力に支障をきたす可能性がある。 
CISA Response  CISAの対応 
CISA concurred with all four recommendations. We included a copy of CISA’s comments in Appendix B. CISAは、4つの推奨事項すべてに同意した。附属書BにCISAのコメントの写しを掲載した。

 

附属書BによるCISAの対応...

Appendix B: CISA Comments to the Draft Repor
報告書(案)に対するCISAのコメント
 ... ...
Recommendation 1: We recommend the Director of CI SA develop and implement a formal process to verify the number of cyber threat indicators shared through its Automated Indicator Sharing capability to enable accurate reporting and oversight. 推奨事項1:我々は、CI SA長官に対し、正確な報告と監視を可能にするため、自動指標共有機能を通じて共有されたサイバー脅威指標の数を検証する正式なプロセスを開発し、実施することを推奨する。
Response: Concur. On March 1, 2022, CISA's Cybersecurity Division launched its next generation version of AIS, "AIS 2.0," which, among other actions, created the capability to apply a CISA "opinion score" to Cyber Threat Indicators (CTI) in AIS. 対応:同意する。2022年3月1日、CISAのサイバーセキュリティ部門はAISの次世代バージョン「AIS 2.0」を発表し、AISのサイバー脅威指標(CTI)にCISAの「意見スコア」を適用する機能などを創設した。
This opinion score provides an assessment of whether or not the information can be corroborated with other sources available to the entity submitting the opinion to AIS. CISA publicly shares information on the opinion score methodology in the November 2021 document, "Automated Indicator Sharing (AIS) Scoring Framework Used for indicator Enrichment," Vl.0. 1 This scoring can help those receiving information from AIS make informed decision in support of cyber defense. この意見スコアは、AISに意見を提出する主体が利用できる他の情報源で情報の裏付けが取れるかどうかの評価を行うものである。CISAは、2021年11月の文書「Automated Indicator Sharing (AIS) Scoring Framework Used for indicator Enrichment」Vl.0において、意見スコア方法についての情報を公開している。1 このスコアリングは、AISから情報を受け取る側が、サイバー防衛を支援するために、情報に基づいた意思決定を行うことを支援することができる。
CISA requests that the OIG consider this recommendation resolved and closed, as implemented. CISAは、監査官室がこの推奨事項を解決し、実施済みとして終了したものとみなすことを要請する。
Recommendation 2: Develop and implement an approach to encourage Federal agencies and the private sector to comply with information sharing agreements and requirements, and report actions taken with information sharing agreements and requirements for Automated Indicator Sharing. 推奨事項2:連邦政府機関と民間企業が情報共有協定と要件を遵守することを奨励するアプローチを開発・実施し、情報共有協定と自動化指標共有の要件で取られた行動を報告すること。
Response: Concur. In November 2021 , CISA's Cybersecurity Division issued its "Automated Indicator Sharing (AIS) 2.0 Submission Guide, Vl.0,"2 which was intended to increase effective sharing participation in advance of the March 1, 2022, launch of AIS 2.0 by providing guidance for AIS participants when submitting Structured Threat Information Expression (STIX) format via the Trusted Automated Exchange of Intelligence Information (TAXII). Further, the AIS 2.0 Submission Guidance Vl.0 can be utilized with the AIS 2.0 Profile Vl.0 3 document to help AIS participants understand all requirements for AIS submissions.  対応:同意する。これは、2022 年 3 月 1 日の AIS 2.0 の開始に先立ち、AIS 参加者が Trusted Automated Exchange of Intelligence Information(TAXII)を介して Structured Threat Information Expression(STIX)形式を提出する際にガイダンスを提供し、有効な共有参加を拡大することを意図したものであった2。さらに、AIS 2.0 Submission Guidance Vl.0 は、AIS 2.0 Profile Vl.0 3 文書とともに利用することで、AIS 参加者が AIS 提出のためのすべての要件を理解できるようにすることができる。 
CISA requests that the OIG consider this recommendation resolved and closed, as implemented.  CISAは、監査官室がこの推奨事項を解決し、実施済みとして終了したものとみなすことを要請する。 
Recommendation 3: Complete Automated Indicator Sharing 2.0 upgrades.  推奨3:Automated Indicator Sharing 2.0のアップグレードを完了させる。 
Response: Concur. CISA's Cybersecurity Division completed upgrades on March 1, 2022, for AIS to leverage the latest STIX/TAXII 2.0 standards for capturing and communicating cyber threat intelligence. Furthermore, on June 2, 2022, CISA demonstrated the AIS 2.0 operational capabilities to DHS OIG to show that the requirements of this recommendation were met.  対応:同意する。CISAのサイバーセキュリティ部門は、2022年3月1日にAISのアップグレードを完了し、サイバー脅威情報の取得と伝達のための最新のSTIX/TAXII 2.0標準を活用するようにした。さらに、2022年6月2日、CISAは国土安全保障省 監査官室に対してAIS 2.0の運用能力を実演し、本推奨事項の要件が満たされていることを示した。 
CISA requests that the OIG consider this recommendation resolved and closed, as implemented.  CISAは、監査官室がこの推奨事項を解決し、実施済みとして終了したものとみなすことを要請する。 
Recommendation 4: Place priority on hiring administrative and operational staffing to conduct the strategic planning, coordination, analysis, and performance measurement needed to mitigate cybersecurity risks.  推奨事項4:サイバーセキュリティのリスクを軽減するために必要な戦略的計画、調整、分析、パフォーマンス測定を実施するための管理・運営要員の雇用を優先する。 
Response: Concur. Over the past 18 months, CISA's Cybersecurity Division has added additional contractual resources to better support these efforts, and are also in the process of assessing a longer-term approach to allocate resources to fully support this critical mission area. Estimated Completion Date: January 31 , 2023. 対応:同意する。過去18ヶ月間、CISAのサイバーセキュリティ部門は、これらの取り組みをより良く支援するために契約上のリソースを追加し、また、この重要な任務分野を完全に支援するためのリソースを配分する長期的なアプローチを評価している最中である。予定される完了日は2023年1月31日である。

 

1 "Automated Indicator Sharing (AIS) Scoring Framework Used for Indicator Enrichment" Vl.0, November 2021 - https:/www.cisa.gov/sites/default/files/publications/AIS%20Scoring%20Framework%20Used%20for20Indicator%20Enrichment%20Vl.0_508.pdf

2 "Automated Indicator Sharing (AIS) 2.0 Submission Guide", Vl.0, November 2021 -https://www.cisa.gov/sites/default/files/publications/AIS%202.0%20Submission%20Guide%20V1.0_508.pdf

3 "Automated Indicator Sharing (AIS) Profile: Requirements for STIX Submissions," Vl.0, October 2021 -­
https://www.cisa.gov/sites/default/files/publications/AIS%202.0%20Profile%20Vl.0_508.pdf

 

・[DOCX] 仮訳

 


 

● NEC

・2017.03.15 NEC、米国国土安全保障省が推進する官民でサイバー脅威情報を共有する枠組み「AIS」に加入

● 富士通

・2017.07.19 米国国土安全保障省が推進する「AIS」のサイバー脅威インテリジェンス(CTI)と当社のCTI活用システムの連携を実証

● 日立

・2017.08.17 HIRT-PUB17007:米国AISシステムとの接続

 

 

| | Comments (0)

2022.08.25

英国 建設業におけるジョイントベンチャー:情報セキュリティ・ベストプラクティス・ガイダンス

こんにちは、丸山満彦です。

英国の国家サイバーセキュリティ・センター (NCSC) [wikipedia]、国家インフラ保護センター (CPNI) [wikipedia]、ビジネス・エネルギー・産業戦略省 (BEIS) [wikipedia] が共同で、[PDF]「建設業におけるジョイントベンチャー:情報セキュリティ・ベストプラクティス・ガイダンス」を公表していますね。。。

これは、英国の新幹線プロジェクトであるHigh Speed 2 [wikipedia] や、ロンドン市内近郊をつなぐCrossrail [wikipedia] プロジェクトといったジョイントベンチャー (JV) による大型の建設プロジェクトにおける情報セキュリティのベストプラクティスという感じでしょうかね。。。JVという通常の組織形態とは違う中での情報セキュリティ管理の難しさがあるでしょうね。。。

 

National Cyber Security Centre: NCSC

・2022.08.23 Cyber security experts team up to protect UK construction projects

Cyber security experts team up to protect UK construction projects サイバーセキュリティの専門家が英国の建設プロジェクトを保護するために提携
New guidance to support UK construction projects has been jointly published between the NCSC, CPNI and BEIS. 英国の建設プロジェクトを支援する新しいガイダンスが、NCSC、CPNI、BEISの3者によって共同で発表された。
・Industry and government collaborate on best practice guidance helping major infrastructure projects, such as HS2 and Crossrail, improve data security ・HS2やクロスレールなどの主要インフラプロジェクトのデータセキュリティ向上を支援するベストプラクティス・ガイダンスを産業界と政府が共同で作成した。
・New advice, published by GCHQ’s National Cyber Security Centre, sets out best approach for managing information security risks ・GCHQの国家サイバーセキュリティ・センターが発表した新しい助言は、情報セキュリティリスクを管理するための最善の方法を示している。
・Construction sector urged to follow guidance amid continued targeting by malicious actors ・悪意のある人物に狙われ続ける建設業界に対し、ガイダンスに従うよう呼びかけている。
Construction firms working together on major building projects such as HS2 have today (Tuesday) been offered first-of-its-kind security advice from industry and government. HS2などの大規模な建設プロジェクトで協働する建設会社に対して、本日(火曜日)、業界と政府から初のセキュリティに関するアドバイスが提供された。
The new Information Security Best Practice guide aims to help these firms keep sensitive data safe from attackers by offering tailored advice on how to securely handle the data they create, store and share in joint venture projects. 新しい情報セキュリティベストプラクティスガイドは、これらの企業が、ジョイントベンチャープロジェクトで作成、保存、共有するデータを安全に取り扱う方法について、個別のアドバイスを提供し、機密データを攻撃者から保護するのを支援することを目的としている。
The guide is a unique collaboration between experts from industry and the National Cyber Security Centre (NCSC), the Department for Business, Energy and Industrial Strategy (BEIS) and the Centre for the Protection of National Infrastructure (CPNI). このガイドは、産業界の専門家と国家サイバーセキュリティ・センター(NCSC)、ビジネス・エネルギー・産業戦略省(BEIS)、国家インフラ保護センター(CPNI)との独自のコラボレーションによって作成された。
It includes input from firms with experience in joint ventures, including major infrastructure contracts such as HS2 and Crossrail, where information security risks are particularly relevant due to their typically large size, value and complexity. また、HS2やクロスレールなどの大型インフラ契約など、一般的に規模が大きく、金額も複雑であるため、情報セキュリティリスクが特に関連するジョイントベンチャーでの経験を持つ企業からの情報も含まれている。
By following the recommended steps, businesses can improve their physical, personnel and cyber security, making themselves less attractive targets for malicious actors as threats – including ransomware – continue to pose a significant problem globally. ランサムウェアを含む脅威が世界的に大きな問題を引き起こし続ける中、推奨される手順に従うことで、企業は物理的、人的、サイバー的セキュリティを改善し、悪意のある行為者にとって魅力的なターゲットではなくすることができる。
Sarah Lyons, NCSC Deputy Director for Economy and Society Resilience, said: NCSCの経済・社会レジリエンス担当副所長であるサラ・ライオンズは、次のように述べている。
“Joint ventures in construction are responsible for some of the UK’s largest building projects and the data they handle must be protected to keep crucial infrastructure safe. 「建設分野のジョイントベンチャーは、英国最大の建築プロジェクトのいくつかを担っており、重要なインフラを安全に保つために、彼らが扱うデータを保護する必要があります。
“Failure to protect this information not only impacts individual businesses but can jeopardise national security, so it’s vital joint ventures secure their sites, systems and data. 「この情報の保護に失敗すると、個々のビジネスに影響を与えるだけでなく、国家安全保障を脅かす可能性があるため、ジョイント・ベンチャーはサイト、システム、データを安全に保護することが不可欠である。
“By following this new guidance – a first-of-its-kind collaboration between industry and government – construction firms can help put a holistic strategy in place to effectively manage their risks.” 「産業界と政府による初のコラボレーションであるこの新しいガイダンスに従うことで、建設会社はリスクを効果的に管理するための全体的な戦略を導入することができる。
The guidance is a collaboration between government and industry members of a NCSC-convened trust group, bringing together expertise, experience and input from dozens of companies in the sector. このガイダンスは、NCSCが招集した信託グループの政府と産業界のメンバーとの共同作業で、このセクターの数十社から専門知識、経験、意見を集約したものである。
Business Minister Lord Callanan said: ビジネス担当大臣のLord Callananは次のように述べている。
“Data and digital technology are key to making a more productive, competitive and sustainable construction industry. However, this new technology presents challenges that businesses must protect themselves and their stakeholders against. 「データとデジタル技術は、より生産的で競争力のある、持続可能な建設業界を実現するための鍵である。しかし、この新しい技術には、企業が自社とその利害関係者を保護しなければならない課題があります。
“This new guidance, produced in partnership between industry and Government, will help construction firms keep their information safe, ensuring building projects are delivered on time and securely.” 「この新しいガイダンスは、産業界と政府が協力して作成したもので、建設会社が情報を安全に保ち、建設プロジェクトが予定通りに安全に提供されるよう支援するものである。
The guide sets out why information security matters for joint ventures and offers a recommended approach to take to manage the risks, including: 本指針は、情報セキュリティがなぜジョイントベンチャーにとって重要なのかを説明し、リスクをマネジメントするために取るべき推奨アプローチを提供している。
・Establishing information security governance and accountability within the joint venture and ensuring board-level engagement ・ジョイントベンチャーにおける情報セキュリティのガバナンスとアカウンタビリティを確立し、取締役会レベルの関与を確保する。
・Identifying staff to hold responsibility for assessing specific information security risks and developing a shared information security strategy ・特定の情報セキュリティリスクを評価し、共有の情報セキュリティ戦略を策定する責任を負うスタッフを特定すること
・Understanding the specific risks and any regulatory requirements for the joint venture, and deciding on a shared risk appetite ・合弁会社における特定のリスク及びあらゆる規制上の要件を理解し、共有されたリスク選好度を決定すること。
・Developing and agreeing on a shared information security strategy to manage and mitigate the risks holistically, including physical, personnel and cyber risks. ・物理的リスク、人的リスク、サイバーリスクを含むリスクを総合的にマネジメントし、軽減するための情報セキュリティ戦略を策定し、合意する。
Globally, the construction industry continues to be one of the most targeted sectors by online attackers and businesses of all sizes are at risk. 世界的に見ても、建設業界はオンライン攻撃者から最も狙われる分野の1つであり、あらゆる規模の企業がリスクにさらされている。
Jon Ozanne, Chief Information Officer at Balfour Beatty, said: バルフォー・ビーティー社の最高情報責任者であるジョン・オザンヌは、次のように述べている。
“With cyberattacks becoming increasingly more intelligent, cyber security and protecting our own, our employees, our supply chain and customers’ data has never been more important. 「サイバー攻撃がますますインテリジェントになる中、サイバーセキュリティと当社、従業員、サプライチェーン、顧客のデータの保護はかつてないほど重要なものとなってきている。
“The introduction of the new Information Security Best Practice guide will play a key role in helping to combat the operational risks faced across the sector; raising the standard and educating those to the measures required to protect against cyber threats.” 「新しい情報セキュリティベストプラクティスガイドの導入は、業界全体が直面している業務リスクと戦うために重要な役割を果たすでしょう。
Andy Black, Chief Information Security Officer, Sir Robert McAlpine, said: Sir Robert McAlpineの最高情報セキュリティ責任者であるAndy Blackは、次のように述べている。
“Cross industry collaboration is important to help the construction sector level up its approach to information security. We are grateful for this opportunity to share our expertise and collaborate with our peers, the NCSC, BEIS and CPNI to develop this best practice guide for Joint Ventures.” 「建設業が情報セキュリティへの取り組みをレベルアップするためには、業界を超えた協力体制が重要である。私たちの専門知識を共有し、同業者であるNCSC、BEIS、CPNIと協力して、ジョイントベンチャーのためのベストプラクティスガイドを開発するこの機会に感謝しています" 。
Earlier this year, the NCSC published cyber security guidance with the Chartered Institute of Building aimed at helping small and medium-sized businesses improve their resilience. 今年初め、NCSCはChartered Institute of Buildingと共同で、中小企業のレジリエンス向上を支援することを目的としたサイバーセキュリティ・ガイダンスを発表した。
Other NCSC resources aimed at helping organisations manage cyber security risks include the Board Toolkit, to facilitate essential conversations between board members and their technical experts, and the Exercise in a Box toolkit which helps organisations to test their incident response plans in a safe environment. NCSCは、組織がサイバーセキュリティのリスクを管理するのを支援することを目的とした他のリソースとして、取締役会と技術専門家の間の重要な会話を促進するためのBoard Toolkitや、組織が安全な環境でインシデント対応計画をテストするのを助けるExercise in a Box toolkitを提供している。

 

ブログ。。。

・2022.08.23 Information Security: best practice for the construction sector

Information Security: best practice for the construction sector 情報セキュリティ:建設業におけるベストプラクティス
New guidance for businesses of all sizes planning to take part in Joint Ventures. ジョイント・ベンチャーへの参加を計画しているあらゆる規模の企業向けの新しいガイダンス。
We're delighted to announce new guidance on the holistic security approach Joint Ventures should adopt to protect any sensitive information they manage. 'Joint Ventures in the construction sector: Information Security: Best Practice Guidance' is a collaborative effort between the construction sector and government organisations, and provides advice for construction businesses on how to secure information for Joint Ventures. ジョイント・ベンチャーが管理する機密情報を保護するために採用すべき包括的なセキュリティ・アプローチに関する新しいガイダンスを発表できることを嬉しく思いる。 建設部門におけるジョイント・ベンチャー 情報セキュリティ。ベストプラクティス・ガイダンス」は、建設業界と政府機関が共同で作成したもので、ジョイント・ベンチャーの情報を保護する方法について、建設業向けにアドバイスしている。
In Joint Ventures, each company involved contributes resources to the project. A company may provide land, capital, intellectual property, experienced staff, equipment or any other form of asset dependent on their skills or expertise. In doing so they also share the risks and benefits associated with the project. ジョイント・ベンチャーでは、関係する各企業がプロジェクトに資源を提供する。合弁事業では、各企業は、土地、資本金、知的財産、経験豊富なスタッフ、設備、その他自社の技術や専門性に応じた資産を提供することができる。また、プロジェクトに関連するリスクと利益を共有する。
People outside of the construction industry are often surprised at the complexities of modern construction programme delivery and the data sharing requirements. Modern techniques and processes such as Building Information Modelling (BIM) require data to be shared at the right time, in the right format, to the right third party and always with the right focus on security. This is why it's so important to set up a good foundation for Information Governance before the Joint Venture commences. 建設業界以外の人は、現代の建設プログラム提供の複雑さとデータ共有の必要性にしばしば驚かされる。BIM(ビルディング・インフォメーション・モデリング)などの最新の技術やプロセスでは、適切なタイミングで、適切なフォーマットで、適切な第三者と、常にセキュリティを重視した形でデータを共有することが求められる。このため、ジョイントベンチャーを開始する前に、情報ガバナンスのための優れた基盤を構築することが非常に重要である。
The guidance provides a set of non-mandatory recommendations for ensuring information security in Joint Ventures, together with details of how recommendations might best be implemented. At a high level, its main requirements are that security is represented at Joint Venture Board level, and that individuals responsible for information security from a personnel, physical and cyber security perspective understand and address the specific challenges that Joint Ventures face. このガイダンスは、ジョイント・ベンチャーにおける情報セキュリティを確保するための一連の非強制的な推奨事項と、推奨事項をどのように実施するのが最善であるかの詳細を示している。その主な要件は、ジョイント・ベンチャーの取締役会レベルでセキュリティを代表すること、および人事、物理、サイバーセキュリティの観点から情報セキュリティを担当する個人が、ジョイント・ベンチャーが直面する特定の課題を理解し、それに対処することである。
The guidance, which has been produced by members of the NCSC Civil Engineering, Architecture and Construction (CEAC) Trust Group, the Department for Business, Energy and Industrial Strategy (BEIS), the Centre for the Protection of National Infrastructure (CPNI) and the NCSC, can be adopted as a useful toolkit for Joint Venture Boards. We also intend to ensure the guidance remains relevant in future years as best practices and regulatory requirements evolve. NCSC Civil Engineering, Architecture and Construction (CEAC) Trust Groupのメンバー、ビジネス・エネルギー・産業戦略省(BEIS)、国家インフラ保護センター(CPNI)、NCSCによって作成されたこのガイダンスは、ジョイントベンチャー委員会のための有用なツールキットとして採用することができるものである。また、ベストプラクティスや規制要件が進化する中で、このガイダンスが将来も適切であり続けるようにするつもりである。
We'd like to thank all those involved in the development of this guidance. If you have any feedback on this guidance, you can get in touch with us via enquiries@beis.gov.uk. 本ガイダンスの開発に携わったすべての関係者に感謝する。本ガイダンスについて意見は、enquiries@beis.gov.uk まで。

 

ということで、ガイドライン

・[PDF] Joint Ventures in the Construction Sector: Information Security Best Practice Guidance

20220825-14110

 

目次的なもの。。。

Joint Ventures in the Construction Sector: Information Security Best Practice Guidance 建設業におけるジョイントベンチャー:情報セキュリティ・ベストプラクティス・ガイダンス
•       Section 1 of this guidance is aimed at business owners and JV Board members. It describes why information security matters to the construction industry, and particularly to JVs. ・このガイダンスのセクション1は、事業主やJVの役員を対象としている。建設業界、特にジョイント・ベンチャーにとって情報セキュリティがなぜ重要なのかを説明している。
•       Section 2 is aimed at Board members and JV Information Security and IT experts from each of the parent companies. It describes the key steps that should be taken to ensure a JV’s information is secure. ・セクション2は、各親会社の取締役、JVの情報セキュリティおよびITの専門家を対象としている。JVの情報の安全性を確保するために取るべき重要なステップを説明している。
•       Section 3 provides focused advice for IS and IT operations specialists on producing detailed plans for securing information of a JV. ・セクション3では,情報セキュリティとITの専門家向けに,JVの情報を保護するための詳細な計画を作成するためのアドバイスを提供する。
Section1: Why Information Security Matters in JVs セクション1:JVにおいて情報セキュリティが重要な理由
Section 2: Key Steps for Securing  セクション2:セキュリティ確保のための主要なステップ 
2.1 Overview  2.1 概要 
2.2 Step 1:  Establish Information Security Governance and Accountability 2.2 ステップ1:情報セキュリティガバナンスとアカウンタビリティの確立
2.3 Step 2:  Assign Key Roles and Responsibilities 2.3 ステップ2:主要な役割と責任の分担
2.4 Step 3:  Understand the JV-specific Information Security Risks and Requirements 2.4 ステップ3:JV固有の情報セキュリティリスク及び要求事項の理解
2.5 Step 4:  Develop and Agree an Information Security Strategy 2.5 ステップ4: 情報セキュリティ戦略の策定と合意
2.6 Step 5:  Design and Implement an Information Security Management Plan 2.6 ステップ5:情報セキュリティマネジメントプランの設計と実施
Section 3: The Information Security Management Plan  セクション3:情報セキュリティマネジメントプラン 
3.1 Overview 3.1 概要
3.2 Information Security Management (ISM) 3.2 情報セキュリティマネジメント(ISM)
3.3 Identity and Access Management  3.3 アイデンティティとアクセス管理 
3.4 Incident Management, Disaster Recovery and Business Continuity 3.4 インシデント管理、災害復旧、事業継続性
3.5 Security Education, Training and Awareness (SETA) 3.5 セキュリティ教育・訓練・啓発(SETA)
3.6 Physical Security 3.6 物理的セキュリティ
3.7 Personnel Security 3.7 人的セキュリティ
3.8 Supply Chain Security  3.8 サプライチェーンセキュリティ 
Annex A: Information Security Checklists For Boards and Practitioners 附属書 A:取締役会及び実務担当者向け情報セキュリティチェックリスト
A.1 Security Checklist for JV Boards  A.1 JV 委員会向けセキュリティチェックリスト 
A.2 Security Checklist for Practitioners A.2 実務者向けセキュリティチェックリスト
Annex B: JV Information Security Roles and Responsibilities 附属書B:JVの情報セキュリティの役割と責任
Annex C: Minimum Requirements for JV Participation 附属書 C:JV 参加のための最低要件
C.1 Overview: C.1 概要
C.2 Up-to-date Information Security Policies C.2 最新の情報セキュリティ方針
C.3 Alignment with NCSC – UK Cyber Essentials (not Plus)  C.3 NCSC - UK Cyber Essentials(Plusではない)との整合性 
C.4 Security Education, Training and Awareness C.4 セキュリティ教育、訓練及び意識向上

 

セクション1...

Why Information Security Matters in JVs JVで情報セキュリティが重要な理由
Digitalisation in the construction sector is bringing greater efficiency, reduced costs and wider data sharing. It is also creating a paradigm in which larger and larger volumes of data are created and digitally stored for every project. The success of a project now relies on the confidentiality, integrity and availability of its information and IT systems. 建設業界では、デジタル化により、効率化、コスト削減、データ共有の拡大が進んでいます。また、プロジェクトごとに大量のデータが作成され、デジタル保存されるというパラダイムが生まれつつある。プロジェクトの成功は、情報とITシステムの機密性、完全性、可用性に依存するようになった。
These changes mean the industry is increasingly of interest to threat actors – including cyber criminals, foreign state actors and malicious insiders – who may seek to steal, misuse, modify, damage or deny access to key information, with the potential for significant impacts on victims. Importantly, the threat is not to large companies only: criminals can target all sizes of construction business. NCSC has recently published guidance  for SMEs on protecting themselves from cyber threats. このような変化は、この業界が、サイバー犯罪者、外国人行為者、悪意のある内部関係者を含む脅威者にとってますます関心を持たれていることを意味し、彼らは重要な情報を盗み、悪用、変更、損傷、またはアクセス不能にしようとするかもしれず、被害者に大きな影響を与える可能性がある。重要なのは、この脅威は大企業だけにとどまらないということである。犯罪者は、あらゆる規模の建設業をターゲットにすることができます。NCSCは最近、中小企業を対象としたサイバー脅威から身を守るためのガイダンスを発表した。
Successful attacks by malicious actors can be extremely costly and jeopardise project success: 悪意のある者による攻撃が成功すると、多大なコストがかかり、プロジェクトの成功が危ぶまれる可能性がある。
a. Ransomware attacks – in which cybercriminals encrypt and/or steal data to extort ransom payments – cost UK businesses £365 million in 2020 . Globally, construction is one of the sectors most targeted by ransomware and multiple UK  a. サイバー犯罪者がデータを暗号化または窃取して身代金の支払いを要求するランサムウェア攻撃は、2020年に英国企業で3億6500万ポンドの損害をもたらした。世界的に見ても、建設業はランサムウェアに最も狙われる分野の1つであり、英国では複数の企業がランサムウェアの被害を受けている。
b. Data breaches can incur heavy fines under the UK Data Protection Act 2018 (up to £17.5 million or 4% of annual global turnover) – and can also delay projects and impact the reputation of affected companies. b. データ侵害は、英国データ保護法2018に基づく重い罰金(最大1750万ポンドまたは世界の年間売上高の4%)を課すことができる - また、プロジェクトを遅らせ、影響を受けた企業の評判に影響を与える可能性がある。
As well as malicious attacks, accidental actions can also impact a project’s information security. These might include sharing sensitive information in a presentation or published article, leaving commercial information on a memory stick on site, or even  re-using software containing unsanitised data from a previous project. These accidents can constitute regulatory breaches and lead to the leaking of sensitive information into the public domain. 悪意のある攻撃だけでなく、偶発的な行為もプロジェクトの情報セキュリティに影響を与える可能性がある。例えば、プレゼンテーションや出版物の中で機密情報を共有したり、商業情報をメモリースティックに入れて現場に残したり、あるいは以前のプロジェクトで使用した未消毒のデータを含むソフトウェアを再利用したりすることなどが考えられる。このような事故は、規制違反となり、機密情報の漏洩につながる可能性がある。
Information security risks are particularly relevant to Joint Ventures (JV) due to:  情報セキュリティリスクは、以下の理由により、特にジョイントベンチャー(JV)に関連する。
a. Their large monetary value; a. 金銭的価値が大きい
b. The high volumes of potentially sensitive data they can potentially generate, process, share and store; b. 大量の潜在的な機密データを生成、処理、共有、保管する可能性があること
c. Potential differences in partners’ approaches to security and risk appetite;  c. セキュリティ及びリスク選好に対するパートナーのアプローチの潜在的な違い
d. The complexity of their IT infrastructure;   d. パートナーの IT インフラの複雑さ  
e. Their potential physical proximity to other significant assets; and  e. 他の重要な資産に物理的に近接している可能性、及び 
f. Their large site structures, which make them difficult to secure against physical attacks. f. 敷地が広大なため、物理的な攻撃から守るのが難しい。
Adopting a standardised approach to JV information security is key to addressing these concerns,  and will yield benefits including: JVの情報セキュリティに標準的なアプローチを採用することは、これらの懸念に対処するための鍵であり、以下のような利点をもたらす。
a. Minimisation of delays, cost and complexity caused by retrofitting security measures  a. セキュリティ対策の後付けによる遅延、コスト、複雑さを最小化する
b. Increased compliance with regulations bringing reduced risk of fines and prosecution; b. 規制へのコンプライアンスが向上し、罰金や起訴のリスクが減少する
c. Reduced likelihood of monetary loss or reputational damage  c. 金銭的損失や風評被害の可能性を低減する
d. Clear roles, responsibilities and accountabilities reducing friction between partners; and d. 明確な役割、責任、説明責任により、パートナー間の摩擦が減少する
e. More accurate IT cost estimates and better infrastructure provision.  e. より正確なITコストの見積もりと、より良いインフラの提供する
This guidance provides a set of non-mandatory recommendations for ensuring information security in JVs together with details of how recommendations might best be implemented. At a high level, its main requirements are that security is represented at JV Board level and that individuals responsible for information security from a personnel, physical and cyber security perspective understand and address the specific challenges facing JVs このガイダンスは、JVにおける情報セキュリティを確保するための一連の非強制的な勧告と、勧告をどのように実行するのが最善であるかの詳細を提供するものである。その主な要件は、JVの理事会レベルでセキュリティを代表し、人事、物理、サイバーセキュリティの観点から情報セキュリティを担当する個人が、JVが直面する特定の課題を理解し対処することである。

| | Comments (0)

2022.08.24

NIST 意見募集 AIリスクマネジメントフレームワーク(第2ドラフト)とそのプレイブック

こんにちは、丸山満彦です。

NISTがAIリスクマネジメントフレームワーク(第2ドラフト)とそのプライブックについての意見募集をしていますね。。。2022.03.17に初期ドラフトが公開されましたが、その次のドラフトということですね。。。

プレイブックは、「統治」、「マップ」、「測定」、「管理」のうち、「統治」と「マップ」のドラフトが先行して公表され、意見募集されています。「測定」と「管理」のドラフトは後日発表ということのようですね。。。

20220823-130105

 

2023年1月に正式版をリリースする予定ですね。。。

米国というのは、実践的な手法でリードしていく感じですね。。。

 

まずは、リスクマネジメントフレームワーク... 最初のドラフトから目次レベルでちょっと変わっていますね。。。

 

NIST

・2022.08.18 NIST Seeks Comments on AI Risk Management Framework Guidance, Workshop Date Set

NIST Seeks Comments on AI Risk Management Framework Guidance, Workshop Date Set NISTがAIリスクマネジメントフレームワークのガイダンスに対するコメントを募集、ワークショップの日程も決定
NIST is seeking comments on a second draft of the NIST Artificial Intelligence Risk Management Framework (AI RMF). The AI RMF is intended for voluntary use in addressing risks in the design, development, use, and evaluation of AI products, services, and systems. The new draft builds on and reflects the discussions at the AI RMF Workshop #2 and incorporates feedback received on the initial draft released in March 2022.  NISTは、NIST Artificial Intelligence Risk Management Framework (AI RMF)の第二次草案に対するコメントを募集している。AI RMFは、AI製品、サービス、システムの設計、開発、使用、評価におけるリスクへの対処に自主的に使用することを目的としている。新しいドラフトは、AI RMFワークショップ#2での議論を基にし、反映させ、2022年3月に発表された最初のドラフトに寄せられたフィードバックを取り入れたものである。 
NIST also seeks comments on the draft  NIST AI RMF Playbook, an online resource providing recommended actions on how to implement the Framework. The draft Playbook includes suggested actions, references, and supplementary guidance for “Govern” and “Map” – two of the four proposed Framework functions. Draft material for the other two functions, “Measure” and “Manage,” will be released at a later date.  NISTはまた、フレームワークの実施方法に関する推奨アクションを提供するオンラインリソースであるNIST AI RMF Playbookのドラフトに対するコメントも募集している。Playbookのドラフトには、提案されている4つのFramework機能のうちの2つである「ガバナンス」と「マップ」についての推奨行動、参考文献、補足ガイダンスが含まれている。他の2つの機能である 「測定」と 「管理」のドラフト資料は後日発表される予定である。 
Comments on the draft Framework and initial comments on the draft Playbook should be sent via email to AIframework@nist.gov by September 29, 2022.  フレームワークのドラフトに対するコメントとプレイブックのドラフトに対する最初のコメントは、2022年9月29日までに電子メールで AIframework@nist.gov 宛にお送りください。 
Feedback also will be welcomed during discussions at the Building the NIST AI Risk Management Framework: Workshop #3 on October 18-19, 2022.  Registration for the virtual workshop is now open. また、「Building the NIST AI Risk Management Framework」での議論でのフィードバックも歓迎する。ワークショップ#3は、2022年10月18日~19日に開催されます。  この仮想ワークショップの参加登録は現在受付中である。
NIST plans to publish AI RMF 1.0 in January 2023. NISTは、2023年1月にAI RMF 1.0を公開する予定である。

 

・[PDF] AI Risk Management Framework: Second Draf

20220823-130144

目次...

Part 1: Motivation  第1部: 動機づけ
1. OVERVIEW 1. 概要
1.1. Trustworthy and Responsible AI 1.1. 信頼できる、責任あるAI
1.2. Purpose of the AI RMF 1.2. AI RMFの目的
1.3. Where to Get More Information 1.3. 詳細情報の入手先
2. AUDIENCE 2. 想定読者
3. FRAMING RISK 3. リスクの枠組み
3.1. Understanding Risk, Impacts, and Harms 3.1. リスク、影響、危害の理解
3.2. Challenges for AI Risk Management 3.2. AIリスクマネジメントの課題
4. AI RISKS AND TRUSTWORTHINESS 4. AIのリスクと信頼性
4.1. Valid and Reliable 4.1. 有効性と信頼性
4.2. Safe 4.2. 安全性
4.3. Fair – and Bias Is Managed 4.3. 公平性 - バイアスが管理されている
4.4. Secure and Resilient 4.4. 安全とレジリエンス
4.5. Transparent and Accountable 4.5. 透明性と説明責任
4.6. Explainable and Interpretable 4.6. 説明可能性と解釈可能性
4.7. Privacy-Enhanced 4.7. プライバシー保護
5. EFFECTIVENESS OF THE AI RMF 5. AI RMFの有効性
Part 2 Core and Profiles 第2部:コアとプロファイ
6. AI RMF CORE 6. AI RMFの中核
6.1. Govern  6.1. 統治
6.2. Map  6.2. マップ
6.3. Measure  6.3. 測定 
6.4. Manage  6.4. 管理
7. AI RMF PROFILES 7. Ai RMFプロファイル
Appendices  附属書
APPENDIX A: DESCRIPTIONS OF AI ACTOR TASKS FROM FIGURE 1  附属書A:図1のAIアクターのタスクの説明 
APPENDIX B: HOW AI RISKS DIFFER FROM TRADITIONAL SOFTWARE RISKS 附属書B:AIリスクと従来のソフトウェアリスクとの違い

 

・[DOCX] 仮訳

 

次にプレイブック

NIST AI Risk Management Framework Playbook

 

20220823-130105

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

・2022.03.21 NIST SP1270 人工知能におけるバイアスの識別と管理の標準化に向けて

NISTIR 8269↓

・2021.12.15 ENISA 機械学習アルゴリズムの保護


NISTIR 8312↓

・2020.08.21 NISTはAIに自己説明を求める?(説明可能な人工知能の4原則)


・2021.06.25 NIST SP1270 Draft 人工知能におけるバイアスの識別と管理

 

OECD

・2022.02.24 OECD AIシステム分類のためのOECDフレームワーク

 


 

■ 参考

OECDの「人工知能に関する理事会勧告」

OECD

OECD AI Principles overview

・2019.05.22 [PDF] Recommendation of the Council on Artificial Intelligence

20220824-21538

 

総務省による仮訳

・2019.05.22 [PDF] 人工知能に関する理事会勧告

20220824-21652

 

 

| | Comments (0)

2022.08.23

米国 サイバー司令部:クロアチアと米国のサイバー防衛隊が悪質な行為者をハントする

こんにちは、丸山満彦です。

米国のサイバー司令部が、「ハント・フォワード作戦」の一環として、サイバーオペレーターチームをクロアチアに派遣し、クロアチア軍と一緒にネットワーク上のサイバー活動を追跡し、情報収集等を行なったようですね。。。

 

U.S. Cyber Command

・2022.08.18 “Partnership in Action”: Croatian, U.S. cyber defenders hunting for malicious actors

 

Uscroatia

“Partnership in Action”: Croatian, U.S. cyber defenders hunting for malicious actors 行動するパートナーシップ:クロアチアと米国のサイバー防衛隊が悪質な行為者をハントする
For the first time in U.S. Cyber Command history, a team of elite defensive cyber operators deployed to Croatia to hunt for malicious cyber activity on partner networks, returning with new insights and partnership that bolster the Nation’s defense. 米国サイバー司令部の歴史上初めて、防衛のための精鋭サイバーオペレーターチームがクロアチアに派遣され、パートナーネットワーク上の悪質なサイバー活動を追跡し、国家の防衛を強化する新しい洞察とパートナーシップを獲得して帰国した。
“This kind of partnership in cybersecurity is essential in today’s world as it expands our reach and capabilities,” said Director of the Croatian Security and Intelligence Agency Daniel Markić. クロアチア安全保障情報庁のダニエル・マルキッチ長官は、次のように述べている。「サイバーセキュリティにおけるこのようなパートナーシップは、我々の範囲と能力を拡大するため、今日の世界では不可欠である。」
“We face the same adversaries and threat actors in cyberspace, and we both gain and share valuable insights into cyber resilience as it has become the key objective for national security,” he added. 「我々は、サイバースペースにおいて同じ敵や脅威者に直面しており、国家安全保障の重要な目的となっているサイバーレジリエンスについて、共に貴重な洞察を得て共有している」。
U.S. Cyber Command’s Cyber National Mission Force routinely conducts ‘hunt forward operations’ globally with the purpose of learning adversary activities for homeland defense and enabling partner nations’ collective cybersecurity. 米国サイバー司令部のサイバー・ナショナル・ミッション・フォースは、国土防衛のために敵の活動を学習し、同盟国のサイバーセキュリティを集団で可能にする目的で、日常的に「ハント・フォワード作戦」を世界各地で行っている。
The team, made up of U.S. military and civilian personnel, worked side-by-side with the Croatian Security and Intelligence Agency’s (SOA) Cyber Security Centre experts, hunting on the prioritized networks of national significance and looking for malicious cyber activity and vulnerabilities. The hunt forward team returned recently to the United States, with both adversary and shared understanding of each other’s methodologies and capabilities. 米軍と民間人で構成されるこのチームは、クロアチア安全情報局(SOA)のサイバーセキュリティセンターの専門家と肩を並べ、国家的に重要な優先順位の高いネットワークでハントし、悪質なサイバー活動や脆弱性を探した。ハント・フォワード・チームは、敵対する国と、互いの方法論と能力を理解した上で、最近米国に戻った。
“For us, it isn’t just about hunting on our partner’s networks for similar threats to our networks and then bringing that back home to defend our Nation’s networks,” said the U.S. hunt forward team leader, whose name cannot be used for operational security reasons. “It was also about the personal relationships we built, and the partnership we can grow. I was personally impressed with the level of organization, visibility, and proactivity of the SOA Cyber Security Center, as we sat side-by-side hunting for bad actors.” 米国のハント・フォワード・チームのリーダーは、作戦のセキュリティ上の理由から名前を明かすことはできないが、次のように述べた。「我々にとって、パートナーのネットワークで我々のネットワークと同様の脅威を発見し、それを自国のネットワーク防衛のために持ち帰ることだけが目的ではない」。また、我々が築いた個人的な関係、そして我々が成長することができるパートナーシップについても言及した。個人的には、SOAサイバー・セキュリティ・センターの組織力、可視性、積極性に感銘を受けたし、悪質な行為者を探すために一緒に行動した。
Hunt forward operations are part of U.S. Cyber Command’s persistent engagement strategy, aimed at proactively bolstering defenses in the U.S. and disrupting malicious cyber activity in U.S. infrastructure. ハント・フォワード作戦は、米国サイバー司令部の持続的関与戦略の一環で、米国内の防御を積極的に強化し、米国のインフラにおける悪質なサイバー活動を妨害することを目的としている。
“It was an honor to send some of our best defensive operators to Croatia, to hunt for shared threats alongside our partners—we want to bring both expertise and talent to our partner nations, while seeing cyber adversaries who may be threatening our Nation,” said U.S. Army Maj. Gen. William J. Hartman, commander of the Cyber National Mission Force. “Our teams don’t just come back with insights that strengthen our defenses, and support our allies, but also with professional relationships…and these relationships will continue to grow as we work together, against common adversaries, in the years to come.” サイバー国家任務部隊の司令官である米陸軍のウィリアム・J・ハートマン少将は次のように述べた。「クロアチアに我々の最高の防衛オペレーターを派遣し、パートナーと共に共有の脅威をハントすることができたのは名誉なことである。我々は同盟国に専門知識と才能をもたらすと同時に、我が国を脅かすかもしれないサイバー敵対者を見極めたい。我々のチームは、防衛を強化し、同盟国を支援するための知見を持って帰ってくるだけでなく、専門的な関係も持って帰ってきた...これらの関係は、今後数年間、共通の敵に対して共に働く中で、成長し続けるだろう。」
As of Aug. 2022, CNMF has conducted 35 hunt forward operations in 18 countries, including Estonia, Lithuania, Montenegro, North Macedonia and Ukraine—doing so on over 50 foreign networks, much of it during a global pandemic. 2022年8月現在、CNMFはエストニア、リトアニア、モンテネグロ、北マケドニア、ウクライナなど18カ国で35回のハント・フォワード作戦を実施し、50以上の外国のネットワークで、その多くは世界的流行中に行われた。
In cybersecurity, ‘hunting’ is a proactive cyber defense activity, to observe and mitigate threats that are undetected on a network or system. While hunt forward operations teams do not mitigate threats on partner networks, they enable their counterparts to pursue and address the threats found. サイバーセキュリティにおける「ハンティング」とは、ネットワークやシステム上で検知されない脅威を観察し、緩和するためのプロアクティブなサイバー防衛活動である。ハント・フォワード作戦チームは、パートナーのネットワーク上の脅威を軽減するわけではないが、発見された脅威を追求し、対処することを可能にする。
“These defensive operators are hunters, trained to know the behavior of their target,” said CNMF’s defensive cyber lead against Russian threats. “They are experts at looking for those behaviors, and finding some of their more malicious and subtle techniques. We share this information with our partners, so they can take action on their own networks.” ロシアの脅威に対するCNMFの防御的サイバーリーダーは、次のように述べている。「これらの防御的オペレーターは、ターゲットの行動を知るために訓練されたハンターだ。彼らは、そのような行動を探し出し、より悪質で巧妙なテクニックを見つける専門家だ。我々はこの情報をパートナーと共有し、パートナーは自分たちのネットワークで対策を講じることができる。」
In addition to countering the malicious cyber actors who target partner nation’s networks, data, and platforms, the U.S. and allies gain valuable insight into adversaries’ tactics, techniques, and procedures. Knowing these plans, capabilities, and tools further enables the U.S. and its allies to disrupt and even halt malicious cyber activity before it reaches friendly networks and causes significant harm. 米国と同盟国は、同盟国のネットワーク、データ、プラットフォームを狙う悪質なサイバー行為者に対抗するだけでなく、敵対者の戦術、技術、手順に関する貴重な知見を得ることができる。これらの計画、能力、ツールを知ることで、米国とその同盟国は、悪意のあるサイバー活動が友好的なネットワークに到達して大きな被害をもたらす前に、それを中断させ、停止させることさえできる。
“International partnerships we built are crucial for preventing numerous state-sponsored cyber-attacks, and attacks endangering our national security,” said Mr. Markić, whose organization is focused on preventing activities that endanger Croatian national interests. “The more complex the cyber security challenges become, the more comprehensive our response must be.” マルキッチ氏は、クロアチアの国益を脅かす活動を防止するために、次のように述べた。「我々が築いた国際的なパートナーシップは、国家が支援する数々のサイバー攻撃や、国家の安全を脅かす攻撃を防止するために非常に重要だ。サイバーセキュリティの課題が複雑になればなるほど、我々の対応はより包括的でなければならない」。

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.06 第117回米国連邦議会におけるポール・M・ナカソネ米サイバー軍司令官の姿勢表明

・2021.12.31 米国 サイバー司令部の2021年

・2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

・2021.12.07 米国 国防省 23カ国が参加したサイバー防御演習 CYBER FLAG 21-1

・2021.11.20 米国 米下院監視改革委員会でのFBIサイバー部門アシスタントディレクターの「ハッカーを阻止し、サイバー脅威からの回復力を高めるための戦略」についての証言

・2021.10.15 米国 国家安全保障会議ランサムウェア対策イニシアチブ

・2021.08.15 日本の防衛副大臣が米サイバー軍を訪問し、CYBERCOM司令官のポール・ナカソネ大将と会談したようですね

・2021.07.13 従来型抑止と戦略的抑止に対するサイバー脅威と脆弱性 by 米国サイバースペース・ソラリウム委員会の事務局長

・2021.04.16 White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー司令部と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

・2021.03.27 米国 連邦上院軍事委員会 公聴会 特殊作戦コマンドとサイバーコマンド

・2021.01.06 米国 2021年度 National Defense Authorization Act (NDAA) (国防授権法)成立 サイバー関係も・・・

・2020.12.08 米国サイバーコマンドとオーストラリア国防軍情報戦部門がサイバー訓練プラットフォームの共同開発契約を締結

・2020.12.04 米軍とエストニアが共同作戦を通じてサイバー領域でのパートナーシップを強化

・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

・2020.10.31 米国 CISA, FBIとCNMF(国防省ミッションフォース)がComRATの新しい亜種を特定したことを公表していますね。。。

・2020.10.04 サイバースペース・ソラリウム委員会

・2020.09.10 米国サイバー軍司令官&国家安全保障局長官を務める中曽根氏による「サイバースペースで競争する方法 - サイバーコマンドの新しいアプローチ」という記事

・2020.08.28 北朝鮮によるサイバー銀行強盗についての警告(BeagleBoyz Robbing Banks)

・2020.06.17 今年の米軍のCyber Flag exerciseは、新しいトレーニング環境で行われる。。。

・2020.05.25 10歳になったUSのCyber Command

・2020.05.13 CISA / FBI / DoD : HIDDEN COBRA 北朝鮮の悪意あるサイバー活動

 

10年以上前...確か、最初は空有軍にサイバースペース防衛司令部ができたんですよね。。。

・2010.05.25 米国防総省 サイバー司令部を設立

・2006.11.06 米空軍 サイバー空間防衛司令部

 

 

 

| | Comments (0)

2022.08.22

NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「サイバー空間の安全に向けて: All for one, One for all」

こんにちは、丸山満彦です。

デジタル・フォレンジック研究会にコラムを載せました。

 IDF - Column

・2022.08.18 第731号コラム:「サイバー空間の安全に向けて: All for one, One for all

すべての人が、サイバー空間の安全にむけて、なんらかの貢献をし、それが結局、自分を含むみんなのためになるのではないかという思いを込めて、、、

 


私が書いた「NPO デジタル・フォレンジック研究会」の「コラム」の一覧

 

No Date Title
27 731 2022.08.22 サイバー空間の安全に向けて: All for one, One for all
26 702 2022.01.31 サイバーセキュリティは空気のように社会全体に拡がる
25 678 2021.08.16 ティラノサウルスとスズメ
24 650 2021.02.01 データを科学的に分析する
23 627 2020.08.17 若者のサイバー犯罪を無くしたい。。。
22 600 2020.02.03 デジタルフォレンジックスと多様性
21 578 2019.08.26 未来を考えようと思うとき、人は過去を振り返る
20 551 2019.02.11 とらわれずに物事をみつめる
19 521 2018.07.09 AIは科学捜査を騙せるか?
18 493 2017.12.18 セキュリティ・デバイド?
17 474 2017.08.07 『デジタル・フォレンジック』という言葉を今更考える
16 451 2017.02.20 相手を知ることが重要
15 425 2016.08.15 本質を理解する
14 383 2015.10.12 名ばかりCSIRTで良いのか?
13 357 2015.04.13 IoT時代は明るいか暗いか
12 335 2014.11.03 頭を下げるのは社長です
11 308 2014.04.30 標的型攻撃には内部不正対応が重要?
10 286 2013.11.14 セキュリティガバナンスはできる範囲だけやればよいのか?
09 261 2013.05.23 セキュリティの基本はずっとかわっていない
08 240 2012.12.25 さらに組織化が進むサイバー攻撃集団
07 207 2012.05.10 外部から侵入されている想定で情報セキュリティを考える
06 173 2011.09.08 想定外に対応するのが危機管理ではないか
05 139 2011.01.13 データ分析を使った不正発見手法
04 131 2010.11.11 発見的統制の重要性
03 084 2009.12.10 クラウドコンピューティングがもたらす光と影
02 058 2009.06.11 不正をさせない
01 021 2008.09.25 ニーズとシーズ、目的と手段

| | Comments (0)

英国政府 データ倫理・イノベーションセンター「自動運転車における責任あるイノベーション」

こんにちは、丸山満彦です。

英国政府のコネクティッド・自動運転車センター (Centre for Connected and Autonomous Vehicles: CCAV) は2022.08.19に「コネクティッド・自動運転車 2025:自動運転車のベネフィットの実現 ([PDF] Connected and automated mobility 2025: realising the benefits of self-driving vehicles) 」を発表し、同時にデータ倫理・イノベーションセンター (Centre for Data Ethics and Innovation’s: CDEI) が、「自動運転車における責任あるイノベーション  (Responsible Innovation in Self-Driving Vehicles report
) 」を発表しています。。。

自動運転車・無人運転車の社会実装に向けての英国の取り組みで、参考になりますね。。。EUから離脱して、大変な面もあるとは思うのですが、英国のような実力のある国の場合は、むしろスピード感を持って規制のあり方も含めてグローバルな方向性を決めることもできるので、色々とやりやすくなったのかもしれませんね。。。

さて、、、データ倫理・イノベーションセンターの「自動運転車における責任あるイノベーション」の文書はこちら...

● Centre for Data Ethics and Innovation

・2022.08.19 

・2022.08.19 Policy paper Responsible Innovation in Self-Driving Vehicles

Responsible Innovation in Self-Driving Vehicles 自動運転車における責任あるイノベーション
The CDEI has published a report that sets out proposals for a trustworthy approach to the regulation and governance of self-driving vehicles. CDEIは、自動運転車の規制とガバナンスに対する信頼性の高いアプローチに関する提案を示した報告書を発表した。
Documents 文書
[HTML] 自動運転車における責任あるイノベーション
[PDF] Responsible Innovation in Self-Driving Vehicles: Annex - Regulatory ecosystem 自動運転車の責任あるイノベーション 附属書:規制のエコシステム
Details 詳細
The CDEI was commissioned by the Centre for Connected and Autonomous Vehicles (a joint policy unit within  the Department for Transport and the Department for Business, Energy & Industrial Strategy), to provide expert advice to inform the future regulation and governance of self-driving vehicles. The CDEI’s recommendations in this report directly support, the government’s ‘Connected and Automated Mobility 2025: Realising the benefits of self-driving vehicles in the UK’ - a roadmap which commits to developing a new legislative framework to build trust in self-driving vehicles while enabling innovation. データ倫理・イノベーションセンター (CDEI) は、コネクティッド・自動運転車センター (CCAV) (運輸省とビジネス・エネルギー・産業戦略省の共同政策ユニット)の委託を受け、自動運転車の将来の規制とガバナンスに情報を提供するために専門家の助言を得ている。本報告書におけるCDEIの提言は、政府の「コネクッティッド・自動移動 2025」を直接的にサポートする。このロードマップは、イノベーションを可能にしながら自動運転車に対する信頼を築くための新たな法的枠組みの開発を約束する。
Next steps 次のステップ
This report will inform the work of the Centre for Connected and Autonomous Vehicles as they develop primary and secondary legislation in this area.  As they start to implement the new legislative and regulatory frameworks for self-driving vehicles, we will continue to support their development. 本報告書は、コネクティッド・ 自動運転車センターがこの分野の一次法および二次法を策定する際の参考となる。  自動運転車に関する新たな法規制の枠組みの導入が始まれば、我々はその発展を引き続き支援していく。

 

で、推奨事項要約は、、、

  政策立案者への提言 認定自動運転事業者(ASDE)、無人運転運用者 (NUiC operator) 、および試行組織に対する推奨要件
交通安全 認可当局は、規制当局と連携して、自動運転車に関する道路規則(RR)のガイダンスを開発し、公表すること。 運用設計領域(ODD)は、関連する道路規則と整合性があり、運用設計領域内で合理的に予想される交通弱者を含むすべてのクラスの道路利用者をカバーするすべきである。
認可機関は、認定自動運転事業者が配備された自動運転車の更新を供給する前に、自動運転車性能のどのような変更が再認可を必要とするほど重要であるかを決定するスキームを定義すること。 認定自動運転事業者は、自動運転車の設計と挙動を支配するハイレベルな原則を定めた「安全かつ倫理的な運用概念」(SEOC)を定義すべきである。
データプライバシー 自動運転車規制当局は、情報コミッショナーオフィスと協議の上、認定自動運転事業者と無人運転運用者に対して、データ保護義務が自動運転車にどのように適用されるかを明確にするガイダンスを発行すべきである。 英国のGDPRに従い、認定自動運転事業者と無人運転運用者は、自動運転車の周囲のビデオに不可避的に写り込む顔画像データを収集した時点で、さらに処理する前に匿名化するなど、「設計およびデフォルトによるデータ保護」対策が自動運転車開発プロセス全体に組み込まれることを保証すること。
内務省は、捜査権法2016が認定自動運転事業者と無人運転運用者にどのように適用されるかを明確にするガイダンスを発行すべきである。  
公平性 自動運転車倫理・安全合同委員会の助言を受けた規制当局は、運用者へのフィードバックと集団学習を可能にするために、公正さと安全性の結果に関するデータを収集すべきである。 認定自動運転事業者は、アルゴリズムによるバイアスのリスクを最小化するために、トレーニングデータと運用設計領域の適合性を、認可プロセスで提出される平等影響評価とセーフティケースレポートの一部として報告すべきである。
認可当局と免許当局は、認可と免許の決定の一部として、自動運転車サービスがアクセスの点で非差別的であることを保証すべきである(例:誰が乗客になれるか、誰がサービスにアクセスできるか)。 認定自動運転事業者 は、リスクとバイアスの独立した精査を促進し、リスクの分布を評価できるようにすべきである。
説明可能性 自動運転車倫理・安全合同委員会(後述)は、規制監督に必要な説明可能性の度合いを見直すべきである。 認定自動運転事業者は、動的運転タスク(DDT)中に行われた重要な決定について、通知される事象に至るまでの説明を構築できるように自動運転車を設計するべきである。
衝突、ニアミス、その他の通知すべき事象については、その事象に至るまでの自動運転車の主要な判断について、どのように発生したかを説明できるように、認定自動運転事業者は自動運転車を設計すべきである。
データ共有 安全関連データの開示は、認定自動運転事業者間で標準化されるべきである。使用中の規制当局は、認定自動運転事業者、認可当局、衝突調査ユニット間の共有を容易にするため、安全関連データの一貫した形式を定義すべきである。 認定自動運転事業者 は、認可当局と協議の上、「安全かつ倫理的な運用コンセプト」 の概要を公表し、車両の自動運転が認可された時点で一般に自由に入手できるようにすること。
認定自動運転事業者 と 無人運転運用者は、交通安全に寄与する場合、他の 認定自動運転事業者、使用中の規制当局、認可当局、衝突調査部門など、自動運転車 エコシステムの他の組織から要請があれば、合意されたデータ形式を用いて安全関連データを伝達すべきである。
社会的信頼 コネクティッド・自動運転車センターは、以下のことについて一般市民の意見を求めるために、公開対話と社会調査を継続的に委託すべきである。自動運転車のリスクと利益の配分、インフラや交通ルールの将来の変更とそれに伴うコスト、自動運転車による意思決定の説明可能性、車両のラベリング。 認定自動運転事業者 と 無人運転運用者は、特定の地域で 自動運転車 の試行が計画されている場合、自治体を含む地域社会と連携すべきである。[脚注 10] この連携は、試験や配備に反映されるべきである(例:時間、場所、公共情報、最高速度などに関する条件の設定など)。
公道での試験が事実上の配備となった場合、例えば安全運転者の排除、車両数の大幅な増加、顧客輸送の開始などにより、監視を強化し、安全評価を更新すべきである。 自動運転車は明確にラベル付けされるべきである。車両が自走する能力と従来通りの運転が異なる場合、信号で運転状態を示すべきである。この外部ラベリングは、運転モードを明確に示す車内情報に加えられるべきである。
ガバナンス 認可当局と使用規制当局は、自動運転車倫理・安全合同委員会(CAVES)を設立し、自動運転車の安全性に関する政策と倫理的問題について、議論のあるアドバイスと勧告を提供するべきである。 自動運転車倫理・安全合同委員会は、多様な視点を持つ専門家と一般会員で構成されるべきである。  

 

・[DOCX] 仮訳

 

 

 

でも、上記文書に関連するニュースリリース

U.K. Government -:Department for Transport, Department for Business, Energy & Industrial Strategy, Centre for Connected and Autonomous Vehicles , Centre for Data Ethics and Innovation, The Rt Hon Kwasi Kwarteng MP, and The Rt Hon Grant Shapps MP

 

・2022.08.19 Self-driving revolution to boost economy and improve road safety

Self-driving revolution to boost economy and improve road safety 自動運転革命が経済を活性化し、交通安全を向上させる
New plan for self-driving vehicles plus a consultation on a safety ambition. 自動運転車の新計画に加え、安全性の追求に関する意見募集も実施
・government unveils plan to rollout self-driving vehicles on UK roads, sparking a transport revolution to improve road safety and better connect communities ・政府は、英国の道路に自動運転車を導入する計画を発表し、交通安全を向上させ、コミュニティをより良くつなげるための交通革命を呼び起こす。
・estimated 38,000 new jobs could be created in the UK from predicted £42 billion industry ・推定420億ポンドになる産業から、英国で38,000人の新規雇用が創出される可能性があると試算。
・backed by £100 million to support industry investment and fund research on safety developments ・産業界への投資と安全性向上のための研究資金として、1億ポンドを拠出。
UK roads could see self-driving vehicles rolled out by 2025 thanks to new government plans – backed by £100 million – which prioritise safety through new laws and create thousands of new jobs in the industry. 英国の道路では、1億ポンドの支援を受けた政府の新計画により、2025年までに自動運転車が普及する可能性がある。この計画は、新しい法律により安全を優先させ、業界で数千の新規雇用を創出する。
Some vehicles, including cars, coaches and lorries, with self-driving features could be operating on motorways in the next year, and today’s (19 August 2022) plans set out new legislation which will allow for the safe wider rollout of self-driving vehicles by 2025. This enables the UK to take full advantage of the emerging market of self-driving vehicles – which could create up to 38,000 jobs and could be worth an estimated £42 billion. 自動車、コーチ、ローリーなど、自動運転機能を搭載した一部の車両は、来年には高速道路で走行できるようになる。本日(2022年8月19日)の計画では、2025年までに自動運転車を安全に広く普及させるための新しい規則が定められた。これにより、英国は、最大38,000人の雇用を創出し、推定420億ポンドの価値があるとされる自動運転車の新興市場を最大限に活用することができる。
The government’s vision for self-driving vehicles is backed by a total of £100 million, with £34 million confirmed today for research to support safety developments and inform more detailed legislation. This could include researching the performance of self-driving cars in poor weather conditions and how they interact with pedestrians, other vehicles, and cyclists. 自動運転車に関する政府のビジョンは、総額1億ポンドで支援され、安全性の開発を支援し、より詳細な法律に反映させるための研究に対して、本日3,400万ポンドを拠出することが確定した。これには、悪天候下での自動運転車の性能や、歩行者、他の車両、自転車との相互作用の研究などが含まれるだろう。
The government is also today confirming £20 million, as part of the overall £100 million, to help kick-start commercial self-driving services and enable businesses to grow and create jobs in the UK, following an existing £40 million investment. Successful projects could help see, for example, groceries delivered to customers by self-driving vehicles, or shuttle pods assisting passengers when moving through airports. £6 million will also be used for further market research and to support commercialisation of the technology. また、政府は本日、1億ポンドのうち、既存の4,000万ポンドに続き、自動運転の商用サービスを開始し、英国でのビジネスの成長と雇用創出を可能にするための2,000万ポンドを確定した。プロジェクトが成功すれば、例えば、自動運転車による食料品の配達や、空港での移動時に乗客をサポートするシャトルポッドなどが実現する可能性がある。また、600万ポンドはさらなる市場調査や技術の商業化を支援するために使用される予定である。
Self-driving vehicles could revolutionise public transport and passenger travel, especially for those who don’t drive, better connect rural communities and reduce road collisions caused by human error. Further in the future, they could, for example, provide tailored on-demand links from rural towns and villages to existing public transport options nearby. They could also provide more direct and timely services that enable people to better access vital services such as schools and medical appointments. 自動運転車は、公共交通機関や乗客の移動、特に運転しない人の移動に革命をもたらし、地方のコミュニティをより良く結び、ヒューマンエラーによる道路衝突事故を減らすことができる。さらに将来的には、例えば、地方の町や村から近隣の既存の公共交通機関へのオンデマンドな接続を提供できるようになるかもしれません。また、学校や医療機関などの重要なサービスをよりダイレクトに、よりタイムリーに利用できるようになる可能性もある。
Vehicles that can drive themselves on motorways could be available to purchase within the next year, which users would need a valid driving licence for, so they can drive on other roads. Other self-driving vehicles, for example used for public transport or delivery, expected on the roads by 2025, would not need anyone onboard with a driving licence because they would be able to drive themselves for the whole journey. 高速道路を自動運転する車両は、来年中に購入できるようになる可能性があり、この利用者は有効な運転免許証を取得して、他の道路を運転できるようになる。 その他の自動運転車、例えば公共交通機関や配達に使用される車両は、2025年までに道路上で使用される予定だが、全行程を自分で運転することができるため、運転免許証を持つ人を乗せる必要はない。
Transport Secretary Grant Shapps said: グラント・シャップス運輸大臣は次のように述べている。
The benefits of self-driving vehicles have the potential to be huge. Not only can they improve people’s access to education and other vital services, but the industry itself can create tens of thousands of job opportunities throughout the country. 自動運転車のメリットは非常に大きい。教育やその他の重要なサービスへのアクセスを改善できるだけでなく、この産業自体が国内全域で何万もの雇用機会を創出することができる。
Most importantly, they’re expected to make our roads safer by reducing the dangers of driver error in road collisions. 最も重要なのは、運転手のミスによる交通事故の危険性を減らすことで、道路をより安全にすることが期待されている。
We want the UK to be at the forefront of developing and using this fantastic technology, and that is why we are investing millions in vital research into safety and setting the legislation to ensure we gain the full benefits that this technology promises. 我々は、英国がこの素晴らしい技術の開発と利用の最前線に立つことを望んでいる。そのために、安全性に関する重要な研究に数百万ドルを投資し、この技術が約束する利益を完全に得られるように法整備を進めている。
The government is today consulting on a ‘safety ambition’ for self-driving vehicles to be as safe as a competent and careful human driver. This ambition would inform standards that vehicles need to meet to be allowed to ‘self-drive’ on the roads, and organisations, such as manufacturers, could face sanctions if standards are not met. 政府は本日、自動運転車が有能で慎重な人間のドライバーと同等の安全性を確保するための「安全性の追求」について意見募集をしている。この追求は、道路での「自動運転」を許可するために車両が満たすべき基準を示すものであり、基準を満たさない場合、メーカーなどの組織は制裁を受ける可能性がある。
The new laws for the safe rollout of self-driving vehicles by 2025 will be brought forward when parliamentary time allows. 2025年までに自動運転車を安全に普及させるための新しい法律は、国会の時間が許す限り、前倒しで制定される予定である。
The legislation will build on existing laws, and state that manufacturers are responsible for the vehicle’s actions when self-driving, meaning a human driver would not be liable for incidents related to driving while the vehicle is in control of driving. この法律は、既存の法律をベースに、メーカーが自動運転時の車両の行動に責任を持つことを明記し、車両が運転を制御している間の運転に関する事故について、人間のドライバーは責任を負わないことを意味する。
Business Secretary Kwasi Kwarteng said: クワシー・クワルテン商務長官は次のように述べている。
Self-driving vehicles have the potential to revolutionise people’s lives, particularly by helping those who have mobility issues or rely on public transport to access the jobs, local shops and vital services we all depend on. 自動運転車は、人々の生活に革命をもたらす可能性がある。特に、移動に問題を抱えている人や公共交通機関に依存している人が、仕事や地元の店、我々全員が依存している重要なサービスにアクセスするのを助けることで、人々の生活を向上させることができる。
This funding will help unlock the incredible potential of this industry, attracting investment, developing the UK’s growing self-driving vehicle supply chain, and supporting high-skill jobs as these new means of transport are rolled out. この資金は、この産業の驚くべき可能性を解き放ち、投資を呼び込み、英国で成長する自動運転車のサプライチェーンを発展させ、これらの新しい交通手段が展開される中で高い技能を持つ雇用を支援する。
AA president, Edmund King, said: AA会長のエドモンド・キングは、次のように述べている。
The automotive world is changing rapidly and so the government is right to embrace the positive changes offered by this new technology and back it by funding research and putting forward legislation. Assisted driving systems, for example, autonomous emergency braking and adaptive cruise control, are already helping millions of drivers stay safe on the roads. 自動車業界は急速に変化しているため、政府がこの新技術がもたらす前向きな変化を受け入れ、研究に資金を提供し、法律を制定して支援することは正しいことである。運転支援システム、例えば自律型緊急ブレーキやアダプティブ・クルーズ・コントロールは、すでに何百万人ものドライバーの道路での安全確保に役立っている。
It is still quite a big leap from assisted driving, where the driver is still in control, to self-driving, where the car takes control. It is important that the government does study how these vehicles would interact with other road users on different roads and changing weather conditions. However the ultimate prize, in terms of saving thousands of lives and improving the mobility of the elderly and the less mobile, is well worth pursuing. しかし、運転手がコントロールする運転支援から、クルマがコントロールする自動運転への飛躍は、まだまだこれからである。政府は、さまざまな道路や天候の変化の中で、これらの車が他の道路利用者とどのように相互作用するかを研究することが重要である。しかし、何千人もの命を救い、高齢者や体の不自由な人の移動を改善するという点で、究極の賞は追求する価値がある。
Today also sees the publication of the Centre for Data Ethics and Innovation’s (CDEIResponsible Innovation in Self-Driving Vehicles report, which sets out proposals for a trustworthy approach to the regulation and governance of self-driving vehicles. また、本日、データ倫理・イノベーションセンター(CDEI)のレポート「自動運転車における責任あるイノベーション」が発表され、自動運転車の規制とガバナンスに対する信頼できるアプローチについての提案が示された。

 

で、意見募集(コンサルテーション)をしているのは、こちら・・・

・[PDF] Connected & Automated Mobility 2025: Realising the benefits of self-driving vehicles in the UK

20220821-162126

Foreword 序文
1. Introduction 1. はじめに
1.1 Government’s vision for CAM 1.1 コネクテッド ・自動運転モビリティ (CAM) に対する政府のビジョン
1.2 Why is CAM Important? 1.2 なぜCAMが重要なのか?
1.3 A Note on Language 1.3 言語に関する注意
1.4 Territorial Extent 1.4 領域の範囲
1.5 Consultation – What We’re Asking 1.5 意見募集 - 私たちが求めるもの
1.6 Consultation Principles 1.6 意見語集の原則
1.7 Freedom of Information 1.7 情報の自由
1.8 Privacy Notice 1.8 プライバシーに関する通知
2. Ensuring Safety and Security 2. 安全・安心の確保
2.1 Building the Evidence Base 2.1 証拠ベースの構築
2.2 A new safety framework 2.2 新しい安全性の枠組み
3. Securing the industrial and economic benefits of CAM 3. CAMの産業・経済的メリットの確保
3.1 Responding to the call for evidence on the future of connected and automated mobility in the UK 3.1 英国におけるCAMの未来に関する証拠収集への対応
3.2 Supporting industry’s transition to commercialisation 3.2 産業界の商業化への移行を支援する
3.3 CAM Trade & Investment 3.3 CAMの貿易と投資
4. Delivering the Societal Benefits of CAM 4. CAMの社会的便益の実現
4.1 Future of Transport 4.1 トランスポートの未来
4.2 Developing CAM with the public 4.2 一般市民とのCAMの発展
4.3 Integrating with Wider Networks 4.3 より広いネットワークとの統合
4.4 Environment 4.4 環境
Annex  附属書
A: Government Departments and Agencies A: 政府部局と機関
B: Glossary & Abbreviations B: 用語集と略語
C: Full list of Law Commissions' Recommendations C: 法制委員会の推奨事項全リスト
D: Detailed comment on the Law Commissions' Recommendations D: 法制委員会勧告の詳細コメント
E: The self-driving story so far E: 自動運転に関するこれまでの経緯
F: Summary of findings for the BEIS call for evidence on the future of UK CAM F: 英国CAMの将来に関するビジネス・エネルギー・産業戦略省 (BEIS) の証拠収集のための調査結果の概要

 

2019年に公表された、[PDF] Future of Mobility: Urbam Strategy に示された9つの原則が再掲されていますね。。。英国の場合は、この原則をベースに議論が進んでいるということは理解しておく必要があると思います。

Nine key principles from the Future of Mobility: Urban Strategy モビリティの未来に向けた9つの重要な原則:都市戦略
In facilitating innovation in urban mobility for freight, passengers and services, the Government’s approach will be underpinned as far as possible by the following Principles: 貨物、旅客、サービスのための都市型モビリティの革新を促進する上で、政府のアプローチは、可能な限り以下の原則に裏打ちされたものとする。
1. New modes of transport and new mobility services must be safe and secure by design. 1. 新しい輸送手段と新しいモビリティサービスは、設計上、安全かつ確実でなければならない。
2. The benefits of innovation in mobility must be available to all parts of the UK and all segments of society. 2. モビリティにおけるイノベーションの恩恵は、英国のすべての地域と社会のすべての層が享受できるものでなければならない。
3. Walking, cycling and active travel must remain the best options for short urban journeys. 3. 歩行、自転車、アクティブ・トラベル(人力による移動)は、都市の短距離移動のための最良の選択肢であり続けなければならない。
4. Mass transit must remain fundamental to an efficient transport system. 4. 大量輸送は効率的な交通システムの基本であり続けなければならない。
5. New mobility services must lead the transition to zero emissions. 5. 新しいモビリティサービスがゼロエミッションへの移行をリードしなければならない。
6. Mobility innovation must help to reduce congestion through more efficient use of limited road space, for example through sharing rides, increasing occupancy or consolidating freight. 6. モビリティの革新は、限られた道路空間をより効率的に利用することで渋滞を緩和するものでなければならない。例えば、乗り物の共有、占有率の向上、貨物の集約化などである。
7. The marketplace for mobility must be open to stimulate innovation and give the best deal to consumers. 7. モビリティの市場は、イノベーションを刺激し、消費者に最良の取引をするために、オープンでなければならない。
8. New mobility services must be designed to operate as part of an integrated transport system combining public, private and multiple modes for transport users. 8. 新しいモビリティサービスは、公共交通機関、民間交通機関、複数の交通手段を組み合わせた統合交通システムの一部として運用されるように設計されなければならない。
9. Data from new mobility services must be shared where appropriate to improve choice and the operation of the transport system. 9. 新しいモビリティサービスからのデータは、選択肢と交通システムの運用を改善するために、適切な場合には共有されなければならない。

 

 

・2019.03.16 Future of mobility: urban strategy

・[PDF

20220821-225402

 


 

法制委員会による自動運転車についての発表

U.K. Law Commission

Law-commission

・2022.01.26 Legal reforms to allow safe introduction of automated vehicles announced

・2021.07.02 Responses to Automated Vehicles consultation paper 3

・2020.12.18 Comprehensive regulatory framework for self-driving vehicles proposed to Government

・2020.05.20 Responses to Automated Vehicles consultation paper 2

・2020.05.20 Responses to consultation show future for self-driving passenger vehicles

・2019.10.16 Law Commissions looks to future with self-driving vehicles

・2019.06.19 Law Commissions’ analysis of responses to automated vehicle consultation points to the way forward

・2019.06.18 Responses to the Automated Vehicles consultation 2018-19

Project: Automated Vehicles

| | Comments (0)

カナダ サイバーセキュリティセンター 人工知能 - ITSAP.00.040

こんにちは、丸山満彦です。

カナダのサイバーセキュリティセンターが、AIについてのガイダンス(啓発シリーズ)を作成していますね。。。

簡潔にまとまっていて、参考になりますね。。。

 

Canada.ca - Canadian Centre for Cyber Security - Cyber security guidance

・2022.08.10 Artificial Intelligence - ITSAP.00.040

・[PDF]

20230914-64354

 

Artificial Intelligence - ITSAP.00.040 人工知能 - ITSAP.00.040
Awareness series 啓発シリーズ
The world we live in is being transformed by Artificial Intelligence (AI). This developing technology uses intelligent computer programs (i.e. learning algorithms) to find complex patterns in data to make predictions or classifications. AI is used today to perform specific tasks, such as to use facial recognition to access your mobile device or ask your smart speaker for the weather forecast. Machine learning, a subset of artificial intelligence, uses instructions, known as algorithms, and data to understand languages to help the computer system learn and improve based on its own experience. Deep learning, a subset of machine learning that uses vast volumes of data and a layered structure of algorithms referred to artificial neural network algorithms to train a model to make intelligent decisions on its own. 我々の住む世界は人工知能(AI)によって変貌しつつある。この発展途上のテクノロジーは、インテリジェントなコンピューター・プログラム(すなわち学習アルゴリズム)を使用して、データから複雑なパターンを見つけ出し、予測や分類を行う。AIは今日、顔認識を使ってモバイル・デバイスにアクセスしたり、スマート・スピーカーに天気予報を尋ねるなど、特定のタスクを実行するために使われている。人工知能のサブセットである機械学習は、アルゴリズムとして知られる命令とデータを使用して言語を理解し、コンピューターシステムが自身の経験に基づいて学習し改善するのを助ける。ディープラーニング(深層学習)は機械学習のサブセットで、膨大な量のデータと、人工ニューラルネットワークアルゴリズムと呼ばれるアルゴリズムの階層構造を用いて、モデルが自ら知的な判断を下すように訓練する。
What can AI do? AIは何ができるのか?
AI already plays a big role in our everyday lives. From search engines to online shopping to voice assistants on our mobile device or smart speaker, AI provides recommendations, information, answers to questions, and helps to organize our schedules. These daily applications create data and feedback for machine learning tools to learn and improve from. AIはすでに私たちの日常生活で大きな役割を果たしている。検索エンジンからオンラインショッピング、携帯端末やスマートスピーカーの音声アシスタントに至るまで、AIは推奨事項や情報、質問への回答を提供し、スケジュールの整理を助けてくれる。これらの日常的なアプリケーションは、機械学習ツールが学習し改善するためのデータとフィードバックを生み出す。
What can’t AI do today? 今日、AIは何ができないのか?
A few fundamental limitations still exist for AI today. Using reasoning or common sense, and adapting to different situations, and understanding cause and effect are all quite difficult for AI. Humans, with their judgement and insight, are still better able to handle situations that require these types of problem solving and decision making skills. 今日でもAIにはいくつかの基本的な限界が存在する。推論や常識を用いること、異なる状況に適応すること、原因と結果を理解することは、すべてAIにとって非常に難しいことだ。判断力や洞察力のある人間の方が、こうした問題解決や意思決定のスキルを必要とする状況に対処できる。
What are some of the ways in which organizations are using AI? 組織がAIを活用する方法にはどのようなものがあるか?
Facial recognition: A leading application of AI that looks at facial features in an image or video to identify or verify the individual. 顔認識: 画像やビデオの顔の特徴を見て、個人を識別・確認するAIの代表的なアプリケーション。
Process optimization: A properly trained machine learning tool (one learning from accurate data) can use the data to give more accurate solutions and perform mundane tasks faster than a human can. プロセスの最適化: 適切に訓練された機械学習ツール(正確なデータから学習するもの)は、データを使用してより正確なソリューションを提供し、人間よりも速く平凡なタスクを実行することができる。
Digital Assistants: Chat or voice bots can improve customer service and reduce support costs. Customers can receive help within seconds—24 hours a day, seven days a week. These services are often highly personalized and can be based on a user’s preferences and history with the organization. デジタル・アシスタント: チャットや音声ボットは、顧客サービスを改善し、サポートコストを削減することができる。顧客は1日24時間、年中無休で、数秒以内にサポートを受けることができる。これらのサービスは高度にパーソナライズされていることが多く、ユーザーの好みや組織との取引履歴に基づくことができる。
Healthcare: In the medical industry, AI aids in patient diagnosis and treatment in a variety of ways, such as computer-aided diagnostic systems that assist in making a diagnosis. Machine learning in precision medicine is another highly useful tool and is used to help predict which treatments are most likely to succeed on a patient. ヘルスケア: 医療業界では、AIは様々な方法で患者の診断と治療を支援している。例えば、診断を支援するコンピューター支援診断システムなどである。精密医療における機械学習も非常に有用なツールであり、どの治療法が患者にとって最も成功しやすいかを予測するのに役立てられている。
Fraud detection: Sophisticated machine learning tools can detect fraudulent emails faster than a human can. These tools sort through your inbox and move spam and phishing emails to your junk folder. 不正検知: 洗練された機械学習ツールは、人間よりも早く詐欺メールを検知することができる。これらのツールは受信トレイを選別し、スパムやフィッシングメールを迷惑メールフォルダーに移動させる。
Data analysis: Using machine learning algorithms, AI is capable of analyzing large amounts of data and discover new patterns. This greatly reduces the processing time spent by a data analyst, known as automation, and improves business performance. データ分析: 機械学習アルゴリズムを使用することで、AIは大量のデータを分析し、新しいパターンを発見することができる。これにより、自動化と呼ばれるデータアナリストの処理時間が大幅に短縮され、業績が改善される。
Cybersecurity: AI is useful in detecting new threats to organizations through automation. By using sophisticated algorithms, AI are able to automate threat detection  such as malware, run pattern recognition to find relationships between different attack vectors and provides superior predictive intelligence. サイバーセキュリティ: AIは自動化によって組織に対する新たな脅威を検知するのに役立つ。高度なアルゴリズムを使用することで、AIはマルウェアなどの脅威検知を自動化し、パターン認識を実行して異なる攻撃ベクトル間の関係を見つけ、優れた予測インテリジェンスを提供することができる。
What are the threats of AI tools? AIツールの脅威とは何か?
AI tools are often only as good as the data model they rely upon. The main threats to AI come from compromises to its data. Common methods of compromise include: AIツールは多くの場合、依拠するデータモデルと同程度の性能しか持たない。AIに対する主な脅威は、データに対する侵害から来る。一般的な侵害方法には以下のようなものがある:
Data poisoning attack: This type of attack occurs at a machine learning tool’s training phase. AI tools rely heavily on accurate data for training. When poisoned (inaccurate) data is injected into the training data set, the poisoned data can lead the learning system to make mistakes. データポイズニング攻撃: この種の攻撃は、機械学習ツールの学習段階で発生する。AIツールは、学習のための正確なデータに大きく依存している。ポイズニングされた(不正確な)データがトレーニングデータセットに注入されると、ポイズニングされたデータによって学習システムがミスを犯す可能性がある。
Adversarial example: This type of attack occurs after the machine learning tool is trained. The tool is fooled into classifying inputs incorrectly. For example, in the case of autonomous vehicles, an adversarial example could be a slight modification of traffic signs in the physical world (subtle fading or stickers applied to a stop sign), causing the vehicle’s AI system to misclassify a stop sign as a speed-limit sign. This could seriously impact the safe operation of self-driving vehicles. 敵対的な例: このタイプの攻撃は、機械学習ツールの学習後に発生する。機械学習ツールは騙されて入力を誤って分類してしまう。例えば、自律走行車の場合、敵対的な例として、物理世界における交通標識のわずかな修正(微妙な色あせや、一時停止標識に貼られたステッカー)により、車両のAIシステムが一時停止標識を速度制限標識と誤分類してしまうことが考えられる。これは自動運転車の安全運転に深刻な影響を与える可能性がある。
Model inversion and membership inference attacks: both of these scenarios occur when a threat actor queries your organization’s data model. A model inversion attack will reveal the underlying data set, allowing the threat actor to reproduce the training data. A membership inference attack confirms if a specific data file is part of the training data. Both model inversion and membership inference attacks could compromise the confidentiality and privacy of your training data and expose sensitive information. モデル反転攻撃とメンバシップ推論攻撃:これらのシナリオはいずれも、脅威行為者が組織のデータモデルにクエリを発行する際に発生する。モデル反転攻撃は、基礎となるデータセットを明らかにし、脅威行為者が学習データを再現できるようにする。メンバーシップ推論攻撃は、特定のデータファイルがトレーニングデータの一部であるかどうかを確認する。モデル反転攻撃とメンバーシップ推論攻撃はどちらも、トレーニングデータの機密性とプライバシーを侵害し、機密情報を暴露する可能性がある。
What else should you know about AI? AIについて他に知っておくべきことは?
Machine learning tools can detect patterns in data. 機械学習ツールはデータのパターンを検知することができる。
Machine learning tools need enough data to see the patterns at a high enough frequency. 機械学習ツールは、十分な頻度でパターンを見るために十分なデータを必要とする。
Data used for training should be complete, diverse, and accurate. トレーニングに使用するデータは、完全で、多様で、正確でなければならない。
・If there are blanks in the data, some patterns might not be discovered, and the patterns that are found might not be accurate. ・データに空白があれば、いくつかのパターンが発見されないかもしれないし、発見されたパターンも正確ではないかもしれない。
・If the data used is not diverse, the tool will have a narrow scope. ・使用するデータが多様でなければ、ツールの適用範囲は狭くなる。
・If the training data used is not accurate, the tool will provide unreliable results. ・使用されるトレーニングデータが正確でなければ、ツールは信頼できない結果を提供することになる。
Data that is recorded and collected for “quality control” purposes can contain both sensitive and personal information. 品質管理」目的で記録・収集されるデータには、機密情報や個人情報が含まれている可能性がある。
Many organizations are now using trustworthy AI policies to ensure that their use of AI tools minimize potential biases and unintended consequences, especially regarding the treatment of individuals. Policies may also assist in the development of appropriate protocols for the handling of sensitive and personal information An example of an AI policy is the Government of Canada’s recently adopted Directive on Automated Decision-Making. 現在、多くの組織が信頼できるAIポリシーを使用して、AIツールの使用によって、特に個人の扱いに関する潜在的なバイアスや意図しない結果を最小限に抑えるようにしている。ポリシーはまた、機密情報や個人情報の取り扱いに関する適切なプロトコルの策定を支援することもある。AIポリシーの例としては、カナダ政府が最近採択した「自動意思決定に関する指令」がある。
If your organization intends to deploy AI, it should consider seeking legal advice to manage the many ethical, privacy, policy, and legal considerations that come from using AI. あなたの組織がAIを導入するつもりなら、AIの使用から生じる多くの倫理的、プライバシー的、政策的、法的な考慮事項を管理するために、法的助言を求めることを検討すべきである。

 

 

| | Comments (0)

2022.08.21

英国 情報コミッショナーオフィスと国家サイバーセキュリティセンターが事務弁護士にランサムウェアの身代金の支払いに歯止めをかけるように依頼 (2022.07.07)

こんにちは、丸山満彦です。

英国の情報コミッショナーオフィスと国家サイバーセキュリティセンターが共同で、2022.07.07に事務弁護士にランサムウェアの身代金の支払いに歯止めをかけるように依頼していましたね。。。気付かなかったですね。。。(1ヶ月以上も前...)

制度が同じわけではないので、単純比較はできないですが、、、日本でいえば、個人情報保護委員会と内閣官房サイバーセキュリティセンターが共同で、弁護士会にランサムウェアの身代金の支払いに歯止めをかけるように依頼しているということになりますかね。。。

 

Fig1_20220820141201

 

Information Commissioner's Office

・2022.07.08 ICO and NCSC stand together against ransomware payments being made

・[PDF] Letter from the Information Commissioner

 

 

National Cyber Security Centre

・2022.07.08 Solicitors urged to help stem the rising tide of ransomware payments

・[PDF] Joint ICO and NCSC letter to The Law Society and the The Bar Council

 

 


その内容...

 

Information Commissioner's Office

・2022.07.08 ICO and NCSC stand together against ransomware payments being made

ICO and NCSC stand together against ransomware payments being made ICOとNCSCは、ランサムウェアの支払いに対抗するため、共に立ち上がる
Solicitors are today being asked to play their part in keeping the UK safe online by helping to tackle the rise in organisations paying out to ransomware criminals. 事務弁護士に、ランサムウェアの犯罪者に身代金を支払う企業が増加していることに対処し、英国のオンラインの安全を守る役割を果たすよう、本日要請しました。
The National Cyber Security Centre (NCSC) and Information Commissioner’s Office (ICO) have been told that some firms are paying ransoms with the expectation that this is the right thing to do and they do not need to engage with the ICO as a regulator, or will gain benefit from it by way of reduced enforcement. This is incorrect. 国家サイバーセキュリティセンター (NCSC) と情報コミッショナーオフィス (ICO) は、一部の企業が身代金を支払うことは正しいことであり、規制当局であるICOと関わる必要はない、あるいは規制の緩和により恩恵を受けることができると考えていると報告されています。これは間違っています。
Ransomware involves the encrypting of an organisation’s files by cyber criminals, who demand money in exchange for providing access to them. ランサムウェアは、サイバー犯罪者が組織のファイルを暗号化し、アクセスを提供するのと引き換えに金銭を要求するものです。
In a joint letter, NCSC and the ICO ask the Law Society to remind its members that they should not advise clients to pay ransomware demands should they fall victim to a cyber-attack. NCSCとICOは共同書簡で、法曹協会に対し、サイバー攻撃の被害に遭ったクライアントに対して身代金要求の支払いを助言してはならないことを喚起するよう求めています。
Paying ransoms to release locked data does not reduce the risk to individuals, is not an obligation under data protection law, and is not considered as a reasonable step to safeguard data. 身代金を支払ってロックされたデータを解放しても、個人のリスクは減らず、データ保護法上の義務でもなく、データを保護するための合理的な措置とは見なされません。
The ICO has clarified that it will not take this into account as a mitigating factor when considering the type or scale of enforcement action. It will however consider early engagement and co-operation with the NCSC positively when setting its response. ICOは、強制措置の種類や規模を検討する際に、これを緩和要因として考慮しないことを明確にしています。しかし、対応を決定する際には、NCSCとの早期の関わりと協力を前向きに検討するとのことです。
NCSC CEO Lindy Cameron said: NCSCのCEOであるLindy Cameronは次のように述べています。
“Ransomware remains the biggest online threat to the UK and we are clear that organisations should not pay ransom demands. 「ランサムウェアは依然として英国における最大のオンライン上の脅威であり、私たちは組織が身代金要求を支払ってはならないことを明確にしています。
“Unfortunately we have seen a recent rise in payments to ransomware criminals and the legal sector has a vital role to play in helping reverse that trend. 「残念ながら、ランサムウェアの犯罪者への支払いは最近増加しており、この傾向を逆転させるために、法律部門は重要な役割を担っています。
“Cyber security is a collective effort and we urge the legal sector to help us tackle ransomware and keep the UK safe online.” 「サイバーセキュリティは集団で取り組むべきものであり、ランサムウェアに対処し、英国をオンラインで安全に保つために、法律部門が協力することを強く求めます」。
John Edwards, UK Information Commissioner, added:  英国情報コミッショナーのJohn Edwardsは、次のように付け加えました。 
“Engaging with cyber criminals and paying ransoms only incentivises other criminals and will not guarantee that compromised files are released. It certainly does not reduce the scale or type of enforcement action from the ICO or the risk to individuals affected by an attack. 「サイバー犯罪者と関わり、身代金を支払うことは、他の犯罪者を刺激するだけで、危険にさらされたファイルが解放されることを保証するものではありません。 また、ICOによる強制措置の規模や種類、攻撃の影響を受ける個人のリスクを軽減するものでもありません。
“We’ve seen cyber-crime costing UK firms billions over the last five years. The response to that must be vigilance, good cyber hygiene, including keeping appropriate back up files, and proper staff training to identify and stop attacks. Organisations will get more credit from those arrangements than by paying off the criminals. 「過去5年間、サイバー犯罪によって英国企業は何十億もの損失を被っています。その対策として、警戒、適切なバックアップファイルの保持を含む優れたサイバー衛生、攻撃を特定し阻止するための適切なスタッフトレーニングが必要です。組織は、犯罪者に金を払うよりも、そうした態勢からより多くの信用を得ることができるだろう。
“I want to work with the legal profession and NCSC to ensure that companies understand how we will consider cases and how they can take practical steps to safeguard themselves in a way that we will recognise in our response should the worst happen.” 「私は、法律家やNCSCと協力して、私たちがどのようにケースを検討し、最悪の事態が発生した場合に私たちが認識できるような方法で、企業が自らを保護するための実践的な手段を確実に理解できるようにしたいと考えています」。
What should organisations do? 組織は何をすべきか?
In the event of a ransomware attack there is a regulatory requirement to report to ICO as the data regulator if people are put at high risk whereas NCSC – as the technical authority on cyber security – provides support and incident response to mitigate harm and learn broader cyber security lessons. ランサムウェアの攻撃を受けた場合、人々が高いリスクにさらされる場合は、データ規制当局であるICOに報告するという規制要件があります。一方、サイバーセキュリティの技術的権威であるNCSCは、被害を軽減し、より広いサイバーセキュリティの教訓を学ぶためのサポートと事故対応を提供します。
The ICO will recognise when organisations have taken steps to fully understand what has happened and learn from it, and, where appropriate, they have raised their incident with NCSC and they can evidence that they have taken advice from or can demonstrate compliance with appropriate NCSC guidance and support.  ICOは、組織が何が起こったかを十分に理解し、そこから学ぶための措置を講じ、適切な場合にはNCSCに事件を報告し、NCSCの適切なガイダンスとサポートからアドバイスを受けたこと、またはその遵守を証明することができる場合に、それを認めます。 
The NCSC has a wide range of guidance on mitigating the ransomware threat, for example advising companies to keep offline back-ups. All of its advice can be found on its ransomware portal. NCSCは、ランサムウェアの脅威を軽減するための幅広いガイダンスを用意しており、例えば、オフラインでバックアップをとっておくよう企業に助言しています。 NCSCのすべてのアドバイスは、ランサムウェアのポータルサイトで確認できます。
The ICO recently updated ransomware guidance, which can be found on its website. ICOは最近、ランサムウェアに関するガイダンスを更新し、そのウェブサイトから入手できます。
Notes to Editors 編集後記
1. The Information Commissioner’s Office (ICO) is the UK’s independent regulator for data protection and information rights law, upholding information rights in the public interest, promoting openness by public bodies and data privacy for individuals. It has its head office in Wilmslow, Cheshire, and regional offices in Edinburgh, Cardiff and Belfast. 1. 情報コミッショナーオフィス(ICO)は、データ保護と情報権利法に関する英国の独立規制機関であり、公共の利益のために情報権利を支持し、公共機関による公開と個人のデータプライバシーを促進します。チェシャー州ウィルムスローに本部を置き、エジンバラ、カーディフ、ベルファストに地域事務所を構えています。
2. The ICO has specific responsibilities set out in the Data Protection Act 2018 (DPA2018), the General Data Protection Regulation (GDPR), the Freedom of Information Act 2000 (FOIA), Environmental Information Regulations 2004 (EIR), Privacy and Electronic Communications Regulations 2003 (PECR) and a further five Acts / Regulations.  2. ICOは、データ保護法2018(DPA2018)、一般データ保護規則(GDPR)、情報公開法2000(FOIA)、環境情報規則2004(EIR)、プライバシーおよび電子通信規則2003(PECR)、さらに5つの法律/規則で定められた特定の責任を担っています。 
3. The ICO can take action to change the behaviour of organisations and individuals that collect, use and keep personal information. This includes criminal prosecution, non-criminal enforcement and audit.  3. ICOは、個人情報を収集、使用、保管する組織や個人の行動を変えるために行動を起こすことができます。これには、刑事訴追、非刑事的執行、監査が含まれます。 
4. To report a concern to the ICO telephone our helpline 0303 123 1113 or go to ico.org.uk/concerns. 4. ICOに懸念を報告するには、ヘルプライン0303 123 1113に電話するか、ico.org.uk/concernsにアクセスしてください。

 

National Cyber Security Centre

・2022.07.08 Solicitors urged to help stem the rising tide of ransomware payments

 

Solicitors urged to help stem the rising tide of ransomware payments ランサムウェアによる支払の増加に歯止めをかけるよう事務弁護士に要請
The NCSC and ICO share joint letter with the Law Society after increases in ransomware payments. ランサムウェアの支払い増加を受けて、NCSCとICOが法曹協会と共同書簡を共有。
・Request from the National Cyber Security Centre and the Information Commissioner’s Office follows rise in ransomware payments being made ・ランサムウェアの支払い増加を受けて、ナショナル・サイバー・セキュリティ・センターと情報コミッショナーオフィスから要請がありました。
・Organisations ask the Law Society to remind solicitors of their advice on ransomware and emphasise the payment of a ransom will not keep data safe or be viewed by the ICO as a mitigation ・ランサムウェアに関する事務弁護士のアドバイスを再確認し、身代金の支払いはデータの安全性を維持せず、ICOが緩和策と見なすことを強調するよう、各団体は法律協会に依頼
・Legal sector has key role to play in helping reduce ransomware – which remains the biggest online threat to the UK ・英国における最大のオンライン脅威であるランサムウェアを減らすために、法律部門は重要な役割を担っています。
Solicitors are being asked to play their part in keeping the UK safe online by helping to tackle a rise in payments being made to ransomware criminals. 事務弁護士には、ランサムウェアの犯罪者に支払われる金額の増加に対処し、英国のオンライン上の安全を確保するための役割を果たすことが求められています。
In a joint letter, the National Cyber Security Centre (NCSC) and Information Commissioner’s Office (ICO) ask the Law Society to remind its members of their advice on ransomware and emphasise that paying a ransom will not keep data safe or be viewed by the ICO as a mitigation in regulatory action. ナショナル・サイバー・セキュリティ・センター(NCSC)と情報コミッショナーオフィス(ICO)は共同書簡で、法曹協会に対し、ランサムウェアに関するアドバイスを会員に思い出させ、身代金を支払うことでデータの安全が保たれたり、ICOが規制措置を緩和すると見なされることはないことを強調するよう要請しています。
In their letter, the NCSC – which is a part of GCHQ – and the ICO state that they have seen evidence of a rise in ransomware payments, and that in some cases solicitors may have been advising clients to pay, in the belief that it will keep data safe or lead to a lower penalty from the ICO. GCHQの一部であるNCSCとICOは書簡の中で、ランサムウェアの支払いが増加している証拠を見たとしており、場合によっては、事務弁護士が、データの安全性を保てる、あるいはICOからのペナルティの軽減につながると考えて、顧客に支払いを勧めていた可能性があると述べています。
The two organisations ask the Law Society to clarify to its members that this is not that case, and that they do not encourage or condone paying ransoms, which can further incentivise criminals and will not guarantee that files are returned. 両団体は、法曹協会に対し、そのようなことはないこと、また、犯罪者をさらに刺激し、ファイルの返却を保証しない身代金の支払いを奨励または容認しないことを会員に明確にするよう要請しています。
Ransomware involves the encrypting of an organisation’s files by cyber criminals, who demand money in exchange for providing access to them. These attacks are becoming more sophisticated and damaging and the UK Government is working with partners across the board to mitigate the threat. With this in mind, in December 2021 the National Cyber Strategy was launched to provide £2.6bn of new investment and strengthen the UK’s role as a responsible cyber power. ランサムウェアは、サイバー犯罪者が組織のファイルを暗号化し、アクセスを提供する代わりに金銭を要求するものです。これらの攻撃はより巧妙になり、被害も拡大しているため、英国政府はあらゆる分野のパートナーと協力し、脅威を軽減するための取り組みを行っています。このことを念頭に、2021年12月、26億ポンドの新規投資を行い、責任あるサイバー大国としての英国の役割を強化するための「国家サイバー戦略」が開始されました。
Tackling cyber crime, in particular ransomware, is at the heart of the strategy which aims at increasing capability of law enforcement partners so they can better respond to cyber attacks. For instance, the National Cyber Crime Unit (NCCU) within the National Crime Agency (NCA) was created to bring together law enforcement experts into a single elite unit. There is also an established network of regional cyber crime units (ROCUs) to provide access to specialist capabilities across the country. サイバー犯罪、特にランサムウェアへの対処がこの戦略の中心で、法執行機関のパートナーの能力を高め、サイバー攻撃によりよく対応できるようにすることを目的としています。例えば、国家犯罪捜査局(NCA)内に設置された国家サイバー犯罪ユニット(NCCU)は、法執行機関の専門家を1つの精鋭部隊に結集させるために設立されました。また、地域サイバー犯罪ユニット(ROCU)のネットワークも確立されており、全国各地の専門的な能力を利用することができます。
NCSC CEO Lindy Cameron said: NCSCのCEOであるLindy Cameronは次のように述べています。
“Ransomware remains the biggest online threat to the UK and we do not encourage or condone paying ransom demands to criminal organisations. 「ランサムウェアは、依然として英国における最大のオンライン上の脅威であり、犯罪組織に身代金の要求を支払うことは奨励も容認もしません。
“Unfortunately we have seen a recent rise in payments to ransomware criminals and the legal sector has a vital role to play in helping reverse that trend. 「残念ながら、ランサムウェアの犯罪者への支払いは最近増加しており、この傾向を逆転させるために、法律部門は重要な役割を担っています。
“Cyber security is a collective effort and we urge the legal sector to work with us as we continue our efforts to fight ransomware and keep the UK safe online.” 「サイバーセキュリティは集団で取り組むものであり、ランサムウェアと戦い、英国をオンラインで安全に保つための努力を続けている私たちと協力するよう、法律家に強く求めます」。
John Edwards, UK Information Commissioner, added: 英国情報コミッショナーのJohn Edwardsは、次のように付け加えました。
“Engaging with cyber criminals and paying ransoms only incentivises other criminals and will not guarantee that compromised files are released. It certainly does not reduce the scale or type of enforcement action from the ICO or the risk to individuals affected by an attack. 「サイバー犯罪者と関わり、身代金を支払うことは、他の犯罪者を刺激するだけで、危険にさらされたファイルが解放されることを保証するものではありません。また、ICOによる強制捜査の規模や種類、攻撃の影響を受ける個人のリスクを減らすこともできません。
“We’ve seen cyber crime costing UK firms billions over the last five years. The response to that must be vigilance, good cyber hygiene, including keeping appropriate back up files, and proper staff training to identify and stop attacks. Organisations will get more credit from those arrangements than by paying off the criminals. 「過去5年間、サイバー犯罪によって英国企業は何十億もの損失を被ってきました。このような事態に対処するためには、警戒を怠らず、適切なバックアップファイルを保管するなどのサイバー衛生を徹底し、攻撃を発見して阻止するための適切なスタッフトレーニングを行う必要があります。組織は、犯罪者に金を払うよりも、そうした態勢からより多くの信用を得ることができるだろう。
“I want to work with the legal profession and NCSC to ensure that companies understand how we will consider cases and how they can take practical steps to safeguard themselves in a way that we will recognise in our response should the worst happen.” 「私は、法律家やNCSCと協力して、私たちがどのようにケースを検討し、最悪の事態が発生した場合に私たちが認識できるような方法で、企業が自らを保護するための実践的な手段を確実に理解できるようにしたいと考えています」。
In the event of a ransomware attack or other cyber crimes, organisations should report directly an ongoing incident to Action Fraud (on 0300 123 2040 which is available 24/7), Information Commissioner’s Office (for data breaches under the GDPR), or to the NCSC for any major cyber incidents. Law enforcement will then be able to mitigate the impact of the attack and secure evidence that can assist an investigation.  ランサムウェア攻撃やその他のサイバー犯罪が発生した場合、組織は、アクション・フラウド(24時間365日対応の0300 123 2040)、情報コミッショナーオフィス(GDPRに基づくデータ侵害の場合)、または大規模サイバー事件の場合はNCSCに進行中の事件を直接報告すべきです。法執行機関は、攻撃の影響を緩和し、捜査を支援する証拠を確保することができます。 
The ICO will recognise when organisations have taken steps to fully understand what has happened and learn from it, and, where appropriate, they have raised their incident with the NCSC and they can evidence that they have taken advice from or can demonstrate compliance with appropriate NCSC guidance and support. ICOは、組織が何が起こったかを十分に理解し、そこから学ぶための措置を講じ、適切な場合にはNCSCに事件を提起し、NCSCの適切なガイダンスとサポートから助言を得たこと、またはその遵守を証明できることを認識することになります。
The NCSC has a wide range of guidance on mitigating the ransomware threat, for example advising companies to keep offline back-ups. All of its advice can be found on its ransomware pages. The ICO recently updated ransomware guidance can be found on its website. NCSCは、ランサムウェアの脅威を軽減するための幅広いガイダンスを用意しており、たとえば、オフラインでバックアップをとっておくよう企業に助言しています。NCSCのすべてのアドバイスは、ランサムウェアのページで確認できます。ICOが最近更新したランサムウェアのガイダンスは、同ウェブサイトに掲載されています。

 

・[PDF] Joint ICO and NCSC letter to The Law Society and the The Bar Council

RE: The legal profession and its role in supporting a safer UK online.  RE: より安全な英国のオンラインを支える法律専門職とその役割 
We are writing to ask for your assistance in sharing some key messages with the legal profession in England and Wales to assist them in better advising their clients who may have suffered a cybersecurity incident.   私たちは、イングランドおよびウェールズの法律専門家が、サイバーセキュリティの被害に遭った可能性のあるクライアントに対してより良いアドバイスを提供できるよう、いくつかの重要なメッセージを共有するための支援をお願いするために、この文章を書きました。 
In recent months, we have seen an increase in the number of ransomware attacks and ransom amounts being paid and we are aware that legal advisers are often retained to advise clients who have fallen victim to ransomware on how to respond and whether to pay. It has been suggested to us that a belief persists that payment of a ransom may protect the stolen data and/or result in a lower penalty by the ICO should it undertake an investigation. We would like to be clear that this is not the case.   ここ数ヶ月、ランサムウェアの攻撃や身代金の支払い件数が増加しており、ランサムウェアの被害に遭ったクライアントに対応方法や支払いの可否についてアドバイスするために法律顧問を依頼することが多いことを承知しています。身代金を支払えば、盗まれたデータを保護でき、ICOが調査を行う際の罰則が軽くなるとの考えが根強いとの指摘があります。私たちは、このようなことがないことを明確にしたいと思います。 
Law Enforcement does not encourage, endorse nor condone the payment of ransoms. While payments are not usually unlawful, payers should be mindful of how relevant sanctions regimes (particularly those related to Russia) – and their associated public guidance - may change that position.  More importantly, payment incentivises further harmful behaviour by malicious actors and does not guarantee decryption of networks or return of stolen data. UK data protection law requires organisations to take appropriate technical and organisational measures to keep personal information secure and to restore information in the event of an information security incident. As regulator, the ICO recognises in setting its response and any penalty level the actions taken to mitigate the risk of harm to individuals involved in a data breach. For the avoidance of doubt the ICO does not consider the payment of monies to criminals who have attacked a system as mitigating the risk to individuals and this will not reduce any penalties incurred through ICO enforcement action.  法執行機関は、身代金の支払いを奨励、保証、容認するものではありません。支払いは通常違法ではありませんが、支払者は、関連する制裁制度(特にロシアに関連する制裁制度)および関連する公的ガイダンスがその立場をどのように変える可能性があるかに留意する必要があります。 さらに重要なことは、支払いは悪意のある行為者の有害な行動をさらに助長し、ネットワークの復号や盗まれたデータの返還を保証するものではないということです。英国のデータ保護法は、個人情報を安全に保ち、情報セキュリティ事故の際に情報を復元するために、適切な技術的・組織的措置を講じることを組織に義務付けています。ICOは、規制当局として、データ侵害に関与する個人への被害リスクを軽減するために取られた措置を、その対応とあらゆる罰則レベルの設定において認識します。疑問を避けるため、ICOはシステムを攻撃した犯罪者に金銭を支払うことを個人へのリスク軽減とは見なさず、ICOの強制措置によって発生する罰則を軽減することはありません。
Where the ICO will recognise mitigation of risk is where organisations have taken steps to fully understand what has happened and learn from it, and, where appropriate, they have raised their incident with the NCSC, reported to Law Enforcement via Action Fraud, and can evidence that they have taken advice from or can demonstrate compliance with appropriate NCSC guidance and support.   ICOがリスクの軽減を認めるのは、組織が何が起こったかを完全に理解し、そこから学ぶための措置を講じ、適切な場合には、NCSCに事件を提起し、Action Fraud(不正アクション)を通じて法執行機関に報告し、適切なNCSCガイダンスとサポートからアドバイスを受けたこと、またはその遵守を証明できる場合です。 
The cost of cyber crime is estimated to be in the billions. The Economic and Social Costs of Crime report estimated an overall cost of £1.1bn from computer misuse incidents against individuals in England and Wales in the 2015/16 financial year. However, this is a partial estimate only. Crucially, this does not include the cost to businesses which are thought to bear the majority of the cyber crime costs, meaning the true cost from cyber crime will be much higher.  サイバー犯罪のコストは数十億ドルに上ると推定されています。「犯罪の経済的・社会的コスト報告書」では、2015/16会計年度にイングランドとウェールズで発生した個人に対するコンピュータ悪用事件から、全体として11億ポンドのコストがかかると推定しています。しかし、これはあくまで部分的な推計です。重要なのは、これにはサイバー犯罪のコストの大部分を負担すると考えられている企業へのコストが含まれていないことで、サイバー犯罪による真のコストはもっと高くなることを意味します。
As the regulator of the security principle the ICO has recently published its updated ransomware guidance . This sets out an up-to-date view of the common ransomware compliance issues including what you should do if you receive an offer to make a payment. The NCSC website has a ransomware hub  which sets out all its guidance in one place.  セキュリティ原則の監督官庁であるICOは、最近、最新のランサムウェア・ガイダンス(Ransomware Guidance)を発表しました。このガイダンスでは、ランサムウェアの一般的なコンプライアンスに関する最新の見解が示されており、支払いの申し出があった場合にどうすべきかが示されています。NCSCのウェブサイトには、ランサムウェアのハブがあり、すべてのガイダンスが一箇所にまとまっています。
In the event of a ransomware attack, there may be a regulatory requirement to report to the ICO as the data regulator whereas NCSC – as the technical authority on cyber security – provides support and incident response to mitigate harm and learn broader cyber security lessons. The NCSC works with organisations to ensure they have understood how they came to be a victim of ransomware, have understood the cyber security implications and taken steps to protect themselves from similar incidents. Neither the NCSC nor Law Enforcement share information on incidents with any regulators without permission from the affected organisation.  However, the ICO, the NCSC and Law Enforcement continue to work together – sharing information on strategic trends – to ensure we are making the UK a safer place to be online. ランサムウェアの攻撃があった場合、データ規制当局であるICOに報告することが規制上求められる場合がありますが、NCSCはサイバーセキュリティの技術的権威として、被害を軽減し、より幅広いサイバーセキュリティの教訓を学ぶためのサポートとインシデント対応を提供します。NCSCは、組織がランサムウェアの被害に遭った経緯を理解し、サイバーセキュリティの意味を理解し、同様の事件から身を守るための措置を講じることができるよう、組織と連携しています。NCSCとLaw Enforcementは、被害を受けた組織の許可なしに、インシデントに関する情報をいかなる規制当局とも共有することはありません。 しかし、ICO、NCSC、Law Enforcementは、英国をより安全なオンライン環境にするために、戦略的なトレンドに関する情報を共有し、引き続き協力していきます。
The National Crime Agency (NCA) lead the Law Enforcement response to ransomware and work closely with the National Police Chiefs Council (NPCC), Regional Organised Crime Units and Local Police forces to investigate offenders and deliver services to support victims of ransomware.  These include Cyber Resilience Centres across the country which provide support to the smallest businesses to help them understand their cyber security requirements and the necessary steps they need to take to fulfil obligations under UKGDPR and DPA 18.   国家犯罪局(NCA)は、ランサムウェアに対する法執行機関の対応を主導し、全国警察署長会議(NPCC)、地域組織犯罪課、地方警察と緊密に連携して、犯罪者を捜査するとともに、ランサムウェアの被害者を支援するサービスを提供しています。 また、国内にはサイバーレジリエンスセンターがあり、小規模な企業に対して、サイバーセキュリティの要件やUKGDPRおよびDPA18に基づく義務を果たすために必要な措置について理解を深めるための支援を行っています。 
We are keen to engage and work with you, and, through you the profession, to ensure there is understanding and clarity about the cyber security standards we expect organisations to follow when they have been a victim of a cyber attack. This engagement is already well supported by the Insurance Trust Group and we welcome the collaboration between the NCSC, Law Society and Bar Council on the recent Cybersecurity questionnaire for the sector.  私たちは、組織がサイバー攻撃の被害に遭ったときに従うべきサイバーセキュリティの基準について理解と明確化を図るため、皆さんと、そして皆さんを通じて専門家と関わり、協力していきたいと考えています。この取り組みは、すでに保険信託グループによって十分にサポートされています。また、この分野のための最近のサイバーセキュリティ質問票に関するNCSC、法曹協会、事務弁護士会の協力も歓迎しています。 
If it would be helpful to meet to discuss how we might collaborate further on this we would be pleased to do so. Please contact Scott C at NCSC and he can work with your teams to make the necessary arrangements.  もし、この件に関してどのように協力できるかを話し合うためにお会いすることが有益であるならば、喜んでそうさせていただきます。NCSCのScott Cにご連絡いただければ、あなたのチームと協力して必要な手配をさせていただきます。。
Yours sincerely  敬具 
John Edwards  ジョン・エドワーズ 
UK Information Commissioner Information Commissioner’s Office  英国情報コミッショナー 情報コミッショナーオフィス 
Lindy Cameron リンディ・キャメロン
Chief Executive Officer National Cyber Security Centre 最高経営責任者 ナショナル・サイバー・セキュリティ・センター

 

 


 

Action Fraudは警察のページで、日本語のページもありますね。。。

Action Fraud

日本語ページ

20220820-171013

 

事務弁護士の法曹協会

The Law Society

Lawsocietylogosocialdefault

 

 

| | Comments (0)

2022.08.20

英国 デジタル・文化・メディア・スポーツ省 サイバーセキュリティ侵害を起こした組織にインタビューした報告書...

こんにちは、丸山満彦です。

英国のデジタル・文化・メディア・スポーツ省がサイバーセキュリティ侵害を起こした組織にインタビューした報告書、"Exploring Organisational Experiences of Cyber Security Breaches" を公表していますね。。。

これはこれで、興味深いです。。。事故に遭って初めて本気になるのはどこでも同じかも。。。

 

U.K. Government

・2022.08.17 Exploring organisational experiences of cyber security breaches

 

Exploring organisational experiences of cyber security breaches サイバーセキュリティ侵害の組織的な経験を探る
An in-depth qualitative study with a range of businesses and organisations which have been affected by cyber security breaches. サイバーセキュリティ侵害の影響を受けた様々な企業や組織を対象とした詳細な定性的調査。
Details 詳細
In March 2021 the Department for Digital, Culture, Media & Sport (DCMS) published the Cyber Security Breaches Survey of UK businesses, charities, and education institutions as part of the National Cyber Security Programme. The findings help businesses and organisations understand the nature and significance of the cyber security threats they face, and what others are doing to stay secure. It also supports the government to shape future policy in this area. 2021年3月、デジタル・文化・メディア・スポーツ省(DCMS)は、国家サイバーセキュリティプログラムの一環として、英国の企業、慈善団体、教育機関を対象とした「サイバーセキュリティ侵害調査」を発表した。この調査結果は、企業や組織が直面するサイバーセキュリティの脅威の性質と重要性、および安全を維持するために他の組織が行っていることを理解するのに役立つ。また、政府がこの分野で今後の政策を策定する際の参考にもなる。
Building on this earlier research, in January 2022 DCMS commissioned an in-depth qualitative study with a range of businesses and organisations which have been affected by cyber security breaches. The specific aims of this research were as follows: この先行研究を踏まえ、DCMSは2022年1月、サイバーセキュリティ侵害の影響を受けた様々な企業や組織に詳細な定性調査を依頼した。本調査の具体的な目的は以下の通りである。
・Understand the level of existing cyber security before a breach ・侵害前の既存のサイバーセキュリティのレベルを理解する。
・Determine the type of cyber attack to which the organisation was subject ・組織が受けたサイバー攻撃の種類を特定する。
・Understand how businesses and organisations act in the immediate, medium, and long-term aftermath of a breach ・侵害が発生した直後、中期的、長期的に、企業や組織がどのように行動するかを把握する。
・Investigate the impacts upon the business or organisations immediately and into the future ・企業や組織が直ちに、そして将来にわたって受ける影響を調査する。
・How cyber security arrangements have changed in the wake of a cyber breach ・サイバー攻撃を受けて、サイバーセキュリティの仕組みがどのように変化したかを調べる。

| | Comments (0)

ニュージーランド CERT NZ オンラインを安全に利用するための行動学的洞察

こんにちは、丸山満彦です。

ニュージーランドのCERTが、政府機関、企業向けに、オンラインを安全に利用するための行動学的洞察という文書を公表していますね。。。

これ、意外と興味深いです。。。

 

人それぞれ好みがあるでしょうが、デザインが可愛くていいですね。。。でも、このような文書は、PDFで公開するだけでなく、英国政府のように、HTMLでも見られるようにすると非常に助かるんですけどね。。。

CERT NZ

・2022.08.18 A changing cyber world is outpacing New Zealanders’ security steps – Research

A changing cyber world is outpacing New Zealanders’ security steps – Research 変化するサイバー社会は、ニュージーランド人のセキュリティ対策を上回っている - 調査結果
While New Zealanders have mostly picked up good passive behaviours, like not clicking on strange links in emails or deleting spam texts, they aren’t taking enough proactive steps to be secure online says new research from CERT NZ. ニュージーランド人は、電子メールの変なリンクをクリックしない、スパムメールを削除するなど、受動的な行動には長けているが、オンラインで安全に過ごすための積極的な行動は十分でないとCERT NZの新しいリサーチが発表された。
As New Zealanders do more online, the number of people experiencing cyber security incidents is also increasing. For example, since 2019 New Zealander’s online shopping and transactions activity has doubled, and so has the number of incidents reported to CERT NZ. ニュージーランド人のオンライン利用が増えるにつれて、サイバーセキュリティインシデントを経験する人の数も増えている。例えば、2019年以降、ニュージーランド人のオンラインショッピングや取引活動は2倍になり、CERT NZに報告されるインシデントの数も増えている。
The research found that 62% of New Zealanders have personally experienced a cyber threat (over a three-month period). Despite this, cyber threats only rank ninth (21%) in areas of concern and 70% of New Zealanders feel confident in their level of cyber security. 今回の調査では、ニュージーランド人の62%が個人的にサイバー脅威を経験したことがあることがわかった(3カ月間)。それにもかかわらず、サイバー脅威は懸念事項の第9位(21%)にとどまっており、ニュージーランド人の70%が自分のサイバーセキュリティのレベルに自信を持っていることがわかった。
CERT NZ Director Rob Pope said this doesn’t mean that all New Zealanders don’t care about cyber security and protecting themselves online. CERT NZのディレクターであるRob Popeは、これはすべてのニュージーランド人がサイバーセキュリティやオンライン上での保護に関心がないことを意味するものではないと述べている。
“There are a number of barriers including awareness of what to do, how to do it and understanding why it’s important to being secure online. Our research shows that some New Zealanders see the cyber security steps as complicated; and others aren’t aware of the risks.” 「何をすべきか、どのようにすべきか、なぜオンラインで安全を確保することが重要なのかを理解することなど、さまざまな障壁がある。私たちの調査によると、ニュージーランド人の中には、サイバーセキュリティの手順が複雑であると考える人もいれば、リスクを認識していない人もいる。
“While only one in five people are concerned about general cyber security, that jumps to four in five when you ask specifically about the security of personal information online.” 一般的なサイバーセキュリティに不安を感じている人は5人に1人ですが、オンライン上の個人情報のセキュリティについて具体的に尋ねると、5人に4人に跳ね上がる。
While 70% of Kiwi wouldn’t share personal information with strangers online, over half the adult population has their social media accounts set to ‘friends-only’ or ‘private’ meaning anyone can view the information they share. 70%のKiwiがオンラインで知らない人と個人情報を共有しない一方で、半数以上の成人がソーシャルメディアのアカウントを「友達のみ」または「非公開」に設定しており、誰でも共有した情報を見ることができる。
“We’re not pointing the finger at people, in any way, but using the insights from this research is going to help us, and the wider online security industry, better reach New Zealanders and shift their cyber security behaviours in a positive direction” Pope said. “Moving forward CERT NZ will be using this to guide our campaign messaging and help people understand the impacts of cyber incidents.” 「この調査から得られた知見は、私たちやオンライン・セキュリティ業界にとって、ニュージーランド人のサイバーセキュリティに関する行動をよりよい方向に導くために役立つものである。今後、CERT NZはこの調査結果をもとに、キャンペーンのメッセージングを行い、サイバーインシデントの影響について理解を深めてもらう予定である。」
New Zealanders’ perception of cyber security ニュージーランド人のサイバーセキュリティに対する認識
The media is the platform where most New Zealanders (73%) hear about cyber security incidents, however, these are often different to what they experience personally. Large scale incidents – ransomware, DDoS attacks and data breaches – on businesses and organisations receive more coverage but are very different to the lived experience of individuals – email, text message and phone scams. ニュージーランド人の多く(73%)は、メディアを通じてサイバーセキュリティ事件について耳にしているが、これらは個人的に経験するものとは異なることが多いようである。ランサムウェア、DDoS攻撃、データ漏洩など、企業や組織に対する大規模な事件はより多く報道されるが、メール、テキストメッセージ、電話詐欺など、個人が実際に経験する事件とは大きく異なる。
Media reports are often accompanied by technology focussed imagery or ‘shadowy’ stock images (the infamous ‘hacker in a hoodie’-style photo), furthering the perception of being out of reach to most Kiwi. メディアの報道には、テクノロジーに焦点を当てた画像や「影のある」ストックイメージ(悪名高い「パーカーを着たハッカー」風の写真)が添えられることが多く、ほとんどのキウイにとって手の届かない存在であるという印象をさらに強くしている。
“Cyber security is perceived as complex, intangible and inaccessible to everyday New Zealanders,” Pope said. “We have an opportunity to change behaviours by making cyber security human and tangible with a positive message.” 「サイバーセキュリティは、複雑で無形のものであり、ニュージーランド人の日常生活には無縁なものであると思われている。「私たちは、サイバーセキュリティを人間らしく、ポジティブなメッセージで具体化することで、行動を変える機会を得ている。
Cyber Change: Behavioural insights for being secure online サイバー・チェンジ オンラインを安全に利用するための行動学的洞察
The Cyber Change booklet has been created using the insights from the research. It offers behavioural nudges that organisations can use in their messaging on cyber security. サイバー・チェンジ」小冊子は、調査から得られた知見をもとに作成された。この冊子は、組織がサイバーセキュリティに関するメッセージを発信する際に利用できる行動指針を提供している。
The Cyber Change: Behavioural insights for being secure online booklet can be downloaded from CERT NZ’s website: サイバー・チェンジ。Cyber Change: Behavioural insights for being secure online」小冊子は、CERT NZのウェブサイトからダウンロードすることができる。

 

Cyber Change: Behavioural insights for being secure online

Cyber Change: Behavioural insights for being secure online サイバー・チェンジ。オンラインを安全に利用するための行動的洞察
CERT NZ  and The Research Agency have produced Cyber Change – a book of behaviour change techniques aimed at prompting positive cyber security actions. CERT NZとThe Research Agencyは、サイバーセキュリティに関する積極的な行動を促すことを目的とした行動変容のテクニック本「Cyber Change」を作成した。
The guide was created for government and industry agencies who are working in the area of online security, and its purpose is to share insights about how to improve the effectiveness of cyber security interventions.  このガイドは、オンライン・セキュリティの分野で活動する政府機関や産業機関向けに作成され、その目的は、サイバー・セキュリティへの介入の効果を高める方法についての洞察を共有することである。 

 

・[PDF

20220819-215054

Introduction はじめに
COM-B behaviour change model COM-B 行動変容モデル
Cyber security nudges サイバー・セキュリティ・ナッジ
 • Capability  - 能力
 • Opportunity  - 機会
 • Motivation  - 動機づけ
Guide to nudging  ナッジの手引き 
End notes エンディングノート

 

20220819-221300

20220819-221318

20220819-221345

 

| | Comments (0)

2022.08.19

世界経済フォーラム (WEF) 暗号通貨とステーブルコインがもたらすマクロ経済への影響  (2022.07.22)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) が、暗号通貨とステーブルコインがもたらすマクロ経済への影響についての報告書を公表していますが、興味深いですね。。。

World Economic Forum - Whitepaper

・2022.07.20 The Macroeconomic Impact of Cryptocurrency and Stablecoins

・[PDF]  

20220819-150608

 

The Macroeconomic Impact of Cryptocurrency and Stablecoins  暗号通貨とステーブルコインがもたらすマクロ経済への影響 
WHITE PAPER  ホワイトペーパー 
22-Jul 7月22日
Foreword 序文
Kathryn White  キャサリン・ホワイト 
Project Fellow and Initiative Lead, Blockchain and Digital Assets, World Economic Forum; Associate Director, Technology Innovation – Next Economies, Accenture, USA 世界経済フォーラム ブロックチェーン&デジタルアセット プロジェクトフェロー兼イニシアチブリーダー、アクセンチュア(米国) テクノロジーイノベーション-ネクストエコノミー アソシエイト・ディレクター
With the aim of mitigating risks to financial stability, safety and equity while broadening financial access and enabling innovation, cryptocurrencies and stablecoins should play a regulated role   in economies.  金融アクセスを拡大し、イノベーションを可能にする一方で、金融の安定性、安全性、公平性に対するリスクを軽減することを目的として、暗号通貨とステーブルコインは経済において規制された役割を果たすべきである。
During the final weeks of authoring this report, the cryptocurrency market entered into a free fall, experiencing a loss of 50% year-to-date and, at points, surpassing $2 trillion in losses.  本レポートを執筆した最後の数週間、暗号通貨市場は自由落下に陥り、年初来で50%の損失を経験し、損失額は2兆ドルを超えた。
This kicked off a crypto “bear market”, known by some in the crypto industry as “crypto winter”, a downslope with no definite ending, though optimistically followed by a springtime resurgence. Many of the macroeconomic predictions described in this paper for cryptocurrencies and stablecoins played out in real time. Some of the immediate impacts during this downturn are:  暗号業界の一部では「暗号の冬」と呼ばれる暗号の「弱気相場」が始まり、春には復活すると楽観視されながらも、明確な終わりのない下落が続いた。本稿で紹介した暗号通貨とステーブルコインに関するマクロ経済予測の多くは、リアルタイムで展開された。この低迷期における直接的な影響としては、以下のようなものがある。
1.   Spillover effects and market contagion to other parts of the crypto industry, the traditional financial system and companies exposed to the crypto market. Some of the spillover effects are caused, for example, by leveraged investing1 such as margin trading, where investors use borrowed gains to reinvest in other assets in order to seek higher investment profits overall.2  1.   暗号業界の他の部分、伝統的な金融システム、暗号市場にさらされている企業への波及効果や市場の伝染。波及効果の一部は、例えば、投資家が全体としてより高い投資利益を求めるために、借りた利益を他の資産に再投資する信用取引などのレバレッジ投資1によって引き起こされるものです2。
2.   Liquidity crises – citing “extreme” market conditions in June 2022, one crypto lender froze withdrawals and transfers between accounts “to stabilize liquidity and operations” while taking steps to preserve and protect assets.3 2.   流動性危機-2022年6月の「極端な」市況を理由に、ある暗号金融機関は「流動性と運用を安定させるため」引き出しと口座間の送金を凍結し、同時に資産の保全と保護のための措置をとった3。
3.   A short-term slowdown in funding for crypto ventures – venture capital firms recently raised financing for crypto investment that will still need to be spent on the asset classes promised to their limited partners (LPs).  3.   暗号ベンチャーへの短期的な資金調達の減速 - ベンチャーキャピタル会社は最近、暗号投資のための資金を調達したが、その資金はリミテッドパートナー(LP)に約束した資産クラスにまだ費やす必要がある。
– Even though the venture capital deployed to cryptocurrency entrepreneurs was down in May 2022, the amount of capital invested in the space has increased by 89% since May 2021.4 - 2022年5月に暗号通貨起業家に投下されたベンチャーキャピタルが減少したとはいえ、この分野への投資額は2021年5月4 以来89%も増加した。
4.   Sudden job loss within crypto firms that grew too quickly, with some companies blaming a “dramatic shift in macroeconomic conditions worldwide” for the lay-offs.5 4.   急成長した暗号企業内で突然の雇用喪失が発生し、一部の企業は解雇の理由を「世界のマクロ経済状況の劇的な変化」に求めている5。
5.   Individual investors have lost funds and, in some cases, their life savings. However, Goldman Sachs calculates US consumer  losses at only about 0.3% of American household wealth.6  5.   個人投資家は資金を失い、場合によっては人生の貯蓄も失っている。しかし、ゴールドマン・サックスは、米国の消費者の損失は、米国の家計の財産の約0.3%に過ぎないと計算している6。
The downturn will reveal which crypto companies have strong business models. This paper analyses the more holistic macroeconomic effects that we may see playing out in the near future, against an illustrative continuum of posed regulatory scenarios. As we move into increasingly uncertain economic times, coordinated domestic and global regulation is needed to mitigate the risks to financial stability, safety and equity while broadening financial access and enabling innovation.  景気後退により、どの暗号企業が強力なビジネスモデルを持っているかが明らかになる。本稿では、近い将来、より全体的なマクロ経済効果が現れる可能性があることを、想定される規制シナリオの連続性に照らし合わせて分析する。不確実性を増す経済情勢の中、金融の安定性、安全性、公平性に対するリスクを軽減し、金融アクセスを拡大し、イノベーションを可能にするために、国内およびグローバルで協調した規制が必要となっている。
In this context, the World Economic Forum has been working with members of the public and private sectors, civil society and academia to highlight what history has taught us about financial risk. The Digital Currency Governance Consortium (DCGC) community – comprising a global, multisector set of more than 85 leading organizations – continues to discuss the potential solutions and regulatory paths for the future to enable continued encouragement of the responsible roll-out and adoption of digital currencies. We will be publishing the DCGC’s second phase of work in two releases: このような背景から、世界経済フォーラムは、官民、市民社会、学界のメンバーとともに、金融リスクについて歴史が教えてくれたことを浮き彫りにしてきた。デジタル通貨ガバナンス・コンソーシアム(DCGC)コミュニティは、85以上の主要な組織からなるグローバルなマルチセクターで、デジタル通貨の責任ある展開と採用を引き続き奨励できるよう、将来的な解決策と規制の道筋を議論し続けている。当社は、DCGCの第2段階の作業を2回に分けて発表する予定である。
1.  The macroeconomic impact of cryptocurrency and stablecoins 1. 暗号通貨とステーブルコインのマクロ経済への影響
2. Regulatory best practices for cryptocurrency and stablecoins (to be published later this year) 2. 暗号通貨およびステーブルコインに関する規制のベストプラクティス(本年後半に発表予定)
Preface 巻頭言
The scale of usage and domestic and international impact of crypto-assets varies across jurisdictions, but there has indisputably been a rapid growth in adoption. The Financial Stability Board (FSB) has highlighted their use as an emerging risk to global financial stability, with potential macroeconomic impacts.7 There is a need for a timely and precautionary evaluation of the possible macroeconomic impacts and corresponding  policy responses.8 暗号資産の利用規模や国内外への影響は国によって異なるが、導入が急増していることは間違いない。金融安定理事会(FSB)は、暗号資産の利用を世界金融安定化に対する新たなリスクとし て取り上げ、マクロ経済的な影響を及ぼす可能性があると指摘している7。起こりうるマクロ経済的な影響とそれに対応する政策対応について、適時、予防的に評価する必要がある8。

In the absence of high-certainty macroeconomic models that project the impact of cryptocurrency and stablecoins, this white paper seeks to forecast the potential effects based on qualitative assessments from global macroeconomists and credible literature in this space. 暗号通貨やステーブルコインの影響を予測する確実性の高いマクロ経済モデルが存在しない中、本ホワイトペーパーでは、世界のマクロ経済学者による定性的評価とこの分野の信頼できる文献に基づいて、潜在的な影響を予測することを目的としている。
Defining cryptocurrency and stablecoins 暗号通貨とステーブルコインの定義
This white paper will focus on cryptocurrency and fiat-backed stablecoins, though it is important to note the definitions of and differences between commonly known digital currencies. 本ホワイトペーパーでは、暗号通貨とフィアットベースのステーブルコインに焦点を当てますが、一般的に知られているデジタル通貨の定義とその違いについて留意しておくことが重要である。
According to economics professor Eli Noam, digital currencies are “representations of value in digital form with monetary characteristics”.9 From a crypto-asset standpoint, digital currencies can refer to cryptocurrencies, stablecoins and central bank digital currencies (CBDCs).  経済学教授の Eli Noam によれば、デジタル通貨は「貨幣的特性を持つデジタル形式の価値表象」である9 。暗号資産の観点から、デジタル通貨は暗号通貨、ステーブルコイン、中央銀行デジタル通貨(CBDC)を指すことがある。
– Crypto-assets: a type of private digital asset that depends primarily on cryptography and distributed ledger or similar technology.10 ・暗号資産:主に暗号と分散型台帳または類似の技術に依存する私的デジタル資産の一種10。
Non-financial assets  非金融資産 
Floating rate payment instrument (e.g. Bitcoin, DOGE): can be a financial asset or a non-financial asset (depending on the issuer – if it’s a claim against the issuer, it’s a financial asset). 変動金利型支払手段(例:ビットコイン、DOGE):金融資産にも非金融資産にもなりうる(発行者に依存 - 発行者に対する債権であれば金融資産)。
Cryptocurrency: digital assets and digital infrastructure such as Bitcoin and Ethereum that are open-sourced and public.11 暗号通貨:ビットコインやイーサリアムなどのデジタル資産やデジタルインフラで、オープンソースで公開されているもの11。
–     Cryptocurrencies (e.g. BTC, LTC) ・クリプトカレンシー(例:(BTC),LTC)
–     Crypto tokens (e.g. FIL)  ・クリプトトークン(例:(FIL))
–     Crypto commodities (e.g. ETH) ・暗号コモディティ(例:(ETH))
Financial assets  金融資産 
– Stablecoin: a broad term used to refer to digital currencies, most often DLT-based cryptocurrencies, that are designed to maintain a stable value relative to another asset (typically a unit of sovereign currency or commodity) or a basket of assets. CoinDesk has defined four common types of stablecoin. This white paper will focus only on fiat-backed stablecoins. - ステーブルコイン:デジタル通貨を指す広義の用語で、最も多いのはDLTベースの暗号通貨で、他の資産(通常はソブリン通貨単位や商品)または資産のバスケットに対して安定した価値を維持するよう設計されている。CoinDeskは、4つの一般的なタイプのstablecoinを定義している。本ホワイトペーパーでは、不換紙幣担保型アップされたステーブルコインにのみ焦点を当てます。
Fixed rate payment instruments  固定金利の支払手段 
–     Fiat-backed: stablecoin issuers hold 1:1 reserves of fiat currency. The total value matches how much they have backed by fiat. ・不換紙幣担保型:ステーブルコインの発行者は,不換紙幣を1対1で保有している。総額は不換紙幣の裏付けをどれだけ持っているかと一致する。
–     Commodity-backed: similar to fiat-backed stablecoins, stablecoin issuers hold equivalent values of commodities such as precious metals, oil and real estate. The coins may or may not be redeemable for the physical asset. ・商品担保型: 不換紙幣担保型のステーブルコインと同様にステーブルコイン発行者は貴金属、石油、不動産などの商品と同等の価値を保有している。コインは現物資産と交換可能な場合と不可能な場合がある。
–     Algorithmic: these stablecoins are not backed. Instead, they aim to maintain a stable value through algorithms and smart contracts that manage the expansion and contraction of  token supply. ・アルゴリズム型:これらのステーブルコインは裏付けがない。その代わり、トークン供給の拡大・縮小を管理するアルゴリズムとスマートコントラクトによって安定した価値を維持することを目的としている。
–     Crypto-backed: these stablecoins are backed by other cryptos via smart contracts rather than a service provider. They are “over-collateralized”, meaning that the value of the crypto backing exceeds the value of stablecoins issued, in order to account for price fluctuations. ・暗号資産担保型: これらのステーブルコインは,サービスプロバイダではなく,スマートコントラクトを介して他の暗号によって裏打ちされている。価格変動を考慮し,暗号の裏づけの価値が発行されるステーブルコインの価値を上回る「過担保化」されている。
Cryptocurrency 暗号通貨
For the purposes of this white paper, cryptocurrencies refer to digital assets such as bitcoin (BTC) and Ether (ETH) that are public and permissionless in nature and dependent on global networks of computers to validate transactions and ensure network integrity.  本ホワイトペーパーでは、暗号通貨とはビットコイン(BTC)やイーサ(ETH)のようなデジタル資産を指し、その性質上パブリックでパーミッションがなく、取引の検証やネットワークの整合性を確保するためにコンピュータのグローバルネットワークに依存している。
Bitcoin was created in 2008 by an unknown person or group using the name Satoshi Nakamoto, as an alternative global money source that was uncontrolled by government authorities. It was popular among libertarians who were eager for a new monetary system. ビットコインは、2008年にサトシ・ナカモトという名前を使った無名の人物またはグループによって、政府当局に管理されない代替のグローバルマネー源として誕生した。新しい通貨システムを熱望するリバータリアンの間で人気を博した。
With cryptocurrency there are two key innovations:  暗号通貨には、2つの重要な革新性がある。
1.  The assets 1.  資産
–     A digital payment instrument with properties akin to a bearer instrument or a digital token ・無記名式金融商品またはデジタルトークンのような性質を持つデジタル決済手段。
–     A payment instrument issued by a nonbank and non-financial entity whereby the entity is undefined ・非銀行・非金融機関が発行する決済手段で、その主体は不定である。
–     A decentralized network based on blockchain to validate transactions ・ブロックチェーンに基づく分散型ネットワークによる取引の検証
2.  The decentralized networks and payment rails 2.  分散型ネットワークと決済レール
–     The distributed ledger environment offers: ・分散型台帳環境は以下を提供する。
–     Security and integrity ・セキュリティと完全性
–     Atomicity of the payment exchange12 ・決済のやりとりの原子性12
–     Traceability and transparency  ・トレーサビリティと透明性
There are various perspectives on the role that cryptocurrency takes within an economy: 暗号通貨が経済の中で果たす役割については、様々な観点がある。
–     A currency ・通貨
 –     Most currencies attract speculation and are subject to significant valuation changes.   ・ほとんどの通貨は投機を誘い、評価が大きく変動する。
 –     Like most currencies, however volatile, cryptocurrency can theoretically serve as a payment medium.  ・ほとんどの通貨は投機的であり、評価額が大きく変動しやすい。
–     A store of value/an asset class  ・価値の貯蔵/資産クラス
 –     Gold and bitcoin are perceived by some as a safe haven against distrust in the monetary system.  ・金とビットコインは,通貨システムに対する不信感に対する安全な避難場所として認識されている。
 –     Tangible or intangible instruments can be perceived to have utility, be used as a payment instrument and attract value (e.g. using collectibles such as baseball or Pokémon cards or cigarettes in wartime as currency). The novelty with cryptocurrency is that the assets are digital representations. The combination of rarity and utility determines value.  - 有形・無形の商品は、実用性があると認識され、決済手段として利用され、価値を集めることができる(例:野球カードやポケモンカードなどの収集品、戦時中のタバコを通貨として利用する)。暗号通貨で斬新なのは、資産がデジタル表現であることだ。希少性と実用性の組み合わせが価値を決定する。
–     A means of payment  ・決済の手段
 –     If cryptocurrency is to become a popular means of payment, as for any issuer of money, there needs to be some confidence among users that it actually works for making a payment.   ・暗号通貨が決済手段として普及するためには、貨幣の発行元と同様に実際に決済に使えるという信頼感が利用者の間に必要である。
–     A platform (such as Ethereum) ・プラットフォーム(イーサリアムなど)
 –     In 2013, Vitalik Buterin, co-founder of Ethereum, wrote a 36-page white paper describing his vision for Ethereum as an open-source blockchain on which programmers could build applications.   - 2013年、イーサリアムの共同創設者であるVitalik Buterin氏は、プログラマーがアプリケーションを構築できるオープンソースのブロックチェーンとして、イーサリアムのビジョンを36ページのホワイトペーパーに記述した。
–     A pyramid ・ピラミッド
 –     A buyer is dependent on more people buying in for the value to rise. The person who buys in the latest, at the highest price, loses.  ・買い手は価値が上昇するためにより多くの人が買うことに依存する。一番遅く、一番高い値段で買い付けた人が損をする。
Cryptocurrencies have been used across a wide range of industries and domains. While each project is unique in a cryptographic sense, many share similar or opposing characteristics derived from the original bitcoin design. The distinction between permissionless and permissioned coins is important. Permissionless blockchains allow anyone to participate in validating and mining transactions as well as in using the system to buy, sell and trade assets. A permissioned blockchain is a distributed ledger that is not publicly accessible – it can be accessed only by users with permissions. The users can perform only specific actions granted to them by the ledger administrators and are required to identify themselves through certificates or other digital means.13 Bitcoin and some Ethereum blockchains are permissionless, while many CBDCs would tend to be used on a permissioned blockchain or other DLT platforms. 暗号通貨は、幅広い業界や領域で利用されている。各プロジェクトは暗号学的な意味でユニークであるが、多くはオリジナルのビットコインの設計に由来する類似または対立する特徴を共有している。パーミッションレスコインとパーミッションドコインの区別は重要である。パーミッションレス・ブロックチェーンでは、誰でも取引の検証やマイニングに参加できるだけでなく、システムを利用して資産の売買や取引を行うことも可能である。パーミッション付きブロックチェーンは、一般にはアクセスできない分散型台帳であり、パーミッションを持つユーザーのみがアクセスできるようになっている。ビットコインや一部のイーサリアムのブロックチェーンはパーミッションレスですが、多くの CBDC はパーミッション付きのブロックチェーンや他の DLT プラットフォームで使用される傾向がある。
Stablecoins  ステーブルコイン 
This white paper will focus on private fiat-backed stablecoins, leaving collateralized stablecoins and algorithmically stabilized coins14 out of scope. As it is also important to understand and regulate these, they will be addressed in future work. Fiat- backed stablecoins are defined by the FSB as stablecoins that purport to maintain a stable value by referencing physical or financial assets or other crypto-assets.15 Stablecoin issuers hold various reserve assets to back up the fixed value of their coins and ensure a 1:1 redeemability. Stablecoins are issued with a promise to keep a value that is stable relative to an external anchor in the case of fiat-backed stablecoins. As such, stablecoins are monetary liabilities similar to bank deposits and money market funds; there are even some parallels to e-money.  本ホワイトペーパーでは、プライベートな不換紙幣担保されたステーブルコインに焦点を当て、担保付ステーブルコインとアルゴリズムによるステーブルコイン14 は対象外する。これらを理解し規制することも重要であるため、将来の作業で取り上げる予定である。不換紙幣担保型ステーブルコインは FSB によって、物理的もしくは金融資産、または他の暗号資産 を参照することで安定した価値を維持するとされるステーブルコインと定義されている15 。ステーブルコインは、不換紙幣担保型アップされたステーブルコインの場合、外部のアンカーと の関係で安定した価値を保つことを約束されて発行されるものである。そのため、ステーブルコインは銀行預金やマネーマーケットファンドに似た貨幣負債であり、電子マネーとの類似性さえある。
Many reserve designs exist and, in contrast with other cryptocurrencies such as bitcoin, many stablecoins are centralized and issued by a corporate entity. These corporate entities are responsible for holding reserve assets, issuing coins and engaging with regulators. Issuers’ design choices revolve around the kinds of reserve assets they hold, and the stabilization mechanisms used to maintain the pegged price.16 However, some experts insist that the underlying assets behind these coins – high-quality or not – may be more safely held by existing financial institutions, prompting calls for more guidance and regulation around stablecoins and their issuers. Currently, there are no regulations defining what kinds of reserve assets stablecoin issuers should hold to protect their pegs, as well as what type of disclosure issuers should provide to protect investor confidence. 多くのリザーブデザインが存在し、ビットコインなどの他の暗号通貨とは対照的に、多くのステイブルコインは法人によって集中的に発行されている。これらの法人は、準備資産の保有、コインの発行、規制当局との関わりを担っている。発行者のデザインは、保有する準備資産の種類や、ペッグ価格を維持するための安定化メ カニズムを中心に決定される16 。しかし、専門家の中には、これらのコインの裏付けとなる原資 産は、高品質かどうかにかかわらず、既存の金融機関でより安全に保有できる可能性があると 主張する者もおり、ステーブルコインや発行者に対するガイダンスや規制を強化することが求めら れている。現在、ステーブルコインの発行者がペグを保護するためにどのような種類の準備資産を保有すべきか、また、投資家の信頼を守るために発行者がどのような情報開示を行うべきかを定義する規制は存在しない。
All cryptocurrencies, alleged to be currencies, are not currencies at all. They are speculative assets, the valuation of which changes enormously over time. Moreover, they present themselves as currencies, which they are not. An asset is an asset but should not claim it is a currency; it is not. 通貨であるとされる暗号通貨は、すべて通貨ではありません。それらは投機的な資産であり、その評価は時間と共に大きく変化する。さらに、暗号通貨は通貨でないにもかかわらず、通貨であるかのように装っている。資産は資産であるが、通貨であると主張すべきではなく、通貨ではない。
Christine Lagarde, President, European Central Bank, Germany, speaking on Radio Davos about crypto クリスティーヌ・ラガルド 欧州中央銀行総裁(ドイツ) ラジオ・ダボスで暗号について語る
When we look at stablecoins this is the area where the big mess happened. If a stablecoin is backed with assets, one to one, it is stable. When it is not backed with assets, but it is promised to deliver a 20% return, it’s a pyramid. What happens to pyramids? ... They eventually fall to pieces. 安定したコインについて見ると、これは大きな混乱が起こった部分である。安定したコインが1対1で資産に裏付けられている場合、それは安定したものである。資産の裏付けがなく、20%のリターンを約束されている場合、それはピラミッドである。ピラミッドはどうなるのか?最終的にはバラバラになる。
Kristalina Georgieva, Managing Director of the IMF, speaking during a panel moderated by CNBC at the World Economic Forum’s Annual Meeting 2022 in Davos 世界経済フォーラム年次総会(2022年、ダボス会議)でCNBCの司会により行われたパネルで発言するIMF専務理事のクリスタリナ・ゲオルギエヴァ氏
Executive summary エグゼクティブサマリー
Too little is known about the economics guiding our understanding and analysis of cryptocurrency and stablecoins, which may deliver benefits and negative outcomes. There are many unanswered, and perhaps unanswerable, questions about the economic impact of alternative scenarios. A broad spectrum of views and predictions for the future exists, and the economic outcomes will vary depending on what shape any regulation takes. Additionally, there is insufficient data to create macroeconomic models for crypto and stablecoins, as neither is currently included in monetary financial statistics.  暗号通貨とステーブルコインの理解と分析を導く経済学について、あまりにも知られていないため、利益とマイナスの結果をもたらす可能性がある。代替シナリオの経済的影響については、多くの未解決の、そしておそらく答えのない疑問がある。将来に対する幅広い見解や予測が存在し、どのような規制が行われるかによって経済的な結果は異なるだろう。また、暗号通貨やステーブルコインは現在、金融統計に含まれていないため、マクロ経済モデルを作成するためのデータは不十分である。
To project the macroeconomic outcomes of given regulatory scenarios/paths, interviews were conducted for this white paper with 16 global macroeconomists who have made qualitative assessments of how cryptocurrencies and stablecoins might affect individual economies and the global financial system.  本ホワイトペーパーでは、想定される規制のシナリオやパスによるマクロ経済的な成果を予測するため、暗号通貨やステーブルコインが個々の経済や世界の金融システムにどのような影響を与えるかについて定性的な評価を行った16人のグローバルマクロ経済学者へのインタビューを実施した。
The possible macroeconomic outcomes and scenarios described in this white paper are categorized according to the following criteria: 本ホワイトペーパーに記載されているマクロ経済的な結果やシナリオの可能性は、以下の基準に従って分類されている。
– Financial stability (domestic and global) ・金融の安定(国内およびグローバル)
– Promotes monetary stability  ・通貨の安定を促進する
– Promotes stability of the financial system ・金融システムの安定性を促進する
– Equity and safety ・公平性と安全性
– Promotes access to the financial system for people who have been historically excluded ・歴史的に排除されてきた人々の金融システムへのアクセスを促進する。
– Promotes protection against illegal activity ・違法行為からの保護
– Innovation ・イノベーション
– Promotes productive innovation and efficiency ・生産的なイノベーションと効率性を促進する
– Sustainability ・持続可能性
– Promotes environmental sustainability ・環境の持続可能性を促進
For cryptocurrency, governments can choose to let present trends continue, ban cryptocurrency, let it play a regulated role in the economy or make cryptocurrency legal tender. While the spectrum of possibilities within these options is broad and nuanced (e.g. there are many ways to implement a ban and within the regulatory category there could be anything from loose guidelines to strict rules, which may render these instruments obsolete), this paper seeks to explore the economic effects of each high-level path. Based on projected macroeconomic outcomes, the majority of economists interviewed predict that allowing cryptocurrency to play a regulated role in the economy will bring the highest macroeconomic net benefit to society. This is contingent on the responsible design and enforcement of regulation. A separate workstream within the World Economic Forum’s Digital Currency Governance Consortium (DCGC) will deliver more detail regarding regulatory best practices at a later date. 暗号通貨については、政府は現在のトレンドを継続させるか、暗号通貨を禁止するか、経済において規制された役割を果たすようにするか、暗号通貨を法定通貨にするかという選択をすることができる。これらのオプションの可能性は広範かつ微妙である(例えば、禁止を実施する方法は数多くあり、規制のカテゴリーでは緩やかなガイドラインから厳しい規則まであり得るため、これらの手段は時代遅れとなる可能性がある)が、本稿ではそれぞれのハイレベルな経路の経済効果を探ろうとするものである。インタビューしたエコノミストの大多数は、予測されるマクロ経済的な結果に基づき、暗号通貨が経済において規制された役割を果たすことを認めることが、社会に最も高いマクロ経済的な純益をもたらすと予測している。これは、規制の責任ある設計と施行が条件となる。世界経済フォーラムのデジタル通貨ガバナンス・コンソーシアム(DCGC)内の別のワークストリームでは、後日、規制のベストプラクティスに関するより詳細な情報を提供する予定である。
For fiat-backed stablecoins, governments can choose to let present trends continue, allow private fiat-backed stablecoins to play a regulated role in the payments system or tax (or ban) private stablecoins out of existence. Of these, allowing fiat-backed stablecoins to play a regulated role in the economy is predicted to bring the highest macroeconomic net benefit to society. This is contingent on the responsible design and enforcement of regulation.  不換紙幣担保型ステーブルコインについては、政府は現在のトレンドを継続させるか、不換紙幣担保型ステーブルコインが決済システムで規制された役割を果たすことを認めるか、あるいは民間ステーブルコインに課税(または禁止)して存在しないようにするかのいずれかを選択することができる。これらのうち、不換紙幣に裏打ちされたステーブルコインが経済において規制された役割を果たすことを認めることが、社会にとって最も高いマクロ経済的純益をもたらすと予想されます。これは、責任ある規制の設計と施行が条件となる。
Based on this analysis, policy-makers should: この分析に基づき、政策立案者は以下を行うべきである。
– Create an international classification framework/ taxonomy to provide a common ontology (i.e. set of concepts and categories) to differentiate between the different digital currency types, how they interact and how stablecoins are collateralized - 国際的な分類フレームワーク/タクソノミを構築し、異なるデジタル通貨の種類、相互作用、ステーブルコインの担保を区別するための共通のオントロジー(概念やカテゴリーの集合体)を提供する。
– Include cryptocurrency and stablecoins in monetary financial statistics ・暗号通貨とステーブルコインを貨幣金融統計に含める。
– Take economic qualitative assessments, such as this one, into consideration, as they become available, when choosing regulation  ・規制を選択する際には,今回のような経済的な定性的評価を適宜考慮する。
– Coordinate with other governments to avoid:  ・他国政府と調整し,回避する。
 – Creating regulatory arbitrage  - 規制の裁定を生む
 – Causing negative economic impacts due to the effect on emerging economies of developed economies’ choices   - 先進国の選択が新興国に与える影響により,経済的に悪影響を与えること。
Based on this analysis, business leaders should work proactively with policy-makers to receive regulatory clarity as business models are shaped and to have a voice in the creation of policy. この分析に基づき、ビジネスリーダーは政策立案者と積極的に協力し、ビジネスモデルが形成される際に規制の明確化を受け、政策立案において発言権を持つ必要がある。
Introduction はじめに
This white paper’s analysis focuses on the macroeconomic impact of the widespread adoption of cryptocurrencies and stablecoins. Because any economic outcomes will depend on future regulatory decisions, the paper is organized according to the potential regulatory paths for cryptocurrency and stablecoins, respectively, and the possible macroeconomic outcomes of each regulatory path. The macroeconomic considerations are explained neutrally. The paper then examines each regulatory path in relation to the initial criteria to assess which regulatory path would produce the optimal macroeconomic outcome and net benefit to society. It offers recommendations and a look forward to future work. Finally, those potential outcomes for each regulatory path are rated against the criteria for achieving macroeconomic net benefit to society.  本ホワイトペーパーでは、暗号通貨とステーブルコインの普及がもたらすマクロ経済への影響に焦点を当てて分析した。経済的な成果は今後の規制の決定次第であるため、本稿では暗号通貨とステーブルコインそれぞれの規制パスの可能性と、各規制パスで起こりうるマクロ経済的な成果に従って構成されている。マクロ経済的な考察は中立的に説明されている。次に、どの規制パスが最適なマクロ経済的成果をもたらし、社会に正味の利益をもたらすかを評価するために、各規制パスを最初の基準との関連で検証する。そして、提言と将来への展望を示す。最後に、各規制パスの潜在的な成果を、社会にとってのマクロ経済的な純便益を達成するための基準に照らして評価する。
This white paper will:  本ホワイトペーパーは以下の通りである。
–  Define cryptocurrency and stablecoins in terms of how they apply to macroeconomics  - 暗号通貨とステーブルコインのマクロ経済への適用に関する定義
–  Summarize the economic analysis undertaken to date  - 現在までの経済分析結果をまとめる。
–  Explain why there are so many unknowns with regard to how cryptocurrencies and stablecoins will affect global economies  - 暗号通貨とステーブルコインが世界経済にどのような影響を与えるかについて,未知の部分が非常に多い理由を説明する。
–  Define the criteria for a macroeconomic net benefit to society in the context of cryptocurrencies and stablecoins  - 暗号通貨とステーブルコインに関するマクロ経済的な社会的純益の基準を定義する。
–  Acknowledge that the macroeconomic outcomes depend on which regulatory path is chosen (e.g. let present trends continue, ban, regulate, etc.). Here it is critical to note that these paths fall along a continuum as opposed to being stringent categories.  - マクロ経済的な成果は、どの規制経路を選択するか(現在のトレンドを継続させる、禁止、規制など)によ って異なることを認識すること。ここで、これらのパスが厳格なカテゴリーであるのとは対照的に、連続体に沿ったものであることに留意することが重要である。
 –  For example, some jurisdictions will ban crypto for payments but still allow citizens to hold it. Other jurisdictions may ban mining only. Further, policy-makers may limit or ban targeted activities for regulated financial entities such as banks (e.g. no crypto on balance sheet, but allow customers to transfer funds to crypto platforms, etc.).   - 例えば、一部の国では、決済のための暗号を禁止しているが、市民が暗号を保有することは認めている。また、マイニングのみを禁止する国もある。さらに、政策立案者は、銀行などの規制対象金融機関の活動を制限または禁止することができる(例:バランスシート上の暗号資産は禁止するが、顧客による暗号プラットフォームへの資金移動は許可する、等々)。 
 –  The same is true for other financial activities – e.g. crypto custody, derivatives, collective investment vehicles. Some policy-makers may also decide that only “qualified investors” can hold crypto, etc.   - 暗号のカストディ、デリバティブ、集団投資ビークルなど、他の金融活動についても同様である。政策立案者の中には、「適格投資家」のみが暗号を保有できるなどと決定する人もいるかもしれない。
Set out the high-level spectrum of possible regulatory paths for cryptocurrency  - 暗号通貨に関する可能な規制の道筋のハイレベルなスペクトルを設定する。
 – Use the criteria to project the macroeconomic outcomes of high-level regulatory paths for cryptocurrency based on interviews with macroeconomists (conducted under the Chatham House Rule)17 and other literature review   - マクロ経済学者へのインタビュー(チャタムハウス・ルールに基づいて実施)17 や文献調査 に基づき、暗号通貨に関するハイレベルな規制パスのマクロ経済的な結果を予測する基準を使用する。
Set out the spectrum of possible regulatory paths for stablecoins  - ステーブルコインに対する可能な規制パスのスペクトルを設定する。
 – Use the criteria to project the macroeconomic outcomes of each regulatory path for stablecoins based on interviews with macroeconomists (conducted under the Chatham House Rule) and other literature review  - マクロ経済学者へのインタビュー(チャタムハウスルールに基づいて実施)やその他の文献調査に基づいて、安定コインの各規制パスのマクロ経済的成果を予測する基準を使用する。
Conduct the analysis for cryptocurrency by rating each regulatory path in relation to the criteria for the optimal macroeconomic net benefit to society  - 暗号通貨について社会にとっての最適なマクロ経済的純便益の基準との関係で各規制パスの評価、分析を行う。
Conduct the analysis for stablecoins by rating each regulatory path in relation to the criteria for the optimal macroeconomic net benefit to society  ・ステーブルコインについて社会にとっての最適なマクロ経済的純便益の基準との関連で各規制パスの評価、分析を実施。
Decide on the optimal regulatory path for cryptocurrency  ・暗号通貨の最適な規制パスを決定する。
Decide on the optimal regulatory path for stablecoins  ・ステーブルコインの最適な規制経路の決定
Offer recommendations to policy-makers and business leaders  ・政策立案者とビジネスリーダーへの提言
Conclude with a look forward to work in the pipeline from the World Economic Forum’s Digital Currency Governance Consortium (DCGC) working group on specific regulatory best practices for cryptocurrency and stablecoins  - 世界経済フォーラムのデジタル通貨ガバナンス・コンソーシアム(DCGC)ワーキンググループによる、暗号通貨とステーブルコインのための具体的な規制のベストプラクティスに関するパイプラインの作業を展望して終了する。
Scope of work  作業範囲 
The scope of this white paper includes regulatory scenario-based macroeconomic impact projections by global macroeconomists for cryptocurrencies, including bitcoin (BTC) and Ethereum (ETH) and fiat-backed stablecoins. Projections are based on the educated opinions of macroeconomists in the absence of economic models for this topic.  本ホワイトペーパーのスコープには、ビットコイン(BTC)やイーサリアム(ETH)を含む暗号通貨と不換紙幣担保型アップされたステーブルコインに対するグローバルマクロ経済学者による規制シナリオベースのマクロ経済的影響予測が含まれている。予測は、このトピックに関する経済モデルがない中で、マクロ経済学者による教育的な意見に基づいている。
This report will not focus on:  本レポートでは、以下の点には焦点を当てない。
– Value cases/use cases for cryptocurrency and stablecoins  – 暗号通貨とステーブルコインの価値事例/使用事例
– Central bank digital currencies (CBDCs) – Regulatory analysis – 中央銀行デジタル通貨(CBDC) - 規制の分析
– Regulatory recommendations – 規制に関する提言
– Consumer protection  – 消費者保護
– Microeconomics  – マイクロエコノミクス
***  *** (略) ***
Recommendations  推奨事項 
For policy-makers  政策立案者向け 
1. Create an international classification framework/taxonomy to provide a common ontology/set of concepts and categories to differentiate between the different digital currency types and how they interact.  1. 国際的な分類の枠組みやタクソノミを構築し、異なるデジタル通貨の種類や相互作用を区別するための共通のオントロジーやコンセプト、カテゴリーを提供する。
For example, such efforts are under way as part of the Digital Currency Global Initiative (DCGI).  例えば、デジタル通貨グローバル・イニシアティブ(DCGI)の一環として、このような取り組みが行われている。
–     The DCGI is working on a taxonomy model for all digital currency types to make it simple to explain the different ways in which transactions occur in CBDC, stablecoins and crypto-assets.  ・DCGIは、CBDC、ステーブルコイン、暗号資産で発生する取引の異なる方法を簡単に説明できるようにすべてのデジタル通貨タイプに対応した分類法モデルを構築しているところである。
–     The objective of the taxonomy model for digital currencies is to provide a standard unified ontology that can be used to describe the characteristics and differentiate between various digital currency types. This is currently lacking.  ・デジタル通貨のタクソノミモデルの目的は様々なデジタル通貨タイプの特徴を説明し、区別するために使用できる標準的な統一オントロジーを提供することである。これは現在不足している。
2.   Coordinate with other governments to mitigate regulatory arbitrage and reduce the negative economic impacts of choices made by developed economies on emerging economies.  2.   規制の裁定を緩和し、先進国の選択が新興国に与える経済的な悪影響を軽減するために、他国政府と協調する。
3.   Include crypto and stablecoins in monetary financial statistics.  3.   暗号とステーブルコインを貨幣金融統計に含めること。
Monetary policy is dependent on this data, so there is therefore a gap. The information on mining activity is not available for all countries, and statisticians may not collect the information known by some firms.  金融政策はこのデータに依存しているため、ギャップがある。採掘活動に関する情報はすべての国で入手できるわけではなく、統計学者は一部の企業が知っている情報を収集していない可能性がある。
To integrate crypto and stablecoin data into monetary financial statistics: 暗号とステーブルコインのデータを貨幣金融統計に統合すること。
–            A proper data collection mechanism would need to be mandated for exchanges to report activity, similar to the way in which commercial banks report activity. The data should reflect how the crypto-assets are used and how this use affects specific sectors of the economy.  ・商業銀行が活動を報告する方法と同様に,取引所が活動を報告するための適切なデータ収集メカニズムが義務付けられる必要がある。暗号資産がどのように利用され,その利用が経済の特定部門にどのような影響を与えるかをデータに反映させる必要がある。
–            Currently, statisticians do not know how to classify cryptocurrency and stablecoins. At present, crypto-assets that are not backed are classified as a commodity. The classification matters and will affect monetary policy.  ・現在,統計学者は暗号通貨とステーブルコインをどのように分類すればよいのか分かっていません。現在、裏付けがない暗号資産は商品として分類されている。分類は重要であり、金融政策に影響を与えるだろう。
–            An example of a data-collection mechanism that could be of reference and already exists is the EU-specific Basel III crypto monitoring. A recurrent exercise, it collects information about the financial industry’s exposure to crypto in the EU. It could be extended to virtual asset service providers as it becomes increasingly likely that they will be supervised by institutions with regulations such as MiCA in the EU. ・参考となるデータ収集メカニズムの例として、EUに特化したバーゼルIII暗号モニタリングが既に存在している。これはEUにおける金融業界の暗号へのエクスポージャーに関する情報を収集するもので,定期的に実施されている。仮想資産サービスプロバイダーがEUのMiCAなどの規制を持つ機関によって監督される可能性が高まっているため,仮想資産サービスプロバイダーにも拡張される可能性がある。
4. As economic projections become possible and as qualitative assessments such as this one are completed, take these into consideration when designing regulation. Policy-makers should also account for the differences between types of cryptocurrency and stablecoins when designing regulation. 4. 経済予測が可能になり、今回のような定性的な評価が完了したら、規制を設計する際にそれらを考慮すること。政策立案者は、規制を設計する際に、暗号通貨とステーブルコインの種類の違いも考慮する必要がある。
Our regulatory frameworks should be designed to support responsible innovation while managing risks – especially those that could disrupt the financial system and economy. As banks and other traditional financial firms become more involved in digital asset markets, regulatory frameworks will need to appropriately reflect the risks of these new activities.125 私たちの規制の枠組みは、リスク、特に金融システムや経済を混乱させる可能性のあるリスクをマネジメントしながら、責任あるイノベーションを支援するように設計されるべきである。銀行や他の伝統的な金融機関がデジタル資産市場により深く関わるようになれば、規制の枠組みは、こうした新しい活動のリスクを適切に反映する必要があるだろう125。
Janet Yellen, United States Secretary of the Treasury ジャネット・イエレン 米国財務長官
I think that it’s actually not that hard to differentiate these things [e.g. Terra, Celsius] from other things. It does not reflect the broader crypto ecosystem in any kind of meaningful way. Education is really important here. Crypto is not a monolith. Every crypto L1 [layer 1] platform has a very different approach to what it’s thinking about doing. Every stablecoin is different – the reserves are held differently. And all of that nuance is critically important for us to understand as we move toward more of a regulation and policy environment. これら(テラ、セルシオなど)を他のものと区別するのは、実はそれほど難しいことではないと思う。広範な暗号エコシステムを何らかの形で有意義に反映しているわけではない。ここでは教育が本当に重要である。暗号は一枚岩ではありません。すべての暗号L1(レイヤー1)プラットフォームは、何をしようと考えているのか、非常に異なるアプローチを持っている。ステーブルコインはそれぞれ異なり、準備金の保有方法も異なる。このようなニュアンスの違いを理解することは、規制や政策が強化される中で、非常に重要である。
Sheila Warren, Chief Executive Officer, Crypto Council for Innovation, in a Bloomberg Crypto Report126 Bloomberg Crypto Report126におけるCrypto Council for Innovationの最高経営責任者、シーラ・ウォレン氏。
For businesses  企業向け 
1. Work proactively and in partnership with regulators when designing business models.  1. ビジネスモデルを設計する際に、規制当局と積極的に連携すること。
I’ve loved my time here ... but in the end, what’s important is that we’re in the right place for the business … What we’ve been doing also is reaching out to try and find governments that would be excited to have us and work with us. That’s something we’re still working on, and we have a lot of candidates in mind.127  私はここでの時間をとても気に入っている...しかし、最終的に重要なのは、私たちがビジネスにとって適切な場所にいることである...私たちがしてきたことは、私たちを迎え、私たちと一緒に働くことを喜んでくれる政府を見つけようと働きかけることでもありました。これはまだ作業中ですが、多くの候補を考えている127。
Sam Bankman-Fried, Chief Executive Officer, FTX, Hong Kong, speaking to the Financial Times 香港の FTX 社の CEO、Sam Bankman-Fried 氏が Financial Times 紙に語った言葉。
What we’ve been really working toward [in the US] is where the UK is now, toward a world in which the political and regulatory environment is much more amenable and forward-leaning on innovation in the digital assets market.128 私たちが(米国で)本当に目指してきたものは、現在の英国のような、政治的・規制的環境がデジタル資産市場のイノベーションにもっと従順で前向きになるような世界である128。
Dante Disparte, Chief Strategy Officer and Head of Global Policy, Circle サークル、最高戦略責任者兼グローバルポリシー責任者、ダンテ・ディスパルテ氏
Conclusion 結論
Allowing cryptocurrencies and stablecoins to play a regulated role in economies will have the greatest macroeconomic net benefit to the highlevel regulatory paths laid out in this white paper. In the future, the adoption of cryptocurrencies and stablecoins will most likely be correlated with the level of regulation in a given jurisdiction. 暗号通貨とステーブルコインが経済において規制された役割を果たすことを認めることは、本ホワイトペーパーで示されたハイレベルな規制の道筋に対して、マクロ経済的に最大の純益をもたらすことになる。将来的には、暗号通貨とステーブルコインの導入は、特定の法域における規制のレベルと相関する可能性が高いだろう。
Policy-makers should act quickly to gather macroeconomic impact data and begin to design regulatory frameworks that are custom-made for cryptocurrencies and stablecoins. Countries should collaborate to avoid regulatory arbitrage. Policymakers should also collaborate with the business and technology community to receive feedback about the effects that certain regulatory designs  will create.   政策立案者は、マクロ経済への影響データを収集し、暗号通貨とステーブルコインのためにカスタムメイドされた規制フレームワークの設計を開始するために迅速に行動する必要がある。各国は規制の裁定を避けるために協力する必要がある。また、政策立案者はビジネスやテクノロジーコミュニティと連携し、特定の規制設計が生み出す効果についてフィードバックを受ける必要がある。 
The future regulation itself should support the criteria outlined in this paper. It should promote monetary stability, stability of the financial system, access to the financial system, protection against illegal activity, innovation and environmental sustainability. The goals for the future should be to embrace the innovations that cryptocurrency and stablecoins bring, while using regulation to curtail the risks to the economy to the greatest extent possible. 将来の規制そのものは、本稿で概説した基準をサポートするものでなければならない。金融の安定、金融システムの安定、金融システムへのアクセス、違法行為からの保護、イノベーション、環境の持続可能性を促進するものであるべきだ。今後の目標は、暗号通貨やステーブルコインがもたらすイノベーションを受け入れつつ、規制によって経済へのリスクを可能な限り抑制することであるべきである。
The DCGC will continue a separate workstream throughout 2022, exploring the key risks and associated global implications as applicable to the regulation of cryptocurrencies/stablecoin. The workstream will also look at various policy approaches globally, based on perspectives from public-private partners, with the aim of understanding the nuances that need to be considered in a global coordinated approach to cryptocurrency and stablecoin regulation. DCGCは、2022年を通して、暗号通貨/ステーブルコインの規制に適用される主要なリスクと関連するグローバルな影響を調査する、別のワークストリームを継続する予定である。また、このワークストリームでは、官民パートナーからの視点に基づき、暗号通貨およびステーブルコインの規制に対するグローバルな協調アプローチで考慮すべきニュアンスを理解することを目的として、グローバルに様々な政策アプローチを検討する。

 

 

| | Comments (0)

NIST ホワイトペーパー(ドラフト) コンテキストにおけるAI/MLバイアスの緩和

こんにちは、丸山満彦です。

NISTが、コンテキストにおけるAI/MLバイアスの緩和というプロジェクト概要を説明したホワイトペーパーのドラフトを公開し、意見募集をしていますね。。。

まずは、金融の信用取引に焦点を当てるようですね。。。その後、採用や入学、、、にも拡張予定という感じですね。。。

さて、ホワイトペーパーでは、シナリオが4つ示されています。。。

  1. バイアスの検出と緩和のための前処理データセット解析
  2. 統計的バイアスの特定と緩和のためのインプロセス・モデルトレーニング分析
  3. 統計的バイアスの特定と緩和のためのポストプロセス・モデル推論分析
  4. 認知バイアスの特定と緩和のためのHITL (Human-in-the-Loop) 決定フロー

これからの進展が楽しみですね。。。日本でも、同様の取り組みはされているんでしょうかね。。。

 

● NIST - ITL

・2022.08.18 White Paper (Draft) [Project Description] Mitigating AI/ML Bias in Context: Establishing Practices for Testing, Evaluation, Verification, and Validation of AI Systems

White Paper (Draft) [Project Description] Mitigating AI/ML Bias in Context: Establishing Practices for Testing, Evaluation, Verification, and Validation of AI Systems ホワイトペーパー(ドラフト) [プロジェクト概要] コンテキストにおけるAI/MLバイアスの緩和:AIシステムのテスト、評価、検証、妥当性確認のためのプラクティスの確立
Announcement 発表
The NCCoE has released a new draft project description, Mitigating AI/ML Bias in Context: Establishing Practices for Testing, Evaluation, Verification, and Validation of AI Systems. Publication of this project description begins a process to solicit public comments for the project requirements, scope, and hardware and software components for use in a laboratory environment. NCCoEは、新しいプロジェクト説明書ドラフト「Mitigating AI/ML Bias in Context」を公開した。AIシステムのテスト、評価、検証、およびバリデーションのための実践を確立する。このプロジェクト説明書の公開により、プロジェクトの要件、範囲、実験室環境で使用するハードウェアおよびソフトウェアのコンポーネントについて、パブリックコメントを募集するプロセスが開始される。
To tackle the complex problem of mitigating AI bias, this project will adopt a comprehensive socio-technical approach to testing, evaluation, verification, and validation (TEVV) of AI systems in context. This approach will connect the technology to societal values in order to develop guidance for recommended practices in deploying automated decision-making supported by AI/ML systems. A small but novel part of this project will be to look at the interplay between bias and cybersecurity and how they interact with each other.  AIのバイアスを軽減するという複雑な問題に取り組むため、本プロジェクトは、コンテキストにおけるAIシステムのテスト、評価、検証、妥当性確認(TEVV)に対する包括的な社会技術的アプローチを採用する予定である。このアプローチは、AI/MLシステムによってサポートされる自動化された意思決定を展開する際の推奨事項のガイダンスを開発するために、技術を社会的価値と結びつけるものである。このプロジェクトの小さいながらも斬新な部分は、バイアスとサイバーセキュリティの間の相互作用と、それらがどのように相互作用するかを調べることである。 
The initial phase of the project will focus on a proof-of-concept implementation for credit underwriting decisions in the financial services sector. We intend to consider other application use cases, such as hiring and school admissions, in the future. This project will result in a freely available NIST AI/ML Practice Guide. プロジェクトの初期段階では、金融サービス分野における信用引受の意思決定に関する概念実証の実装に焦点を当てる予定である。将来的には、採用や入学など、他のアプリケーションのユースケースも検討する予定です。このプロジェクトは、自由に利用できるNIST AI/ML実践ガイドに結実する予定である。
Earlier this month, we announced a hybrid workshop on Mitigating AI Bias in Context on Wednesday, August 31, 2022. The workshop will now be virtual only via WebEx and will provide an opportunity to discuss this topic and work towards finalizing this project description. You can register by clicking on the above workshop link. Hope to see you there! 今月初旬に、2022年8月31日(水)に「Mitigating AI Bias in Context」のハイブリッドワークショップを開催することを発表した。このワークショップは、現在WebExによるバーチャルのみで、このトピックについて議論し、このプロジェクトの説明を確定するための作業を行う機会を提供する予定である。上記のワークショップのリンクをクリックすると登録できる。皆様のご参加を待っている。
Review the project description and submit comments online on or before September 16, 2022. プロジェクト説明を確認の上、2022年9月16日までにオンラインでご意見を寄せてほしい。
You can also help shape and contribute to this project by joining the NCCoE’s AI Bias Mitigation Community of Interest. Send an email to ai-bias@nist.gov detailing your interest. また、NCCoEのAIバイアス緩和コミュニティ・オブ・インタレストに参加することで、このプロジェクトの形成に貢献することができる。ご興味のある方は、ai-bias@nist.gov までメールを送付のこと。
Abstract 要旨
Managing bias in an AI system is critical to establishing and maintaining trust in its operation. Despite its importance, bias in AI systems remains endemic across many application domains and can lead to harmful impacts regardless of intent. Bias is also context-dependent. To tackle this complex problem, we adopt a comprehensive socio-technical approach to testing, evaluation, verification, and validation (TEVV) of AI systems in context. This approach connects the technology to societal values in order to develop guidance for recommended practices in deploying automated decision-making supported by AI/ML systems in a sector of the industry. A small but novel part of this project will be to look at the interplay between bias and cybersecurity and how they interact with each other. The project will leverage existing commercial and open-source technology in conjunction with the NIST Dioptra, an experimentation test platform for ML datasets and models. The initial phase of the project will focus on a proof-of-concept implementation for credit underwriting decisions in the financial services sector. We intend to consider other application use cases, such as hiring and school admissions, in the future. This project will result in a freely available NIST AI/ML Practice Guide. AIシステムにおけるバイアスを管理することは、その運用に対する信頼を確立し維持するために重要である。その重要性にもかかわらず、AIシステムにおけるバイアスは、多くのアプリケーション領域で常在し、意図に関係なく有害な影響をもたらす可能性があります。また、バイアスは文脈に依存する。この複雑な問題に取り組むため、私たちは、コンテキストにおけるAIシステムのテスト、評価、検証、およびバリデーション(TEVV)に対する包括的な社会技術的アプローチを採用する。このアプローチは、AI/MLシステムによってサポートされる自動化された意思決定を産業の一部門で展開する際の推奨事項のガイダンスを開発するために、技術を社会的価値と結びつけるものである。このプロジェクトの小さいながらも斬新な部分は、バイアスとサイバーセキュリティの間の相互作用と、それらがどのように相互作用するかを調べることである。このプロジェクトは、MLデータセットとモデルの実験テストプラットフォームであるNIST Dioptraと連携して、既存の商用およびオープンソースの技術を活用する予定です。プロジェクトの初期段階では、金融サービス分野における信用引受の意思決定のための概念実証の実装に焦点を当てる。将来的には、採用や入学など、他のアプリケーションのユースケースも検討する予定である。このプロジェクトは、自由に利用できるNIST AI/ML実践ガイドに結実する予定である。

 

・[PDF

20220819-81817

・[DOCX] 仮訳

 

目次...

1 EXECUTIVE SUMMARY 1 エグゼクティブサマリー
Purpose 目的
Scope 対象範囲
Assumptions/Challenges 前提条件・課題
Background 背景
2 SCENARIOS 2 シナリオ
Scenario 1: Pre-process dataset analysis for detecting and mitigating bias シナリオ1:バイアスの検出と緩和のための前処理データセット解析
Scenario 2: In-process model training analysis for identifying and mitigating statistical bias シナリオ2:統計的バイアスの特定と緩和のためのインプロセス・モデルトレーニング分析
Scenario 3: Post-process model inference analysis for identifying and mitigating statistical bias シナリオ3:統計的バイアスの特定と緩和のためのポストプロセス・モデル推論分析
Scenario 4: Human-in-the-loop (HITL) decision flow for identifying and mitigating cognitive bias シナリオ4:認知バイアスの特定と緩和のためのHITL (Human-in-the-Loop) 決定フロー
3 HIGH-LEVEL ARCHITECTURE 3 ハイレベルなアーキテクチャ
Desired Requirements 希望する条件
4 RELEVANT STANDARDS AND GUIDANCE 4 関連する規格およびガイダンス
APPENDIX A   REFERENCES 附属書A 参考文献
APPENDIX B   ACRONYMS AND ABBREVIATIONS 附属書B 頭字語および略語

 

こちらの参考も事前に読んでおくと、理解が深まるかもですね。。。

 

NIST- ITL

これは最初に読んでおく方が良いですね。。。ただし、かなりの分量です。。。

Dioptra

こちらも。。。

・2022.03.16 [PDF] NIST SP 1270 Towards a Standard for Identifying and Managing Bias in Artificial Intelligence

 

信用に関する連邦法は...

Federal Trade Commission: FTC

Equal Credit Opportunity Act

 


関連して、

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

・2022.03.21 NIST SP1270 人工知能におけるバイアスの識別と管理の標準化に向けて

・2021.06.25 NIST SP1270 Draft 人工知能におけるバイアスの識別と管理

 

こちらも参考になるかも...

・2022.06.02 米国 GAO 消費者保護:議会は消費者ランク付けに使用されるスコアに関する保護の強化を検討すべき (2022.05.26)

・2022.06.01 米国 消費者金融保護局 AIを使った与信結果についても消費者にその理由を説明しなければならない

・2022.05.23 ハンガリー AIを利用したコールセンターでの顧客対応がGDPR違反と判定された事例(ハンガリー銀行)

・2022.02.08 米国 下院 アルゴリズム説明責任法案 2022


・2021.12.19 英国 AIバロメータ21 公表

・2021.12.09 英国 AI保証に向けたロードマップを公表(AI認証制度?)

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.10.24 豪州 ビクトリア州  人工知能とプライバシーに関する報告書(2つ)

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

・2021.09.24 英国 国家AI戦略

・2020.12.20 UK ICO 雇用決定にアルゴリズムを使用する際に考慮すべき6つのこと

・2020.11.30 米国 OMBが「人工知能アプリケーション規制のためのガイダンス」を発行

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

 

 

 

| | Comments (0)

NIST SP 800-108 Rev.1 擬似乱数関数を使用した鍵導出の推奨事項

こんにちは、丸山満彦です。

NISTがSP 800-108 Rev.1 擬似乱数関数を使用した鍵導出の推奨事項の確定版を公表していますね。。。

NIST - ITL

・2022.08.17 SP 800-108 Rev. 1 Recommendation for Key Derivation Using Pseudorandom Functions

Abstract 概要
This Recommendation specifies techniques for the derivation of additional keying material from a secret key—either established through a key establishment scheme or shared through some other manner—using pseudorandom functions HMAC, CMAC, and KMAC. この推奨事項は,擬似乱数関数HMAC,CMAC,KMACを用いて,鍵確立方式で確立されたか,あるいは他の方法で共有された秘密鍵から,追加の鍵材料を導出するための技術を規定する。

 

・[PDF] SP 800-108 Rev. 1

20220819-54809

 

目次...

1 Introduction 1 はじめに
2 Scope and Purpose 2 範囲と目的
3 Pseudorandom Function (PRF) 3 擬似乱数関数 (PRF)
4 Key Derivation Function (KDF) 4 鍵の導出関数 (KDF)
4.1 KDF in Counter Mode 4.1 カウンタモードのKDF
4.2 KDF in Feedback Mode 4.2 フィードバック・モードのKDF
4.3 KDF in Double-Pipeline Mode 4.3 ダブル・パイプライン・モードのKDF
4.4 KDF Using KMAC 4.4 KMACを用いたKDF
5 Key Hierarchy 5 鍵ヒエラルキー
6 Security Considerations 6 セキュリティに関する考察
6.1 Cryptographic Strength 6.1 暗号の強度
6.2 The Length of Key Derivation Key 6.2 鍵導出用の鍵の長さについて
6.3 Converting Keying Material to Cryptographic Keys 6.3 鍵素材の暗号鍵への変換
6.4 Input Data Encoding 6.4 入力データの暗号化
6.5 Key Separation 6.5 鍵の分離
6.6 Context Binding 6.6 コンテキスト・バインディング
6.7 Key Control Security 6.7 鍵コントロールセキュリティ
References 参考文献
Appendix A. Revisions 附属書A. 改訂
Appendix B. Example of CMAC Key Control Security Issue 附属書B. CMAC鍵制御のセキュリティ問題の例
Appendix C. List of Symbols, Abbreviations, and Acronyms 附属書C. 記号・略語・頭字語の一覧表
Appendix D. Glossary 附属書D. 用語集
List of Figures 図一覧
Figure 1. KDF in Counter Mode 図1. KDFのカウンターモード
Figure 2. KDF in Feedback Mode 図2. フィードバックモードのKDF
Figure 3. KDF in Double-pipeline Mode 図3. KDFのダブルパイプライン・モード
Figure 4. KDF Using KMAC 図4. KMACを用いたKDF
Figure 5. Key Hierarchy 図5. 鍵ヒエラルキー

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.20 NIST SP 800-108 Rev.1 (Draft) 擬似乱数関数を使用した鍵導出の推奨事項

 

| | Comments (0)

2022.08.18

世界経済フォーラム (WEF) サイバーレジリエンス指数 - 組織のサイバーレジリエンスの向上 (2022.07.14)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)がサイバーレジリエンス指数 - 組織のサイバーレジリエンスの向上を公表していました。

とても良い内容だと思いました。

 

World Economic Forum - Whitepaper

・2022.07.14 The Cyber Resilience Index: Advancing Organizational Cyber Resilience

・[PDF

20220818-91807

 

原則は次の通りです。。。

1.Regularly assess and prioritize cyber risk 1. サイバーリスクの定期的な評価と優先順位付け
2. Establish and maintain core  security fundamentals 2. 中核となるセキュリティの基本の確立と維持
3. Incorporate cyber-resilience governance into business strategy 3. 事業戦略へのサイバーレジリエンス・ガバナンスの組み込み
4. Encourage systemic resilience and collaboration 4. システムのレジリエンスとコラボレーションの促進
5. Ensure design supports cyber resilience 5. サイバーレジリエンスを支援する設計の確保
6. Cultivate a culture of resilience 6. レジリエンス文化の育成

この6つの原則に下に、プラクティスがあり、プラクティスの下にサブプラクティスがあります。

アクセンチュアが協力して作成していますね。。。

 

・[DOCX] 仮訳

 

 

 

| | Comments (0)

2022.08.17

米国 連邦取引委員会 (FTC) 商用監視と緩いデータ・セキュリティ慣行を取り締まる規則の検討 (2022.08.11)

こんにちは、丸山満彦です。

米国では、連邦レベルの個人情報保護法の制定についての議論がありますが、一方で、連邦取引委員会 (FTC) が、商用監視やデータセキュリティの強化に向けた規制改正についての、意見を募集していますね。。。

委員5名のうち3名が賛成、2名が反対の中での意見募集ということですかね。。。論点が色々とありますが、日本の政策検討の際にも参考になるものですね。。。

 

Federal Trade Commission: FTC

・2022.08.11 FTC Explores Rules Cracking Down on Commercial Surveillance and Lax Data Security Practices

Fec-seal

FTC Explores Rules Cracking Down on Commercial Surveillance and Lax Data Security Practices FTC 商用監視と緩いデータ・セキュリティ慣行を取り締まる規則の検討
Agency Seeks Public Comment on Harms from Business of Collecting, Analyzing, and Monetizing Information About People 個人情報の収集・分析・収益化ビジネスによる弊害についてパブリックコメントを募集中
Note: The FTC hosted  a virtual news conference on the ANPR announcement. View the webcast. 注:FTCは、ANPR発表に関するバーチャル・ニュース・カンファレンスを開催した。 ウェブキャストを参照。
The Federal Trade Commission today announced it is exploring rules to crack down on harmful commercial surveillance and lax data security. Commercial surveillance is the business of collecting, analyzing, and profiting from information about people. Mass surveillance has heightened the risks and stakes of data breaches, deception, manipulation, and other abuses. The FTC’s Advance Notice of Proposed Rulemaking seeks public comment on the harms stemming from commercial surveillance and whether new rules are needed to protect people’s privacy and information. 連邦取引委員会は本日、有害な商用監視と緩いデータ・セキュリティを取り締まるための規則を検討していることを発表した。商用監視とは、人々に関する情報を収集、分析し、利益を得るビジネスである。 大規模な監視により、データ漏洩、詐欺、不正操作、その他の悪用のリスクと利害関係が高まっている。FTCの規則制定提案の事前通知は、商用監視から生じる損害と、人々のプライバシーと情報を保護するために新しい規則が必要かどうかについて、パブリックコメントを求めている。
“Firms now collect personal data on individuals at a massive scale and in a stunning array of contexts,” said FTC Chair Lina M. Khan. “The growing digitization of our economy—coupled with business models that can incentivize endless hoovering up of sensitive user data and a vast expansion of how this data is used—means that potentially unlawful practices may be prevalent. Our goal today is to begin building a robust public record to inform whether the FTC should issue rules to address commercial surveillance and data security practices and what those rules should potentially look like.” FTCのLina M. Khan委員長は、次のように述べている。「企業は現在、膨大な規模と驚くべき数の状況で、個人の個人データを収集している。経済のデジタル化の進展と、機密性の高いユーザーデータを際限なく収集し、その利用方法を大幅に拡大するビジネスモデルが相まって、潜在的に違法な行為が蔓延している可能性があることを意味する。今日の我々の目標は、FTCが商用監視とデータ・セキュリティの慣行に対処するための規則を発行すべきかどうか、またその規則がどのようなものであるべきかを知らせるために、確固たる公的記録の構築を始めることである。」
The business of commercial surveillance can incentivize companies to collect vast troves of consumer information, only a small fraction of which consumers proactively share. Companies reportedly surveil consumers while they are connected to the internet – every aspect of their online activity, their family and friend networks, browsing and purchase histories, location and physical movements, and a wide range of other personal details. 商用監視のビジネスは、企業が膨大な消費者情報を収集する動機となり得るが、消費者が主体的に共有するのはそのごく一部に過ぎない。企業は、消費者がインターネットに接続している間、消費者のオンライン活動のあらゆる側面、家族や友人のネットワーク、閲覧・購入履歴、場所、身体的な動き、その他さまざまな個人情報を監視すると言われている。
Companies use algorithms and automated systems to analyze the information they collect. And they make money by selling information through the massive, opaque market for consumer data, using it to place behavioral ads, or leveraging it to sell more products.   企業は収集した情報をアルゴリズムや自動化されたシステムで分析する。そして、消費者データの巨大で不透明な市場を通じて情報を販売し、それを使って行動ターゲティング広告を掲載したり、より多くの製品を販売するために活用することで利益を得ている。  
The FTC is seeking comment on a wide range of concerns about commercial surveillance practices. For example, some companies fail to adequately secure the vast troves of consumer data they collect, putting that information at risk to hackers and data thieves. There is a growing body of evidence that some surveillance-based services may be addictive to children and lead to a wide variety of mental health and social harms. FTCは、商用監視慣行に関する広範な懸念についてコメントを求めている。例えば、一部の企業は、収集した膨大な消費者データを適切に保護できず、その情報をハッカーやデータ窃盗犯の危険にさらしている。また、監視サービスの中には、子どもにとって中毒性があり、精神衛生や社会生活にさまざまな害をもたらす可能性があることを示す証拠も増えてきている。
While very little is known about the automated systems that analyze data companies collect, research suggests that these algorithms are prone to errors, bias, and inaccuracy. As a result, commercial surveillance practices may discriminate against consumers based on legally protected characteristics like race, gender, religion, and age, harming their ability to obtain housing, credit, employment, or other critical needs. 企業が収集したデータを分析する自動化されたシステムについてはほとんど知られていないが、研究によると、これらのアルゴリズムはエラー、バイアス、および不正確な傾向があることが示唆されている。 その結果、商用監視慣行は、人種、性別、宗教、年齢などの法的に保護された特性に基づいて消費者を差別し、住宅、クレジット、雇用、またはその他の重要なニーズを得る能力を損なう可能性がある。
Other concerns stem from the ways in which companies make commercial surveillance difficult to avoid. Some companies require people to sign up for surveillance as a condition for service. Consumers who do not wish to have their personal information shared with other parties may be denied service– or required to pay a premium to keep their personal information private. After consumers sign up, companies may change their privacy terms going forward to allow for more expansive surveillance. Companies increasingly employ dark patterns or marketing to influence or coerce consumers into sharing personal information.  その他の懸念は、商用監視を回避することを企業が困難にしていることである。一部の企業は、サービスの条件として監視を受けることを要求している。個人情報を他者と共有することを望まない消費者は、サービスを拒否されたり、個人情報を非公開にするために割増料金を支払うよう要求されたりすることがある。消費者がサインアップした後、企業はより広範な監視を可能にするために、今後プライバシー規約を変更する可能性がある。 企業は、消費者に影響を与えたり、個人情報を共有するよう強要したりするために、ダークパターンやマーケティングを採用することが増えている。 
In the last two decades, the FTC has used its existing authority under the FTC Act to bring hundreds of enforcement actions against companies for privacy and data security violations. These include cases involving the sharing of health-related data with third parties, the collection and sharing of sensitive television viewing data for targeted advertising, and the failure to implement reasonable security measures to protect sensitive personal data such as Social Security numbers. 過去20年間、FTCはFTC法に基づく既存の権限を行使し、プライバシーやデータ・セキュリティの侵害を理由に、企業に対して何百もの強制訴訟を起こしてきた。 その中には、健康関連データの第三者との共有、ターゲット広告のための機密性の高いテレビ視聴データの収集と共有、社会保障番号などの機密個人データを保護するための合理的なセキュリティ対策の不履行に関する事例が含まれている。
The FTC’s past work, however, suggests that enforcement of the FTC Act alone may not be enough to protect consumers. The FTC’s ability to deter unlawful conduct is limited because the agency generally lacks authority to seek financial penalties for initial violations of the FTC Act. By contrast, rules that establish clear privacy and data security requirements across the board and provide the Commission the authority to seek financial penalties for first-time violations could incentivize all companies to invest more consistently in compliant practices. しかし、FTCのこれまでの活動は、FTC法の施行だけでは消費者保護に十分でない可能性を示唆している。FTCは一般に、FTC法違反の初期段階において金銭的な罰則を求める権限を持たないため、違法行為を抑止する能力は限定的である。これとは対照的に、プライバシーとデータ・セキュリティに関する明確な要件を全面的に定め、初回の違反に対して金銭的な罰則を求める権限を委員会に与える規則は、すべての企業がコンプライアンスに則った実践に一貫して投資する動機付けとなる可能性がある。
Information about how to submit comments on the FTC’s Advance Notice of Proposed Rulemaking is included in the Federal Register notice. The deadline for submitting comments will be 60 days after the notice is published in the Federal Register in the coming days. Submitted comments will be posted to Regulations.gov. FTCの規則案事前通知に対する意見提出の方法については、連邦官報の通知に記載されている。意見提出の期限は、この通知が連邦官報に掲載されてから60日後の近日中である。提出された意見はRegulations.govに掲載される予定である。
The public will also have an opportunity to share their input on these topics during a virtual public forum on September 8, 2022. また、2022年9月8日に開催されるバーチャル・パブリック・フォーラムで、一般の人々がこれらのテーマについて意見を交換する機会が設けられる。
The Commission voted 3-2 to publish the notice in the Federal Register. Chair KhanCommissioner Rebecca Kelly Slaughter and Commissioner Alvaro Bedoya issued separate statements. Commissioners Noah Joshua Phillips and Christine S. Wilson voted no and issued dissenting statements. 委員会は、連邦官報に公告することを3対2で決定した。 カーン委員長、レベッカ・ケリー・スローター委員、アルバロ・ベドヤ委員は、それぞれ個別に声明を発表した。Noah Joshua Phillips委員とChristine S. Wilson委員は反対票を投じ、反対声明を発表した。

 

カンファレンスのビデオ...

背景を理解するためには良いですね。。。35分ほどです。。。

・2022.08.11 FTC Press Conference Event

 

説明...

・2022.08.11 Commercial Surveillance and Data Security Rulemaking

Commercial Surveillance and Data Security Rulemaking 商用監視およびデータ・セキュリティに関する規則制定
File ファイル
Text of the Notice of Proposed Rulemaking Regarding the Commercial Surveillance and Data Security (636.29 KB) 商用監視およびデータ・セキュリティに関する規則制定提案の通知本文 (636.29 KB)
Factsheet on Commercial Surveillance and Data Security (213.57 KB) 商用監視およびデータ・セキュリティに関するファクトシート (213.57 KB)
Factsheet on Public Participation in the Section 18 Rulemaking Process 第 18 条の規則策定プロセスへの一般参加に関するファクトシート
Participación Pública En El Proceso De Reglamentación De La FTC Conforme a La S… 商用監視およびデータ・セキュリティに関するFTCの規則策定プロセスへの市民参加に関するファクトシート
Overview 概要
Commercial surveillance is the business of collecting, analyzing, and profiting from information about people. Technologies essential to everyday life also enable near constant surveillance of people’s private lives. The volume of data collected exposes people to identity thieves and hackers. Mass surveillance has heightened the risks and stakes of errors, deception, manipulation, and other abuses. The Federal Trade Commission is asking the public to weigh in on whether new rules are needed to protect people’s privacy and information in the commercial surveillance economy. 商用監視とは、人々に関する情報を収集、分析し、利益を得るビジネスである。日常生活に不可欠なテクノロジーは、人々の私生活をほぼ常時監視することも可能にしている。収集された大量のデータは、人々をID窃盗やハッカーにさらす。大量の監視は、誤り、欺瞞、操作、その他の悪用のリスクと利害を高めている。連邦取引委員会は、商用監視経済において人々のプライバシーと情報を保護するために新たな規則が必要かどうかについて、一般市民の意見を求めている。
Public Forum パブリック・フォーラム
The Commission is hosting a public forum on commercial surveillance and data security to be held virtually on Thursday, September 8, 2022, from 2 p.m. until 7:30 p.m. Members of the public are invited to attend. Learn more on the Commercial Surveillance and Data Security Public Forum page. 連邦取引委員会は、2022年9月8日(木)午後2時から午後7時30分まで、商用監視とデータ・セキュリティに関する公開フォーラムを仮想的に開催する。一般の方のご参加を待っている。詳しくは、商用監視とデータ・セキュリティに関するパブリックフォーラムのページを参照。
Submit a Comment 意見書の提出
The Advanced Notice of Proposed Rulemaking asks a series of questions about practices related to commercial surveillance and data security. The topic areas and the questions are listed below. Anyone from the public can submit a comment weighing in on the rulemaking, the general topics, or a specific question. The link to submit comments to the Federal Register on Regulations.gov will be posted as soon as it is available. 規則制定提案の事前通知では、商用監視およびデータ・セキュリティに関する慣行について一連の質問を投げかけている。トピックエリアと質問は以下の通りである。一般市民は誰でも、この規則策定、一般的なトピック、または特定の質問について意見を提出することができます。 Regulations.govの連邦官報にコメントを提出するためのリンクは、利用可能になり次第、掲載される予定である。
Harms to Consumers  消費者への影響
This ANPR has alluded to only a fraction of the potential consumer harms arising from lax data security or commercial surveillance practices, including those concerning physical security, economic injury, psychological harm, reputational injury, and unwanted intrusion. このANPRは、物理的セキュリティ、経済的損害、心理的損害、評判への損害、不要な侵入など、緩いデータ・セキュリティや商用監視慣行から生じる消費者の潜在的損害のほんの一部に言及しているに過ぎない。
Which practices do companies use to surveil consumers? 企業は消費者を監視するためにどのような慣行を用いているか。
Which measures do companies use to protect consumer data? 企業は消費者データを保護するためにどのような手段を用いているか。
Which of these measures or practices are prevalent? Are some practices more prevalent in some sectors than in others? これらの対策や慣行のうち、どれが一般的ですか。ある部門は他の部門より普及しているか。
How, if at all, do these commercial surveillance practices harm consumers or increase the risk of harm to consumers? これらの商用監視慣行が消費者に害を及ぼす、あるいは消費者に害を及ぼすリスクを増大させるとすれば、それはどのようなものか。
Are there some harms that consumers may not easily discern or identify? Which are they? 消費者が容易に見分けがつかない、あるいは特定できないような危害もあるか。それはどのようなものか。
Are there some harms that consumers may not easily quantify or measure? Which are they? 消費者が容易に定量化または測定できないような危害がありますか。それらはどのようなものか。
How should the Commission identify and evaluate these commercial surveillance harms or potential harms? On which evidence or measures should the Commission rely to substantiate its claims of harm or risk of harm? 委員会は、これらの商用監視の害や潜在的な害をどのように特定し評価すべきか。委員会は、害や害のリスクの主張を立証するために、どのような証拠や手段に依拠すべきか?
Which areas or kinds of harm, if any, has the Commission failed to address through its enforcement actions? 委員会は、強制措置を通じて、どのような分野または種類の損害に対処してこなかったのか。
Has the Commission adequately addressed indirect pecuniary harms, including potential physical harms, psychological harms, reputational injuries, and unwanted intrusions? 委員会は、潜在的な身体的損害、心理的損害、評判への傷害、望ましくない侵入など、間接的な金銭的損害に適切に対処してきたか?
Which kinds of data should be subject to a potential trade regulation rule? Should it be limited to, for example, personally identifiable data, sensitive data, data about protected categories and their proxies, data that is linkable to a device, or non-aggregated data? Or should a potential rule be agnostic about kinds of data? どのような種類のデータが潜在的通商規制ルールの対象となるべきか。例えば、個人を特定できるデータ、機密データ、保護されたカテゴリとそのプロキシに関するデータ、デバイスにリンクできるデータ、または非集計データに限定すべきか? あるいは、潜在的なルールはデータの種類を問わないものとすべきか。
Which, if any, commercial incentives and business models lead to lax data security measures or harmful commercial surveillance practices? Are some commercial incentives and business models more likely to protect consumers than others? On which checks, if any, do companies rely to ensure that they do not cause harm to consumers? 商業的なインセンティブやビジネスモデルがあるとすれば、それは緩いデータ・セキュリティ対策や有害な商用監視慣行につながるものか? ある種の商業的インセンティブやビジネスモデルは、他のものよりも消費者を保護する可能性が高いか? 企業は消費者に害を与えないことを保証するために、もしあるとすればどのようなチェックに頼っているのか。
Lax data security measures and harmful commercial surveillance injure different kinds of consumers (e.g., young people, workers, franchisees, small businesses, women, victims of stalking or domestic violence, racial minorities, the elderly) in different sectors (e.g., health, finance, employment) or in different segments or “stacks” of the internet economy. For example, harms arising from data security breaches in finance or healthcare may be different from those concerning discriminatory advertising on social media which may be different from those involving education technology. How, if at all, should potential new trade regulation rules address harms to different consumers across different sectors? Which commercial surveillance practices, if any, are unlawful such that new trade regulation rules should set out clear limitations or prohibitions on them? To what extent, if any, is a comprehensive regulatory approach better than a sectoral one for any given harm? 緩いデータ・セキュリティ対策や有害な商用監視は、異なる分野(健康、金融、雇用など)やインターネット経済の異なるセグメントや「スタック」において、異なる種類の消費者(若者、労働者、フランチャイズ店、中小企業、女性、ストーカーやDVの被害者、人種的マイノリティ、高齢者など)を傷付けるものである。例えば、金融や医療におけるデータ・セキュリティ侵害から生じる被害は、ソーシャルメディア上の差別的な広告に関するものと異なる可能性があり、また教育技術に関わるものとは異なる可能性がある。新しい通商規制ルールの可能性があるとすれば、異なるセクター間の異なる消費者への害にどのように対処すべきか。新しい通商規制規則が明確な制限や禁止を定めるべき違法な商用監視慣行があるとすれば、それはどのようなものか。ある危害に対して、セクター別の規制アプローチよりも包括的な規制アプローチの方が優れているとすれば、それはどの程度か。
Harms to Children  子供への被害
The Commission here invites comment on commercial surveillance practices or lax data security measures that affect children, including teenagers. Are there practices or measures to which children or teenagers are particularly vulnerable or susceptible? For instance, are children and teenagers more likely than adults to be manipulated by practices designed to encourage the sharing of personal information? 委員会は、10代の若者を含む子供たちに影響を与える商用監視慣行や緩いデータ・セキュリティ対策について意見を求めている。子どもやティーンエイジャーが特に被害を受けやすい、あるいは受けやすい慣行や対策はあるか。例えば、子供やティーンエイジャーは、個人情報の共有を促すような慣行によって操られる可能性が大人よりも高いか。
What types of commercial surveillance practices involving children and teens’ data are most concerning? For instance, given the reputational harms that teenagers may be characteristically less capable of anticipating than adults, to what extent should new trade regulation rules provide teenagers with an erasure mechanism in a similar way that COPPA provides for children under 13? Which measures beyond those required under COPPA would best protect children, including teenagers, from harmful commercial surveillance practices? 子どもやティーンエイジャーのデータに関わる商用監視慣行で、最も懸念されるのはどのようなものか。例えば、ティーンエイジャーは大人よりも風評被害を予測する能力が低いという特徴があることから、新しい取引規制ルールでは、COPPAが13歳未満の児童に対して提供しているのと同様の消去メカニズムをティーンエイジャーにどの程度提供すべきか。有害な商用監視慣行からティーンエイジャーを含む児童を最もよく保護できるのは、COPPAで要求される以上のどのような措置か。
In what circumstances, if any, is a company’s failure to provide children and teenagers with privacy protections, such as not providing privacy-protective settings by default, an unfair practice, even if the site or service is not targeted to minors? For example, should services that collect information from large numbers of children be required to provide them enhanced privacy protections regardless of whether the services are directed to them? Should services that do not target children and teenagers be required to take steps to determine the age of their users and provide additional protections for minors? サイトやサービスが未成年者を対象としていない場合でも、プライバシー保護設定をデフォルトで提供しないなど、企業が子どもやティーンエイジャーにプライバシー保護を提供しないことが不公正行為になるとしたら、どのような状況か。例えば、多数の児童から情報を収集するサービスは、サービスが児童を対象としているか否かにかかわらず、児童に強化されたプライバシー保護を提供するよう求められるべきか。児童やティーンエイジャーを対象としていないサービスには、利用者の年齢を判断するための措置を講じ、未成年者のための追加的な保護を提供することを義務付けるべきか。
Which sites or services, if any, implement child-protective measures or settings even if they do not direct their content to children and teenagers? 児童やティーンエイジャーを対象としていなくても、児童保護のための措置や設定を実施しているサイトやサービスがあるとすれば、それはどのようなものか。
Do techniques that manipulate consumers into prolonging online activity (e.g., video autoplay, infinite or endless scroll, quantified public popularity) facilitate commercial surveillance of children and teenagers? If so, how? In which circumstances, if any, are a company’s use of those techniques on children and teenagers an unfair practice? For example, is it an unfair or deceptive practice when a company uses these techniques despite evidence or research linking them to clinical depression, anxiety, eating disorders, or suicidal ideation among children and teenagers? 消費者を操作してオンライン活動を長引かせる技術(例:ビデオの自動再生、無限または無限のスクロール、定量的な大衆人気)は、児童・青少年の商用監視を促進するか。もしそうなら、どのようにすべきか。企業が子どもやティーンエイジャーにこうした技術を使用することが不公正な行為であるとすれば、それはどのような状況か。例えば、子供やティーンエイジャーの臨床的なうつ病、不安、摂食障害、自殺念慮と関連する証拠や研究にもかかわらず、企業がこれらの技術を使用する場合、不公正または欺瞞的行為となるか。
To what extent should trade regulation rules distinguish between different age groups among children (e.g., 13 to 15, 16 to 17, etc.)? 取引規制のルールは、子どもの異なる年齢層(例:13歳から15歳、16歳から17歳など)をどの程度まで区別するべきか。
Given the lack of clarity about the workings of commercial surveillance behind the screen or display, is parental consent an efficacious way of ensuring child online privacy? Which other protections or mechanisms, if any, should the Commission consider? 画面やディスプレイの裏にある商用監視の仕組みが明確でない中、保護者の同意は子どものオンラインプライバシーを確保する有効な手段か。委員会が検討すべき他の保護や仕組みがあるとすれば、それはどのようなものか。
How extensive is the business-to-business market for children and teens’ data? In this vein, should new trade regulation rules set out clear limits on transferring, sharing, or monetizing children and teens’ personal information? 子供や十代の若者のデータを扱う企業間市場は、どの程度拡大しているのか。この観点から、新たな取引規制のルールとして、子供や十代の若者の個人情報の移転、共有、収益化について明確な制限を設けるべきか。
Should companies limit their uses of the information that they collect to the specific services for which children and teenagers or their parents sign up? Should new rules set out clear limits on personalized advertising to children and teenagers irrespective of parental consent? If so, on what basis? What harms stem from personalized advertising to children? What, if any, are the prevalent unfair or deceptive practices that result from personalized advertising to children and teenagers? 企業は、収集した情報の利用を、子どもやティーンエイジャー、あるいはその親が申し込んだ特定のサービスに限定すべきか。新しい規則では、保護者の同意に関係なく、子どもやティーンエイジャーにパーソナライズされた広告の明確な制限を設定する必要がありますか。もしそうなら、どのような根拠で。子ども向けのパーソナライズド広告から生じる弊害は何か。子供やティーンエイジャーに向けたパーソナライズド広告から生じる不公正または欺瞞的な慣行があるとすれば、それはどのようなものか。
Should new rules impose differing obligations to protect information collected from children depending on the risks of the particular collection practices? 新しい規則では、特定の収集方法のリスクに応じて、子どもから収集した情報を保護するための異なる義務を課すべきか。
How would potential rules that block or otherwise help to stem the spread of child sexual abuse material, including content-matching techniques, otherwise affect consumer privacy? コンテンツ・マッチング技術など、児童性的虐待の資料の拡散を阻止するための潜在的なルールは、消費者のプライバシーにどのような影響を与えるか?
Costs and Benefits  費用と便益
The Commission invites comment on the relative costs and benefits of any current practice, as well as those for any responsive regulation. How should the Commission engage in this balancing in the context of commercial surveillance and data security? Which variables or outcomes should it consider in such an accounting? Which variables or outcomes are salient but hard to quantify as a material cost or benefit? How should the Commission ensure adequate weight is given to costs and benefits that are hard to quantify? 委員会は、現行の慣行のコストと便益、および対応する規制のコストと便益の相対的比較について意見を求めている。商用監視とデータ・セキュリティの観点から、委員会はどのようにこのバランスをとるべきか。このような会計処理において、どのような変数や結果を考慮すべきか。重要ではあるが、重要なコストや便益として定量化するのが難しい変数や成果は何か。委員会は、定量化が困難なコストと便益に十分な重みを与えることをどのように確保すべきか。
What is the right time horizon for evaluating the relative costs and benefits of existing or emergent commercial surveillance and data security practices? What is the right time horizon for evaluating the relative benefits and costs of regulation? 既存あるいは新たに出現した商用監視及びデータ・セキュリティ慣行の相対的コストと便益を評価するための適切な時間軸は何か。規制の相対的な便益とコストを評価するための適切な時間軸は何か。
To what extent would any given new trade regulation rule on data security or commercial surveillance impede or enhance innovation? To what extent would such rules enhance or impede the development of certain kinds of products, services, and applications over others? データ・セキュリティや商用監視に関する新しい通商規制のルールは、どの程度まで技術革新を妨げたり、高めたりするか。そのようなルールは、ある種の製品、サービス、アプリケーションの開発をどの程度まで促進したり妨げたりするか。
Would any given new trade regulation rule on data security or commercial surveillance impede or enhance competition? Would any given rule entrench the potential dominance of one company or set of companies in ways that impede competition? If so, how and to what extent? データ・セキュリティや商用監視に関する新しい通商規制のルールは、競争を妨げますか、それとも強めますか。どのような規則でも、競争を阻害するような形で、ある企業または一連の企業の潜在的な支配力を強固にしますか。もしそうなら、どのように、どの程度までか。
Should the analysis of cost and benefits differ in the context of information about children? If so, how? コストと便益の分析は、子供に関する情報との関連で異なるべきか。もしそうなら、どのようにすべきか。
What are the benefits or costs of refraining from promulgating new rules on commercial surveillance or data security? 商用監視やデータ・セキュリティに関する新たな規則の発布を控えることの利点やコストは何か。
Regulations  規制
Rulemaking Generally 一般的な規則策定
Should the Commission pursue a Section 18 rulemaking on commercial surveillance and data security? To what extent are existing legal authorities and extralegal measures, including self-regulation, sufficient? To what extent, if at all, are self-regulatory principles effective? 委員会は、商用監視およびデータ・セキュリティに関する第18条の規定作りを追求すべきか。既存の法的権限や自主規制を含む法外な措置はどの程度まで十分か。自己規制の原則が有効であるとすれば、それはどの程度までか。
Data Security データ・セキュリティ
Should the Commission commence a Section 18 rulemaking on data security? The Commission specifically seeks comment on how potential new trade regulation rules could require or help incentivize reasonable data security. 委員会はデータ・セキュリティに関する第18条の規定作成を開始すべきか。委員会は、新しい取引規制の規則の可能性が、合理的なデータ・セキュリティをどのように要求し、または奨励するのに役立つかについて特に意見を求めている。
Should, for example, new rules require businesses to implement administrative, technical, and physical data security measures, including encryption techniques, to protect against risks to the security, confidentiality, or integrity of covered data? If so, which measures? How granular should such measures be? Is there evidence of any impediments to implementing such measures? 例えば、新規則は、対象データの安全性、機密性、完全性に対するリスクから保護するために、暗号化技術を含む管理的、技術的、物理的なデータ・セキュリティ対策を実施するよう企業に求めるべきか。その場合、どのような対策が必要か。また、そのような対策はどの程度詳細であるべきか。そのような措置の実施を妨げる証拠があるか。
Should new rules codify the prohibition on deceptive claims about consumer data security, accordingly authorizing the Commission to seek civil penalties for first-time violations? 消費者データ・セキュリティに関する欺瞞的な主張の禁止を新規則で成文化し、それに伴って委員会が初回の違反に対して民事罰を求める権限を与えるべきか。
Do the data security requirements under COPPA or the GLBA Safeguards Rule offer any constructive guidance for a more general trade regulation rule on data security across sectors or in other specific sectors? COPPAやGLBAセーフガード・ルールのデータ・セキュリティ要件は、分野横断的あるいは特定分野でのデータ・セキュリティに関するより一般的な通商規制ルールに対して建設的な指針を与えるか。
Should the Commission take into account other laws at the state and federal level (e.g., COPPA) that already include data security requirements. If so, how? Should the Commission take into account other governments’ requirements as to data security (e.g., GDPR). If so, how? 委員会は、すでにデータ・セキュリティ要件を含んでいる州および連邦レベルの他の法律(例えば、COPPA)を考慮すべきか。考慮する場合は、どのようにすべきか。委員会は、データ・セキュリティに関する他の政府の要求事項(例えば、GDPR)を考慮すべきか。考慮する場合は、どのようにすべきか。
To what extent, if at all, should the Commission require firms to certify that their data practices meet clear security standards? If so, who should set those standards, the FTC or a third-party entity? 委員会は、企業に対して、自社のデータ業務が明確なセキュリティ基準を満たしていることを証明するよう、どの程度まで要求すべきか。その場合、FTCと第三者機関のどちらがその基準を設定すべきか。
Collection, Use, Retention, and Transfer of Consumer Data 消費者データの収集、使用、保持、移転
How do companies collect consumers’ biometric information? What kinds of biometric information do companies collect? For what purposes do they collect and use it? Are consumers typically aware of that collection and use? What are the benefits and harms of these practices? 企業は消費者の生体情報をどのように収集しているのか。企業はどのような種類の生体情報を収集するのか。企業はどのような目的でそれを収集し使用するのか。消費者は通常、その収集と利用を認識しているか。これらの慣行の利点と弊害は何か。
Should the Commission consider limiting commercial surveillance practices that use or facilitate the use of facial recognition, fingerprinting, or other biometric technologies? If so, how? 委員会は、顔認識、指紋、その他の生体認証技術を使用する、あるいは使用を促進する商用監視慣行を制限することを検討すべきか。もしそうなら、どのようにすべきか。
To what extent, if at all, should the Commission limit companies that provide any specifically enumerated services (e.g., finance, healthcare, search, or social media) from owning or operating a business that engages in any specific commercial surveillance practices like personalized or targeted advertising? If so, how? What would the relative costs and benefits of such a rule be, given that consumers generally pay zero dollars for services that are financed through advertising? 委員会は、具体的に列挙されたサービス(金融、ヘルスケア、検索、ソーシャルメディアなど)を提供する企業が、個別化広告やターゲット広告のような特定の商用監視慣行に従事する事業を所有・運営することをどの程度まで制限すべきか。もしそうなら、どのようにすべきか。一般的に消費者は広告によって賄われるサービスに0ドルを支払うことを考えると、そのような規則の相対的なコストと利益はどのようになるか。
How accurate are the metrics on which internet companies rely to justify the rates that they charge to third-party advertisers? To what extent, if at all, should new rules limit targeted advertising and other commercial surveillance practices beyond the limitations already imposed by civil rights laws? If so, how? To what extent would such rules harm consumers, burden companies, stifle innovation or competition, or chill the distribution of lawful content? インターネット企業が第三者広告主に請求する料金を正当化するために依拠する指標は、どの程度正確か。新しいルールは、市民権法によってすでに課されている制限を超えて、標的型広告やその他の商用監視慣行をどの程度まで制限すべきか? もしそうなら、どのようにすべきか。そのようなルールは、どの程度、消費者に害を与え、企業に負担をかけ、イノベーションや競争を阻害し、あるいは合法的なコンテンツの流通を冷え込ませるか。
To what alternative advertising practices, if any, would companies turn in the event new rules somehow limit first- or third-party targeting? 新しい規則がファーストまたはサードパーティのターゲティングを何らかの形で制限した場合、企業はどのような代替広告手法に転換するか。
How cost-effective is contextual advertising as compared to targeted advertising? ターゲティング広告と比較して、コンテクスト広告の費用対効果はどの程度か。
To what extent, if at all, should new trade regulation rules impose limitations on companies’ collection, use, and retention of consumer data? Should they, for example, institute data minimization requirements or purpose limitations, i.e., limit companies from collecting, retaining, using, or transferring consumer data beyond a certain predefined point? Or, similarly, should they require companies to collect, retain, use, or transfer consumer data only to the extent necessary to deliver the specific service that a given individual consumer explicitly seeks or those that are compatible with that specific service? If so, how? How should it determine or define which uses are compatible? How, moreover, could the Commission discern which data are relevant to achieving certain purposes and no more? 新しい取引規制ルールは、企業の消費者データの収集、使用、保持にどの程度まで制限を課すべきか。例えば、データ最小化要件や目的制限、すなわち、企業が消費者データをある定義された時点を超えて収集、保持、使用、転送することを制限することを制定すべきか。あるいは同様に、消費者個人が明確に求めている特定のサービス、またはその特定のサービスと互換性のあるサービスを提供するために必要な範囲でのみ消費者データを収集、保持、使用、転送するよう企業に要求すべきか。もしそうなら、どのようにすべきか。また、どのような用途が適合するかは、どのように判断・定義すればよいのか。さらに、委員会は、どのデータが特定の目的の達成に関連し、それ以上でないかをどのように見分けることができるか。
By contrast, should new trade regulation rules restrict the period of time that companies collect or retain consumer data, irrespective of the different purposes to which it puts that data? If so, how should such rules define the relevant period? これに対して、新たな取引規制の規則では、企業が消費者データを収集・保持する期間を、そのデータの使用目的の違いとは無関係に制限すべきなのか。もしそうなら、そのような規則は関連する期間をどのように定義すべきか。
Pursuant to a purpose limitation rule, how, if at all, should the Commission discern whether data that consumers give for one purpose has been only used for that specified purpose? To what extent, moreover, should the Commission permit use of consumer data that is compatible with, but distinct from, the purpose for which consumers explicitly give their data? 目的限定規則に従って、消費者がある目的のために提供したデータが、その特定の目的のためにのみ使用されたかどうかを、委員会は、もしあるとすれば、どのように見極めるべきか。さらに、委員会は、消費者が明示的にデータを提供した目的とは異なるが、それと両立する消費者データの利用をどの程度まで認めるべきなのか。
Or should new rules impose data minimization or purpose limitations only for certain designated practices or services? Should, for example, the Commission impose limits on data use for essential services such as finance, healthcare, or search—that is, should it restrict companies that provide these services from using, retaining, or transferring consumer data for any other service or commercial endeavor? If so, how? あるいは、新たな規則は、特定の業務やサービスに対してのみ、データの最小化や目的の制限を課すべきか。例えば、委員会は、金融、医療、検索などの重要なサービスに対するデータ使用に制限を課すべきか。つまり、これらのサービスを提供する企業が、他のサービスや商業的努力のために消費者データを使用、保持、移転することを制限すべきか。その場合、どのように制限するか。
To what extent would data minimization requirements or purpose limitations protect consumer data security? データ最小化要件または目的制限は、どの程度まで消費者データのセキュリティを保護するか。
To what extent would data minimization requirements or purpose limitations unduly hamper algorithmic decision-making or other algorithmic learning-based processes or techniques? To what extent would the benefits of a data minimization or purpose limitation rule be out of proportion to the potential harms to consumers and companies of such a rule? データ最小化の要件または目的の制限は、アルゴリズムによる意思決定またはその他のアルゴリズムによる学習ベースのプロセスまたは技術をどの程度まで不当に妨げるか。データ最小化または目的制限の規則がもたらす利益は、その規則が消費者や企業にもたらす潜在的な損害とどの程度比例しないか。
How administrable are data minimization requirements or purpose limitations given the scale of commercial surveillance practices, information asymmetries, and the institutional resources such rules would require the Commission to deploy to ensure compliance? What do other jurisdictions have to teach about their relative effectiveness? 商用監視慣行の規模、情報の非対称性、およびそのような規則が遵守を確保するために委員会に要求する組織的リソースを考慮すると、データ最小化要件または目的制限はどの程度管理可能か。他の管轄区域は、その相対的な効果について何を教えてくれるのか。
What would be the effect of data minimization or purpose limitations on consumers’ ability to access services or content for which they are not currently charged out of pocket? Conversely, which costs, if any, would consumers bear if the Commission does not impose any such restrictions? データの最小化や目的制限が、消費者が現在負担していないサービスやコンテンツにアクセスする能力にどのような影響を及ぼすか。逆に、委員会がそのような制限を課さない場合、消費者が負担するとすればどのようなコストか。
To what extent, if at all, should the Commission require firms to certify that their commercial surveillance practices meet clear standards concerning collection, use, retention, transfer, or monetization of consumer data? If promulgated, who should set those standards: the FTC, a third-party organization, or some other entity? 消費者データの収集、利用、保持、移転、収益化に関して、商用監視慣行が明確な基準を満たしていることを証明するよう、委員会は企業にどの程度まで要求するべきか。また、その基準は、FTC、第三者機関、その他、誰が設定するのか。
To what extent, if at all, do firms that now, by default, enable consumers to block other firms’ use of cookies and other persistent identifiers impede competition? To what extent do such measures protect consumer privacy, if at all? Should new trade regulation rules forbid the practice by, for example, requiring a form of interoperability or access to consumer data? Or should they permit or incentivize companies to limit other firms’ access to their consumers’ data? How would such rules interact with general concerns and potential remedies discussed elsewhere in this ANPR? 現在、デフォルトで、消費者が他の企業のクッキーと他の永続的な識別子の使用をブロックできるようにしている企業は、どの程度、競争を阻害しているか。そのような手段が消費者のプライバシーを保護するとすれば、それはどの程度ですか? 新しい取引規制ルールは、例えば、相互運用性や消費者データへのアクセスを要求することによって、そのような行為を禁止すべきか。あるいは、企業が他の企業の消費者データへのアクセスを制限することを許可したり、奨励したりすべきなのか。このような規則は、本ANPRの他の箇所で議論されている一般的な懸念や潜在的な救済措置とどのように関係するか。
Automated Systems  自動化されたシステム
How prevalent is algorithmic error? To what extent is algorithmic error inevitable? If it is inevitable, what are the benefits and costs of allowing companies to employ automated decision-making systems in critical areas, such as housing, credit, and employment? To what extent can companies mitigate algorithmic error in the absence of new trade regulation rules? アルゴリズムによる誤りはどの程度存在するのか。アルゴリズムによる誤りはどの程度まで避けられないのか。もし避けられないのであれば、住宅、クレジット、雇用などの重要な分野で企業が自動意思決定システムを採用することの利点とコストはどの程度か。新たな取引規制のルールがない場合、企業はどの程度までアルゴリズムによるエラーを軽減することができるのか。
What are the best ways to measure algorithmic error? Is it more pronounced or happening with more frequency in some sectors than others? アルゴリズムによるエラーを測定する最善の方法は何か。アルゴリズムによるエラーは、他のセクターよりもあるセ クターでより顕著に、より頻繁に発生しているのでしょ うか。
Does the weight that companies give to the outputs of automated decision-making systems overstate their reliability? If so, does that have the potential to lead to greater consumer harm when there are algorithmic errors? 企業が自動意思決定システムのアウトプットを重視することで、その信頼性が過大評価されていないか。もしそうなら、アルゴリズムによるエラーが発生した場合、消費者被害を拡大させる可能性があるのか。
To what extent, if at all, should new rules require companies to take specific steps to prevent algorithmic errors? If so, which steps? To what extent, if at all, should the Commission require firms to evaluate and certify that their reliance on automated decision-making meets clear standards concerning accuracy, validity, reliability, or error? If so, how? Who should set those standards, the FTC or a third-party entity? Or should new rules require businesses to evaluate and certify that the accuracy, validity, or reliability of their commercial surveillance practices are in accordance with their own published business policies? 新しい規則では、アルゴリズムによるエラーを防止するための具体的な措置を企業にどの程度まで求めるべきか。その場合、どのような手段をとるべきか。自動化された意思決定への依存が、正確性、妥当性、信頼性、エラーに関する明確な基準を満たしていることを評価し、証明することを企業に義務付けるべきとすれば、どの程度までか。もしそうであれば、どのようにすべきか。また、そのような基準は誰が設定するのか、FTCか第三者機関か。あるいは、新規則は、企業が公表している事業方針に従って、商用監視慣行の正確性、有効性、信頼性を評価し、証明することを求めるべきか。
To what extent, if at all, do consumers benefit from automated decision-making systems? Who is most likely to benefit? Who is most likely to be harmed or disadvantaged? To what extent do such practices violate Section 5 of the FTC Act? 自動意思決定システムから消費者が恩恵を受けるとすれば、それはどの程度か。誰が最も恩恵を受ける可能性が高いか。誰が最も損害を受ける可能性が高いか、または不利益を被る可能性が高いか。そのような行為は、どの程度までFTC法第5条に違反するか。
Could new rules help ensure that firms’ automated decision-making practices better protect non-English speaking communities from fraud and abusive data practices? If so, how? 新しい規則は、企業の自動的な意思決定が、非英語圏のコミュニティを詐欺や不正なデータ操作からより確実に保護することに役立ち得るか。もし可能であれば、どのようにすべきか。
If new rules restrict certain automated decision-making practices, which alternatives, if any, would take their place? Would these alternative techniques be less prone to error than the automated decision-making they replace? 新しい規則が特定の自動的意思決定手法を制限する場合、それに代わる代替手法があるとすれば、どのようなものか。これらの代替技術は、代替となる自動化された意思決定よりもエラーが起こりにくいか。
To what extent, if at all, should new rules forbid or limit the development, design, and use of automated decision-making systems that generate or otherwise facilitate outcomes that violate Section 5 of the FTC Act? Should such rules apply economy-wide or only in some sectors? If the latter, which ones? Should these rules be structured differently depending on the sector? If so, how? FTC法第5条に違反する結果を生み出す、あるいは促進する自動意思決定システムの開発、設計、使用を新規則で禁止または制限すべきとすれば、それはどの程度までか。そのようなルールは経済全体に適用されるべきか、それとも一部の分野のみに適用されるべきか。後者であれば、どの分野か。これらのルールは、分野によって異なる構造とすべきか。もしそうなら、どのようにすべきか。
What would be the effect of restrictions on automated decision-making in product access, product features, product quality, or pricing? To what alternative forms of pricing would companies turn, if any? 製品アクセス、製品機能、製品品質、価格設定における自動的意思決定の制限は、どのような影響を及ぼすか。代替的な価格設定があるとすれば、企業はどのような形式に移行するか。
Which, if any, legal theories would support limits on the use of automated systems in targeted advertising given potential constitutional or other legal challenges? ターゲット広告における自動化システムの利用を制限する際に、憲法やその他の法的な問題が生じる可能性があるとすれば、どのような法的理論がそれを支持するか。
To what extent, if at all, does the First Amendment bar or not bar the Commission from promulgating or enforcing rules concerning the ways in which companies personalize services or deliver targeted advertisements? 企業がサービスをパーソナライズしたり、ターゲット広告を配信する方法に関する規則を委員会が公布または施行することは、憲法修正第1条によりどの程度禁止されるか、または禁止されないか?
To what extent, if at all, does Section 230 of the Communications Act, 47 U.S.C. 230, bar the Commission from promulgating or enforcing rules concerning the ways in which companies use automated decision-making systems to, among other things, personalize services or deliver targeted advertisements? 通信法230条(47 U.S.C. 230)は、企業が自動意思決定システムを使用して、特にサービスのパーソナライズやターゲット広告を配信する方法に関する規則を委員会が公布または施行することを、どの程度まで禁じているか。
Discrimination  差別
How prevalent is algorithmic discrimination based on protected categories such as race, sex, and age? Is such discrimination more pronounced in some sectors than others? If so, which ones? アルゴリズムによる差別は、人種、性別、年齢などの保護カテゴリーに基づき、どの程度広まっているのか。そのような差別は、ある部門と他の部門でより顕著なのか。もしそうなら、それはどの分野か。
How should the Commission evaluate or measure algorithmic discrimination? How does algorithmic discrimination affect consumers, directly and indirectly? To what extent, if at all, does algorithmic discrimination stifle innovation or competition? 委員会はアルゴリズムによる差別をどのように評価・測定すべきか。アルゴリズムによる差別は、直接的・間接的に消費者にどのような影響を与えるか。アルゴリズムによる差別は、技術革新や競争を阻害するとすれば、どの程度までか。
How should the Commission address such algorithmic discrimination? Should it consider new trade regulation rules that bar or somehow limit the deployment of any system that produces discrimination, irrespective of the data or processes on which those outcomes are based? If so, which standards should the Commission use to measure or evaluate disparate outcomes? How should the Commission analyze discrimination based on proxies for protected categories? How should the Commission analyze discrimination when more than one protected category is implicated (e.g., pregnant veteran or Black woman)? 委員会はこのようなアルゴリズム差別にどのように対処すべきか。差別を生むあらゆるシステムの展開を、その結果の根拠となったデータやプロセスに関係なく、禁止または何らかの形で制限する新たな取引規制ルールを検討すべきか。その場合、委員会はどのような基準で格差のある結果を測定・評価すべきか。委員会は、保護カテゴリのプロキシに基づく差別をどのように分析すべきか。複数の保護カテゴリーが関係している場合、委員会はどのように差別を分析すべきか(例:妊娠中の退役軍人や黒人女性)。
 Should the Commission focus on harms based on protected classes? Should the Commission consider harms to other underserved groups that current law does not recognize as protected from discrimination (e.g., unhoused people or residents of rural communities)?  委員会は、保護されたカテゴリーに基づく害に焦点を当てるべきか。委員会は、現行法が差別からの保護を認めていない、その他の十分なサービスを受けていない集団に対する害を考慮すべきか(例:住居のない人々や農村地域の住民)。
Should the Commission consider new rules on algorithmic discrimination in areas where Congress has already explicitly legislated, such as housing, employment, labor, and consumer finance? Or should the Commission consider such rules addressing all sectors? 委員会は、住宅、雇用、労働、消費者金融など、議会がすでに明確に法制化している分野において、アルゴリズムによる差別に関する新たなルールを検討すべきか。あるいは、すべての分野を対象としたルールを検討すべきか。
How, if at all, would restrictions on discrimination by automated decision-making systems based on protected categories affect all consumers? 保護カテゴリーに基づく自動意思決定システムによる差別を制限することは、すべての消費者に影響を与えるとすれば、どのように影響するか。
To what extent, if at all, may the Commission rely on its unfairness authority under Section 5 to promulgate antidiscrimination rules? Should it? How, if at all, should antidiscrimination doctrine in other sectors or federal statutes relate to new rules? 委員会は、差別撤廃規則を公布するために、第5条に基づく不公正の権限にどの程度まで頼ることができるか。そうすべきなのか。他の分野や連邦法における反差別の原則は、新しい規則とどのように関連づけられるべきか。
How can the Commission’s expertise and authorities complement those of other civil rights agencies? How might a new rule ensure space for interagency collaboration? 委員会の専門知識と権限は、他の公民権機関のそれをどのように補完することができるか。新しい規則は、どのようにして省庁間の協力の場を確保することができるか。
Consumer Consent  消費者の同意
The Commission invites comment on the effectiveness and administrability of consumer consent to companies’ commercial surveillance and data security practices. Given the reported scale, opacity, and pervasiveness of existing commercial surveillance today, to what extent is consumer consent an effective way of evaluating whether a practice is unfair or deceptive? How should the Commission evaluate its effectiveness? In which circumstances, if any, is consumer consent likely to be effective? Which factors, if any, determine whether consumer consent is effective? To what extent does current law prohibit commercial surveillance practices, irrespective of whether consumers consent to them? To what extent should new trade regulation rules prohibit certain specific commercial surveillance practices, irrespective of whether consumers consent to them? To what extent should new trade regulation rules require firms to give consumers the choice of whether to be subject to commercial surveillance? To what extent should new trade regulation rules give consumers the choice of withdrawing their duly given prior consent? How demonstrable or substantial must consumer consent be if it is to remain a useful way of evaluating whether a commercial surveillance practice is unfair or deceptive? How should the Commission evaluate whether consumer consent is meaningful enough? What would be the effects on consumers of a rule that required firms to give consumers the choice of being subject to commercial surveillance or withdrawing that consent? When or how often should any given company offer consumers the choice? And for which practices should companies provide these options, if not all? Should the Commission require different consent standards for different consumer groups (e.g., parents of teenagers (as opposed to parents of pre-teens), elderly individuals, individuals in crisis or otherwise especially vulnerable to deception)? Have opt-out choices proved effective in protecting against commercial surveillance? If so, how and in what contexts? Should new trade regulation rules require companies to give consumers the choice of opting out of all or certain limited commercial surveillance practices? If so, for which practices or purposes should the provision of an opt-out choice be required? For example, to what extent should new rules require that consumers have the choice of opting out of all personalized or targeted advertising? How, if at all, should the Commission require companies to recognize or abide by each consumer’s respective choice about opting out of commercial surveillance practices—whether it be for all commercial surveillance practices or just some? How would any such rule affect consumers, given that they do not all have the same preference for the amount or kinds of personal information that they share? 委員会は、企業の商用監視およびデータ・セキュリティ慣行に対する消費者の同意の有効性と管理性について意見を募集している。現在の商用監視の規模、不透明さ、広まりを考えると、消費者の同意は、どの程度、不公正または欺瞞的行為であるかを評価する有効な方法であるか。委員会は、その有効性をどのように評価すべきか。消費者の同意が効果的であるとすれば、それはどのような状況か。消費者の同意が効果的かどうかを決定する要素があるとすれば、それは何か。現行法は、消費者の同意の有無にかかわらず、商用監視慣行をどの程度まで禁止しているか。新しい取引規制ルールは、消費者の同意の有無にかかわらず、特定の商用監視慣行をどの程度まで禁止すべきか。新しい取引規制ルールは、企業が消費者に商用監視の対象となるかどうかの選択肢を提供することをどの程度まで要求すべきか? 新しい取引規制ルールは、どの程度まで消費者に正当に与えられた事前同意を撤回する選択肢を与えるべきか。商用監視慣行が不公正または欺瞞的であるかどうかを評価する有用な方法であり続けるためには、消費者の同意はどの程度実証的または実質的でなければならないか? 消費者の同意が十分に意味のあるものかどうか、委員会はどのように評価すべきか。商用監視の対象となるか、同意を撤回するかという選択肢を消費者に与えることを企業に義務付ける規則は、消費者にどのような影響を与えるか。企業はいつ、どれくらいの頻度で消費者に選択肢を提供すべきなのか。また、すべてではないにせよ、どのような業務に対して企業がこれらの選択肢を提供すべきなのか。委員会は、消費者グループごとに異なる同意基準を要求すべきか(例えば、ティーンエイジャーの親(10〜12歳の子供の親と比べて)、高齢者、危機的状況にある個人、その他特に詐欺に遭いやすい個人など)。オプトアウトの選択肢は、商用監視から保護する上で有効であることが証明されているか。もしそうなら、どのように、どのような文脈で。新たな取引規制のルールとして、企業は消費者に対し、すべてあるいは特定の限定された商用監視慣行からオプトアウトする選択肢を提供するよう求めるべきか。その場合、どのような慣行や目的に対してオプトアウトの選択肢を提供することが要求されるべきか。例えば、新しい規則では、消費者がすべてのパーソナライズされた広告またはターゲット広告をオプトアウトする選択肢を持つことをどの程度まで要求すべきか。商用監視慣行のオプトアウトに関する消費者それぞれの選択(それがすべての商用監視慣行であれ、一部の行為であれ)を企業が認識し、遵守することを義務付けるべきとすれば、それはどのような方法か。消費者が共有する個人情報の量や種類に関して、全員が同じ選好を持っているわけではないことを考えると、そのような規則は消費者にどのような影響を与えるか。
Notice, Transparency, and Disclosure  通知、透明性、開示
To what extent should the Commission consider rules that require companies to make information available about their commercial surveillance practices? What kinds of information should new trade regulation rules require companies to make available and in what form? 委員会は、企業に対して、自社の商用監視慣行に関する情報を公開することを義務付ける規則をどの程度まで検討すべきか。新しい取引規制の規則では、どのような種類の情報をどのような形で提供するよう企業に求めるべきか。
In which contexts are transparency or disclosure requirements effective? In which contexts are they less effective? 透明性や情報開示の要件は、どのような状況において有効か。また、どのような状況においては、あまり効果的でないか。
Which, if any, mechanisms should the Commission use to require or incentivize companies to be forthcoming? Which, if any, mechanisms should the Commission use to verify the sufficiency, accuracy, or authenticity of the information that companies provide? 委員会が企業に対して情報公開を要求したり、インセンティブを与えるために用いるべきメカニズムがあるとすれば、それはどのようなものか。企業が提供する情報の十分性、正確性、信憑性を検証するために、委員会が利用すべきメカニズムがあるとすれば、それは何か。
The Commission invites comment on the nature of the opacity of different forms of commercial surveillance practices. On which technological or legal mechanisms do companies rely to shield their commercial surveillance practices from public scrutiny? Intellectual property protections, including trade secrets, for example, limit the involuntary public disclosure of the assets on which companies rely to deliver products, services, content, or advertisements. How should the Commission address, if at all, these potential limitations? 委員会は、さまざまな形態の商用監視慣行の不透明さの性質についてコメントを募集している。企業は、どのような技術的または法的メカニズムに依拠して、商用監視慣行を世間の目から隠しているのか。例えば、企業秘密を含む知的財産の保護は、企業が製品、サービス、コンテンツ、広告を提供するために依存している資産の不本意な一般公開を制限するものである。委員会は、このような潜在的な制限に対処するとすれば、どのように対処すべきか。
To what extent should the Commission rely on third-party intermediaries (e.g., government officials, journalists, academics, or auditors) to help facilitate new disclosure rules? 委員会は、新しい開示規則の促進を支援するために、どの程度、第三者の仲介者(政府関係者、ジャーナリスト、学者、監査人など)に頼るべきか。
To what extent, moreover, should the Commission consider the proprietary or competitive interests of covered companies in deciding what role such third-party auditors or researchers should play in administering disclosure requirements? さらに、委員会は、開示規則の運用においてそのような第三者の監査人や研究者がどのような役割を果たすべきかを決定する際に、対象企業の所有権や競争上の利益をどの程度まで考慮すべきか。
To what extent should trade regulation rules, if at all, require companies to explain (1) the data they use, (2) how they collect, retain, disclose, or transfer that data, (3) how they choose to implement any given automated decision-making system or process to analyze or process the data, including the consideration of alternative methods, (4) how they process or use that data to reach a decision, (5) whether they rely on a third-party vendor to make such decisions, (6) the impacts of their commercial surveillance practices, including disparities or other distributional outcomes among consumers, and (7) risk mitigation measures to address potential consumer harms? 取引規制に関する規則は、もしあるとすれば、企業に対して、(1) 使用するデータ、(2) そのデータの収集、保持、開示、移転方法、(3) データを分析・処理するための所定の自動意思決定システムまたはプロセスの導入方法(代替方法の検討も含む)について、どの程度説明するよう求めるべきか。(4) 意思決定に至るためにデータをどのように処理または使用するか、(5) そのような意思決定を行うために第三者ベンダーに依存しているか、(6) 消費者間の格差またはその他の分配結果を含む、彼らの商用監視慣行の影響、および (7) 潜在的な消費者被害に対処するためのリスク軽減措置?
Disclosures such as these might not be comprehensible to many audiences. Should new rules, if promulgated, require plain-spoken explanations? How effective could such explanations be, no matter how plain? To what extent, if at all, should new rules detail such requirements? これらのような開示は、多くの聴衆にとって理解しやすいものではないかもしれない。新規則を制定する場合、平易な説明を義務付けるべきか。そのような説明は、どんなに平易であっても、どの程度効果的でありうるか。また、新規則では、どの程度まで、そのような要件を詳細に規定すべきか。
Disclosure requirements could vary depending on the nature of the service or potential for harm. A potential new trade regulation rule could, for example, require different kinds of disclosure tools depending on the nature of the data or practices at issue (e.g., collection, retention, or transfer) or the sector (e.g., consumer credit, housing, or work). Or the agency could impose transparency measures that require in-depth accounting (e.g., impact assessments) or evaluation against externally developed standards (e.g., third-party auditing). How, if at all, should the Commission implement and enforce such rules? 情報開示の要件は、サービスの性質や損害の可能性に応じて異なる可能性がある。例えば、潜在的な新規取引規制ルールは、問題となっているデータまたは慣行の性質(例えば、収集、保持、移転)または分野(例えば、消費者信用、住宅、または仕事)に応じて、異なる種類の開示ツールを要求することができます。あるいは、綿密な会計処理(影響評価など)や、外部で策定された基準に対する評価(第三者監査など)を必要とする透明性の高い措置を課すことも可能である。委員会がそのような規則を実施・執行すべきとすれば、それはどのようなものか。
To what extent should the Commission, if at all, make regular self-reporting, third-party audits or assessments, or self-administered impact assessments about commercial surveillance practices a standing obligation? How frequently, if at all, should the Commission require companies to disclose such materials publicly? If it is not a standing obligation, what should trigger the publication of such materials? 委員会は、商用監視慣行に関する定期的な自己報告、第三者による監査または評価、あるいは自ら行う影響評価を、あるとすればどの程度まで恒常的な義務として課すべきか。委員会は、もしあるとすれば、どの程度の頻度で企業にそのような資料を公に開示するよう求めるべきか。継続的な義務でない場合、何がそのような資料の公表のきっかけとなるか。
To what extent do companies have the capacity to provide any of the above information? Given the potential cost of such disclosure requirements, should trade regulation rules exempt certain companies due to their size or the nature of the consumer data at issue? 企業には上記の情報を提供する能力がどの程度あるのか。そのような開示義務に潜在的なコストがかかることを考えると、取引規制規則は、その規模や問題となっている消費者データの性質により、特定の企業を除外すべきか。
Remedies  救済措置
How should the FTC’s authority to implement remedies under the Act determine the form or substance of any potential new trade regulation rules on commercial surveillance? Should new rules enumerate specific forms of relief or damages that are not explicit in the FTC Act but that are within the Commission’s authority? For example, should a potential new trade regulation rule on commercial surveillance explicitly identify algorithmic disgorgement, a remedy that forbids companies from profiting from unlawful practices related to their use of automated systems, as a potential remedy? Which, if any, other remedial tools should new trade regulation rules on commercial surveillance explicitly identify? Is there a limit to the Commission’s authority to implement remedies by regulation? 本法に基づく救済措置を実施するFTCの権限によって、商用監視に関する新たな取引規制規則の可能性の形式または内容をどのように決定すべきか。FTC法には明示されていないが、委員会の権限内である特定の形式の救済や損害賠償を新しい規則で列挙すべきか。例えば、商用監視に関する新たな取引規制規則の候補として、企業が自動化システムの使用に関連した違法行為から利益を得ることを禁じる救済措置であるアルゴリズム損害賠償を潜在的救済措置として明示すべきか。商用監視に関する新しい取引規制の規則で、その他の救済手段を明示すべきものがあるとすれば、それは何か。規制によって救済策を実施する委員会の権限に限界はあるか。
Obsolescence  陳腐化
The Commission is alert to the potential obsolescence of any rulemaking. As important as targeted advertising is to today’s internet economy, for example, it is possible that its role may wane. Companies and other stakeholders are exploring new business models. Such changes would have notable collateral consequences for companies that have come to rely on the third-party advertising model, including and especially news publishing. These developments in online advertising marketplace are just one example. How should the Commission account for changes in business models in advertising as well as other commercial surveillance practices? 委員会は、いかなる規則制定も陳腐化する可能性があることに留意している。例えば、ターゲット広告が今日のインターネット経済にとって重要であるのと同様に、その役割が衰退する可能性はある。企業やその他の関係者は、新しいビジネスモデルを模索している。そのような変化は、特にニュース出版を含む、第三者広告モデルに依存するようになった企業にとって、顕著な付随的影響をもたらすだろう。オンライン広告市場におけるこうした動きは、その一例に過ぎない。委員会は、広告におけるビジネスモデルの変化だけでなく、その他の商用監視慣行についても、どのように考慮すべきなのか。

 

商用監視およびデータ・セキュリティに関する規則制定提案の通知の本文...

・[PDF] Text of the Notice of Proposed Rulemaking Regarding the Commercial Surveillance and Data Security

20220817-183517

 

・[DOCX] 仮対訳

 

読んで面白いのは、こちらですかね。。。委員の意見(3名が賛成、2名が反対...)

賛成派=連邦法の議論はあるものの、いつできるかわからない。できるまで待てない。今のうちに強化したらどうか。。。

反対派=連邦法の議論があるのだから、それに任せれば良い。そもそも、法律でもないのに、FTCが規制を強化するのはいかがなものか。。。

という感じかなぁ。。。

 

賛成派

・[PDF] Lina M. Khan

・[PDF] Christine S. Wilson

・[PDF] Rebecca Kelly Slaughter

反対派

・[PDF] Noah Joshua Phillips 

・[PDF] Christine S. Wilson

まとめて

・[DOCX] 仮対訳

 

 


 

ADPPAについては、、、

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.22 米国 データプライバシー保護法 (ADPPA) はどうなるか

 

 

| | Comments (0)

欧州データ保護委員会(EDPB) 意見書 17/2022 欧州連合と日本との間の経済連携協定に国境を越えたデータの流れに関する規定を盛り込むための交渉開始を承認する理事会決定のための勧告

こんにちは、丸山満彦です。

欧州データ保護委員会(EDPB)が、意見書 17/2022 欧州連合と日本との間の経済連携協定に国境を越えたデータの流れに関する規定を盛り込むための交渉開始を承認する理事会決定のための勧告を公表していますね。。。

EUROPEAN DATA PROTECTION SUPERVISOR

・2022.08.09 Cross-border data flows in the Agreement between the EU and Japan for an Economic Partnership

・[PDF

20220816-235240

 

Opinion 17/2022 On the Recommendation for a Council Decision authorizing the opening of negotiations for the inclusion of provisions on cross-border data flows in the Agreement between the European Union and Japan for an Economic Partnership 意見書 17/2022 欧州連合と日本との間の経済連携協定に国境を越えたデータの流れに関する規定を盛り込むための交渉開始を承認する理事会決定のための勧告
The European Data Protection Supervisor (EDPS) is an independent institution of the EU, responsible under Article 52(2) of Regulation 2018/1725 ‘With respect to the processing of personal data… for ensuring that the fundamental rights and freedoms of natural persons, and in particular their right to data protection, are respected by Union institutions and bodies’, and under Article 52(3)‘…for advising Union institutions and bodies and data subjects on all matters concerning the processing of personal data’.   欧州データ保護監督官(EDPS)はEUの独立機関であり、規則2018/1725の第52条2項「個人データの処理に関して...自然人の基本的権利と自由、特にデータ保護に対する権利が、EUの機関および団体によって尊重されるようにすること」、および同条3項「個人データの処理に関するあらゆる事柄についてEU機関および団体とデータ主体に助言すること」に基づいて、責任を負っている。 
Wojciech Rafał Wiewiórowski was appointed as Supervisor on 5 December 2019 for a term of five years.  Wojciech Rafał Wiewiórowskiは、2019年12月5日に5年の任期で監督官に任命された。
Under Article 42(1) of Regulation 2018/1725, the Commission shall ‘following the adoption of proposals for a legislative act, of recommendations or of proposals to the Council pursuant to Article 218 TFEU or when preparing delegated acts or implementing acts, consult the EDPS where there is an impact on the protection of individuals’ rights and freedoms with regard to the processing of personal data’.   規則2018/1725の第42条1項に基づき、欧州委員会は「立法行為の提案、勧告、またはTFEU第218条に基づく理事会への提案の採択後、または委任行為もしくは実施行為の作成時に、個人データの処理に関して個人の権利と自由の保護に影響がある場合、EDPSに相談する」ものとされている。 
This Opinion relates to the Commission Recommendation for a Council Decision authorising the opening of negotiations for the inclusion of provisions on cross-border data flows in the Agreement between the European Union and Japan for an Economic Partnership. This Opinion does not preclude any future additional comments or recommendations by the EDPS, in particular if further issues are identified or new information becomes available. Furthermore, this Opinion is without prejudice to any future action that may be taken by the EDPS in the exercise of his powers pursuant to Regulation (EU) 2018/1725. This Opinion is limited to the provisions of the Recommendation that are relevant from a data protection perspective.  本意見は、日本と欧州連合の経済連携協定に国境を越えたデータの流れに関する条項を盛り込むための交渉開始を承認する理事会決定に関する欧州委員会勧告に関するものである。本意見は、EDPSによる将来の追加的なコメントや勧告、特に、さらなる問題の発見や新たな情報の入手を妨げるものではない。さらに、本意見は、規則(EU)2018/1725に基づく権限の行使においてEDPSが将来取り得る行動を害するものではない。本意見は、データ保護の観点から関連する勧告の規定に限定される。
Executive Summary  エグゼクティブサマリー 
On 12 July 2022, the Commission issued a Recommendation for a Council Decision authorising the opening of negotiations for the inclusion of provisions on cross-border data flows in the Agreement between the European Union and Japan for an Economic Partnership.   2022年7月12日、欧州委員会は、欧州連合と日本との経済連携協定に国境を越えたデータの流れに関する条項を盛り込むための交渉開始を許可する理事会決定のための勧告を発表した。 
The Agreement for an Economic Partnership between the European Union and Japan was signed on 17 July 2018. The objective of this Agreement is, in particular, to remove the vast majority of duties paid by EU and Japanese companies and other technical and regulatory trade barriers.   2018年7月17日、欧州連合と日本との間の経済連携に関する協定が締結された。この協定の目的は、特に、EUと日本の企業が負う義務の大部分と、その他の技術的・規制的な通商障壁を撤廃することである。 
On 23 January 2019, Japan was granted an adequacy finding by the Commission. Consequently, transfers of personal data from a controller or a processor in the European Economic Area (EEA) to organisations in Japan covered by the adequacy decision may take place without the need to obtain any further authorisation.  2019年1月23日、日本は欧州委員会から十分性認定を受けた。その結果、欧州経済領域(EEA)内の管理者または処理者から、十分性判断の対象となる日本国内の組織への個人データの移転は、さらなる認可を得る必要なく行うことができるようになった。
The EDPS takes note that the negotiations would exclusively concern cross-border data flows. Having regard to the fact that Japan has already been granted an adequacy finding by the Commission in 2019, the EDPS recommends detailing the reasons why, despite this adequacy decision, further negotiations on cross-border data flows are considered necessary.  EDPSは、交渉が国境を越えたデータの流れにのみ関係することに留意している。日本が2019年に欧州委員会から既に十分性認定を受けていることを考慮し、EDPSは、今回の十分性決定にもかかわらず、国境を越えたデータの流れに関するさらなる交渉が必要と考えられる理由を詳細に説明することを勧告する。
The EPDS welcomes the specification that the provisions on cross-border data flows should be coherent with the horizontal provisions for cross-border data flows and personal data protection in trade negotiations. The horizontal provisions, published by the Commission in July 2018, represent a balanced compromise between public and private interests as they allow the EU to tackle protectionist practices in third countries in relation to digital trade, while ensuring that trade agreements cannot be used to challenge the high level of protection guaranteed by the Charter of fundamental rights of the EU and the EU legislation on the protection of personal data.   EPDSは、国境を越えたデータフローに関する規定は、通商交渉における国境を越えたデータフローと個人データ保護に関する水平規定と首尾一貫しているべきであるという仕様を歓迎する。2018年7月に欧州委員会が発表した水平規定は、EUの基本権憲章と個人データの保護に関するEUの法律が保証する高いレベルの保護に挑戦するために通商協定を利用できないようにしつつ、デジタル通商に関連して第三国の保護主義的慣行に取り組むことを可能にし、公と私の利益の間でバランスのとれた妥協点を示している。 
The EDPS understands the negotiating directives and the horizontal provisions as allowing, in duly justified cases, measures that would require controllers or processors to store personal data in the EU/EEA. The EDPS recalls that, together with the EDPB, he recently recommended that controllers and processors, established in the EU/EEA and processing personal electronic health data within the scope of the Commission’s proposal for a Regulation on the European Health Data Space, should be required to store this data in the EU/EEA, without prejudice to the possibility to transfer personal electronic health data in compliance with Chapter V GDPR. For the avoidance of doubt, the EDPS recommends to expressly clarify in the negotiating directives that the negotiated rules should not prevent the EU or the Member States from adopting, in duly justified cases, measures that would require controllers or processors to store personal data in the EU/EEA.   EDPSは、交渉指令と水平的規定は、正当に正当化された場合には、管理者や処理者が個人データをEU/EEAに保管することを要求するような措置を認めるものであると理解している。EDPSは、EDPBとともに、最近、EU/EEAに設立され、欧州委員会の欧州医療データ空間に関する規則の提案の範囲内で個人電子医療データを処理する管理者及び処理者に対し、GDPR第5章に従って個人電子医療データを移転する可能性を損なうことなく、当該データをEU/EEAに保管するよう求めるべきであると勧告したことを想起している。疑念を避けるため、EDPSは、交渉による規則が、EUまたは加盟国が、正当に正当化された場合に、管理者または処理者にEU/EEAでの個人データの保存を義務づける措置を採用することを妨げるべきではないことを交渉指令で明示的に明確にすることを勧告している。 
Contents  内容 
1. Introduction 1. はじめに
2. General remarks 2. 一般的な注意事項
3. Horizontal provisions on cross-border data flows 3. 国境を越えたデータフローに関する水平規定
4. Reference to this Opinion 4. 本意見書への言及
5. Conclusions 5. 結論
THE EUROPEAN DATA PROTECTION SUPERVISOR,  欧州データ保護監督機構 
Having regard to the Treaty on the Functioning of the European Union,   欧州連合の機能に関する条約に留意して 
Having regard to Regulation (EU) No 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data (‘EUDPR’)[1], and in particular Article 42(1) thereof,  欧州連合の機関、団体、事務所及び機関による個人データの処理に関する自然人の保護及び当該データの自由な移動に関する2018年10月23日の欧州議会及び理事会の規則(EU)No 2018/1725(以下「EUDPR」)[1]、特にその42条(1)に関して考慮し、
HAS ADOPTED THE FOLLOWING OPINION:  以下の意見を採択した。
1.  Introduction  1.  はじめに 
1. On 12 July 2022, the European Commission (‘the Commission’) issued a Recommendation for a Council Decision authorising the opening of negotiations for the inclusion of provisions on cross-border data flows in the Agreement between the European Union and Japan for an Economic Partnership[2] (‘the Recommendation’).  1. 2022年7月12日、欧州委員会(以下、「委員会」)は、欧州連合と日本との経済連携協定[2]に国境を越えたデータの流れに関する規定を盛り込むための交渉開始を認める理事会決定のための勧告(以下、「勧告」)を発表した。
2. By decision of 29 November 2012, the Council approved negotiating directives for the Commission to negotiate a free trade agreement with Japan, on the basis of which the Commission negotiated the Agreement between the European Union and Japan for an Economic Partnership, signed on 17 July 2018[3] (‘the Agreement’). The Agreement entered into force on 1 February 2019. The objective of the Agreement is, in particular, to remove the vast majority of duties paid by EU and Japanese companies and other technical and regulatory trade barriers.   2. 2012年11月29日の決定により、理事会は、欧州委員会が日本との自由通商協定について交渉するための交渉指令を承認し、それに基づいて欧州委員会は、2018年7月17日に署名された「経済連携のための欧州連合と日本との間の協定」[3](以下「本協定」)について交渉した。本協定は2019年2月1日に発効した。本協定の目的は、特に、EUと日本の企業が負う義務の大部分と、その他の技術的・規制的な通商障壁を撤廃することである。 
3. Chapter 8 of the Agreement contains provisions on trade in services, investment liberalisation and electronic commerce. Article 8.81 of the Agreement, which relates to the free flow of data, provides that '[t]he Parties shall reassess within three years of the date of entry into force of this Agreement the need for inclusion of provisions on the free flow of data into this Agreement’. In its meeting of 25 March 2022, the Joint Committee established by Article 22.1 of the Agreement examined whether the economic partnership between the European Union and Japan would benefit from the inclusion of provisions on cross-border data flows in the Agreement. Building on that examination, the representatives of the European Union and Japan, at the 28th EU-Japan summit (in May 2022), committed to consider the launch of the negotiations needed for such inclusion[4].  3. 協定の第8章には、サービス通商、投資自由化、電子商取引に関する規定が含まれている。データの自由な流れに関する協定第8条81項では、「両当事者は、この協定の発効日から3年以内に、データの自由な流れに関する規定をこの協定に含めることの必要性を再評価する」と規定されている。2022年3月25日の会合で、協定第22条第1項により設置された合同委員会は、国境を越えたデータの流れに関する規定を協定に含めることによって、欧州連合と日本の経済連携が利益を得るかどうかを検討した。その検討を踏まえて、第28回日・EU定期首脳協議(2022年5月)において、欧州連合と日本の代表者は、そのような盛り込みに必要な交渉の開始を検討することを約束した[4]。
4. As made clear by its title, the objective of the Recommendation is to authorise the Commission to open negotiations with Japan with the view to include provisions on data flows into the Agreement.  4. この勧告の目的は、その表題からも明らかなように、データの流れに関する条項を協定に盛り込むことを視野に入れ、欧州委員会が日本との交渉を開始する権限を与えることである。
5. The present Opinion of the EDPS is issued in response to a consultation by the Commission of 22 July 2022, pursuant to Article 42(1) of EUDPR.   5. EDPSの本意見は、EUDPR第42条1項に基づき、2022年7月22日に欧州委員会が行った諮問に応えるために出されたものである。 
2.  General remarks  2.  総論 
6.  The EDPS has long taken the view that, as the protection of personal data is a fundamental right in the Union, it cannot be subject to negotiations in the context of EU trade agreements. It is for the EU alone to decide how to implement fundamental rights protections in Union law. The Union cannot and should not embark on any international trade commitments that are incompatible with its domestic data protection legislation. Dialogues on data protection and trade negotiations with third countries can complement each other but must follow separate tracks. Personal data flows between the EU and third countries should be enabled by using the mechanisms provided under the EU data protection legislation[5].   6.  EDPSは、個人データの保護はEUにおける基本的権利であるため、EUの通商協定との関連で交渉の対象とすることはできないとの見解を長年示してきた。基本的権利の保護をEUの法律でどのように実現するかを決めるのはEUだけである。EUは、国内のデータ保護法と相容れない国際通商の約束に乗り出すことはできないし、そうすべきでもない。データ保護に関する対話と第三国との通商交渉は、互いに補完し合うことができますが、別々の道を歩む必要があります。EUと第三国間の個人データの流れは、EUデータ保護法[5]の下で提供されるメカニズムを利用することによって可能になるはずです。 
7.  In this regard, the EDPS positively notes that Japan has already been granted an adequacy finding by the Commission on 23 January 2019 (‘the Adequacy Decision)[6]. Consequently, transfers of personal data from a controller or a processor in the European Economic Area (EEA) to organisations in Japan covered by the Adequacy Decision may take place without the need to obtain any further authorisation[7].   7.  この点、EDPSは、日本が既に2019年1月23日に欧州委員会から十分性認定(「十分性決定」)[6]を受けていることに積極的に留意している。その結果、欧州経済領域(EEA)内の管理者または処理者から、適切性判断の対象となる日本国内の組織への個人データの移転は、さらなる認可を得る必要なく実施することができます[7]。 
8.  In this context, the EDPS takes note that the negotiating directives, included in the annex to the Recommendation, clarify that the provisions, to be negotiated and included in the Agreement, will ‘exclusively concern cross-border data flows between the European Union and Japan’ (emphasis added). In view of the Adequacy Decision, the need for having additional rules covering cross-border data flows should be expressed in more detail so that the justification for an amendment of the Agreement is made clearer[8]. In other words, the EDPS recommends to further explain why, despite the Adequacy Decision, further negotiations on cross-border data flows are considered to be necessary.  8.  この文脈で、EDPSは、勧告の付属書に含まれる交渉指令が、交渉され協定に含まれることになる条項が「専ら欧州連合と日本間の国境を越えたデータの流れに関係する」(強調)ことを明らかにしていることに留意している。Adequacy Decisionを考慮し、国境を越えたデータフローをカバーする追加ルールの必要性をより詳細に表現し、協定改正の正当性をより明確にする必要がある[8]。すなわち、EDPSは、Adequacy Decisionにもかかわらず、なぜ国境を越えたデータフローに関する更なる交渉が必要であると考えられるのか、その理由をさらに説明することを推奨している。
3.  Horizontal provisions on cross-border data flows  3.  国境を越えたデータ・フローに関する水平規定 
9.  On 31 January 2018, the European Commission endorsed horizontal provisions for crossborder data flows and personal data protection in trade negotiations (‘the Horizontal Provisions’), which were published in July 2018[9].  9.  2018年1月31日、欧州委員会は、通商交渉における国境を越えたデータの流れと個人データ保護に関する水平規定(以下「水平規定」)を承認し、2018年7月に公表された[9]。
10.  The EDPS recalls that he supports the legal wording of the Horizontal Provisions as the best outcome achievable to preserve individual’s fundamental rights to data protection and privacy. The Horizontal Provisions reach a balanced compromise between public and private interests as they allow the EU to tackle protectionist practices in third countries in relation to digital trade, while ensuring that trade agreements cannot be used to challenge the high level of protection guaranteed by the Charter of fundamental rights of the EU and the EU legislation on the protection of personal data[10].   10.  EDPSは、データ保護とプライバシーに対する個人の基本的権利を維持するために達成可能な最善の成果として、水平規定の法的文言を支持することを想起する。水平規定は、EUの基本権憲章と個人データの保護に関するEUの法律が保証する高いレベルの保護に挑戦するために通商協定を利用できないことを保証しながら、デジタル通商に関連する第三国の保護主義的慣行に取り組むことを可能にするので、公共と民間の利益の間でバランスのとれた妥協点に到達している[10]。 
11.  In his Opinion 3/2021 on the conclusion of the EU and UK trade agreement and the EU and UK exchange of classified information agreement, the EDPS recommended that the wording agreed with the UK on data protection and privacy (which modified the Horizontal Provisions) remained an exception and would not be the basis for future trade agreements with other third countries[11].   11.  EDPSは、EU・英国通商協定及びEU・英国機密情報交換協定の締結に関する意見書3/2021において、データ保護とプライバシーに関して英国と合意した文言(水平規定の修正)は例外にとどまり、他の第三国との将来の通商協定の基礎にはならないことを勧告している[11]。 
12.  Therefore, the EDPS welcomes Recital 4 to the Recommendation, which confirms that the negotiations would be opened ‘with a view to include the provisions on data flows into the Agreement, coherent with the horizontal provisions for cross-border data flows and personal data protection in trade negotiations’ (emphasis added).  12.  したがって、EDPSは、「通商交渉における国境を越えたデータの流れと個人データ保護に関する水平規定と首尾一貫して、データの流れに関する規定を協定に含めることを視野に入れて」交渉を開始することを確認した勧告のRecital 4を歓迎する(強調事項)。
13.  The negotiating directives, included in the annex to the Recommendation, recall that the negotiated rules should not prevent the European Union and its Member States from regulating economic activity in the public interest and to achieve legitimate public policy objectives, including the protection of privacy and data protection. The directives also reiterate that the negotiations should not affect the EU’s personal data protection rules and should be in line with the EU legal framework.  13.  勧告の付属文書に含まれる交渉指令は、交渉された規則が、欧州連合とその加盟国が公共の利益のために、プライバシーとデータ保護の保護を含む正当な公共政策の目的を達成するために経済活動を規制することを妨げてはならないことを想起させるものである。また、この指令は、交渉がEUの個人データ保護規則に影響を及ぼすべきではなく、EUの法的枠組みに沿ったものであるべきであることを再確認している。
14.  The EDPS welcomes the directives, which are in line with Article 2(2) of the Horizontal Provisions, according to which ‘[e]ach Party may adopt and maintain the safeguards it deems appropriate to ensure the protection of personal data and privacy, including through the adoption and application of rules for the cross-border transfer of personal data. Nothing in this agreement shall affect the protection of personal data and privacy afforded by the Parties’ respective safeguards.’  14.  EDPSは、この指令が水平規定第2条2項に沿ったものであることを歓迎する。同条項によれば、「各締約国は、個人データの国境を越えた移転に関する規則の採択及び適用を含む、個人データ及びプライバシーの保護を確保するために適切と考える保護措置を採択し、維持することができる。この協定のいかなる内容も、締約国のそれぞれのセーフガードによって与えられる個人データ及びプライバシーの保護に影響を与えないものとする」。
15.  The EDPS understands the negotiating directives and the Horizontal Provisions as allowing, in duly justified cases, measures that would require controllers or processors to store personal data in the EU/EEA. The EDPS recalls that, together with the EDPB, he recently recommended the co-legislators to require that controllers and processors, established in the EU/EEA and processing personal electronic health data within the scope of the Commission’s proposal for a Regulation on the European Health Data Space, should be required to store this data in the EU/EEA, without prejudice to the possibility to transfer personal electronic health data in compliance with Chapter V GDPR[12]. For the avoidance of doubt, the EDPS recommends to expressly clarify in the negotiating directives that the negotiated rules should not prevent the EU or the Member States from adopting, in duly justified cases, measures that would require controllers or processors to store personal data in the EU/EEA.  15.  EDPSは、交渉指令及び水平規定が、正当に正当化された場合には、管理者又は処理者が個人データをEU/EEAに保管することを要求するような措置を許容するものであると理解している。EDPSは、EDPBとともに、最近、欧州委員会の欧州医療データ空間に関する規則の提案の範囲内でEU/EEAに設立され個人電子医療データを処理する管理者及び処理者に対し、GDPR第5章に従って個人電子医療データを移転する可能性を損なうことなく、当該データをEU/EEAに保管するよう求めることを共同立法者に勧告したことを想起している[12]。疑念を避けるために、EDPSは、交渉された規則が、EUまたは加盟国が、正当に正当化された場合に、管理者または処理者にEU/EEAでの個人データの保存を義務づける措置を採用することを妨げるべきではないことを交渉指令で明示的に明確にすることを推奨している。
4.  Reference to this Opinion  4.  本意見書への言及 
16.  The EDPS notes that the Recommendation does not refer to the EDPS consultation. Therefore, the EDPS recommends inserting a reference to the EDPS consultation in a recital.   16.  EDPSは、本勧告がEDPS協議に言及していないことに留意する。従って、EDPSは、EDPS協議への言及を前文に挿入することを推奨する。 
5.  Conclusions   5.  結論  
17. In light of the above, the EDPS makes the following recommendations:   17. 以上を踏まえ、EDPS は以下の提言を行う。 
(1)  to detail in a recital the reasons why, despite the Adequacy Decision, further negotiations on cross-border data flows are considered to be necessary;   (1) 適正性決定にもかかわらず、国境を越えたデータフローに関する更なる交渉が必要であると考えられる理由を説明文書に明記すること。 
(2)  to clarify, in the negotiating directives included in the annex to the Recommendation, that the negotiated rules should not prevent the EU or the Member States from imposing on controllers and processors, in duly justified cases, to store personal data in the EU/EEA; and    (2) 勧告の附属書に含まれる交渉指令において、交渉された規則は、EUまたは加盟国が、正当に正当化された場合に、管理者や処理者に対して、EU/EEAに個人データを保管することを課すことを妨げるものであってはならないことを明確にすること。  
(3)  to refer to the EDPS consultation in a recital.  (3) リサイタルでEDPSの協議に言及すること。
   
[1] OJ L 295, 21.11.2018, p. 39.  [1] OJ L 295, 21.11.2018, p.39. 
[2] COM(2022) 336 final, web.   [2] COM(2022) 336 final,web  
[3] Agreement between the European Union and Japan for an Economic Partnership, OJ L 330, 27.12.2018, p. 3.  [3] 経済連携に関する欧州連合と日本との間の協定、OJ L 330, 27.12.2018, p. 3. 
[4] Recital 2 to the Recommendation. [4] 勧告への前文2。
[5] EDPS Opinion 03/2021 on the conclusion of the EU and UK trade agreement and the EU and UK exchange of classified information agreement, issued on 22 February 2021, paragraph 14.  [5] 2021年2月22日に出されたEUと英国の通商協定及びEUと英国の機密情報交換協定の締結に関するEDPS意見書03/2021、パラグラフ14. 
[6] Commission Implementing Decision (EU) 2019/419 of 23 January 2019 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by Japan under the Act on the Protection of Personal Information (Text with EEA relevance), OJ L 76, 19.3.2019, p. 1.  [6] 個人情報の保護に関する法律に基づく日本による個人データの適切な保護に関する欧州議会及び理事会の規則(EU)2016/679に基づく2019年1月23日の欧州委員会実施決定(EU)2019/419(EEA関連性を有するテキスト)、OJ L 76, 19.3.2019, p.1. 
[7] Article 45(1) GDPR and Recital 5 of the Adequacy Decision.  [7] GDPR第45条1項及び適正化決定の前文5。
[8] Recitals 3 and 4 to the Recommendation offer limited clarification in this regard.   [8] 勧告のリサイタル3及び4は、この点に関して限定的な明確化を提供している。 
[9] web [9] web
[10] EDPS Opinion 03/2021 on the conclusion of the EU and UK trade agreement and the EU and UK exchange of classified information agreement, issued on 22 February 2021, paragraphs 15.  [10] 2021年2月22日に公表されたEU・英国通商協定及びEU・英国機密情報交換協定の締結に関するEDPS意見書03/2021、パラグラフ15。
[11] EDPS Opinion 03/2021 on the conclusion of the EU and UK trade agreement and the EU and UK exchange of classified information agreement, issued on 22 February 2021, paragraphs 16- 22 and 38.  [11] EUと英国の通商協定及びEUと英国の機密情報交換協定の締結に関するEDPS意見書03/2021、2021年2月22日発行、16-22項及び38項。
[12] EDPB-EDPS Joint Opinion 03/2022 on the Recommendation for a Regulation on the European Health Data Space, issued on 12 July 2022, paragraph 111.  [12] 欧州健康データ空間に関する規則の勧告に関するEDPB-EDPS共同意見書03/2022(2022年7月12日発行、パラグラフ111)。

| | Comments (0)

2022.08.16

中国 白書「台湾問題と新時代の中国統一事業」 (2022.08.10)

こんにちは、丸山満彦です。

中国が2022.08.10に「台湾問題と新時代の中国統一事業」という白書を公表していましたね。。。

台湾問題に興味がある方は、読んでおいた方が良いのでしょうね。。。

中央人民政府 - 政策 - 白皮书

・2022.08.10 台湾问题与新时代中国统一事业

 

台湾问题与新时代中国统一事业 台湾問題と新時代の中国統一の大義
新华社北京8月10日电 国务院台湾事务办公室、国务院新闻办公室10日发表《台湾问题与新时代中国统一事业》白皮书。全文如下: 北京8月10日】国務院台湾事務弁公室と国務院情報弁公室は10日、「新時代における台湾問題と中国統一の大義」をテーマにした白書を発表した。 全文は以下の通りである。
台湾问题与新时代中国统一事业 台湾問題と新時代の中国統一事業
(2022年8月) (2022年8月)
中华人民共和国 中華人民共和国
国务院台湾事务办公室 国務院台湾事務弁公室
国务院新闻办公室 国務院情報弁公室
目录 内容
前言 前文
一、台湾是中国的一部分不容置疑也不容改变 1. 台湾は中国の一部であり、疑うことも変えることもできない
二、中国共产党坚定不移推进祖国完全统一 2. 中国共産党は祖国の完全統一を断固推進する
三、祖国完全统一进程不可阻挡 3. 祖国の完全統一のプロセスは止められない
(一)实现祖国完全统一是中华民族伟大复兴的必然要求 (1) 祖国の完全な統一を達成することは、中華民族の偉大な再生のための必然的な要件である
(二)国家发展进步引领两岸关系发展方向 (2) 国家の発展と進歩が両岸関係の道を切り開く
(三)“台独”分裂势力抗拒统一不会得逞 (3) 「台湾独立」分離独立勢力は、統一への抵抗に成功しない
(四)外部势力阻碍中国完全统一必遭失败 (4) 中国の完全な統一を妨害する外的勢力は必ず失敗する
四、在新时代新征程上推进祖国统一 4. 新しい時代と新しい旅路における祖国統一の推進
(一)坚持“和平统一、一国两制”基本方针 (1) 「平和的統一と一国二制度」の基本原則を堅持する
(二)努力推动两岸关系和平发展、融合发展 (2) 両岸関係の平和的発展と統合の推進に努める
(三)坚决粉碎“台独”分裂和外来干涉图谋 (3) 「台湾独立」という分裂と外患誘致を断固として粉砕する
(四)团结台湾同胞共谋民族复兴和国家统一 (4) 台湾の同胞を団結させ、民族の再生と統一を図る
五、实现祖国和平统一的光明前景 5. 祖国の平和的統一への明るい展望
(一)台湾发展空间将更为广阔 (1) 台湾の開発余地が広がる
(二)台湾同胞切身利益将得到充分保障 (2) 台湾同胞の当面の利益は完全に保護される
(三)两岸同胞共享民族复兴的伟大荣光 (3) 台湾海峡両岸の同胞は、民族の再生という大きな栄光を分かち合う
(四)有利于亚太地区及全世界和平与发展 (4) アジア太平洋地域および全世界の平和と発展に寄与する
结束语 結論
前言 前文
解决台湾问题、实现祖国完全统一,是全体中华儿女的共同愿望,是实现中华民族伟大复兴的必然要求,是中国共产党矢志不渝的历史任务。中国共产党、中国政府和中国人民为此进行了长期不懈的努力。 台湾問題を解決し、祖国の完全な統一を実現することは、すべての中国人の息子と娘の共通の願いであり、中華民族の偉大な再生のための必然的な条件であり、中国共産党がコミットする歴史的な課題である。 中国共産党、中国政府、中国国民は、この目的のために長い間、絶え間ない努力を続けてきたのである。
中共十八大以来,中国特色社会主义进入新时代。在以习近平同志为核心的中共中央坚强领导下,中国共产党和中国政府积极推进对台工作理论和实践创新,牢牢把握两岸关系主导权和主动权,有力维护台海和平稳定,扎实推进祖国统一进程。但一个时期以来,台湾民进党当局加紧进行“台独”分裂活动,一些外部势力极力搞“以台制华”,企图阻挡中国实现完全统一和中华民族迈向伟大复兴。 中国共産党第18回全国代表大会以降、中国の特色ある社会主義は新しい時代に突入した。 習近平同志を核心とする中国共産党中央委員会の強力な指導の下、中国共産党と中国政府は対台湾業務において積極的に理論的、実践的革新を進め、両岸関係における支配力と主導権をしっかりと握り、台湾海峡の平和と安定を力強く維持し、祖国統一のプロセスを堅固に推し進めてきた。 しかし、一時期、台湾の民進党当局が「台湾独立」のための分離工作を強化し、一部の外部勢力が中国の完全統一と中華民族の偉大な再興を阻止しようと「台湾で中国をコントロール」しようと努力している。
中国共产党团结带领全国各族人民长期奋斗,如期全面建成小康社会、实现第一个百年奋斗目标,开启全面建设社会主义现代化国家、向第二个百年奋斗目标进军新征程。中华民族迎来了从站起来、富起来到强起来的伟大飞跃,实现中华民族伟大复兴进入了不可逆转的历史进程。这是中国统一大业新的历史方位。 中国共産党(中共)は、各民族人民の長い闘争を団結してリードし、中等度の豊かな社会を建設し、予定通り第一次100年目標を達成し、近代社会主義国を建設して第二次100年目標に向かって行進する新しい旅に出発しました。 中華民族は、立ち上がり、豊かになることから、強くなることへと大きく飛躍し、中華民族の偉大な再生を実現する不可逆的な歴史過程に入ったのである。 これは、中国の偉大な統一事業の新しい歴史的方向性である。
中国政府于1993年8月、2000年2月分别发表了《台湾问题与中国的统一》、《一个中国的原则与台湾问题》白皮书,全面系统阐述了解决台湾问题的基本方针和有关政策。为进一步重申台湾是中国的一部分的事实和现状,展现中国共产党和中国人民追求祖国统一的坚定意志和坚强决心,阐述中国共产党和中国政府在新时代推进实现祖国统一的立场和政策,特发布本白皮书。 中国政府は1993年8月に「台湾問題と中国統一」、2000年2月に「一つの中国の原則と台湾問題」という白書をそれぞれ発表し、台湾問題解決のための基本指針および関連政策を包括的かつ体系的に示した。 本白書は、台湾が中国の一部であるという事実と現状をさらに再確認し、祖国統一を追求する中国共産党と中国人民の確固たる意志と強い決意を示し、新時代の祖国統一の実現に向けた中国共産党と中国政府の立場と方針を詳しく説明するために発刊されたものである。
一、台湾是中国的一部分不容置疑也不容改变 1. 台湾は中国の一部であり、疑うことも変えることもできない
台湾自古属于中国的历史经纬清晰、法理事实清楚。不断有新的考古发现和研究证明海峡两岸深厚的历史和文化联系。大量的史书和文献记载了中国人民早期开发台湾的情景。公元230年,三国时期吴人沈莹所著《临海水土志》留下了关于台湾最早的记述。隋朝政府曾三次派兵到时称“流求”的台湾。宋元以后,中国历代中央政府开始在澎湖、台湾设治,实施行政管辖。1624年,荷兰殖民者侵占台湾南部。1662年,民族英雄郑成功驱逐荷兰殖民者收复台湾。清朝政府逐步在台湾扩增行政机构,1684年设立台湾府,隶属福建省管辖;1885年改设台湾为行省,是当时中国第20个行省。 台湾が古来より中国に属していたという歴史は明らかであり、法的事実も明確である。 海峡を挟んだ両岸の歴史的・文化的な深い結びつきを証明する考古学的発見や研究は、常に行われている。 中国人が台湾を早くから開発していたことは、数多くの歴史書や文献に記されている。 西暦230年、三国時代の呉出身の沈英が『臨海水宅志』に残したのが、台湾に関する最古の記述である。 隋の政府は、当時「劉丘」と呼ばれていた台湾に3度にわたり軍隊を派遣した。 宋・元時代以降、歴代の中国中央政府は澎湖と台湾の支配を確立し始め、1624年にはオランダの植民地支配が台湾南部を侵攻し、1662年には国民的英雄鄭成功がオランダ植民地を追放して台湾を奪還した。 清朝政府は台湾の行政機構を徐々に拡大し、1684年に福建省の管轄下にあった台湾府を設置、1885年には当時中国で20番目の省に改編された。
1894年7月,日本发动侵略中国的甲午战争,次年4月迫使战败的清朝政府割让台湾及澎湖列岛。抗日战争时期,中国共产党人明确提出收复台湾的主张。1937年5月15日,毛泽东同志会见美国记者尼姆·韦尔斯时表示:“中国的抗战是要求得最后的胜利,这个胜利的范围,不限于山海关,不限于东北,还要包括台湾的解放。” 1894年7月、日本は日清戦争を開始し、敗れた清国は翌年4月に台湾と澎湖諸島を割譲させる。 抗日戦争中、中国共産党は台湾奪還を明確に打ち出し、1937年5月15日、毛沢東同志はアメリカのジャーナリスト、ニム・ウェルズと会談した際、「中国の抵抗戦争は最後の勝利のため、その勝利は殷殷に限らず、東北にも限らず、台湾解放を含む」と発言している。
1941年12月9日,中国政府发布对日宣战布告,宣告“所有一切条约、协定、合同,有涉及中日间之关系者,一律废止”,并宣布将收回台湾、澎湖列岛。1943年12月1日,中美英三国政府发表《开罗宣言》宣布,三国之宗旨在使日本所窃取于中国之领土,例如东北、台湾、澎湖列岛等,归还中国。1945年7月26日,中美英三国共同签署、后来苏联参加的《波茨坦公告》,重申“开罗宣言之条件必将实施”。同年9月,日本签署《日本投降条款》,承诺“忠诚履行波茨坦公告各项规定之义务”。10月25日,中国政府宣告“恢复对台湾行使主权”,并在台北举行“中国战区台湾省受降仪式”。由此,通过一系列具有国际法律效力的文件,中国从法律和事实上收复了台湾。 1941年12月9日、中国政府は日本に対して宣戦布告を行い、「中国と日本の関係に関するすべての条約、協定、契約を破棄する」と宣言し、台湾と澎湖諸島を奪還することを宣言した。 1943年12月1日、中国、アメリカ、イギリスの3カ国はカイロ宣言を発表し、日本が中国から奪った東北地方、台湾、澎湖諸島などの領土を中国に返還することを目指すと宣言した。1945年7月26日、中国、アメリカ、イギリスが署名し、後にソ連も加わったポツダム宣言で、「カイロ宣言の条件を履行する」ことが再確認された。 同年9月、日本は「ポツダム宣言に基づく義務を誠実に履行する」ことを約束する「日本降伏条項」に調印した。 10月25日、中国政府は「台湾に対する主権行使を再開した」と発表し、台北で「中国戦区における台湾省の降伏式」を行った。こうして、国際的な法的効力を持つ一連の文書によって、中国は台湾を実質的にも事実上も取り戻したのである。
1949年10月1日,中华人民共和国中央人民政府宣告成立,取代中华民国政府成为代表全中国的唯一合法政府。这是在中国这一国际法主体没有发生变化情况下的政权更替,中国的主权和固有领土疆域没有改变,中华人民共和国政府理所当然地完全享有和行使中国的主权,其中包括对台湾的主权。由于中国内战延续和外部势力干涉,海峡两岸陷入长期政治对立的特殊状态,但中国的主权和领土从未分割也决不允许分割,台湾是中国领土的一部分的地位从未改变也决不允许改变。 1949年10月1日、中華人民共和国中央人民政府が宣言され、中華民国政府に代わって中国全土を代表する唯一の合法的な政府として誕生した。 これは、国際法の主体としての中国に何の変化もない政権交代であり、中国の主権と固有の領土境界は変わらず、中華人民共和国政府は台湾を含む中国の主権を当然に完全に享受し行使しているのである。 中国の内戦が続き、外部勢力の干渉を受けた結果、海峡両岸は長期にわたる政治的対立の特殊状態に陥っているが、中国の主権と領土は決して分割されておらず、分割を許すこともなく、中国の領土の一部である台湾の地位は決して変わらず、変更を許すこともないだろう。
1971年10月,第26届联合国大会通过第2758号决议,决定:“恢复中华人民共和国的一切权利,承认她的政府的代表为中国在联合国组织的唯一合法代表并立即把蒋介石的代表从它在联合国组织及其所属一切机构中所非法占据的席位上驱逐出去。”这一决议不仅从政治上、法律上和程序上彻底解决了包括台湾在内全中国在联合国的代表权问题,而且明确了中国在联合国的席位只有一个,不存在“两个中国”、“一中一台”的问题。随后,联合国相关专门机构以正式决议等方式,恢复中华人民共和国享有的合法席位,驱逐台湾当局的“代表”,如1972年5月第25届世界卫生大会通过第25.1号决议。联合国秘书处法律事务办公室官方法律意见明确指出,“台湾作为中国的一个省没有独立地位”,“台湾当局不享有任何形式的政府地位”。实践中,联合国对台湾使用的称谓是“台湾,中国的省(Taiwan,Province of China)”(注1)。 1971年10月、第26回国連総会は決議2758号を採択し、「中華人民共和国のすべての権利を回復し、同国政府の代表を国際連合に対する中国の唯一の正当な代表と認め、蒋介石の代表が国際連合およびそのすべての機関において不当に占めている席から直ちに追放すること」を決定づけた。 この決議は、台湾を含む中国の国連における代表権の問題を政治的、法的、手続き的に解決しただけでなく、中国の議席は一つであり、「二つの中国」「一つの中国、一つの台湾」という問題は存在しないことを明確にした。 その後、国連の関連専門機関は、1972年5月の第25回世界保健総会で採択された決議25.1号などの公式決議により、中華人民共和国が享受していた法的地位を回復し、台湾当局の「代表」を追放している。 国連事務局法務部の公式な法的見解では、「台湾は中国の一省として独立した地位を持たない」「台湾当局はいかなる形の政府の地位も享受していない」と明言されている。 実際には、国連は台湾を「Taiwan, Province of China」と表記している(注1)。
联大第2758号决议是体现一个中国原则的政治文件,国际实践充分证实其法律效力,不容曲解。台湾没有任何根据、理由或权利参加联合国及其他只有主权国家才能参加的国际组织。近年来,以美国为首的个别国家一些势力与“台独”分裂势力沆瀣一气,妄称该决议没有处理“台湾的代表权问题”,炒作非法无效的“旧金山和约”(注2),无视《开罗宣言》、《波茨坦公告》在内的一系列国际法律文件,再度鼓吹“台湾地位未定”,宣称支持台湾“有意义地参与联合国体系”,其实质是企图改变台湾是中国的一部分的地位,制造“两个中国”、“一中一台”,实现其“以台制华”的政治目的。这些行径歪曲联大第2758号决议,违反国际法,严重背弃有关国家对中国作出的政治承诺,侵犯中国的主权和尊严,践踏国际关系基本准则。对此,中国政府已经表明了反对和谴责的严正立场。 国連総会決議2758号は一つの中国原則を具現化した政治文書であり、その法的効力は国際慣行によって十分に確立されており、誤解を招くことはない。 台湾は、主権国家のみが参加できる国連やその他の国際機関に参加する根拠も理由も権利もない。 近年、米国を筆頭に個々の国の一部の勢力は「台湾独立」分離独立勢力に加担し、決議は「台湾の代表権の問題」を扱っていないと傲慢に主張し、違法かつ無効な「サンフランシスコ平和条約」に憶測を呼んでいる。 "(注2)と、カイロ宣言やポツダム宣言など一連の国際法文書を無視し、再び「台湾の地位は未確定」と唱え、台湾の「国連システムへの有意義な参加」を支持すると主張している。 要するに、中国の一部である台湾の地位を変え、「二つの中国」と「一つの中国、一つの台湾」を作り、「台湾を使って中国を支配する」という政治的目標を達成しようとするものである。 これらの行為は総会決議2758号を歪曲し、国際法に違反し、関係国が中国に対して行った政治的約束を著しく反故にし、中国の主権と尊厳を侵害し、国際関係の基本的規範を踏みにじるものである。 この点で、中国政府は厳粛に反対と非難の立場を明確にしている。
一个中国原则是国际社会的普遍共识,是遵守国际关系基本准则的应有之义。目前,全世界有包括美国在内的181个国家,在一个中国原则的基础上与中国建立了外交关系。1978年12月发表的《中美建交公报》声明:“美利坚合众国政府承认中国的立场,即只有一个中国,台湾是中国的一部分”;“美利坚合众国承认中华人民共和国政府是中国的唯一合法政府。在此范围内,美国人民将同台湾人民保持文化、商务和其他非官方关系”。 一帯一路の原則は国際社会の普遍的なコンセンサスであり、国際関係の基本的な規範を遵守するための適切な要件である。 現在、米国を含む世界181カ国が、一帯一路の原則に基づいて中国と外交関係を結んでいる。1978年12月に出された「米中国交樹立に関するコミュニケ」には、「アメリカ合衆国政府は、唯一の中国であり台湾は中国の一部であるという中国の立場を承認する。」、「アメリカ合衆国は、中華人民共和国政府を、中国の唯一の合法的政府として承認する。 その限りにおいて、米国の人々は、台湾の人々と文化的、商業的、その他の非公式な関係を維持する」」と記されている。
1982年12月,中华人民共和国第五届全国人民代表大会第五次会议通过《中华人民共和国宪法》,规定:“台湾是中华人民共和国的神圣领土的一部分。完成统一祖国的大业是包括台湾同胞在内的全中国人民的神圣职责。”2005年3月,第十届全国人民代表大会第三次会议通过《反分裂国家法》,规定:“世界上只有一个中国,大陆和台湾同属一个中国,中国的主权和领土完整不容分割。维护国家主权和领土完整是包括台湾同胞在内的全中国人民的共同义务。”“台湾是中国的一部分。国家绝不允许‘台独’分裂势力以任何名义、任何方式把台湾从中国分裂出去。”2015年7月,第十二届全国人民代表大会常务委员会第十五次会议通过《中华人民共和国国家安全法》,规定:“中国的主权和领土完整不容侵犯和分割。维护国家主权、统一和领土完整是包括港澳同胞和台湾同胞在内的全中国人民的共同义务。” 1982年12月、中華人民共和国第5回全国人民代表大会は、「台湾は中華人民共和国の神聖な領土の一部である」とする中華人民共和国憲法を採択した。 祖国統一の大業を成し遂げることは、台湾の同胞を含む中国全人民の神聖な義務である。 2005年3月、第10期全国人民代表大会第3回会議で、「世界には一つの中国しかなく、大陸と台湾は同じ中国に属し、中国の主権と領土は不可分である」と規定した「反占領法」が採択された。 国家主権と領土保全を守ることは、台湾の同胞を含む中国国民全体の共通の義務である」。 「台湾は中国の一部である。 国家は、いかなる名目であれ、いかなる手段であれ、中国から台湾を分割しようとする「台湾独立」分離主義勢力を決して許さない」。2015年7月、第12期全国人民代表大会常務委員会第15回会議において、「中国の主権と領土保全は不可侵であり、切り離せない」と規定した「中華人民共和国国家安全法」が採択された。 「国家主権、統一、領土保全を守ることは、香港、マカオ、台湾の同胞を含むすべての中国人の共通の義務である」。
世界上只有一个中国,台湾是中国的一部分的历史事实和法理事实不容置疑,台湾从来不是一个国家而是中国的一部分的地位不容改变。任何歪曲事实、否定和挑战一个中国原则的行径都将以失败告终。 世界には一つの中国しかなく、台湾が中国の一部であるという歴史的・法的事実を争うことはできないし、台湾が国であったことはなく、中国の一部であるという地位も変えられないのである。 事実を歪曲し、一つの中国主義を否定し、挑戦する行為は失敗に終わる。
二、中国共产党坚定不移推进祖国完全统一 2. 中国共産党は祖国の完全統一を断固推進する
中国共产党始终致力于为中国人民谋幸福、为中华民族谋复兴。在成立初期,中国共产党就把争取台湾摆脱殖民统治回归祖国大家庭、实现包括台湾同胞在内的民族解放作为奋斗目标,付出了巨大努力。 中国共産党は、中国人民の幸福と中華民族の再興のために働くことを常に約束している。 中国共産党は建国初期に、台湾の植民地支配からの祖国復帰と台湾同胞を含む民族解放の実現を目指すことを目標とし、そのために大きな努力を払ってきた。
中国共产党始终把解决台湾问题、实现祖国完全统一作为矢志不渝的历史任务,团结带领两岸同胞,推动台海形势从紧张对峙走向缓和改善、进而走上和平发展道路,两岸关系不断取得突破性进展。 中国共産党は、台湾問題の解決と祖国の完全統一を、常に揺るぎない歴史的課題とし、台湾海峡両岸の同胞を団結させ、指導することで、台湾海峡の情勢を緊迫した対立から脱皮・改善へと導き、平和的発展の道を歩み、両岸関係は絶えず飛躍的な発展を遂げている。
新中国成立以后,以毛泽东同志为主要代表的中国共产党人,提出和平解决台湾问题的重要思想、基本原则和政策主张;进行了解放台湾的准备和斗争,粉碎了台湾当局“反攻大陆”的图谋,挫败了各种制造“两个中国”、“一中一台”的图谋;促成联合国恢复了中华人民共和国的合法席位和一切权利,争取了世界上绝大多数国家接受一个中国原则,为实现和平统一创造了重要条件。中共中央还通过适当渠道与台湾当局高层人士接触,为寻求和平解决台湾问题而积极努力。 新中国建国後、毛沢東同志を中心とする中国共産党は、台湾問題の平和的解決のための重要な思想、基本原則、政策思想を打ち出し、台湾解放のための準備と闘争を行い、台湾当局の「大陸反撃」の試みを粉砕し、「二つの中国」「一つの中国」を作ろうとするあらゆる企図を阻止してきた。 また、中華人民共和国の法的地位と国連におけるすべての権利の回復を促進し、世界の大多数の国による一国主義の受け入れを確保し、平和的統一の実現に向けた重要な条件を整えた。 中国共産党中央委員会も適切なルートで台湾当局の高官と接触し、台湾問題の平和的解決を求めるために積極的に努力した。
中共十一届三中全会以后,以邓小平同志为主要代表的中国共产党人,从国家和民族的根本利益出发,在实现中美建交的时代条件下,在争取和平解决台湾问题思想的基础上,确立了争取祖国和平统一的大政方针,创造性地提出了“一个国家,两种制度”的科学构想,并首先运用于解决香港问题、澳门问题;主动缓和两岸军事对峙状态,推动打破两岸长期隔绝状态,开启两岸民间交流合作的大门,使两岸关系进入新的历史阶段。 中国共産党第11期中央委員会第3回全体会議の後、中国共産党は、鄧小平同志を主席として、国と民族の根本的利益のために行動し、中米間に外交関係が成立した時代状況の下、台湾問題の平和的解決に努力する思想に基づいて祖国の平和統一を目指すという一般方針を確立し、「一国二制度」の科学概念を創造的に打ち出した。「 一国二制度」の科学的概念は、香港・マカオ問題の解決に初めて適用され、台湾海峡両岸の軍事的対立を率先して緩和し、両岸の長年の孤立状態の打破を促進し、両岸の民間交流・協力の扉を開き、両岸関係を新たな歴史的段階へと導いた。
中共十三届四中全会以后,以江泽民同志为主要代表的中国共产党人,提出发展两岸关系、推进祖国和平统一进程的八项主张(注3);推动两岸双方达成体现一个中国原则的“九二共识”,开启两岸协商谈判,实现两岸授权团体负责人首次会谈,持续扩大两岸各领域交流合作;坚决开展反对李登辉分裂祖国活动的斗争,沉重打击“台独”分裂势力;实现香港、澳门顺利回归祖国,实行“一国两制”,对解决台湾问题产生积极影响。 中国共産党第13期中央委員会第4回全体会議の後、共産党は、江沢民同志を主席として、両岸関係を発展させ、祖国の平和的統一プロセスを前進させるための8つの命題を提示した(注3)。 また、一帯一路の原則を体現した台湾海峡両岸の「1992年コンセンサス」を推進し、両岸協議と交渉を開き、台湾海峡両岸の公認団体トップによる初の会談を実現し、両岸の交流と協力を各分野で拡大し続け、李登輝の祖国分裂活動に対して断固として闘いを開始、「台湾独立」に大きな打撃を与えてた。 「香港・マカオの祖国との統一 」と 「一国二制度」の実現が成功したことは、台湾問題の解決に好影響を与えている。
中共十六大以后,以胡锦涛同志为主要代表的中国共产党人,提出两岸关系和平发展重要思想;针对岛内“台独”分裂活动猖獗制定实施《反分裂国家法》,举行中国共产党和中国国民党两党主要领导人60年来首次会谈,坚决挫败陈水扁“法理台独”图谋;开辟两岸关系和平发展新局面,推动两岸制度化协商谈判取得丰硕成果,实现两岸全面直接双向“三通”,签署实施《海峡两岸经济合作框架协议》,两岸关系面貌发生深刻变化。 中国共産党第16回全国代表大会の後、共産党は、胡錦涛同志を主席として、両岸関係の平和的発展という重要な理念を打ち出した。 台湾で横行する「台湾独立」分離工作に対し、「分離禁止法」が制定・施行され、60年ぶりに中共と国民党の主要指導者が会談し、陳水扁の「合法的台湾独立」の試みはキッパリと敗退した。 両岸協議・交渉の制度化の推進、台湾海峡を挟んだ包括的な双方向「三直」の実現、両岸経済協力枠組み協定の締結と実施など、両岸関係の平和的発展のために実り多い成果が得られ、新しい状況が切り開かれた。

中共十八大以来,以习近平同志为主要代表的中国共产党人,全面把握两岸关系时代变化,丰富和发展国家统一理论和对台方针政策,推动两岸关系朝着正确方向发展,形成新时代中国共产党解决台湾问题的总体方略,提供了新时代做好对台工作的根本遵循和行动纲领。2017年10月,中共十九大确立了坚持“一国两制”和推进祖国统一的基本方略,强调:“绝不允许任何人、任何组织、任何政党、在任何时候、以任何形式、把任何一块中国领土从中国分裂出去!”2019年1月,习近平总书记在《告台湾同胞书》发表40周年纪念会上发表重要讲话,郑重提出了新时代推动两岸关系和平发展、推进祖国和平统一进程的重大政策主张:携手推动民族复兴,实现和平统一目标;探索“两制”台湾方案,丰富和平统一实践;坚持一个中国原则,维护和平统一前景;深化两岸融合发展,夯实和平统一基础;实现同胞心灵契合,增进和平统一认同。中国共产党和中国政府采取一系列引领两岸关系发展、促进祖国和平统一的重大举措: 中国共産党第18回全国代表大会以来、共産党は習近平同志を主席として、両岸関係の時代変化を全面的に把握し、国家統一理論と台湾政策を充実・発展させ、両岸関係を正しい方向に押し上げ、新時代の台湾問題解決のための中国共産党の全体戦略を形成し、新時代の良い仕事をするための基本的な指針と行動プログラムを提供した。 2017年10月、第19回全国代表大会では、「一国二制度」を堅持し、祖国の統一を推進するという基本戦略を打ち出し、「いかなる者、いかなる組織、いかなる政党も、いかなる時も、いかなる形でも、中国の領土を中国から分割することを許さない!」と強調した。 2019年1月、習近平総書記は「台湾同胞への手紙」発行40周年記念式典で重要演説を行い、両岸関係の平和的発展を促進し、新時代の祖国平和統一プロセスを前進させるための主要政策命題として、手を携えて国家の再生を推進し平和統一の目標を達成することを打ち出し、平和統一の実践を豊かにするために「二つの制度」台湾案を模索し、平和統一を推進するために同胞の精神的一体性を実現する。 中国共産党と中国政府は、両岸関係の発展をリードし、祖国の平和的統一を促進するために、一連の大きな方針を採用している。
——推动实现1949年以来两岸领导人首次会晤、直接对话沟通,将两岸交流互动提升到新高度,为两岸关系发展翻开了新篇章、开辟了新空间,成为两岸关系发展道路上一座新的里程碑。双方两岸事务主管部门在共同政治基础上建立常态化联系沟通机制,两部门负责人实现互访、开通热线。 ・1949年以来、台湾海峡を挟んだ初の首脳会談と直接対話・意思疎通の実現を推進したことは、両岸の交流と意思疎通を新たな高みに引き上げ、両岸関係発展の新しい章と空間を開き、両岸関係発展の道のりで新たな一里塚となった。 台湾海峡両岸の当局は、共通の政治的基盤のもとに定期的な連絡・通信メカニズムを構築し、両部門の責任者は訪問を交換し、ホットラインを開設した。
——坚持一个中国原则和“九二共识”,推进两岸政党党际交流,与台湾有关政党、团体和人士就两岸关系与民族未来开展对话协商,深入交换意见,达成多项共识并发表共同倡议,与台湾社会各界共同努力探索“两制”台湾方案。 ・「一つの中国主義」と「1992年コンセンサス」を堅持し,台湾海峡両岸の政党間の交流を促進し,台湾の関連政党,団体,個人と両岸関係及び国家の将来について対話と協議を行い,深く意見を交換し,多くの合意に達し,共同イニシアティブを発表し,台湾社会の各界と協力して「両岸関係」の探求に努めました。 我々は,台湾のさまざまなセクターと共同で,「二つの制度」という台湾案を模索する努力を行ってきた。
——践行“两岸一家亲”理念,以两岸同胞福祉为依归,推动两岸关系和平发展、融合发展,完善促进两岸交流合作、保障台湾同胞福祉的制度安排和政策措施,实行卡式台胞证,实现福建向金门供水,制发台湾居民居住证,逐步为台湾同胞在大陆学习、创业、就业、生活提供同等待遇,持续率先同台湾同胞分享大陆发展机遇。 ・我々は、「台湾海峡両岸一家」の理念を実践し、台湾海峡両岸の同胞の幸福のために両岸関係の平和的かつ一体的な発展を促進し、両岸の交流と協力を促進し台湾同胞の幸福を守るための制度整備と政策措置を改善し、カード式台湾同胞カードの実施、福建から金門への水の供給、台湾住民の居住許可の発行、台湾同胞に対する平等な扱いの提供を徐々に進めていく。 中国本土での学習、起業、就職、生活のために、台湾同胞と本土の発展の機会を共有するために、引き続き率先して行動する。

——团结广大台湾同胞,排除“台独”分裂势力干扰阻挠,推动两岸各领域交流合作和人员往来走深走实。克服新冠肺炎疫情影响,坚持举办海峡论坛等一系列两岸交流活动,保持了两岸同胞交流合作的发展态势。 ・我々は台湾の同胞と団結し、「台湾独立」分離主義勢力の干渉と妨害を排除し、両岸の各分野の交流と協力、人民交流がますます深くなるよう推進した。 新型肺炎の影響を克服し、海峡フォーラムなど一連の両岸交流の開催にこだわり、台湾海峡両岸の同胞の交流と協力の勢いを維持した。
——坚定捍卫国家主权和领土完整,坚决反对“台独”分裂和外部势力干涉,有力维护台海和平稳定和中华民族根本利益。依法打击“台独”顽固分子,有力震慑“台独”分裂势力。妥善处理台湾对外交往问题,巩固发展国际社会坚持一个中国原则的格局。 ・我々は、国家主権と領土保全を堅持し、台湾独立の分離と外部勢力の干渉に断固として反対し、台湾海峡の平和と安定、中華民族の根本的利益を強力に保護する。 私たちは、「台湾独立」の不逞の輩を法に則って取り締まり、「台湾独立」の分離独立勢力を強力に抑止する。 台湾の対外関係問題を適切に処理し、国際社会の一帯一路の原則の堅持を強化・発展させる。
在中国共产党的引领推动下,70多年来特别是两岸隔绝状态打破以来,两岸关系获得长足发展。两岸交流合作日益广泛,互动往来日益密切,给两岸同胞特别是台湾同胞带来实实在在的好处,充分说明两岸和则两利、合则双赢。1978年两岸贸易额仅有4600万美元,2021年增长至3283.4亿美元,增长了7000多倍;大陆连续21年成为台湾最大出口市场,每年为台湾带来大量顺差;大陆是台商岛外投资的第一大目的地,截至2021年底,台商投资大陆项目共计123781个、实际投资额713.4亿美元(注4)。1987年两岸人员往来不足5万人次,2019年约900万人次。近3年来受疫情影响,线上交流成为两岸同胞沟通互动的主要形式,参与及可及人数屡创新高。 中国共産党の指導の下、特に台湾海峡の両岸の孤立が解消されて以来、この70年間で両岸関係は大きく発展してきた。 両岸の交流と協力がますます広まり、交流がますます緊密になることで、台湾海峡両岸、特に台湾の同胞に具体的な利益をもたらし、両岸の調和が互恵であり、協力がウィンウィンであることを十分に証明している。1978年、両岸の貿易額はわずか4,600万米ドルだったが、2021年には3,283億4,000万米ドルと、7,000倍以上に増加した。 両岸の旅客数は、1987年には5万人以下だったのが、2019年には約900万人になるそうである。台湾企業の島外への投資先は本土が第1位であり、2021年末までに123,781件のプロジェクト、713.4億米ドルの実投資額となっている(注4)。両岸の旅客輸送は1987年に5万人未満、2019年には約900万人となっている。 この3年間、流行の影響を受け、オンライン交流は台湾海峡両岸の同胞のコミュニケーションと交流の主要な形態となり、参加者とアクセス数は過去最高となった。
中国共产党始终是中国人民和中华民族的主心骨,是民族复兴、国家统一的坚强领导核心。中国共产党为解决台湾问题、实现祖国完全统一不懈奋斗的历程充分表明:必须坚持一个中国原则,绝不允许任何人任何势力把台湾从祖国分裂出去;必须坚持为包括台湾同胞在内的全体中国人民谋幸福,始终致力于实现两岸同胞对美好生活的向往;必须坚持解放思想、实事求是、守正创新,把握民族根本利益和国家核心利益,制定实施对台方针政策;必须坚持敢于斗争、善于斗争,同一切损害中国主权和领土完整、企图阻挡祖国统一的势力进行坚决斗争;必须坚持大团结大联合,广泛调动一切有利于反“独”促统的积极因素,共同推进祖国统一进程。 中国共産党(中共)は、常に中国人民と中華民族の背骨であり、民族の再生と民族の統一のための強力な指導的核心である。 台湾問題を解決し、祖国の完全な統一を実現するための中国共産党の絶え間ない闘争は、中国共産党が一国主義を堅持し、いかなる人物や勢力にも台湾を祖国から分離することを決して許さないこと、台湾同胞を含むすべての中国人の幸福を追求し、台湾海峡両岸の同胞のより良い生活の願いを実現するために常に努力し、心を解放し、事実から真実を求め、正義と革新を堅持しなければならないことを十分に証明している。 心の解放」「事実から真実を求める」「義理と革新を守る」「国家の根本的利益と核心的利益を把握する」「台湾に関する政策を立案し実行する」という原則を主張しなければならない。 一緒に祖国の統一を進めよう。
三、祖国完全统一进程不可阻挡 3. 祖国の完全統一のプロセスは止められない
当前,在国内国际两个大局都发生深刻复杂变化的时代背景下,推进祖国完全统一面临着新的形势。中国共产党和中国政府有驾驭复杂局面、战胜风险挑战的综合实力和必胜信心,完全有能力推动祖国统一大业阔步前进。 現在、国内外の情勢が深く複雑に変化していることを背景に、祖国の完全統一を進める上で新たな状況が生まれている。 中国共産党と中国政府は、複雑な状況を克服し、リスクと課題を克服する総合力と自信を持ち、祖国統一の大義を推し進める能力を十分に備えている。
(一)实现祖国完全统一是中华民族伟大复兴的必然要求 (1) 祖国の完全な統一を達成することは、中華民族の偉大な再生のための必然的な要件である
在中华民族五千多年的发展进程中,追求统一、反对分裂始终是全民族的主流价值观,这一价值观早已深深融入整个中华民族的精神血脉。近代以后,由于西方列强入侵和封建统治腐败,中国逐步成为半殖民地半封建社会,国家蒙辱、人民蒙难、文明蒙尘,中华民族遭受了前所未有的劫难。台湾被日本霸占半个世纪的历史,是中华民族近代屈辱的缩影,给两岸同胞留下了剜心之痛。一水之隔、咫尺天涯,两岸迄今尚未完全统一是历史遗留给中华民族的创伤。两岸同胞应该共同努力,谋求国家统一,抚平历史创伤。 中華民族の5,000年にわたる発展の中で、団結の追求と分裂への反対は常に民族全体の主流の価値観であり、この価値は長く中華民族全体の精神の血統に深く組み込まれてきた。 近代以降、中国は西欧列強の侵略と封建的支配の腐敗により、次第に半植民地・半封建的な社会になっていった。 半世紀にわたって日本に占領された台湾の歴史は、近代における中華民族の屈辱を象徴しており、台湾海峡の両岸の同胞に抉り取るような痛みを残している。 台湾海峡の両岸がまだ完全に統一されていないことは、歴史が中華民族に残したトラウマである。 台湾海峡両岸の同胞は、民族の統一を目指し、歴史の傷を癒すために協力し合うべきである。
实现中华民族伟大复兴,是近代以来中国人民和中华民族最伟大的梦想。实现祖国完全统一,才能使两岸同胞彻底摆脱内战的阴霾,共创共享台海永久和平;才能避免台湾再次被外国侵占的危险,打掉外部势力遏制中国的图谋,维护国家主权、安全、发展利益;才能清除“台独”分裂的隐患,稳固台湾作为中国的一部分的地位,推进中华民族伟大复兴;才能更好地凝聚两岸同胞力量建设共同家园,增进两岸同胞利益福祉,创造中国人民和中华民族更加幸福美好的未来。正如中国伟大的革命先行者孙中山先生所言:“‘统一’是中国全体国民的希望。能够统一,全国人民便享福;不能统一,便要受害。” 中華民族の偉大な再生を実現することは、近代以降の中国人民と中華民族の最大の夢である。 祖国の完全な統一を実現してこそ、台湾海峡両岸の同胞は内戦の憂鬱から完全に解放され、台湾海峡に恒久的な平和を創造し共有することができるのである。そうしてこそ、台湾が再び外国に占領される危険を回避し、中国を封じ込めようとする外部勢力の試みを打ち破り、国家の主権、安全、発展の利益を守ることができるのである。そうしてこそ、「台湾独立」分離独立の隠れた危険を取り除き、台湾の中国の一部としての地位を確保し、中華民族の偉大な若返りを促進することができるのである。そうしてこそ、台湾海峡両岸の同胞をよりよく団結させ、共通の祖国を建設し、海峡両岸の同胞の利益と幸福を高め、中国人民と中華民族により幸福でよりよい未来を築くことができるのである。中国の偉大な革命家である孫文は、「『統一』はすべての中国人の希望である」と言った。 統一できれば、国全体が幸福になり、統一できなければ、苦しむことになる。"
中华民族在探寻民族复兴强盛之道的过程中饱经苦难沧桑。“统则强、分必乱”,这是一条历史规律。实现祖国完全统一,是中华民族的历史和文化所决定的,也是中华民族伟大复兴的时和势所决定的。我们比历史上任何时期都更接近、更有信心和能力实现中华民族伟大复兴的目标,也更接近、更有信心和能力实现祖国完全统一的目标。台湾问题因民族弱乱而产生,必将随着民族复兴而解决。全体中华儿女团结奋斗,就一定能在同心实现中华民族伟大复兴进程中完成祖国统一大业。 中華民族は苦難と波乱に耐えながら、国家の再生と強化の道を探ってきた。 団結すれば強くなるが、分裂すれば混乱する」のは歴史の法則である。 祖国の完全な統一を達成することは、中華民族の歴史と文化、そして中華民族の偉大な再生の時期と勢いによって規定されるものである。 我々は、歴史上のどの時期よりも中華民族の偉大な再生という目標に近づき、それに自信を持ち、達成する能力がある。また、祖国の完全な統一という目標に近づき、それに自信を持ち、達成する能力がある。 国家の弱体化と混乱から生じた台湾問題は、国家の再生とともに必ず解決される。 すべての中華民族の息子と娘が団結して闘えば、中華民族の偉大な再生の過程で祖国統一の大業を完成させることができるのである。
(二)国家发展进步引领两岸关系发展方向 (2)国家の発展と進歩が両岸関係の道を切り開く
决定两岸关系走向、实现祖国完全统一的关键因素是国家的发展进步。国家发展进步特别是40多年来改革开放和现代化建设所取得的伟大成就,深刻影响着解决台湾问题、实现祖国完全统一的历史进程。无论何党何派在台湾掌权,都无法改变两岸关系向前发展的总体趋势和祖国统一的历史大势。 両岸関係の方向性を決定し、祖国の完全な統一を達成するための重要な要因は、国の発展と進歩である。 国の発展と進歩、特に過去40年間の改革開放と近代化における偉大な成果は、台湾問題を解決し祖国の完全統一を達成する歴史的過程に深い影響を与えた。 台湾でどのような政党や派閥が政権を握ろうとも、両岸関係が前進し、祖国が統一されるという歴史の流れは変えられない。
根据国际货币基金组织的统计(注5),1980年,大陆生产总值约3030亿美元,台湾生产总值约423亿美元,大陆是台湾的7.2倍;2021年,大陆生产总值约174580亿美元,台湾生产总值约7895亿美元,大陆是台湾的22.1倍。国家发展进步特别是经济实力、科技实力、国防实力持续增强,不仅有效遏制了“台独”分裂活动和外部势力干涉,更为两岸交流合作提供了广阔空间、带来了巨大机遇。越来越多的台湾同胞特别是台湾青年来大陆学习、创业、就业、生活,促进了两岸社会各界交往交流交融,加深了两岸同胞利益和情感联系,增进了两岸同胞文化、民族和国家认同,有力牵引着两岸关系沿着统一的正确方向不断前行。 国際通貨基金(注5)の統計によると、1980年の大陸の国内総生産は約3030億米ドル、台湾の国内総生産は約423億米ドルで、大陸は台湾の7.2倍、2021年の大陸の国内総生産は約174兆580億米ドル、台湾の国内総生産は約789兆500億米ドルで、大陸は台湾の22.1倍となる。 国の発展と進歩、特に経済力、技術力、国防力は、「台湾独立」の分離独立活動や外部勢力の干渉を効果的に抑制しただけでなく、両岸の交流と協力に広大な空間と多大な機会を提供した。 ますます多くの台湾同胞、特に台湾の若者が大陸に留学、起業、就職、居住するようになり、台湾海峡両岸の各社会部門の交流と交わりを促進し、海峡両岸の同胞の関心と情緒的な絆を深め、海峡両岸の同胞の文化、民族、国家のアイデンティティを高め、両岸関係を統一という正しい方向に強く推し進めている。
中国共产党团结带领中国人民已经踏上了全面建设社会主义现代化国家的新征程。大陆坚持中国特色社会主义道路,治理效能提升,经济长期向好,物质基础雄厚,人力资源丰厚,市场空间广阔,发展韧性强大,社会大局稳定,继续发展具有多方面优势和条件,并持续转化为推进统一的动力。立足新发展阶段,贯彻新发展理念,构建新发展格局,推动高质量发展,将使大陆综合实力和国际影响力持续提升,大陆对台湾社会的影响力、吸引力不断扩大,我们解决台湾问题的基础更雄厚、能力更强大,必将有力推动祖国统一进程。 中国共産党は、中国人民を団結させ、総合的な社会主義近代国家を建設するために指導する新たな旅に出発した。 中国の特色ある社会主義の路線の堅持、ガバナンスの有効性の向上、長期的な経済好転、強力な物質基盤、豊富な人的資源、広大な市場空間、強力な発展弾力性と社会の安定により、大陸には多くの優位性と発展を続ける条件があり、それは引き続き統一を推進する勢いに変換されている。 新しい発展段階に基づき、新しい発展理念を実行し、新しい発展パターンを構築し、質の高い発展を推進することで、大陸の総合力と国際的影響力が引き続き高まり、台湾社会に対する大陸の影響力と魅力が引き続き拡大し、台湾問題解決の基礎がより強固で有能になり、祖国統一のプロセスに必ず強い原動力を与えることになる。
(三)“台独”分裂势力抗拒统一不会得逞 (3) 「台湾独立」分離独立勢力は、統一への抵抗に成功しない
台湾自古是中国的神圣领土。所谓“台湾独立”,是企图把台湾从中国分割出去,是分裂国家的严重罪行,损害两岸同胞共同利益和中华民族根本利益,是走不通的绝路。 台湾は古来、中国の神聖な領土であった。 いわゆる「台湾独立」は、台湾を中国から切り離そうとするものであり、台湾海峡両岸の同胞の共通利益と中華民族の根本的利益を損なう重大な離反犯罪であり、到底容認できない道である。
民进党当局坚持“台独”分裂立场,勾连外部势力不断进行谋“独”挑衅。他们拒不接受一个中国原则,歪曲否定“九二共识”,妄称“中华民国与中华人民共和国互不隶属”,公然抛出“新两国论”;在岛内推行“去中国化”、“渐进台独”,纵容“急独”势力鼓噪推动“修宪修法”,欺骗台湾民众,煽动仇视大陆,阻挠破坏两岸交流合作和融合发展,加紧“以武谋独”、“以武拒统”;勾结外部势力,在国际上竭力制造“两个中国”、“一中一台”。民进党当局的谋“独”行径导致两岸关系紧张,危害台海和平稳定,破坏和平统一前景、挤压和平统一空间,是争取和平统一进程中必须清除的障碍。 民進党当局は「台湾独立」の分離主義的な姿勢を貫き、外部勢力と連携して常に「独立」を求め、挑発している。 一国主義を認めず、1992年コンセンサスを歪曲・否定し、「中華民国と中華人民共和国は互いに従属しない」と主張し、「新二国論」を公然と打ち出している。 島で「脱中国化」と「台湾の漸進的独立」を推進し、「性急な独立」勢力を容認して「憲法改正と立法改正」を主張する。 台湾の人々を欺き、大陸に対する憎悪を煽り、両岸の交流と協力、統合と発展を妨害し、「力による独立を求め」、「力による統一を拒否」する努力を強め、外部勢力と結託し、あらゆる努力を重ねている。 民進党は外部勢力と連携し、国際舞台で「二つの中国」「一つの中国、一つの台湾」を作り出そうと懸命だ。 民進党当局の「独立」追求は両岸関係の緊張を招き、台湾海峡の平和と安定を危うくし、平和統一の展望を損ね、平和統一の空間を圧迫している。
台湾是包括2300万台湾同胞在内的全体中国人民的台湾,中国人民捍卫国家主权和领土完整、维护中华民族根本利益的决心不可动摇、意志坚如磐石,这是挫败一切“台独”分裂图谋的根本力量。100多年前中国积贫积弱,台湾被外国侵占。70多年前中国打败侵略者,收复了台湾。现在的中国,跃升为世界第二大经济体,政治、经济、文化、科技、军事等实力大幅增强,更不可能再让台湾从中国分裂出去。搞“台独”分裂抗拒统一,根本过不了中华民族的历史和文化这一关,也根本过不了14亿多中国人民的决心和意志这一关,是绝对不可能得逞的。 台湾は2,300万人の同胞を含むすべての中国人の台湾であり、国家主権と領土保全を守り、中華民族の根本的利益を守る中国人の揺るぎない決意と揺るぎない意志は、「台湾独立」離脱のすべての試みを阻止する根本的な力である。 100年以上前、中国は貧しく弱く、台湾は外国に占領されていた。70年以上前、中国は侵略者を打ち破り、台湾を取り戻した。 今や中国は世界第2位の経済大国となり、政治力、経済力、文化力、技術力、軍事力を大幅に高め、台湾が中国から離脱することはさらに不可能になった。 「台湾独立」という統一に抵抗することは、中華民族の歴史と文化、14億人以上の中国人の決意と意志の試練に合格することはなく、決して成功することはない。
(四)外部势力阻碍中国完全统一必遭失败 (4) 中国の完全な統一を妨害する外的勢力は必ず失敗する
外部势力干涉是推进中国统一进程的突出障碍。美国一些势力出于霸权心态和冷战思维,将中国视为最主要战略对手和最严峻的长期挑战,竭力进行围堵打压,变本加厉推行“以台制华”。美国声称“奉行一个中国政策,不支持‘台独’”,但美国一些势力在实际行动上却背道而驰。他们虚化、掏空一个中国原则,加强与台湾地区官方往来,不断策动对台军售,加深美台军事勾连,助台拓展所谓“国际空间”,拉拢其他国家插手台湾问题,不时炮制损害中国主权的涉台议案。他们颠倒黑白、混淆是非,一方面怂恿“台独”分裂势力制造两岸关系紧张动荡,另一方面却无端指责大陆“施压”、“胁迫”、“单方面改变现状”,为“台独”分裂势力撑腰打气,给中国实现和平统一制造障碍。 外部からの干渉は、中国の統一プロセスを進める上で顕著な障害となる。 米国の一部の勢力は、覇権主義的な考え方と冷戦的な考え方から、中国を主要な戦略的敵対国、長期的に最も深刻な課題とみなし、中国を包囲し抑圧しようとし、「台湾で中国を支配しよう」とする動きを強めている。 米国は「一帯一路の政策を堅持し、『台湾独立』を支持しない」と主張しているが、実際には米国内の一部の勢力がこれに反する行動をとっている。 一帯一路の原則をごまかし、空洞化させ、台湾との公式接触を強化し、台湾への武器売却を継続的に推進し、米台軍事関係を深め、台湾のいわゆる「国際空間」拡大を助け、他国を引き込んで台湾問題に介入し、中国の主権を損なう台湾関連法案を随時練り上げているのである。 一方では「台湾独立」分離主義勢力を煽って両岸関係に緊張と混乱をもたらし、他方では大陸が理由もなく「圧力」「強制」「一方的な現状変更」を行ったと非難している。 その一方で、大陸が「圧力」「強制」「一方的な現状変更」を行い、「台湾独立」分離主義勢力をバックアップし、中国の平和的統一に障害を与えていると不当に非難している。
《联合国宪章》规定的尊重国家主权和领土完整、不干涉别国内政等重要原则,是现代国际法和国际关系的基石。维护国家统一和领土完整,是每个主权国家的神圣权利,中国政府理所当然可以采取一切必要手段解决台湾问题、实现国家统一,不容外部势力干涉。美国的一些反华势力以所谓“自由、民主、人权”和“维护以规则为基础的国际秩序”为幌子,刻意歪曲台湾问题纯属中国内政的性质,企图否定中国政府维护国家主权和领土完整的正当性与合理性。这充分暴露了他们搞“以台制华”、阻挠中国统一的政治图谋,必须予以彻底揭露和严正谴责。 国際連合憲章に規定されている国家主権と領土保全の尊重、他国の内政への不干渉という重要な原則は、現代の国際法および国際関係の礎となっている。 中国政府は、外部からの干渉を受けることなく、台湾問題を解決し、国家統一を達成するために必要なあらゆる手段を正しく用いることができる。 米国の一部の反中国勢力は、いわゆる「自由、民主、人権」や「ルールに基づく国際秩序の維持」を口実に、台湾問題を中国の純粋な内政問題として意図的に歪曲し、中国政府の国家主権と領土保全の正当性、合理性を否定しようとしている。 これで、彼らの「台湾問題」は完全に露呈した。 これは、「台湾で中国を支配する」「中国の統一を妨害する」という彼らの政治的意図を完全に露呈しており、徹底的に暴露し、厳粛に非難しなければならない。
外部势力打“台湾牌”,是把台湾当作遏制中国发展进步、阻挠中华民族伟大复兴的棋子,牺牲的是台湾同胞的利益福祉和光明前途,绝不是为了台湾同胞好。他们纵容鼓动“台独”分裂势力滋事挑衅,加剧两岸对抗和台海形势紧张,破坏亚太地区和平稳定,既违逆求和平、促发展、谋共赢的时代潮流,也违背国际社会期待和世界人民意愿。新中国成立之初,在百废待兴、百业待举的情况下,中国共产党和中国政府紧紧依靠人民,以“钢少气多”力克“钢多气少”,赢得抗美援朝战争伟大胜利,捍卫了新中国安全,彰显了新中国大国地位,展现了我们不畏强暴、反抗强权的铮铮铁骨。中国坚定不移走和平发展道路,同时决不会在任何外来干涉的压力面前退缩,决不会容忍国家主权、安全、发展利益受到任何损害。“挟洋谋独”没有出路,“以台制华”注定失败。 外部勢力は「台湾カード」を使って、台湾を駒として中国の発展と進歩を封じ込め、中華民族の偉大な再生を妨害し、台湾同胞の利益、幸福、明るい未来を犠牲にしており、決して台湾同胞のためになることはない。 彼らは「台湾独立」分離主義勢力を謀り、刺激し、両岸の対立と台湾海峡の緊張を悪化させ、アジア太平洋地域の平和と安定を損なっている。 新中国建国の当初、まだやるべきことがたくさんあった時、中国共産党と中国政府は国民をしっかり頼り、「大鉄小ガス」を「小鉄大ガス」で乗り越えてきたのである。 中国の大国としての地位が示され、暴力に屈しない、権力に抵抗する鉄のバックボーンが示された。 中国は平和的発展の道を堅持すると同時に、外国の介入圧力に直面しても決して引き下がらず、国家の主権、安全、発展利益に対するいかなる損害も容認しない。 外国勢力に独立を求める」ことに出口はなく、「台湾を利用して中国をコントロールする」ことは失敗する運命にある。
要安宁、要发展、要过好日子,是台湾同胞的普遍心声,创造美好生活是两岸同胞的共同追求。在中国共产党的坚强领导下,中国人民和中华民族迎来从站起来、富起来到强起来的伟大飞跃,一穷二白、人口众多的祖国大陆全面建成小康社会,我们更有条件、更有信心、更有能力完成祖国统一大业,让两岸同胞都过上更好的日子。祖国统一的历史车轮滚滚向前,任何人任何势力都无法阻挡。 平和と発展、より良い生活を手に入れることは、台湾の同胞の普遍的な願いであり、より良い生活を作り出すことは、台湾海峡両岸の同胞の共通の追求である。 中国共産党の強力な指導の下で、中国人民と中華民族は、立ち上がり、豊かになり、強くなるまでの大きな飛躍を遂げました。 祖国統一という歴史の歯車は、誰にも、どんな力にも止められずに回っていく。
四、在新时代新征程上推进祖国统一 4. 新しい時代と新しい旅路における祖国統一の推進
在民族复兴的新征程上,中国共产党和中国政府统筹中华民族伟大复兴战略全局和世界百年未有之大变局,深入贯彻新时代中国共产党解决台湾问题的总体方略和对台大政方针,扎实推动两岸关系和平发展、融合发展,坚定推进祖国统一进程。 国家の再生という新たな旅路において、中国共産党(CPC)と中国政府は、中華民族の偉大な再生と過去一世紀にわたる世界の未曾有の変化に対する全体的な戦略状況を調整している。中共の台湾問題解決の全体戦略と新時代の台湾に対する主要政策を徹底的に実行し、両岸関係の平和的かつ一体的な発展をしっかりと推進し、祖国との統一プロセスをしっかりと前進させる。
(一)坚持“和平统一、一国两制”基本方针 (1) 「平和的統一と一国二制度」の基本原則を堅持する
以和平方式实现祖国统一,最符合包括台湾同胞在内的中华民族整体利益,最有利于中国的长期稳定发展,是中国共产党和中国政府解决台湾问题的第一选择。尽管几十年来遇到困难和阻力,但我们仍然坚持不懈地争取和平统一,这体现了我们对民族大义、同胞福祉与两岸和平的珍视和维护。 平和的手段で祖国の統一を実現することは、台湾の同胞を含む中華民族全体の利益であり、中国の長期的な安定発展に最も資するものである。 過去数十年にわたる困難と抵抗にもかかわらず、我々は平和的統一に向けて粘り強く努力してきた。これは、我々が国家の正義、同胞の幸福、両岸の平和を大切にし、支持していることの表れである。
“一国两制”是中国共产党和中国政府为实现和平统一作出的重要制度安排,是中国特色社会主义的一个伟大创举。“和平统一、一国两制”是我们解决台湾问题的基本方针,也是实现国家统一的最佳方式,体现了海纳百川、有容乃大的中华智慧,既充分考虑台湾现实情况,又有利于统一后台湾长治久安。我们主张,和平统一后,台湾可以实行不同于祖国大陆的社会制度,依法实行高度自治,两种社会制度长期共存、共同发展。“一国”是实行“两制”的前提和基础,“两制”从属和派生于“一国”并统一于“一国”之内。我们将继续团结台湾同胞,积极探索“两制”台湾方案,丰富和平统一实践。“一国两制”在台湾的具体实现形式会充分考虑台湾现实情况,会充分吸收两岸各界意见和建议,会充分照顾到台湾同胞利益和感情。 「一国二制度」は、中国共産党と中国政府が平和的統一を実現するために行った重要な制度的取り決めで、中国の特色ある社会主義の偉大な革新である。 平和的統一と「一国二制度」は、台湾問題を解決するための基本的な考え方であり、海はすべての川を受け入れ、寛容であるという中国の知恵を反映した、国家統一を達成するための最善の方法である。 我々は、台湾が平和的に統一された後、祖国とは異なる社会制度を採用し、法律に従って高度な自治を行使することができると提唱している。 "一国 "に従属し、"一国 "から派生する "二制度 "を実現するための前提・基礎となるものであり 「二つの制度」は「一つの国」に従属し、「一つの国」から派生し、「一つの国」の中で統一されている。 我々は、台湾の同胞を団結させ、「二つの制度」の台湾案を積極的に模索し、平和的統一の実践を充実させていくつもりである。 台湾における「一国二制度」の具体的な実現形態は、台湾の現実を十分に考慮し、台湾海峡両岸の各界の見解と提案を十分に取り入れ、台湾同胞の利益と感情を十分に受け入れるものである。
“一国两制”提出以来,台湾一些政治势力曲解误导,民进党及其当局不遗余力地造谣抹黑,造成部分台湾同胞的偏颇认知。事实是,香港、澳门回归祖国后,重新纳入国家治理体系,走上了同祖国内地优势互补、共同发展的宽广道路,“一国两制”实践取得举世公认的成功。同时,一个时期内,受各种内外复杂因素影响,“反中乱港”活动猖獗,香港局势一度出现严峻局面。中国共产党和中国政府审时度势,采取一系列标本兼治的举措,坚持和完善“一国两制”制度体系,推动香港局势实现由乱到治的重大转折,进入由治及兴的新阶段,为推进依法治港治澳、促进“一国两制”实践行稳致远打下了坚实基础。 「一国二制度」が導入されて以来、台湾の一部の政治勢力はこれを誤認・誤導し、民進党とその当局は噂で中傷する努力を惜しまず、一部の台湾同胞は偏った認識を持っている。 事実、祖国への返還後、香港とマカオは国家統治体制に再び組み込まれ、大陸と力を補完し合い、共同発展するという幅広い道に踏み出し、「一国二制度」の実践は普遍的に認められる成功を収めたのである。 一方、香港では一時期、内外のさまざまな複雑な事情や「反中・反抗」活動の横行により、危機的な状況に陥ったことがある。 中国共産党と中国政府は状況を把握し、問題の症状と根本原因の両方に対処する一連の対策を採用し、「一国二制度」を堅持・改善し、香港の状況を混沌から統治へと大きく転換させ、統治と繁栄の新しい局面に入ることを推進した。 これにより、法に則った香港・マカオの統治を推進し、「一国二制度」の実践を安定的に推進するための確固たる基盤が築かれたのである。
实现两岸和平统一,必须面对大陆和台湾社会制度与意识形态不同这一基本问题。“一国两制”正是为解决这个问题而提出的最具包容性的方案。这是一个和平的方案、民主的方案、善意的方案、共赢的方案。两岸制度不同,不是统一的障碍,更不是分裂的借口。我们相信,随着时间的推移,“一国两制”将被广大台湾同胞重新认识;在两岸同胞共同致力实现和平统一的过程中,“两制”台湾方案的空间和内涵将得到充分展现。 台湾海峡を越えて平和的に統一するためには、大陸と台湾の社会制度やイデオロギーが異なるという根本的な問題を直視する必要がある。 「一国二制度」は、この問題を解決するための最も包括的な提案である。 平和的解決、民主的解決、親善的解決、ウィンウィンの解決である。 台湾海峡を挟んで異なる体制は、統一の障害にはならないし、分断の口実にもならない。 時間の経過とともに、「一国二制度」が台湾の同胞に再認識され、台湾海峡両岸の同胞が平和的統一に向けて協力する中で、「二制度」台湾提案の空間と意味合いが十分に明らかになると信じている。
和平统一,是平等协商、共议统一。两岸长期存在的政治分歧问题是影响两岸关系行稳致远的总根子,总不能一代一代传下去。两岸协商谈判可以有步骤、分阶段进行,方式可灵活多样。我们愿意在一个中国原则和“九二共识”的基础上,同台湾各党派、团体和人士就解决两岸政治分歧问题开展对话沟通,广泛交换意见。我们也愿意继续推动由两岸各政党、各界别推举的代表性人士开展民主协商,共商推动两岸关系和平发展、融合发展和祖国和平统一的大计。 平和的統一とは、対等な立場で協議し、共同で議論することである。 台湾海峡両岸の長年の政治的相違は、両岸関係の根本原因であり、世代を超えて受け継ぐことはできない。 両岸の協議と交渉は、段階的かつ段階的な方法で、さまざまな柔軟性をもって行うことができる。 我々は、一帯一路の原則と1992年コンセンサスに基づき、台湾の様々な政党、団体、個人と両岸の政治的相違の解決について対話とコミュニケーションを行い、広く意見交換を行うことを望んでいる。 また、台湾海峡両岸の政党やセクターから推薦された代表的な人物による民主的な協議を引き続き推進し、両岸の平和的関係の促進、統合と発展、祖国の平和的統一を議論していく所存である。
(二)努力推动两岸关系和平发展、融合发展 (2) 両岸関係の平和的発展と統合の推進に努める
两岸关系和平发展、融合发展是通向和平统一的重要途径,是造福两岸同胞的康庄大道,需要凝聚两岸同胞力量共同推进。我们要在两岸关系和平发展进程中深化两岸融合发展,密切两岸交流合作,拉紧两岸情感纽带和利益联结,增强两岸同胞对中华文化和中华民族的认同,铸牢两岸命运共同体意识,厚植祖国和平统一的基础。 両岸関係の平和的発展と統合は、台湾海峡両岸の同胞のために平和的統一と繁栄への重要な道であり、両岸の同胞が共同で推進する必要がある。 両岸関係の平和的発展の過程で両岸の融合と発展を深め、両岸の交流と協力を緊密にし、両岸の情緒的な結びつきと利益のつながりを強化し、台湾海峡両岸の同胞が中国文化と中華民族に対するアイデンティティを強化し、台湾海峡両岸の運命共同体の意識を醸成し、祖国の平和統一のための基礎を厚くする必要がある。
突出以通促融、以惠促融、以情促融,勇于探索海峡两岸融合发展新路,率先在福建建设海峡两岸融合发展示范区。持续推进两岸应通尽通,不断提升两岸经贸合作畅通、基础设施联通、能源资源互通、行业标准共通。推动两岸文化教育、医疗卫生合作,社会保障和公共资源共享,支持两岸邻近或条件相当地区基本公共服务均等化、普惠化、便捷化。积极推进两岸经济合作制度化,打造两岸共同市场,壮大中华民族经济。 我々は、コミュニケーション、利益、愛情によって統合を促進することの重要性を強調し、両岸の統合と発展の新しい方法を模索し、福建省で両岸の統合と発展の実証区を率先して建設していく。 両岸へのアクセスをすべて促進し、両岸の経済貿易協力、インフラ接続性、エネルギー資源の相互運用性、業界標準を継続的に向上させる。 文化、教育、医療、社会保障、公共資源の共有における両岸協力を推進し、台湾海峡両岸の近隣地域または同等地域における基本的な公共サービスの均等化、普遍化、利便化を支援する。 両岸経済協力の制度化を積極的に推進し、両岸共通市場を創設し、中国の国民経済を強化する。
完善保障台湾同胞福祉和在大陆享受同等待遇的制度和政策,依法维护台湾同胞正当权益。支持台胞台企参与“一带一路”建设、国家区域重大战略和区域协调发展战略,融入新发展格局,参与高质量发展,让台湾同胞分享更多发展机遇,参与国家经济社会发展进程。 台湾同胞の福利と大陸での平等な扱いを保証する制度と政策を改善し、法律に従って台湾同胞の合法的な権利と利益を保護すること。 台湾同胞と企業が「一帯一路」建設、主要な国家地域戦略、地域協調発展戦略に参加し、新しい発展パターンに溶け込み、質の高い発展に参加することを支援し、台湾同胞がより多くの発展の機会を共有し、国家の経済・社会発展プロセスに参加できるようにする。
排除干扰、克服障碍,不断扩大两岸各领域交流合作。推动两岸同胞共同传承和创新发展中华优秀传统文化,加强两岸基层民众和青少年交流,吸引更多台胞特别是台湾青年来大陆学习、创业、就业、生活,使两岸同胞加深相互理解,增进互信认同,逐步实现心灵契合。 妨害を排除し、障害を克服して、両岸の各分野の交流と協力を継続的に拡大する。 我々は、台湾海峡両岸の同胞の間で、優れた中国伝統文化の共通遺産と革新的発展を促進し、海峡両岸の草の根の人々と青年の交流を強化し、より多くの台湾同胞、特に台湾青年が大陸で学び、事業を起こし、職を求め、生活するよう誘致し、海峡両岸の同胞が相互理解を深め、相互信頼とアイデンティティを高め、徐々に精神的結びつきを実現できるようにしたい」と述べている。
(三)坚决粉碎“台独”分裂和外来干涉图谋 (3) 「台湾独立」という分裂と外患誘致を断固として粉砕する
搞“台独”分裂只会将台湾推入灾难深渊,给台湾同胞带来深重祸害。维护包括台湾同胞在内的中华民族整体利益,必须坚决反对“台独”分裂、促进祖国和平统一。我们愿意为和平统一创造广阔空间,但绝不为各种形式的“台独”分裂活动留下任何空间。中国人的事要由中国人来决定。台湾问题是中国的内政,事关中国核心利益和中国人民民族感情,不容任何外来干涉。任何利用台湾问题干涉中国内政、阻挠中国统一进程的图谋和行径,都将遭到包括台湾同胞在内的全体中国人民的坚决反对。任何人都不要低估中国人民捍卫国家主权和领土完整的坚强决心、坚定意志、强大能力。 台湾の独立は、台湾を災いの深淵に突き落とし、台湾の同胞に深刻な被害をもたらすだけである。 台湾の同胞を含む中華民族全体の利益を守るために、我々は「台湾独立」という分裂に断固反対し、祖国の平和的統一を推進しなければならない。 我々は平和的統一のために広い空間を作ることを望んでいるが、あらゆる形態の「台湾独立」分離主義的な活動のための余地を決して残さない。 中国のことは中国人が決めればいい。 台湾問題は中国の内政問題であり、中国の核心的利益と中国国民の民族感情に関わるもので、いかなる外国からの干渉も許されない。 台湾問題を利用して中国の内政に干渉し、中国の統一プロセスを妨害するいかなる試み、行動も、台湾の同胞を含む中国全人民が断固として反対するものである。 中国人民の国家主権と領土保全に対する強い決意、確固たる意志、強力な能力を、誰も過小評価してはならない。
我们愿继续以最大诚意、尽最大努力争取和平统一。我们不承诺放弃使用武力,保留采取一切必要措施的选项,针对的是外部势力干涉和极少数“台独”分裂分子及其分裂活动,绝非针对台湾同胞,非和平方式将是不得已情况下做出的最后选择。如果“台独”分裂势力或外部干涉势力挑衅逼迫,甚至突破红线,我们将不得不采取断然措施。始终坚持做好以非和平方式及其他必要措施应对外部势力干涉和“台独”重大事变的充分准备,目的是从根本上维护祖国和平统一的前景、推进祖国和平统一的进程。 我々は、最大限の誠意と努力をもって、平和的統一のために引き続き努力するつもりである。 我々は、武力行使を放棄することを約束するものではなく、外部勢力やごく少数の「台湾独立」分離主義者とその分離主義的な活動による干渉を対象とするために必要なあらゆる手段を講じるという選択肢を留保するが、台湾の同胞は対象外である。 もし「台湾独立」の分離主義勢力や外部の干渉勢力が挑発し、強行突破したり、レッドラインを突破するようなことがあれば、断固とした措置を取らなければならない。 我々は、祖国の平和的統一の展望を根本的に守り、平和的統一のプロセスを前進させることを目的として、外部からの干渉や「台湾独立」の重大事件に対して、非平和的手段やその他の必要な措置で対応する準備を十分に整えておくことを常に主張してきたのである。
当前,美国一些势力图谋“以台制华”,处心积虑打“台湾牌”,刺激“台独”分裂势力冒险挑衅,不仅严重危害台海和平稳定,妨碍中国政府争取和平统一的努力,也严重影响中美关系健康稳定发展。如果任其发展下去,必将导致台海形势紧张持续升级,给中美关系造成颠覆性的巨大风险,并严重损害美国自身利益。美国应该恪守一个中国原则,慎重妥善处理涉台问题,停止说一套做一套,以实际行动履行不支持“台独”的承诺。 現在、米国の一部勢力は「台湾で中国をコントロール」しようと、意図的に「台湾カード」を使い、「台湾独立」分離派勢力を刺激して危険な挑発行為に及んでいる。 これは台湾海峡の平和と安定を著しく損なうだけでなく、中国政府の平和的統一への努力を妨げ、中米関係の健全で安定した発展に深刻な影響を与える。 このままでは、台湾海峡の緊張が高まり続け、米中関係が不安定化し、米国の利益が著しく損なわれる大きなリスクを生むことになる。 米国は、一帯一路の原則を守り、台湾問題を慎重かつ適切に処理し、有言実行をやめ、「台湾独立」を支持しないという約束を現実の行動で果たすべきである。
(四)团结台湾同胞共谋民族复兴和国家统一 (4) 台湾同胞を団結させ、民族の再生と統一を図る
国家统一是中华民族走向伟大复兴的历史必然。台湾前途在于国家统一,台湾同胞福祉系于民族复兴。实现中华民族伟大复兴,与两岸同胞前途命运息息相关。民族强盛,是两岸同胞之福;民族弱乱,是两岸同胞之祸。民族复兴、国家强盛,两岸同胞才能过上富足美好的生活。实现中华民族伟大复兴需要两岸同胞共同奋斗,实现祖国完全统一同样需要两岸同胞携手努力。 民族統一は、中華民族の偉大な再生のために歴史的に必要なことである。 台湾の未来は祖国統一にあり、台湾同胞の幸福は祖国再生にある。 中華民族の偉大な再生の実現は、台湾海峡両岸の同胞の未来と運命と密接な関係がある。 強い国家は台湾海峡両岸の同胞にとって祝福であり、弱い国家は台湾海峡両岸の同胞にとって呪いである。 国家が再生、国が強くなってこそ、台湾海峡両岸の同胞が豊かで美しい生活を送ることができるのである。 中華民族の偉大な再生を実現するためには、台湾海峡両岸の同胞が力を合わせる必要があり、祖国の完全な統一を実現するためには、海峡両岸の同胞が力を合わせる必要がある。
由于受到“台独”思想毒害,也由于两岸政治分歧问题尚未得到解决,一些台湾同胞对两岸关系性质和国家认同问题认识出现偏差,对祖国统一心存疑惧。台湾同胞是我们的骨肉天亲,两岸同胞是血浓于水的一家人。我们愿意保持足够的耐心和包容心,创造条件加强两岸交流交往,不断加深广大台湾同胞对祖国大陆的了解,逐步减少他们的误解和疑虑,进而走出受“台独”煽惑的历史误区。 「台湾独立」という誤った思想と台湾海峡両岸の未解決の政治的相違により、一部の台湾同胞は両岸関係の本質と国家アイデンティティについて誤解し、祖国統一に疑問と恐怖を抱いている。 台湾の同胞は我々の肉親であり、台湾海峡両岸の同胞は血の通った水よりも濃い家族である。 我々は十分な忍耐と寛容を保ち、両岸交流と交流を強化する条件を整え、台湾同胞の祖国に対する理解を絶えず深め、彼らの誤解と疑念を徐々に減らし、「台湾独立」に扇動された歴史的誤解から脱することを望んでいる。
我们将团结广大台湾同胞共创祖国统一、民族复兴的光荣伟业。希望广大台湾同胞坚定站在历史正确的一边,做堂堂正正的中国人,认真思考台湾在民族复兴中的地位和作用,深明大义、奉义而行,坚决反对“台独”分裂和外部势力干涉,积极参与到推进祖国和平统一的正义事业中来。 我々は、台湾の同胞を団結させ、祖国の統一と国家の再生のための輝かしい仕事に取り組んでいく。 我々は、台湾同胞が歴史の正しい側面にしっかりと立ち、まっすぐな中国人であり、国家の再生における台湾の地位と役割を真剣に考え、大義を理解し、正義に従って行動し、台湾独立の分離と外部勢力の干渉に断固反対し、祖国の平和統一を促進するという正義のために積極的に参加することを望んでいる。
五、实现祖国和平统一的光明前景 5. 祖国の平和的統一への明るい展望
按照“一国两制”实现两岸和平统一,将给中国发展进步和中华民族伟大复兴奠定新的基础,将给台湾经济社会发展创造巨大机遇,将给广大台湾同胞带来实实在在的好处。 「一国二制度」の下での台湾海峡両岸の平和的統一は、中国の発展と中華民族の偉大な再生のための新しい基盤を築き、台湾の経済・社会発展のために多大な機会を創出し、大多数の台湾同胞に具体的な利益をもたらすだろう。
(一)台湾发展空间将更为广阔 (1) 台湾の発展余地が広がる
台湾经济发展水平较高,产业特色明显,对外贸易发达,两岸经济互补性强。统一后,两岸经济合作机制、制度更加完善,台湾经济将以大陆市场为广阔腹地,发展空间更大,竞争力更强,产业链供应链更加稳定通畅,创新活力更加生机勃勃。长期困扰台湾经济发展和民生改善的众多难题,可以在两岸融合发展、应通尽通中得到解决。台湾财政收入尽可用于改善民生,多为老百姓做实事、办好事、解难事。 台湾は高度な経済発展、特色ある産業特性、発達した対外貿易、両岸経済の強い補完性を持っている。 統一後、両岸経済協力のメカニズムとシステムがより完成され、台湾経済は大陸市場を広大な後背地として、より発展する余地と競争力を持ち、産業チェーンのサプライチェーンはより安定的かつ円滑になり、イノベーションがより活発になる。 台湾の経済発展や人々の生活向上を長い間悩ませてきた多くの問題は、両岸の統合と発展、そして互いにつながるためのあらゆる努力によって解決することができる。台湾の収入は、できるだけ人々の生活を向上させ、より現実的で善良かつ困難なことを行うために使われる。
台湾的文化创造力将得到充分发扬,两岸同胞共同传承中华文化、弘扬民族精神,台湾地域文化在中华文化根脉的滋养中更加枝繁叶茂、焕发光彩。 台湾の文化的創造力が十分に発揮され、台湾海峡両岸の同胞が協力して中国文化の継承と民族精神の高揚を図り、中国文化の根源を養う中で台湾の地域文化が花開き、輝きを放つようになるだろう。
(二)台湾同胞切身利益将得到充分保障 (2) 台湾同胞の当面の利益は完全に保護される
在确保国家主权、安全、发展利益的前提下,台湾可以作为特别行政区实行高度自治。台湾同胞的社会制度和生活方式等将得到充分尊重,台湾同胞的私人财产、宗教信仰、合法权益将得到充分保障。所有拥护祖国统一、民族复兴的台湾同胞将在台湾真正当家作主,参与祖国建设,尽享发展红利。有强大祖国做依靠,台湾同胞在国际上腰杆会更硬、底气会更足,更加安全、更有尊严。 国家主権、安全保障、発展利益の確保を前提に、台湾は特別行政区として高度な自治を行使することができる。 台湾同胞の社会制度や生活様式などを十分に尊重し、私有財産、信仰、合法的な権益を十分に保護する。 祖国の統一と民族の再生を支持するすべての台湾同胞は、真に自分の国の主人となり、祖国の建設に参加し、発展の配当を享受することができる。 強い祖国を頼りにすることで、台湾の同胞は国際舞台でより強い背中を見せ、より自信を持ち、より安全で威厳のある生活を送ることができるようになるだろう。
(三)两岸同胞共享民族复兴的伟大荣光 (3) 台湾海峡両岸の同胞は、民族の再生という偉大な栄光を分かち合う。
台湾同胞崇敬祖先、爱土爱乡、勤劳勇敢、自强不息,具有光荣的爱国主义传统。两岸同胞发挥聪明才智,携手共创美好未来潜力巨大。统一后,两岸同胞可以弥合因长期没有统一而造成的隔阂,增进一家人的同胞亲情,更加紧密地团结起来;可以发挥各自优势,实现互利互补,携手共谋发展;可以共同促进中华民族的繁荣昌盛,让中华民族以更加昂扬的姿态屹立于世界民族之林。 台湾海峡両岸の同胞には、祖先を敬い、祖国を愛し、勤勉で勇敢で、自立した愛国心という輝かしい伝統がある。 台湾海峡両岸の同胞が創意工夫と知恵を発揮し、より良い未来のために協力し合うことは、大きな可能性を秘めているのである。 統一後、台湾海峡両岸の同胞は、長い間の統一不在による溝を埋め、家族の絆を深め、より緊密に団結することができ、それぞれの長所を十分に発揮し、互恵と補完を実現し、共に発展を目指し、中華民族の繁栄を共同で推進し、中華民族は世界の森でより高揚した姿勢で立つことができるのである。
两岸同胞血脉相连、命运与共。统一后,中国的国际影响力、感召力、塑造力将进一步增强,中华民族的自尊心、自信心、自豪感将进一步提升。台湾同胞将同大陆同胞一道,共享一个伟大国家的尊严和荣耀,以做堂堂正正的中国人而骄傲和自豪。两岸同胞共同探索实施“两制”台湾方案,共同发展完善“一国两制”制度体系,确保台湾长治久安。 台湾海峡の両岸に住む同胞は、血で結ばれ、同じ運命を共有している。 統一後、中国の国際的な影響力、魅力、形成力はさらに高まり、中華民族の自尊心、自信、誇りはさらに高められるだろう。 台湾の同胞は、大陸の同胞と大国の尊厳と栄光を分かち合い、正しい中国人であることに誇りと栄誉を感じることでしょう。 台湾海峡両岸の同胞は、「二制度」台湾案の実施を共同で模索し、「一国二制度」体制を共同で発展・改善し、台湾の長期的安定を確保することができるだろう。
(四)有利于亚太地区及全世界和平与发展 (4) アジア太平洋地域および世界の平和と発展に寄与する
实现两岸和平统一,不仅是中华民族和中国人民之福,也是国际社会和世界人民之福。中国的统一,不会损害任何国家的正当利益包括其在台湾的经济利益,只会给各国带来更多发展机遇,只会给亚太地区和世界繁荣稳定注入更多正能量,只会为构建人类命运共同体、为世界和平发展和人类进步事业作出更大贡献。 台湾海峡の両岸が平和的に統一されることは、中華民族と中国国民だけでなく、国際社会と世界の人々にも祝福を与えることになるだろう。 中国の統一は、台湾における経済的利益を含め、いかなる国の合法的利益も損なわず、ただ他国に発展の機会をもたらし、アジア太平洋地域と世界の繁栄と安定により積極的なエネルギーを注入し、人類運命共同体の構築と世界の平和、発展、人類の進歩のために、より大きな貢献をすることになるだろう。
统一后,有关国家可以继续同台湾发展经济、文化关系。经中国中央政府批准,外国可以在台湾设立领事机构或其他官方、半官方机构,国际组织和机构可以在台湾设立办事机构,有关国际公约可以在台湾适用,有关国际会议可以在台湾举办。 統一後も、関係国は台湾との経済・文化関係を発展させることができる。 中国中央政府の承認を得て、外国は台湾に領事事務所やその他の公的・半公的機関を設置することができ、国際機関や組織は台湾に事務所を設置することができ、台湾で関連国際条約を適用することができ、台湾で関連国際会議を開催することができる。
结束语 結論
具有五千多年文明史的中华民族创造了震古烁今的灿烂文化,对人类社会发展进步作出了重大贡献。在经历了近代以来从屈辱走向奋起、从落伍走向崛起的百年沧桑之后,中华民族迎来了大发展大作为的时代,迈出了走向伟大复兴的铿锵步伐。 中華民族は5,000年以上の文明の歴史を持ち、時代を超えて輝く素晴らしい文化を創造し、人類社会の発展と進歩に大きく寄与してきた。 中華民族は、屈辱と上昇、後退と上昇の一世紀を経て、偉大な発展と進歩の時代を迎え、偉大な再生への歩みだした。
在新时代新征程上,中国共产党和中国政府将继续团结带领两岸同胞顺应历史大势,勇担时代责任,把前途命运牢牢掌握在自己手中,为实现祖国完全统一和中华民族伟大复兴而努力奋斗。 この新しい時代と新しい旅路において、中国共産党と中国政府は引き続き団結し、台湾海峡両岸の同胞が歴史の大勢に従って、時代の責任を担い、未来と運命を自らの手でしっかりとつかみ、祖国の完全統一と中華民族の偉大な復興に向けて努力するよう導いていくだろう。
前进道路不可能一马平川,但只要包括两岸同胞在内的所有中华儿女同心同德、团结奋斗,就一定能够粉碎任何形式的“台独”分裂和外来干涉图谋,就一定能够汇聚起促进祖国统一和民族复兴的磅礴伟力。祖国完全统一的历史任务一定要实现,也一定能够实现! 前途は決して平坦ではないが、台湾海峡両岸の同胞を含むすべての中国の子女が一心同体となって闘う限り、いかなる形の「台湾独立」や外国の干渉も粉砕し、祖国の統一と国家の再生のために雄大な力を結集することができるだろう。 祖国の完全統一という歴史的課題は必ず達成されなければならないし、必ず達成されるのです
(注1)详见《联合国司法年鉴2010》(United Nations Juridical Yearbook 2010)第516页。 (注1)詳しくは、「国連法務年鑑2010」516頁参照。
(注2)1951年9月4日至8日,美国纠集一些国家,在排斥中华人民共和国、苏联的情况下,在美国旧金山召开所谓“对日和会”,签署包含“日本放弃对台湾、澎湖列岛之所有权利和请求权”等内容的“旧金山和约”。该“和约”违反1942年中美英苏等26国签署的《联合国家宣言》规定,违反《联合国宪章》和国际法基本原则,对台湾主权归属等任何涉及中国作为非缔约国的领土和主权权利的处置也都是非法、无效的。中国政府从一开始就郑重声明,“旧金山和约”由于没有中华人民共和国参加准备、拟制和签订,中国政府认为是非法无效的,绝不承认。苏联、波兰、捷克斯洛伐克、朝鲜、蒙古、越南等国家也拒绝承认“和约”效力。 (注2)1951年9月4日から8日にかけて、米国は多くの国を集めてサンフランシスコでいわゆる「対日講和会議」を開き、中華人民共和国とソ連を排除しつつ、「日本が台湾と澎湖諸島に対するすべての権利と主張を放棄すること」を盛り込んだ「サンフランシスコ平和条約」を締結した。 日本は台湾及び澎湖諸島に対する一切の権利及び請求権を放棄する」ことを盛り込んだ「サンフランシスコ講和条約」に調印したのである。 この「平和条約」は、1942年に中国、米国、英国、ソ連など26カ国が署名した「国連宣言」の規定、国連憲章、国際法の基本原則に違反するものである。 中国政府は当初から、中華人民共和国の参加なしに準備、作成、署名されたサンフランシスコ平和条約は違法かつ無効であるとみなし、決して承認されないと厳粛に表明してきたのである。 ソ連、ポーランド、チェコスロバキア、韓国、モンゴル、ベトナムなどの国も「平和条約」の有効性を認めようとしない。
(注3)1995年1月30日,时任中共中央总书记、国家主席江泽民发表题为《为促进祖国统一大业的完成而继续奋斗》的讲话,提出发展两岸关系、推进祖国和平统一进程的八项主张,强调“坚持一个中国的原则,是实现和平统一的基础和前提”、“我们不承诺放弃使用武力,决不是针对台湾同胞,而是针对外国势力干涉中国统一和搞‘台湾独立’的图谋的”等。详见《江泽民文选》第一卷,人民出版社2006年8月第1版,第418至423页。 (注3)1995年1月30日、当時の江沢民中国共産党中央総書記・国家主席は「祖国統一偉業の完成に向けた闘争の継続」と題する演説を行い、両岸関係の発展と祖国の平和的統一を促進するための8つの提言を行い、「一国主義の堅持は平和的統一達成の基礎と前提条件である」と強調した。 "我々は、台湾の同胞に対してではなく、中国の統一と『台湾独立』を妨害しようとする外国勢力に対して、いかなる形であれ、武力行使を放棄することを約束しない "と述べた。 詳しくは、江沢民『著作選集』第1巻、人民出版社、初版、2006年8月、418-423頁。
(注4)这里不含经第三地的转投资。 (注4) 第三者を経由した出資の移転はここに含まれない。
(注5)根据2022年4月国际货币基金组织“世界经济展望数据库”的统计。 (注5)2022年4月、国際通貨基金「世界経済見通しデータベース」による。

 

 

1_20210612030101

 

人民日報

・2022.08.14 蓝厅观察丨涉台白皮书向“台独”和外部势力发出强力警告

 

| | Comments (0)

2022.08.15

中国 国家サイバースペース管理局 インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が、「インターネット情報サービスのアルゴリズム推奨管理規則」に基づく国内のインターネット情報サービスアルゴリズムの名称と申請番号を公表し始めましたね。。。

まずは、24社、30のアプリ、ウェブ、アプレットが公開されていますね。。。こうして公表されだすと、興味深い取り組みであるように感じます。。。

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

・2022.08.12 国家互联网信息办公室关于发布互联网信息服务算法备案信息的公告

 

国家互联网信息办公室关于发布互联网信息服务算法备案信息的公告 国家サイバースペース管理局 インターネット情報サービスのアルゴリズム申請に関する情報公開の公告
根据《互联网信息服务算法推荐管理规定》,现公开发布境内互联网信息服务算法名称及备案编号,相关信息可通过互联网信息服务算法备案系统(https://beian.cac.gov.cn)进行查询。任何单位或个人如有疑议,请发送邮件至pingguchu@cac.gov.cn,提出疑议应以事实为依据,并提供相关证据材料。后续将在本页面持续更新算法备案清单。 「インターネット情報サービスのアルゴリズム推奨管理規則」に基づき、国内のインターネット情報サービスアルゴリズムの名称と申請番号が公開され、インターネット情報サービスアルゴリズム申請システム(https://beian.cac.gov.cn)を通じて関連情報を照会することができるようになった。企業や個人が疑念を抱いた場合、pingguchu@cac.gov.cnまでメールでの問い合わせること。問い合わせは、事実に基づいて行う必要がある。本リストは継続的に更新される予定である。

 

・[DOC] 附件:境内互联网信息服务算法备案清单(2022年8月)

・[DOC] 仮訳

 24社のリスト。。。urlは自信無し...

杭州菜鸟物流信息科技有限公司 https://tech.cainiao.com/
杭州点望科技有限公司 https://www.qinbaobao.com/
小米科技有限责任公司 https://www.mi.com/
上海拉扎斯信息科技有限公司 https://www.ele.me/
深圳市云网万店电子商务有限公司 https://mc.suning.com/
深圳市富途网络科技有限公司 https://www.futunn.com/
深圳市腾讯计算机系统有限公司 https://www.tencent.com/en-us/
同道精英(天津)信息技术有限公司 https://www.liepin.com/
北京一点网聚科技有限公司 http://www.yidianzixun.com/
北京快手科技有限公司 https://www.kuaishou.com/
北京奇虎科技有限公司 https://www.360.cn/
北京三快科技有限公司 https://bj.meituan.com/
北京字节跳动科技有限公司 https://www.bytedance.com/
北京新浪互联信息服务有限公司 https://www.sina.com.cn/
北京天盈九州网络技术有限公司 https://www.ifeng.com/
北京微梦创科网络技术有限公司 https://www.sina.com.cn/
北京百度网讯科技有限公司 https://home.baidu.com/
北京网易传媒有限公司 https://www.163.com/
北京网聘咨询有限公司 https://www.zhaopin.com/
浙江天猫网络有限公司 https://www.liepin.com/
浙江淘宝网络有限公司 https://world.taobao.com/
聚好看科技股份有限公司 https://global.hisense.com/
优酷信息技术(北京)有限公司 https://www.youku.com/
钉钉科技有限公司 www.dingtalk.com

 

1_20210612030101


 

互联网信息服务算法推荐管理规定(インターネット情報サービスのアルゴリズム推奨管理規則)の情報について...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

 

| | Comments (0)

2022.08.14

米国 国土安全保障省 監察官室 国土安全保障省は偽情報キャンペーンに対する統一的な戦略が必要

こんにちは、丸山満彦です。

国土安全保障省の監察官室(内部監査部門)は、「国土安全保障省は偽情報キャンペーンに対する統一的な戦略が必要」という勧告を出していますね。。。

米国連邦政府ですら、そういう戦略がないということですから、他の国でも同様なのでしょうね(中国はあるかもしれませんが。。。)。

 

Oversight.GOV

・2022.08.10 DHS Needs a Unified Strategy to Counter Disinformation Campaigns

DHS Needs a Unified Strategy to Counter Disinformation Campaigns 国土安全保障省は偽情報キャンペーンに対する統一的な戦略が必要
Report Description:  報告書の内容 
The objective was to determine the extent to which DHS is positioned to prevent and reduce domestic terrorism in the United States. We determined that DHS has taken steps to help the United States counter terrorism, but those efforts have not always been consistent. This occurred because the Department has not established a governance body with staff dedicated to long-term oversight and coordination of its efforts to combat domestic terrorism. 目的は、国土安全保障省が米国の国内テロを防止・軽減するためにどの程度まで位置づけられているかを判断することであった。我々は、国土安是保障省が米国のテロ対策を支援するための措置を講じていると判断したが、その努力は必ずしも一貫していない。これは、同省が国内テロ対策への取り組みを長期的に監督・調整するための専門スタッフを擁する統治機関を設立していないために生じたものである。

 

・[PDF] OIG-22-58-Aug22.pdf

20220814-61105

 

ハイライト...

Why We Did This Audit   監査を実施した理由  
In recent years, cyberattacks, intellectual property theft, and statesponsored disinformation campaigns against our Nation have increased significantly. Our objective was to determine the internal and external coordination efforts the Department has taken to counter disinformation that appears in social media.  近年、わが国に対するサイバー攻撃、知的財産の窃盗、国家主導の偽情報キャンペーンが著しく増加している。我々の目的は、ソーシャルメディアに現れる偽情報に対抗するために、同省が行ってきた内部および外部の調整努力を明らかにすることである。 
What We Recommend   勧告事項  
We recommend DHS develop a unified strategy to counter disinformation campaigns that appear in social media.  国土安全保障省がソーシャルメディアに現れる偽情報キャンペーンに対抗する統一戦略を策定することを勧告する。 
What We Found   発見事項  
The Department of Homeland Security began internal and external coordination efforts in 2018 to counter disinformation appearing in social media. These efforts were predominantly focused on disinformation campaigns that pertained to election infrastructure or to distinct mission operations.  国土安全保障省は2018年、ソーシャルメディアに現れる偽情報に対抗するため、内部および外部の調整努力を開始した。これらの取り組みは、主に選挙インフラに関連する偽情報キャンペーンや、明確な任務遂行に焦点を当てたものであった。 
Although DHS components have worked across various social media platforms to counter disinformation, DHS does not yet have a unified department-wide strategy to effectively counter disinformation that originates from both foreign and domestic sources. DHS faced challenges unifying component efforts because disinformation is an emerging and evolving threat. We also attributed some challenges to the continual changes in DHS leadership, which may have hindered the development of top-down strategic guidance for countering disinformation.  国土安全保障省の各部門は、さまざまなソーシャルメディア・プラットフォームで偽情報対策に取り組んできたが、国土安全保障省には、海外と国内の両方から発信される偽情報に効果的に対抗するための部門全体の統一戦略はまだない。偽情報が新たな脅威であり、進化しているため、国土安全保障省は各部門の取り組みを統一するという課題に直面している。また、国土安全保障省の指導者が絶えず交代していることも、情報操作に対抗するためのトップダウンの戦略的指針の策定を妨げている可能性があると考えられる。 
Without a unified strategy, DHS and its components cannot coordinate effectively, internally, or externally to counter disinformation campaigns that appear in social media.  統一された戦略がなければ、国土安全保障省とその構成機関は、ソーシャルメディアに現れる偽情報キャンペーンに対抗するために、内部でも外部でも効果的に調整することができない。 
DHS Response  国土安全保障省の対応 
The Department concurred with our recommendation. DHS management comments on a draft of this report are in Appendix A.  同省は我々の勧告に同意した。本報告書の草稿に対する 国土安全保障省の執行陣のコメントは附属書 A にある。

 

・[DOCX] 仮訳

 

参考文献が役に立つことも多いので、、、

  1. DHS, Strategic Planning, last updated November 10, 2021, https://www.dhs.gov/strategicplanning.

  2. DHS, Secure Cyberspace and Critical Infrastructure, last updated February 23, 2022, https://www.dhs.gov/secure-cyberspace-and-critical-infrastructure.

  3. Pew Research Center, 7 Percent of Americans don't use the internet. Who are they?, April 2, 2021, https://www.pewresearch.org/fact-tank/2021/04/02/7-of-americans-dont-use-theinternet-who-are-they/.

  4. CISA defines disinformation as fabricated information intended to mislead or cause harm; misinformation is false, but not created or shared with the intention of causing harm; and malinformation is based on fact but used out of context to mislead, harm, or manipulate, https://www.cisa.gov/mdm.

  5. CISA Insights, Preparing for and Mitigating Foreign Influence Operations Targeting Critical Infrastructure, February 2022, https://www.cisa.gov/sites/default/files/publications/cisa_insight_mitigating_foreign_influenc pdf.

  6. AEP 2019, Combatting Targeted Disinformation Campaigns, October 2019 https://www.dhs.gov/sites/default/files/publications/ia/ia_combatting-targeteddisinformation-campaigns.pdf.

  7. Merriam Webster defines a deepfake as an image or recording that has been convincingly altered and manipulated to misrepresent someone as doing or saying something that was not actually done or said, https://www.merriam-webster.com/dictionary/deepfake. According to the Regulatory Review, Responding to Deepfakes and Disinformation, August 14, 2021, deepfakes are uniquely effective at spreading disinformation, https://www.theregreview.org/2021/08/14/saturday-seminar-responding-deepfakesdisinformation/.

  8. Kelley M. Sayler and Laurie A. Harris, Deepfakes and National Security, June 8, 2021, https://crsreports.congress.gov/product/pdf/IF/IF11333.

  9. Forbes, There Are Now 15,000 Deepfake Videos on Social Media. Yes, You Should Worry, October 8, 2019, https://www.forbes.com/sites/johnbbrandon/2019/10/08/there-are-now15000-deepfake-videos-on-social-media-yes-you-should-worry/?sh=75405acd3750.

  10. Katell Thielemann, It’s Time to Focus on Critical Infrastructure Systems Security, January 24, 2022, https://www.cybersecuritydive.com/news/critical-infrastructure-security/617561/.

  11. Senate Letter to DHS Regarding Efforts to Prevent Disinformation & Propaganda, March 13, 2022, https://www.rosen.senate.gov/sites/default/files/2022-03/3290%20FINAL.pdf.

  12. CISA Alert (AA20-352A), Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations, April 15, 2021, https://www.cisa.gov/uscert/ncas/alerts/aa20-352a.

  13. Gillian Cleary, Twitter Bots: Anatomy of a Propaganda Campaign, June 5, 2019, https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/twitterbotspropaganda-disinformation.

  14. AEP 2019, Combatting Targeted Disinformation Campaigns, October 2019, https://www.dhs.gov/sites/default/files/publications/ia/ia_combatting-targeteddisinformation-campaigns.pdf.

  15. WTOP, COVID Conspiracy: Foreign Disinformation Driving American Vaccine Resistance, September 27, 2021, https://wtop.com/j-j-green-national/2021/09/covid-conspiracy-foreigndisinformation-driving-american-vaccine-resistance/.

  16. PEW, Election Disinformation Fears Came True for State Officials, November 20, 2020, https://www.pewtrusts.org/en/research-and-analysis/blogs/stateline/2020/11/20/electiondisinformation-fears-came-true-for-state-officials.

  17. Christina Georgapoulos and Trey Poche, Fake news, disinformation and the George Floyd Protests, August 2020, https://faculty.lsu.edu/fakenews/about/protestfakenews.php.

  18. Brookings, How Disinformation Evolved in 2020, January 4, 2021, https://www.brookings.edu/techstream/how-disinformation-evolved-in-2020/.

  19. Id.

  20. Presidential Policy Directive 41, United States Cyber Incident Coordination, July 26, 2016, https://obamawhitehouse.archives.gov/the-press-office/2016/07/26/presidential-policydirective-united-states-cyber-incident.

  21. CISA’s MDM website, accessed July 13, 2021, states it continues to make social media platforms and law enforcement aware of disinformation, https://www.cisa.gov/mdm.

  22. CISA’s email correspondence to Social Media platforms included the following disclaimer: The Cybersecurity and Infrastructure Security Agency (CISA) of the U.S. Department of Homeland Security (DHS) is not the originator of this information. CISA is forwarding this information, unedited, from its originating source – this information has not been originated or generated by CISA. This information may also be shared with law enforcement or intelligence agencies. CISA affirms that it neither has nor seeks the ability to remove or edit what information is made available on social media platforms.  CISA makes no recommendations about how the information it is sharing should be handled or used by social media companies. Additionally, CISA will not take any action, favorable or unfavorable, toward social media companies based on decisions about how or whether to use this information.”  

  23. Strategic Framework for Countering Terrorism and Targeted Violence,

  24. CISA’s Bug Bytes graphic novel, accessed April 29, 2021, https://www.cisa.gov/resilienceseries-graphic-novels.

  25. CISA’s Real Fake graphic novel, accessed April 29, 2021, https://www.cisa.gov/resilienceseries-graphic-novels.

  26. CISA, #Protect2020 webpage, accessed April 29, 2021, https://www.cisa.gov/protect2020.

  27. CISA, Tools of Disinformation: Inauthentic Content, accessed April 29, 2021, https://www.cisa.gov/sites/default/files/publications/mdm-inauthentic-content-productpdf.

  28. CISA’s factsheet states that forged artifacts typically feature fake letterheads, copied and pasted signatures, made-up social media posts, and maliciously edited emails. Proxy websites are fronts for malicious actors, designed to launder disinformation and divisive content or use that content to drive website visits, accessed May 11, 2021, https://www.cisa.gov/sites/default/files/publications/mdm-inauthentic-content-productpdf.

  29. COVID-19 Disinformation Toolkit, accessed April 29, 2021, https://www.cisa.gov/covid-19disinformation-toolkit.

  30. Social Media Bots Infographic Set, accessed May 11, 2021, https://www.cisa.gov/sites/default/files/publications/social_media_bots_infographic_set_508.

  31. Presidential Policy Directive 21, Critical Infrastructure Security and Resilience, February 12, 2013, https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/presidentialpolicy-directive-critical-infrastructure-security-and-resil.

  32. DHS Strategic Framework for Countering Terrorism and Targeted Violence, September 2019, https://www.dhs.gov/sites/default/files/publications/19_0920_plcy_strategic-frameworkcountering-terrorism-targeted-violence.pdf.

  33. Homeland Threat Assessment, October 2020, https://www.dhs.gov/sites/default/files/publications/2020_10_06_homeland-threatpdf.

  34. Strategic Framework for Countering Terrorism and Targeted Violence, September 2019, https://www.dhs.gov/sites/default/files/publications/19_0920_plcy_strategic-frameworkcountering-terrorism-targeted-violence.pdf.

  35. Alejandro Mayorkas was sworn in as DHS Secretary on February 1, 2021.

  36. In an April 2022 House Judiciary Committee hearing, the DHS Secretary stated that the Department had established a Disinformation Governance Board to focus on the dissemination of disinformation. Three weeks after DHS Secretary’s announcement, it was reported that the Department decided to “pause” the Disinformation Governance Board and its work. We did not validate detailed information about the board, a strategy, or milestones as part of this audit, as it was formed after our fieldwork was complete. Washington Post, How the Biden administration let right-wing attacks derail its disinformation efforts, May 18, 2022, https://www.washingtonpost.com/technology/2022/05/18/disinformation-board-dhs-ninajankowicz/.


 

| | Comments (0)