米国 国土安全保障省 内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要
こんにちは、丸山満彦です。
国土安全保障省の内部監察官室が、2015年サイバーセキュリティ法に基づく情報共有についてさらなる改善が必要という内部監査報告書を公表していますね。。。
日本でも、インシデント情報の早期共有についての議論が始まっていますが、米国の取り組みは参考になることも多いと思います。。。
この報告書では、「自動指標共有(AIS)で共有される情報の質が良くなく、つまり、AISの機能制限、不十分な人員配置、外的要因により、サイバー脅威指標のほとんどは、意思決定者が行動を起こすのに役立つ十分な文脈情報を含んでおらず、サイバー脅威を特定し軽減するために必ずしも適切ではなかった。」と報告していますね。(しかも2017年、2018年にも同様の報告をしている。)
米国も苦労しているようですね。。。
しかし、内部監察官室、GAOの指摘があり、改善に向かうのはよいことですね。。。日本政府も見習うところではないでしょうかね。。。流石に昭和でもないし、政府無謬神話を唱える人もいないと思うので...
● Department of Homeland Security - Office of Inspector General
・2022.08.16 Additional Progress Needed to Improve Information Sharing under the Cybersecurity Act of 2015
・[PDF]
・[DOCX] 仮訳
| Why We Did This Review | このレビューを行った理由 |
| The Cybersecurity Act of 2015 requires the Department of Homeland Security to establish a capability and process for Federal entities to receive cyber threat information from non-Federal entities. The Act requires Inspectors General from the Intelligence Community and appropriate agencies to submit a joint report to Congress every 2 years on Federal Government actions to share cyber threat information. We conducted this review to evaluate CISA’s progress meeting the Cybersecurity Act’s requirements for 2019 and 2020. | 2015年サイバーセキュリティ法は、国土安全保障省に対し、連邦事業体が連邦以外の事業体からサイバー脅威情報を受け取るための能力とプロセスを確立することを求めている。同法は、情報コミュニティと適切な機関の監察官に対し、サイバー脅威情報を共有するための連邦政府の措置について、2年ごとに共同報告書を議会に提出することを求めている。我々は、2019年と2020年のサイバーセキュリティ法の要件を満たすCISAの進捗状況を評価するために、このレビューを実施した。 |
| What We Recommend | 勧告 |
| We recommend CISA complete system upgrades, hire needed staff, encourage compliance with information sharing agreements and develop a formal reporting process with quality controls. | 我々は、CISAがシステムのアップグレードを完了し、必要なスタッフを雇用し、情報共有契約の遵守を奨励し、品質管理を伴う正式な報告プロセスを開発することを勧告する。 |
| What We Found | 発見事項 |
| The Cybersecurity and Infrastructure Security Agency (CISA) has addressed the basic information sharing requirements of the Cybersecurity Act of 2015 (Cybersecurity Act) but has made limited progress improving the overall quality of threat information. In 2019 and 2020, CISA continued to leverage its Automated Indicator Sharing (AIS) capability to share cyber threat information between the Federal Government and the private sector. During that time, CISA reportedly increased the number of Federal participants by more than 15 percent and increased the number of non-Federal participants by 13 percent. CISA asserted it increased the overall number of cyber threat indicators it shared and received by more than 162 percent, but it could not validate this number. | サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2015年サイバーセキュリティ法(Cybersecurity Act of 2015)の基本的な情報共有要件に取り組んできたが、脅威情報の全体的な質の改善は限定的な進展にとどまっている。2019年と2020年、CISAは引き続き自動指標共有(AIS)能力を活用し、連邦政府と民間セクターの間でサイバー脅威情報を共有した。この間、CISAは連邦政府の参加者数を15%以上増加させ、連邦政府以外の参加者数を13%増加させたと報告されている。CISAは、共有・受信したサイバー脅威指標全体の数を162%以上増加させたと主張しているが、この数を検証することはできなかった。 |
| The quality of information shared with AIS participants was not always adequate to identify and mitigate cyber threats. According to Federal and private sector entities we interviewed, most of the cyber threat indicators did not contain enough contextual information to help decision makers take action. We attribute this to limited AIS functionality, inadequate staffing, and external factors. We reported on these same challenges in our Cybersecurity Act evaluation for 2017 and 2018. | AIS参加者と共有される情報の質は、サイバー脅威を特定し軽減するために必ずしも適切ではなかった。我々がインタビューした連邦政府および民間事業体によると、サイバー脅威指標のほとんどは、意思決定者が行動を起こすのに役立つ十分な文脈情報を含んでいなかった。これはAISの機能制限、不十分な人員配置、外的要因によるものである。我々は、2017年と2018年のサイバーセキュリティ法の評価において、これらと同じ課題について報告した。 |
| Deficiencies in the quality of threat information shared among AIS participants may hinder the Federal Government’s ability to identify and mitigate potential cyber vulnerabilities and threats. | AIS参加者間で共有される脅威情報の質の低下は、連邦政府が潜在的なサイバー脆弱性と脅威を特定し、緩和する能力を阻害する可能性がある。 |
勧告とその回答、解決についての詳細...
| Recommendations | 勧告 |
| We are administratively closing the recommendations from our prior report to issue the following new recommendations: | 以下の新たな勧告を発表するため、前回の報告書の勧告を事務的に終了する: |
| Recommendation 1: We recommend the Director of CISA develop and implement a formal process to verify the number of cyber threat indicators and defensive measures shared through CISA’s Automated Indicator Sharing capabilities to enable accurate reporting and oversight. | 勧告1:CISAの自動指標共有機能を通じて共有されたサイバー脅威指標と防御策の数を検証し、正確な報告と監視を可能にするための正式なプロセスを開発し、実施することをCISA長官に勧告する。 |
| Recommendation 2: We recommend the Director of CISA develop and implement an approach to encourage Federal agencies and the private sector to comply with information sharing agreements and requirements, and report actions taken with information sharing agreements and requirements for Automated Indicator Sharing. | 勧告2:CISA長官に対し、連邦政府機関と民間部門が情報共有協定と要件を遵守することを奨励するためのアプローチを策定・実施し、情報共有協定と自動指標共有の要件を遵守した行動を報告することを勧告する。 |
| Recommendation 3: We recommend the Director of CISA complete Automated Indicator Sharing 2.0 upgrades. | 勧告3:CISA部長に対し、自動指標共有2.0のアップグレードを完了するよう勧告する。 |
| Recommendation 4: We recommend the Director of CISA place priority on hiring administrative and operational staffing to conduct the strategic planning, coordination, analysis, and performance measurement needed to mitigate cybersecurity risks. | 勧告4:CISA 長官は、サイバーセキュリティのリスクを軽減するために必要な戦略的計画、調整、分析、 およびパフォーマンス測定を行うための管理・運営スタッフの雇用を優先するよう勧告する。 |
| CISA Management Comments and OIG Analysis | CISA経営陣のコメントとOIG分析 |
| We obtained written comments from CISA on a draft of this report. In its comments, CISA indicated it appreciated our work in planning, conducting our review, and issuing this report. CISA will continue to ensure that cyber threat indicators are shared through the real-time process according to 6 United States Code 1504(a)(3)(B). | 本報告書のドラフトについて、CISAから書面によるコメントを得た。そのコメントの中で、CISAは、本報告書の計画、レビューの実施、および発行における我々の作業を高く評価している。CISAは、米国コード6 1504(a)(3)(B)に従い、サイバー脅威指標がリアルタイムのプロセスを通じて共有されることを引き続き確保する。 |
| We have reviewed CISA’s comments, as well as the technical comments previously submitted under separate cover, and updated the report as appropriate. One recommendation is open and unresolved, one recommendation is open and resolved, and two recommendations are closed and resolved. A summary of the CISA’s responses and our analysis follows. | 我々は、CISAのコメント、および以前別カバーで提出された技術的なコメントを検討し、報告書を適宜更新した。勧告1件は未解決、勧告1件は未解決かつ解決済み、勧告2件は解決済みである。CISAの回答と我々の分析の概要は以下の通りである。 |
| DHS Response to Recommendation #1: Concur. CISA’s Cybersecurity Division launched its next generation version of AIS, AIS 2.0, which created the capability to apply a CISA opinion score to cyber threat indicators. This score provides an assessment of whether the information can be corroborated with other sources available to the entity submitting the opinion to AIS. CISA publicly shared information on the opinion score methodology in the November 2021 document, Automated Indicator Sharing (AIS) Scoring Framework Used for Indicator Enrichment, V1.0. | 勧告1に対するDHSの回答:同意する。CISAのサイバーセキュリティ部門は、AISの次世代バージョンであるAIS 2.0を立ち上げ、サイバー脅威指標にCISAの意見スコアを適用する機能を構築した。このスコアは、AIS に意見を提出する事業体が利用可能な他の情報源と情報の裏付けが取れるかどうかの評価を提供する。CISAは、2021年11月の文書「指標エンリッチメントに使用される自動指標共有(AIS)スコアリングフレームワーク、V1.0」において、オピニオンスコア手法に関する情報を公に共有した。 |
| OIG Analysis: CISA’s actions are not responsive to this recommendation. The Automated Indicator Sharing (AIS) Scoring Framework Used for Indicator Enrichment, V1.0 emphasizes enriching cyber threat indicator information so that decision makers can prioritize actions and investigate indicator objects. Additionally, the document did not include any reporting or oversight capability requirements. This recommendation is open and unresolved until CISA provides documentation showing the total numbers of cyber threat indicators and defensive measures for a reporting period in support of its oversight of the AIS program. | OIG の分析:CISAの措置はこの勧告に対応していない。自動指標共有(AIS)スコアリングフレームワークV1.0は、意思決定者が行動の優先順位を付け、指標対象物を調査できるように、サイバー脅威指標情報を充実させることを強調している。さらに、この文書には、報告または監視能力の要件は含まれていなかった。この勧告は、CISAがAISプログラムの監視を支援するために、報告期間のサイバー脅威指標と防御策の総数を示す文書を提供するまで未解決である。 |
| DHS Response to Recommendation #2: Concur. CISA’s Cybersecurity Division issued its Automated Indicator Sharing (AIS) 2.0 Submission Guide, V1.0, which was intended to increase participation in advance of the March 1, 2022, launch of AIS 2.0. Further, the submission guide can be used with the Automated Indicator Sharing (AIS) Profile: Requirements for STIX Submissions V1.0 document to help AIS participants understand all requirements for AIS submissions. | 勧告2に対するDHSの回答:同意する。CISAのサイバーセキュリティ部門は、自動指標共有(AIS)2.0提出ガイドV1.0を発行したが、これは2022年3月1日のAIS2.0開始に先立ち、参加者を増やすことを意図したものである。さらに、この提出ガイドは自動指標共有(AIS)プロファイルと共に使用することができる:この文書は、2022年3月1日のAIS 2.0の開始に先立ち、AISへの参加者を増やすことを目的として作成されたものである。 |
| OIG Analysis: CISA’s actions are responsive to this recommendation, after review of the Automated Indicator Sharing (AIS) 2.0 Submission Guide, V1.0 and the Automated Indicator Sharing (AIS) Profile: Requirements for STIX Submissions V1.0, we consider this recommendation closed and resolved. | OIG の分析:自動指標共有(AIS)2.0提出ガイドV1.0および自動指標共有(AIS)プロファイルV1.0を見直した結果、CISAの対応はこの勧告に対応している:STIX 提出のための要件 V1.0 を検討した結果、本勧告は終了し解決されたと判断した。 |
| DHS Response to Recommendation #3: Concur. CISA’s Cybersecurity Division completed upgrades on March 1, 2022, for AIS to leverage the latest Structured Threat Information eXpression (STIX)/ Trusted Automated eXchange of Indicator Information (TAXII) 2.0 standards for capturing and communicating cyber threat intelligence. Further, on June 2, 2022, CISA demonstrated the AIS 2.0 operational capabilities for us to show that the requirements of this recommendation were met. | 勧告3に対するDHSの回答:同意する。CISAのサイバーセキュリティ部門は2022年3月1日、サイバー脅威情報を収集・伝達するための最新の構造化脅威情報表現(Structured Threat Information eXpression:STIX)/信頼された自動指標交換(Trusted Automated eXchange of Indicator Information:TAXII)2.0標準を活用するためのAISのアップグレードを完了した。さらに2022年6月2日、CISAはこの勧告の要件が満たされていることを示すため、AIS 2.0の運用能力を実証した。 |
| OIG Analysis: CISA’s actions are responsive to this recommendation, after two demonstrations to the OIG showing the upgrade to AIS 2.0 and its new operational capabilities. Additionally, the Automated Indicator Sharing (AIS) Scoring Framework Used for Indicator Enrichment, V1.0, the supported documentation for recommendation 1, should increase the quality of information of cyber threat indicators and defensive measures. We consider this recommendation closed and resolved. | OIG の分析:AIS2.0へのアップグレードとその新しい運用能力を示す2回のデモンストレーションをOIGに行った後、CISAの行動はこの勧告に対応している。さらに、勧告1の裏付け文書である「指標強化に使用される自動指標共有(AIS)スコアリングフレームワーク、V1.0」は、サイバー脅威指標と防御策の情報の質を高めるはずである。この勧告は終了し、解決されたと考える。 |
| DHS Response to Recommendation #4: Concur. During the past 18 months, CISA's Cybersecurity Division has added additional contractual resources to better support these efforts and is also assessing a longer-term approach to allocate resources to fully support this critical mission area. Estimated Completion Date: January 31, 2023. | 勧告4に対するDHSの回答:同意する。過去1年半の間に、CISAのサイバーセキュリティ部門は、これらの取り組みをよりよく支援するために契約上のリソースを追加し、また、この重要な任務分野を完全に支援するためのリソースを割り当てるための長期的なアプローチを評価している。完了予定日2023年1月31日 |
| OIG Analysis: CISA’s actions are responsive to this recommendation, which will remain open and resolved until CISA provides a hiring plan and a long-term approach to address strategic planning, coordination, analysis, and performance measurement needed to mitigate cybersecurity risks. | OIG の分析:CISAの行動はこの勧告に対応しているが、CISAがサイバーセキュリティリスクを軽減するために必要な戦略的計画、調整、分析、パフォーマンス測定に対処するための雇用計画と長期的アプローチを提供するまで、この勧告は未解決のまま解決されない。 |
関係文書
2015年サイバーセキュリティ情報共有法
・[PDF]
ガイダンス文書
・Cybersecurity Information Sharing Act of 2015 Procedures and Guidance
Resource Materials
・2020.10 [PDF] Non-Federal Entity Sharing Guidance under the Cybersecurity Information Sharing Act of 2015
・[DOCX] 仮訳
・2021.01.04 [PDF] Privacy and Civil Liberties Final Guidelines: Cybersecurity Information Sharing Act of 2015
・[DOCX] 仮訳
・2016.02.16 [PDF] Federal Government Sharing Guidance under the Cybersecurity Information Sharing Act of 2015
・[DOCX] 仮訳
連携のまとめ...
| 4 | Sec.103(a)(1) | Timely Sharing of Classified Cyber Threat Indicators and Defensive Measures | 機密扱いのサイバー脅威指標と防御策の適時共有 | |
| ECS | Department of Homeland Security (DHS) Enhanced Cybersecurity Services (ECS) Program | 国土安全保障省 (DHS) 強化サイバーセキュリティ・サービス (ECS) プログラム | http://www.dhs.gov/enhanced-cybersecurity-services | |
| CS | Department of Defense (DoD) Defense Industrial Base (DIB) Cybersecurity (CS) Program –32 CFR Part 236 | 国防総省(DoD)防衛産業基盤(DIB)サイバーセキュリティ(CS)プログラム32 CFR Part 236, | http://dibnet.dod.mil/ | |
| CISCP | DHS Cyber Information Sharing and Collaboration Program (CISCP) | DHS サイバー情報共有・協力プログラム(CISCP) | http://www.dhs.gov/ciscp | |
| NCIJTF | The National Cyber Investigative Joint Task Force (NCIJTF) | 国家サイバー捜査官合同タスクフォース(NCIJTF) | https://www.fbi.gov/aboutus/investigate/cyber/ncijtf | |
| 5 | Sec. 103(a)(2) | Timely Sharing of Declassified Cyber Threat Indicators and Defensive Measures | 機密解除されたサイバー脅威指標と防御策の適時共有 | |
| NCCIC | DHS National Cybersecurity and Communications Integration Center (NCCIC) | DHSサイバーセキュリティ・コミュニケーション統合センター(NCCIC) | https://www.dhs.gov/nccic | |
| FLASH | FBI Private Industry Notifications (PINs) and FBI Liaison Alert System (FLASH) Reports | FBI民間企業通知(PIN)およびFBI連携警告システム(FLASH)レポート | ||
| CRISP | Department of Energy (DOE) Cybersecurity Risk Information Sharing Program (CRISP) | エネルギー省(DOE)サイバーセキュリティリスク情報共有プログラム(CRISP) | ||
| 6 | Sec. 103(a)(3) | Timely Sharing of Unclassified Cyber Threat Indicators and Defensive Measures | 非機密のサイバー脅威指標と防御策の適時共有 | |
| AIS | DHS Automated Indicator Sharing initiative (AIS) | DHS 自動指標共有イニシアチブ(AIS) | https://www.us-cert.gov/ais | |
| CISCP | DHS Cyber Information Sharing and Collaboration Program (CISCP) via AIS | AIS を通じた DHS サイバー情報共有・協力プログラム(CISCP) | http://www.dhs.gov/ciscp | |
| NCCIC | DHS National Cybersecurity and Communications Integration Center (NCCIC) | DHSサイバーセキュリティ・コミュニケーション統合センター(NCCIC) | https://www.dhs.gov/nccic | |
| CS | DOD Defense Industrial Base (DIB) Cybersecurity (CS) Program | DoD 防衛産業基盤(DIB)サイバーセキュリティ(CS)プログラム | http://dibnet.dod.mil/ | |
| NCIJTF | FBI National Cyber Investigative Joint Task Force (NCIJTF) | FBI 国家サイバー捜査官合同タスクフォース(NCIJTF) | https://www.fbi.gov/aboutus/investigate/cyber/ncijtf | |
| CRISP | DOE Cybersecurity Risk Information Sharing Program (CRISP) | DOE サイバーセキュリティリスク情報共有プログラム(CRISP) | ||
| CFM | DOE Cyber Fed Model (CFM) Program | DOEサイバー 連邦モデル(CFM)プログラム | ||
| CIG | Treasury’s Financial Sector Cyber Intelligence Group (CIG) | 財務省の金融セクター・サイバー・インテリジェンス・グループ(CIG) | ||
| 7 | Sec. 103(a)(4) | Timely Sharing of Information Relating to Cyber Threats | サイバー脅威に関する情報の適時共有 | |
| NCCIC | DHS National Cybersecurity and Communications Integration Center (NCCIC) | DHSサイバーセキュリティ・コミュニケーション統合センター(NCCIC) | https://www.dhs.gov/nccic | |
| DC3 | DOD Defense Cyber Crime Center (DC3) | 国防総省サイバー犯罪センター(DC3) | http://www.dc3.mil/ | |
| NCIJTF | FBI National Cyber Investigative Joint Task Force (NCIJTF) | FBI 国家サイバー捜査官合同タスクフォース(NCIJTF) | https://www.fbi.gov/aboutus/investigate/cyber/ncijtf | |
| 8 | Sec. 103(a)(5) | Periodic Sharing of Cybersecurity Best Practices | サイバーセキュリティのベストプラクティスの定期的共有 | |
| NIST | Department of Commerce (DOC)’s National Institute of Standards and Technology (NIST) | 商務省(DOC)の国立標準技術研究所(NIST) | http://www.nist.gov/itl/csd/ | |
| C3 | Critical Infrastructure Cyber Community (C3) Voluntary Program | 重要インフラ・サイバー・コミュニティ (C3) 自主プログラム | https://www.dhs.gov/ccubedvp | |
| NCCIC | DHS National Cybersecurity and Communications Integration Center (NCCIC) | DHSサイバーセキュリティ・コミュニケーション統合センター(NCCIC) | https://www.dhs.gov/nccic | |
| CS | DOD Defense Industrial Base (DIB) Cybersecurity (CS) Program | DoD 防衛産業基盤(DIB)サイバーセキュリティ(CS)プログラム | http://dibnet.dod.mil/ | |
| FBI | FBI | |||
| National Security Agency (NSA) Information Assurance (IA) Guidance | 国家安全保障局(NSA)情報保証(IA)ガイダンス | https://www.nsa.gov/ia/mitigation_guidance | ||
| Small Business Administration Cybersecurity Landing Page | 中小企業庁サイバーセキュリティ・ランディングページ | https://www.sba.gov/cybersecurity |
・2016.06.15 [PDF] Final Procedures Related to the Receipt of Cyber Threat Indicators and Defensive Measures by the Federal Government
・[DOCX] 仮訳
● 情報セキュリティ気まぐれ日記
・2020.10.08 米国のISACとISAO (根拠指令、取りまとめ団体、ISAO標準文書など)
2015年サイバーセキュリティ情報共有法 機械対訳
| Cybersecurity Information Sharing Act of 2015 | 2015年サイバーセキュリティ情報共有法 |
| TITLE I—CYBERSECURITY INFORMATION SHARING | タイトルI-サイバーセキュリティ情報共有 |
| SEC. 101. SHORT TITLE. This title may be cited as the ‘‘Cybersecurity Information Sharing Act of 2015’’. | SEC. 101. 略称。本タイトルは、''Cybersecurity Information Sharing Act of 2015'' として引用されることがある。 |
| SEC. 102. DEFINITIONS. In this title: | SEC. 102. 定義。本タイトルにおいて |
| (1) AGENCY.—The term ‘‘agency’’ has the meaning given the term in section 3502 of title 44, United States Code. | (1)エージェンシー(AGENCY)-「エージェンシー(AGENCY)」という用語は、米国法典第44編第3502条においてこの用語に与えられている意味を有する。 |
| (2) ANTITRUST LAWS.—The term ‘‘antitrust laws’’— | (2) 反トラスト法 -「反トラスト法」という用語は、次の意味を有する。 |
| (A) has the meaning given the term in the first section of the Clayton Act (15 U.S.C. 12); | (A)クレイトン法(15 U.S.C. 12)の第 1 項で与えられている意味を有する; |
| (B) includes section 5 of the Federal Trade Commission Act (15 U.S.C. 45) to the extent that section 5 of that Act applies to unfair methods of competition; and | (B)連邦取引委員会法(15 U.S.C.45)第5条が不公正な競争方法に適用される限りにおいて、同法第5条を含む。 |
| (C) includes any State antitrust law, but only to the extent that such law is consistent with the law referred to in subparagraph (A) or the law referred to in subparagraph (B). | (C) 州の反トラスト法を含むが、当該法が(A)号または(B)号で言及される法と矛盾しない範囲に限る。 |
| (3) APPROPRIATE FEDERAL ENTITIES.—The term ‘‘appropriate Federal entities’’ means the following: | (3) 適切な連邦事業体-「適切な連邦事業体」とは、以下のものをいう: |
| (A) The Department of Commerce. | (A) 商務省。 |
| (B) The Department of Defense. | (B) 国防総省。 |
| (C) The Department of Energy. | (C) エネルギー省。 |
| (D) The Department of Homeland Security. | (D) 国土安全保障省。 |
| (E) The Department of Justice. | (E)司法省。 |
| (F) The Department of the Treasury. | (F) 財務省 |
| (G) The Office of the Director of National Intelligence. | (G) 国家情報長官室。 |
| (4) CYBERSECURITY PURPOSE.—The term ‘‘cybersecurity purpose’’ means the purpose of protecting an information system or information that is stored on, processed by, or transiting an information system from a cybersecurity threat or security vulnerability. 6 USC 1501. 6 USC 1501 note. Cybersecurity Information Sharing Act of 2015. VerDate Sep 11 2014 09:43 Mar 09, 2016 Jkt 059139 PO 00113 Frm 00696 Fmt 6580 Sfmt 6581 E:\PUBLAW\PUBL113.114 PUBL113 dkrause on DSKHT7XVN1PROD with PUBLAWS PUBLIC LAW 114–113—DEC. 18, 2015 129 STAT. | (4) サイバーセキュリティ目的 -「サイバーセキュリティ目的」とは、サイバーセキュリティ上の脅威またはセキュリティの脆弱性から、情報システムまたは情報システムに保存され、情報システムによって処理され、または情報システムを通過する情報を保護する目的をいう。6 USC 1501。6 USC 1501 注。2015年サイバーセキュリティ情報共有法。VerDate Sep 11 2014 09:43 Mar 09, 2016 Jkt 059139 PO 00113 Frm 00696 Fmt 6580 Sfmt 6581 E:\PUBLAWPUBL113.114 PUBL113 dkrause on DSKHT7XVN1PROD with PUBLAWS PLIC LAW 114-113-DEC. 18, 2015 129 stat. |
| (5) CYBERSECURITY THREAT.— | (5) サイバーセキュリティの脅威。 |
| (A) IN GENERAL.—Except as provided in subparagraph (B), the term ‘‘cybersecurity threat’’ means an action, not protected by the First Amendment to the Constitution of the United States, on or through an information system that may result in an unauthorized effort to adversely impact the security, availability, confidentiality, or integrity of an information system or information that is stored on, processed by, or transiting an information system. | (A)全般 - (B)号に規定される場合を除き、「サイバーセキュリティ上の脅威」とは、米国憲法修正第1条で保護されない、情報システム上で、または情報システムを通じて、情報システム、または情報システムに保存され、情報システムによって処理され、または情報システムを通過する情報のセキュリティ、可用性、機密性、または完全性に悪影響を及ぼす不正な取り組みをもたらす可能性のある行為を意味する。 |
| (B) EXCLUSION.—The term ‘‘cybersecurity threat’’ does not include any action that solely involves a violation of a consumer term of service or a consumer licensing agreement. | (B)除外 -「サイバーセキュリティの脅威」という用語には、消費者の利用規約または消費者のライセ ンス契約の違反のみを伴う行為は含まれない。 |
| (6) CYBER THREAT INDICATOR.—The term ‘‘cyber threat indicator’’ means information that is necessary to describe or identify— | (6) サイバー脅威指標 -「サイバー脅威指標」とは、以下を記述または識別するために必要な情報をいう。 |
| (A) malicious reconnaissance, including anomalous patterns of communications that appear to be transmitted for the purpose of gathering technical information related to a cybersecurity threat or security vulnerability; | (A)サイバーセキュリティ上の脅威またはセキュリティの脆弱性に関連する技術情報を収集する目的で送信されたと思われる異常なパターンのコミュニケーションを含む悪意のある偵察; |
| (B) a method of defeating a security control or exploitation of a security vulnerability; | (B) セキュリティ制御を破る方法、またはセキュリティ脆弱性を悪用する方法; |
| (C) a security vulnerability, including anomalous activity that appears to indicate the existence of a security vulnerability; | (C) セキュリティ脆弱性(セキュリティ脆弱性の存在を示すと思われる異常な活動を含む; |
| (D) a method of causing a user with legitimate access to an information system or information that is stored on, processed by, or transiting an information system to unwittingly enable the defeat of a security control or exploitation of a security vulnerability; | (D)情報システムまたは情報システムに保存され、情報システムによって処理され、あるいは情報システムを通過する情報への正当なアクセス権を有する利用者に、セキュリティ制御の妨害またはセキュリティ脆弱性の悪用を知らず知らずのうちに可能にさせる方法; |
| (E) malicious cyber command and control; | (E) 悪意のあるサイバー指揮統制; |
| (F) the actual or potential harm caused by an incident, including a description of the information exfiltrated as a result of a particular cybersecurity threat; | (F)特定のサイバーセキュリティ脅威の結果として流出した情報の説明を含む、インシデントによって引き起こされた実際または潜在的な被害; |
| (G) any other attribute of a cybersecurity threat, if disclosure of such attribute is not otherwise prohibited by law; or | (G)サイバーセキュリティの脅威のその他の属性(当該属性の開示が法律で禁止されていない場合)。 |
| (H) any combination thereof. | (H) それらの組み合わせ。 |
| (7) DEFENSIVE MEASURE.— | (7) 防御策 |
| (A) IN GENERAL.—Except as provided in subparagraph (B), the term ‘‘defensive measure’’ means an action, device, procedure, signature, technique, or other measure applied to an information system or information that is stored on, processed by, or transiting an information system that detects, prevents, or mitigates a known or suspected cybersecurity threat or security vulnerability. | (A)全般:(B)号に規定される場合を除き、「防御策」とは、既知または疑いのあるサイバーセキュリティの 脅威またはセキュリティの脆弱性を検知、防止または低減する、情報システムまたは情報システムに保存さ れ、情報システムによって処理され、もしくは情報システムを通過する情報に適用される措置、デバイス、 手順、署名、技術、またはその他の手段をいう。 |
| (B) EXCLUSION.—The term ‘‘defensive measure’’ does not include a measure that destroys, renders unusable, provides unauthorized access to, or substantially harms an information system or information stored on, processed by, or transiting such information system not owned by— | (B)除外 -「防御策」という用語には、以下の者が所有しない情報システムまたは当該情報システム上に格納され、当該情報システムによって処理され、または当該情報システムを経由する情報を破壊し、使用不能にし、不正アクセスを提供し、または当該情報システムに実質的な損害を与える対策は含まれない。 |
| (i) the private entity operating the measure; or | (i) 当該措置を運用する事業体。 |
| (ii) another entity or Federal entity that is authorized to provide consent and has provided consent to that private entity for operation of such measure. | (ii) 同意を提供する認可を受け、当該措置の運用について当該民間事業体に同意を提供している他の事業体または連邦機関。 |
| (8) FEDERAL ENTITY.—The term ‘‘Federal entity’’ means a department or agency of the United States or any component of such department or agency. | (8) 連邦事業体とは、米国の省庁またはその構成機関をいう。 |
| (9) INFORMATION SYSTEM.—The term ‘‘information system’’— (A) has the meaning given the term in section 3502 of title 44, United States Code; and (B) includes industrial control systems, such as supervisory control and data acquisition systems, distributed control systems, and programmable logic controllers. | (9)情報システムとは、(A)米国法典第44編第3502節に規定される意味を有し、(B)監視制御・データ収集システム、分散制御システム、プログラマブル・ロジック・コントローラなどの産業制御システムを含む。 |
| (10) LOCAL GOVERNMENT.—The term ‘‘local government’’ means any borough, city, county, parish, town, township, village, or other political subdivision of a State. | (10) 地方政府("local government")とは、行政区、市、郡、小教区、町、郷、村、または州のその他の政治的下部組織をいう。 |
| (11) MALICIOUS CYBER COMMAND AND CONTROL.—The term ‘‘malicious cyber command and control’’ means a method for unauthorized remote identification of, access to, or use of, an information system or information that is stored on, processed by, or transiting an information system. | (11) 悪意のあるサイバー指揮統制 -「悪意のあるサイバー指揮統制」とは、情報システム、または情報 システムに保存され、情報システムによって処理され、または情報システムを通過する情報を、遠隔地か ら無許可で識別し、アクセスし、または使用する方法をいう。 |
| (12) MALICIOUS RECONNAISSANCE.—The term ‘‘malicious reconnaissance’’ means a method for actively probing or passively monitoring an information system for the purpose of discerning security vulnerabilities of the information system, if such method is associated with a known or suspected cybersecurity threat. | (12) 悪意のある偵察(MALICIOUS RECONNAISSANCE)-「悪意のある偵察(MALICIOUS RECONNAISSANCE)」とは、情報システムのセキュリ ティ上の脆弱性を見分ける目的で、情報システムを能動的に調査する方法または受動的に監視する 方法であって、そのような方法が既知のサイバーセキュリティ上の脅威に関連する場合、または疑 われる場合をいう。 |
| (13) MONITOR.—The term ‘‘monitor’’ means to acquire, identify, or scan, or to possess, information that is stored on, processed by, or transiting an information system. (14) NON-FEDERAL ENTITY.— | (13) 「監視」とは、情報システムに保存され、情報システムによって処理され、または情報システ ムを通過する情報を取得、識別、スキャンすること、または所有することをいう。(14) 非連邦事業体。 |
| (A) IN GENERAL.—Except as otherwise provided in this paragraph, the term ‘‘non-Federal entity’’ means any private entity, non-Federal government agency or department, or State, tribal, or local government (including a political subdivision, department, or component thereof). | (A)全般:本項に別段の定めがある場合を除き、「非連邦事業体」とは、民間事業体、非連邦政府機関もしくは部局、または州政府、部族政府もしくは地方政府(その政治的下部組織、部局または構成単位を含む)をいう。 |
| (B) INCLUSIONS.—The term ‘‘non-Federal entity’’ includes a government agency or department of the District of Columbia, the Commonwealth of Puerto Rico, the United States Virgin Islands, Guam, American Samoa, the Northern Mariana Islands, and any other territory or possession of the United States. | (B)含まれるもの-「非連邦事業体」という用語には、コロンビア特別区、プエルトリコ連邦、米国領ヴァージン諸島、グアム、米領サモア、北マリアナ諸島、および米国のその他の領土または領有地の事業体または部局が含まれる。 |
| (C) EXCLUSION.—The term ‘‘non-Federal entity’’ does not include a foreign power as defined in section 101 of the Foreign Intelligence Surveillance Act of 1978 (50 U.S.C. 1801). | (C)除外-「連邦以外の事業体」という用語には、1978年外国情報監視法(50 U.S.C. 1801)第101条に定義される外国権力は含まれない。 |
| (15) PRIVATE ENTITY.— | (15) 民間事業体-。 |
| (A) IN GENERAL.—Except as otherwise provided in this paragraph, the term ‘‘private entity’’ means any person or private group, organization, proprietorship, partnership, trust, cooperative, corporation, or other commercial or nonprofit entity, including an officer, employee, or agent thereof. | (A)全般:本項に別段の定めがある場合を除き、「民間事業体」とは、個人または民間団体、組織、事業主、パートナーシップ、信託、協同組合、企業、またはその他の営利もしくは非営利の事業体をいい、その役員、従業員、または代理人を含む。 |
| (B) INCLUSION.—The term ‘‘private entity’’ includes a State, tribal, or local government performing utility services, such as electric, natural gas, or water services. | (B)包含:「民間事業体」という用語は、電気、天然ガス、水道などの公益事業を行う国、部族、または地方政府を含む。 |
| (C) EXCLUSION.—The term ‘‘private entity’’ does not include a foreign power as defined in section 101 of the Foreign Intelligence Surveillance Act of 1978 (50 U.S.C. 1801). 129 STAT. | (C)除外-「民間事業体」という用語には、1978年外国情報監視法(50 U.S.C. 1801)第101条に定義される外国権力は含まれない。129 STAT. |
| (16) SECURITY CONTROL.—The term ‘‘security control’’ means the management, operational, and technical controls used to protect against an unauthorized effort to adversely affect the confidentiality, integrity, and availability of an information system or its information. | (16) 「防御」とは、情報システムまたはその情報の機密性、完全性、および可用性に悪影 響を与える不正な試みから保護するために使用される、管理、運用、および技術的な制 御をいう。 |
| (17) SECURITY VULNERABILITY.—The term ‘‘security vulnerability’’ means any attribute of hardware, software, process, or procedure that could enable or facilitate the defeat of a security control. | (17) セキュリティ脆弱性 -「セキュリティ脆弱性」とは、ハードウェア、ソフトウェア、プロセ ス、手順の属性であって、セキュリティ管理策を破ることを可能にする、または容易に する可能性のあるものをいう。 |
| (18) TRIBAL.—The term ‘‘tribal’’ has the meaning given the term ‘‘Indian tribe’’ in section 4 of the Indian Self-Determination and Education Assistance Act (25 U.S.C. 450b). | (18) 「部族」とは、インディアン自決及び教育支援法(25 U.S.C. 450b)第 4 項において「インディアン部族」と いう用語に与えられている意味を有する。 |
| SEC. 103. SHARING OF INFORMATION BY THE FEDERAL GOVERNMENT. | SEC. 103. 連邦政府による情報の共有 |
| (a) IN GENERAL.—Consistent with the protection of classified information, intelligence sources and methods, and privacy and civil liberties, the Director of National Intelligence, the Secretary of Homeland Security, the Secretary of Defense, and the Attorney General, in consultation with the heads of the appropriate Federal entities, shall jointly develop and issue procedures to facilitate and promote— | (国家情報長官、国土安全保障長官、国防長官、および司法長官は、適切な連邦事業体の長と協議の上、機密情報、情報源および情報手法、ならびにプライバシーおよび市民の自由の保護と整合性を保ちつつ、以下を促進するための手順を共同で策定し、発行するものとする。 |
| (1) the timely sharing of classified cyber threat indicators and defensive measures in the possession of the Federal Government with representatives of relevant Federal entities and non-Federal entities that have appropriate security clearances; | (1) 連邦政府が保有する機密サイバー脅威指標および防御策を、関連する連邦事業体および適切なセキュリティ・クリアランスを有する連邦以外の事業体の代表者と適時に共有すること; |
| (2) the timely sharing with relevant Federal entities and non-Federal entities of cyber threat indicators, defensive measures, and information relating to cybersecurity threats or authorized uses under this title, in the possession of the Federal Government that may be declassified and shared at an unclassified level; | (2) 連邦政府が保有するサイバー脅威指標、防御策、サイバーセキュリティ脅威または本タイトルに基づく認可された使用に関連する情報のうち、機密解除され非機密レベルで共有される可能性のあるものを、関連する連邦事業体および非連邦事業体と適時に共有すること; |
| (3) the timely sharing with relevant Federal entities and non-Federal entities, or the public if appropriate, of unclassified, including controlled unclassified, cyber threat indicators and defensive measures in the possession of the Federal Government; | (3) 関連する連邦事業体および非連邦事業体、または適切な場合には一般市民と、連邦政府が保有する、管理された非分類を含む非分類レベルのサイバー脅威指標および防御策を適時に共有すること; |
| (4) the timely sharing with Federal entities and non-Federal entities, if appropriate, of information relating to cybersecurity threats or authorized uses under this title, in the possession of the Federal Government about cybersecurity threats to such entities to prevent or mitigate adverse effects from such cybersecurity threats; and | (4) 連邦政府が保有するサイバーセキュリティの脅威または本タイトルに基づく認可された使用に関 連する情報を、連邦事業体および連邦政府以外の事業体(適切な場合)と適時に共有し、当該事 業体に対するサイバーセキュリティの脅威による悪影響を防止または低減すること。 |
| (5) the periodic sharing, through publication and targeted outreach, of cybersecurity best practices that are developed based on ongoing analyses of cyber threat indicators, defensive measures, and information relating to cybersecurity threats or authorized uses under this title, in the possession of the Federal Government, with attention to accessibility and implementation challenges faced by small business concerns (as defined in section 3 of the Small Business Act (15 U.S.C. 632)). | (5) 連邦政府が保有するサイバー脅威指標、防御策、サイバーセキュリティ脅威または本タイトルに基 づく認可された使用に関連する情報の継続的な分析に基づいて開発されたサイバーセキュリティ のベストプラクティスを、公表および対象を絞ったアウトリーチを通じて、中小企業関係者 (中小企業法第 3 項(15 U.S.C. 632)に定義されている)が直面するアクセス可能性および実施上の 課題に留意しつつ、定期的に共有すること。 |
| (b) DEVELOPMENT OF PROCEDURES.— | (b) 手続きの開発-。 |
| (1) IN GENERAL.—The procedures developed under subsection (a) shall— | (1) 一般的には、第(a)項に基づき策定される手続きは、以下のものでなければならない。 |
| (A) ensure the Federal Government has and maintains the capability to share cyber threat indicators and defensive measures in real time consistent with the protection of classified information; | (A)連邦政府が、機密情報の保護と整合性を保ちながら、サイバー脅威指標と防御策をリアルタイムで共有する能力を有し、維持することを確保する; |
| (B) incorporate, to the greatest extent practicable, existing processes and existing roles and responsibilities of Federal entities and non-Federal entities for information sharing by the Federal Government, including sector specific information sharing and analysis centers; | (B)部門別の情報共有・分析センターを含め、連邦政府による情報共有のための連邦事業体および非連邦事業体の既存のプロセスおよび既存の役割と責任を、可能な限り取り入れる; |
| (C) include procedures for notifying, in a timely manner, Federal entities and nonFederal entities that have received a cyber threat indicator or defensive measure from a Federal entity under this title that is known or determined to be in error or in contravention of the requirements of this title or another provision of Federal law or policy of such error or contravention; | (C) 本タイトルに基づき連邦事業体からサイバー脅威指標または防御策を受け取った連邦事業体および 非連邦事業体であって、本タイトルの要件または連邦法もしくは政策の別の規定に誤りまたは反し ていることが判明している、または違反していると判断されたものに対し、かかる誤りまたは反し ていることを適時に通知する手順を含む; |
| (D) include requirements for Federal entities sharing cyber threat indicators or defensive measures to implement and utilize security controls to protect against unauthorized access to or acquisition of such cyber threat indicators or defensive measures; | (D)サイバー脅威指標または防御策を共有する連邦事業体に対し、当該サイバー脅威指標または防御策への不正アクセスまたは不正取得から保護するためのセキュリティ管理を実施し、利用するための要件を含む; |
| (E) include procedures that require a Federal entity, prior to the sharing of a cyber threat indicator— | (E) 連邦事業体がサイバー脅威指標を共有する前に、以下を要求する手順を含む。 |
| (i) to review such cyber threat indicator to assess whether such cyber threat indicator contains any information not directly related to a cybersecurity threat that such Federal entity knows at the time of sharing to be personal information of a specific individual or information that identifies a specific individual and remove such information; or | (i)当該サイバー脅威指標が、サイバーセキュリティ脅威に直接関係しない情報であって、特定の個人の個人情報または特定の個人を特定できる情報であることを当該事業体が共有の時点で知っているものを含むかどうかを評価するために、当該サイバー脅威指標をレビューし、当該情報を削除すること。 |
| (ii) to implement and utilize a technical capability configured to remove any information not directly related to a cybersecurity threat that the Federal entity knows at the time of sharing to be personal information of a specific individual or information that identifies a specific individual; and | (ii)共有の時点で連邦事業体が特定の個人の個人情報または特定の個人を特定できる情報であることを知っている、サイバーセキュリティの脅威に直接関係しない情報を削除するように構成された技術的能力を実装し、利用すること。 |
| (F) include procedures for notifying, in a timely manner, any United States person whose personal information is known or determined to have been shared by a Federal entity in violation of this title. | (F)連邦事業体が本号に違反して個人情報を共有したことが判明した、または判明したと判断された米国人に対し、適時に通知する手続きを含む。 |
| (2) CONSULTATION.—In developing the procedures required under this section, the Director of National Intelligence, the Secretary of Homeland Security, the Secretary of Defense, and the Attorney General shall consult with appropriate Federal entities, including the Small Business Administration and the National Laboratories (as defined in section 2 of the Energy Policy Act of 2005 (42 U.S.C. 15801)), to ensure that effective protocols are implemented that will facilitate and promote the sharing of cyber threat indicators by the Federal Government in a timely manner. | (2)協議-本条に基づき要求される手続きを策定するにあたり、国家情報長官、国土安全保障長官、国防長官、および司法長官は、連邦政府によるサイバー脅威指標の共有を適時に促進する効果的なプロトコルが実施されるよう、中小企業庁および国立研究所(2005年エネルギー政策法(42 U.S.C. 15801)第2条に定義)を含む適切な連邦事業体と協議するものとする。 |
| (c) SUBMITTAL TO CONGRESS.—Not later than 60 days after the date of the enactment of this Act, the Director of National Intelligence, in consultation with the heads of the appropriate Federal entities, shall submit to Congress the procedures required by subsection (a). | (c)議会への提出:本法案の成立日から 60 日以内に、国家情報長官は、適切な連邦事業体 の長と協議の上、第(a)項が要求する手続きを議会に提出するものとする。 |
| SEC. 104. AUTHORIZATIONS FOR PREVENTING, DETECTING, ANALYZING, AND MITIGATING CYBERSECURITY THREATS. | SEC. 104. サイバーセキュリティの脅威を防止、検知、分析、軽減するための認可。 |
| (a) AUTHORIZATION FOR MONITORING.— | (a) 監視の認可。 |
| (1) IN GENERAL.—Notwithstanding any other provision of law, a private entity may, for cybersecurity purposes, monitor— | (1) 一般規定 - 法律の他の規定にかかわらず、民間事業体は、サイバーセキュリティの目的で、以下を監視することができる。 |
| (A) an information system of such private entity; | (A) 当該事業体の情報システム; |
| (B) an information system of another non-Federal entity, upon the authorization and written consent of such other entity; | (B) 連邦政府以外の他の事業体の情報システムであって、当該事業体の認可および書面による同意があるもの; |
| (C) an information system of a Federal entity, upon the authorization and written consent of an authorized representative of the Federal entity; and | (C) 連邦事業体の代表者の認可と書面による同意がある場合、連邦事業体の情報システム。 |
| (D) information that is stored on, processed by, or transiting an information system monitored by the private entity under this paragraph. | (D)本項に基づき民間事業体が監視する情報システムに保存、処理、または通過する情報。 |
| (2) CONSTRUCTION.—Nothing in this subsection shall be construed— | (2) 構成:本款のいかなる規定も、次のように解釈してはならない。 |
| (A) to authorize the monitoring of an information system, or the use of any information obtained through such monitoring, other than as provided in this title; or | (A)情報システムの監視、またはかかる監視を通じて得られた情報の利用を、本タイトルに規定されている場合を除き、認可する。 |
| (B) to limit otherwise lawful activity. | (B) その他合法的な活動を制限する。 |
| (b) AUTHORIZATION FOR OPERATION OF DEFENSIVE MEASURES.— | (b)防御策の運用認可。 |
| (1) IN GENERAL.—Notwithstanding any other provision of law, a private entity may, for cybersecurity purposes, operate a defensive measure that is applied to— | (1) 一般規定-法律の他の規定にかかわらず、民間事業体は、サイバーセキュリティの目的のために、以下に適用される防御策を運用することができる。 |
| (A) an information system of such private entity in order to protect the rights or property of the private entity; | (A) 当該事業体の権利または財産を保護するために、当該事業体の情報システムに適用される防御手段を運用する; |
| (B) an information system of another non-Federal entity upon written consent of such entity for operation of such defensive measure to protect the rights or property of such entity; and | (B) 他の非連邦事業体の情報システムであって、当該事業体の権利または財産を保護するための防御策の運用について、当該事業体の書面による同意があるもの。 |
| (C) an information system of a Federal entity upon written consent of an authorized representative of such Federal entity for operation of such defensive measure to protect the rights or property of the Federal Government. | (C) 連邦事業体の情報システムであって、連邦政府の権利または財産を保護するための防御策の運用について、当該連邦事業体の認可代表者の書面による同意があるもの。 |
| (2) CONSTRUCTION.—Nothing in this subsection shall be construed— | (2) 構成:本款のいかなる規定も、次のように解釈してはならない。 |
| (A) to authorize the use of a defensive measure other than as provided in this subsection; or | (A) 本款に規定されている以外の防御策の使用を認可するものであってはならない。 |
| (B) to limit otherwise lawful activity. | (B) その他合法的な活動を制限する。 |
| (c) AUTHORIZATION FOR SHARING OR RECEIVING CYBER THREAT INDICATORS OR DEFENSIVE MEASURES.— | (c) サイバー脅威指標または防御策の共有または受領の認可。 |
| (1) IN GENERAL.—Except as provided in paragraph (2) and notwithstanding any other provision of law, a non-Federal entity may, for a cybersecurity purpose and consistent with the protection of classified information, share with, or receive from, any other non-Federal entity or the Federal Government a cyber threat indicator or defensive measure. | (1) 一般に-(2)に規定される場合を除き、また法律の他の規定にかかわらず、連邦政府以外の事業体は、サイバーセキュリティの目的のために、機密情報の保護と矛盾しない範囲で、他の連邦政府以外の事業体または連邦政府とサイバー脅威指標または防御策を共有し、またはそれらから受け取ることができる。 |
| (2) LAWFUL RESTRICTION.—A non-Federal entity receiving a cyber threat indicator or defensive measure from another non-Federal entity or a Federal entity shall comply with otherwise lawful restrictions placed on the sharing or use of such cyber threat indicator or defensive measure by the sharing non-Federal entity or Federal entity. | (2) 合法的制限:連邦政府以外の事業体は、他の連邦政府以外の事業体または連邦事業体から、サイバー脅威指標または防御策を受領する場合、共有する連邦政府以外の事業体または連邦事業体によって、当該サイバー脅威指標または防御策の共有または使用に課されるその他の合法的制限に従わなければならない。 |
| (3) CONSTRUCTION.—Nothing in this subsection shall be construed— | (3) 構成:本款のいかなる規定も、次のように解釈してはならない。 |
| (A) to authorize the sharing or receiving of a cyber threat indicator or defensive measure other than as provided in this subsection; or | (A) 本款に規定されている以外のサイバー脅威指標または防御策の共有または受領を認可すること。 |
| (B) to limit otherwise lawful activity. | (B) その他合法的な活動を制限する。 |
| (d) PROTECTION AND USE OF INFORMATION.— | (d)情報の防御と利用-。 |
| (1) SECURITY OF INFORMATION.—A non-Federal entity monitoring an information system, operating a defensive measure, or providing or receiving a cyber threat indicator or defensive measure under this section shall implement and utilize a security control to protect against unauthorized access to or acquisition of such cyber threat indicator or defensive measure. | (1) 情報の防御:連邦政府以外の事業体は、情報システムを監視し、防御策を運用し、または本条に基づきサイバー脅威指標もしくは防御策を提供もしくは受領する場合、当該サイバー脅威指標もしくは防御策への不正アクセスまたは当該サイバー脅威指標もしくは防御策の取得を防御するためのセキュリティ管理を実施し、利用するものとする。 |
| (2) REMOVAL OF CERTAIN PERSONAL INFORMATION.—A nonFederal entity sharing a cyber threat indicator pursuant to this title shall, prior to such sharing— | (2)特定の個人情報の削除-連邦政府以外の事業体は、本タイトルに従ってサイバー脅威指標を共有する場合、当該共有に先立ち、以下を行わなければならない。 |
| (A) review such cyber threat indicator to assess whether such cyber threat indicator contains any information not directly related to a cybersecurity threat that the non-Federal entity knows at the time of sharing to be personal information of a specific individual or information that identifies a specific individual and remove such information; or | (A) 当該サイバー脅威指標が、サイバーセキュリティ脅威に直接関係しない情報であって、特定の個人の個人情報または特定の個人を特定できる情報であることを当該事業体が共有の時点で知っているものを含んでいないかどうかを評価するために、当該サイバー脅威指標をレビューし、当該情報を削除すること。 |
| (B) implement and utilize a technical capability configured to remove any information not directly related to a cybersecurity threat that the non-Federal entity knows at the time of sharing to be personal information of a specific individual or information that identifies a specific individual. | (B) 共有時に非連邦事業体が特定の個人の個人情報または特定の個人を特定できる情報であることを知っている、サイバーセキュリティの脅威に直接関係しない情報を削除するように構成された技術的能力を実装し、利用する。 |
| (3) USE OF CYBER THREAT INDICATORS AND DEFENSIVE MEASURES BY NON-FEDERAL ENTITIES.— | (3) 非連邦事業体によるサイバー脅威指標および防御策の使用-。 |
| (A) IN GENERAL.—Consistent with this title, a cyber threat indicator or defensive measure shared or received under this section may, for cybersecurity purposes— | (A)一般に、サイバー脅威指標または防御策は、サイバーセキュリティの目的のために、本条項に基づいて共有または受領することができる。 |
| (i) be used by a non-Federal entity to monitor or operate a defensive measure that is applied to— | (i) 連邦政府以外の事業体が、以下に適用される防御策を監視または運用するために使用する。 |
| (I) an information system of the non-Federal entity; or | (I) 非連邦事業体の情報システム。 |
| (II) an information system of another nonFederal entity or a Federal entity upon the written consent of that other non-Federal entity or that Federal entity; and | (II) 他の非連邦事業体または連邦事業体の書面による同意に基づき、他の非連邦事業体または連邦事業体の情報システム。 |
| (ii) be otherwise used, retained, and further shared by a non-Federal entity subject to— | (ii)連邦機関以外の事業体により、以下の条件に従って使用、保持、さらに共有される。 |
| (I) an otherwise lawful restriction placed by the sharing nonFederal entity or Federal entity on such cyber threat indicator or defensive measure; or | (I) 共有する非連邦事業体または連邦事業体によって、当該サイバー脅威指標または防御策に付された他の合法的な制限。 |
| (II) an otherwise applicable provision of law. | (II) その他適用法の規定。 |
| (B) CONSTRUCTION.—Nothing in this paragraph shall be construed to authorize the use of a cyber threat indicator or defensive measure other than as provided in this section. | (B)構成-本項のいかなる規定も、本項に規定された以外のサイバー脅威指標または防御策の使用を認可するものと解釈してはならない。 |
| (4) USE OF CYBER THREAT INDICATORS BY STATE, TRIBAL, OR LOCAL GOVERNMENT.— | (4) 州、部族、または地方政府によるサイバー脅威指標の使用。 |
| (A) LAW ENFORCEMENT USE.—A State, tribal, or local government that receives a cyber threat indicator or defensive measure under this title may use such cyber threat indicator or defensive measure for the purposes described in section 105(d)(5)(A). | (A)法執行機関の使用-本タイトルに基づきサイバー脅威指標または防御策を受領した州、部族、または地方政府は、当該サイバー脅威指標または防御策を第105条(d)(5)(A)に記載された目的のために使用することができる。 |
| (B) EXEMPTION FROM DISCLOSURE.—A cyber threat indicator or defensive measure shared by or with a State, tribal, or local government, including a component of a State, tribal, or local government that is a private entity, under this section shall be— | (B) 開示の免除-本条に基づき、国、部族、または地方政府(民間事業体である国、部族、または地方政府の構成要素を含む)により、または国、部族、または地方政府との間で共有されるサイバー脅威指標または防御策は、以下のとおりとする。 |
| (i) deemed voluntarily shared information; and | (i) 自発的に共有された情報とみなされる。 |
| (ii) exempt from disclosure under any provision of State, tribal, or local freedom of information law, open government law, open meetings law, open records law, sunshine law, or similar law requiring disclosure of information or records. | (ii) 州、部族、または地方公共団体の情報公開法、公開ガバナンス法、公開会議法、公開記録法、日照法、または情報もしくは記録の公開を要求する同様の法律のいかなる規定においても、開示が免除される。 |
| (C) STATE, TRIBAL, AND LOCAL REGULATORY AUTHORITY.— | (c) 州、部族、および地方の認可。 |
| (i) IN GENERAL.—Except as provided in clause (ii), a cyber threat indicator or defensive measure shared with a State, tribal, or local government under this title shall not be used by any State, tribal, or local government to regulate, including an enforcement action, the lawful activity of any non-Federal entity or any activity taken by a non-Federal entity pursuant to mandatory standards, including an activity relating to monitoring, operating a defensive measure, or sharing of a cyber threat indicator. | (i) 一般に、(ii)項に規定される場合を除き、本タイトルに基づき州、部族、または地方政府と共有されるサイバー脅威指標または防御策は、いかなる州、部族、または地方政府も、連邦政府以外の事業体の合法的な活動、または強制的な基準に従って連邦政府以外の事業体が行う活動(監視、防御策の運用、またはサイバー脅威指標の共有に関する活動を含む)を、強制措置を含め規制するために使用してはならない。 |
| (ii) REGULATORY AUTHORITY SPECIFICALLY RELATING TO PREVENTION OR MITIGATION OF CYBERSECURITY THREATS.—A cyber threat indicator or defensive measure shared as described in clause (i) may, consistent with a State, tribal, or local government regulatory authority specifically relating to the prevention or mitigation of cybersecurity threats to information systems, inform the development or implementation of a regulation relating to such information systems. | (ii) サイバーセキュリティ脅威の予防または軽減に特に関連する規制当局 - (i)項に記載されているように共有されたサイバー脅威指標または防御策は、情報システムに対するサイバーセキュリティ脅威の予防または軽減に特に関連する州、部族、または地方政府の規制当局と一致して、当該情報システムに関連する規制の策定または実施に情報を提供することができる。 |
| (e) ANTITRUST EXEMPTION.— | (e) 反トラスト適用除外。 |
| (1) IN GENERAL.—Except as provided in section 108(e), it shall not be considered a violation of any provision of antitrust laws for 2 or more private entities to exchange or provide a cyber threat indicator or defensive measure, or assistance relating to the prevention, investigation, or mitigation of a cybersecurity threat, for cybersecurity purposes under this title. | (1) 一般規定 - 第108条(e)に規定されている場合を除き、本タイトルに基づくサイバーセキュリティの目的のために、2つ以上の民間事業体がサイバー脅威の指標もしくは防御手段、またはサイバーセキュリティの脅威の防止、調査もしくは低減に関する支援を交換または提供することは、独占禁止法のいかなる規定にも違反するとはみなされない。 |
| (2) APPLICABILITY.—Paragraph (1) shall apply only to information that is exchanged or assistance provided in order to assist with— | (2) 適用 - (1)項は、以下を支援するために交換される情報または提供される支援にのみ適用される。 |
| (A) facilitating the prevention, investigation, or mitigation of a cybersecurity threat to an information system or information that is stored on, processed by, or transiting an information system; or | (A) 情報システムに対するサイバーセキュリティ上の脅威、または情報システムに保存され、 情報システムによって処理され、または情報システムを通過する情報に対するサイバーセ キュリティ上の脅威の予防、調査、または低減を促進すること。 |
| (B) communicating or disclosing a cyber threat indicator to help prevent, investigate, or mitigate the effect of a cybersecurity threat to an information system or information that is stored on, processed by, or transiting an information system. | (B) 情報システムまたは情報システム上に格納され、情報システムによって処理され、または情報システムを通過する情報に対するサイバーセキュリティ脅威の防止、調査、または影響の軽減を支援するために、サイバー脅威指標をコミュニケーションまたは開示すること。 |
| (f) NO RIGHT OR BENEFIT.—The sharing of a cyber threat indicator or defensive measure with a nonFederal entity under this title shall not create a right or benefit to similar information by such nonFederal entity or any other non-Federal entity. | (f)権利または利益なし-本タイトルに基づき、サイバー脅威指標または防御策を連邦政府以外の事業体と共有することは、当該連邦政府以外の事業体または他の連邦政府以外の事業体による同様の情報に対する権利または利益を生じさせないものとする。 |
| SEC. 105. SHARING OF CYBER THREAT INDICATORS AND DEFENSIVE MEASURES WITH THE FEDERAL GOVERNMENT. | SEC. 105. 連邦政府とのサイバー脅威指標および防御策の共有。 |
| (a) REQUIREMENT FOR POLICIES AND PROCEDURES.— | (a)方針および手順の要件 |
| (1) INTERIM POLICIES AND PROCEDURES.—Not later than 60 days after the date of the enactment of this Act, the Attorney General and the Secretary of Homeland Security shall, in consultation with the heads of the appropriate Federal entities, jointly develop and submit to Congress interim policies and procedures relating to the receipt of cyber threat indicators and defensive measures by the Federal Government. | (1) 暫定的な方針および手続き:本法案の成立日から 60 日以内に、司法長官および国土安全保障省 長官は、適切な連邦事業体の長と協議の上、連邦政府によるサイバー脅威指標および防御策の受領に関 する暫定的な方針および手続きを共同で策定し、議会に提出するものとする。 |
| (2) FINAL POLICIES AND PROCEDURES.—Not later than 180 days after the date of the enactment of this Act, the Attorney General and the Secretary of Homeland Security shall, in consultation with the heads of the appropriate Federal entities, jointly issue and make publicly available final policies and procedures relating to the receipt of cyber threat indicators and defensive measures by the Federal Government. | (2) 最終的な方針および手続き:本法案の成立日から180日以内に、司法長官および国土安全保障長官は、適切な連邦事業体の長と協議の上、連邦政府によるサイバー脅威指標および防御策の受領に関する最終的な方針および手続きを共同で発表し、一般に公開するものとする。 |
| (3) REQUIREMENTS CONCERNING POLICIES AND PROCE- DURES.—Consistent with the guidelines required by subsection (b), the policies and procedures developed or issued under this subsection shall— | (3)方針および手続きに関する要求事項-第(b)項によって要求されるガイドラインと矛盾しないように、本項に基づいて策定または発行される方針および手続きは、以下のものでなければならない。 |
| (A) ensure that cyber threat indicators shared with the Federal Government by any nonFederal entity pursuant to section 104(c) through the real-time process described in subsection (c) of this section— | (A) 第104条(c)に従い、連邦政府以外の事業体が、本節第(c)項に記載されるリアルタ イム・プロセスを通じて連邦政府と共有するサイバー脅威指標を、以下のとおり確保する。 |
| (i) are shared in an automated manner with all of the appropriate Federal entities; | (i) 適切な連邦事業体すべてと自動化された方法で共有される; |
| (ii) are only subject to a delay, modification, or other action due to controls established for such realtime process that could impede real-time receipt by all of the appropriate Federal entities when the delay, modification, or other action is due to controls— | (ii) 当該リアルタイム・プロセスのために確立された管理により、遅延、修正、またはその他の措置が、以下の管理によるものである場合にのみ、適切な連邦事業体すべてによるリアルタイムの受領を妨げる可能性がある。 |
| (I) agreed upon unanimously by all of the heads of the appropriate Federal entities; | (I) 適切な連邦事業体の長全員の全会一致で合意した; |
| (II) carried out before any of the appropriate Federal entities retains or uses the cyber threat indicators or defensive measures; and | (II) 適切な連邦事業体のいずれかがサイバー脅威指標または防御策を保持または使用する前に実施される。 |
| (III) uniformly applied such that each of the appropriate Federal entities is subject to the same delay, modification, or other action; and | (III) 適切な連邦事業体の各々が同じ遅延、修正、またはその他の措置の対象となるように、一律に適用される。 |
| (iii) may be provided to other Federal entities; | (iii)他の連邦事業体にも提供することができる; |
| (B) ensure that cyber threat indicators shared with the Federal Government by any nonFederal entity pursuant to section 104 in a manner other than the real-time process described in subsection (c) of this section— | (B) 本項第(c)節に記載されるリアルタイム・プロセス以外の方法で、連邦政府以外の事業体が第 104 条に従って連邦政府と共有するサイバー脅威指標を確保する。 |
| (i) are shared as quickly as operationally practicable with all of the appropriate Federal entities; | (i) 適切な連邦事業体のすべてと、運用上可能な限り迅速に共有される; |
| (ii) are not subject to any unnecessary delay, interference, or any other action that could impede receipt by all of the appropriate Federal entities; and | (ii) すべての適切な連邦事業体による受領を妨げる可能性のある不必要な遅延、妨害、またはその他の措置の対象とならない。 |
| (iii) may be provided to other Federal entities; and | (iii) 他の連邦事業体にプロバイダされる可能性がある。 |
| (C) ensure there are— | (C) 以下を確保すること。 |
| (i) audit capabilities; and | (i) 監査機能があること。 |
| (ii) appropriate sanctions in place for officers, employees, or agents of a Federal entity who knowingly and willfully conduct activities under this title in an unauthorized manner. | (ii)故意に不正な方法で本タイトルに基づく活動を行う連邦事業体の役員、職員、または代理人に対する適切な制裁があることを確認する。 |
| (4) GUIDELINES FOR ENTITIES SHARING CYBER THREAT INDICATORS WITH FEDERAL GOVERNMENT.— | (4) 連邦政府とサイバー脅威指標を共有する事業体に関するガバナンス。 |
| (A) IN GENERAL.—Not later than 60 days after the date of the enactment of this Act, the Attorney General and the Secretary of Homeland Security shall jointly develop and make publicly available guidance to assist entities and promote sharing of cyber threat indicators with Federal entities under this title. | (A)全般:本法案の成立日から60日以内に、司法長官および国土安全保障長官は、共同で、事業体を支援し、本タイトルに基づく連邦事業体とのサイバー脅威指標の共有を促進するための指針を作成し、一般に公開するものとする。 |
| (B) CONTENTS.—The guidelines developed and made publicly available under subparagraph (A) shall include guidance on the following: | (B)内容-(A)号に基づいて作成され、一般に公開される指針は、以下の指針を含むものとする: |
| (i) Identification of types of information that would qualify as a cyber threat indicator under this title that would be unlikely to include information that— | (i)本タイトルに基づくサイバー脅威指標として適格となる情報の種類の特定であって、以下の情報を含む可能性が低いもの。 |
| (I) is not directly related to a cybersecurity threat; and | (I) サイバーセキュリティの脅威に直接関係しない。 |
| (II) is personal information of a specific individual or information that identifies a specific individual. | (II) 特定の個人の個人情報または特定の個人を識別できる情報である。 |
| (ii) Identification of types of information protected under otherwise applicable privacy laws that are unlikely to be directly related to a cybersecurity threat. | (ii) その他適用されるプライバシー法の下で保護される情報のうち、サイバーセキュリティの 脅威に直接関係する可能性が低いものの特定。 |
| (iii) Such other matters as the Attorney General and the Secretary of Homeland Security consider appropriate for entities sharing cyber threat indicators with Federal entities under this title. | (iii) 司法長官および国土安全保障長官が、本タイトルに基づきサイバー脅威指標を連邦機関と共有する事業体にとって適切であると考えるその他の事項。 |
| (b) PRIVACY AND CIVIL LIBERTIES.— | (b)プライバシーおよび市民的自由 - (1) 暫定ガイドライン |
| (1) INTERIM GUIDELINES.—Not later than 60 days after the date of the enactment of this Act, the Attorney General and the Secretary of Homeland Security shall, in consultation with heads of the appropriate Federal entities and in consultation with officers designated under section 1062 of the National Security Intelligence Reform Act of 2004 (42 U.S.C. 2000ee– 1), jointly develop, submit to Congress, and make available to the public interim guidelines relating to privacy and civil liberties which shall govern the receipt, retention, use, and dissemination of cyber threat indicators by a Federal entity obtained in connection with activities authorized in this title. | (1) 暫定ガイドライン:本法律の制定日から60日以内に、司法長官および国土安全保障長官は、適切な連邦事業体の長と協議し、2004年国家安全保障情報改革法(42 U. S. C. 2000ee-1)第1062条に基づき指定された担当官と協議するものとする。 (42U.S.C.2000ee-1)に基づき指定された担当官と協議の上、プライバシーと市民的自由に関する暫定ガイドラインを共同で作成し、議会に提出し、一般に公開する。 |
| (2) FINAL GUIDELINES.— | (2) 最終ガイドライン |
| (A) IN GENERAL.—Not later than 180 days after the date of the enactment of this Act, the Attorney General and the Secretary of Homeland Security shall, in coordination with heads of the appropriate Federal entities and in consultation with officers designated under section 1062 of the National Security Intelligence Reform Act of 2004 (42 U.S.C. 2000ee–1) and such private entities with industry expertise as the Attorney General and the Secretary consider relevant, jointly issue and make publicly available final guidelines relating to privacy and civil liberties which shall govern the receipt, retention, use, and dissemination of cyber threat indicators by a Federal entity obtained in connection with activities authorized in this title. | (A) 一般に、司法長官および国土安全保障長官は、本法律の制定日から180日以内に、適切な連邦事業体の長と連携し、2004年国家安全保障情報改革法(42 U.S.C. 2000ee-1)第1062条に基づき指定された役員およびそのような民間事業体と協議の上、サイバー脅威指標を作成するものとする。2000ee-1) の下で指定された役員、および司法長官と同長官が関連性があると考える業界の専門知識を有する民間団体と協議の上、本タイトルで認可された活動に関連して取得された連邦事業体によるサイバー脅威指標の受領、保持、使用、および普及を規定するプライバシーおよび市民的自由に関する最終ガイドラインを共同で発行し、一般に公開するものとする。 |
| (B) PERIODIC REVIEW.—The Attorney General and the Secretary of Homeland Security shall, in coordination with heads of the appropriate Federal entities and in consultation with officers and private entities described in subparagraph (A), periodically, but not less frequently than once every 2 years, jointly review the guidelines issued under subparagraph (A). | (司法長官および国土安全保障長官は、適切な連邦事業体の長と連携し、(A)号に記載された役員および民間団体と協議の上、定期的に、ただし2年に1回以上の頻度で、(A)号に基づいて発行されたガイドラインを共同で見直すものとする。) |
| (3) CONTENT.—The guidelines required by paragraphs (1) and (2) shall, consistent with the need to protect information systems from cybersecurity threats and mitigate cybersecurity threats— | (3) 内容:(1)項および(2)項によって要求されるガイドラインは、サイバーセキュリティの脅威から情報システムを保護し、サイバーセキュリティの脅威を軽減する必要性と矛盾しないものでなければならない。 |
| (A) limit the effect on privacy and civil liberties of activities by the Federal Government under this title; | (A) 本タイトルに基づく連邦政府による活動がプライバシーおよび市民の自由に及ぼす影響を制限する; |
| (B) limit the receipt, retention, use, and dissemination of cyber threat indicators containing personal information of specific individuals or information that identifies specific individuals, including by establishing— | (B) 特定の個人の個人情報または特定の個人を特定できる情報を含むサイバー脅威指標の受領、保持、使用、および普及を制限する。 |
| (i) a process for the timely destruction of such information that is known not to be directly related to uses authorized under this title; and | (i) 本タイトルに基づき認可された用途に直接関係しないことが判明している当該情報を適時に破棄するためのプロセス。 |
| (ii) specific limitations on the length of any period in which a cyber threat indicator may be retained; | (ii)サイバー脅威指標を保持する期間の具体的な制限; |
| (C) include requirements to safeguard cyber threat indicators containing personal information of specific individuals or information that identifies specific individuals from unauthorized access or acquisition, including appropriate sanctions for activities by officers, employees, or agents of the Federal Government in contravention of such guidelines; | (C)特定の個人の個人情報または特定の個人を特定できる情報を含むサイバー脅威指標を不正アクセスまたは不正取得から保護するための要件を含み、かかるガイドラインに反する連邦政府の役員、職員または代理人の活動に対する適切な制裁を含む; |
| (D) consistent with this title, any other applicable provisions of law, and the fair information practice principles set forth in appendix A of the document entitled ‘‘National Strategy for Trusted Identities in Cyberspace’’ and published by the President in April 2011, govern the retention, use, and dissemination by the Federal Government of cyber threat indicators shared with the Federal Government under this title, including the extent, if any, to which such cyber threat indicators may be used by the Federal Government; | (D) 本タイトル、その他の適用法、および「サイバー空間における信頼される ID のための国家戦略」と題され、2011 年 4 月に大統領によって公表された文書の附属書 A に規定された公正な情報慣行の原則に基づき、本タイトルに基づき連邦政府と共有されるサイバー脅威指標の連邦政府による保持、使用、および普及について規定する; |
| (E) include procedures for notifying entities and Federal entities if information received pursuant to this section is known or determined by a Federal entity receiving such information not to constitute a cyber threat indicator; | (E) 本項に基づき受領した情報がサイバー脅威指標に該当しないことが判明した場合、または当該情報を受領した連邦機関がサイバー脅威指標に該当しないと判断した場合、事業体および連邦機関に通知する手続きを含む; |
| (F) protect the confidentiality of cyber threat indicators containing personal information of specific individuals or information that identifies specific individuals to the greatest extent practicable and require recipients to be informed that such indicators may only be used for purposes authorized under this title; and | (F)特定の個人の個人情報または特定の個人を特定できる情報を含むサイバー脅威指標の機密性を、実行可能な最大限の範囲で保護し、当該指標が本号の認可を受けた目的にのみ使用できることを取得者に通知することを義務付ける。 |
| (G) include steps that may be needed so that dissemination of cyber threat indicators is consistent with the protection of classified and other sensitive national security information. (c) CAPABILITY AND PROCESS WITHIN THE DEPARTMENT OF HOMELAND SECURITY.— | (G)サイバー脅威指標の普及が、機密およびその他の国家安全保障上の機密情報の保護と矛盾しないようにするために必要と思われる措置を含む。 (c)国土安全保障省内の能力およびプロセス。 |
| (1) IN GENERAL.—Not later than 90 days after the date of the enactment of this Act, the Secretary of Homeland Security, in coordination with the heads of the appropriate Federal entities, shall develop and implement a capability and process within the Department of Homeland Security that— | (1) 一般に、国土安全保障省長官は、本法案の成立日から 90 日以内に、適切な連邦事業体 の長と協力し、国土安全保障省内で以下のような能力およびプロセスを開発し、実施する。 |
| (A) shall accept from any non-Federal entity in real time cyber threat indicators and defensive measures, pursuant to this section; | (A) 連邦政府以外の事業体から、本項に基づき、サイバー脅威指標および防御策をリアルタイムで受け入れる; |
| (B) shall, upon submittal of the certification under paragraph (2) that such capability and process fully and effectively operates as described in such paragraph, be the process by which the Federal Government receives cyber threat indicators and defensive measures under this title that are shared by a non-Federal entity with the Federal Government through electronic mail or media, an interactive form on an Internet website, or a real time, automated process between information systems except— | (B) (2)項に基づき、当該能力およびプロセスが完全かつ効果的に運用されている旨の証明書が提出された場合、連邦政府は、電子メールもしくはメディア、インターネットウェブサイト上の対話形式、または情報システム間のリアルタイム自動化されたプロセスを通じて、連邦政府以外の事業体が連邦政府と共有するサイバー脅威指標および防御策を、以下の場合を除き、本タイトルに基づき受領するプロセスとする。 |
| (i) consistent with section 104, communications between a Federal entity and a non-Federal entity regarding a previously shared cyber threat indicator to describe the relevant cybersecurity threat or develop a defensive measure based on such cyber threat indicator; and | (i)第104条と一致する、関連するサイバーセキュリティ脅威を説明するため、または当該サイバー脅威指標に基づく防御策を開発するために、以前に共有されたサイバー脅威指標に関する連邦事業体と非連邦事業体とのコミュニケーション。 |
| (ii) communications by a regulated non-Federal entity with such entity’s Federal regulatory authority regarding a cybersecurity threat; | (ii) 規制される非連邦事業体が、サイバーセキュリティの脅威に関して、当該事業体の連邦規 制当局と行うコミュニケーション; |
| (C) ensures that all of the appropriate Federal entities receive in an automated manner such cyber threat indicators and defensive measures shared through the real-time process within the Department of Homeland Security; | (C) すべての適切な連邦事業体が、国土安全保障省内のリアルタイム・プロセスを通じて共有されるサイバー脅威指標および防御策を、自動化された方法で確実に受信する; |
| (D) is in compliance with the policies, procedures, and guidelines required by this section; and | (D) 本項が要求する方針、手順、ガイドラインを遵守している。 |
| (E) does not limit or prohibit otherwise lawful disclosures of communications, records, or other information, including— | (E)以下のようなコミュニケーション、記録、その他の情報の合法的な開示を制限または禁止しない。 |
| (i) reporting of known or suspected criminal activity, by a non-Federal entity to any other nonFederal entity or a Federal entity, including cyber threat indicators or defensive measures shared with a Federal entity in furtherance of opening a Federal law enforcement investigation; | (i) 非連邦事業体が、他の非連邦事業体または積極的な防衛事業体に対して、既知または 疑わしい犯罪行為を報告すること(連邦法執行機関の捜査を開始するために連邦事業 体と共有するサイバー脅威指標または防御策を含む); |
| (ii) voluntary or legally compelled participation in a Federal investigation; and | (ii) 連邦捜査への自発的または法的な強制参加。 |
| (iii) providing cyber threat indicators or defensive measures as part of a statutory or authorized contractual requirement. | (iii) 法令または認可された契約要件の一部としてサイバー脅威指標または防御策を提供すること。 |
| (2) CERTIFICATION AND DESIGNATION.— | (2) 認証および指定 |
| (A) CERTIFICATION OF CAPABILITY AND PROCESS.—Not later than 90 days after the date of the enactment of this Act, the Secretary of Homeland Security shall, in consultation with the heads of the appropriate Federal entities, submit to Congress a certification as to whether the capability and process required by paragraph (1) fully and effectively operates— | (A)能力およびプロセスの認証-本法律の制定日から 90 日以内に、国土安全保障長官は、適切な連邦事業体の長との協議の上、(1)項が要求する能力およびプロセスが完全かつ効果的に運用されているかどうかについての認証を議会に提出するものとする。 |
| (i) as the process by which the Federal Government receives from any non-Federal entity a cyber threat indicator or defensive measure under this title; and | (i) 連邦政府が、連邦政府以外の事業体から本タイトルに基づくサイバー脅威指標または防御策を受け取るプロセスとして。 |
| (ii) in accordance with the interim policies, procedures, and guidelines developed under this title. | (ii) 本タイトルに基づき策定された暫定的な方針、手順、ガイドラインに従うこと。 |
| (B) DESIGNATION.— | (b) 指定 |
| (i) IN GENERAL.—At any time after certification is submitted under subparagraph (A), the President may designate an appropriate Federal entity, other than the Department of Defense (including the National Security Agency), to develop and implement a capability and process as described in paragraph (1) in addition to the capability and process developed under such paragraph by the Secretary of Homeland Security, if, not fewer than 30 days before making such designation, the President submits to Congress a certification and explanation that— | (i) 一般的には、(A)号に基づく証明書の提出後いつでも、大統領は、国土安全保障省長官が第(1)項に基づき開発した能力およびプロセスに加え、国防総省(国家安全保障局を含む)以外の適切な連邦事業体を、第(1)項に記載の能力およびプロセスを開発し実施するよう指定することができる。 |
| (I) such designation is necessary to ensure that full, effective, and secure operation of a capability and process for the Federal Government to receive from any non-Federal entity cyber threat indicators or defensive measures under this title; | (I) このような指定は、連邦政府が本タイトルに基づくサイバー脅威指標または防御策を連邦以外の事業体から受け取るための能力およびプロセスの完全かつ効果的で安全な運用を確保するために必要である; |
| (II) the designated appropriate Federal entity will receive and share cyber threat indicators and defensive measures in accordance with the policies, procedures, and guidelines developed under this title, including subsection (a)(3)(A); and | (II) 指定された適切な連邦事業体は、第(a)項(3)(A)を含む本タイトルに基づき策定された方針、手順、ガイドラインに従い、サイバー脅威指標および防御策を受領し、共有する。 |
| (III) such designation is consistent with the mission of such appropriate Federal entity and improves the ability of the Federal Government to receive, share, and use cyber threat indicators and defensive measures as authorized under this title. | (III) 当該指定が、当該適切な連邦事業体の任務と一致し、本タイトルに基づき認可されたサイバー脅威指標および防御策を受領、共有、利用する連邦政府の能力を改善するものであること。 |
| (ii) APPLICATION TO ADDITIONAL CAPABILITY AND PROCESS.—If the President designates an appropriate Federal entity to develop and implement a capability and process under clause (i), the provisions of this title that apply to the capability and process required by paragraph (1) shall also be construed to apply to the capability and process developed and implemented under clause (i). | (ii) 追加の能力およびプロセスへの適用 - 大統領が、(i)項に基づく能力およびプロセスを開発し実施する適切な連邦事業体を指定した場合、(1)項が要求する能力およびプロセスに適用される本タイトルの規定は、(i)項に基づき開発され実施される能力およびプロセスにも適用されると解釈されるものとする。 |
| (3) PUBLIC NOTICE AND ACCESS.—The Secretary of Homeland Security shall ensure there is public notice of, and access to, the capability and process developed and implemented under paragraph (1) so that— | (3) 公表とアクセス-国土安全保障長官は、第(1)項に基づき開発され実施される能力およびプロセ スについて、以下のような公示とアクセスを確保しなければならない。 |
| (A) any non-Federal entity may share cyber threat indicators and defensive measures through such process with the Federal Government; and | (A) 連邦政府以外の事業体は、当該プロセスを通じて、サイバー脅威指標および防御策を連邦政府と共有することができる。 |
| (B) all of the appropriate Federal entities receive such cyber threat indicators and defensive measures in real time with receipt through the process within the Department of Homeland Security consistent with the policies and procedures issued under subsection (a). | (B)すべての適切な連邦事業体は、(a)項に基づき発行された方針および手続きに一致する国土安全保障省内のプロセスを通じて、そのようなサイバー脅威指標および防御策をリアルタイムで受信する。 |
| (4) OTHER FEDERAL ENTITIES.—The process developed and implemented under paragraph (1) shall ensure that other Federal entities receive in a timely manner any cyber threat indicators and defensive measures shared with the Federal Government through such process. | (4) 他の連邦事業体-第(1)項に基づいて開発され実施されるプロセスは、他の連邦事業体が、当該プロセスを通じて連邦政府と共有されるサイバー脅威指標および防御策を適時に受け取ることを保証しなければならない。 |
| (d) INFORMATION SHARED WITH OR PROVIDED TO THE FEDERAL GOVERNMENT.— | (d) 連邦政府と共有された情報または連邦政府に提供された情報。 |
| (1) NO WAIVER OF PRIVILEGE OR PROTECTION.—The provision of cyber threat indicators and defensive measures to the Federal Government under this title shall not constitute a waiver of any applicable privilege or protection provided by law, including trade secret protection. | (1)特権または防御の放棄-本タイトルに基づく連邦政府へのサイバー脅威指標および防御策の提供は、企業秘密保護を含め、適用法が定める特権または防御の放棄を意味しない。 |
| (2) PROPRIETARY INFORMATION.—Consistent with section 104(c)(2) and any other applicable provision of law, a cyber threat indicator or defensive measure provided by a non-Federal entity to the Federal Government under this title shall be considered the commercial, financial, and proprietary information of such non-Federal entity when so designated by the originating non-Federal entity or a third party acting in accordance with the written authorization of the originating nonFederal entity. | (2)専有情報。第104条(c)(2)およびその他の適用法の規定に基づき、連邦政府以外の事業体から連邦政府に提供されたサイバー脅威指標または防御策は、発信元である連邦政府以外の事業体または発信元である連邦政府以外の事業体の書面による認可に従って行動するサードパーティによってそのように指定された場合、当該連邦政府以外の事業体の商業的、財務的および専有情報とみなされるものとする。 |
| (3) EXEMPTION FROM DISCLOSURE.—A cyber threat indicator or defensive measure shared with the Federal Government under this title shall be— | (3) 開示の免除-本タイトルに基づき連邦政府と共有されるサイバー脅威指標または防御策は、以下とする。 |
| (A) deemed voluntarily shared information and exempt from disclosure under section 552 of title 5, United States Code, and any State, tribal, or local provision of law requiring disclosure of information or records; and | (A)自発的に共有された情報とみなされ、米国法典第 5 編第 552 条、および情報または記録の開示を要求する州、部族、または地方の法律の規定に基づく開示が免除される。 |
| (B) withheld, without discretion, from the public under section 552(b)(3)(B) of title 5, United States Code, and any State, tribal, or local provision of law requiring disclosure of information or records. | (B)米国法典第5編第552条(b)(3)(B)および情報または記録の開示を要求する州、部族、または地方の法律の規定に基づき、裁量なしに公開を差し控える。 |
| (4) EX PARTE COMMUNICATIONS.—The provision of a cyber threat indicator or defensive measure to the Federal Government under this title shall not be subject to a rule of any Federal agency or department or any judicial doctrine regarding ex parte communications with a decision-making official. | (4) 一方的なコミュニケーション:本タイトルに基づく連邦政府へのサイバー脅威指標または防御策の提供は、連邦政府機関または省庁の規則、または意思決定役人との一方的なコミュニケーションに関する司法教義の適用を受けないものとする。 |
| (5) DISCLOSURE, RETENTION, AND USE.— | (5) 開示、保持、および使用-。 |
| (A) AUTHORIZED ACTIVITIES.—Cyber threat indicators and defensive measures provided to the Federal Government under this title may be disclosed to, retained by, and used by, consistent with otherwise applicable provisions of Federal law, any Federal agency or department, component, officer, employee, or agent of the Federal Government solely for— | (A)認可された活動:本タイトルに基づき連邦政府に提供されたサイバー脅威指標および防御策は、連邦法の他の適用規定と矛盾しない範囲で、連邦政府機関または部局、連邦政府の構成機関、役員、職員、または代理人に開示され、連邦政府機関または部局、構成機関、役員、職員、または代理人によって使用されることができる。 |
| (i) a cybersecurity purpose; (ii) the purpose of identifying— | (i) サイバーセキュリティ目的、(ii) 識別目的。 |
| (I) a cybersecurity threat, including the source of such cybersecurity threat; or | (I) サイバーセキュリティ上の脅威(当該サイバーセキュリティ上の脅威の発生源を含む。 |
| (II) a security vulnerability; | (II) セキュリティの脆弱性; |
| (iii) the purpose of responding to, or otherwise preventing or mitigating, a specific threat of death, a specific threat of serious bodily harm, or a specific threat of serious economic harm, including a terrorist act or a use of a weapon of mass destruction; | (iii) テロ行為または大量破壊兵器の使用を含む、特定の死亡の脅威、特定の重大な身体的危害の脅威、または特定の重大な経済的危害の脅威に対応する目的、またはこれらを防止もしくは低減する目的; |
| (iv) the purpose of responding to, investigating, prosecuting, or otherwise preventing or mitigating, a serious threat to a minor, including sexual exploitation and threats to physical safety; or | (iv) 未成年者に対する重大な脅威(性的搾取、身体の安全に対する脅威を含む)に対応、調査、訴追、またはその他の方法で防止もしくは低減する目的。 |
| (v) the purpose of preventing, investigating, disrupting, or prosecuting an offense arising out of a threat described in clause (iii) or any of the offenses listed in— | (v) (iii)に記載された脅威、または以下に列挙された犯罪に起因する犯罪を防止、調査、妨害、または訴追する目的。 |
| (I) sections 1028 through 1030 of title 18, United States Code (relating to fraud and identity theft); | (I) 米国法典第 18 編第 1028 項から第 1030 項(詐欺および ID 窃盗に関するもの); |
| (II) chapter 37 of such title (relating to espionage and censorship); and (III) chapter 90 of such title (relating to protection of trade secrets). | (II) 同タイトル第37章(スパイ行為および検閲に関するもの)、および (III) 同タイトル第90章(企業秘密の保護に関するもの)。 |
| (B) PROHIBITED ACTIVITIES.—Cyber threat indicators and defensive measures provided to the Federal Government under this title shall not be disclosed to, retained by, or used by any Federal agency or department for any use not permitted under subparagraph (A). | (B)禁止行為:本タイトルに基づき国防総省に提供されたサイバー脅威指標および防御策は、(A)号に基づき許可されない用途のために、連邦政府機関または部局に開示されたり、保持されたり、使用されたりしてはならない。 |
| (C) PRIVACY AND CIVIL LIBERTIES.—Cyber threat indicators and defensive measures provided to the Federal Government under this title shall be retained, used, and disseminated by the Federal Government— | (C)プライバシーおよび市民的自由:本号に基づき連邦政府に提供されたサイバー脅威指標お よび防御策は、連邦政府によって保持、使用、普及されるものとする。 |
| (i) in accordance with the policies, procedures, and guidelines required by subsections (a) and (b); | (i) (a)号および(b)号が要求する方針、手順、およびガイドラインに従う; |
| (ii) in a manner that protects from unauthorized use or disclosure any cyber threat indicators that may contain— | (ii)以下を含む可能性のあるサイバー脅威指標を、不正使用または開示から保護する方法で、保持する。 |
| (I) personal information of a specific individual; or | (I) 特定の個人の個人情報。 |
| (II) information that identifies a specific individual; and | (II) 特定の個人を識別する情報。 |
| (iii) in a manner that protects the confidentiality of cyber threat indicators containing— | (iii) (I)を含むサイバー脅威指標の機密性を保護する方法において、(II)を含むサイバー脅威指標の機密性を保護する方法において、(I)を含むサイバー脅威指標の機密性を保護する方法において、(II)を含むサイバー脅威指標の機密性を保護すること。 |
| (I) personal information of a specific individual; or | (I) 特定の個人の個人情報、または |
| (II) information that identifies a specific individual. | (II) 特定の個人を識別する情報。 |
| (D) FEDERAL REGULATORY AUTHORITY.— | (d) 連邦政府の認可。 |
| (i) IN GENERAL.—Except as provided in clause (ii), cyber threat indicators and defensive measures provided to the Federal Government under this title shall not be used by any Federal, State, tribal, or local government to regulate, including an enforcement action, the lawful activities of any non-Federal entity or any activities taken by a non-Federal entity pursuant to mandatory standards, including activities relating to monitoring, operating defensive measures, or sharing cyber threat indicators. | (i)全般:(ii)項に規定される場合を除き、本タイトルに基づき連邦政府に提供されるサイバー脅威指標および防御策は、連邦、州、部族、または地方政府が、連邦以外の事業体の合法的な活動、または強制基準に従って連邦以外の事業体が行う活動(監視、防御策の運用、またはサイバー脅威指標の共有に関する活動を含む)を、強制措置を含め規制するために使用してはならない。 |
| (ii) EXCEPTIONS.— | (ii) 例外-。 |
| (I) REGULATORY AUTHORITY SPECIFICALLY RELATING TOPREVENTION OR MITIGATION OF CYBERSECURITY THREATS.— Cyber threat indicators and defensive measures provided to the Federal Government under this title may, consistent with Federal or State regulatory authority specifically relating to the prevention or mitigation of cybersecurity threats to information systems, inform the development or implementation of regulations relating to such information systems. | (I)サイバーセキュリティ脅威の防止または低減に特に関連する規制当局 - 本タイトルに基づき連邦政府に提供されたサイバー脅威指標および防御策は、情報システムに対するサイバーセキュリティ脅威の防止または低減に特に関連する連邦または州の規制当局と整合性を保ちながら、当該情報システムに関連する規制の策定または実施に反映させることができる。 |
| (II) PROCEDURES DEVELOPED AND IMPLEMENTED UNDER THIS TITLE.—Clause (i) shall not apply to procedures developed and implemented under this title. | (II) 本タイトルに基づき開発および実施された手続き - (i)項は、本タイトルに基づき開発および実施された手続きには適用されない。 |
| SEC. 106. PROTECTION FROM LIABILITY. | SEC. 106. 責任からの防御。 |
| (a) MONITORING OF INFORMATION SYSTEMS.—No cause of action shall lie or be maintained in any court against any private entity, and such action shall be promptly dismissed, for the monitoring of an information system and information under section 104(a) that is conducted in accordance with this title. | (a)情報システムの監視-第104条(a)に基づき、本タイトルに従って実施された情報システムおよび情報の監視については、いかなる民間事業体に対しても、いかなる訴因も生じず、裁判所において維持されないものとし、かかる訴因は速やかに却下されるものとする。 |
| (b) SHARING OR RECEIPT OF CYBER THREAT INDICATORS.—No cause of action shall lie or be maintained in any court against any private entity, and such action shall be promptly dismissed, for the sharing or receipt of a cyber threat indicator or defensive measure under section 104(c) if— | (b)サイバー脅威指標の共有または受領-以下の場合、第104条(c)に基づくサイバー脅威指標または防御策の共有または受領を理由として、いかなる民間事業体に対しても、いかなる訴因も成り立たず、またいかなる裁判所においても維持されず、かかる訴因は速やかに却下されるものとする。 |
| (1) such sharing or receipt is conducted in accordance with this title; and | (1) 当該共有または受領が本タイトルに従って行われた場合。 |
| (2) in a case in which a cyber threat indicator or defensive measure is shared with the Federal Government, the cyber threat indicator or defensive measure is shared in a manner that is consistent with section 105(c)(1)(B) and the sharing or receipt, as the case may be, occurs after the earlier of— | (2) サイバー脅威指標または防御策が連邦政府と共有される場合において、当該サイバー脅威指標または防御策が、第105条(c)(1)(B)に合致する方法で共有され、かつ、当該共有または受領が、場合により、以下のいずれか早い時点以降に行われた場合。 |
| (A) the date on which the interim policies and procedures are submitted to Congress under section 105(a)(1) and guidelines are submitted to Congress under section 105(b)(1); or | (A) 第105条(a)(1)に基づき暫定的な方針と手順が議会に提出され、第105条(b)(1)に基づきガイドラインが議会に提出された日、または |
| (B) the date that is 60 days after the date of the enactment of this Act. | (B) この法律の制定日から60日後の日。 |
| (c) CONSTRUCTION.—Nothing in this title shall be construed— | (c)解釈-本タイトルのいかなる規定も、次のように解釈されてはならない。 |
| (1) to create— | (1)以下を生じさせるものと解釈してはならない。 |
| (A) a duty to share a cyber threat indicator or defensive measure; or | (A) サイバー脅威指標または防御策を共有する義務。 |
| (B) a duty to warn or act based on the receipt of a cyber threat indicator or defensive measure; or | (B) サイバー脅威指標または防御策の受領に基づいて警告または行動する義務。 |
| (2) to undermine or limit the availability of otherwise applicable common law or statutory defenses. | (2) その他に適用されるコモンローまたは法的防御の利用可能性を弱体化または制限すること。 |
| SEC. 107. OVERSIGHT OF GOVERNMENT ACTIVITIES. (a) REPORT ON IMPLEMENTATION.— | SEC. 107. 政府活動の監視。(a)実施に関する報告書 |
| (1) IN GENERAL.—Not later than 1 year after the date of the enactment of this title, the heads of the appropriate Federal entities shall jointly submit to Congress a detailed report concerning the implementation of this title. | (1) 概略-本タイトルの制定日から1年以内に、該当する連邦事業体の長は共同で、本タイトルの実施に関する詳細な報告書を議会に提出しなければならない。 |
| (2) CONTENTS.—The report required by paragraph (1) may include such recommendations as the heads of the appropriate Federal entities may have for improvements or modifications to the authorities, policies, procedures, and guidelines under this title and shall include the following: | (2) 内容 -第(1)項が要求する報告書には、適切な連邦事業体の長が、本タイトルに基づく権限、方針、手続き、ガイドラインの改善や修正について持つ勧告を含めることができ、以下を含むものとする: |
| (A) An evaluation of the effectiveness of real-time information sharing through the capability and process developed under section 105(c), including any impediments to such realtime sharing. | (A) 第105条(c)に基づき開発された能力およびプロセスを通じたリアルタイムの情報共有の有効性の評価(そのようなリアルタイムの情報共有に対するあらゆる障害を含む)。 |
| (B) An assessment of whether cyber threat indicators or defensive measures have been properly classified and an accounting of the number of security clearances authorized by the Federal Government for the purpose of sharing cyber threat indicators or defensive measures with the private sector. | (B)サイバー脅威指標または防御策が適切に分類されているかどうかの評価、およびサイバー脅威指標または防御策を民間部門と共有する目的で連邦政府が認可したセキュリティ・クリアランスの数の認可。 |
| (C) The number of cyber threat indicators or defensive measures received through the capability and process developed under section 105(c). | (C) 第105条(c)に基づき開発された能力およびプロセスを通じて受領したサイバー脅威指標または防御策の数。 |
| (D) A list of Federal entities that have received cyber threat indicators or defensive measures under this title. | (D) 本タイトルに基づきサイバー脅威指標または防御策を受領した連邦事業体のリスト。 |
| (b) BIENNIAL REPORT ON COMPLIANCE.— | (b) 遵守に関する隔年報告書。 |
| (1) IN GENERAL.—Not later than 2 years after the date of the enactment of this Act and not less frequently than once every 2 years thereafter, the inspectors general of the appropriate Federal entities, in consultation with the Inspector General of the Intelligence Community and the Council of Inspectors General on Financial Oversight, shall jointly submit to Congress an interagency report on the actions of the executive branch of the Federal Government to carry out this title during the most recent 2-year period. | (1)全般-本法律の制定日から2年以内に、またその後2年ごとに1回以上の頻度で、適切な連邦事業体の監察官は、情報コミュニティ監察官観察評議会および財務監視に関する監察官評議会と協議の上、連邦政府行政府の直近2年間における本タイトルを遂行するための措置に関する省庁間報告書を共同で議会に提出するものとする。 |
| (2) CONTENTS.—Each report submitted under paragraph (1) shall include, for the period covered by the report, the following: | (2) 内容 -第(1)項に基づいて提出される各報告書には、その報告書の対象期間について、以下を含めなければならない: |
| (A) An assessment of the sufficiency of the policies, procedures, and guidelines relating to the sharing of cyber threat indicators within the Federal Government, including those policies, procedures, and guidelines relating to the removal of information not directly related to a cybersecurity threat that is personal information of a specific individual or information that identifies a specific individual. | (A)サイバー脅威指標の連邦政府内での共有に関する方針、手順、ガイドラインの十分性についての評価(特定の個人の個人情報または特定の個人を特定できる情報であるサイバーセキュリティ脅威に直接関係しない情報の削除に関する方針、手順、ガイドラインを含む)。 |
| (B) An assessment of whether cyber threat indicators or defensive measures have been properly classified and an accounting of the number of security clearances authorized by the Federal Government for the purpose of sharing cyber threat indicators or defensive measures with the private sector. | (B) サイバー脅威指標または防御策が適切に分類されているかどうかの評価、およびサイバー脅威指標または防御策を民間部門と共有する目的で連邦政府が認可したセキュリティ・クリアランスの数の会計。 |
| (C) A review of the actions taken by the Federal Government based on cyber threat indicators or defensive measures shared with the Federal Government under this title, including a review of the following: | (C) 本タイトルに基づき連邦政府と共有されたサイバー脅威指標または防御策に基づいて連邦政府がとった措置のレビュー: |
| (i) The appropriateness of subsequent uses and disseminations of cyber threat indicators or defensive measures. | (i) サイバー脅威指標または防御策のその後の使用および普及の適切性。 |
| (ii) Whether cyber threat indicators or defensive measures were shared in a timely and adequate manner with appropriate entities, or, if appropriate, were made publicly available. | (ii)サイバー脅威指標または防御策が、適切な事業体と適時かつ適切な方法で共有されたか、または適切な場合には一般に公開されたかどうか。 |
| (D) An assessment of the cyber threat indicators or defensive measures shared with the appropriate Federal entities under this title, including the following: | (D) 本タイトルに基づき、適切な連邦事業体と共有されたサイバー脅威指標または防御策の評価: |
| (i) The number of cyber threat indicators or defensive measures shared through the capability and process developed under section 105(c). | (i) 第105条(c)に基づき開発された能力およびプロセスを通じて共有されたサイバー脅威指標または防御策の数。 |
| (ii) An assessment of any information not directly related to a cybersecurity threat that is personal information of a specific individual or information identifying a specific individual and was shared by a non-Federal government entity with the Federal government in contravention of this title, or was shared within the Federal Government in contravention of the guidelines required by this title, including a description of any significant violation of this title. | (ii) サイバーセキュリティの脅威に直接関係しない情報であって、特定の個人の個人情報または特定の個人を特定できる情報であり、本タイトルに反して連邦政府以外の事業体によって連邦政府と共有されたもの、または本タイトルが要求するガイドラインに反して連邦政府内で共有されたものの評価(本タイトルの重大な違反の説明を含む)。 |
| (iii) The number of times, according to the Attorney General, that information shared under this title was used by a Federal entity to prosecute an offense listed in section 105(d)(5)(A). | (iii) 司法長官によれば、本タイトルに基づき共有された情報が、連邦事業体によって第105条(d)(5)(A)に列挙された犯罪を起訴するために使用された回数。 |
| (iv) A quantitative and qualitative assessment of the effect of the sharing of cyber threat indicators or defensive measures with the Federal Government on privacy and civil liberties of specific individuals, including the number of notices that were issued with respect to a failure to remove information not directly related to a cybersecurity threat that was personal information of a specific individual or information that identified a specific individual in accordance with the procedures required by section 105(b)(3)(E). | (iv) 第105条(b)(3)(E)で義務付けられている手続きに従って、特定の個人の個人情報または特定の個人を特定できる情報であるサイバーセキュリティ脅威に直接関係しない情報を削除しなかったことに関して出された通知の数を含む、サイバー脅威指標または防御策の連邦政府との共有が特定の個人のプライバシーおよび市民的自由に及ぼす影響の量的および質的評価。 |
| (v) The adequacy of any steps taken by the Federal Government to reduce any adverse effect from activities carried out under this title on the privacy and civil liberties of United States persons. | (V) 本タイトルに基づき実施される活動が米国人のプライバシーおよび市民的自由に及ぼす悪影響を軽減するために連邦政府が講じた措置の適切性。 |
| (E) An assessment of the sharing of cyber threat indicators or defensive measures among Federal entities to identify inappropriate barriers to sharing information. | (E) 情報共有に対する不適切な障壁を特定するための、連邦事業体間でのサイバー脅威指標または防御策の共有に関する評価。 |
| (3) RECOMMENDATIONS.—Each report submitted under this subsection may include such recommendations as the inspectors general may have for improvements or modifications to the authorities and processes under this title. | (3) 勧告-本項に基づいて提出される各報告書には、本号に基づく権限およびプロセスの改善または修正について、監察官が有する勧告を含めることができる。 |
| (c) INDEPENDENT REPORT ON REMOVAL OF PERSONAL INFORMATION.—Not later than 3 years after the date of the enactment of this Act, the Comptroller General of the United States shall submit to Congress a report on the actions taken by the Federal Government to remove personal information from cyber threat indicators or defensive measures pursuant to this title. Such report shall include an assessment of the sufficiency of the policies, procedures, and guidelines established under this title in addressing concerns relating to privacy and civil liberties. | (c)個人情報の削除に関する独立報告書-本法律の制定日から3年以内に、米国会計検査院は、本タイトルに基づき、サイバー脅威指標または防御策から個人情報を削除するために連邦政府が取った措置に関する報告書を議会に提出するものとする。当該報告書には、プライバシーおよび市民的自由に関する懸念に対処する上で、本タイトルに基づき確立された方針、手続き、およびガイドラインが十分であることの評価を含めるものとする。 |
| (d) FORM OF REPORTS.—Each report required under this section shall be submitted in an unclassified form, but may include a classified annex. | (d)報告書の形式-本項に基づき提出が求められる各報告書は、非機密の形式で提出されるものとするが、機密の附属書を含めることができる。 |
| (e) PUBLIC AVAILABILITY OF REPORTS.—The unclassified portions of the reports required under this section shall be made available to the public. | (e)報告書の一般公開-本項に基づき要求される報告書の未分類の部分は、一般に公開されるものとする。 |
| SEC. 108. CONSTRUCTION AND PREEMPTION. (a) OTHERWISE LAWFUL DISCLOSURES.—Nothing in this title shall be construed— | SEC. 108. 建設と先取り (a)その他の合法的開示-本タイトルのいかなる規定も、次のように解釈されてはならない。 |
| (1) to limit or prohibit otherwise lawful disclosures of communications, records, or other information, including reporting of known or suspected criminal activity, by a nonFederal entity to any other non-Federal entity or the Federal Government under this title; or | (1) 連邦政府以外の事業体による、既知または疑いのある犯罪活動の報告を含む、コミュニケーション、記録、またはその他の情報の、本タイトルに基づく連邦政府以外の事業体または連邦政府への、その他の合法的な開示を制限または禁止する。 |
| (2) to limit or prohibit otherwise lawful use of such disclosures by any Federal entity, even when such otherwise lawful disclosures duplicate or replicate disclosures made under this title. | (2)連邦事業体によるかかる開示の合法的な利用を制限または禁止すること。たとえかかる合法的な開示が、本タイトルに基づき行われた開示と重複または複製する場合であっても、である。 |
| (b) WHISTLE BLOWER PROTECTIONS.—Nothing in this title shall be construed to prohibit or limit the disclosure of information protected under section 2302(b)(8) of title 5, United States Code (governing disclosures of illegality, waste, fraud, abuse, or public health or safety threats), section 7211 of title 5, United States Code (governing disclosures to Congress), section 1034 of title 10, United States Code (governing disclosure to Congress by members of the military), section 1104 of the National Security Act of 1947 (50 U.S.C. 3234) (governing disclosure by employees of elements of the intelligence community), or any similar provision of Federal or State law. | (b) 笛吹きの防御-本タイトルのいかなる規定も、米国法典第5編2302条(b)(8)(違法、浪費、不正、濫用、または公衆衛生もしくは安全の脅威の開示を規定)、米国法典第5編7211条(議会への開示を規定)、米国法典第10編1034条(軍構成員による議会への開示を規定)、1947年国家安全保障法第1104条(50 U. S. C. 3234)に基づき保護される情報の開示を禁止または制限するものと解釈されてはならない。 S.C.3234)(情報コミュニティの構成員による議会への情報開示ガバナンス)、または連邦法もしくは州法の類似の規定がある。 |
| (c) PROTECTION OF SOURCES AND METHODS.—Nothing in this title shall be construed— | (c)情報源および方法の防御-本タイトルのいかなる規定も、次のように解釈されてはならない。 |
| (1) as creating any immunity against, or otherwise affecting, any action brought by the Federal Government, or any agency or department thereof, to enforce any law, executive order, or procedure governing the appropriate handling, disclosure, or use of classified information; | (1) 機密情報の適切な取り扱い、開示、または使用を規定する法律、大統領令、または手続を執行するために、連邦政府、またはその機関もしくは部局が提起する訴訟に対する免責を生じさせるもの、またはその他の影響を及ぼすものであってはならない; |
| (2) to affect the conduct of authorized law enforcement or intelligence activities; or | (2) 認可された法執行または諜報活動の実施に影響を与える。 |
| (3) to modify the authority of a department or agency of the Federal Government to protect classified information and sources and methods and the national security of the United States. | (3) 機密情報、情報源および方法、ならびに米国の国家安全保障を保護するための、連邦政府の省庁の認可を変更する。 |
| (d) RELATIONSHIP TO OTHER LAWS.—Nothing in this title shall be construed to affect any requirement under any other provision of law for a non-Federal entity to provide information to the Federal Government. | (d)他の法律との関係-本タイトルのいかなる規定も、連邦政府以外の事業体が連邦政府に情報を提供するための、他の法律の規定に基づく要件に影響を及ぼすものと解釈されてはならない。 |
| (e) PROHIBITED CONDUCT.—Nothing in this title shall be construed to permit price-fixing, allocating a market between competitors, monopolizing or attempting to monopolize a market, boycotting, or exchanges of price or cost information, customer lists, or information regarding future competitive planning. | (e)禁止される行為-本タイトルのいかなる規定も、価格固定、競争者間の市場配分、市場の独占または独占の企て、ボイコット、または価格もしくはコスト情報、顧客リスト、または将来の競争計画に関する情報の交換を許可するものと解釈してはならない。 |
| (f) INFORMATION SHARING RELATIONSHIPS.—Nothing in this title shall be construed— | (f)情報共有関係-本タイトルのいかなる規定も、次のように解釈されてはならない。 |
| (1) to limit or modify an existing information sharing relationship; | (1) 既存の情報共有関係を制限または修正する; |
| (2) to prohibit a new information sharing relationship; | (2) 新たな情報共有関係を禁止する; |
| (3) to require a new information sharing relationship between any non-Federal entity and a Federal entity or another non-Federal entity; or | (3) 非連邦事業体と連邦事業体または他の非連邦事業体との間の新たな情報共有関係を要求する。 |
| (4) to require the use of the capability and process within the Department of Homeland Security developed under section 105(c). | (4) 第105条(c)に基づき開発された国土安全保障省内の能力およびプロセスの使用を要求する。 |
| (g) PRESERVATION OF CONTRACTUAL OBLIGATIONS AND RIGHTS.—Nothing in this title shall be construed— | (g) 契約上の義務および権利の保持-本タイトルのいかなる規定も、次のように解釈されない。 |
| (1) to amend, repeal, or supersede any current or future contractual agreement, terms of service agreement, or other contractual relationship between any non-Federal entities, or between any non-Federal entity and a Federal entity; or | (1) 連邦政府以外の事業体間、または連邦政府以外の事業体と連邦政府事業体間の、現在または将来の契約上の合意、利用規約、またはその他の契約上の関係を修正、廃止、または優先させる。 |
| (2) to abrogate trade secret or intellectual property rights of any non-Federal entity or Federal entity. | (2) 非連邦事業体または連邦事業体の企業秘密または知的財産権を破棄すること。 |
| (h) ANTI-TASKING RESTRICTION.—Nothing in this title shall be construed to permit a Federal entity— | (h)反タスク制限:本号のいかなる規定も、連邦事業体に対して以下を許可するものと解釈されてはならない。 |
| (1) to require a non-Federal entity to provide information to a Federal entity or another non-Federal entity; | (1) 連邦事業体または連邦事業体以外の事業体に対し、情報の提供を要求すること; |
| (2) to condition the sharing of cyber threat indicators with a non-Federal entity on such entity’s provision of cyber threat indicators to a Federal entity or another non-Federal entity; or | (2) 非連邦事業体とのサイバー脅威指標の共有を、当該事業体が連邦事業体または別の非連邦事 業体にサイバー脅威指標を提供することを条件とすること。 |
| (3) to condition the award of any Federal grant, contract, or purchase on the provision of a cyber threat indicator to a Federal entity or another non-Federal entity. | (3) 連邦助成金、契約、または購入の授与を、連邦事業体または連邦以外の事業体へのサイバー脅威指標の提供を条件とすること。 |
| (i) NO LIABILITY FOR NON-PARTICIPATION.—Nothing in this title shall be construed to subject any entity to liability for choosing not to engage in the voluntary activities authorized in this title. | (i) 非参加に対する責任 - 本タイトルのいかなる規定も、本タイトルで認可された自発的な活動に参加しないことを選択した事業体に責任を負わせるものと解釈されてはならない。 |
| (j) USE AND RETENTION OF INFORMATION.—Nothing in this title shall be construed to authorize, or to modify any existing authority of, a department or agency of the Federal Government to retain or use any information shared under this title for any use other than permitted in this title. | (j)情報の使用と保持-本タイトルのいかなる規定も、連邦政府の省庁が、本タイトルの下で共有された情報を、本タイトルで許可された以外の用途のために保持または使用することを認可したり、その既存の権限を修正したりするものと解釈されてはならない。 |
| (k) FEDERAL PREEMPTION.— | (k) 連邦政府の要請-。 |
| (1) IN GENERAL.—This title supersedes any statute or other provision of law of a State or political subdivision of a State that restricts or otherwise expressly regulates an activity authorized under this title. | (1) 一般規定-本タイトルは、本タイトルに基づき認可された活動を制限する、またはその他の方法で明示的に規制する、州または州の政治的下位区分の法令またはその他の法律の規定に優先する。 |
| (2) STATE LAW ENFORCEMENT.—Nothing in this title shall be construed to supersede any statute or other provision of law of a State or political subdivision of a State concerning the use of authorized law enforcement practices and procedures. | (2) 州の法執行-本タイトルのいかなる規定も、認可された法執行の慣行および手続の使用に関する、州または州の政治的下位区分の法令または法律の他の規定に取って代わるものと解釈されてはならない。 |
| (l) REGULATORY AUTHORITY.—Nothing in this title shall be construed— | (本タイトルのいかなる規定も、次のように解釈されてはならない。 |
| (1) to authorize the promulgation of any regulations not specifically authorized to be issued under this title; | (1) 本タイトルに基づき発行することが特に認可されていない規則を認可する; |
| (2) to establish or limit any regulatory authority not specifically established or limited under this title; or | (2) 本タイトルに基づき具体的に制定または制限されていない規制権限を制定または制限する。 |
| (3) to authorize regulatory actions that would duplicate or conflict with regulatory requirements, mandatory standards, or related processes under another provision of Federal law. | (3) 連邦法の他の規定に基づく規制要件、標準、または関連プロセスと重複または抵触する規制行為を認可すること。 |
| (m) AUTHORITY OF SECRETARY OF DEFENSE TO RESPOND TO MALICIOUS CYBER ACTIVITY CARRIED OUT BY FOREIGN POWERS.— Nothing in this title shall be construed to limit the authority of the Secretary of Defense under section 130g of title 10, United States Code. | (本号のいかなる規定も、米国法典第10編第130g条に基づく国防長官の権限を制限するものと解釈してはならない。 |
| (n) CRIMINAL PROSECUTION.—Nothing in this title shall be construed to prevent the disclosure of a cyber threat indicator or defensive measure shared under this title in a case of criminal prosecution, when an applicable provision of Federal, State, tribal, or local law requires disclosure in such case. | (n) 刑事訴追-本タイトルのいかなる規定も、連邦法、州法、部族法、または地方法の適用法が、刑事訴追の場合に開示を要求する場合、本タイトルに基づき共有されるサイバー脅威指標または防御策の開示を妨げるものと解釈されない。 |
| SEC. 109. REPORT ON CYBERSECURITY THREATS. | SEC. 109. サイバーセキュリティの脅威に関する報告書 |
| (a) REPORT REQUIRED.—Not later than 180 days after the date of the enactment of this Act, the Director of National Intelligence, in coordination with the heads of other appropriate elements of the intelligence community, shall submit to the Select Committee on Intelligence of the Senate and the Permanent Select Committee on Intelligence of the House of Representatives a report on cybersecurity threats, including cyber attacks, theft, and data breaches. | (a)必要な報告書:国家情報長官は、本法案の成立日から180日以内に、情報コミュニティの他の適切な組織の長と協力して、サイバー攻撃、窃盗、データ漏洩を含むサイバーセキュリティの脅威に関する報告書を、上院情報特別委員会および下院情報特別委員会に提出するものとする。 |
| (b) CONTENTS.—The report required by subsection (a) shall include the following: | (b) 内容-第(a)項が要求する報告書には、以下を含めるものとする: |
| (1) An assessment of the current intelligence sharing and cooperation relationships of the United States with other countries regarding cybersecurity threats, including cyber attacks, theft, and data breaches, directed against the United States and which threaten the United States national security interests and economy and intellectual property, specifically identifying the relative utility of such relationships, which elements of the intelligence community participate in such relationships, and whether and how such relationships could be improved. | (1) 米国に向けられ、米国の国家安全保障上の利益、経済、知的財産を脅かすサイバー攻撃、窃盗、データ漏洩を含むサイバーセキュリティの脅威に関する、米国と他国との現在の情報共有・協力関係の評価、特にそのような関係の相対的有用性、情報コミュニティのどの要素がそのような関係に参加しているか、そのような関係を改善できるかどうか、またどのように改善できるかを明らかにする。 |
| (2) A list and an assessment of the countries and nonstate actors that are the primary threats of carrying out a cybersecurity threat, including a cyber attack, theft, or data breach, against the United States and which threaten the United States national security, economy, and intellectual property. | (2) 米国に対するサイバー攻撃、窃盗、データ侵害を含むサイバーセキュリティ上の脅威を実行する主要な脅威であり、米国の国家安全保障、経済、知的財産を脅かす国及び非国家行為者のリストとその評価。 |
| (3) A description of the extent to which the capabilities of the United States Government to respond to or prevent cybersecurity threats, including cyber attacks, theft, or data breaches, directed against the United States private sector are degraded by a delay in the prompt notification by private entities of such threats or cyber attacks, theft, and data breaches. | (3) 米国民間部門に向けられたサイバー攻撃、窃盗、データ漏洩を含むサイバーセキュリティの脅威に対応し、又はこれを防止する米国政府の能力が、当該脅威又はサイバー攻撃、窃盗、データ漏洩に関する民間事業体による迅速な通知の遅延によってどの程度低下するかについての説明。 |
| (4) An assessment of additional technologies or capabilities that would enhance the ability of the United States to prevent and to respond to cybersecurity threats, including cyber attacks, theft, and data breaches. | (4) サイバー攻撃、窃盗、データ漏洩を含むサイバーセキュリティの脅威を防止し、これに対応する米国の能力を強化する追加的な技術または能力の評価。 |
| (5) An assessment of any technologies or practices utilized by the private sector that could be rapidly fielded to assist the intelligence community in preventing and responding to cybersecurity threats. | (5) サイバーセキュリティの脅威の防止と対応において情報コミュニティを支援するため に、民間部門が利用する技術や手法のうち、迅速に導入できるものの評価。 |
| (c) FORM OF REPORT.—The report required by subsection (a) shall be made available in classified and unclassified forms. (d) INTELLIGENCE COMMUNITY DEFINED.—In this section, the term ‘‘intelligence community’’ has the meaning given that term in section 3 of the National Security Act of 1947 (50 U.S.C. 3003). | (c) 報告書の形式-第(a)項が要求する報告書は、機密および非機密の形式で入手可能とする。(d)情報コミュニティの定義-本項において、''情報コミュニティ''という用語は、1947 年国家安全保障法第 3 項(50 U.S.C. 3003)においてその用語に与えられている意味を有する。 |
| SEC. 110. EXCEPTION TO LIMITATION ON AUTHORITY OF SECRETARY OF DEFENSE TO DISSEMINATE CERTAIN INFORMATION. Notwithstanding subsection (c)(3) of section 393 of title 10, United States Code, the Secretary of Defense may authorize the sharing of cyber threat indicators and defensive measures pursuant to the policies, procedures, and guidelines developed or issued under this title. | SEC. 110. 国防長官が特定の情報を流布する権限の制限の例外。米国法典第 10 編第 393 条第(c)項(3)にかかわらず、国防長官は、本タイトルに基づき策定または発 行された方針、手順、ガイドラインに従い、サイバー脅威指標および防御策の共有を認可することができる。 |
| SEC. 111. EFFECTIVE PERIOD. | SEC. 111. 発効期間 |
| (a) IN GENERAL.—Except as provided in subsection (b), this title and the amendments made by this title shall be effective during the period beginning on the date of the enactment of this Act and ending on September 30, 2025. | (a)全般.-第(b)項に規定される場合を除き、本タイトルおよび本タイトルによる改正は、本法の制定日に始まり、2025年9月30日に終わる期間に効力を有する。 |
| (b) EXCEPTION.—With respect to any action authorized by this title or information obtained pursuant to an action authorized by this title, which occurred before the date on which the provisions referred to in subsection (a) cease to have effect, the provisions of this title shall continue in effect. | (b)例外-本タイトルにより認可された行為または本タイトルにより認可された行為に従って入手した情報であって、第(a)項に言及された規定が効力を失う日以前に発生したものに関しては、本タイトルの規定は引き続き効力を有する。 |
« 米国 連邦取引委員会 (FTC) 商用監視と緩いデータ・セキュリティ慣行を取り締まる規則の検討 (2022.08.11) | Main | 世界経済フォーラム (WEF) サイバーレジリエンス指数 - 組織のサイバーレジリエンスの向上 (2022.07.14) »
Comments